Área de Riesgos y Cumplimiento

Compliance
Tabla de correspondencia entre ISO 37001:2016 y el D.S. 002-2019-
JUS - Reglamento de la Ley Nº 30424, Ley que regula la
responsabilidad administrativa de las personas jurídicas.
(Perú)

Rev.02 | 2018
Tabla de correspondencia entre ISO 37001:2016 y el
D. S. 002-2019-JUS - Reglamento de la Ley Nº
30424, Ley que regula la responsabilidad
administrativa de las personas jurídicas.
Perú

Objetivos
▪ El presente documento pretende indicar de forma simple y directa las correspondencias
directas exitentes entre el establecimiento de un sistema de gestión bajo la norma ISO
37001:2016 (NTP-ISO 37001:2017) y el D.S. 002-2019-JUS Reglamento de la Ley Nº 30424,
Ley que regula la responsabilidad administrativa de las personas jurídicas.
▪ Se indican las correspondencias directas así como los matices o aclaraciones necesarias en
cada apartado de la norma pero sin embargo es necesario tener en cuenta los requisitos y
recomendaciones de la norma en su conjunto bajo los propios requisitos del reglamento.

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
2
personas jurídicas y los modelos de prevención
 Tabla de correspondencia

Proyecto de reglamento ISO 37001 Comentarios /

Especificaciones necesarias
ART. 2: Ámbito de Aplicación 1 . Objeto y campo de aplicación Ampliación del alcance del SGAS
Tipos Delictivos aplicables: Soborno en todas sus formas ampliable a tipos delictivos DL 1352 y Ley
Cohecho activo transnacional a otro tipo de delitos de corrupción 30835.
Cohecho activo genérico como la colusión, tráfico de influecias,
Cohecho activo específico lavado de activos y financiamiento del
Lavado de activos terrorismo.
Financiamiento al terrorismo
Colusión
Tráfico de Influencias
ART. 3: Clasificación de las personas 1 . Objeto y campo de aplicación Conforme a la clasificación que
para efectos del modelo de Aplicable a los sectores públicos, corresponda la persona jurídica
prevención: privados y sin fines de lucro. se utilizará para la aplicación de
las sanciones.
- Gran empresa: ventas anuales
superiores a 2300 UIT.
- Mediana empresa: ventas anuales
superiores a 1700 UIT y hasta 2300
UIT.
- Pequeña empresa: ventas anuales
superiores a 150 UIT y hasta 1700 UIT.
- Micro empresa: ventas anuales hasta
el monto maximo de 150 UIT.

Cuando se trate de entes juridicos sin

fines de lucro o no pueda determinar
una clasificación por nivel de ingresos
anuales, se considerará lo siguiente:

- Gran empresa: mas de 250

trabajadores.
- Mediana empresa: de 51 hasta 250
trabajadores.
- Pequeña empresa: de 11 hasta 50
trabajadores.
- Micro empresa: de 1 hasta 10
trabajadores

ART. 4 Principios del Modelo de 4.4 Sistema de Gestión Antisoborno

Prevención A.3 Razonable y proporcional

ART. 5 Definiciones 3. Términos y definiciones

ART. 6.- Importancia del perfil de 4.5 Evaluación del Riesgo de Soborno
riesgo
ART. 7.- Frecuencia 4.5.3 Revisión de la evaluación
Artículo 8.- Documentación del 4.5.4 Conservación de la información
proceso operativo documentada sobre la evaluación de
Riesgos
Artículo 9.- Identificación de procesos 4.1 Comprensión de la organización y
y responsabilidades su contexto
5.3 Roles, responsabilidades y
autoridades en la organización
Artículo 10.- Funciones operativas 4.5 Evaluación del Riesgo de Soborno
5.3 Roles, responsabilidades y
autoridades en la organización
La documentación que sustente
la identificación y evaluación del
riesgo deberá permitir certeza de
su contenido y el tiempo de
elaboración o emisión. Para ello
se deberá complementar con
declaraciones juradas con firma
legalizada, así como legalizar las
matrices de riesgo.
Definir el nivel de competencia
para participar en la evaluación
de riesgo así como su
independencia.

