Como se sabe, el 21 de abril de 2016 se publicó la Ley 30424, Ley de responsabilidad administrativa de las Personas Jurídicas por el delito de cohecho activo transnacional. Sin embargo, fue modificada mediante Decreto Legislativo 1352, publicado el 7 de enero de 2017, que amplía dicha responsabilidad “administrativa” de la persona jurídica frente a la comisión de los delitos de cohecho, lavado de activos y financiación del terrorismo. Esta norma entró en vigencia el 1 de enero del 2018.
Lo que les presentamos a continuación es el proyecto del reglamento, cuya publicación fue dispuesta por el Ministerio de Justicia y Derechos Humanos, a fin de recoger los comentarios y sugerencias de la comunidad jurídica y de la ciudadanía en general. Les dejamos, pues, con el texto del probable reglamento.
Lea también: D.L. 1352 que amplía la responsabilidad administrativa de las personas jurídicas
PROYECTO DE REGLAMENTO DE LA LEY N° 30424, LEY QUE REGULA LA RESPONSABILIDAD ADMINISTRATIVA DE LAS PERSONAS JURÍDICAS POR EL DELITO DE COHECHO ACTIVO TRANSNACIONAL
TÍTULO I
DISPOSICIONES GENERALES
Artículo 1.- Objeto y finalidad
El presente Reglamento tiene por objeto establecer, precisar y desarrollar los componentes, estándares y requisitos mínimos ole los modelos de prevención que las personas jurídicas de manera voluntaria pueden implementar en su organización a fin de prevenir, identificar y mitigar los riesgos de comisión de delitos a través de sus estructuras, de conformidad con lo previsto en el artículo 17 de la Ley N° 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional, modificado por el Decreto Legislativo N° 1352, Decreto Legislativo que amplía la responsabilidad administrativa de las personas jurídicas.
La ¡mplementación voluntaria de un modelo de prevención tiene como finalidad la prevención, detección y mitigación de la comisión de delitos.
Artículo 2.-Ámbito de Aplicación
El presente reglamento alcanza a todas las personas jurídicas comprendidas en el artículo 2 de la Ley N° 30424, que puedan estar expuestas al riesgo de comisión de los siguientes los delitos:
1. Cohecho activo transnacional (Art. 397-A del Código Penal)
2. Cohecho activo genérico (Art. 397 del Código Penal)
3. Cohecho activo específico (Art. 398 del Código Penal)
4. Lavado de activos (Art. 1, 2, 3, 4 del Decreto Legislativo N° 1106, Decreto Legislativo de lucha eficaz contra el lavado de activos y otros delitos relacionados a la minería ilegal y crimen organizado)
6. Financiamiento al terrorismo (Art. artículo 4-A del Decreto Ley N° 25475, Decreto Ley que establece la penalidad para los delitos de terrorismo y los procedimientos para la investigación, la instrucción y el juicio).
Artículo 3.- Clasificación de las personas jurídicas para efectos del modelo de prevención
De acuerdo a las normas de la materia, las personas jurídicas se clasifican en:
1. Gran empresa: ventas anuales superiores a 2300 UIT.
2. Mediana empresa: ventas anuales superiores a 1700 UIT y hasta el monto máximo de 2300 UIT.
3. Pequeña empresa: ventas anuales superiores a 150 UIT y hasta el monto máximo de 1700 UIT.
4. Micro empresa: ventas anuales hasta el monto máximo de 150 UIT.
Artículo 4.- Principios del modelo de prevención
Son principios para el diseño, aprobación, ¡mplementación, monitoreo y mejora continua de los modelos de prevención los siguientes:
1. Accesibilidad: las políticas, acciones, procedimientos, estrategias que componen el modelo de cumplimiento así como los materiales de apoyo deben ser de fácil acceso y ser formulados en un lenguaje claro y comprensible, a fin de facilitar la promoción del modelo entre los empleados y socios comerciales.
2. Adaptabilidad: las políticas, acciones, procedimientos y estrategias que componen el modelo de prevención deben adaptarse a la naturaleza, necesidades, tamaño, estructura, operaciones geográficas, modelo comercial y demás características concretas de la persona jurídica, así como a los riesgos a los que ésta se encuentra expuesta en cada caso concreto.
3. Compromiso y liderazgo: los máximos órganos de gobierno y de administración de la persona jurídica o quienes hagan sus veces, son los responsables de liderar la implementación y funcionamiento eficaces y efectivos del modelo de prevención, a través de su compromiso y apoyo firme, activo y visible.
4. Continuidad: el modelo de prevención debe ser considerado como un proceso continuo, debiendo adaptarse permanentemente a los cambios del entorno comercial y de la persona jurídica.
5. Eficiencia: la persona jurídica debe emplear adecuadamente y optimizar sus recursos para el diseño, aprobación e implementación del modelo de prevención, a fin de no incurrir en costos y cargas innecesarias que puedan poner en riesgo su eficacia y sostenibilidad.
6. Evaluación continua del riesgo: la persona jurídica debe identificar, evaluar y monitorear de forma continua las actividades riesgosas así como aquellas que puedan incrementar o crear nuevos riesgos, conocer sus consecuencias, así como valorar la existencia de factores que puedan prevenir la comisión del delito o reducir significativamente el riesgo de su comisión.
7. Documentación: las personas jurídicas deben documentar y evidenciar los procesos, los controles, la evaluación de riesgos y los resultados de esa evaluación, así como todos los elementos que sustenten que el modelo de prevención funciona adecuadamente.
