Julio 2018

Política y Procedimiento Corporativo de Debida Diligencia

(“Due Diligence” o “DD”)

I. Propósito y alcance
Esta Política y Procedimiento explica los principios, procedimientos y herramientas para ejecutar el proceso de
debida diligencia a Terceros (Ver Sección Definiciones) en cualquier Subsidiaria del Grupo Graña y Montero (en
adelante “el Grupo”), con el objetivo de identificar y mitigar los riesgos derivados de las relaciones de negocios
con Terceros; como parte del Programa de Cumplimiento de las leyes Anticorrupción1, fraude y de Previsión de
Lavado de Activos y Financiamiento del Terrorismo aplicables.

Su aplicación será obligatoria para:

- Clientes, con excepción de los de Viva GyM y otros retail o que por obligación legal deben ser atendidos.
- Socios.
- Proveedores (Contratistas, sub-contratistas y proveedores en general) de bienes y servicios con compras
anuales promedio que superen S/.1 Millón; excepto los servicios públicos (Luz, agua y telefonía).
- Proveedores que prestan servicios de Asesoría/Consultoría/Legal (p.e. Legal, Financiera, Técnica),
Agentes/Representantes y financistas dentro y fuera del sistema bancario que superen los S/.30 mil.
- Compradores (en caso de venta de activos).

II. Política
Antes de entrar en relación con un Tercero, éste deberá pasar por un proceso de debida diligencia para
comprender los riesgos de cumplimiento2 que representa y si estos fuesen aceptables; determinar los controles
pertinentes para mitigarlos.

III. Principios

 El Grupo no entrará en relación con un Tercero cuando eso signifique violar la ley o el espíritu de la ley.
 La profundidad del análisis de debida diligencia responde al nivel de riesgo que representa el Tercero.
 La debida diligencia busca identificar riesgos a través de alertas.
 Los cuestionarios y otras herramientas para realizar la debida diligencia son ayudas referenciales mínimas
y no sustituyen al análisis y buen criterio en la evaluación.
 La relación con el Tercero podrá ser aprobada cuando los riesgos que éste represente se encuentren dentro
del apetito de riesgos del Grupo.
 El Responsable de iniciar la evaluación del nivel del riesgo, a través de la debida diligencia, es la persona
que maneja o manejaría la relación de negocios con el Tercero.
 El proceso de debida diligencia deberá iniciarse lo antes posible. Por ejemplo; en el caso de socios,
idealmente cuando se tenga una lista corta de candidatos.

1 Incluye pero no se limita a la Ley FCPA - Foreign Corrupt Practices Act (USA), Ley N°30424-2016: Responsabilidad administrativa de las
personas jurídicas por delitos de Corrupción (Perú), Decreto Legislativo N°1352-2017: Decreto que amplía el alcance de la ley N°30424, Ley
N°27693-2002: Ley que crea la Unidad de Inteligencia Financiera del Perú (Perú), Decreto Supremo Nro. 020-2017: Nuevo Reglamento de la
Ley N° 27693 (Perú), Resolución SBS Nro. 789-2018: Norma para la prevención del lavado de activos y financiamiento del terrorismo (Perú),
Ley N°20393-2009: Responsabilidad Penal de Personas Jurídicas (Chile), Ley 20818-2015: Perfeccionamiento de la prevención, detección,
control, investigación y juzgamiento del delito de lavado de activos (Chile), Ley N°1778-2016 Responsabilidad administrativa de las personas
jurídicas por soborno a servidores públicos extranjeros en transacciones comerciales internacionales (Colombia), Circular Externa No. 100-
000003 de 2016 expedida por la Superintendencia de Sociedades: Adopción de programa de Ética empresarial y mecanismos de prevención
de conductas de soborno transnacional (Colombia), Resolución No. 100-002657 de 2016 expedida por la Superintendencia de Sociedades:
Guía para poner en marcha programas de ética empresarial para la prevención de conductas de soborno transnacional (Colombia), Circular
Externa No. 100-000006 de 2014 expedida por la Superintendencia de Sociedades: Sistema de Autocontrol y Gestión del Riesgo LA/FT.
Reporte Obligatorio de Información a la UIAF (Colombia).
2 Cumplimiento con las leyes aplicables de anticorrupción, prevención de lavado de activos y financiamiento terrorista (Ver nota al pie anterior), y
del código de conducta del Grupo.

