Artículo 2.- Ámbito de aplicación. El presente reglamento será aplicable a las personas jurídicas señaladas en el artículo 2 de la Ley N° 9699, Ley de Responsabilidad de las Personas Jurídicas sobre Cohechos Domésticos, Soborno Transnacional y Otros Delitos.

Artículo 3.- Del Modelo. El Modelo es de adopción facultativa por parte de las personas jurídicas. En caso de adoptarse, deberá contener los requisitos mínimos establecidos en la Ley N° 9699 y el presente reglamento.

La implementación del Modelo a lo interno de las personas jurídicas tendrá como fin primordial prevenir, detectar y mitigar la comisión de los delitos contemplados en el artículo 1 de la Ley N° 9699.

El Modelo puede ser implementado de manera independiente, o como parte de otros modelos o sistemas de gestión de cumplimiento locales o globales de la persona jurídica o de su grupo.

Artículo 4.- Definiciones y abreviaturas. Para efectos del presente reglamento se considerarán las siguientes definiciones y abreviaturas:

Alta dirección: Persona o grupo de personas que dirigen y controlan la persona jurídica al más alto nivel, entiéndase Junta Directiva, Presidencia u otros puestos gerenciales.

Auditoría externa: Es aquella realizada por parte de un contador público o despacho inscrito ante el Colegio de Contadores Públicos, ajeno a la persona jurídica, con la finalidad de realizar un examen detallado, sistemático y crítico a nivel contable y financiero.

Auditoría forense: Es aquel análisis detallado de los hechos y documentos que se realiza para determinar posibles hechos ilícitos a lo interno de la persona jurídica.

Autonomía funcional: Es aquella competencia que tiene la persona encargada del Modelo de realizar de forma objetiva e independiente sus funciones sin que medie ningún tipo de interferencia.

Código de conducta: Declaración formal de principios en el que se recogen los valores y estándares éticos por los que se guía una persona jurídica donde debería indicar, como mínimo, valores, misión y visión, conductas prohibidas, definición de conflictos de interés y las consecuencias por incumplir con el código.

Conflicto de interés: Es un conflicto entre el deber público y los intereses privados de un funcionario público que podrían influir indebidamente en el cumplimiento de sus deberes y responsabilidades oficiales.

Control interno: Es el conjunto de acciones, actividades, planes, políticas, normas, registros, procedimientos y métodos, incluido el entorno y actitudes que desarrolla la alta dirección y su personal a cargo, con el objetivo de prevenir posibles riesgos que afectan a una persona jurídica.

Corrupción: Es el uso de funciones y atribuciones para obtener o conceder beneficios particulares, en contravención de las disposiciones legales y la normativa existente en un momento histórico dado. De manera más general, es el uso indebido del poder y de los recursos para el beneficio personal, el beneficio político, particular o el de terceros.

Cultura de cumplimiento: Valores que existen en una persona jurídica y que interactúan con la estructura y sistemas de control de la persona jurídica para producir normas de comportamiento que conducen a resultados de cumplimiento.

Deber de confidencialidad: Deber de guardar confidencialidad con respecto a todos los hechos e informaciones relativos a denuncias e investigaciones que se tengan en conocimiento, independientemente de que el asunto haya sido calificado o no como confidencial.

Denunciante: Es la persona física o jurídica, pública o privada, que pone en conocimiento, en forma escrita, verbal o por cualquier otro medio, un hecho para que se investigue, con el fin de prevenir o determinar la comisión de los actos señalados en el artículo 1 de la Ley N° 9699.

Debida Diligencia: Proceso a través del cual las personas jurídicas identifican, previenen y mitigan los impactos adversos reales y potenciales, y el abordaje a estos impactos.

Empresa Pública: Se entenderá por empresa pública en los términos establecidos por el artículo 2, inciso b) de la Ley N° 9669, cualquier entidad del Estado, independiente de su modalidad organizativa, que desarrolla una actividad económica, es decir, una actividad destinada a la producción y el cambio de bienes y servicios para un mercado, en forma habitual y continua, ya sea en régimen de competencia o de monopolio.

Ética: Es la transparencia en apego a una conducta responsable con que deben de tomarse las decisiones de la persona jurídica, así como el conjunto de principios básicos de actuación y prácticas de conducta de todas las personas de la organización.

Función de cumplimiento: Personas con responsabilidad para la gestión de cumplimiento.