8. Proporcionalidad: los controles implementados por la persona jurídica deben ser proporcionales al nivel del riesgo, a la probabilidad de la comisión de actos delitos y a sus efectos potenciales.
9. Publicidad y comunicación preventiva: las personas jurídicas, con independencia de su tamaño y capacidad, deben informar al público sobre sus programas, políticas y prácticas contra la corrupción; en particular, deben comunicar públicamente el estado situacional y los resultados del modelo de prevención a sus trabajadores, socios comerciales y otras partes interesadas.
10. Razonabilidad: los controles implementados por la persona jurídica deben tener la posibilidad razonable de prevenir, detectar y mitigar los riesgos de delitos.
Artículo 5.- Definiciones
Para la aplicación del presente reglamento, se consideran las siguientes definiciones:
1. Autonomía.- autoridad e independencia funcional, suficiente para supervisar y hacer cumplir el modelo de prevención. No implica necesariamente la dedicación exclusiva a la tarea ni la pertenencia a la estructura interna de la organización.
2. Delitos.- los previstos en el artículo 1 de la Ley N° 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional, modificado por el Decreto Legislativo N° 1352, Decreto Legislativo que amplía la responsabilidad administrativa de las personas jurídicas.
3. Alta Dirección.- persona o grupo de personas que dirigen una persona jurídica al más alto nivel.
4. Conflicto de intereses.- Situación donde los intereses de negocios, financieros, familiares, políticos o personales podrían interferir con el juicio de valor de las personas en el desempeño de sus funciones u obligaciones al interior y hacia la persona jurídica.
5. Controles financieros.- sistemas de gestión y procesos con los que cuenta la persona jurídica para controlar sus transacciones financieras con precisión, integralmente y de manera oportuna, con la finalidad de registrar estas transacciones y reducir el riesgo de comisión de delitos.
6. Controles no financieros.- procesos con los que cuenta la persona jurídica con la finalidad de gestionar el riesgo de comisión de delitos con respecto a áreas sensibles o críticas, tales como compras, operaciones, ventas, comercial, recursos humanos, actividades legales y regulatorias.
7. Contextos internos.- condiciones relacionadas a la naturaleza y conformación interna de la persona jurídica, como su tamaño, estructura, escala y su complejidad de su organización como de sus operaciones.
8. Contextos externos.- condiciones relacionadas a las interacciones en el mercado.
9. Debida diligencia.- proceso a través del cual la persona jurídica identifica y evalúa con detalle la naturaleza y el alcance de los riesgos de delitos en el marco de su actividad empresarial, la cual permite la toma de decisiones informadas, con la finalidad de prevenir o reducir significativamente el riesgo de la comisión de delitos, en el ámbito de las transacciones comerciales, proyectos, actividades, socios comerciales y personal considerado dentro de estas categorías.
10. Funcionario público o servidor público.- todas las personas comprendidas en el artículo 425 del Código Penal.
11. Ley.- Ley N° 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional, modificada por el Decreto Legislativo N° 1352, Decreto Legislativo que amplía la responsabilidad administrativa de las personas jurídicas y cualquier modificación posterior
12. Modelo de prevención.- sistema ordenado de normas, mecanismos y procedimientos de vigilancia y control, implementados voluntariamente por la persona jurídica, destinados a neutralizar o reducir significativamente los riesgos de comisión de ilícitos y a promover la integridad y transparencia en la gestión de las personas jurídicas.
13. Órgano de gobierno.- grupo u órgano que tiene la responsabilidad y autoridad final respecto de las actividades, la gobernanza y las políticas de ina organización, y a la cual la alta dirección informa y por el cual rinde cuentas.
14. Órgano de administración.- grupo u órgano de que se encarga de la administración, gestión y representación de la persona jurídica, realizando los actos propios de su objeto social.
15. Perfil de riesgo.- el resultado de la evaluación de riesgos a la persona jurídica que permite conocer el grado de vulnerabilidad de verse involucrada y enfrentar la comisión de delitos, como consecuencia del ejercicio de sus actividades.
16. Persona jurídica.- entidades de derecho privado, asociaciones, fundaciones, organizaciones no gubernamentales y comités no inscritos, las sociedades irregulares, los entes que administran un patrimonio autónomo y las empresas del Estado peruano o sociedades de economía mixta, así como cualquier otra que sea comprendida en el artículo 2 de la Ley que, voluntariamente, ha adoptado un Modelo de Prevención.
17. Proceso.- conjunto de actividades mutuamente relacionadas que interactúan, para elaborar o transforman algún elemento
18. Riesgo inherente.- es el nivel de riesgo al que se encuentra expuesta la persona jurídica en el ejercicio de sus actividades en atención a todos los elementos y características que conforman su perfil de riesgo. Se define combinando la probabilidad de ocurrencia del riesgo en un plazo previsible y el impacto de la ocurrencia según el cálculo de las consecuencias de carácter legal, comercial, operativo, reputacional y de cualquier otra índole.
19. Riesgo residual.- es el nivel de riesgo remanente tras la implementación de los elementos y controles del modelo de prevención destinados a mitigar el riesgo inherente de la persona jurídica.
