Richard L Cassin, fundador del blog FCPA y editor general, se refiere al aspecto alarmante del colapso de marzo que acabó con Silicon Valley Bank (SVB), Signature Bank y First Republic Bank es que cada uno tenía un comité de riesgo independiente.
Necesitamos saber qué salió mal porque los comités de riesgo ahora se encuentran comúnmente en «la mayoría de las grandes empresas», según un socio de auditoría Big Four con el que hablé, y se supone que protegen contra el gobierno y la gestión imprudentes. ¿Entonces que sabemos?
Parte del problema con los comités de riesgo se deriva de quién se sienta en ellos. The Wall Street Journal informó que en Silicon Valley Bank solo un miembro del comité de riesgos tenía experiencia en gestión de riesgos. Otros miembros tenían currículums “muy alejados de la gestión de riesgos convencional”. Uno era dueño de un viñedo en Napa Valley, otro hizo carrera en una firma de consultoría, mientras que el presidente era un inversionista de riesgo, dijo el WSJ .
El comité de riesgos de First Republic fue notable porque era el único comité permanente de la junta con solo tres miembros en lugar de cinco, según Clifford Rossi, profesor de negocios en la Universidad de Maryland. Y aunque el comité de riesgos contaba con un asesor externo, “ninguno de los tres miembros tiene experiencia directa en gestión de riesgos bancarios; sus antecedentes son en el cuidado de la salud, el capital de riesgo y la academia, aunque cada uno tiene grandes logros en sus respectivos campos”.
La ley federal requiere que los holdings bancarios estadounidenses que cotizan en bolsa con activos consolidados totales de $50 mil millones o más y algunas firmas financieras establezcan comités de riesgo independientes que reporten a la junta en pleno. A partir de ahí, la práctica se ha extendido, voluntariamente, no solo a los bancos más pequeños, sino a muchas empresas de todas las industrias.
Con una búsqueda rápida, encontré comités de riesgo a nivel de directorio en Pure Storage, Inc. (almacenamiento y administración de datos), La-Z-Boy Incorporated (muebles para el hogar), Ocean Biomedical, Inc. (tecnologías biomédicas de terceros), ICC Holdings , Inc. (compañía de seguros especializada), Getty Images Holdings, Inc. (proveedor de contenido visual) y Regency Energy Partners LP (procesamiento de gas natural), entre otros.
Si bien es difícil saber qué tan bien o mal se están desempeñando los comités de riesgo no bancarios, algunos deben tener problemas como los que se encuentran en los bancos en quiebra, especialmente brechas en la experiencia de alto nivel.
La experiencia es esencial para una comprensión matizada del riesgo. El profesor Rossi, a quien mencioné anteriormente, dice que «si bien la auditoría es de vital importancia, la diversidad y la complejidad de los riesgos requieren un conjunto muy diferente de habilidades, equilibradas entre cuantitativas y cualitativas».
Otro problema es la posible confusión y duplicación de roles. ¿En qué se diferencia el papel del comité de riesgos del que desempeñan el comité de auditoría y el consejo en pleno? Por ejemplo, algunos estatutos de comités permanentes pretenden asignar una supervisión de cumplimiento compartida a los comités de auditoría y riesgo. ¿Puede eso funcionar en la práctica?
Los comentarios del socio Big Four con el que hablé proporcionan una idea de esta confusión. “Históricamente, los comités de auditoría y los comités de riesgo pueden haber sido uno”, dijo el socio, “pero [debido a] las crecientes cargas de los comités [de auditoría], la decisión ha sido crear comités separados para riesgo y auditoría. El riesgo obtiene la mayor parte de las cosas más interesantes. Y luego el presidente del comité de riesgos hace un resumen para el comité de auditoría y viceversa”.
Esa interacción entre los comités de riesgo y auditoría está plagada de minas terrestres de gobernanza. Como resultado de la Sección 301 de la Ley Sarbanes-Oxley, las empresas que cotizan en bolsas nacionales como NYSE y Nasdaq deben tener un comité de auditoría.
Por el contrario, los comités de riesgo independientes solo son obligatorios para los bancos que cotizan en bolsa que alcanzan el umbral de $ 50 mil millones y algunas firmas financieras, según Dodd-Frank. Para cualquier otra organización, los comités de riesgo son voluntarios.
Pero cada vez que hay un comité de riesgo a nivel de directorio, otros directores, incluidos los miembros del comité de auditoría sobrecargados, probablemente lo deferirán y se verán tentados a depender exclusivamente de él. ¿Eso hará que la supervisión de riesgos caiga por las grietas? Con los bancos fallidos en mente, supongo que a veces sucede.
(Mientras tanto, la responsabilidad de la supervisión de la gestión de riesgos de la empresa recae en la junta en pleno según la ley de Delaware. Por lo tanto, pasarle la responsabilidad a un comité de riesgos no funcionará).
Las quiebras bancarias de marzo dieron un ojo morado a los comités de riesgo. Pero tal vez el ojo morado incitará a otros a hacer preguntas importantes:
¿Los miembros del comité de riesgos están calificados para sus roles? ¿Se pretende que el comité de riesgos complemente o reemplace otra supervisión de la junta? ¿Y el comité de riesgos está constituido y funcionando de manera consistente con los límites legales sobre su autoridad y responsabilidad?
