Risikomanagement - LUKB Berichte 2025

3. Risikomanagement

Risikopolitik

Als Finanzinstitut ist die LUKB mit verschiedenen bankspezifischen Risiken konfrontiert: Dies sind Ausfall-, Markt-, Liquiditäts-, operationelle, Compliance-, Strategie- sowie Reputationsrisiken. Nachhaltigkeitsrisiken (ESG) sowie darin enthaltene Klimarisiken und weitere naturbezogene Finanzrisiken sind dabei keine eigenständige Risikokategorie, sondern vielmehr Treiber für die oben aufgeführten Risikokategorien.

Der Umgang mit Risiken gehört zu den Kernaufgaben der LUKB. Das entsprechende Risikomanagement geniesst einen hohen Stellenwert. Die vom Verwaltungsrat verabschiedete Risikopolitik definiert das Rahmenkonzept für das institutsweite Risikomanagement gemäss FINMA-Rundschreiben 2017 / 01 «Corporate Governance – Banken».

Die LUKB stebt gemäss Unternehmsstrategie einen vorsichtigen Umgang mit Risiken an. Dazu definiert die LUKB nachhaltige risikopolitische Vorgaben, auch wenn sie damit nicht alle Trends verfolgt. Entsprechend tätigt die LUKB nur jene Geschäfte, für welche sichergestellt ist, dass die Bank über die Grundlagen zur Beherrschung der damit verbundenen Risiken verfügt. Damit strebt die LUKB neben dem Schutz der Finanzkraft auch die Wahrung der Reputation an. Die LUKB entwickelt die Mitarbeitenden durch regelmässige Schulungen kontinuierlich weiter, so dass alle Mitarbeitenden dem Risikomanagement einen hohen Stellenwert beimessen.

Die nachfolgenden Ausführungen berücksichtigen die in der Verordnung der FINMA über die Offenlegungspflichten der Banken und Wertpapierhäuser (OffV-FINMA) geforderten qualitativen Angaben. Die Erläuterungen der für die Eigenmittelberechnung angewendeten Ansätze für die Kredit-, Markt- und operationellen Risiken sowie Ausführungen zur Quantität finden sich im separaten Offenlegungsbericht 2025.

Der Verwaltungsrat ist das oberste Organ in der Risikomanagement-Organisation. Er legt die Risikopolitik fest und definiert darin die Risikostrategie, die -identifikation, -messung, -beurteilung, -steuerung und -überwachung sowie die Grundsätze der Risikomanagement-Organisation bezüglich der unabhängigen Compliance-Funktion und der unabhängigen Funktion Risikokontrolle. Zudem legt er die Risikotoleranz fest und genehmigt strategische Limiten für die einzelnen Risiken innerhalb der verschiedenen Risikokategorien, basierend auf der Risikotragfähigkeit der LUKB. Bei der Festlegung der strategischen Risikolimiten wird darauf geachtet, dass auch beim Eintreten verschiedener negativer Ereignisse die gesetzlich erforderlichen Eigenmittel erhalten bleiben. Mittels eines stufengerechten, periodischen und standardisierten Reportings sowie unverzüglicher Informationen in Ausnahmefällen sind die Überwachung der Risiken sowie die Einhaltung der Risikopolitik durch das oberste Organ sichergestellt (dazu verweisen wir auch auf die Ausführungen im Kapitel zur Corporate Governance «Interne Organisation»). Der Verwaltungsrat überprüft periodisch – mindestens jährlich – die Risikopolitik und passt sie bei Bedarf an.

Der Risiko- und Strategieausschuss des Verwaltungsrates bereitet die Entscheidungsgrundlagen bezüglich Risikopolitik vor (Grundsätze und Ausgestaltung des internen Kontrollsystems sowie Bestimmung des Risikoprofils, der Risikotragfähigkeit und der Risikobereitschaft). Ferner beurteilt er die Gesamtrisikosituation der LUKB und überwacht die Angemessenheit der Risikopolitik und deren Umsetzung. Die Vorgaben der Risikopolitik werden durch den Risiko- und Strategieausschuss des Verwaltungsrates in entsprechenden Risiko-Subpolitiken weiter konkretisiert. Diese werden durch den Risiko- und Strategieausschuss des Verwaltungsrates periodisch überprüft – mindestens alle zwei Jahre – und bei Bedarf angepasst.

Der Prüfungs- und Finanzausschuss des Verwaltungsrates bildet sich ein eigenständiges Urteil über die interne Revision, die externe Prüfgesellschaft, das interne Kontrollsystem (IKS) und den Jahresabschluss. Er überwacht die Einhaltung der rechtlichen und regulatorischen Anforderungen.

