Sistema de cumplimiento

[GRI 2-23, 2-26]

De acuerdo con los principios establecidos en el Bank for International Settlements (BIS) y la normativa de referencia en la materia, BBVA articula su actividad en torno al desarrollo e implementación de políticas y procedimientos específicos conforme a estrictos cánones de comportamiento ético, así como a su difusión y cumplimiento. En tal sentido, el modelo de gestión de riesgos de cumplimiento se encuentra orientado a la identificación, evaluación y mitigación de la eventual aparición de estos.

Se define como “riesgos de cumplimiento” al peligro de incurrir en sanciones legales y pérdidas financieras o de reputación que una entidad puede sufrir por incumplir leyes, regulaciones, normas, estándares de autorregulación y códigos de conducta aplicables a sus actividades, ya sea que esto ocurra adrede o por negligencia grave.

En línea con la estructura organizativa corporativa, y a fin de gestionar de manera debida los riesgos de cumplimiento en las entidades del Grupo BBVA en Perú, en 2021 se creó el área de Control Interno & Cumplimiento, de forma que Compliance reporta directamente al gerente del área, sin afectar el acceso directo al directorio, en una clara reafirmación de la autonomía, importancia e independencia con que el Grupo la ha dotado./

Bajo una estructura organizativa ágil, el área consta de seis disciplinas, sustentadas en un bloque de ejecución de procesos (Compliance Execution) y otro de desarrollo de proyectos (Compliance Solutions):

• Money Laundering (AML) Compliance, a cargo de los riesgos de lavado de activos y financiamiento del terrorismo (LAFT).
• Customer Compliance, encargada de gestionar los riesgos de conducta de mercado (diseño de productos, prácticas comerciales, transparencia), protección a los clientes, gobierno de producto y conflictos de intereses, entre otros vinculados.
• Corporate Compliance, responsable de gestionar principalmente los riesgos relacionados con conducta ética, corrupción, responsabilidad penal de las empresas del Grupo y riesgos de competencia (antimonopolio).
• Securities & Derivatives (S&D) Compliance, que gestiona los riesgos de conducta en los mercados de valores, prevención del uso indebido de información privilegiada y abuso del mercado, entre otros.
• Model & Assurance, disciplina que desarrolla e implementa el modelo de Compliance de alcance global, que incluye Compliance Testing, una función independiente de aseguramiento de controles y mitigantes de cumplimiento.
• Data Protection (PDP) Compliance, responsable de gestionar de forma eficiente los riesgos de cumplimiento regulatorio relacionados a la protección de datos personales de los clientes, colaboradores y proveedores.

Durante 2022, debido a la coyuntura política y a medidas vigentes, emitidas como consecuencia de la emergencia sanitaria global, la función de Compliance tuvo dos principales drivers de actuación:

1. Implementación, en el más breve plazo, de procedimientos y protocolos de actuación adecuados para el cumplimiento de la regulación emergente.
2. Necesidad de asegurar que la oferta de productos y servicios no presentara deficiencias en la gestión de riesgos de cumplimiento.

En tal sentido, el modelo corporativo de gestión de los riesgos de cumplimiento se vio sometido a un periodo de intensa prueba, para lo que debió reforzar los elementos y pilares sobre los que se sustenta. Con ese objetivo, la función de Compliance en BBVA Perú puso en práctica los siguientes elementos fundamentales del modelo:

1. Dotación de una estructura organizativa adecuada que le permitiese mantener su autoridad e independencia de criterio.
2. Mantenimiento o actualización, según correspondiese, de la normativa interna, políticas y procedimientos, a fin de garantizar la continuidad del negocio.
3. Apoyo en la infraestructura tecnológica, un elemento crucial para el desenvolvimiento eficaz de las actividades de supervisión y control de Compliance en forma remota.
4. Permanente actividad en risk assessment, tanto en los escenarios afectados por los cambios –para definir las acciones de mitigación que procurasen la debida gestión de los riesgos involucrados– como en aquellos que no se vieron golpeados.
5. Difusión y comunicación de los cambios y actuaciones pertinentes, entendidos además, de ser el caso, como una “re-educación” en las nuevas formas de desarrollar actividades.
6. Continuidad en la supervisión y control de los procesos establecidos que no sufrieron el impacto de la pandemia, al tiempo de desarrollar esquemas de monitorización para los cambios implementados.