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
3
personas jurídicas y los modelos de prevención

Artículo 11.- Procesos operativos
Artículo 12.- Responsabilidad de
supervisión
Articulo 13.- Construcción del perfil de
riesgo
Artículo 14.- Identificación de riesgos
Artículo 15.- Tipos de riesgos
- Riesgos comerciales u operativos.
- Riesgos económicos
- Riesgos reputacionales
Artículo 16.- Fuentes de información
Articulo 17.- Criterios para la
identificación de riesgos
Artículo 18.-Evaluación del riesgo
Artículo 19.- Criterios para la
evaluación de riesgos
Artículo 20.- Probabilidad
Artículo 21.- Consecuencia (Impacto)
Artículo 22.- Controles de prevención,
detección o corrección
Artículo 23.- Controles financieros
- Separación de funciones en
procedimientos de pagos.
- Niveles de aprobación de pagos
- Mecanismos de verificación de la
designación, trabajo y servicios se hayan
dado de modo correcto.
- Más de una firma para pagos.
- Documentación suficiente para la
aprobación de pagos.
- Restringir el uso de dinero en efectivo
- Implementar revisiones periódicas de
las operaciones financieras.
- Implementar auditorias financieras
Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
personas jurídicas y los modelos de prevención
4.5.2 Establecimiento de criterios para
la evaluación de riesgo.
4.5.4 Conservación de la información
documentada sobre la evaluación de
Riesgos
5.3 Roles, responsabilidades y
autoridades en la organización
4. Contexto de la Organización
4.5 Evaluación del Riesgo de Soborno
4. Contexto de la Organización
4.1 Comprensión de la Organización y
su contexto.
4.5 Evaluación del Riesgo de Soborno
4.1 Comprensión de la Organización y
su contexto
4.5.1 Evaluación de Riesgos de
Soborno
6.1 Acciones para tratar riesgos y
oportunidades
3.12 Definición de riesgo
4.5.1 Evaluación de Riesgos de
Soborno
ISO 31000
ISO 31010
A4. Evaluación del Riesgo de Soborno
6.1 Acciones para tratar riesgos y
oportunidades
8.1 Planificación y Control Operacional
8.3 Controles Financieros
A.11 Controles Financieros
Otorgar las herramientas e
insumo pertinentes para una
correcta evaluación del riesgo.
Definir criterios para eficiente
evaluación de riesgos.
Definir la responsabilidad sobre
la evaluación de riesgos.
Está persona u órgano que se
encargará de la supervisión del
cumplimiento de la evaluación del
riesgo podrá ser el Oficial de
Cumplimiento, el área de Control
Interno y/o el área de auditoria.
Incluir en los criterios de
IDENTIFICACION los riesgos
comerciales u operativos,
económicos y reputacionales.
Incluir el tipo de riesgo en la
Matriz de Evaluación de Riesgos.
Aplicación de metodologías para
la correcta comprensión de la
organización, por ejemplo:
- Análisis FODA
- Análisis PEST
- Matriz MEFE
- Matriz MEFI
Normas complementaria de
referencia en ISO 37001 para la
identificación, evaluación, gestión
y tratamiento del riesgo.
Estos controles se deben ver
reflejados en el Plan de Control
de Riesgos del Modelo de
Prevención de Delitos
Para una correcta
implementación de controles
financieros se deberá:
- Segregación de roles de
pago.
- Procedimientos de
pago.
- Modificación de escala
de poderes (doble firma
facultades bancarias).
- Procedimientos y/o
política de caja chica y
uso de efectivo.
4
internas periódicas
Artículo 24.- Controles no financieros
- Procesos adecuados de verificación y
calificación previa de contratistas,
subcontratistas, proveedores y
consultores a fin de evaluar su
probabilidad de participar en los delitos.
- Evaluar, la necesidad y legitimidad de
los servicios brindados por un socio de
negocio.
- Si los servicios prestados fueron
llevados de modo correcto.
- Si los pagos que se realizaron son
adecuados y proporcionales al servicio
brindado.
- Proceso de evaluación de proveedores
– 3 postores (Siempre que sea posible).
- Separación de funciones de las
personas que participan en los procesos
de contratos (Supervisión y aprobación
de contratos).
- Requerir más de una firma en los
contratos.
- Establecer directivas documentos guía
para los trabajadores y personal
involucrado en los procesos no
financieros a fin de facilitar su labor e
identificar riesgos.
8.4 Controles No Financieros
8.5 Implementación de controles en
organizaciones controladas y socios de
negocio
A.11 Controles No Financieros
A.13 Implementación de controles en
organizaciones controladas y socios de
negocio
A.14 Compromisos Anti Soborno
- Auditorías internas
financieras.
- Auditorías externas
financiera
Para una correcta
implementación de controles no
financieros se deberá:
- Debida diligencia con los
proveedores y terceros.
- Dejar evidencia de la necesidad
del servicio contratado.
- Dejar evidencia de la
conformidad del servicio.
- Proceso de selección de
proveedores.
- Segmentación de roles en las
personas que interviene en la
suscripción de contratos.
- Modificación de escala de
poderes (Doble firma facultades
contractuales).