Die Konzernleitung trägt die Verantwortung für die Umsetzung der Risikopolitik und der Risiko-Subpolitiken und damit für die Entwicklung adäquater Systeme und geeigneter Prozesse für die Identifikation, Messung und Beurteilung, Steuerung und Überwachung der durch den Konzern eingegangenen Risiken. Dies umfasst auch die Zuteilung der vom Verwaltungsrat genehmigten Risikolimiten an die einzelnen Geschäftsbereiche, die Delegation der entsprechenden Kompetenzen sowie die Konkretisierung der Aktivitäten der Funktion Risikokontrolle und der Compliance-Funktion. Die Konzernleitung vergewissert sich regelmässig über die Angemessenheit des internen Kontrollsystems und damit auch über die Effektivität des Risikomanagements.

Funktion Risikokontrolle

Die LUKB verfügt über eine zentral geführte, von den ertragsorientierten Geschäftsaktivitäten unabhängige Risiko-Funktion, die auch die Funktion Risikokontrolle ausübt. Sie ist zuständig für alle Risiken im Konzern und hat folgende Aufgaben:

Konzeption: Konzeption der Risikosystematik, der IKS-Massnahmen in den Prozessen bezüglich Methodik, Grundsätze und Anforderungen sowie der Risikotragfähigkeit, Risikobereitschaft und der Risikolimiten
Unabhängige Risikokontrolle: Kontrolle der Limiten gemäss Risikopolitik und zugehörigem Regelwerk; Abnahme der Steuerungsinstrumente und Risikomodelle sowie Risikobeurteilung zu Veränderungen der Bank zuhanden der Entscheidungsinstanz
Risikoreporting: Berichterstattung über die Risikosituation und Limiteneinhaltung gemäss Risikopolitik und zugehörigem Regelwerk

Die Risiko-Funktion ist direkt dem CEO unterstellt. Sie rapportiert quartalsweise mittels Risikoreport über alle Risikokategorien an die Konzernleitung, den Risiko- und Strategieausschuss des Verwaltungsrates und den Verwaltungsrat. Zu jeder Risikokategorie werden eine Risikobeurteilung und ein Vergleich der aktuellen Situation mit den dazugehörenden Limiten vorgenommen. Bei ausserordentlichen Ereignissen oder Limitenüberschreitungen erfolgt unverzüglich ein ausserordentliches Reporting (Exception-Report) an die zuständigen Kompetenzträger.

Compliance-Funktion

Die LUKB verfügt über eine zentral geführte, von den ertragsorientierten Geschäftsaktivitäten unabhängige Compliance-Funktion für den Konzern. Diese unterstützt die Konzernleitung und die Mitarbeitenden bei der Durchsetzung und Überwachung der Compliance. Die Compliance-Funktion identifiziert und beurteilt das Compliance-Risiko und berichtet über dessen Änderungen sowie über schwerwiegende Compliance-Verletzungen. Die Compliance-Funktion ist direkt dem CEO unterstellt. Sie rapportiert jährlich an die Konzernleitung, den Prüfungs- und Finanzausschuss des Verwaltungsrates und den Verwaltungsrat über ihre Tätigkeit in der vergangenen Berichtsperiode sowie über die Einschätzung des Compliance-Risikos. Bei ausserordentlichen Ereignissen erfolgt unverzüglich ein Exception-Report an die zuständigen Kompetenzträger.

Interne Revision

Die interne Revision ist dem Verwaltungsrat unterstellt. Der Verwaltungsrat genehmigt die risikoorientierte Jahresplanung und den jährlichen Tätigkeitsbericht der internen Revision. Der Prüfungs- und Finanzausschuss des Verwaltungsrates ist für die Führung der internen Revision zuständig. Die interne Revision prüft das IKS regelmässig. Die Prüfberichte der internen Revision werden im Prüfungs- und Finanzausschuss des Verwaltungsrates behandelt, der falls erforderlich neben den in den Berichten vorgesehenen Massnahmen zusätzliche Schritte veranlasst.

Internes Kontrollsystem (IKS)

Das in der Risikopolitik definierte IKS der LUKB umfasst alle Aufgaben und Prozesse, welche die Erreichung der geschäftspolitischen Ziele und den ordnungsgemässen Betrieb sicherstellen.