Este esquema de gestión permitió responder de forma oportuna y eficaz a actividades con alto componente de factores de riesgo vinculados a la actividad de Compliance, incluso en el contexto de la emergencia sanitaria. De tal forma, se promovió y agilizó, con apoyo de tecnología biométrica, el onboarding de clientes en forma no presencial, así como la atención de operaciones a través de canales no presenciales y los requerimientos de crédito y de reprogramación de deudas.

Los cambios regulatorios y de entorno en la especial coyuntura de 2022 impactaron en mayor o menor medida en la prevención de lavado de activos y financiamiento del terrorismo, riesgos de corrupción, conducta de mercado, prevención de conflictos de intereses y de competencia y de integridad corporativa, por enumerar los más significativos.

Por otro lado, la visión macro del Banco en cuanto a que toda acción emprendida demanda también asegurar la trazabilidad para su posterior evaluación llevó a implementar, en 2021, las evaluaciones independientes tanto de los reguladores como de los órganos de auditoría interna y externa. Esta herramienta cobra cada vez mayor relevancia conforme se viabiliza la nueva normalidad.

En cuanto a la comunicación y formación de toda la organización, el Banco cuenta, además de la instrucción presencial y vía e-learning de Campus BBVA –un portal para impartir cursos y herramientas de capacitación corporativos–, con un Portal de Cumplimiento (intranet) que utiliza para las siguientes funciones:

• Difundir las novedades o los cambios en el marco legal, la normativa interna, los documentos nacionales e internacionales, las señales de alerta y los patrones de comportamiento sospechosos, así como las respuestas a las preguntas frecuentes.
• Dotar de notoriedad diferencial a una determinada norma o contenido divulgativo o formativo relacionados con las actividades de prevención del lavado de activos y financiamiento del terrorismo u otros riesgos de cumplimiento.
• Mantener un nivel de sensibilización apropiado, que se alcanza cuando el cumplimiento de las normas y el adecuado comportamiento ético constituyen parte de los mensajes institucionales.
• Contar con un medio informativo continuo y de fácil acceso para el personal.

El Plan Estratégico de BBVA incluyó a los datos como una de las prioridades, al considerárselos un activo crítico y estratégico, caracterizado por su complejidad, evolución tecnológica y cambios regulatorios.

En 2022 se creó la disciplina de Protección de Datos Personales y el cargo de Oficial de Protección de Datos Personales pasó de Servicios Jurídicos al perímetro de Cumplimiento. Asimismo, se incorporó al Modelo de Gobierno el operativo en privacidad, con el objeto de gestionar de forma eficiente las medidas necesarias para velar por la privacidad y la protección de los datos que conciernen a las personas físicas y jurídicas que se relacionan con BBVA.

Durante 2022 se prosiguió con el reforzamiento del marco de regulación interna (autorregulación), mediante la emisión y aplicación de la Norma de Regulación Interna aprobada el 2020 y de aplicación a todas las unidades del Banco. Además, se decidió que la normativa existente se actualice en un plazo de dos años.

BBVA cuenta con políticas específicas que vigorizan su compromiso de cumplimiento e integridad, entre las cuales están la de conducta en los mercados de valores, la de anticorrupción, la de prevención en materia de conflictos de interés, la de gobierno de productos, la de competencia y la política general de conflictos de intereses.

