4. Gobernanza | 4.7. Sistemas de gobierno y comportamiento ético

Modelo de control interno

[GRI 2-23] [GRI 3-3] [GRI 205-1]

Las recomendaciones del Comité de Basilea y las mejores prácticas de la industria son la base del modelo de control interno del Banco, cuyo esquema de tres líneas de defensa garantiza que las operaciones se realicen dentro del marco regulatorio aplicable y de las políticas y procedimientos internos establecidos por BBVA.

  • Primera línea: Responsable tanto de la gestión de riesgos actuales y emergentes como de la ejecución de los procedimientos de control inherentes a ellos. Está conformada por los propietarios de los procesos y cuenta con los Risk Control Assurer, encargados de promover la adecuada gestión del riesgo operacional en sus respectivos ámbitos de gestión, extender la metodología de identificación de riesgos y establecer controles a los propietarios de los procesos.
  • Segunda línea: Encargada de definir los marcos de mitigación y control en su ámbito de especialidad (transversal a toda la organización) y de realizar el contraste con lo implantado por la primera línea. Está integrada por un equipo de Risk Control Specialists (Compliance, Processes, Third Party, Finance, Legal, People, Riesgos, Physical Security, Information & Data Security y Technology Security).
  • Tercera línea: Agrega valor, mejora las operaciones y apoya al Grupo en la consecución de sus objetivos dentro de un adecuado ambiente de control. Asumida por el Área de Auditoría Interna, evalúa de manera independiente, imparcial y objetiva los sistemas de control interno y de gestión del riesgo de la Organización.

Esta estructura tripartita le permite al Banco cumplir con los más altos estándares en materia de control interno fijados por el Committee of Sponsoring Organizations of the Treadway Commission (COSO) y actualizados en 2013.

En cuanto al fortalecimiento del esquema de control interno del Banco, en 2023 resaltaron las mejoras en la herramienta corporativa MIGRO para el workflow de Admisión de Riesgo Operacional para la evaluación de riesgos en nuevos productos, cambios importantes y procesos de tercerización, el seguimiento de debilidades y planes de acción; así como, en la metodología de valoración de los riesgos operacionales.

Adicionalmente, BBVA evalúa y monitorea periódicamente los procesos en su matriz de riesgo relacionados con temas de corrupción a través de MIGRO (p.e.: influencia indebida: aceptación de regalos, donaciones y patrocinios), desde las tres líneas de defensa y según su ámbito de actuación.

Corporate Assurance

Desde 2013, el modelo Corporate Assurance proporciona una visión integral y homogénea del control de los riesgos no financieros y debilidades de control del Grupo, procurando anticipar y posibilitar una toma de decisiones más eficiente por parte de los órganos de dirección. Para la viabilidad del modelo, se tiene establecido un esquema de governance que involucra a la alta dirección y se apoya en la labor realizada por los equipos de control.

El esquema promueve la actuación coordinada de las tres líneas de defensa, de forma que se incremente la efectividad y eficiencia del funcionamiento del modelo de control interno. Además, provee las herramientas de gestión necesarias para la priorización y el escalamiento de los asuntos más relevantes relacionados al control interno.

Para el adecuado cumplimiento del mecanismo se realizan reuniones trimestrales en las que participan los miembros de los comités de dirección del Grupo y de sus subsidiarias. El propósito es conocer y tomar decisiones sobre cuestiones de control que puedan generar un impacto significativo en los objetivos de las distintas unidades.

Internal Audit

El Departamento de Internal Audit (IA) de BBVA es una unidad global que a nivel corporativo depende de la presidencia del Grupo y, localmente, del directorio del Banco, que aprueba cada año su plan de trabajo.

