Área de Riesgos y Cumplimiento

Compliance
Tabla de correspondencia entre ISO 37001:2016 y el D.S. 002-2019-
JUS - Reglamento de la Ley Nº 30424, Ley que regula la
responsabilidad administrativa de las personas jurídicas.
(Perú)

Rev.02 | 2018
Tabla de correspondencia entre ISO 37001:2016 y el
D. S. 002-2019-JUS - Reglamento de la Ley Nº
30424, Ley que regula la responsabilidad
administrativa de las personas jurídicas.
Perú

Objetivos
▪ El presente documento pretende indicar de forma simple y directa las correspondencias
directas exitentes entre el establecimiento de un sistema de gestión bajo la norma ISO
37001:2016 (NTP-ISO 37001:2017) y el D.S. 002-2019-JUS Reglamento de la Ley Nº 30424,
Ley que regula la responsabilidad administrativa de las personas jurídicas.
▪ Se indican las correspondencias directas así como los matices o aclaraciones necesarias en
cada apartado de la norma pero sin embargo es necesario tener en cuenta los requisitos y
recomendaciones de la norma en su conjunto bajo los propios requisitos del reglamento.

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
2
personas jurídicas y los modelos de prevención
 Tabla de correspondencia

Proyecto de reglamento ISO 37001 Comentarios /

Especificaciones necesarias
ART. 2: Ámbito de Aplicación 1 . Objeto y campo de aplicación Ampliación del alcance del SGAS
Tipos Delictivos aplicables: Soborno en todas sus formas ampliable a tipos delictivos DL 1352 y Ley
Cohecho activo transnacional a otro tipo de delitos de corrupción 30835.
Cohecho activo genérico como la colusión, tráfico de influecias,
Cohecho activo específico lavado de activos y financiamiento del
Lavado de activos terrorismo.
Financiamiento al terrorismo
Colusión
Tráfico de Influencias
ART. 3: Clasificación de las personas 1 . Objeto y campo de aplicación Conforme a la clasificación que
para efectos del modelo de Aplicable a los sectores públicos, corresponda la persona jurídica
prevención: privados y sin fines de lucro. se utilizará para la aplicación de
las sanciones.
- Gran empresa: ventas anuales
superiores a 2300 UIT.
- Mediana empresa: ventas anuales
superiores a 1700 UIT y hasta 2300
UIT.
- Pequeña empresa: ventas anuales
superiores a 150 UIT y hasta 1700 UIT.
- Micro empresa: ventas anuales hasta
el monto maximo de 150 UIT.

Cuando se trate de entes juridicos sin

fines de lucro o no pueda determinar
una clasificación por nivel de ingresos
anuales, se considerará lo siguiente:

- Gran empresa: mas de 250

trabajadores.
- Mediana empresa: de 51 hasta 250
trabajadores.
- Pequeña empresa: de 11 hasta 50
trabajadores.
- Micro empresa: de 1 hasta 10
trabajadores

ART. 4 Principios del Modelo de 4.4 Sistema de Gestión Antisoborno

Prevención A.3 Razonable y proporcional

ART. 5 Definiciones 3. Términos y definiciones

ART. 6.- Importancia del perfil de 4.5 Evaluación del Riesgo de Soborno
riesgo
ART. 7.- Frecuencia 4.5.3 Revisión de la evaluación
Artículo 8.- Documentación del 4.5.4 Conservación de la información La documentación que sustente
proceso operativo documentada sobre la evaluación de la identificación y evaluación del
Riesgos riesgo deberá permitir certeza de
su contenido y el tiempo de
elaboración o emisión. Para ello
se deberá complementar con
declaraciones juradas con firma
legalizada, así como legalizar las
matrices de riesgo.
Artículo 9.- Identificación de procesos 4.1 Comprensión de la organización y
y responsabilidades su contexto
5.3 Roles, responsabilidades y
autoridades en la organización
Artículo 10.- Funciones operativas 4.5 Evaluación del Riesgo de Soborno Definir el nivel de competencia
5.3 Roles, responsabilidades y para participar en la evaluación
autoridades en la organización de riesgo así como su
independencia.

