5. Información no financiera | 5.3 Prácticas responsables | 5.3.2 Sistemas de gobierno y comportamiento ético

Modelo de control interno

[GRI 2-23] [GRI 3-3] [GRI 205-1]

El modelo de control interno toma como base las recomendaciones del Comité de Basilea y las mejores prácticas de la industria. Cuenta con un esquema estructurado en tres líneas de defensa, con el objetivo de garantizar que las operaciones se realicen respetando tanto la regulación aplicable como las políticas y los procedimientos internos establecidos por la institución.

  • Primera línea: Conformada por los propietarios de los procesos, es responsable tanto de la gestión de riesgos actuales y emergentes como de la ejecución de los procedimientos de control inherentes a ellos. Cuenta con los Risk Control Assurer, cuyo propósito es promover la adecuada gestión del riesgo operacional en sus respectivos ámbitos de gestión, extender la metodología de identificación de riesgos y establecer controles a los propietarios de los procesos.
  • Segunda línea: Integrada por un equipo de Risk Control Specialists (Compliance, Processes, Third Party, Finance, Legal, People, Riesgos, Physical Security, Information & Data Security y Technology Security). Tiene a su cargo definir los marcos de mitigación y control en su ámbito de especialidad (de forma transversal a toda la organización) y realizar el contraste con lo implantado por la primera línea.
  • Tercera línea: Asumida por el Área de Auditoría Interna, evalúa de manera independiente, imparcial y objetiva los sistemas de control interno y de gestión del riesgo de la Organización. Su finalidad es agregar valor, mejorar las operaciones y apoyar al Grupo en la consecución de sus objetivos dentro de un adecuado ambiente de control.

Este modelo permite al Banco cumplir con los más altos estándares en materia de control interno, emitidos y actualizados en 2013 por el Committee of Sponsoring Organizations of the Treadway Commission (COSO).

En cuanto al fortalecimiento del esquema de control interno del Banco, en 2022 resaltaron la madurez del modelo de control –en cuanto a metodologías y herramientas para el seguimiento del mapa de riesgos y controles– y la admisión del riesgo operacional para la evaluación de riesgos en nuevos productos, cambios importantes y procesos de tercerización.

Vale señalar que BBVA realiza evaluaciones periódicas de todos los procesos de su matriz de riesgo relacionados con temas de corrupción. Para ello, cuenta con una herramienta interna que monitorea tales riesgos (p.e. influencia indebida: aceptación de regalos, donaciones y patrocinios) desde las tres líneas de defensa y según su ámbito de actuación.

Corporate Assurance

El Banco mantiene el modelo Corporate Assurance puesto en marcha en 2013, cuya finalidad es poder proporcionar una visión integral y homogénea del control de los riesgos no financieros y debilidades de control del Grupo, con la finalidad de anticipar y posibilitar una toma de decisiones más eficiente por parte de los Órganos de Dirección. Se estableció un esquema de governance que involucra a la alta dirección y se apoya en la labor realizada por los equipos de control, lo que da viabilidad al modelo.

Se estableció un esquema de governance que involucra a la alta dirección y se apoya en la labor realizada por los equipos de control, lo que da viabilidad al modelo.

...

Este esquema promueve la actuación coordinada de las tres líneas de defensa, de forma que se incremente la efectividad y eficiencia del funcionamiento del modelo de control interno. Además, provee las herramientas de gestión necesarias para la priorización y el escalamiento de los asuntos más relevantes relacionados al control interno.

Para el adecuado cumplimiento del mecanismo se realizan reuniones trimestrales en las que participan los miembros de los comités de dirección del Grupo y de sus subsidiarias. La finalidad de estas sesiones es conocer y tomar decisiones sobre cuestiones de control que puedan generar un impacto significativo en los objetivos de las distintas unidades.