20. Sistema de Prevención del Lavado de Activos y Financiamiento del Terrorismo.- El sistema de prevención del LA/FT está conformado por las políticas y procedimientos establecidos por los sujetos obligados, de acuerdo a las disposiciones normativas sobre la materia, a través de la gestión de riesgos de LA/FT se busca prevenir y evitar que las actividades que desarrollan o los servicios que los sujetos obligados prestan al público, sean utilizados parala comisión de delitos de lavado de activos o financiamiento del terrorismo, a través de la detección de operaciones inusuales y de operaciones sospechosas realizadas o que se hayan intentado realizar.
21. Socios comerciales.- aquellas personas naturales o jurídicas vinculadas a la persona jurídica por un interés económico o comercial recíproco, que incluyen, sin perjuicio de otros niveles de interacción, a las sucursales, filiales, empresas conjuntas, consorcios o cualquier otra forma asociativa empresarial agentes, intermediarios, contratistas y proveedores.
TÍTULO II
FASES ESTRATÉGICAS PARA LA PREVENCIÓN Y GESTIÓN DE RIESGOS
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 6.- Importancia del perfil de riesgo
El diseño e implemertación de un modelo de cumplimiento, independientemente del tamaño o clasificación de las personas jurídicas se elabora sobre la base del resultado de la evaluación de su perfil de riesgo.
Artículo 7.- Frecuencia
El proceso de identificación, evaluación y mitigación de riesgos se realizará cada vez que se produzcan cambios estructurales y de organización, o ante alguna circunstancia endógena o exógena que amerite la realización de una nueva evaluación de riesgos con la finalidad de permitir a la persona jurídica realizar los ajustes al modelo de prevención que resulten necesarios.
Artículo 8.- Documentación del proceso operativo
La persona jurídica debe documentar las actividades y los parámetros operativos sobre los momentos de identificación, evaluación y mitigación de riesgos, su frecuencia, las fuentes, la recolección de datos, los procedimientos, las personas u órganos involucrados, los flujos de información, los informes relacionados y demás ejercicios vinculados al proceso de gestión de riesgos penales. Para efectos de lo señalado será suficiente cualquier documento de fecha cierta.
CAPÍTULO II
PROCESOS Y RESPONSABILIDADES
Artículo 9.- Identificación de procesos y responsabilidades
Previo a cualquier proceso de evaluación de riesgos, la persona jurídica debe definir las funciones y responsabilidades operativas, los procesos operativos y la responsabilidad de supervisión de estas actividades, determinado las áreas o unidades orgánicas responsables.
Esta etapa debe ser llevada a cabo por la persona jurídica independientemente de su tamaño o clasificación.
Artículo 10.- Funciones operativas
La persona jurídica debe asignar la responsabilidad de la evaluación de riesgos a personal calificado que puede ser externo o, de preferencia, que tenga vinculación directa con las principales actividades de la persona jurídica. Esta persona debe tener capacidad de administrar y realizar la identificación, evaluación y mitigación de riesgos. Para un desempeño idóneo es necesario otorgarle los márgenes de decisión suficientes, así como las herramientas e insumos pertinentes.
Artículo 11.- Procesos operativos
La evaluación de riesgos eficiente debe definir, documentar y publicar los pasos del proceso de evaluación de riesgos, definiendo como mínimo el momento de la evaluación, su frecuencia, los elementos o fuentes que se utilizarán para ¡a identificación de los riesgos, la recolección de datos, el ámbito de aplicación, la forma en la que se recolectará y acumulará información y la emisión de informes de resultado.
Artículo 12.- Responsabilidad de supervisión
La persona jurídica debe asignar a una persona u órgano la responsabilidad de la supervisión del cumplimiento de la evaluación de riesgos para asegurar que sea llevada de acuerdo a los procesos operativos previamente definidos.
CAPÍTULO III
IDENTIFICACIÓN DE RIESGOS
Articulo 13.- Construcción del perfil de riesgo
Para la elaboración del perfil de riesgo, se debe determinar los riesgos inherentes al desarrollo de la actividad de la persona jurídica en cada uno de sus procesos, para ello puede seguir los siguientes pasos:
1. La identificación de todos los procesos que son parte del funcionamiento de la persona jurídica.
2. Determinación del objetivo del proceso.
3. A partir de los factores internos y externos aplicables a la persona jurídica se determina las causas o agentes generadores del riesgo.
4. Identificar y definir de manera clara y precisa los riesgos inherentes al proceso que se evalúa, definiendo cada uno de los elementos que lo componen.
5. Determinación de las consecuencias generadas o que se podrían generar por la materialización de un riesgo.
Artículo 14.- Identificación de riesgos
La persona jurídica identifica los factores, tipos y esquemas de riesgos a los que puede estar expuesta. Asimismo, debe detectar, reconocer y describir los riesgos en sus procesos más relevantes en el marco de su actividad comercial u objeto social. Para tal efecto, sin perjuicio de otros que puedan determinarse en su autorregulación, se analizan los contextos internos y externos a los que hace referencia el artículo 17 del presente reglamento.
Artículo 15.- Tipos de riesgos
En el proceso de identificación de riesgos se deberá determinar como mínimo los iguientes:
1. Riesgos legales: relacionados las sanciones penales o administrativas por la comisión de delitos.
2. Riesgos comerciales u operativos: relacionados con las actividades cotidianas o comunes propias del ejercicio de sus actividades.
3. Riesgos económicos: relacionados al rendimiento de la inversión y la estructura financiera de la actividad.
4. Riesgos reputacionales: relacionados a la imagen de la persona jurídica ante sus pares, clientes y público en general.