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
3
personas jurídicas y los modelos de prevención
 Otorgar las herramientas e
insumo pertinentes para una
correcta evaluación del riesgo.
Artículo 11.- Procesos operativos 4.5.2 Establecimiento de criterios para Definir criterios para eficiente
la evaluación de riesgo. evaluación de riesgos.
4.5.4 Conservación de la información
documentada sobre la evaluación de
Riesgos
Artículo 12.- Responsabilidad de 5.3 Roles, responsabilidades y Definir la responsabilidad sobre
supervisión autoridades en la organización la evaluación de riesgos.
Está persona u órgano que se
encargará de la supervisión del
cumplimiento de la evaluación del
riesgo podrá ser el Oficial de
Cumplimiento, el área de Control
Interno y/o el área de auditoria.
Articulo 13.- Construcción del perfil de 4. Contexto de la Organización
riesgo
Artículo 14.- Identificación de riesgos 4.5 Evaluación del Riesgo de Soborno
Artículo 15.- Tipos de riesgos 4. Contexto de la Organización Incluir en los criterios de
IDENTIFICACION los riesgos
- Riesgos comerciales u operativos. comerciales u operativos,
- Riesgos económicos económicos y reputacionales.
- Riesgos reputacionales Incluir el tipo de riesgo en la
Matriz de Evaluación de Riesgos.
Artículo 16.- Fuentes de información 4.1 Comprensión de la Organización y
su contexto.
4.5 Evaluación del Riesgo de Soborno
Articulo 17.- Criterios para la 4.1 Comprensión de la Organización y Aplicación de metodologías para
identificación de riesgos su contexto la correcta comprensión de la
organización, por ejemplo:

- Análisis FODA
- Análisis PEST
- Matriz MEFE
- Matriz MEFI
Artículo 18.-Evaluación del riesgo 4.5.1 Evaluación de Riesgos de
Soborno
6.1 Acciones para tratar riesgos y
oportunidades
Artículo 19.- Criterios para la 3.12 Definición de riesgo
evaluación de riesgos 4.5.1 Evaluación de Riesgos de
Soborno
Artículo 20.- Probabilidad ISO 31000 Normas complementaria de
Artículo 21.- Consecuencia (Impacto) ISO 31010 referencia en ISO 37001 para la
A4. Evaluación del Riesgo de Soborno identificación, evaluación, gestión
y tratamiento del riesgo.
Artículo 22.- Controles de prevención, 6.1 Acciones para tratar riesgos y Estos controles se deben ver
detección o corrección oportunidades reflejados en el Plan de Control
8.1 Planificación y Control Operacional de Riesgos del Modelo de
Prevención de Delitos
Artículo 23.- Controles financieros 8.3 Controles Financieros Para una correcta
A.11 Controles Financieros implementación de controles
- Separación de funciones en financieros se deberá:
procedimientos de pagos.
- Niveles de aprobación de pagos - Segregación de roles de
- Mecanismos de verificación de la pago.
designación, trabajo y servicios se hayan - Procedimientos de
dado de modo correcto.
pago.
- Más de una firma para pagos.
- Documentación suficiente para la - Modificación de escala
aprobación de pagos. de poderes (doble firma
- Restringir el uso de dinero en efectivo facultades bancarias).
- Implementar revisiones periódicas de - Procedimientos y/o
las operaciones financieras. política de caja chica y
- Implementar auditorias financieras uso de efectivo.