Das IKS der LUKB besteht aus drei Ebenen:

In einer ersten Linie stellt das IKS in allen Bankprozessen ein angemessenes Management der Risiken sicher, indem die Risiken systematisch identifiziert, gemessen, bewertet, gesteuert und kontrolliert werden.
In einer zweiten Linie kontrollieren die von den ertragsorientierten Geschäftsaktivitäten unabhängigen Funktionen Risikokontrolle und Compliance die Geschäftsprozesse.
In einer dritten Linie prüft die interne Revision das Institut.

Ausserhalb der eigentlichen Risikoorganisation der Bank prüft die Prüfgesellschaft das Institut.

Umgang mit den Risiken

Ausfallrisiken

Als Ausfallrisiko (Kreditrisiko) wird das Risiko eines finanziellen Verlustes bezeichnet, wenn eine Gegenpartei ihren vertraglich vereinbarten Verpflichtungen zeitweilig oder dauernd nicht nachkommen kann oder will. Ausfallrisiken können durch gegenparteispezifische Faktoren, Störungen des Erfüllungsprozesses (Erfüllungsrisiko, beispielsweise Settlement-Risiko bei Devisentransaktionen) oder auch wirtschaftliche und politische Schwierigkeiten eines Landes (Länderrisiko) hervorgerufen werden.

Ausfallrisiken bestehen sowohl im eigentlichen Kreditgeschäft (Ausleihungen, feste Kreditzusagen und Eventualverbindlichkeiten) wie auch im Interbank- und Handelsgeschäft (Derivate wie Termingeschäfte, Optionen und Swaps, Finanzanlagen sowie Repo-Transaktionen).

Methodik und Instrumente

Die Grundlage für das Kreditgeschäft bilden die vom Risiko- und Strategieausschuss des Verwaltungsrates verabschiedeten und bei Bedarf (mindestens alle zwei Jahre) zu überprüfenden Risiko-Subpolitiken Nicht-Banken, Banken und Länder sowie zugehörige präzisierende Weisungen. Darin sind die Zielkundensegmente, die wesentlichen Produkte und deren Grundsätze, der Kreditbewilligungs- und Kreditüberwachungsprozess, Standards und Restriktionen sowie Limiten für eingegangene Positionen und die angewendeten Ratings (bei kommerziellen Kunden, Banken und Ländern) festgehalten.

Ausfallrisiken bei den Kundenausleihungen

Bei allen Geschäften ist die Bewilligungsinstanz durch die Kompetenzregelung für das Kreditgeschäft bestimmt. Abhängig von der Struktur des Geschäfts können gewisse Kredite direkt innerhalb des Marktbereiches (z. B. Kundenberater) bewilligt werden. Diese Geschäfte werden im Sinne der Risikoeinhaltungs- und Kompetenzkontrolle nachträglich durch das zentrale Kreditrisikomanagement mittels Stichproben geprüft (Second Opinion). Alle übrigen Kreditgeschäfte werden erst nach Prüfung durch das zentrale Kreditrisikomanagement bewilligt bzw. das Kreditrisikomanagement bereitet die Kreditgeschäfte zur Bewilligung für den Kompetenzträger auf (z. B. für den aus den Departementsleitern bestehenden Kreditausschuss).

Die von den Kundenberatern und dem Kreditrisikomanagement unabhängige zentrale Kreditproduktion ist für die korrekte Datenerfassung, die Kontrolle der Sicherheiten und Verträge, die Limitenaussetzung sowie die Schlusskontrolle der Limitenverfügbarkeit und die Auszahlung zuständig. Sie stellt damit sicher, dass die Kreditabwicklung auch mit den Vorgaben der Kreditbewilligung übereinstimmt.

Buchführungspflichtige Unternehmen werden zusätzlich einem Ratingprozess durch das System CreditMaster (RSN Risk Solution Network AG) unterzogen. Bei grossen Unternehmen werden die Finanzkennzahlen mit qualitativen Einschätzungen zu Strategie und Führung ergänzt. Es stehen fünf Ratingsysteme zur Verfügung, für grosse Unternehmen (Produktion sowie Handel / Dienstleistung), für kleine Unternehmen (Produktion sowie Handel / Dienstleistung) und eines für Immobiliengesellschaften. Zur Risikobeurteilung und -früherkennung wird bei kommerziellen Kunden das Kundenrating periodisch aufgrund der einzureichenden Jahresrechnung aktualisiert und beurteilt.