Página 1 de 10
 Julio 2018

Política y Procedimiento Corporativo de Debida Diligencia

(“Due Diligence” o “DD”)

 El proceso de debida diligencia deberá estar concluido; es decir, el Reporte Red Flag debe contar con la
aprobación final antes de firmar un contrato/acuerdo y/o cualquier documento vinculante con el Tercero.
 En caso de un nuevo proyecto/servicio/producto, cuyo Tercero cuente con debida diligencia vigente; se
evaluará el riesgo en base al cuestionario interno (QI) y con el Gerente de Cumplimiento de Unidad de
Negocio se determinará la necesidad de actualizar el cuestionario externo (QE). La aprobación dependerá
del nivel de riesgo resultante de agregar este nuevo proyecto/servicio/producto.

IV. Enfoque del proceso de debida diligencia del Grupo

V. Criterios para la determinación del riesgo y niveles de debida diligencia

El nivel de riesgos del Tercero se evaluará a lo largo de las diferentes fases de la investigación:

En la Fase 1 se evaluará sobre la base de los siguientes criterios (establecidos en el QI) y el filtraje del nombre
del Tercero en listas y media:

1. Sobre la Ubicación Geográfica: Orientada a identificar si el tercero, su matriz y/o el proyecto se

desarrollará en un país con altos índices de corrupción según en el estudio “Corruption Perceptions
Index 2017” emitido por Transparencia Internacional y/o en una ciudad en la que hay percepción de
corrupción alta, presencia débil del gobierno y/o policía y el nivel de crimen es percibido como alto.

P.1. ¿En qué país se encuentra basado el Tercero?

1.a. ¿El país donde está basado tiene Score < 30?

P.2. ¿En qué país se encuentra basada su matriz?

2.a. ¿El país donde está basado tiene Score < 30?

P.3. ¿En qué país se ejecutará el proyecto?

3.a. ¿El país donde se ejecutará el proyecto tiene Score < 30?

Página 2 de 10
 Julio 2018

Política y Procedimiento Corporativo de Debida Diligencia

(“Due Diligence” o “DD”)
P.4. ¿En qué ciudad será ejecutado el servicio/proyecto/operación?
4.a. ¿La ciudad donde se ejecutará el servicio/proyecto/operación es una ubicación geográfica en la que
hay percepción de corrupción alta, presencia débil del gobierno local y/o regional y/o de la policía y/o el
nivel de crimen es percibido como alto?

2. Sobre el Tercero (Persona Natural o Jurídica): Orientada a obtener información acerca de la

experiencia y antecedentes del Tercero.

P.5. ¿El Tercero es nuevo? (No ha realizado operaciones con nosotros anteriormente).
P.6. ¿El Tercero fue recomendado por un FP3, PI4 o PEP5 o empleado del Grupo?
P.7. ¿El Tercero actuará en nuestra representación ante el gobierno o entidades reguladoras, o funcionarios públicos?
P.8. ¿El Tercero requiere que las transacciones monetarias sean realizadas en países donde no tiene operaciones o en
cuentas bancarias que no se encuentran registrados a su nombre o cuentas anónimas o múltiples pagos de cantidades
pequeñas?
P.9. ¿Ha realizado el Tercero, o cualquier empleado clave o miembro de la alta gerencia, comentarios en el sentido de que
cualquier pago particular, contribución u otra actividad es necesaria para "obtener el negocio", "hacer los arreglos
necesarios", etc?
P.10. ¿Según las indagaciones iniciales (en media, Google), el Tercero, los miembros de la alta gerencia o sus directores
presenta o presentó problemas de reputación e integridad?
P.11. ¿Según las indagaciones iniciales, el Tercero o los miembros de la alta gerencia o sus directores, han sido sujetos de
procesos legales como resultado de la violación de las leyes anticorrupción y/o lavado de activos y/o financiamiento de
terrorismo?
P.12. ¿En el ejercicio de su función, el Tercero tendrá interacción frecuente con funcionarios del gobierno, entidades del
gobierno, representantes del gobierno, empresas controladas con el gobierno o miembros de la clase política?
P.13. ¿Según las indagaciones iniciales, el Tercero es total o parcialmente controlado por o asociado a un por un FP4, PI5 o
PEP6 o entidad o empresa del gobierno?
P.14. ¿El Tercero recurrentemente realiza trabajos/proyectos con el Gobierno?