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
4
personas jurídicas y los modelos de prevención
internas periódicas - Auditorías internas
financieras.
- Auditorías externas
financiera
Artículo 24.- Controles no financieros 8.4 Controles No Financieros Para una correcta
8.5 Implementación de controles en implementación de controles no
- Procesos adecuados de verificación y organizaciones controladas y socios de financieros se deberá:
calificación previa de contratistas, negocio
subcontratistas, proveedores y A.11 Controles No Financieros - Debida diligencia con los
consultores a fin de evaluar su A.13 Implementación de controles en proveedores y terceros.
probabilidad de participar en los delitos. organizaciones controladas y socios de - Dejar evidencia de la necesidad
- Evaluar, la necesidad y legitimidad de negocio del servicio contratado.
los servicios brindados por un socio de A.14 Compromisos Anti Soborno - Dejar evidencia de la
negocio. conformidad del servicio.
- Si los servicios prestados fueron - Proceso de selección de
llevados de modo correcto. proveedores.
- Si los pagos que se realizaron son - Segmentación de roles en las
adecuados y proporcionales al servicio personas que interviene en la
brindado. suscripción de contratos.
- Proceso de evaluación de proveedores - Modificación de escala de
– 3 postores (Siempre que sea posible). poderes (Doble firma facultades
- Separación de funciones de las contractuales).
personas que participan en los procesos
de contratos (Supervisión y aprobación
de contratos).
- Requerir más de una firma en los
contratos.
- Establecer directivas documentos guía
para los trabajadores y personal
involucrado en los procesos no
financieros a fin de facilitar su labor e
identificar riesgos.

Artículo 25.- Debida Diligencia 8.2 Debida Diligencia Se debe implementar debida
diligencia en:

- Transacciones,
operaciones, actividades
- Socios de Negocio
- Personal
Artículo 26.- Consistencia normativa 4.1 Comprensión de la organización y
su contexto
Artículo 27.- Enfoque participativo 4.2 Comprensión de las necesidades y Establecimiento de
expectativas de los grupos de interés procedimientos para solicitar y
9. Evaluación del Desempeño recabar opiniones de grupos de
interés y socios de negocio
Artículo 28.- Obligatoriedad y 4.3 Determinación del alcance del El Reglamento no permite
aplicación general SGAS EXCLUSIONES del ALCANCE
del modelo de partes o áreas de
la organización.
Artículo 29.- Simplicidad 4.1 Comprensión de la Organización y
su contexto
7.4 Comunicación
Artículo 30.- Cultura organizacional 7.2.2 Proceso de contratación
7.3 Toma de conciencia y formación
Artículo 31.- Autorregulación de la 4.4 Sistema de Gestión Antisoborno
persona jurídica

Artículo 32.- Política del modelo de 5.2 Política Antisoborno Mención y aprobación de un
prevención Código de Conducta.
Aplicable a los socios
comerciales, y a las partes
interesadas, quienes deberán ser
informados.
Artículo 33.- Elementos mínimos 4.4 Sistema de Gestión Antisoborno
4.5 Evaluación del riesgo de soborno

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
5
personas jurídicas y los modelos de prevención
 5.3.2 Función de cumplimiento
antisoborno
7.3 Toma de conciencia y formación
7.4 Comunicación
8.9 Planteamiento de inquietudes
8.10 Investigación de denuncias
9.1 Seguimiento, medición, análisis y
evaluación
9.2 Auditoría interna
10.1 No conformidades y acciones
correctivas
Artículo 34.- Políticas para áreas 8.7 Regalos, hospitalidad, donaciones y
específicas de riesgos beneficios similares
5.3.3. Delegación de la toma de
decisiones
A.8.8 Conflictos de Interés
Artículo 35.- Designación de una 5.3.2 Función de Cumplimiento La designación debe realizarse
persona u órgano de prevención Antisoborno por el órgano de administración
(Directorio).
Articulo 36.- Registro de actividades y 7.5 Información Documentada Para un adecuado registro de
controles internos 8.1 Planificación y Control Operacional actividades:
A.17 Información Documentada
- Implementar un sistema
de control contable y
financiero que asegure
el registro de todas las
actividades, lo que
incluye libros y cuentas
contables.
- Implementar sistema de
control interno (área de
cumplimiento).
- La evaluación del
sistema de control
interno (área de
cumplimiento) está a
cargo de un auditor
(interno o externo)
Artículo 37.- La integración del 4.4 Sistema de Gestión Antisoborno
modelo de prevención en los 8.2 Diligencia Debida
procesos comerciales de la persona 8.6 Compromisos antisoborno
jurídica