Asesoramiento en materia de comportamiento ético y legal

[GRI 2-12] [GRI 2-23, 2-26]

El Código de Conducta del Grupo BBVA en Perú recoge las últimas exigencias normativas y recomendaciones de organismos internacionales, así como las mejores prácticas y requerimientos de los organismos supervisores. Contiene, asimismo, las expectativas sociales actuales sobre lo que debe ser una estricta cultura empresarial basada en la ética.

El Código estipula de forma muy clara que el comportamiento de los empleados de BBVA debe ser legal y moralmente aceptable y publicable. Asimismo, proporciona pautas de comportamiento acordes con los principios de prudencia, integridad y transparencia del Grupo e incluye procedimientos para ayudar a los empleados a resolver dudas y aclarar el cumplimiento de sus obligaciones.

El Código aplica a todas las entidades vinculadas al Grupo BBVA en Perú. Cada colaborador cuenta con una copia del Código, que también se mantiene publicado en la página web del Banco y en el portal de Cumplimiento (intranet).

En mayo de 2022, el directorio aprobó una nueva versión del Código que, sin afectar su estructura, fortaleció algunos apartados y agregó nuevos, como: Responsabilidad sobre la gestión de riesgos, Relaciones con instituciones y empleados públicos, Calidad y uso de los datos y Fraude.

El equipo de Cumplimiento impulsa la revisión del Código con una periodicidad mínima anual, lo que refuerza el compromiso del Grupo BBVA con la integridad en los negocios e impulsa la comunicación, formación y adhesión al Código, así como los fundamentos que lo inspiran: transparencia, integridad y prudencia.

En 2022, BBVA implementó diversas herramientas corporativas, como:

• Registra tus regalos y eventos, herramienta interna que se incorpora como novedad en la versión 2022 del Código. Su objetivo es transparentar los detalles de cortesía que se reciben y se entregan a terceros.
• Canal de consultas, herramienta interna que brinda apoyo en la resolución de las dudas que puedan presentarse en los integrantes de BBVA con respecto a los lineamientos que establece el Código de Conducta y las políticas relacionadas.
• Canal de denuncia, al que pueden acceder tanto integrantes del Grupo BBVA como personas ajenas a este que deseen comunicar, vía el link https://www.bkms-system.com/bbva, una posible conducta antiética o delictiva. Con esta nueva herramienta se busca contar con medios más robustos que ayuden en la investigación de la conducta denunciada, para lo cual se brinda al denunciante las pautas de la información que debe compartir y se le permite adjuntar la documentación pertinente. Asimismo, se reforzó la confidencialidad y el anonimato de la comunicación.

En esa misma línea, Cumplimiento continuó brindando soporte y asesoría a los empleados y a la alta dirección de BBVA en materia de aplicación del Código, de políticas corporativas vigentes y de nuevas herramientas corporativas. La asesoría se impartió en asuntos relacionados con, entre otros, la aceptación de regalos o beneficios personales, el desarrollo de actividades profesionales, la gestión de patrimonios personales y el tratamiento y gestión de potenciales conflictos de interés.

BBVA tiene instituido el Comité de Gestión de Integridad Corporativa como el estamento de más alto nivel de vigilancia para la debida aplicación de las políticas y lineamientos incluidos en el Código. Además, el área de Compliance presenta en las sesiones del Comité la evolución de todos los ámbitos relacionados con el Código.

Política anticorrupción

La política anticorrupción se encuentra alineada con el FCPA (USA), el UK Bribery Act, el Código Penal español y las mejores prácticas del sector, en las que se toma como referencia la ISO 37001 y se establecen las pautas para poder realizar donaciones a entidades públicas. La revisión de la política es anual y en 2022 no se requirió realizar modificación alguna al documento.

[GRI 205-2]

El curso Política Anticorrupción y Código de Conducta es impartido de manera obligatoria a todo nuevo colaborador de cualquiera de las entidades del Grupo en Perú, a través de la plataforma virtual de formación. Durante el segundo semestre de 2022 se incluyeron en el pack regulatorio los cursos Programa de prevención de delitos y Libre competencia. Asimismo, se realizaron las capacitaciones a los directores del Banco y al Comité de Dirección sobre Prevención de Delitos relacionados con la Ley 30424.

