Per una corretta gestione del rischio bancario

CI RISIAMO. Le banche dovrebbero avere la migliore gestione del rischio possibile, ma tutte le misure di salvaguardia in vigore non hanno impedito alla Silicon Valley Bank di fallire, distruggendo oltre 40 miliardi di dollari di valore per gli azionisti e costringendo il Governo a un intervento senza precedenti per proteggere i depositanti.

Le banche utilizzano il modello delle “tre linee di difesa” per la gestione e la governance del rischio. La prima linea è rappresentata dai responsabili delle decisioni. Per la SVB si tratta del tesoriere, del direttore finanziario e dell’amministratore delegato, che hanno deciso inspiegabilmente di puntare tutto sull’assunzione di un rischio di duration per guadagnare mezzo punto percentuale in più di rendimento. Hanno investito in Treasury a lungo termine e in titoli garantiti da ipoteca per incrementare gli utili, ma ciò ha creato un significativo disallineamento di duration e liquidità rispetto ai depositi della banca.

La seconda linea di difesa, guidata dal Chief Risk Officer (CRO), fornisce una supervisione aziendale e un monitoraggio continuo per garantire che le esposizioni al rischio rientrino nei limiti prudenziali. La revisione interna rappresenta la terza linea di difesa, responsabile di garantire l’efficacia dei controlli interni. In ultima analisi, il consiglio di amministrazione della SVB è responsabile della sicurezza e della solidità dell’intera banca. Ognuna di queste funzioni di gestione e supervisione del rischio avrebbe potuto e dovuto evitare il crollo di SVB. Ma tutte hanno fallito, portando alla prima corsa agli sportelli nell'era digitale e al secondo più grande fallimento bancario nella storia degli Stati Uniti.

Come ex CRO che ha fatto parte di consigli di amministrazione di aziende pubbliche e private, anche come presidente di comitati di rischio e di revisione, sono deluso e rattristato da quello che sembra un disastro evitabile. Cosa è andato storto, quali sono le questioni aperte e come possiamo migliorare?

In primo luogo, le banche hanno bisogno di un CRO dotato di poteri, che non solo deve avere le giuste competenze e risorse, ma anche sufficiente indipendenza e autorità. SVB non ha avuto un CRO a tempo pieno per la maggior parte del 2022, un periodo critico in cui si sono accumulate ingenti perdite sugli investimenti. Il precedente responsabile dei rischi si era dimesso nell’aprile 2022 e ne è stato nominato uno nuovo nel gennaio 2023. Chi è stato responsabile della gestione del rischio per otto mesi?

In secondo luogo, le banche hanno bisogno di un comitato rischi nel consiglio di amministrazione che possa svolgere funzioni di supervisione essenziali, come la definizione della propensione al rischio, la revisione dei rapporti e la garanzia di conformità. Il consiglio di amministrazione della SVB aveva sei comitati, ma il suo comitato rischi era l’unico senza presidente nel 2022. Inoltre, nessuno dei membri di quel comitato aveva una profonda esperienza di gestione del rischio. Si tratta della stessa critica mossa a JP Morgan in occasione dell’incidente della “London Whale”. Mentre un esperto finanziario del comitato di revisione deve soddisfare requisiti specifici, non esistono criteri analoghi per gli amministratori che fanno parte dei comitati rischi. L’esperienza pertinente può essere quella di CRO, chief credit officer, chief compliance officer o equivalente e durante un periodo critico, SVB non aveva un CRO o un presidente del comitato rischi. Le autorità di regolamentazione richiedono che le banche con un patrimonio superiore a 50 miliardi di dollari abbiano un CRO e un comitato rischi nel consiglio di amministrazione: SVB aveva oltre 200 miliardi di dollari di attività. Che fine ha fatto la sua struttura di governance del rischio?