Überfällige, gefährdete oder notleidende Forderungen werden durch Fachspezialisten des Bereichs Spezialfinanzierungen (mit-)betreut. Ziel ist es, das Ausfallrisiko zu minimieren. Kreditgeschäfte ausserhalb der üblichen Norm (Exception-to-Policy-Transaktionen) erfordern im Rahmen des Bewilligungsprozesses eine erhöhte Aufmerksamkeit und eine spezielle Kompetenzregelung. Die Konzernleitung und der Risiko- und Strategieausschuss des Verwaltungsrates erhalten quartalsweise ein entsprechendes Reporting über das Neugeschäft. Als Exception to Policy (EtP) werden unter anderem Kredite verstanden, bei denen eine oder mehrere der folgenden Vorgaben bei Kreditvergabe nicht eingehalten werden:

Belehnung ausserhalb definierter Grenzwerte (z. B. Renditeliegenschaften Wohnbau > 75 %, Bauland > 60 %)
Tragbarkeit ausserhalb definierter Grenzwerte (z. B. Eigenheimfinanzierungen: kalkulatorische Kosten übersteigen 34 % bis 40 % des Nettoeinkommens [je nach Höhe des Nettoeinkommens])
Amortisationen liegen unter der definierten Sollvorgabe gemäss Risiko-Subpolitik Nicht-Banken. Dabei wird jeweils die einzelne Immobilie betrachtet, auch wenn bei einer Portfolio-Betrachtung keine Amortisation notwendig wäre.

Ausfallrisiken im Interbankengeschäft

Im Interbankengeschäft wird zur Bewirtschaftung der Gegenparteirisiken ein mehrstufiges, systemunterstütztes Limitensystem eingesetzt, welches Delkredere- und Settlement-Risiken unterscheidet. Die Limitenhöhe hängt grundsätzlich vom Rating der Gegenpartei und deren Eigenkapitalausstattung ab. Das Limitensystem ist derart aufgebaut, dass einer adäquaten Diversifikation der Gegenparteien Rechnung getragen wird. In Abhängigkeit der Risikosituation der Gegenpartei und der Marktsituation werden Interbankengeschäfte punktuell gegen Besicherung (Repo) abgewickelt. Zudem werden mit den Gegenparteien im Rahmen der ISDA-Verträge Vereinbarungen über Besicherungen (Credit Support Annex – CSA) abgeschlossen. Die Einhaltung der Limiten wird täglich kontrolliert.

Länderrisiken

Die Auslandexposures umfassen alle Aktiven mit Risikodomizil Ausland zum Buchwert bzw. bei Derivaten zum Wiederbeschaffungswert zuzüglich Add-on. Basierend auf Länderratings erfolgt die Bewirtschaftung mittels eines mehrstufigen, einer adäquaten Diversifikation Rechnung tragenden Limitensystems. Die Einhaltung der Limiten wird monatlich kontrolliert.

Marktrisiken

Mit dem Marktrisiko wird das Verlustpotenzial bezeichnet, das auf ungünstige Veränderungen von Zinssätzen, Aktienpreisen, Devisen- und Kryptowährungskursen und Immobilienpreisen sowie anderen relevanten Marktparametern wie Volatilitäten zurückzuführen ist. Marktrisiken sind sowohl im Banken- als auch im Handelsbuch vorhanden.

Methodik und Instrumente

Die Steuerung der Marktrisiken erfolgt über die Modified Duration des Barwerts des Eigenkapitals (Bankenbuch), Value-at-Risk-Limiten (Banken- und Handelsbuch) und weitere Limiten. Diese werden durch periodisch vorgenommene Szenarioanalysen und Stresstests ergänzt.

Die Grundlagen für die Bewirtschaftung des Marktrisikos bilden im Wesentlichen die vom Risiko- und Strategieausschuss des Verwaltungsrates verabschiedeten und bei Bedarf (mindestens aber alle zwei Jahre) zu überprüfenden Risiko-Subpolitiken Asset & Liability Management und Handel sowie zugehörige präzisierende Weisungen.

