Modelo de control interno
[GRI 102-11] [GRI 103-3] [GRI 205-1]
El modelo de control interno toma como base las recomendaciones del Comité de Basilea y las mejores prácticas de la industria. Cuenta con un esquema de control interno estructurado en tres líneas de defensa, con el objetivo de garantizar que las operaciones se realicen respetando tanto la regulación aplicable como las políticas y los procedimientos internos establecidos por la institución.
- Primera línea: Conformada por los propietarios de los procesos, responsables de la gestión de riesgos actuales y emergentes como de la ejecución de los procedimientos de control inherentes a ellos. Asimismo, cuenta con los Risk Control Assurer, cuyo propósito es promover la adecuada gestión del riesgo operacional en sus respectivos ámbitos de gestión, al extender la metodología de identificación de riesgos y establecimiento de controles a los propietarios de los procesos.
- Segunda línea: Integrada por un equipo de Risk Control Specialist (Compliance, Processes, Third Party, Finance, Legal, People, Riesgos, Physical Security, Information & Data Security y Technology Security). Tiene a su cargo definir los marcos de mitigación y control en su ámbito de especialidad (de forma transversal a toda la organización) y realizar el contraste con lo implantado por la primera línea.
- Tercera línea: Asumida por el Área de Auditoría Interna, evalúa de manera independiente, imparcial y objetiva los sistemas de control interno y de gestión del riesgo de la organización. Su finalidad es agregar valor, mejorar las operaciones y apoyar al Grupo en la consecución de sus objetivos dentro de un adecuado ambiente de control.
Este modelo permite al Banco cumplir con los más altos estándares en materia de control interno, emitidos y actualizados en 2013 por el Committee of Sponsoring Organizations of the Treadway Commission (COSO).
En cuanto a las iniciativas relevantes realizadas en 2020, resalta el fortalecimiento del esquema de control interno del Banco con la dotación de mayor estructura y metodologías de trabajo.
En cuanto a las iniciativas relevantes realizadas en 2020, resalta el fortalecimiento del esquema de control interno del Banco con la dotación de mayor estructura y metodologías de trabajo.
Corporate Assurance
El Banco mantiene el modelo Corporate Assurance puesto en marcha en 2013, cuya finalidad es fortalecer el control interno para permitir a la alta dirección tener una visión integral sobre la organización. Se estableció un esquema de governance que involucra a la alta dirección y se apoya en la labor realizada por los equipos de control, lo que da viabilidad al modelo.
Este esquema promueve la actuación coordinada de las tres líneas de defensa, de forma que se incremente la efectividad y eficiencia del funcionamiento del modelo de control interno. Además, provee las herramientas de gestión necesarias para la priorización y el escalamiento de los asuntos relacionados al control interno.
Para el adecuado cumplimiento del mecanismo se realizan reuniones trimestrales en las que participan los miembros de los comités de dirección del Grupo y de sus subsidiarias. La finalidad de estas juntas es conocer y tomar decisiones sobre cuestiones de control que puedan generar un impacto significativo en los objetivos de las distintas unidades.
Internal Audit
El Departamento de Infernal Audit (IA) es una unidad global que a nivel corporativo depende de la Presidencia del Grupo BBVA y localmente, del Directorio del Banco, encargado de vigilar el plan anual aprobado por este.
De tal forma, IA acompaña el proceso de transformación digital en el que se encuentra inmerso el Banco, por lo que ha transformado su metodología de trabajo y adecuado sus procesos internos a fin de estar en sintonía con los cambios en la organización, obtener eficiencias y potenciar el trabajo realizado.
La elaboración del plan anual del Banco se basa en un proceso de Risk Assessment que se aplica a todas sus áreas y procesos. La idea es que a través de la evaluación continua se valoren los niveles de riesgo inherente y de control de cada proceso y se identifiquen los focos de riesgo, con lo que, de ser necesario, se haga una propuesta de revisión específicamente orientada. Adicionalmente a esa evaluación, el plan incluye revisiones de carácter regulatorio establecidas en la normativa vigente peruana y otras solicitadas por el Management.
En la elaboración del plan anual se toma en cuenta la cobertura de una tipología de riesgos que permita mantener un adecuado control en la organización. Según está establecido en la normativa, cualquier cambio en el plan debe ser aprobado en el Comité de Auditoría e informado al regulador local.
Como parte de las constantes mejoras en la metodología, en 2020 se mantuvo actualizado el Risk Assessment y se revisó trimestralmente la propuesta de trabajo, de manera que, de precisarse realizar algún cambio en el plan debido a la aparición de algún tema relevante, sea posible hacerlo rápida y eficazmente.
Desde el año 2008, BBVA Perú cuenta con la autorización de la SBS para hacer su plan anual de auditoría basado en riesgos (ABR). Esta autorización permite que no se incluyan en el plan revisiones regulatorias específicas, en la medida que IA cuenta con información de control del proceso que la norma establece revisar. Desde el 31 de diciembre de 2014 esta autorización ABR es de carácter permanente.
2020 fue un año atípico debido a la emergencia sanitaria generada a raíz de la pandemia de la covid-19 a nivel mundial, por lo que IA debió adecuarse a la modalidad de teletrabajo. Esto fue posible gracias al soporte operativo provisto por el Banco y a la coordinación interna del equipo, que permitieron que se pudiera continuar con la ejecución del plan. Sin embargo, debido precisamente a la coyuntura, el plan si sufrió cambios, que incluyeron revisiones a los programas de ayuda que el Gobierno lanzó para reactivar la economía y evitar una ruptura en la cadena de pagos (FAE, Crecer, Reactiva I y Reactiva II).
2020 fue un año atípico debido a la emergencia sanitaria generada a raíz de la pandemia de la covid-19 a nivel mundial, por lo que IA debió adecuarse a la modalidad de teletrabajo.
Debido a los cambios a raíz de la emergencia sanitaria de 2020, el plan de auditoría contempló la siguiente distribución de trabajos por tipo de riesgo:
Principales actividades de auditoría interna por tipología de riesgo
Los principales focos de riesgo en los que Auditoría Interna centró su plan de trabajo durante 2020 fueron:
- Riesgo operacional: Transformación digital, procesos bancarios y modelo de riesgo operacional.
- Riesgo de cumplimiento: Consumer Protection, Corporate Compliance y PLD&FT.
- Riesgo de crédito: Admisión Proactiva, Reprogramaciones y Calidad Crediticia.
- Riesgo tecnológico: Continuidad del Negocio y Seguridad de información.
- Riesgo legal: Riesgo Normativo y Reporting Financiero.
- Riesgo estructural: Riesgo de liquidez.
- Riesgo de modelo del negocio: Planes Estratégicos y Viabilidad de Negocio.