Artículo 16.- Fuentes de información
Para la identificación de riesgos, la empresa puede recolectar los datos e información de fuentes internas o externas, tales como la normatividad y procedimientos legales vigentes auditorías internas o externas, procesos o casos anteriores relacionados a la comisión de delitos, entre otros.
Articulo 17.- Criterios para la identificación de riesgos
En la identificación, clasificación y priorización de riesgos se puede establecer considerando los siguientes criterios, entre otros:
1. Tamaño y estructura de la persona jurídica, por la cual se toman variables como el número de empleados y colaboradores;
2. Naturaleza, escala y complejidad de la persona jurídica y sus operaciones;
3. Socios comerciales, intermediarios, consultores o representantes de ventas;
4. Ubicación geográfica y sectores del mercado y los países en los que opera o anticipa operar, directa o indirectamente;
5. Naturaleza, intensidad, frecuencia y extensión de las interacciones con funcionarios y servidores públicos;
6. La cantidad y ubicación de las personas jurídicas que forman parte del grupo económico o sobre las cuales la persona jurídica tiene control; y
7. Las obligaciones, deberes estatutarios, contractuales y deberes análogos de la persona jurídica;
CAPITULO IV
EVALUACIÓN DE RIESGOS
Artículo 18.- Evaluación del riesgo
La persona jurídica debe estimar la magnitud de los riesgos inherentes, en términos cuantitativos y/o cualitativos; reconocer su trayectoria, a efectos de minimizarlos y controlarlos eficazmente.
Artículo 19.- Criterios para la evaluación de riesgos
La evaluación debe ser entendida como un examen sistèmico que permita determinar la probabilidad de que se materialicen los riesgos identificados, así como el impacto que éstos tendrían en la persona jurídica, a fin de establecer los niveles de prioridad que debe asignarse a cada uno de ellos.
Artículo 20.- Probabilidad
La persona jurídica debe identificar las oportunidades o condiciones idóneas para la ocurrencia de un evento de riesgo de la comisión de un acto ilícito. Se determinará de acuerdo a la frecuencia con la que se ha presentado el riesgo o por la factibilidad de que el riesgo se presente.
Los riesgos inherentes por la probabilidad de que se materialicen pueden ser determinados como excepcional, improbable, posible, probable, casi seguro y seguro, sin perjuicio de que cada persona jurídica en el ejercicio de su autorregulación fije sus propios parámetros de acuerdo a su naturaleza y necesidades, siempre que estos sean idóneos y eficaces
Artículo 21.- Impacto
La persona jurídica debe determinar la magnitud de las consecuencias o efectos que puede generar la materialización de un riesgo de un acto ilícito en el desarrollo de sus actividades. El impacto debe ser analizado en términos legales, comerciales, operativos y de reputación, y puede ser graduado en niveles tales como grado leve, moderado, grave o muy grave.
CAPÍTULO V
MITIGACIÓN DE RIESGOS
Artículo 22.- Controles de prevención, detección o corrección
La persona jurídica deberá, sobre la base de la identificación y evaluación de los riesgos inherentes, asumir e implementar controles y medidas de prevención, detección o corrección. Estos controles y medidas deberán ser proporcionales, razonables y adecuados a la probabilidad o impacto de los riesgos inherentes priorizados y de los riesgos residuales.
Los controles de prevención, detección y corrección de los riesgos forman parte fundamental del modelo de prevención que implemente la persona jurídica.
Artículo 23.- Controles financieros
La persona jurídica debe implementar sistemas y procedimientos que le permitan gestionar sus operaciones financieras y comerciales de modo correcto, y que le permita registrar estas operaciones de modo preciso, completo y oportuno, a fin de reducir el riesgo de la comisión de delitos.
Los controles financieros pueden tener medidas como:
1. Separación de funciones en procedimientos de pagos.
2. Niveles de aprobación de pagos.
3. Mecanismos de verificación de la designación, trabajo y servicios se hayan dado de modo correcto.
4. Más de una firma para pagos.
5. Documentación suficiente para la aprobación de pagos.
6. Restringir el uso de dinero en efectivo.
7. Implementar revisiones periódicas de las operaciones financieras.
8. Implementar auditorias financieras internas periódicas.
Artículo 24.- Controles no financieros
La persona jurídica debe implementar sistemas y procedimientos que le permitan asegurar que sus adquisiciones, aspectos operacionales, comerciales y cualquier otro aspecto no financiero están siendo gestionados de modo correcto.
Los controles no financieros pueden tener medidas como:
1. Procesos adecuados de verificación y calificación previa de contratistas, subcontratistas, proveedores y consultores a fin de avaluar su probabilidad de participar en alguno de los delitos previstos en el artículo 2.
2. Evaluar, la necesidad y legitimidad de los servicios brindados por un socio de negocios.
3. Si los servicios prestados fueron llevados de modo correcto.
4. Si los pagos que se realizaran son adecuados y proporcionables al servicio brindado.
5. Siempre que sea posible, la adjudicación de los contratos debe darse después de un proceso de evaluación con al menos tres postores.
6. Determinar de manera adecuada la separación de funciones de las personas que participan en los procesos de contratos, incluida su supervisión y aprobación de los trabajos.
7. Requerir la firma de al menos dos personas en los contratos, en los términos que los modifiquen y en la aprobación de los trabajos o del cumplimiento del contrato.