3 FP: Funcionario Público significa: (1) Cualquier persona que ocupe un cargo oficial, como empleado (a tiempo completo o parcial), funcionario o director, con
cualquier gobierno, agencia, departamento o instrumento de la misma, incluyendo una empresa propiedad del estado o controlada por el estado; (2) Miembros de las
Fuerzas Armadas; (3) Funcionarios de organizaciones internacionales públicas como las Naciones Unidas, el Fondo Monetario Internacional, u otras similares; (4)
cualquier persona que "desempeñe una función oficial", como una delegación de autoridad del gobierno para desempeñar funciones oficiales, incluida una asignación
específica del proyecto.
4 PI: Persona de Interés significa: significa: (a) un funcionario público como se define líneas arriba; (b) un partido político, un funcionario de un partido político
(incluyendo miembros de consejo consultivo o consejo ejecutivo de un partido político) o un candidato a un cargo político; (c) un miembro de familia inmediata, como
un padre, cónyuge, hermano o hijo de una persona en la categoría (a) o (b).
5 PEP: Persona Expuesta Políticamente significa: Personas naturales, nacionales o extranjeras, que cumplen o que hayan cumplido funciones públicas destacadas
o funciones prominentes en una organización internacional; sea en el territorio nacional o en el extranjero, y cuyas circunstancias financieras puedan ser objeto de
un interés público. Incluye:

- Presidentes, jefes de estado o cargos similares.

- Presidente del consejo de ministros, ministros, viceministros y secretarios generales del Poder Ejecutivo. Gobernadores regionales y alcaldes o máxima
autoridad de gobiernos regionales y locales, vicegobernadores regionales, regidores y gerentes de gobiernos regionales y locales.
- Congresistas, miembros del parlamento o cargos similares; miembros de la oficialía mayor del Congreso o cargos similares.
- Presidente del Poder Judicial y Presidente de la Corte Suprema de Justicia; jueces supremos, jueces superiores (vocales), jueces especializados o mixtos,
gerente general, secretario general y cargo equivalente en el fuero militar.
- Fiscal de la Nación, fiscales supremos, fiscales adjuntos supremos, fiscales superiores, fiscales provinciales; el gerente general y el secretario general del
Ministerio Público; así como cargos equivalentes en el fuero militar (fiscales encargados de la justicia militar).
- Comandante General de la Marina de Guerra, Comandante General de la Fuerza Aérea, Comandante General del Ejército y Director General de la Policía
Nacional, o cargos similares de las fuerzas armadas y de las fuerzas de seguridad pública.
- Gerente general, gerentes o cargos de primer nivel; es decir, aquellos gerentes que son directos colaboradores del gerente general en la ejecución de las
políticas y decisiones del directorio; y, directores de empresas con participación estatal mayoritaria en el capital social, como son el Banco de la Nación, el
Fondo Mivivienda y la Corporación Financiera de Desarrollo y las cajas municipales de ahorro y crédito.
- La máxima autoridad, directores, miembros de órganos colegiados, secretarios generales, jefes de gabinete y asesores de entidades públicas, organismos
públicos reguladores y/o supervisores especializados, ejecutores y organismos constitucionalmente autónomos.
- Embajadores, cónsules y ministros plenipotenciarios.
- Funcionarios y servidores del órgano encargado de las contrataciones y adquisiciones, en el marco de la normativa aplicable sobre contrataciones del Estado
de todas las entidades públicas. Asimismo, los titulares o encargados de las áreas de tesorería, presupuesto, finanzas y logística del sector público.
- La máxima autoridad del organismo internacional en la ejecución de las políticas y decisiones del directorio; y sus directores o cargos similares. Debe entenderse
por organizaciones internacionales a aquellas entidades establecidas mediante acuerdos políticos oficiales entre los distintos Estados, los cuales tienen el
estatus de tratados internacionales, su existencia es reconocida por ley en sus propios Estados y que dichas organizaciones se puedan diferenciar del país en
donde se encuentren radicadas (p.e. Naciones Unidas).
- Fundadores, miembros de los órganos directivos, representantes legales, contador, tesorero y candidatos a elecciones de los partidos políticos o alianzas
electorales.

Asimismo, se consideran como PEP a los colaboradores directos de las personas indicadas en el listado anterior, siempre que sean la máxima autoridad de la
institución a la que pertenecen, entendiendo por “colaboradores directos” a aquellas personas que siguen a estas en la línea de mando y tienen capacidad de
decisión.

