Dejar atrás la simple comprobación: un mejor camino para la gestión de riesgos bancarios

En el sector bancario, la gestión de riesgos a menudo puede hacer mucho hincapié en la gestión de los riesgos asumidos por las actividades de inversión, con mucha menos importancia en unas prácticas de gobierno, riesgo y cumplimiento (GRC) integrales. Los programas de GRC están muy extendidos, pero muchos se detienen en los requisitos mínimos. Hacen lo justo para evitar problemas de cumplimiento y auditoría, pero invierten poco en una gestión sólida del riesgo operativo.

A los bancos no les faltan recursos ni marcos para el riesgo. Lo que falta es perspectiva: una comprensión compartida del riesgo, no solo como una necesidad de cumplimiento, sino también como una fuerza central en la configuración de las decisiones empresariales.

La gestión de riesgos bancarios más allá de la teoría de la cartera

Muchos bancos todavía conceptualizan el riesgo únicamente como el dial de la asunción de riesgos financieros que pueden ajustar hacia arriba o hacia abajo en función de las condiciones del mercado.

Cuando el riesgo permanece vinculado únicamente a las ganancias, se gestiona principalmente a través de lentes financieras, como su relación con la exposición al crédito y las reservas de capital. Este encuadre da la impresión errónea de que todos los riesgos importantes para un banco pueden decidirse y controlarse abiertamente. Solo se le da una importancia superficial a los riesgos como la fragilidad operativa o la exposición a terceros. Un modelo de riesgo que prioriza las ganancias podría no tener en cuenta la fragilidad operativa o la exposición a terceros, entre otras amenazas.

Ahí es donde debería comenzar una cultura orientada al riesgo: identificando cómo los riesgos no financieros repercuten en el rendimiento empresarial. A menos que el liderazgo en materia de riesgos desempeñe un papel central en la planificación empresarial, ese cambio cultural no puede ocurrir.

El papel cambiante del CRO

La crisis bancaria regional de 2023 dio al director de riesgos (CRO) una mayor visibilidad estratégica. Tras las consecuencias, el 84% de los CRO de los bancos estadounidenses informan ahora de que participan activamente en la estrategia, lo que supone un cambio notable. Sin embargo, ese impulso podría estancarse fácilmente. Tradicionalmente, los CRO han sido relegados a la auditoría y el cumplimiento, pero no siempre se les ha incorporado a la planificación del capital o a la estrategia de producto. Las instituciones tendrán que permanecer atentas para garantizar que esta evolución sea permanente.

Un GRC que piensa en el futuro

En muchos bancos, el GRC desempeña un papel relativamente limitado, centrado principalmente en las pistas de auditoría en lugar de en la información. Esto conduce a una ejecución limitada: revisiones trimestrales de riesgos, pruebas de control y formación en materia de cumplimiento. Estas son actividades necesarias, pero rara vez se conectan con preguntas estratégicas, como: ¿Qué apuestas estratégicas está haciendo? ¿Qué podría socavarlas? ¿Quién es responsable?

Un GRC que se limita a marcar casillas proporciona una ilusión de seguridad. Una gestión de riesgos bancarios madura proporciona contexto y previsión, y también desafía las suposiciones.

Silicon Valley Bank: una quiebra en el ERM

El colapso de Silicon Valley Bank (SVB) en 2023 no fue un evento imprevisible; provino de la propia supervisión fragmentada del banco. Los problemas del banco (una base de depósitos concentrada en el sector tecnológico, valores de larga duración y una creciente exposición a los tipos de interés) eran todos identificables. Sin embargo, la función de riesgo operaba en silos. El puesto de CRO estuvo vacante durante ocho meses en un momento crucial para los tipos de interés. La modelización estaba desconectada en toda la tesorería, la liquidez y el comportamiento de los depositantes. Nadie estaba sintetizando las señales. Se pasaron por alto o se ignoraron las advertencias internas, y las estructuras formales carecían de integración y escalamiento.

La débil gestión de riesgos empresariales (ERM) de SVB es una advertencia para muchas empresas. El banco tenía estructuras formales de gestión de riesgos, pero no estaban integradas en toda la organización. Según Strategic Risk Global, solo el 32% de las organizaciones consideran que su ERM es “maduro” o “sólido”.

La cultura de riesgo reactiva de SVB dejó a los líderes con poco margen de maniobra para responder cuando los problemas de liquidez desencadenaron una corrida bancaria. Si bien una cultura de riesgo proactiva puede no haber eliminado por completo las exposiciones de SVB, podría haber impulsado una cobertura más temprana, una diversificación más agresiva o una reevaluación de las suposiciones de liquidez antes de que el pánico ya se hubiera instalado.