Internal Audit

El Departamento de Internal Audit (IA) de BBVA es una unidad global que a nivel corporativo depende de la presidencia del Grupo y, localmente, del directorio del Banco, que aprueba cada año su plan de trabajo.

BBVA ha definido su modelo de control en tres capas de defensa, donde Internal Audit es la tercera de ellas y tiene por finalidad asegurar la existencia y eficacia del modelo mediante múltiples revisiones a los procesos del Banco. Su metodología de trabajo se adapta a la marcha de la organización a fin de ser capaz de acompañar su transformación y crecimiento, enfoca sus revisiones en los nuevos procesos del Banco y proporciona la adecuada cobertura a los riesgos inherentes a las actividades de negocio y de soporte al negocio.

BBVA ha definido su modelo de control en tres capas de defensa, donde Internal Audit es la tercera de ellas y tiene por finalidad asegurar la existencia y eficacia del modelo mediante múltiples revisiones a los procesos del Banco.

Para la definición del plan anual de auditoría, el equipo desarrolla un proceso de Risk Assessment (RA, evaluación de riesgos) que se aplica a todas las áreas y procedimientos del Banco para valorar los niveles de riesgo inherente y de control de cada uno e identificar posibles focos de riesgo. De esta forma, propone revisiones específicas a los procesos que considera tienen mayores focos de riesgo. Adicionalmente a esa evaluación, el plan incluye revisiones de carácter regulatorio dispuestas en la normativa vigente peruana así como revisiones solicitadas por el Management. IA elabora una propuesta de plan anual que es presentada y aprobada por el directorio. Cualquier cambio al plan debe ser aprobado en el Comité de Auditoría e informado al regulador local.

BBVA Perú cuenta, desde 2009, con la autorización de la SBS para hacer su plan anual de auditoría basado en riesgos (ABR Resolución SBS 5442-2009). Esta autorización permite que no se incluyan en el plan anual revisiones regulatorias específicas, en la medida que IA cuente con información de control del proceso que la norma establece revisar. Desde el 31 de diciembre de 2014 esta autorización ABR es de carácter permanente (Res SBS 8599-2014).

La pandemia generada por la covid-19 alteró la vida de la sociedad y de las personas. En el 2020, el mundo laboral empresarial debió dar un paso apurado hacia el teletrabajo para resguardar la salud de colaboradores y clientes. En BBVA esto fue posible por el aporte operativo provisto por el Banco y la cohesión inapreciable de los equipos de sus distintas áreas y departamentos. Como es lógico, la coyuntura generó cambios en los planes de trabajo, entre ellos la revisión de focos de riesgo surgidos a raíz precisamente de la emergencia sanitaria, innovaciones operativas dispuestas por el Banco y revisiones requeridas por el ente regulador para supervisar los planes de apoyo dispuestos por el Gobierno.

El plan de auditoría contempló la siguiente distribución de trabajos por tipo de riesgo:

Principales actividades de auditoría interna por tipología de riesgo

imagen

Los principales focos de riesgo en los que IA centró su plan de trabajo en 2022 para el Banco BBVA Perú fueron:

  • Riesgo capital: Modelos de capital por riesgo operacional.
  • Riesgo de crédito: Calidad crediticia, admisión proactiva y admisión reactiva.
  • Riesgo de cumplimiento: Protección al consumidor y PLD&FT.
  • Riesgo de empresa extendida: Facturación y pago y gestión de outsourcing.
  • Riesgo estructural: Liquidez.
  • Riesgo de gobierno interno: Marco de control.
  • Riesgo legal: Reporting financiero y riesgo regulatorio.
  • Riesgo de mercado: Monitoreo
  • Riesgo de modelo de negocio: Viabilidad del negocio.
  • Riesgo operacional: Calidad de la información y apertura de cuentas.
  • Riesgo tecnológico: Seguridad de información, continuidad del negocio y operaciones.



Ir al siguiente subcapítulo: Transparencia fiscal Ir al INICIO