Página 3 de 10
 Julio 2018

Política y Procedimiento Corporativo de Debida Diligencia

(“Due Diligence” o “DD”)
P.15. ¿Es conocida la cercanía del Tercero con la clase política?
P.16. ¿El Tercero requiere que se realicen contribuciones de caridad o políticas?
P.17. ¿El Tercero tiene negocios que incluyen casas de cambios, casinos, comercio de metales preciosos y/o piedras
preciosas (no incluye empresas mineras)?

3. Sobre Proyecto, Servicio o Producto: Orientada a obtener información acerca de los antecedentes y
contexto del proyecto.

P.18. ¿El Tercero tiene muy poca o ninguna experiencia?

P.19. ¿Conoce Usted algún conflicto de intereses o alerta de riesgo de cumplimiento en esta potencial relación comercial?
P.20. ¿La potencial operación involucra un importe mayor al 20% de las ventas de la Subsidiaria?
P.21. ¿La utilidad neta antes de impuestos del proyecto se encuentra por encima del promedio normal del sector?
P.22. ¿Los honorarios a ser pagados al Tercero (o cobrados del Tercero); según aplique, se desvían significativamente de la
práctica usual o serán determinados en base al desempeño (p.e. honorarios de éxito, bonos, honorarios contingentes,
entre otros)?
P.23. ¿El producto o servicio solicitado no corresponde a niveles usuales de calidad y/o entrega?
P.24. ¿El valor o precio del producto carece de parámetros típicos del mercado?
P.25. ¿Para el caso de socios, la asociación incluye o incluirá fees de liderazgo y/o dividendos diferenciados?
P.26. ¿Para el caso de socios, el Grupo participará como socio minoritario?

En la Fase 2, el análisis del nivel de riesgo se complementa sobre la base de información obtenida en el
cuestionario externo (QE) 6 y de los resultados del filtraje en listas y en medios sobre los nombres asociados al
Tercero. La información obtenida en el QE es relativa a:

- Empresas relacionadas, accionistas, directores y ejecutivos.

- Su negocio y sus operaciones.
- Su relación con el estado, funcionarios públicos, personas de interés o PEPs.
- Sus procesos legales.
- Sus políticas y conductas.

En la Fase 3 (Para Terceros de riesgo medio y alto), el nivel de riesgo se evaluará sobre la base de la información
obtenida en la investigación avanzada o reforzada; de acuerdo con el alcance indicado en el numeral VI.

VI. Alcance de la debida diligencia según el nivel de riesgos:

Las actividades a realizar y su periodicidad, corresponden con el nivel de riesgo según la siguiente tabla:

Nivel de debida diligencia

Fuente/ Herramienta Riesgo Riesgo Riesgo
Actividades
básica Bajo Medio Alto
(Básica) (Avanzada) (Reforzada)
Conocimiento del
personal del grupo sobre
Obtener el Cuestionario Interno (QI).   
la potencial operación y
el Tercero
Obtener el Cuestionario Externo (QE)7. Cliente/Securimate   
Filtrar en listas de sanciones, lista de embargos, lista PEPs,
listas negras mundiales y prensa al Tercero (Persona Jurídica o Securimate y/o
  
Individuo), sus accionistas, alta gerencia, directores, personal World Check (WC)
clave y otros, según aplique.

6 Cuando no sea posible obtener el cuestionario externo del tercero (ej. Empresas del sector público), será llenado por los colaboradores del Grupo Graña y Montero
en base a la información pública y de relación con el tercero.
7 El cuestionario externo deberá ser firmado por el representante legal del Tercero. Para empresas del estado, controladas por el estado o entidades públicas; el QE
será completado de manera interna por el negocio sobre la base de la información pública disponible del Tercero.

Página 4 de 10
 Julio 2018

Política y Procedimiento Corporativo de Debida Diligencia

(“Due Diligence” o “DD”)
Nivel de debida diligencia
Fuente/ Herramienta Riesgo Riesgo Riesgo
Actividades
básica Bajo Medio Alto
(Básica) (Avanzada) (Reforzada)
Revisión documentaria; es decir la revisión de la existencia y
difusión de los siguientes documentos oficiales (de existir); así
como la apreciación sobre su suficiencia y razonabilidad en
función al tamaño del Tercero y su tipo de operación.
a) Código de Ética o equivalente. Revisión documentaria   
b) Política Anticorrupción.
c) Política de Debida Diligencia.
d) Procedimiento SPLAFT (de aplicar).
e) Política y/o procedimiento de gestión de la línea ética.
Batería de actividades de la debida diligencia reforzada (Anexo Revisión documentaria /
  
1) Entrevistas Personales
Periodicidad de la evaluación para Perú y Chile8. - 3 años 2 años 1 año

Periodicidad de la evaluación para Colombia7 - 1 año 1 año 1 año

Es importante precisar que, si bien el riesgo será evaluado en base a los criterios antes detallados, en este
proceso de evaluación se deberá hacer uso del juicio profesional. Esto podrá determinar el incremento del nivel
de riesgo, resultante del análisis realizado.