Prevención del lavado de activos y del financiamiento del terrorismo (PLA/FT)

Como entidad financiera, BBVA Perú es consciente del papel fundamental que tiene en la prevención del lavado de activos y financiamiento del terrorismo (en adelante, PLAFT), por lo que esta se encuentra plenamente integrada como parte de su cultura corporativa. Así, asocia su compromiso de mejorar los entornos sociales en los que desarrolla sus actividades con el propósito de evitar que sus productos y servicios sean utilizados con finalidades delictivas, como requisito indispensable para preservar la integridad corporativa y, con ello, mantener la confianza de los stakeholders con los que se relaciona directamente (clientes, empleados, accionistas, proveedores, etc.) y con la sociedad en general.

Para ello, BBVA sustenta su accionar en un modelo corporativo y cuenta con una Política General de PLAFT aprobada por el directorio, que constituye la formalización de su modelo y establece un marco homogéneo para la gestión de este riesgo en el Grupo.

El modelo establece los siguientes principios generales para mitigar este riesgo:

• Compromiso del Grupo de incorporar medidas que eviten que los productos y servicios que ofrece a sus clientes sean utilizados con fines ilícitos.
• Fomento de un enfoque preventivo, basado en la gestión del riesgo de LAFT, que incluya el desarrollo de la cultura necesaria en este ámbito en el Grupo.
• Inclusión de la gestión del riesgo de LAFT en el Marco de Apetito al Riesgo del Grupo, para lo que define los indicadores necesarios.
• Aplicación en los sujetos obligados del Grupo de medidas equivalentes para gestionar adecuadamente el riesgo de LAFT, en especial las relativas a la identificación y conocimiento del cliente y a la comunicación de operaciones susceptibles de estar relacionadas con el lavado de activos o el financiamiento de actividades terroristas.
• Observación de los programas de sanciones financieras que restringen la actividad con determinados países, entidades e individuos.

El modelo es sometido a continuas revisiones independientes que permiten, en particular, reforzar los controles y establecer medidas mitigatorias adicionales para fortalecerlo.

Con la finalidad de reportar oportunamente operaciones sospechosas a la Unidad de Inteligencia Financiera, durante 2022, como parte de los procesos de mitigación y control dispuestos tras la presentación de la Evaluación Nacional de Riesgos de Lavado de Activos 2021, se llevaron a cabo mejoras en el monitoreo y análisis de operaciones vinculadas a actividades relacionadas con la minería ilegal y delitos de corrupción de funcionarios. Asimismo, se continuó con el monitoreo y control de operaciones con divisas y se reforzó la vigilancia de las transferencias remitidas al exterior o recibidas desde fuera para cumplir con los programas de sanciones financieras internacionales, medidas que pueden estar dirigidas contra determinados países, personas naturales o jurídicas.

[GRI 205-2]

Finalmente, dentro de la permanente formación de los colaboradores del Grupo en materia de prevención de lavado de activos, se realizaron las actividades de capacitación para todo el personal, lográndose capacitar al 97% de los colaboradores de la planilla general. Cabe destacar que durante el segundo semestre se llevó a cabo una capacitación adicional para un total de 42 oficinas de la red comercial, con sesiones presenciales y virtuales, sobre la base del nivel de riesgo LAFT identificado.

