Artículo 6.- De la evaluación de riesgos en el Modelo. La persona jurídica
contemplará en la evaluación de riesgos, como mínimo, lo siguiente:
a) Identificación y descripción de riesgos derivados del contexto de la
persona jurídica, considerando al menos:
Los procesos y actividades que realiza para llevar a cabo su
misión.
Las contrapartes del sector público nacional e internacional
con las que se relaciona en el marco de su giro.
Las contrapartes del sector privado, su relación con terceros,
intermediarios, socios u otros involucrados con los que opera.
Las contrapartes sobre las que tiene y ejerce control.
Otros factores como lugares y espacios donde despliega su
actividad y los medios y tiempos requeridos para ello.
b) Identificación y descripción de riesgos a partir de:
Entrevistas a personas clave de la organización perteneciente,
por ejemplo a proveeduría, mercadeo, finanzas, auditoría interna, alta
dirección o cualquier otro que se considere pertinente.
Revisión de reportes de auditoría, registros telefónicos,
análisis de incidentes anteriores sucedidos en la organización o en
organizaciones similares u obtener asesoría de profesionales en derecho,
auditoría o cualquier otro profesional que competa.
c) Dentro de las esferas de acción de una persona jurídica, las
siguientes son algunas categorías de riesgo para los delitos contemplados en el
artículo 1 de la Ley N° 9699:
Riesgo país: la prevalencia de estos delitos en el país de
operación. Puede utilizarse como referencias índices elaborados por organismos
internacionales.
Riesgo sectorial: nivel de exposición al riesgo de estos
delitos del sector en el que la persona jurídica realiza sus actividades.
Riesgo de asociados: se deriva de relaciones sobre las que la
persona jurídica no tenga completo control. Este puede ser el caso de que la
persona jurídica recurra a intermediarios, particularmente si se les paga por
comisión basada en ventas, o cuando la persona jurídica es parte de un
consorcio o alianza comercial.
Riesgo de la actividad comercial: volumen y monto de
transacciones comerciales, así como la transparencia de la actividad comercial
de la persona jurídica.
Riesgo ligado al sector público: grado de interacción existente
con funcionarios públicos en determinadas actividades de la persona jurídica.
d) Establecimiento de los criterios para evaluar el nivel de riesgo de
incidencia de delitos, tomando en cuenta las políticas y objetivos de la
persona jurídica.
e) La medida de la probabilidad de que se materialice el riesgo, tomando
en cuenta la experiencia de la persona jurídica en circunstancias similares, o
de otra persona jurídica expuesta a riesgos similares.
La medida del impacto de la materialización de un riesgo, tomando en
cuenta el impacto financiero, reputacional, y sobre los objetivos estratégicos,
así como las posibilidades de una recuperación completa, parcial o de la no
recuperación.
Ambas medidas, la medida de la probabilidad de que se materialice el
riesgo y la medida del impacto de la materialización del riesgo, pueden
multiplicarse para obtener una medida general del riesgo. Esta medida general
puede ser usada para establecer un límite absoluto, mas allá del cual el riesgo
se considera inaceptable. También puede usarse para determinar el nivel de
jerarquía organizacional al que la decisión de aceptar el riesgo debe ser
escalada.
f) Según la puntuación de riesgo y, tomando en cuenta factores como el
costo de los controles y la incertidumbre de la estimación de las variables, la
persona jurídica debe clasificar y categorizar los riesgos en diferentes grupos
según sus criterios de riesgo, de manera que se puedan priorizar aquellos que
requieren acción inmediata sin análisis adicional, de casos menos severos que
requieren un análisis más detallado o riesgos que no requieren acciones
adicionales a la implementación de los controles prexistentes.
A partir del resultado del análisis, la persona jurídica podrá adoptar
una variedad de respuestas al riesgo, entre estas:
Aceptación: apropiada únicamente para riesgos que no sean
críticos para el funcionamiento del Modelo y donde haya posibilidad de que los
costos de su mitigación superen el beneficio.
Mitigación: utilizar o implementar controles para reducir el
riesgo a un nivel aceptable. Esto puede requerir la implementación de un
programa remedial para identificar y cerrar brechas en las políticas y procesos
de la persona jurídica.
Eliminación: se evita el riesgo cesando la actividad que lo
produce. Puede ser necesaria ante riesgos críticos que no puedan ser mitigados.
g) Los resultados de la evaluación de riesgos y sus revisiones deben ser
reportados a la oficina que al efecto se designe. El formato y la frecuencia de
reporte debe depender de diversos factores, incluyendo el tamaño y complejidad
de la persona jurídica, la naturaleza de la información a reportar, los
requerimientos del público meta y el objetivo particular de cada reporte. Estas
circunstancias y riesgos deben supervisarse periódicamente, reevaluarse y
adaptarse, según sea necesario, para garantizar la eficacia continua del
Modelo.