Con recomendaciones del Comité de Basilea y gracias a las mejores prácticas de la industria, el Grupo cuenta con un esquema de control interno estructurado sobre la base del modelo de tres líneas de defensa, cuyo objetivo es garantizar que las operaciones del Grupo se realicen respetando tanto la regulación aplicable como las políticas y procedimientos internos establecidos por la institución.
Este modelo está compuesto así:
La primera línea la constituyen las unidades de negocio del Grupo, responsables de la gestión de riesgos actuales y emergentes, así como de la ejecución de los procedimientos de control.
La segunda línea la constituyen las unidades especialistas de control (Cumplimiento, Global Accounting & Informational Management / Control Interno Financiero, Control Interno de Riesgos, IT Risk, Fraud & Security, Control de la Operativa y las Direcciones de Producción de las unidades de soporte, como Recursos Humanos, Asesoría Jurídica, entras otras). Sus misiones son identificar riesgos actuales y emergentes, definir políticas de control en un ámbito de especialidad transversal y supervisar su correcta implantación, proporcionar formación y asesoría a la primera línea y ser responsable del reporting management.
La tercera línea la constituye la Unidad de Auditoría Interna, para lo cual el Grupo asume las directrices del Comité de Supervisión Bancaria de Basilea y del Instituto de Auditores Internos. Esta es una actividad independiente y objetiva de aseguramiento y consulta, que fue concebida para agregar valor y mejorar las operaciones de la organización. Auditoría Interna ayuda al Grupo a cumplir sus objetivos con un enfoque sistemático y disciplinado, que permite evaluar y mejorar la eficacia de procesos como gestión de riesgos, control y gobierno.
BBVA Continental cumple así con los más altos estándares en materia de control interno emitidos y actualizados en el 2013 por el Committee of Sponsoring Organizations of the Treadway Commission (COSO).
Corporate Assurance
El Grupo puso en marcha en 2013 el modelo de Corporate Assurance, cuya finalidad es fortalecer el control interno para permitir a la alta dirección tener una visión integral sobre la organización.
En el Perú, el modelo se implementó desde febrero del 2013. Para ello se ha establecido un esquema de governance y se han instaurado posiciones de especialistas de control con el fin de darle viabilidad a este modelo.
El objetivo de este esquema es promover la actuación coordinada de las tres líneas de defensa, de tal forma que se incremente la efectividad y eficiencia del funcionamiento del modelo de control interno.
Además, provee al management de un mecanismo ordenado de comunicación que permite la priorización y el escalamiento de los asuntos relacionados al control interno.
El mecanismo se ha estructurado a través de comités cuatrimestrales en los que participan los miembros de los comités de dirección del Grupo y de sus subsidiarias. La finalidad de estas reuniones es conocer y tomar decisiones sobre cuestiones de control que puedan generar un impacto significativo en los objetivos de las distintas unidades.
Auditoría Interna
De acuerdo al estatuto de auditoría del Grupo, se trata de una actividad permanente, independiente, imparcial y objetiva de consulta y evaluación de los sistemas de control interno y de gestión del riesgo de la organización. Su finalidad es agregar valor, mejorar las operaciones y apoyar al Grupo en la consecución de sus objetivos. A nivel corporativo, Auditoría Interna depende de la presidencia del Grupo, y a nivel local del Directorio del Banco.
El área de Auditoría Interna elabora su plan anual con la metodología Risk Assessment, que se aplica a todos los procesos del negocio. A través de esta evaluación se identifican, evalúan y priorizan los riesgos que enfrenta o podría enfrentar la organización, así como los mecanismos de control para gestionarlos.
Sobre esta base se definen las revisiones que se incluirán en el plan. Para completarlo se toman en cuenta solicitudes de la gerencia, del regulador y los focos corporativos. Desde 2008, BBVA Continental cuenta con la autorización de la SBS para establecer su plan anual de Auditoría en Base a Riesgos (ABR), con el fin de determinar si en dicho plan se incluyen las revisiones normativas establecidas en la regulación vigente. Desde el 31 de diciembre de 2014, BBVA Continental cuenta con una autorización ABR permanente.
Los focos de riesgo en los que Auditoría Interna centró su plan de trabajo en 2015 fueron:
- Riesgo de Crédito: revisión de procesos de admisión, calidad de cartera, seguimiento y recuperaciones; también de riesgo operacional asociado al riesgo de crédito.
- Red de sucursales: auditorías transversales y revisiones in situ.
- Aseguramiento Normativo: governance y ejecución de la adaptación de la normativa, cálculo de capital regulatorio, reporting regulatorio, prevención de lavado de dinero y otros trabajos regulatorios.
- Experiencia del cliente: segmentación de los usuarios.
- Empresa Extendida: admisión de productos a través de terceros, centros de procesamientos masivos, trabajos de outsourcing.
- Tecnología: revisión de aplicaciones y gestión de seguridad y continuidad del negocio.