El marco de gestión del riesgo operacional definido para el Grupo BBVA incluye una estructura de governance basada en tres líneas de defensa, con delimitación clara de las responsabilidades; en unas políticas, criterios y procesos comunes a todo el Grupo; en unos sistemas para identificar, medir, monitorear, controlar y mitigar los riesgos operacionales y en unas herramientas y metodologías para la cuantificación del riesgo operacional en términos de capital.
La gestión del riesgo operacional en BBVA se lleva a cabo por las unidades de negocio y soporte en las que se estructuran los países. Cada país cuenta con una unidad llamada CIRO (Control Interno y Riesgo Operacional). Las áreas de negocio o de soporte tienen, a su vez, unidades de control interno y de riesgo operacional que dependen funcionalmente de las anteriores. De esta forma, el Grupo dispone de una visión a pie de proceso, que es donde se identifican y priorizan los riesgos y toman las decisiones de mitigación, y que por agregación permite tener una visión macro a diferentes niveles.
Cada unidad de negocio o de soporte dispone de uno o más comités CIRO (CCIRO) que se reúnen trimestralmente. En dichos comités se analiza la información proporcionada por las herramientas y se toman las decisiones de mitigación oportunas. Por encima de los CCIRO se encuentra el Comité País de Control Interno y Riesgo Operacional, en el que se tratan los riesgos de mayor calado y sus correspondientes planes de mitigación, así como los riesgos que afectan transversalmente a diversas áreas. Como órgano de máximo nivel en la matriz, existe el Comité Global de Control Interno y Riesgo Operacional (CGCIRO), que efectúa un seguimiento general de los principales riesgos operacionales del Grupo. Y por encima de todo están los Órganos de Gobierno, que son los máximos impulsores de la gestión del riesgo operacional en el Grupo.
La gestión del riesgo operacional en el Grupo se construye a partir de las palancas de valor que genera el modelo avanzado o AMA (advanced measurement approach), y que son las siguientes:
1. La gestión activa del riesgo operacional y su integración en la toma de decisiones del día a día (la gestión) suponen:
- El conocimiento de las pérdidas reales asociadas a este riesgo (base de datos SIRO).
- La identificación, priorización y gestión de riesgos potenciales y reales.
- La existencia de indicadores que permiten analizar la evolución del riesgo operacional en el tiempo, definir señales de alerta y verificar la efectividad de los controles asociados a los riesgos.
Todo lo anterior contribuye a un modelo anticipatorio que permite la toma de decisiones de control y de negocio, así como priorizar los esfuerzos de mitigación en los riesgos relevantes para reducir la exposición del Grupo a eventos extremos.
2. Mejora el entorno de control y refuerza la cultura corporativa.
3. Genera un impacto reputacional positivo.