BBVA ha definido su modelo de control en tres capas de defensa, donde Internal Audit es la tercera y tiene por finalidad asegurar la existencia y eficacia del modelo mediante múltiples revisiones a los procesos del Banco. Su metodología de trabajo se adapta a la marcha de la organización a fin de acompañar eficazmente su transformación y crecimiento, enfocando sus revisiones en los nuevos procesos del Banco y proporcionando la adecuada cobertura a los riesgos inherentes a las actividades de negocio y de soporte al negocio.

Para la definición del plan anual de auditoría, el equipo desarrolla un proceso de Risk Assessment (RA, evaluación de riesgos) que se aplica a todas las áreas y procedimientos del Banco, bajo la premisa de valorar los niveles de riesgo inherente y control de cada uno e identificar posibles focos de riesgo, de forma de proponer revisiones específicas a los procesos que considera tienen mayores focos de riesgo. Adicionalmente, el plan incluye revisiones regulatorias dispuestas en la normativa vigente peruana, así como otras solicitadas por el Management. IA elabora una propuesta de plan anual que es presentada y aprobada por el directorio; luego de ello, cualquier cambio al plan debe ser aprobado en el Comité de Auditoría e informado al regulador local.

BBVA Perú cuenta, desde 2009, con la autorización de la SBS para hacer su plan anual de auditoría basado en riesgos (ABR Res. SBS 5442-2009). Esta autorización permite que no se incluyan en el plan anual revisiones regulatorias específicas, en la medida que IA cuente con información de control del proceso que la norma establece revisar. Desde el 31 de diciembre de 2014 esta autorización ABR es de carácter permanente (Res. SBS 8599- 2014).

La pandemia generada por la covid-19 alteró la vida de la sociedad y de las personas. En 2020, el mundo laboral empresarial debió dar un paso apurado hacia el teletrabajo para resguardar la salud de colaboradores y clientes. En BBVA esto fue posible por el aporte operativo provisto por el Banco y la cohesión inapreciable de los equipos de sus distintas áreas y departamentos. Como es lógico, la coyuntura generó cambios en los planes de trabajo, entre ellos la revisión de focos de riesgo surgidos a raíz precisamente de la emergencia sanitaria, innovaciones operativas dispuestas por el Banco y revisiones requeridas por el ente regulador para supervisar los planes de apoyo dispuestos por el Gobierno.

Al producirse cambios en la taxonomía de riesgos corporativa del Grupo BBVA, Auditoría Interna ha alineado en torno a ella el Risk Assessment y el plan anual, que ahora consiste en 21 riesgos. En ese orden de cosas, el plan de auditoría contempla la siguiente distribución de trabajos:

Principales actividades de auditoría interna


imagen

(1)Plan ejecutado durante el ejercicio 2023.

(2)Plan ejecutado durante el ejercicio 2022.

(3)Plan ejecutado durante el ejercicio 2021.


Los princip ales focos de riesgo en los que AI centró en 2023 su plan de trabajo para el Banco BBVA Perú fueron:

  • Business Continuity: Gestión de la continuidad del negocio.
  • Conduct & Compliance: Protección al consumidor, gobierno en la gestión de datos personales.
  • Credit:Calidad crediticia, proceso de cobranzas y recuperaciones.
  • Data Management: Gobierno de datos.
  • Fraud Sistema de alerta de tarjetas.
  • Governance: Marco de control de modelos de riesgo de crédito.
  • Information & Data Security: Cumplimiento de la política de seguridad de información y marco de control.
  • Legal: Operativa de bastanteo de poderes.
  • Money Laundering and Terrorism Financing–AML/FT: Prevención de lavado de activos y financiación del terrorismo
  • Strategy & Business Model: KPIs estratégicos.
  • Structural: Separación de la actividad de Trading Banking Book.
  • Technology: Gestión de obsolescencia.
  • Third Party: Controles en la prestación de servicios de proveedores externos.
  • Transaction Processing: Líneas de crédito, cobertura operativa de los sistemas, reportes regulatorios.





Ir al siguiente subcapítulo: Transparencia fiscal Ir al INICIO