El Comité de Riesgos es un comité independiente y delegado del Directorio. Opera en el espacio crítico entre estrategia y ejecución, con un mandato fundamental, que es traducir el apetito de riesgo en límites operativos específicos, supervisar gestión de todos los riesgos materiales, y validar metodologías de medición de riesgo. Esta función de supervisión sin microgestión requiere balance delicado, involucrándose suficientemente para ejercer control efectivo sin asumir responsabilidades de otras áreas.
El Marco de Apetito de Riesgo (RAF)
El RAF establece parámetros de alto nivel en términos de capital, liquidez y tolerancia a pérdidas. Estos se crean de límites específicos por línea de negocio, tipo de riesgo y geografía, requiriendo juicio sobre cómo distribuir el presupuesto de riesgo considerando perfiles riesgo-retorno, importancia estratégica y capacidad organizacional. La clara implementación del RAF basado en estos límites contrituye una responsabilidad crítica.
El Comité debe supervisar esta cascada de límites asegurando que su suma no exceda el apetito agregado. Un desafío crítico ya que los riesgos no son perfectamente aditivos, pues existen correlaciones entre exposiciones que varían dramáticamente bajo estrés. Límites que parecen prudentes individualmente pueden resultar en concentraciones peligrosas cuando se consideran conjuntamente.
Decisiones Clave por Tipo de Riesgo
El riesgo de mercado requiere supervisión sofisticada pues puede materializarse en horas. El Comité debe aprobar límites de Value at Risk y comprender supuestos críticos, el horizonte temporal y las correlaciones asumidas. Los modelos VaR asumen que las correlaciones históricas se mantendrán, suposición que no es aplicable durante situaciones de estrés. El Comité debe exigir stress VaR con datos de períodos estresados y aprobar nuevos productos solo después de evaluación rigurosa de riesgos y capacidad de medición.
Gobierno de Modelos
Cuiando existan decisiones que dependen de modelos cuantitativos complejos, el Comité debe ejercer una supervisión explícita. El riesgo de modelo representa la posibilidad de tener consecuencias adversas por errores en su desarrollo, la implementación o el uso. Los modelos pueden estar mal especificados, incorrectamente implementados o utilizados fuera de su rango de aplicabilidad.
El Comité debe establecer un marco que abarque el ciclo de vida completo. La validación independiente constituye el control más importante ya que antes de aprobar modelos significativos, deben ser validados por personal independiente con la experiencia adecuada. Credit Suisse ilustra consecuencias de gobierno inadecuado. Los modelos para Archegos fallaron en capturar riesgo de concentración extremo. Incluso después de que la validación identificó limitaciones, la institución continuó utilizándolos, resultando en pérdidas de más de cinco mil millones de dólares.
Señales de Alerta Críticas
Un Comité efectivo identifica señales de alerta temprana. El aumento de brechas de límites representa señal clara de fallas en controles. Son particularmente preocupantes las brechas descubiertas retrospectivamente o que persisten a largo plazo. Los cambios metodológicos que consistentemente reducen estimaciones de riesgo o que ocurren cuando la institución se aproxima a límites sugieren fallas del sistema. Las concentraciones crecientes en cualquier dimensión deben activar alertas, especialmente aquellas no obvias en reportes estándar.
Relación con el Chief Risk Officer (CRO)
La relación entre el Comité y el CRO constituye una situación crítica. El CRO debe reportar al Comité y no al CEO, debe tener acceso directo en sesiones privadas, y debe comunicar preocupaciones sin temor a represalias. El Comité debe aprobar el nombramiento y la compensación del CRO, proporcionando independencia respecto al CEO.
La matriz de escalamiento define qué asuntos elevar al Directorio, brechas del RAF que requieran excepción formal, deterioro material en ratios de capital o liquidez, pérdidas operacionales severas, y nuevos riesgos emergentes con potencial material. El momento para hacerlo depende de severidad ya que las situaciones de crisis requieren comunicación inmediata.
La efectividad del Comité se mide por su impacto observable en decisiones y comportamientos institucionales. Un Comité efectivo produce organización donde sus límites son genuinamente vinculantes, sus preocupaciones de riesgos se toman seriamente, los modelos se validan rigurosamente, y las señales de alerta desencadenan una acción inmediata. Silicon Valley Bank y Credit Suisse demuestran el costo de Comités que existen formalmente pero fallan en ejercer supervisión rigurosa o actuar decisivamente ante señales de alerta. La creciente complejidad de riesgos requiere que los Comités inviertan en capacitación continua e incorporen experiencia en áreas emergentes.