Marktrisiken im Bankenbuch

Aufgrund der starken Positionierung der LUKB im Zinsdifferenzgeschäft stellt das Zinsänderungsrisiko ein wesentliches Risiko dar. Dabei können Zinsänderungsrisiken aufgrund zeitlicher Inkongruenzen der Zinsbindung oder der Zinsneufestsetzung von Aktiven, Passiven und ausserbilanziellen Positionen (Zinsneufestsetzungsrisiko) oder aus Bilanzstrukturveränderungen sowie bei Veränderungen der Zinssätze für Instrumente, die zwar eine ähnliche Laufzeit aufweisen, aber auf Basis unterschiedlicher Zinssätze bewertet werden (Basisrisiko), entstehen. Die Steuerung des Zinsänderungsrisikos erfolgt durch das aus den Departementsleitern bestehende Asset & Liability Committee (ALCO) auf Antrag des ALCO-Vorbereitungsgremiums. Monatlich werden im Rahmen der Überwachung durch den Bereich Finanzen die Zinsrisiko-Messgrössen sowie die Beanspruchung der definierten Limiten ermittelt und von der unabhängigen Risiko-Funktion überprüft. Dabei werden kündbare oder auf Sicht fällige Positionen mittels eines jährlich zu überprüfenden Replikationsmodells in den einzelnen Kenngrössen berücksichtigt. Ergänzend erfolgt quartalsweise eine dynamische Analyse des Einkommenseffektes basierend auf verschiedenen Szenarien. Die Resultate regelmässig vorgenommener Stresstests runden die Entscheidungsgrundlagen zur Steuerung des Zinsänderungsrisikos ab. Zur Steuerung und Absicherung von Zinsänderungsrisiken werden im Rahmen des Asset & Liability Managements zusätzlich derivative Finanzinstrumente eingesetzt. Für weiterführende Informationen zum Management der Zinsrisiken verweisen wir auf das Kapitel «Zinsrisiken des Bankenbuchs» im Offenlegungsbericht 2025.

Neben dem Zinsänderungsrisiko sind auf dem Bankenbuch weitere Marktrisiken zu bewirtschaften. Das Fremdwährungsrisiko von Bilanzpositionen im Bankenbuch gehört zum Handelsbuch und wird über die Value-at-Risk-Limiten des Handelsbuchs begrenzt (siehe im nachfolgenden Kapitel «Marktrisiken im Handelsbuch»). Mittels Limitensystem (Positions- und Verlustlimiten sowie Risikospreadlimiten) werden die aus den Finanzanlagen und Immobilien hervorgehenden Risiken gesteuert. Die Finanzanlagen umfassen grösstenteils kotierte, an anerkannten Märkten gehandelte Titel in guter Qualität. Der überwiegende Teil betrifft Zinspapiere (siehe Kapitel 8.5 «Finanzanlagen»).

Marktrisiken im Handelsbuch

Die LUKB führt ein Handelsbuch mit Beständen an Wertschriften, Devisen, Kryptowährungen, Zinspapieren und den jeweiligen Derivaten, die den Kursschwankungen bzw. deren Volatilitäten ausgesetzt sind. Integralen Bestandteil des Handelsbuchs bilden auch die Derivatkomponenten und die entsprechenden Absicherungsgeschäfte der von der LUKB emittierten Strukturierten Produkte. Zudem wird das Fremdwährungsrisiko von Bilanzpositionen im Bankenbuch über das Handelsbuch bewirtschaftet.

Die Steuerung der Marktrisiken des Handelsbuchs erfolgt in den Organisationseinheiten Trading & Treasury Services sowie Trading Strukturierte Produkte, während die Überwachung der Limiten durch die unabhängige Risiko-Funktion vorgenommen wird. Die Limiten werden täglich auf deren Einhaltung überprüft. Neben Volumen- und Sensitivitätslimiten gelangen Value-at-Risk-Limiten auf Stufe Gesamthandel und auf Stufe einzelner Handelsdesks (Wertschriften- und Geldhandel, Devisenhandel und Strukturierte Produkte) auf einem Konfidenzniveau von 99 % mit einer Haltedauer von einem Tag zur Anwendung. Mit einem täglichen Backtesting wird die Prognosegüte des Value-at-Risk-Modells überprüft.

Liquiditätsrisiken

Unter Liquiditätsrisiko wird die Gefahr verstanden, dass die Bank ihre Aktiven (und Erhöhungen derselben) oder Verpflichtungen nicht zu marktgängigen Bedingungen refinanzieren oder erfüllen kann. Liquiditätsrisiken können sich für die Bank durch unerwartete Ereignisse ergeben. Beispiele sind unplanmässige Inanspruchnahme von Kreditlimiten seitens der Kunden, Abflüsse von Kundengeldern sowie die Streichung von Refinanzierungslimiten durch Gegenparteien.

Methodik und Instrumente

Die Steuerung der Liquiditätsrisiken erfolgt im Rahmen des Asset & Liability Management (ALM). Die Grundlagen für die Bewirtschaftung des Liquiditätsrisikos bilden im Wesentlichen die vom Risiko- und Strategieausschuss des Verwaltungsrates verabschiedete und bei Bedarf (mindestens aber alle zwei Jahre) zu überprüfende Risiko-Subpolitik ALM und interne Weisungen. Während die kurzfristige Steuerung der Liquidität am Geldmarkt dem Handel obliegt, wird die langfristige Refinanzierung im Treasury vorgenommen.