8. Establecer directivas o documentos guía para los trabajadores y personal involucrado en los procesos no financieros a fin de facilitar su labor e identificar los riesgos.
TÍTULO III
MODELO DE PREVENCIÓN
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 25.- Consistencia normativa
El modelo de prevención debe ser consistente con la normativa nacional y, con la de los países extranjeros en los que la persona jurídica realiza operaciones, según corresponda. Su diseño debe ser revisado periódicamente para cautelar y preservar dicha consistencia.
Artículo 26.- Enfoque participativo
En la implementacíón, evaluación y mejora continua del modelo de prevención puede ‘involucrarse a los socios comerciales y demás grupos de interés con las que la persona jurídica se relaciona, a través de procesos interactivos y actividades que permitan recabar sus aportes y opiniones, así como fortalecer la importancia y necesidad del modelo de prevención para la persona jurídica.
Artículo 27.- Obligatoriedad y aplicación general
Una vez adoptado el modelo de prevención su cumplimiento es de carácter obligatorio y debe aplicarse, sin excepción alguna y de forma igualitaria, a todos los niveles, áreas y ámbitos funcionales de la persona jurídica.
Artículo 28.- Simplicidad
El contenido del modelo de prevención debe estar formulado de modo que pueda ser fácilmente comprendido por los trabajadores, socios comerciales y grupos de interés vinculados a la persona jurídica.
Artículo 29.- Cultura organizacional
El modelo de prevención debe estar orientado prioritariamente al fomento de una cultura de confianza, ética e integridad, por sobre un enfoque represivo y de excesivo control.
Artículo 30.- Autorregulación de la persona jurídica
Las personas jurídicas, en el ejercicio de su autorregulación, tienen la facultad para definir el alcance de los elementos del modelo de prevención, así como los procedimientos o metodología para su diseño, implemeníación y monitoreo, que mejor se adapte a sus necesidades, riesgos y particularidades y que. en función de ellos, resulten más eficaces.
Tratándose de personas jurídicas consideradas como sujetos obligados de acuerdo a las normas que regulan el Sistema de Prevención de Lavado de Activos y del Financiamiento al Terrorismo la autorregulación es la facultad para definir el alcance de los elementos del modelo de prevención respecto a riesgos de la comisión de delitos distintos al lavado de activos y del financiamiento al terrorismo.
CAPÍTULO II
ELEMENTOS MÍNIMOS DEL MODELO DE PREVENCIÓN
Artículo 31.- Política del modelo de prevención
El compromiso y liderazgo del órgano de gobierno o administración para la implementación y supervisión de un modelo de prevención deben verse reflejados de modo claro, visible y accesible en una política que manifieste el rechazo hacia la comisión de los delitos.
Este compromiso debe reflejarse en el liderazgo y apoyo visible e inequívoco, en especial sobre:
a) La implementación y ejecución de una política de rechazo frente a los delitos. Esta deberá quedar documentada y enfatizada en las actividades internas y externas de la persona jurídica; y,
b) La implementación y ejecución del modelo de prevención efectivo frente a los delitos previstos en el en el artículo 1 de la Ley N° 30424.
c) La aprobación de un código de conducta en el que se asuma el compromiso de todos los miembros de la organización de no incurrir en la comisión de los delitos y de coadyuvar al buen funcionamiento del modelo de prevención.
d) La aprobación de lineamientos y/o mecanismos que reconozcan y promuevan la comunicación oportuna de cualquier indicio sobre la posible comisión de un delito, bajo condiciones de confidencialidad, seguridad y protección a los denunciantes.
La política del modelo de prevención es aplicable a los socios comerciales y a las partes interesadas, quienes deben ser debidamente informados sobre el compromiso de la persona jurídica de prohibir cualquier delito, buscando su adhesión a dicho compromiso.
Artículo 32.- Elementos mínimos
De acuerdo a lo establecido en el numeral 17.2 del artículo 17 de la Ley N° 30424, son elementos mínimos del modelo de prevención los siguientes:
1. Identificación, evaluación y mitigación de riesgos;
2. Un encargado de prevención, designado por el máximo órgano de gobierno de la persona jurídica o quien haga sus veces, según corresponda, que debe ejercer su función con autonomía;
3. La implementación de procedimientos de denuncia;
4. La difusión y capacitación periódica del modelo de prevención;
5. La evaluación y monitoreo continuo del modelo de prevención.
Estando al principio de autorregulación a la que hace referencia el artículo 30, las personas jurídicas puede complementar el modelo de prevención con los siguientes elementos:
6. Políticas para áreas específicas de riesgos;
7. Registro de actividades y controles internos;
8. La integración del modelo de prevención en los procesos comerciales de la persona jurídica;
9. Designación de una persona u órgano auditor interno;
10. La implementación de procedimientos que garanticen la interrupción o remediación rápida y oportuna de riesgos; y,
11. Mejora continua del modelo de prevención.
Artículo 33.- Políticas para áreas específicas de riesgos
1. La persona jurídica debe establecer documentalmente controles específicos e idóneos de prevención, detección y mitigación de riesgos enfocados en ámbitos especialmente sensibles que puedan estar vinculados a su actividad u objeto social, tales como:
a. Pagos de facilitación
b. Regalos, auspicios, hospitalidad, viajes y entretenimiento
c. Contribuciones a campañas políticas
2. Establecer controles de prevención, detección y mitigación que permitan enfrentar de modo adecuado los riesgos identificados como posibles conflictos de intereses.