Conducta de mercado (Transparencia y protección al usuario)

Los temas de conducta de mercado (Customer Compliance), a cargo del oficial de conducta de mercado (OCM), tienen como objetivo asegurar el desarrollo de las siguientes actividades establecidas en el marco de la regulación de conducta de mercado emitida por la Superintendencia de Banca, Seguros y AFP (SBS) y las políticas y buenas prácticas corporativas:

• Evaluación de los riesgos para los clientes asociados a los productos, servicios y actividades de BBVA, así como promoción o implementación de medidas para su mitigación. La aplicación del modelo de cumplimiento se realiza a través de los comités de nuevos productos y dentro del programa de aseguramiento de calidad (PAC), lo que asegura la intervención del OCM desde la concepción de las iniciativas comerciales hasta su posterior desarrollo, comercialización y post contratación.
• Coordinación de los planes de acción para adaptarse a los nuevos requisitos y criterios emitidos en materia de protección al usuario, principalmente por la SBS. Desde 2021, y debido a la continuidad de medidas heredadas de la emergencia sanitaria, se produjeron cambios regulatorios con especial foco en la protección al consumidor, los que demandaron la actuación proactiva del OCM para prevenir la materialización de incumplimientos.
• Colaboración estrecha y continua con las unidades de desarrollo de productos y negocios, con énfasis en las iniciativas de banca digital, para incorporar en sus proyectos la visión de protección al usuario.
• Actualización permanente del marco normativo interno para la correcta comercialización de productos y servicios del Banco, especialmente en la debida aplicación de los cambios regulatorios dispuestos en el ámbito de la conducta de mercado.
• Participación en los proyectos de mejora y actualización de los procesos comerciales y de los sistemas informáticos del Banco, en procura de garantizar su alineamiento con las mejores prácticas de protección de los intereses del cliente. La coyuntura de emergencia determinó la necesidad de acompañamiento del OCM en forma permanente.
• Acciones de comunicación y formación dirigidas a las redes comerciales en materia de transparencia y protección al consumidor. Como quiera que cada empleado que atiende a un cliente/usuario debe estar debidamente informado y permanentemente actualizado, se desarrolló el programa anual de capacitación, extensivo a todos los colaboradores que brindan soporte a los procesos internos y se realizó una actualización periódica del material de consulta de las oficinas a través de una aplicación centralizada.
• Revisiones específicas de la información a disposición del público y de la fuerza de venta, lo cual incluye el control en la aplicación de comisiones y gastos y su publicación en la red de oficinas. Se validaron todas las comunicaciones emitidas y se revisó el marco de gobierno de las comisiones.
• Revisión de los contenidos de las campañas promocionales y de las acciones comerciales de productos/servicios, en cumplimiento del principio de publicidad transparente, clara y responsable (TCR) y del Código de autorregulación publicitaria suscrito por la Asociación de Bancos del Perú (ASBANC). Para ello, se realizaron informes trimestrales de seguimiento de la actividad publicitaria.
• Reforzamiento de las métricas e indicadores de seguimiento de riesgos de cumplimiento, con el objetivo de fomentar un enfoque preventivo.
• Evaluación de las reclamaciones de los clientes, de las revisiones de auditoría interna y externa y de los exámenes y requerimientos de los reguladores, lo que comprobó que la atención de estas se produjo dentro del plazo legal vigente.

Con respecto a la formación del personal en materia de Conducta de Mercado, en 2022 BBVA alcanzó una efectividad del 99%. Esta formación regulatoria busca asegurar que tanto el personal que tiene relación con los usuarios como el que diseña los productos y servicios desarrollen el cumplimiento de los principios de transparencia y conducta con el usuario acorde con la relación que la entidad genera con sus clientes.

Durante el periodo concluido se reforzó la aplicación de la política corporativa Conducta con el Cliente y Gobierno de Producto, lo que permitió al OCM evaluar de forma integral el lanzamiento de nuevos productos o variaciones significativas de estos, asegurando el cumplimiento del modelo desde la evaluación previa al lanzamiento hasta el posterior seguimiento de todas las iniciativas comerciales desarrolladas por el Banco.

Protección de datos personales

La gestión de la privacidad y protección de los datos se basa en las siguientes directrices generales:

Organización y gobierno: Los procesos de privacidad y protección de los datos estarán alineados con la estructura y los objetivos de BBVA, se mantendra en todo momento el compromiso de preservar la privacidad y protección de los titulares de los datos y se obrará con ellos de acuerdo con la legislación vigente.