Der Bereich Finanzen ermittelt periodisch die Ausnutzung der vom Verwaltungsrat vorgegebenen Limiten und Zielwerte zur Liquiditätssteuerung betreffend Liquidity Coverage Ratio und Net Stable Funding Ratio sowie weiterer Liquiditätsrisiko-Kenngrössen und rapportiert diese an das ALCO-Vorbereitungsgremium, das ALCO, den Handel und die unabhängige Risiko-Funktion. Die unabhängige Risiko-Funktion überprüft die Informationen und nimmt die Berichterstattung an die Konzernleitung, den Risiko- und Strategieausschuss des Verwaltungsrates und den Verwaltungsrat im Rahmen des quartalsweisen Risikoreports vor. Zudem führt die Risiko-Funktion zusammen mit dem Bereich Finanzen periodisch Liquiditätsstresstests durch. Für unerwartete Liquiditätsereignisse besteht ein Notfallplan.

Kurzfristige und strukturelle Liquidität

Durch eine vorsichtige Liquiditätsbewirtschaftung strebt die LUKB eine solide Liquiditätsposition an, um ihre Zahlungsverpflichtungen jederzeit rechtzeitig erfüllen zu können. Bezüglich Entwicklung der Quote für kurzfristige Liquidität (Liquidity Coverage Ratio [LCR]) sowie der Finanzierungsquote (Net Stable Funding Ratio [NSFR]) verweisen wir auf den Offenlegungsbericht 2025 (siehe Kapitel «LIQ1: Informationen zur Quote für kurzfristige Liquidität (Liquidity Coverage Ratio, LCR)» und «LIQ2: Informationen zur Finanzierungsquote (Net Stable Funding Ratio, NSFR)»).

In Ergänzung zu den erwähnten regulatorischen Mindestanforderungen wird das Liquiditätsrisiko über interne Limiten und Zielwerte gesteuert.

Operationelle Risiken

Ein operationelles Risiko ist die Gefahr von finanziellen Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Prozessen oder Systemen, des unangemessenen Handelns von Mitarbeitenden, durch diese begangener Fehler oder infolge von externen Ereignissen eintreten.

Methodik und Instrumente

Die vom Risiko- und Strategieausschuss des Verwaltungsrates bei Bedarf (mindestens aber alle zwei Jahre) zu überprüfende Subpolitik operationelle Risiken sowie zugehörige Weisungen bilden im Wesentlichen die Grundlage zur Bewirtschaftung der operationellen Risiken.

Die operationellen Risiken werden mittels einer durch die Risiko-Funktion mit den Prozessverantwortlichen durchgeführten strukturierten Selbstdiagnose identifiziert und quantifiziert. Dabei erfolgt eine Klassierung nach den Verlustereigniskategorien gemäss Rahmenwerk des Basel Committee on Banking Supervision bzw. der FINMA. Zur Messung der Risiken sind das potenzielle Schadensausmass sowohl im Normalfall (95 % der möglichen Risiken, die bei normalem Geschäftsgang eintreten können) wie auch bei Eintreten von Extremfällen (Risiken mit einem sehr hohen Schadenspotenzial und einem wenig wahrscheinlichen Ereigniseintritt) zu ermitteln. Ergänzend führt die Risiko-Funktion eine Schadenfalldatenbank über eingetretene Verluste.

Zur Risikosteuerung werden die möglichen Verlustereignisse in vier verschiedene Risikozonen aufgeteilt. Auf Basis dieser Risikoeinschätzung werden anschliessend stufengerechte Massnahmen zur Eindämmung der identifizierten Verlustpotenziale definiert.

Die Kompetenz zur Genehmigung der operationellen Risiken und deren Steuerungsmassnahmen ergibt sich gemäss Subpolitik operationelle Risiken aus der Risikoeinschätzung und liegt in Abhängigkeit der Risikozone bei den Prozessverantwortlichen, der Konzernleitung oder dem Verwaltungsrat.

Das Management der operationellen Risiken und die Dokumentation der Risiken und des IKS erfolgt in einem spezialisierten GRC-Tool, welches in der Verantwortung der Risiko-Funktion liegt. Die Kontrollmeldungen der inventarisierten nachgelagerten Kontrollen durch die Kontrolldurchführungsverantwortlichen erfolgt ebenfalls direkt über das GRC-Tool zu Handen der Risiko-Funktion.