Artículo 34.- Designación de una persona u órgano de prevención
1. El máximo órgano de gobierno y/o administración de la persona jurídica, debe designar a una persona u órgano de prevención, encargado de velar por la aplicación, ejecución, cumplimiento y mejora continua del modelo de prevención. Para tal efecto, su designación y, con ello, sus funciones y atribuciones debe garantizar su autonomía en el control y auditoría de los procesos de la persona jurídica, con la finalidad de asegurar el modelo de prevención, sus políticas y objetivos previamente establecidos.
2. Se debe asegurar la independencia y la autoridad de la persona u órgano designado, encargado de la aplicación del modelo de prevención y la ejecución de su cumplimiento Para tal efecto, se deberán asignar los recursos que permitan el adecuado funcionamiento operativo, tanto del órgano de prevención, como para llevar a cabo el modelo.
Artículo 35.- Registro de actividades y controles internos
1. La persona jurídica debe implementar un sistema de control contable y financiero que asegure el registro de todas sus actividades, lo que incluye el registro adecuado de libros y cuentas Ninguna transacción operación o negocio puede quedar por fuera de este registro.
2. Implementar un sistema de controles internos que permita verificar que la política y medidas del modelo de prevención se están aplicando de modo adecuado. Estos controles pueden estar integrados por lineamientos institucionales que se incorporan en los procesos de la persona jurídica en especial a los procesos de alto riesgo y los controles propiamente dicho.
3. La implementación del sistema de control interno está a cargo del órgano de gobierno o administración de la persona jurídica, su evaluación estará a cargo de un auditor u órgano de auditoría interna o externa, mientras que su supervisión es función de la persona u órgano de prevención.
Artículo 36.- La integración del modelo de prevención en los procesos comerciales de la persona jurídica
1. El modelo de prevención debe integrarse a los procesos comerciales de la persona jurídica, así como a las normas de conducta, código de ética, políticas y procedimientos de integridad, aplicable a todos los empleados y directivos, independientemente de la posición o función que ejerza.
2. La integración del modelo de prevención debe ser visible a todas las partes dentro y fuera de la empresa. La integración del modelo, sin perjuicio de otros procesos que puede determinar la persona jurídica en su autorregulación, se extiende a:
a) Las relaciones o vínculos con los socios comerciales y partes interesadas;
b) Los procedimientos de contratos administrativos o de cualquier interacción con el sector público, aunque medien terceros, tales como el pago de impuestos, obtención de permisos, licencias y certificados a nivel internacional;
c) El uso de los recursos financieros, los cuales abarca a los diferentes tipos especiales de gastos que puede incurrir la persona jurídica, tales como regalos, hospitalidad, viajes, entretenimiento, contribuciones políticas, contribuciones filantrópicas y patrocinios; y,
d) Las fusiones, adquisiciones y reestructuración de las personas jurídicas.
Artículo 37.- La implementación de procedimientos que garanticen la interrupción o remediación rápida y oportuna de riesgos
La persona jurídica debe implementar procedimientos que garanticen la interrupción o remediacíón rápida y oportuna sobre irregularidades, violaciones y/o daños generados como consecuencia del incumplimiento del modelo de prevención.
Para ello se establecen medidas disciplinarias y/o sanciones a quienes incumplan el modelo de prevención de la organización o en el caso de la detección de indicadores de la presunta comisión de delitos, como resultado de las investigaciones internas realizadas o de las medidas de respuesta o remediación adoptadas.
Estas actividades contemplan también que los hechos presuntamente delictivos sean puestos en conocimiento de las autoridades competentes.
La supervisión y ejecución de las actividades de respuesta está cargo del encargado de prevención
Artículo 38.- La implementación de procedimientos de denuncia
1. La persona jurídica debe implementar procedimientos de denuncia que permitan a las personas jurídicas o naturales reportar cualquier intento, sospecha o acto de un delito, así como de cualquier otro acto que determine el incumplimiento o debilidad del modelo de prevención.
2. La implementación de procedimientos de denuncia, sin perjuicio de otros componentes que puede determinar la persona jurídica en su autorregulación, deberá incluir:
a) Canales de información sobre irregularidades, abierta y ampliamente difundida entre los empleados y directivos, independientemente de la posición o función que ejerza, así como a los socios comerciales cuando corresponda;
Los canales que pueden consistir en líneas telefónicas, buzones de correo electrónico exclusivos, sistemas de denuncia en línea, reportes presenciales u otros que la organización considere idóneos, los mismos que pueden estar administrados por esta misma o por un tercero.
b) La implementación de medidas disciplinarias en caso de violación al modelo de prevención;
c) Mecanismos de protección para el denunciante, asegurando que ningún personal sufrirá represalia, discriminación o sanción alguna por reportes o denuncias interpuestas de buena fe; y,
d) Un esquema de incentivos que permita reafirmar la importancia del modelo de prevención, así como la de promover el compromiso y apoyo al mismo.
Artículo 39.- Del procedimiento de denuncia:
El procedimiento de denuncia contempla, como mínimo, los siguientes aspectos:
a) Descripción, a modo de ejemplo, de las conductas delictivas que pueden denunciarse;
b) Identificación del encargado de prevención y su información de contacto;
c) Protección para el denunciante, por parte de la organización;
d) Canales de denuncia disponibles;
e) Definición y descripción de los elementos mínimos que debe contener una denuncia para que sea considerada como tal;
f) Definición y descripción del mecanismo de recepción de denuncias; y,
g) Definición y descripción del procedimiento de investigación y de la presentación de los resultados.
