Modelo de control interno

El modelo de control interno de BBVA Perú se fundamenta en las recomendaciones del Comité de Basilea y en las mejores prácticas de la industria, implementadas en un esquema de tres líneas de defensa que asegura que todas las operaciones del Banco se realicen dentro del marco regulatorio vigente y de acuerdo con las políticas y procedimientos internos establecidos. Este enfoque estructurado permite una gestión integral de los riesgos y refuerza el compromiso del Banco con los más altos estándares de control interno establecidos por el Committee of Sponsoring Organizations of the Treadway Commission (COSO), actualizado en 2013.

La Primera línea, es responsable de la gestión de riesgos actuales y emergentes, así como de la ejecución de los controles inherentes a estos riesgos. Está conformada por los propietarios de los procesos, quienes son apoyados por los Risk Control Assurers (RCA), encargados de fomentar la correcta gestión del riesgo operacional en sus respectivos ámbitos, difundir la metodología para la identificación de riesgos y establecer los controles necesarios junto a los propietarios de los procesos.

La Segunda línea, se centra en definir los marcos de mitigación y control dentro de su especialidad, abarcando de forma transversal toda la organización. Esta línea realiza el contraste con los controles implantados por la primera, asegurando su efectividad. Está integrada por un equipo de Risk Control Specialists (RCS), que abarca asuntos clave como cumplimiento, procesos, terceros, finanzas, legal, personas, riesgos, seguridad física, seguridad de información y datos y, por último, seguridad tecnológica.

Tercera línea, a cargo del área de Internal Audit, proporciona una evaluación independiente, imparcial y objetiva de los sistemas de control interno y gestión de riesgos de la organización. Su función no solo es garantizar la efectividad de los controles, sino también agregar valor, mejorar las operaciones del Banco y contribuir al logro de sus objetivos dentro de un ambiente de control sólido.

En 2024, BBVA Perú fortaleció su esquema de control interno con el despliegue del módulo de carga del marco de control asociado a las iniciativas del flujo de admisión (nuevos productos, cambios significativos y procesos de tercerización), en la herramienta corporativa Migro, en la que se incluyó, además, la evaluación del riesgo reputacional.

Adicionalmente, el Banco evalúa y monitorea de forma periódica los procesos relacionados con riesgos de corrupción a través de su matriz de riesgos en Migro.

Corporate Assurance

Desde 2013, el modelo Corporate Assurance ofrece una visión integral y homogénea del control de los riesgos no financieros y las debilidades de control de BBVA Perú, permitiendo anticipar escenarios y facilitar una toma de decisiones más eficiente por parte de los órganos de dirección. Para garantizar la viabilidad y efectividad del modelo se ha establecido un sólido esquema de governance que involucra a la alta dirección y se respalda en el trabajo coordinado de los equipos de control. El esquema fomenta la colaboración entre las tres líneas de defensa, lo que incrementa la eficiencia y efectividad del modelo de control interno, al tiempo que proporciona herramientas de gestión clave para priorizar y escalar los asuntos más críticos relacionados con el control interno.

El modelo incluye reuniones trimestrales en las que participan los miembros de los comités de dirección del Banco y de sus subsidiarias, con el objetivo de analizar y tomar decisiones sobre cuestiones de control que puedan tener un impacto significativo en los objetivos estratégicos y operativos de las distintas unidades. Este enfoque estructurado asegura una supervisión constante y refuerza el compromiso de BBVA con un ambiente de control robusto y alineado con las mejores prácticas internacionales.

Internal Audit

El departamento de Internal Audit (IA) del Grupo BBVA es una unidad global que, a nivel corporativo, depende directamente de la presidencia del Grupo y, a nivel local, del directorio del Banco, el cual aprueba anualmente su plan de trabajo. IA se posiciona como la tercera línea de defensa dentro del modelo de control del Banco, desempeñando un papel fundamental en la supervisión y aseguramiento de la efectividad del modelo a través de revisiones exhaustivas de los procesos del Banco

La metodología de trabajo de IA se adapta constantemente al dinamismo de la organización, permitiendo acompañar su transformación y crecimiento. Este enfoque prioriza los nuevos procesos del Banco y garantiza una adecuada cobertura de los riesgos inherentes tanto a las actividades de negocio como a las de soporte. Para la elaboración del plan anual de auditoría, IA utiliza un proceso de Risk Assessment (RA), que evalúa todas las áreas y procedimientos del Banco para identificar los niveles de riesgo inherente y de control y destacar los posibles focos de riesgo. El plan abarca revisiones específicas sobre los procesos con mayor exposición al riesgo, revisiones regulatorias conforme a la normativa peruana vigente, así como aquellas solicitadas por la alta dirección.

El plan anual propuesto por IA es presentado y aprobado por el Directorio, mientras que cualquier modificación debe ser validada por el comité de Auditoría e informada al regulador local. Desde 2009, BBVA Perú cuenta con la Resolución SBS 5442-2009 que lo autoriza para hacer su plan anual de auditoría basado en riesgos. Así, permite que no se incluyan en el plan anual revisiones regulatorias específicas, en la medida que IA cuente con información de control del proceso que la norma establece revisar. Desde el 31 de diciembre de 2014, con la Resolución SBS 8599-2014, dicha autorización es de carácter permanente.

En 2024, el regulador solicitó una revisión del reporte de reprogramaciones de operaciones otorgadas bajo los planes de apoyo del Gobierno durante la pandemia de la covid-19. IA dio continuidad al seguimiento del trabajo solicitado en 2023, relacionado con el reporting de reprogramaciones. Asimismo, el alineamiento del RA y del plan anual con los 21 riesgos definidos en la nueva taxonomía corporativa del Grupo BBVA permitió un enfoque más preciso en las auditorías.

Entre los principales focos de riesgo abordados en el último plan de trabajo destacan:

• Business Continuity: Gestión de la continuidad del negocio.
• Capital: Cumplimiento de los requerimientos en el informe IASC.
• Conduct & Compliance: Protección al consumidor.
• Credit: Calidad crediticia.
• Data Management: Calidad de datos en procesos BCBS239.
• ESG: Finanzas sostenibles.
• Financial & Tax: Supervisión consolidada y cálculo de aportaciones al FSD.
• Governance: Idoneidad moral.
• Information & Data Security: Alertas y respuesta a incidentes de seguridad, y enrolamiento a canales digitales.
• Legal: Procesos de levantamiento de embargos.
• Market: Valoración de la cartera de Global Markets
• AML & TF: Prevención de lavado de activos y financiamiento del terrorismo
• People: Gestión de contrataciones externas.
• Strategy & Business Model: Modelo de rentabilidad.
• Structural: Derivados de cobertura, trading y banking book.
• Third Party: Implementación del proyecto Kaizen.
• Transaction Processing: Procesos operativos de leasing y descuento de letras, y alertas en la cartera masiva de empresas.

La labor del departamento de IA refuerza el compromiso del Banco con un modelo de control interno sólido y alineado con las mejores prácticas internacionales, con el fin de garantizar la sostenibilidad y el cumplimiento normativo de sus operaciones.