5. Información no financiera | 5.3 Prácticas responsables | 5.3.2 Sistemas de gobierno y comportamiento ético

Modelo de control interno

[GRI 102-11] [GRI 205-1]

El modelo de control interno está sustentado en las recomendaciones del Comité de Basilea y en las mejores prácticas de la industria. Su estructura en tres líneas de defensa garantiza que las operaciones se realicen respetando tanto la regulación aplicable como las políticas y los procedimientos internos establecidos por el Banco.

  • Primera línea: La integran los propietarios de los procesos, responsables de la gestión de riesgos actuales y emergentes y de la ejecución de los procedimientos de control inherentes a ellos. Asimismo, cuenta con los Risk Control Assurer, cuyo propósito es promover la adecuada gestión del riesgo operacional en sus respectivos ámbitos de gestión, al extender la metodología de identificación de riesgos y establecimiento de controles a los propietarios de los procesos.
  • Segunda línea: Conformada por un equipo de Risk Control Specialist (Compliance, Processes, Third Party, Finance, Legal, People, Riesgos, Physical Security, Information & Data Security y Technology Security). Su labor es definir los marcos de mitigación y control en su ámbito de especialidad (de forma transversal a toda la organización) y realizar el contraste con lo implantado por la primera línea.
  • Tercera línea: En manos del Área de Auditoría Interna, evalúa de manera independiente, imparcial y objetiva los sistemas de control interno y de gestión del riesgo de la organización. Tiene como finalidades agregar valor, mejorar las operaciones y apoyar al Grupo en la consecución de sus objetivos dentro de un adecuado ambiente de control.

Así estructurado, el modelo le ha permitido a BBVA cumplir con los más altos estándares en materia de control interno actualizados en 2013 por el Committee of Sponsoring Organizations of the Treadway Commission (COSO).

En el proceso de fortalecimiento del esquema de control interno del Banco, en 2021 resaltó la madurez del modelo de control y el número de iniciativas aprobadas en el Comité de Admisión de Riesgo Operacional (CARO), tanto en nuevos productos y cambios importantes como en procesos de tercerización.

Corporate Assurance

[GRI 102-30]

Desde 2013, el Banco se desenvuelve en el modelo Corporate Assurance, que fortalece el control interno y permite a la alta dirección tener una visión integral sobre la organización. En ese sentido, se estableció un esquema de governance que involucra a la alta dirección y se sustenta en la labor de los equipos de control, lo que da viabilidad al modelo.

Desde 2013, el Banco se desenvuelve en el modelo Corporate Assurance, que fortalece el control interno y permite a la alta dirección tener una visión integral sobre la organización. En ese sentido, se estableció un esquema de governance que involucra a la alta dirección y se sustenta en la labor de los equipos de control, lo que da viabilidad al modelo.

Una de las claves del modelo de control interno es promover la actuación coordinada de las tres líneas de defensa, lo que incrementa la efectividad y eficiencia, a la vez que provee las herramientas de gestión necesarias para la priorización y el escalamiento de los asuntos relacionados al control interno.

Con la finalidad de conocer y tomar decisiones sobre cuestiones de control que puedan generar un impacto significativo en los objetivos de las distintas unidades, se realizan reuniones trimestrales en las que participan los miembros de los comités de dirección del Grupo y de sus subsidiarias.

Internal Audit

Internal Audit (IA) es una unidad global de BBVA que a nivel corporativo depende de la Presidencia del Grupo y, localmente, del Directorio del Banco. Su plan de trabajo anual es aprobado por el Directorio.

Como parte del Modelo de Control de BBVA, IA es la tercera capa de este. Al ser su función asegurar la existencia y eficacia del modelo mediante revisiones a los procesos del Banco, acompaña el proceso de transformación digital en el que este se encuentra inmerso. Para ello, ha transformado su metodología de trabajo y adecuado sus procesos internos a fin de estar en sintonía con los cambios en la organización, obtener eficiencias y potenciar el trabajo realizado.

Un proceso de Risk Assessment aplicado a todas las áreas y procedimientos está en la base de la elaboración del plan anual del Banco. El análisis consiste en una evaluación continua de los niveles de riesgo inherente y de control de cada proceso para identificar los focos de riesgo, lo que permite proponer revisiones específicas a aquellos procedimientos que se consideran con mayor nivel de riesgo. Adicionalmente a esa valoración, el plan incluye revisiones de carácter regulatorio establecidas en la normativa vigente peruana así como revisiones solicitadas por el Management.

IA toma en cuenta, para la elaboración del plan anual, la cobertura de una tipología de riesgos que permita mantener un adecuado control en la organización. La normativa establece el Comité de Auditoría debe aprobar cualquier cambio en el plan, así como que el regulador local debe ser informado.

Durante 2021, IA mantuvo actualizado el Risk Assessment y revisó trimestralmente la propuesta de trabajo, con especial enfoque en que, de precisarse algún cambio en el plan ante la aparición de algún tema relevante, se hiciera rápida y eficazmente.

Durante 2021, IA mantuvo actualizado el Risk Assessment y revisó trimestralmente la propuesta de trabajo, con especial enfoque en que, de precisarse algún cambio en el plan ante la aparición de algún tema relevante, se hiciera rápida y eficazmente.

BBVA Perú está autorizado por la SBS para diseñar su plan anual de auditoría basado en riesgos (ABR). Esto le permite que en el plan revisiones regulatorias específicas no se incluyan revisiones regulatorias específicas, toda vez que IA cuenta con información de control del proceso que la norma establece revisar. Concedida por primera vez en 2008, esta autorización pasó a ser de carácter permanente desde el 31 de diciembre de 2014.

IA debió adecuarse a la modalidad de teletrabajo en estos dos años de emergencia sanitaria por la covid-19. El soporte operativo provisto por el Banco y a la coordinación interna del equipo hicieron posible continuar con la ejecución del plan. Durante 2021, tal como había ocurrido en 2020, se hicieron cambios a los planes de trabajo para atender los focos de riesgos surgidos producto de la misma pandemia, modificaciones en la operación del Banco y revisiones solicitadas por el regulador orientadas a revisar los planes de apoyo dispuestos por el Gobierno nacional.

El plan de AI contempló, durante 2021, la siguiente distribución de trabajos por tipo de riesgo:

Principales actividades de auditoría interna por tipología de riesgo

imagen

Los principales focos de riesgo en los que AI centró su plan de trabajo durante 2021 fueron:

  • Riesgo operacional: Canales y procesos bancarios.
  • Riesgo de cumplimiento: Protección al consumidor y PLD&&FT.
  • Riesgo de crédito: Calidad crediticia y metodologías de riesgos de modelos y admisión reactiva.
  • Riesgo tecnológico: Seguridad de información, desarrollo y adquisición de software y ciberseguridad.
  • Riesgo legal: Reporting financiero.
  • Riesgo capital: Requerimiento de capital local.
  • Riesgo de modelo del negocio: Marco de gobierno.
  • Riesgo de mercado: Monitoring.
  • Riesgo de gobierno interno: Políticas y procedimientos.
Ir al siguiente subcapítulo: Transparencia fiscal Ir al INICIO