Los aprobadores y tiempos requeridos según el nivel de riesgo del Tercero son los siguientes:

Nivel de Debida Aprobadores requeridos Tiempo

Riesgo diligencia estimado9
Bajo Básica - Responsable Legal de la Subsidiaria. 1 Semana
- Gerente General de la Subsidiaria.

Medio Avanzada - Responsable Legal de la Subsidiaria. 2-3

- Gerente General de la Subsidiaria. Semanas
- Gerente Regional de Ingeniería y Construcción (Aplicable sólo para
Subsidiarias del área de Ingeniería y Construcción).
- Gerente Corporativo de Operaciones
- Gerente Corporativo de Riesgos y Cumplimiento.

Alto Reforzada - Responsable Legal de la Subsidiaria. 3-4

- Gerente General de la Subsidiaria. Semanas
- Gerente Regional de Ingeniería y Construcción (Aplicable sólo para
Subsidiarias del área de Ingeniería y Construcción).
- Gerente Corporativo de Operaciones
- Gerente Corporativo de Riesgos y Cumplimiento.
- Gerente General Corporativo.
- Comité de Riesgos (En caso de requerir una opinión dirimente)

VII. Proceso de debida diligencia

El siguiente gráfico muestra las actividades claves del proceso de debida diligencia.

8 En caso de que el Responsable identifique eventos significativos de índole reputacional, anticorrupción o delitos financieros; así como cambios de accionistas, alta
gerencia y/o Directores; deberá comunicar vía correo electrónico esta información al GCUN a fin de actualizar la evaluación según esa nueva información.
9 Este tiempo estimado está sujeto a la recepción de ambos cuestionarios completos.

Página 5 de 10
 Julio 2018

Política y Procedimiento Corporativo de Debida Diligencia

(“Due Diligence” o “DD”)

Proceso de Debida Diligencia a Terceros

NO Securimate

Securimate A Enviar Aprobación de

QE Red Flag
Negocio

Revisar si existe
¿Perfil ¿Eval. Completar Crear el perfil
1 D E
un perfil creado SI SI +
creado? Vigente? QI del Tercero
para el Tercero 4
1 2 1
Completar Securimate

Securimate NO QI
Securimate
1
A B
Securimate

Iniciar el proceso Iniciar el proceso

NO NO
Cumplimiento de Unidad de Negocios (JEO)

de aprobación de aprobación
Rechazar el QI E
Securimate ¿Continúa?
B SI ¿Continúa? SI
Rechazar el QI
Completar el Red
C Flag (Plan de
NO NO Revisar el QE
¿+Riesgo? Mitagación)
NO Securimate
1
5

Discutir del Plan de

¿QI Completar el Red ¿QI Revisar las alertas
Revisar el QI Revisar el QI ¿QE Revisar las alertas Mitigación con el
Ok? Flag del Proyecto Ok? tempranas con el
1
SI Ok? con el Negocio negocio
SI
(Plan de Mitagación) Negocio
Securimate SI
Securimate
SI
Envíar el QI al Discutir del Plan de Envíar el QI al
equipo de Envíar el QE al
equipo de Mitigación con el
investigaciones equipo de
investigaciones negocio
investigaciones
1
Cumplimiento e Investigaciones (MZS)

Comunicar al
Comunicar al CUN 3ra fase de investigación:
CUN Riesgo Debida Diligencia
Alto Reforzada
SI 3

Actualizar el Red Flag 1ra fase de investigación 2da fase de investigación 3ra fase de investigación:
Investigación sobre el SI ¿Alertas (+ Riesgo Debida Diligencia Elaborar el Red Flag
del Proyecto (Sobre el Tercero y el (Sobre nombres asociados NO +
Proyecto Riesgo)? Medio Intermedia (Sección I, II y III)
(Sección I, II y III) Proyecto) al Tercero y otros asuntos)
4 3
3 3
Securimate Securimate