Die Risiko-Funktion rapportiert quartalsweise im Rahmen des Risikoreports über die operationellen Risiken an die Konzernleitung, den Risiko- und Strategieausschuss des Verwaltungsrates und den Verwaltungsrat. Dies umfasst neben der Entwicklung der operationellen Risiken insbesondere auch eingetretene Schäden und Vorfälle, eine zusammenfassende Berichterstattung bezüglich der nachgelagerten Kontrollaktivitäten und Schlüsselkontrollen sowie weiterer spezifischer Aspekte im Management der operationellen Risiken wie beispielsweise Massnahmen in den Bereichen BCM, operationelle Resilienz, Cyberrisiken oder Modellrisikomanagement.

Zusätzlich legt die Risiko-Funktion jährlich sämtliche identifizierten Risiken im Rahmen der strukturierten Selbstdiagnose in einem Reporting über die operationellen Risiken den entsprechenden Kompetenzträgern zur Genehmigung vor.

Verfahren, Prozesse und Personen

Die LUKB unternimmt grosse Anstrengungen, risikoreduzierende Massnahmen in den Bereichen Prozess- und Qualitätsmanagement, Informationssicherheit und interne Kontrollen zu implementieren. Zu diesem Zweck wird unter anderem ein hohes Risikobewusstsein auf allen Stufen gefördert, und die Mitarbeitenden der LUKB werden zielgerichtet aus- und weitergebildet. Zusätzlich wird die Überprüfung aller risikorelevanten Aspekte vor Einführung neuer Produkte und Dienstleistungen sichergestellt, der Ausbau eines effizienten Frühwarnsystems gefördert und die Gewährleistung eines reibungslosen operativen Geschäftsbetriebs – auch im Fall von Infrastrukturausfällen und Katastrophen – sichergestellt. Zudem befassen sich Spezialisten der unabhängigen Risiko-Funktion sowohl mit der ICT-Sicherheit als auch mit dem Gebäude- und Personenschutz (physische Sicherheit).

Business Continuity Management

Das Business Continuity Management (BCM) bezeichnet den institutsweiten Ansatz, um im Falle einer über das Vorfallmanagement hinausgehenden, bedeutenden Störung oder Unterbrechung den Betrieb der kritischen Prozesse wiederherzustellen. Es definiert die Reaktion auf bedeutende Störungen oder Unterbrechungen.

Mittels einer jährlichen Business-Impact-Analyse werden die Kritikalität der Geschäftsprozesse sowie deren ihr zugrunde liegenden kritischen Ressourcen (Einrichtungen, Personal, ICT, Informationen, Externe) identifiziert. Basierend darauf werden für kritische Prozesse entsprechende Business-Continuity-Pläne (BCP) erstellt, welche die notwendigen Vorgehensweisen, Wiederherstellungsoptionen und Ersatzressourcen zur Sicherstellung der Kontinuität und zur Wiederherstellung der kritischen Prozesse festlegen. Die BCP sind in einem Krisen- und BCP-Handbuch dokumentiert.

Das BCM wird jährlich auf seine Funktionalität getestet und im Fall von identifizierten Mängeln verbessert.

Operationelle Resilienz

Operationelle Resilienz bezeichnet die Fähigkeit der Bank, ihre kritischen Funktionen bei Unterbrechungen innerhalb der Unterbrechungstoleranz wiederherstellen zu können. Das heisst, die Fähigkeit der LUKB, interne oder externe Gefahren und mögliche Ausfälle zu identifizieren, sich davor zu schützen und darauf zu reagieren, bei Unterbrechungen den ordentlichen Geschäftsbetrieb wiederherzustellen und daraus zu lernen, um die Auswirkungen von Unterbrechungen auf die Erbringung der kritischen Funktionen zu minimieren.

Die unabhängige Risiko-Funktion führt ein Inventar über die kritischen Funktionen der Bank und deren Unterbrechungstoleranzen sowie die Verbindungen und Abhängigkeiten zwischen den benötigten kritischen Prozessen und deren Ressourcen zur Erbringung der kritischen Funktionen. Die Einhaltung der definierten Unterbrechungstoleranzen wird regelmässig mittels szenariobasierter Tests und Übungen getestet. Dabei identifizierte Schwachstellen sind zu beurteilen und nach Möglichkeit durch zusätzliche Verbesserungsmassnahmen zu beheben.

