Cómo los bancos pueden por fin hacer bien la gestión de riesgos

por James C. Lam

SVB fue un cuento con moraleja.

• • •

Aquí vamos de nuevo. Los bancos deberían tener la mejor gestión de riesgos. Pero las salvaguardias existentes no impidieron que Silicon Valley Bank quebrara, destruyera más de 40 000 millones de dólares en valor accionarial y obligara a una intervención gubernamental sin precedentes para proteger a los depositantes. 

Los bancos utilizan el modelo de «tres líneas de defensa» para la gestión de riesgos y la gobernanza. La primera línea representa a los responsables de la toma de decisiones. En SVB, esto incluiría al tesorero, el director CFO y el CEO, quienes, inexplicablemente, decidieron asumir el riesgo de duración de la apuesta al banco para ganar medio por ciento adicional en rendimiento. Invirtieron en bonos del Tesoro y valores respaldados por hipotecas a largo plazo para aumentar los beneficios, pero eso creó un importante desajuste de duración y liquidez con los depósitos del Banco. 

La segunda línea de defensa, dirigida por el director de riesgos (CRO), proporciona la supervisión corporativa y la supervisión continua para garantizar que las exposiciones al riesgo se encuentran dentro de los límites de riesgo prudentes. La auditoría interna representa la tercera línea de defensa, responsable de garantizar la eficacia de los controles internos. En última instancia, el consejo de administración del SVB es responsable de la seguridad y la solidez del Banco en general. Cualquiera de estas funciones de gestión de riesgos y supervisión podría haber evitado, y debería haber evitado el colapso de SVB. Pero todos quebraron, lo que provocó la primera corrida bancaria de la era digital y la segunda mayor quiebra bancaria de la historia de los Estados Unidos. 

Como antiguo CRO que ha formado parte de consejos corporativos públicos y privados, incluso como presidente de los comités de riesgo y auditoría, me decepciona y entristece lo que parece un desastre evitable. Qué salió mal, cuáles son algunas preguntas abiertas y ¿cómo podemos hacerlo mejor? 

En primer lugar, los bancos necesitan un CRO empoderado que no solo tenga las habilidades y los recursos adecuados, sino también la independencia y la autoridad suficientes. SVB no tuvo un CRO a tiempo completo durante la mayor parte de 2022, un período crítico en el que se acumularon las enormes pérdidas de inversión. El anterior jefe de riesgos renunció en abril de 2022 y se nombró uno nuevo en enero de 2023. ¿Quién estuvo a cargo de la gestión de riesgos durante ocho meses? 

En segundo lugar, los bancos necesitan un comité de riesgos del consejo de administración que pueda desempeñar funciones de supervisión esenciales, como fijar el apetito por el riesgo, revisar los informes y garantizar el cumplimiento. La junta del SVB tenía seis comités, pero su comité de riesgos fue el único sin presidente en 2022. Además, ninguno de los miembros del comité de riesgos tenía una amplia experiencia en gestión de riesgos. Son las mismas críticas que recibió JP Morgan con el incidente de «London Whale». Si bien un experto financiero del comité de auditoría debe cumplir requisitos específicos, no existen esos criterios para los directores que forman parte de los comités de riesgos. La experiencia relevante puede incluir trabajar como CRO, director de crédito, director de cumplimiento o equivalente. Durante un período crítico, el SVB no tuvo un presidente de CRO ni de un comité de riesgos. Los reguladores exigen que los bancos con más de 50 000 millones de dólares en activos tengan un CRO y un comité de riesgos en el consejo de administración. SVB tenía más de 200 000 millones de $ en activos. ¿Qué pasó con su estructura de gestión de riesgos? 

En tercer lugar, los bancos deben utilizar modelos analíticos para evaluar todo tipo de riesgos estratégicos, financieros y operativos y responder en consecuencia. En SVB, estos modelos habrían levantado señales de alerta sobre los riesgos estratégicos del Banco debido a su modelo de negocio concentrado y su base de depósitos. Estos modelos también habrían cuantificado los enormes desajustes entre activos y pasivos tanto en la duración como en la liquidez. Por ejemplo, a finales de 2021, el modelo de riesgo del SVB mostraba que, con un aumento de 200 puntos básicos en los tipos, el Banco sufriría una caída de 5 700 millones de $ en el valor económico del capital. Esta métrica de riesgo clave aumentó un 332% con respecto al año anterior. La Reserva Federal subió los tipos 425 puntos básicos en 2022 y las pérdidas de inversión de SVB acabaron con sus 15 000 millones de $ en acciones tangibles. Se podría argumentar que nadie esperaba que los tipos aumentaran tan rápido. Sin embargo, dado que la Reserva Federal señalaba en repetidas ocasiones su política de aumentar los tipos para luchar contra la inflación, SVB mantuvo un perfil de riesgo que era atípico entre los bancos. ¿Cuál era el apetito de riesgo del Banco por los riesgos estratégicos y financieros? 

En cuarto lugar, el SVB tenía la obligación de proporcionar información pública sobre los riesgos. En cuanto al riesgo de mercado, que incluye el riesgo de tipo de interés, la sección clave es el punto 7A del informe anual de 10.000. La partida 7A proporciona información sobre cómo los cambios de tipos afectarían a los ingresos netos por intereses y al valor económico del capital. En el informe 10.000 de 2021 del SVB, esta sección mostraba que el aumento de los tipos beneficiaría a las ganancias pero perjudicaría al capital (es decir, ganancias a corto plazo, problemas a largo plazo). Sorprendentemente, en el informe 10-K de 2022, el Banco solo mostró que el aumento de los tipos beneficiaría las ganancias. Pero se excluyó el análisis cuantitativo de cómo afectarían los tipos a la renta variable. ¿Por qué el comité de auditoría y el auditor externo aprobaron la omisión sobre la sensibilidad del capital? 

Por último, los responsables políticos deben hacer que los bancos rindan cuentas por el cumplimiento de los requisitos reglamentarios. El SVB estaba regulado por la Reserva Federal, la FDIC, la SEC, la CFPB y otras agencias. Tras la crisis financiera mundial de 2008 y la aplicación de la ley Dodd-Frank, estas agencias establecieron requisitos estrictos para el gobierno de los consejos de administración, la gestión de riesgos, la adecuación del capital, la cobertura de liquidez y las pruebas de resistencia. Si bien los requisitos de las pruebas de resistencia se anularon para los bancos medianos en una ley de 2018, la Reserva Federal seguía teniendo derecho a aplicarlos a cualquier banco con más de 100 000 millones de dólares en activos. ¿Qué dice el repentino colapso del SVB sobre la idoneidad de la regulación y la supervisión bancarias?

Si bien aún hay mucha incertidumbre en torno a qué le pasó exactamente al SVB y por qué, al menos sabemos las preguntas correctas que hay que hacer. Es probable que estas preguntas subrayen la importancia de contar con un CRO sólido e independiente, directores cualificados en los comités de riesgo, estrategias claras de mitigación y apetito por el riesgo, una divulgación de riesgos adecuada y una supervisión reglamentaria eficaz. A medida que estas preguntas se respondan mediante la autopsia del SVB, la pregunta que deberían hacerse otros bancos es si prefieren que se planteen estas preguntas durante las reuniones internas del consejo de administración y la dirección o durante autopsias similares. 

_