¿Alertas Riesgo
Tempranas?
Bajo

Completar el QE
Tercero

D
Securimate

VIII. Lineamientos para la elaboración del Reporte Red Flag (Reporte de Alertas)
El reporte de Red Flag será elaborado por el equipo de investigación y contendrá:
o Sección I - Resumen del Perfil del Tercero: En esta sección se resumirá la información relativa a las
operaciones del tercero, los principales accionistas, la potencial operación/servicio que se desea tener
con el tercero, la forma legal que se utilizará (principalmente en el caso de socios), descripción del
proceso de licitación (de aplicar); entre otros.
o Sección II – Alertas identificadas: En esta sección se resumirá las alertas identificadas producto del
proceso de investigación; incluyendo el análisis del QI, QE, resultados del filtraje en listas y medios; y/o
cualquier otra fuente estipulada en el Manual de Investigaciones.
o Sección III – Riesgos y Plan de Mitigación de los Riesgos Identificados (Controles): Esta sección
contendrá los riesgos identificados; así como los planes para mitigarlos.
o Sección IV – Aprobadores: Esta sección contendrá los nombres de los aprobadores requeridos según el
nivel de riesgo del tercero.
o Sección V – Otros: Esta sección contendrá el nombre, correo y firma de la persona a cargo de la debida
diligencia del tercero.

Página 6 de 10
 Julio 2018

Política y Procedimiento Corporativo de Debida Diligencia

(“Due Diligence” o “DD”)
IX. Monitoreo continuo
El filtraje en listas y medios del nombre del Tercero y los nombres asociados a este se realizará mensualmente.

X. Gestión de riesgos y monitoreo de los planes de mitigación

Sobre la base de los riesgos identificados; el gerente general de la unidad de negocio deberá diseñar,
implementar, monitorear y reportar los controles pertinentes con la periodicidad que le corresponda según su
diseño. Esto incluye definir al encargado de ejecutar el control, actividades a ejecutar, herramientas a utilizar,
frecuencia y la evidencia que debe ser documentada.
Por otro lado; el Gerente de Monitoreo del área de Riesgos y Cumplimiento, incluirá estos controles en su Plan
de Monitoreo y ejecutará pruebas para determinar su cumplimiento y efectividad.

XI. Responsabilidades

Primera línea de defensa

 Los Gerentes Generales de las empresas del Grupo son los responsables de la aprobación y aplicación de
esta Política y Procedimiento Corporativo en cada una de sus empresas y proyectos.

 Los Gerentes Comerciales, Líderes de Logística, Gerentes Legales y Gerentes Financieros; como
gerencias que estarán a cargo de la relación de negocios con el potencial Tercero (Según el tipo de Tercero);
son los dueños de la debida diligencia y son los responsables de garantizar que se inicie y termine
oportunamente; es decir antes de la aceptación de cualquier obligación vinculante del Grupo con un Tercero.

Segunda línea de defensa

El Área de Riesgos y Cumplimiento es responsable a través de:

 El Gerente de Cumplimiento de Unidad de Negocio es el responsable de revisar la calidad de la

información provista en el QI y QE; así como de proveer asistencia y acompañamiento a los negocios en la
identificación de riesgos y el diseño de los controles para mitigar los riesgos identificados.

 El Gerente de Cumplimiento e Investigaciones es el responsable de:

o Diseñar y dar mantenimiento (actualizaciones) a las políticas y procedimientos asociados al proceso

de debida diligencia.
o Liderar la implementación de mejoras al proceso de debida diligencia.
o Liderar la implementación de herramientas que soporten el proceso de debida diligencia.
o Supervisar la ejecución del proceso de debida diligencia a terceros.
o Revisar el análisis de la información contenida en el QI y QE; así como de los resultados del filtraje
en listas de sanciones y media (prensa), la resolución de coincidencias y las alertas identificadas.
o Proveer asistencia y acompañamiento a los negocios en la identificación de los riesgos asociados al
tercero y/o la potencial operación.