Artículo 25.- Debida Diligencia 8.2 Debida Diligencia Se debe implementar debida
diligencia en:

Artículo 26.- Consistencia normativa
Artículo 27.- Enfoque participativo
Artículo 28.- Obligatoriedad y
aplicación general
Artículo 29.- Simplicidad
Artículo 30.- Cultura organizacional
Artículo 31.- Autorregulación de la
persona jurídica
- Transacciones,
operaciones, actividades
- Socios de Negocio
- Personal
4.1 Comprensión de la organización y
su contexto
4.2 Comprensión de las necesidades y Establecimiento de
expectativas de los grupos de interés procedimientos para solicitar y
9. Evaluación del Desempeño recabar opiniones de grupos de
interés y socios de negocio
4.3 Determinación del alcance del El Reglamento no permite
SGAS EXCLUSIONES del ALCANCE
del modelo de partes o áreas de
la organización.
4.1 Comprensión de la Organización y
su contexto
7.4 Comunicación
7.2.2 Proceso de contratación
7.3 Toma de conciencia y formación
4.4 Sistema de Gestión Antisoborno

Artículo 32.- Política del modelo de
prevención
Artículo 33.- Elementos mínimos
5.2 Política Antisoborno
4.4 Sistema de Gestión Antisoborno
4.5 Evaluación del riesgo de soborno
Mención y aprobación de un
Código de Conducta.
Aplicable a los socios
comerciales, y a las partes
interesadas, quienes deberán ser
informados.

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
5
personas jurídicas y los modelos de prevención