Artículo 38.- La implementación de 7.2 Competencia - Establecer cláusulas

procedimientos que garanticen la 8.5 Implementación de los controles contractuales que permitan poner
interrupción o remediación rápida y antisoborno por organizaciones fin a relaciones con socios de
oportuna de riesgos controladas y por socios de negocio negocio que incumplan el modelo
8.10 Investigar y abordar el soborno de prevención
- Establecer medidas
disciplinarias para quienes
incumplan el modelo de
prevención.
- La supervisión debe ser
responsabilidad de la función de
cumplimiento
Artículo 39.- La implementación de 8.9 Planteamiento de inquietudes Establecimiento de incentivos.
procedimientos de denuncia 8.10 Investigar y abordar el soborno Mecanismos de protección al
denunciante.
Artículo 40.- Del procedimiento de 8.9 Planteamiento de inquietudes Descripción detallada del
denuncia 8.10 Investigar y abordar el soborno contenido mínimo de las
denuncias para ser consideradas.
Ejemplos del tipo de conductas
delictivas que pueden
denunciarse.
Artículo 41.- La difusión y 7.3 Toma de conciencia y formación Capacitación al menos 1 vez al

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
6
personas jurídicas y los modelos de prevención
capacitación periódica del modelo de 7.4 Comunicación año.
prevención La capacitación puede ser
presencial o virtual, y debe
contener como mínimo lo
siguiente:

1.Política de cumplimiento
y procedimientos del
mdp.
2. Riesgos y
consecuencias.
3. Circunstancias en las
que los riesgos se
materializa en función
de los puestos
expuestos a riesgo.
4. Reconocimiento y
enfrentamiento de
situaciones de riesgo.
5. Canales de denuncia
6. Formas de colaboración
para la prevención de
riesgos
7. Consecuencias legales
del incumplimiento
8. Información sobre los
recursos de
capacitación
Artículo 42.- La evaluación y 9. Evaluación del Desempeño Para una adecuada evaluación y
monitoreo continuo del modelo de monitoreo del mdp se deberá
prevención contemplar los siguientes
aspectos:

- Funcionamiento del
modelo de prevención
- Fallas y/o debilidades
encontradas
- Detalle de las acciones
correctivas realizadas
- Eficacia de las medidas
adoptadas para hacer
frente a los riesgos
identificados
- Oportunidades de
mejora del modelo de
prevención.
Artículo 43.- Mejora continua del 10. Mejora
modelo de prevención

Art. 44 Modelo de Prevención en -

micro, pequeña y mediana empresa
Art. 45 Facilidades para las MIPYME
Art. 46 Requisitos para el -
requerimiento del informe técnico a la
SMV
Art. 47 Requerimiento de información
Art. 48 Verificación de la 9.2 Auditoria interna La SMV como ente encargado
implementación y funcionamiento del verificará los siguientes puntos:
modelo de prevención
1. Análisis y corrección de
los riesgos inherentes y
residuales.

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
7
personas jurídicas y los modelos de prevención
 a) Identificación de los
riesgos
b) Evaluación de los
riesgos
c) Mitigación de los riesgos

2. Compromiso y liderazgo
de los órganos de
gobierno
a) Conducta de los
órganos de gobierno y
alta dirección
b) Compromiso compartido
(difusión de la política).
c) Supervisión del
cumplimiento del
programa

3. Autonomía y recursos
a) Función de
cumplimiento
b) Autonomía
c) Experiencia y
calificaciones
d) Empoderamiento
e) Financiamiento y
recursos
f) Funciones de
cumplimiento
externalizadas (solo si
aplica).