 El Gerente de Monitoreo, evaluación y remediación es el responsable de:

o Supervisar el diseño del Plan Corporativo de Evaluación de los Sistemas de Control Interno de las
empresas del Grupo.
o Supervisar el diseño planes de prueba orientados a evaluar la efectividad de los sistemas de control
interno para mitigar razonablemente los riesgos críticos de los negocios.
o Supervisar la coordinación y/o realización de las actividades necesarias para garantizar la ejecución
de los planes de prueba.
o Supervisar el Monitoreo del avance de las pruebas y el cumplimiento del plan de monitoreo,
evaluación y remediación.

Página 7 de 10
 Julio 2018

Política y Procedimiento Corporativo de Debida Diligencia

(“Due Diligence” o “DD”)
o Ofrecer asesoría a los dueños de los procesos y controles en la interpretación sobre el uso y
aplicación de las políticas corporativas del grupo en materia de gestión de riesgos, control interno y
cumplimiento; así como asesoría en la remediación de deficiencias de control y el “change
management”, asegurándose de mostrar una posición consistente y estandarizada con la de la
Gerencia Corporativa.

XII. Definiciones
1. Tercero:

a. Socio: Organización o individuo con quien se firma un contrato para establecer una nueva entidad
legal o establecer un consorcio y/o administrar los activos de una entidad y/o cualquier otra forma legal
que se convenga según el tipo de proyecto. Se contempla 3 tipos de socios:

i. Constructor: Organización a cargo de toda o parte de la construcción del proyecto.

ii. Operador: Organización a cargo de parte o toda la operación del proyecto.
iii. Financista: Organización cuya contribución al proyecto será asumir parte o la totalidad del
financiamiento y que en contraprestación; tendrá participación en la utilidad del proyecto.

b. Cliente: El receptor directo de un producto, servicio o idea comprada de una organización. Se

contempla 3 tipos de clientes:

i. Privado: Cliente privado sin ninguna participación ni control por parte del estado.
ii. Público – Directo: Empresas públicas, entidades de gobierno, etc.
iii. Público – Indirecto: Cliente privado que nos sub-contrata para realizar labores en un proyecto
cuyo cliente final es una entidad del estado o controlada por el estado.

c. Proveedor: Organización o individuo que provee de bienes y servicios. Se contempla 5 tipos de

proveedores:

i. Agente / Representante: Organización o individuo autorizado para actuar en nombre de o de

otra manera representar a cualquier empresa del Grupo en el fomento de sus intereses
comerciales frente a otra persona, empresa y / o funcionario gubernamental).
ii. Asesor/Consultor/Legal: Organización o individuo que brinda servicio y asesoramiento a
cualquier empresa del Grupo (p.e. asesores y/o consultores legales, financieros, tributarios;
técnicos).
iii. Bienes: Organización o individuo que provee de bienes al Grupo.
iv. Sub-contratista: Organización o individuo que es contratada para realizar una tarea
específica como parte de un proyecto.
v. Financista SF: Organización dentro del sistema financiera que provee de servicios financieros
(p.e. bancos, cajas, etc.)
vi. Financista OSF: Organización o individuo fuera del sistema financiera que provee de servicios
financieros (p.e. personas naturales que realizan préstamos a alguna empresa del grupo.
vii. Otros: Organización o individuo que provee cualquier otro servicio al Grupo.

2. Responsable Legal: Persona a cargo del departamento legal de cada una de las diferentes Subsidiarias
(Asesor Legal, Abogado, Gerente de Legal, entre otras denominaciones).

3. GCI: Gerente de Cumplimiento e Investigaciones.

4. GCUN: Gerente de Cumplimiento Unidad de Negocios.

Página 8 de 10
 Julio 2018

Política y Procedimiento Corporativo de Debida Diligencia

(“Due Diligence” o “DD”)
5. Nivel de riesgo: Nivel de riesgo asignado a un Tercero sobre la base de los criterios establecidos en la
presente política, su probabilidad de ocurrencia e impacto. Este puede ser Alto, Medio o Bajo.

6. Apetito de Riesgo: El nivel de riesgo que la Alta Gerencia y el Directorio están dispuestos a aceptar en
forma en relación con los objetivos de la organización.

7. M&A (Merge and Acquisitions): Término para referirse a los procesos de compra-venta de empresas y/o
activos.

8. QI: Cuestionario interno.

9. QE: Cuestionario externo.

XIII. Dueño de la Política y periodicidad de revisión

El dueño de esta Política y Procedimiento es el Gerente Corporativo de Riesgos y Cumplimiento y procederá a
su revisión cuando el entorno de control interno varíe o por lo menos una vez cada dos años.