Artículo 34.- Políticas para áreas
específicas de riesgos
Artículo 35.- Designación de una
persona u órgano de prevención
Articulo 36.- Registro de actividades y
controles internos
Artículo 37.- La integración del
modelo de prevención en los
procesos comerciales de la persona
jurídica
Artículo 38.- La implementación de
procedimientos que garanticen la
interrupción o remediación rápida y
oportuna de riesgos
Artículo 39.- La implementación de
procedimientos de denuncia
Artículo 40.- Del procedimiento de
denuncia
Artículo 41.- La difusión y
Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
personas jurídicas y los modelos de prevención
5.3.2 Función de cumplimiento
antisoborno
7.3 Toma de conciencia y formación
7.4 Comunicación
8.9 Planteamiento de inquietudes
8.10 Investigación de denuncias
9.1 Seguimiento, medición, análisis y
evaluación
9.2 Auditoría interna
10.1 No conformidades y acciones
correctivas
8.7 Regalos, hospitalidad, donaciones y
beneficios similares
5.3.3. Delegación de la toma de
decisiones
A.8.8 Conflictos de Interés
5.3.2 Función de Cumplimiento La designación debe realizarse
Antisoborno por el órgano de administración
(Directorio).
7.5 Información Documentada Para un adecuado registro de
8.1 Planificación y Control Operacional actividades:
A.17 Información Documentada
- Implementar un sistema
de control contable y
financiero que asegure
el registro de todas las
actividades, lo que
incluye libros y cuentas
contables.
- Implementar sistema de
control interno (área de
cumplimiento).
- La evaluación del
sistema de control
interno (área de
cumplimiento) está a
cargo de un auditor
(interno o externo)
4.4 Sistema de Gestión Antisoborno
8.2 Diligencia Debida
8.6 Compromisos antisoborno
7.2 Competencia - Establecer cláusulas
8.5 Implementación de los controles contractuales que permitan poner
antisoborno por organizaciones fin a relaciones con socios de
controladas y por socios de negocio negocio que incumplan el modelo
8.10 Investigar y abordar el soborno de prevención
- Establecer medidas
disciplinarias para quienes
incumplan el modelo de
prevención.
- La supervisión debe ser
responsabilidad de la función de
cumplimiento
8.9 Planteamiento de inquietudes Establecimiento de incentivos.
8.10 Investigar y abordar el soborno Mecanismos de protección al
denunciante.
8.9 Planteamiento de inquietudes Descripción detallada del
8.10 Investigar y abordar el soborno contenido mínimo de las
denuncias para ser consideradas.
Ejemplos del tipo de conductas
delictivas que pueden
denunciarse.
7.3 Toma de conciencia y formación Capacitación al menos 1 vez al
6
capacitación periódica del modelo de 7.4 Comunicación año.
prevención La capacitación puede ser
presencial o virtual, y debe
contener como mínimo lo
siguiente:

1.Política de cumplimiento
y procedimientos del
mdp.
2. Riesgos y
consecuencias.
3. Circunstancias en las
que los riesgos se
materializa en función
de los puestos
expuestos a riesgo.
4. Reconocimiento y
enfrentamiento de
situaciones de riesgo.
5. Canales de denuncia
6. Formas de colaboración
para la prevención de
riesgos
7. Consecuencias legales
del incumplimiento
8. Información sobre los
recursos de
capacitación
Artículo 42.- La evaluación y 9. Evaluación del Desempeño Para una adecuada evaluación y
monitoreo continuo del modelo de monitoreo del mdp se deberá
prevención contemplar los siguientes
aspectos:

- Funcionamiento del
modelo de prevención
- Fallas y/o debilidades
encontradas
- Detalle de las acciones
correctivas realizadas
- Eficacia de las medidas
adoptadas para hacer
frente a los riesgos
identificados
- Oportunidades de
mejora del modelo de
prevención.
Artículo 43.- Mejora continua del 10. Mejora
modelo de prevención

Art. 44 Modelo de Prevención en -

micro, pequeña y mediana empresa
Art. 45 Facilidades para las MIPYME
Art. 46 Requisitos para el -
requerimiento del informe técnico a la
SMV
Art. 47 Requerimiento de información
Art. 48 Verificación de la 9.2 Auditoria interna La SMV como ente encargado
implementación y funcionamiento del verificará los siguientes puntos:
modelo de prevención
1. Análisis y corrección de
los riesgos inherentes y
residuales.

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
7
personas jurídicas y los modelos de prevención
 a) Identificación de los
riesgos
b) Evaluación de los
riesgos
c) Mitigación de los riesgos

2. Compromiso y liderazgo
de los órganos de
gobierno
a) Conducta de los
órganos de gobierno y
alta dirección
b) Compromiso compartido
(difusión de la política).
c) Supervisión del
cumplimiento del
programa

3. Autonomía y recursos
a) Función de
cumplimiento
b) Autonomía
c) Experiencia y
calificaciones
d) Empoderamiento
e) Financiamiento y
recursos
f) Funciones de
cumplimiento
externalizadas (solo si
aplica).