4. Política y
procedimientos
a) Diseño y Accesibilidad
a.1. Diseño de Políticas y
procedimientos de
cumplimiento
a.2 Políticas y
procedimientos aplicables
a.3 Responsables.

b) Procesos operativos
b.1 Controles financieros y
no financieros
b.2 Sistemas de pago
b.3 Proceso de aprobación /
certificación

5. Evaluación de Riesgos
a. Proceso de gestión de
riesgo
b. Recopilación y análisis de
información
c. Riesgos inherentes.

6. Formación y
Comunicaciones
a. Formación basada en el
riesgo
b. Forma / contenido /
efectividad de la

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
8
personas jurídicas y los modelos de prevención
 formación
c. Disponibilidad de la
información del mdp.

7. Informes confidenciales
e investigación
a. Efectividad del
mecanismo de
presentación de
informes
b. Investigación apropiada
por personal calificado
c. Respuesta a las
investigaciones

8. Incentivos y medidas
disciplinarias
a. Responsabilidad
b. Proceso de Recursos
humanos
c. Aplicación consistente
d. Sistema de incentivos

9. Mejora continua,
pruebas periodicas y
revisión
a. Auditoria interna
b. Pruebas de control
c. Actualizaciones en
evolución.

10. Gestión de terceros

a. Procesos integrados y
basados en el riesgo
b. Controles apropiados
c. Gestión de relaciones
d. Acciones reales y
consecuencias

11. Fusiones y
adquisiciones
a. Proceso de debida
diligencia
b. Integración en el
proceso de fusiones y
adquisiciones
c. Proceso de conexión de
la debida diligencia con
la implementación.
Artículo 49. Consideraciones para la -
emisión del informe por parte de la
SMV.
DISPOSICIONES COMPLEMENTARIAS FINALES
Primera: Adaptación, autorregulación ISO 37001:2016 El modelo de prevención que
y estándares internacionales 4.1 Comprensión de la organización y implementen las empresas
de su contexto deberá ser acuerdo a su gestión
4.2 Comprensión de las necesidades y de riesgos aplicable, tamaño,
expectativas de las partes interesadas naturaleza, características y
ISO 19600:2015 complejidad de operaciones.

Las empresas podrán utilizar

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
9
personas jurídicas y los modelos de prevención
 cualquier instrumento
internacional (ISO) que guía
estas buenas prácticas, siempre
que asegure una adecuada
implementación y eficiencia.
Segunda: Utilización de los 4.1 Comprensión de la organización y Las personas jurídicas que sean
componentes del Sistema de de su contexto sujetos obligados para normas de
Prevención del Lavado de Activos y 4.2 Comprensión de las necesidades y LAFT podrán utilizar los
del Financiamiento del Terrorismo expectativas de las partes interesadas componentes de sus sistemas de
4.5 Gestión del Riesgo prevención de lavado de activos
5.3 Función de Cumplimiento y financiamiento del terrorismo.

Por otro lado, la función del

encargado de prevención de
delitos podrá ser asumida por el
Oficial de Cumplimiento (sin
importar si es a dedicación
exclusiva o no),
Tercera: Disposiciones La SMV podrá emitir
complementarias, guas y lineamiento disposiciones complementarias a
en gestión de riesgos fin de cumplir el reglamento.
La SMV considera además de lo
señalado en la ley y el
reglamento, las buenas prácticas
y/o estándares internacionales.
Cuarta: Formatos de Modelo de El Ministerio de la Producción en
Prevención para las MyPRYME un plazo no mayor de 60 días
aprobará los formatos del MDP.

Tabla de correspondencia entre ISO 37001:2016 y Proyecto de reglamento de la Ley Nº 30424 sobre la responsabilidad de las
10
personas jurídicas y los modelos de prevención