¿Cómo es un ERM maduro?

SVB mostró lo que sucede cuando el ERM es reactivo y está aislado, pero ¿cómo es en la práctica una gestión de riesgos bancarios madura? Un ERM maduro se define por lo bien que la inteligencia de riesgos da forma a las decisiones. Por lo tanto, en el núcleo de un modelo maduro:

  • El CRO es un asesor estratégico. Se les da plena visibilidad y suficiente independencia para ser honestos.
  • Las funciones de auditoría independientes son sólidas. Son capaces de desafiar las decisiones y escalar las preocupaciones.
  • El riesgo vive dentro del negocio. Es parte del desarrollo de productos, la planificación del crecimiento y la toma de decisiones.

El CRO debe apoyar el crecimiento, pero no a costa de la independencia. Una segunda línea fuerte y un equipo de auditoría preservan ese equilibrio y evitan conflictos de intereses.

Culturalmente, la madurez comienza con la forma en que se enmarca el riesgo. No se trata de evitar las malas noticias, sino de sacarlas a la luz de forma temprana. Eso sucede cuando:

  • Los equipos de riesgo se incorporan en la etapa de diseño, no solo en las aprobaciones.
  • La transparencia se recompensa por encima de las apariencias.
  • El disenso se considera diligencia.

Un ERM maduro no elimina el riesgo, pero asegura que las respuestas sean rápidas y coordinadas.

¿Por qué es importante la madurez?

Cuando los bancos invierten en la maduración de sus capacidades de GRC y ERM, no solo se están protegiendo a sí mismos, sino que están expandiendo su capacidad para asumir los riesgos correctos. Eso se traduce en muchos beneficios, incluyendo:

  • Mayor capacidad de riesgo: Cuando el riesgo se gestiona de forma estricta, el liderazgo puede asumir más riesgo con confianza.
  • Toma de decisiones más informada: Un ERM maduro ofrece a los ejecutivos una visión más clara de las compensaciones entre riesgo y rendimiento.
  • Mayor agilidad: Con controles claramente definidos, los bancos pueden detectar las señales de alerta de forma más temprana y pivotar más rápido.
  • Confianza y credibilidad del consejo: Las instituciones con un ERM sólido tienden a ganarse más confianza, lo que les da más margen de maniobra en movimientos estratégicos como la expansión o la asignación de capital.
  • Uso estratégico del apetito de riesgo: Las organizaciones maduras optimizan activamente su apetito de riesgo, lo que les permite estirarse donde tiene sentido.

Cómo el software apoya la madurez

El software de riesgo moderno puede dar a las instituciones financieras la visibilidad que necesitan para apoyar una cultura madura y consciente del riesgo. El software ayuda a:

  • Unificar el riesgo, el cumplimiento, la auditoría y la resiliencia en una sola plataforma para romper los silos
  • Centralizar la documentación y las pistas de auditoría, asegurando la trazabilidad y la confianza para los equipos y los reguladores
  • Proporcionar señales de alerta temprana a través de indicadores clave de riesgo (KRI), permitiendo decisiones de riesgo proactivas
  • Reforzar la rendición de cuentas con flujos de trabajo auditables y la propiedad de las tareas
  • Sacar a la luz información interfuncional, mostrando cómo las vulnerabilidades pueden impactar en múltiples áreas simultáneamente
  • Facilitar una mejor presentación de informes al consejo, con paneles que vinculan la postura de riesgo directamente con los objetivos de la empresa
  • Reforzar una cultura de escalamiento, donde los riesgos no se entierran, sino que se dirigen a las personas adecuadas de inmediato

En general, el software permite una verdadera visibilidad del riesgo empresarial; no solo una lista de riesgos, sino cómo se conectan e influyen en los objetivos empresariales en todos los equipos. Para las empresas que buscan construir una cultura consciente del riesgo, la tecnología puede ayudar a integrarla en toda la empresa.

El cumplimiento te mantiene fuera de problemas; la madurez del riesgo impulsa el rendimiento. La diferencia puede ser fundamental para tu negocio. Las organizaciones que eligen redefinir su gestión de riesgos bancarios como una función estratégica están mejor posicionadas para liderar con resiliencia y agilidad.

Para una comprensión más profunda del papel de la cultura en la gestión de riesgos, descargue el libro electrónico, Trazando un rumbo para la gestión de riesgos empresariales, y consulte la solución de software ERM de Riskonnect.