4. Política y
procedimientos
a) Diseño y Accesibilidad
a.1. Diseño de Políticas y
procedimientos de
cumplimiento
a.2 Políticas y
procedimientos aplicables
a.3 Responsables.

b) Procesos operativos
b.1 Controles financieros y
no financieros
b.2 Sistemas de pago
b.3 Proceso de aprobación /
certificación

5. Evaluación de Riesgos
a. Proceso de gestión de
riesgo
b. Recopilación y análisis de
información
c. Riesgos inherentes.

6. Formación y
Comunicaciones
a. Formación basada en el
riesgo
b. Forma / contenido /
efectividad de la

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
8
personas jurídicas y los modelos de prevención
 formación
c. Disponibilidad de la
información del mdp.

7. Informes confidenciales
e investigación
a. Efectividad del
mecanismo de
presentación de
informes
b. Investigación apropiada
por personal calificado
c. Respuesta a las
investigaciones

8. Incentivos y medidas
disciplinarias
a. Responsabilidad
b. Proceso de Recursos
humanos
c. Aplicación consistente
d. Sistema de incentivos

9. Mejora continua,
pruebas periodicas y
revisión
a. Auditoria interna
b. Pruebas de control
c. Actualizaciones en
evolución.

10. Gestión de terceros

a. Procesos integrados y
basados en el riesgo
b. Controles apropiados
c. Gestión de relaciones
d. Acciones reales y
consecuencias

Artículo 49. Consideraciones para la
emisión del informe por parte de la
SMV.
DISPOSICIONES COMPLEMENTARIAS FINALES
Primera: Adaptación, autorregulación
y estándares internacionales
11. Fusiones y
adquisiciones
a. Proceso de debida
diligencia
b. Integración en el
proceso de fusiones y
adquisiciones
c. Proceso de conexión de
la debida diligencia con
la implementación.
-
ISO 37001:2016 El modelo de prevención que
4.1 Comprensión de la organización y implementen las empresas
de su contexto deberá ser acuerdo a su gestión
4.2 Comprensión de las necesidades y de riesgos aplicable, tamaño,
expectativas de las partes interesadas naturaleza, características y
ISO 19600:2015 complejidad de operaciones.

Las empresas podrán utilizar

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
9
personas jurídicas y los modelos de prevención

Segunda: Utilización de los
componentes del Sistema de
Prevención del Lavado de Activos y
del Financiamiento del Terrorismo
Tercera: Disposiciones
complementarias, guas y lineamiento
en gestión de riesgos
Cuarta: Formatos de Modelo de
Prevención para las MyPRYME
Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
personas jurídicas y los modelos de prevención
4.1 Comprensión de la organización y
de su contexto
4.2 Comprensión de las necesidades y
expectativas de las partes interesadas
4.5 Gestión del Riesgo
5.3 Función de Cumplimiento
cualquier instrumento
internacional (ISO) que guía
estas buenas prácticas, siempre
que asegure una adecuada
implementación y eficiencia.
Las personas jurídicas que sean
sujetos obligados para normas de
LAFT podrán utilizar los
componentes de sus sistemas de
prevención de lavado de activos
y financiamiento del terrorismo.
Por otro lado, la función del
encargado de prevención de
delitos podrá ser asumida por el
Oficial de Cumplimiento (sin
importar si es a dedicación
exclusiva o no),
La SMV podrá emitir
disposiciones complementarias a
fin de cumplir el reglamento.
La SMV considera además de lo
señalado en la ley y el
reglamento, las buenas prácticas
y/o estándares internacionales.
El Ministerio de la Producción en
un plazo no mayor de 60 días
aprobará los formatos del MDP.
10