Artículo 40.- La difusión y capacitación periódica del modelo de prevención
1. La persona jurídica debe difundir y capacitar periódicamente, tanto interna como externamente, el modelo de prevención que permita una cultura de integridad empresarial frente a la comisión de delitos.
2. La difusión y capacitación debe desarrollarse por los medios más idóneos y, cuando menos una vez al año, con la finalidad de transmitir los objetivos del modelo de prevención a todos los empleados y directivos, independientemente de la posición o función que ejerza, así como a los socios comerciales y partes interesadas cuando corresponda.
La capacitación puede ser presencial o virtual, y versa, como mínimo, sobre los siguientes temas:
a) Política de cumplimiento y prevención de delitos, los procedimientos implementados, el modelo de prevención y el deber de cumplimiento;
b) Riesgos de incurrir en los referidos delitos y sus consecuencias para la organización y para el trabajador que incurre en ellos;
c) Circunstancias en las que puede presentarse alguna situación que implique un riesgo de comisión de alguno de los delitos referidos, relacionadas con las funciones y actividades que el trabajador desempeña en la organización;
d) Formas de reconocimiento y enfrentamiento de las situaciones de riesgo;
e) Identificación de los canales de comunicación y/o de los procedimientos de denuncia;
f) Formas de colaboración para la prevención de riesgos y para la mejora del modelo de prevención;
g) Consecuencias legales del incumplimiento del modelo de prevención; e
h) Información sobre los recursos de capacitación disponibles.
El contenido, oportunidad y frecuencia de la capacitación puede ser diferenciada de acuerdo a cada área de la organización en las que se haya identificado mayor la exposición al riesgo de incumplimiento, según sus necesidades.
Las actividades de capacitación y sensibilización deben estar debidamente documentadas.
Artículo 41.- La evaluación y monitoreo continuo del modelo de prevención
1. La persona jurídica debe establecer mecanismos para retroalimentación y otros procesos internos que apoyen al mejoramiento continuo del modelo de prevención.
2. El órgano de gobierno y/o administración de la persona jurídica debe monitorear y revisar su adecuación e implementar las mejoras que sean necesarias al modelo de prevención, acciones que deben reflejarse documentalmente. Este proceso debe realizarse, como mínimo, una vez al año y deben referirse, como mínimo a los siguientes aspectos:
a) Funcionamiento del modelo de prevención;
b) Fallas y/o debilidades encontradas;
c) Detalle de las acciones correctivas realizadas;
d) Eficacia de las medidas adoptadas para hacer frente a los riesgos identificados; y,
e) Oportunidades de mejora del modelo de prevención.
Artículo 42.- Mejora continúa del modelo de prevención
La organización mejora continuamente la idoneidad, adecuación a la realidad y eficacia del modelo de prevención.
El proceso de mejora incluye la adopción de acciones correctivas y/o cambios al modelo ante la ocurrencia de violaciones al mismo, cambios en la estructura de la organización, en el desarrollo de sus actividades o ante factores internos o externos que impliquen cambios en el perfil de riesgos identificados que sirvió para la elaboración del modelo de prevención.
TÍTULO IV
IMPLEMENTACIÓN DEL MODELO DE PREVENCIÓN EN MEDIANAS, MICRO Y PEQUEÑAS EMPRESAS
Articulo 43.- Modelo de prevención en medianas, micro y pequeñas empresas
La MIPYME debe contar con un modelo de prevención que cumpla por lo menos con alguno de los elementos mínimos previstos en el numeral 17.2 del artículo 17 de la Ley.
El contenido del Modelo de Prevención toma en consideración las características de una persona jurídica y establece condiciones diferentes para la mediana empresa, pequeña y micro empresa.
En el caso de la MIPYME, para efecto de la elaboración del contenido del modelo de prevención, debe observar en lo que corresponda bajo el principio de adaptabilidad lo establecido en el presente reglamento.
En estos casos, para la implementación de un Modelo de Prevención debe contar con un perfil de riesgo desarrollado bajo las disposiciones establecidas en el Título II del presente reglamento.
Articulo 44.- Formatos de Modelo de Prevención
Mediante Resolución Ministerial, en un plazo no mayor de sesenta (60) días calendario, se aprueba los formatos de Modelo de Prevención que pueden ser aplicados por las MIPYME en el ámbito de aplicación del presente Reglamento.
Articulo 45.- Facilidades para las MYPIME
Los Centros de Desarrollo Empresarial (CDE) establecen los mecanismos o instrumentos físicos o informáticos que faciliten la capacitación, difusión, evaluación y monitoreo de las MIPYME.
TÍTULO IV
DE LA INTERVENCION DE LA SUPERINTENDENCIA DE MERCADO DE VALORES
Artículo 46.- Requisitos para el requerimiento del informe a la SMV
De acuerdo con lo establecido en el artículo 18 de la Ley N° 30424, la Superintendencia de Mercado y Valores (SMV), únicamente a solicitud del Fiscal, analiza la implementación y funcionamiento del modelo de prevención implementado por las personas jurídicas a que se refiere el artículo 1 de la citada Ley.