In terzo luogo, le banche devono utilizzare modelli analitici per valutare tutti i tipi di rischi strategici, finanziari e operativi e rispondere di conseguenza. In SVB, questi modelli avrebbero dovuto far emergere i rischi strategici della banca derivanti dalla concentrazione del suo modello di business e della sua base di depositi. Questi modelli avrebbero anche quantificato i massicci disallineamenti tra attività e passività sia in termini di durata che di liquidità. Ad esempio, alla fine del 2021 il modello di rischio di SVB mostrava che per un aumento di 200 punti base dei tassi, la Banca avrebbe subito un calo di 5,7 miliardi di dollari del valore economico del capitale. Questo parametro di rischio chiave è aumentato del 332% rispetto a un anno prima. Nel 2022 la Fed ha aumentato i tassi di 425 punti base e le perdite sugli investimenti della SVB hanno azzerato i 15 miliardi di dollari di patrimonio netto tangibile. Si può obiettare che nessuno si aspettava un aumento così rapido dei tassi; ma mentre la Fed segnalava ripetutamente la sua politica di aumento dei tassi per combattere l’inflazione, la SVB manteneva un profilo di rischio anomalo tra le banche. Qual era la propensione al rischio della Banca per i rischi strategici e finanziari?

In quarto luogo, SVB aveva l’obbligo di fornire informazioni pubbliche sui rischi. Per quanto riguarda il rischio di mercato, che include il rischio di tasso d’interesse, la sezione chiave è la voce 7A della relazione annuale 10-K. La voce 7A fornisce informazioni sull’impatto che le variazioni dei tassi avrebbero sul reddito netto da interessi e sul valore economico del patrimonio netto. Nella relazione 10-K del 2021 di SVB, questa sezione mostrava che l’aumento dei tassi avrebbe favorito gli utili ma danneggiato il patrimonio netto (cioè, guadagno a breve termine, sofferenza a lungo termine). Sorprendentemente, nel rapporto 10-K del 2022 la Banca ha mostrato solo che l'aumento dei tassi avrebbe favorito gli utili. Ma l’analisi quantitativa dell'impatto dei tassi sul patrimonio netto è stata esclusa. Perché il comitato di revisione e il revisore esterno hanno approvato l'omissione della sensibilità azionaria?

Infine, i politici devono ritenere le banche responsabili del rispetto dei requisiti normativi. La SVB era regolamentata dalla Federal Reserve, dalla FDIC, dalla SEC, dalla CFPB e da altre agenzie. All’indomani della crisi finanziaria globale del 2008 e dell'attuazione della Dodd-Frank, queste agenzie hanno introdotto requisiti rigorosi in materia di governance del consiglio di amministrazione, gestione del rischio, adeguatezza patrimoniale, copertura della liquidità e prove di stress. Sebbene i requisiti per gli stress-testing siano stati revocati per le banche di medie dimensioni in una legge del 2018, la Federal Reserve aveva ancora il diritto di applicarli a qualsiasi banca con un patrimonio superiore a 100 miliardi di dollari. Cosa dice l'improvviso crollo della SVB sull'adeguatezza della regolamentazione e della vigilanza bancaria?

Sebbene rimangano molte incertezze su cosa sia andato esattamente storto con la SVB e perché, almeno sappiamo quali sono le domande giuste da porre. Queste domande probabilmente sottolineeranno l’importanza di avere un CRO forte e indipendente, direttori qualificati nei comitati di rischio, una chiara propensione al rischio e strategie di mitigazione, un’adeguata informativa sui rischi e un’efficace supervisione regolamentare. Mentre queste domande trovano risposta nell’autopsia di SVB, le altre banche dovrebbero chiedersi se preferiscono che queste domande vengano sollevate durante le riunioni interne del consiglio di amministrazione e della direzione o durante autopsie simili.

James C. Lam è presidente della James Lam & Associates, società di consulenza per la gestione del rischio. In precedenza, è stato partner di Oliver Wyman e chief risk officer presso Fidelity Investments e GE Capital Market Services. È autore di Implementing Enterprise Risk Management: From Methods to Applications.