La estructura de gobierno de la privacidad y protección de los datos estará diseñada de manera tal que incluya la participación de todos los niveles de la organización con el objetivo de conciliar prioridades, agilizar la resolución de conflictos y fomentar el apoyo a la exactitud de los datos y a la protección de los mismos.

Los roles y responsabilidades de las distintas áreas del Banco que participan en el gobierno de privacidad y protección de los datos se definirán aplicando una responsabilidad proactiva y promoviendo las medidas necesarias para impulsar su privacidad y protección.

Como parte de la Organización y gobierno, en 2022 se implementaron:

• La política general en privacidad y protección de datos.
• El modelo de gobierno y operativo en privacidad.
• La figura del Oficial de Protección de Datos Personales, al que se le asignaron poderes con la finalidad de representar al Banco BBVA ante la Autoridad Nacional de Protección de Datos Personales.

Control: Los controles necesarios para impulsar y evaluar su adecuada implantación se incorporarán a los marcos de control global del Grupo BBVA.

Las normas y procedimientos asociados a la gestión de los datos y de su privacidad se evaluarán periódicamente para velar por su cumplimiento.

• Durante 2022 se actualizó la Norma en Protección de Datos Personales- RSC.NN.01.017 para incluir modificaciones regulatorias y alcances realizados por el órgano de control.
• El directorio aprobó la política general en privacidad y protección de datos personales.
• Igualmente, se tiene una política de privacidad que se encuentra en la web del Banco, donde se recopilan los consentimientos de los clientes.
• Se cuenta con un documento para la autorización del tratamiento de datos que otorgan los colaboradores para cumplir con las finalidades adicionales.

Con el objeto de velar porque los datos sean adecuados para su propósito, se definirán categorías que permitan su segmentación según su nivel de confidencialidad y criticidad.

• En 2022 se establecieron nueve indicadores: Gobernanza y organización de protección de datos, Tratamiento de datos, Transferencia internacional de datos, Gestión de consentimientos, Supervisión y mitigación de riesgos, Gestión de derechos y reclamaciones, Gestión de brechas (data breach) y Tratamiento de datos por parte de terceros.
• Asimismo, se implementaron 26 controles con la finalidad de mitigar escenarios contingentes que serán evaluados y monitorizados de manera trimestral.

Se han definido métricas y controles específicos para determinar la efectividad de las medidas de privacidad y protección de los datos, con el objetivo de medir sus riesgos y establecer un proceso de mejora continua.

• Durante 2022 se concretó Dashboard Data Protection, una herramienta corporativa de madurez en privacidad, que mide el grado de cumplimiento regulatorio local. Al término del periodo, se obtuvo el 91% de cumplimiento.
• BBVA Perú es el primero en implementar un dashboard de consentimientos en donde se cuenta con la trazabilidad de los consentimientos de clientes y colaboradores.

Formación: Con objeto de que todos los integrantes de BBVA sean conscientes del valor de la información y de la necesidad de la protección y privacidad de los datos, se ha implementado el plan Cultura de Cumplimiento.

[GRI 2-27]

Durante 2022, BBVA presentó casos significativos de incumplimiento de la legislación y la normativa, los cuales se describen a continuación:

• SBS-Sanciones de visitas de inspección. Con fecha 5 de julio de 2021, la SBS inició un procedimiento administrativo sancionador (PAS) por: cobros indebidos de comisiones por envío de estado de cuenta, cobro de comisiones de cuentas inactivas, descuento automático por adelanto de sueldo, cobros de intereses por compras a una cuota y de más de una penalidad en periodos de facturación y venta de más de un seguro de tarjetas a un cliente. El 5 de mayo de 2022, la SBS impuso una multa ascendente a 340 UIT, la que fue confirmada en segunda instancia y cancelada íntegramente por el Banco. Cabe mencionar que el proceso llevado a cabo inició en 2018, tras una fiscalización.