La solicitud del Fiscal requiriendo la opinión de la SMV debe precisar:
a) Identificación del fiscal que solicita el informe;
b) Identificación de la fiscalía de la que es titular;
c) Datos de la persona jurídica investigada; (RUC y demás de ID)
d) Disposición de inicio de las investigaciones que detalle los presuntos delitos cometidos por la persona jurídica: y,
e) Toda la documentación que haya sido presentada por la persona jurídica que pueda sustentar la implementación y funcionamiento del modelo de prevención.
Si dicha información fuese incompleta o insuficiente, la SMV requerirá al fiscal, a efectos de que una vez remitida de manera completa se dé inicio al cómputo del plazo previsto en la octava disposición complementaria final de la Ley 30424.
Artículo 47.- Requerimiento de información
A los fines de que la SMV emita el informe de que trata el artículo 18 de la Ley 30424 la persona jurídica debe:
a) Entregar toda la información y documentación que le sea solicitada a los fines de evidenciar la implementación y funcionamiento adecuado de su modelo de prevención; esta información y documentación puede alcanzar inclusive a los socios comerciales;
b) Permitir la realización de las visitas de inspección inopinada y opinada; y,
c) Permitir la entrevista o toma de declaraciones del personal de la organización y de todos aquellos relacionados a la implementación y funcionamiento adecuado del modelo de prevención.
Articulo 48.- Verificación de la implementación y funcionamiento del modelo de prevención
De acuerdo a lo establecido en el artículo 18 de la Ley N° 30424, la Superintendencia de Mercado y Valores como ente encargado de la evaluación y validación del modelo de prevención implementado por las personas jurídicas, debe realizar como mínimo los siguientes procesos del modelo:
1. Análisis y corrección de los riesgos inherentes y residuales
a) Identificación de los riesgos
b) Evaluación de los riesgos
c) Mitigación de los riesgos
2. Compromiso y liderazgo de los órganos de gobierno
d) Conducta de los órganos de gobierno y la alta dirección
e) Compromiso Compartido
f) Supervisión del cumplimiento del programa
3. Autonomía y recursos
a) Función de Cumplimiento
b) Autonomía
c) Experiencia y Calificaciones
d) Autonomía
e) Empoderamiento
f) Financiación y recursos
g) Funciones de cumplimiento externalizadas
4. Políticas y Procedimientos
a) Diseño y Accesibilidad
1. Diseño de Políticas y Procedimientos de Cumplimiento
2. Políticas y Procedimientos Aplicables
3. Responsables
4. Accesibilidad
b) Procesos operativos
1. Controles financieros y no financieros
2. Sistemas de pago
3. Proceso de Aprobación / Certificación
5. Evaluación de Riesgos
a) Proceso de Gestión de riesgos
b) Recopilación y análisis de información
c) Riesgos inherentes
6. Formación y Comunicaciones
a) Formación basada en el riesgo
b) Forma / Contenido / Efectividad de la Formación
c) Disponibilidad de Orientación
7. Informes Confidenciales e Investigación
a) Efectividad del Mecanismo de Presentación de Informes
b) Investigación apropiada por personal calificado
c) Respuesta a las investigaciones
8. Incentivos y medidas disciplinarias
a) Responsabilidad
b) Proceso de Recursos Humanos
c) Aplicación consistente
d) Sistema de Incentivos
9. Mejora Continua, Pruebas Periódicas y Revisión
a) Auditoría Interna
b) Pruebas de Control
c) Actualizaciones en evolución
10. Gestión de terceros
a) Procesos integrados y basados en el riesgo
b) Controles apropiados
c) Gestión de Relaciones
d) Acciones reales y consecuencias
11 Fusiones y Adquisiciones
a) Proceso de Due Diligencie
b) Integración en el proceso de fusiones y adquisiciones
c) Proceso de conexión de la debida diligencia con la implementación
Artículo 49.- Consideraciones para la emisión del informe por parte de la SMV
En la emisión del informe que emita la SMV, se tomará en cuenta necesariamente:
1.- La documentación entregada por la empresa y las acciones que ella hubiere adoptado en el marco de lo que señala el presente reglamento.
2.- La circunstancia de que existe una investigación fiscal por alguno de los delitos enunciados en el artículo 1 de la Ley 30424.
3.- La existencia de las certificaciones que la persona jurídica hubiese obtenido, en la medida que hayan sido emitidos por parte de entidades especializadas del Perú o del exterior.
DISPOSICIONES FINALES COMPLEMENTARIAS
PRIMERA.- Utilización de los componentes del Sistema de Prevención del Lavado de Activos y del Financiamiento del Terrorismo
Las personas jurídicas consideradas sujetos obligados de acuerdo a las normas que regulan el sistema de prevención del Lavado de Activos y del Financiamiento del Terrorismo, pueden utilizar los componentes que conforman dicho sistema para implementar el modelo de prevención al que hace referencia el presente Reglamento, de modo que no exista duplicidad de funciones y sea razonable y proporcional para la prevención, detección y mitigación de los riegos de la comisión de los delitos previstos en el artículo 1 de la Ley N° 30424, además del lavado de activos y el financiamiento al terrorismo.
En estos casos, la función de encargado de prevención puede ser asumida por el Oficial de Cumplimiento a dedicación exclusiva o no exclusiva, designado ante la UIF-Perú. La única función adicional que puede desempeñar un Oficial de Cumplimiento a dedicación exclusiva es la de encargado de prevención.
SEGUNDA.- La SMV emite las disposiciones que resulten necesarias a los fines de cumplir las funciones que le asigna la Ley y el presente Reglamento.