XIV. Persona de contacto

En caso de preguntas sobre esta Política y Procedimiento, contacte al Gerente de Cumplimiento e
Investigaciones o Gerente Corporativo de Riesgos y Cumplimiento.

XV. Aprobación y vigencia

La presente versión de la política y procedimiento es aprobada y entra en vigencia el día 23 de Julio de 2018.

Página 9 de 10
 Julio 2018

Política y Procedimiento Corporativo de Debida Diligencia

(“Due Diligence” o “DD”)
Anexo 1

Alcance de la Debida Diligencia Reforzada

El alcance de la investigación contemplará 7 áreas de evaluación. Las actividades a realizar podrían variar
dependiendo del tipo de Tercero (PJ o PN; años de mercado; entre otros):
Área de evaluación Batería de Actividades
(Máximo nivel de alcance)
1. General 1.1. Entrevista con el Compliance Officer y/o Gerente Legal y/o Auditor Interno y/o Gerente General y/o Único
accionista (en caso de empresas unipersonales) y/o persona natural con quien deseamos entablar una relación
comercial; según sea el caso. Esta entrevista tendrá como objetivos:
- Conocer la estructura y funcionamiento del manejo de los elementos de riesgos y cumplimiento.
- Apreciación sobre el conocimiento de las políticas claves en el área de riesgos y cumplimiento por parte
del entrevistado.
- Conocer el estado de los procesos legales en cuanto delitos de corrupción, lavado de activos,
financiamiento al terrorismo, sanciones, fraude, libre competencia y otros (de existir); así como la
perspectiva sobre su resolución.
2. Gobierno Corporativo 2.1. Validar la estructura societaria y los:
- Accionistas con más del 10% de participación (5% para Terceros basados en Colombia)
- Miembros del directorio
- Principales Ejecutivos
- Apoderados / Representante(s) Legal(es)
- Empresas relacionadas
2.2. Identificar y describir el funcionamiento y composición los órganos de gobierno que tenga el Tercero (p.e.
Directorios)
2.3. Opinión del revisor sobre el gobierno corporativo del Tercero.
3. Aspectos Legales 3.1. Obtener la relación de procesos legales asociados a delitos de corrupción, lavado de activos y financiamiento al
Terrorismo; en las que haya estado o esté involucrado el Tercero; sus actuales o ex dueños, directores y/o
principales ejecutivos (en un horizonte de 10 años).
4. Antecedentes Públicos 4.1. Descripción de los antecedentes del Tercero, incluyendo sus dueños con más del 10% (5% para Terceros
basados en Colombia) de participación, directores y principales ejecutivos (Gerente general y sus reportes)
identificados en distintas bases de datos judiciales aplicables del país donde esté basado el Tercero y del país
donde se vaya a desarrollar la potencial operación.
4.2. Búsqueda intensiva en media de artículos periodísticos y/o denuncias periodísticas y/o noticias relacionadas
con el Tercero, sus dueños, directores y principales ejecutivos; así como de su matriz controladora y/o grupo
económico al cual pertenece el Tercero.
5. Relacionamiento con el 5.1. Descripción de los proyectos que el Tercero mantenga con entidades públicas o empresas controladas por el
Estado estado en el país donde está basado y el país donde se desarrollará la potencial relación.
5.2. Validar la existencia de FP, PI y/o PEP relacionados con el Tercero (dueños, directores y principales
ejecutivos).
5.3. Relación de asuntos en curso de investigación por parte de entidades controladoras del estado en el país en el
que se desarrollará la potencial operación.
6. Relacionamiento con sus 6.1. Descripción del tipo de terceros con quienes se relacionan y de su proceso de debida diligencia.
Terceros
7. Revisión física y documental 7.1. Revisión de la existencia y difusión de los siguientes documentos oficiales (de existir); así como la apreciación
sobre su suficiencia y razonabilidad en función al tamaño del Tercero y su tipo de operación.
- Código de Ética o equivalente.
- Política Anticorrupción.
- Política de Debida Diligencia.
- Política de pagos de facilitación.
- Política de gastos de viaje y entretenimiento ("T&E").
- Política de regalos y gastos de promoción comercial.
- Política de donaciones, patrocinios y gastos de caridad.
- Política de Caja Chica.
- Procedimiento SPLAFT (de aplicar).
- Línea Ética.
7.2. Verificación física de la localización de las instalaciones del tercero, concurrencia y levantamiento de
información del entorno.

Página 10 de 10