Der Verwaltungsrat genehmigt jährlich die identifizierten kritischen Funktionen und deren Unterbrechungstoleranzen. Zudem genehmigt und überwacht er das Vorgehen zur Sicherstellung der operationellen Resilienz mittels einer jährlichen Berichterstattung zur operationellen Resilienz durch die unabhängige Risiko-Funktion.

Compliance-Risiken

Als Compliance-Risiko gilt die Gefahr von Verstössen gegen gesetzliche, regulatorische und interne Vorschriften, marktübliche Standards und Standesregeln sowie von entsprechenden rechtlichen und regulatorischen Sanktionen und finanziellen Schäden. Die Umsetzung von Compliance gehört zu den Führungsaufgaben aller Vorgesetzten. Die zentrale Compliance-Funktion unterstützt die Konzernleitung und die Mitarbeitenden bei dieser Aufgabe.

Der Verwaltungsrat legt im Rahmen der Risikopolitik die konzernweite Compliance-Organisation und die Compliance-Risikopolitik fest. Der Prüfungs- und Finanzausschuss des Verwaltungsrates beurteilt und überwacht die Funktionsfähigkeit und Zweckmässigkeit der Compliance-Organisation und des Compliance-Risikomanagements.

Die LUKB ist im Rahmen der ordentlichen Geschäftstätigkeit in einzelne Rechtsstreitigkeiten und Gerichtsverfahren involviert. Für diese Fälle werden adäquate Rückstellungen vorgenommen. Die bankinterne Bearbeitung aller Rechtsfälle erfolgt durch den zentralen Rechtsdienst.

Strategierisiken

Die strategischen Ziele und Ausrichtungen werden durch den Verwaltungsrat vorgegeben. Unter einem Strategierisiko wird die Gefahr verstanden,

den Strategieprozess nicht oder nicht strukturiert anzugehen,
eine falsche Strategie zu verfolgen oder
die definierte Strategie nicht umsetzen zu können.

Strategierisiken werden durch eine periodische Überprüfung der Strategie im Rahmen der rollenden Unternehmensplanung und anhand entsprechender in der Strategie definierter Schlüsselkennzahlen (KPI) überwacht. Die unabhängige Risiko-Funktion rapportiert über die Strategierisiken im Rahmen ihres quartalsweisen Risikoreports an die Konzernleitung, den Risiko- und Strategieausschuss des Verwaltungsrates und den Verwaltungsrat.

Reputationsrisiken

Unter einem Reputationsrisiko wird die Gefahr verstanden, dass das wahrgenommene Verhalten der LUKB nicht den Erwartungen der Stakeholder entspricht und daraus ein Verlust entsteht. Das Reputationsrisiko wird quartalsweise identifiziert und beurteilt. Bei Bedarf werden risikoreduzierende Massnahmen definiert und deren Umsetzung kontrolliert. Die vorangehend erwähnten Risikomanagement- und -kontrollmechanismen dienen dem Schutz vor Reputationsverlusten. Wesentliche Elemente sind dabei insbesondere:

die konsequente Umsetzung des Leitbilds,
ein Geschäftsgebaren, das keine Schädigung des guten Rufs zur Folge hat, sowie
eine offene interne und externe Kommunikation.

Die unabhängige Risiko-Funktion rapportiert über die Reputationsrisiken im Rahmen ihres quartalsweisen Risikoreports an die Konzernleitung, den Risiko- und Strategieausschuss des Verwaltungsrates und den Verwaltungsrat.

Stresstesting

Zusätzlich zu den oben beschriebenen Methoden und Instrumenten zum Umgang mit den Risiken führt die LUKB unter Leitung der unabhängigen Risiko-Funktion periodisch Gesamtbankstresstests durch. Mittels Szenarioanalysen werden die Auswirkungen der Änderung verschiedener makroökonomischer Faktoren ermittelt. Dabei wird über einen Zeitraum von fünf bis zehn Jahren die Entwicklung von Bilanz und Erfolgsrechnung sowie der wichtigsten Finanzkennzahlen simuliert. Die Resultate der Gesamtbankstresstests werden unter anderem bei der Kapitalplanung berücksichtigt.

Auf Basis der Gesamtbankstresstests wird zusätzlich über einen Zeitraum von acht Quartalen ein Liquiditätsstresstest durchgeführt. Ergänzend werden Intraday-Stressanalysen durchgeführt.

Die Resultate des Stresstestings werden durch die unabhängige Risiko-Funktion jährlich an die Konzernleitung, den Risiko- und Strategieausschuss des Verwaltungsrates und den Verwaltungsrat rapportiert.