Gobierno corporativo: Conjunto de reglas que rigen las relaciones entre la administración de la persona jurídica, la alta dirección, sus propietarios y otras partes interesadas, las cuales proveen la estructura para establecer los objetivos de la entidad, la forma y los medios para alcanzarlos y monitorear su cumplimiento. El gobierno corporativo define la manera en que se asigna la autoridad y se toman las decisiones corporativas. Se entiende que esta asignación de autoridad acarrea las responsabilidades correspondientes.

Institución autónoma: Se entenderá por institución autónoma, en los términos establecidos por el artículo 2, inciso b) de la Ley N° 9699, las entidades que cuentan con autonomía administrativa, que se encuentran sujetas a la ley en materia de gobierno, donde sus directores responden por su gestión de conformidad con el artículo 188 de la Constitución Política de la República de Costa Rica. Cubren una amplia gama de actividades económicas y sociales.

Irregularidad: Acciones u omisiones actuales, pasadas o futuras, que pueden ser, pero no se limitan a lo siguiente:

 Contrarias a la ética.

 Fraudulentas.

 Corruptelas, incluyendo soborno.

 Contrarias a la ley doméstica o internacional.

 Contrario al código de conducta de la organización.

 Negligencias.

 Contrarias a las políticas de la organización.

 Resultantes en violación o riesgo de violación de derechos humanos, ambientales, la

salud pública o la seguridad.

 Condiciones o prácticas laborales inseguras.

 Discriminación, mobbing o acoso.

Ley N° 218: Ley de Asociaciones.

Ley N° 3859: Ley sobre el Desarrollo de la Comunidad.

 N° 5338: Ley de Fundaciones.

Ley N° 6970: Ley de Asociaciones Solidaristas.

Ley N° 8262: Ley de Fortalecimiento de las Pequeñas y Medianas Empresas.

Ley N° 9699: Ley de Responsabilidad de las Personas Jurídicas sobre Cohechos Domésticos, Soborno Transnacional y Otros Delitos.

MEIC: Ministerio de Economía, Industria y Comercio.

MJP: Ministerio de Justicia y Paz.

Modelo: Conjunto de pautas para prevenir, detectar y mitigar la comisión de los delitos señalados en el artículo 1 de Ley No. 9699, Ley de Responsabilidad de las Personas Jurídicas sobre Cohechos Domésticos, Soborno Transnacional y Otros Delitos.

Persona jurídica: Ficción jurídica que atribuye personalidad independiente a una estructura legal, posibilitándola a ser objeto de derechos y obligaciones.

Personas de la organización: Se entendera como la persona empleada o toda persona que la persona jurídica autorice a actuar a su nombre.

Personas Políticamente Expuestas (PEP): Son aquellas establecidas en el artículo 22 del Reglamento General sobre Legislación contra el Narcotráfico, Actividades Conexas, Legitimación de Capitales, Financiamiento al Terrorismo y Delincuencia Organizada, Decreto N° 36948-MP-SP-JP-H-S del 08 de diciembre de 2011.

Sistema de gestión: Conjunto de elementos de una persona jurídica interrelacionados o que interactúan para establecer políticas, objetivos y procesos para lograr estos objetivos.

CAPÍTULO II

MODELO DE ORGANIZACIÓN, PREVENCIÓN DE DELITOS, GESTIÓN Y

CONTROL DE LAS PERSONAS JURÍDICAS

Artículo 5.- De la elaboración del Modelo. Para efectos de la elaboración del Modelo la persona jurídica evaluará los riesgos que, eventualmente, puedan involucrarla con la comisión de los delitos contemplados en el artículo 1 de la Ley N° 9699.

Artículo 6.- De la evaluación de riesgos en el Modelo. La persona jurídica contemplará en la evaluación de riesgos, como mínimo, lo siguiente:

a) Identificación y descripción de riesgos derivados del contexto de la persona jurídica, considerando al menos:

 Los procesos y actividades que realiza para llevar a cabo su misión.

 Las contrapartes del sector público nacional e internacional con las que se relaciona en el marco de su giro.

 Las contrapartes del sector privado, su relación con terceros, intermediarios, socios u otros involucrados con los que opera.

 Las contrapartes sobre las que tiene y ejerce control.

 Otros factores como lugares y espacios donde despliega su actividad y los medios y tiempos requeridos para ello.

b) Identificación y descripción de riesgos a partir de:

 Entrevistas a personas clave de la organización perteneciente, por ejemplo a proveeduría, mercadeo, finanzas, auditoría interna, alta dirección o cualquier otro que se considere pertinente.

 Revisión de reportes de auditoría, registros telefónicos, análisis de incidentes anteriores sucedidos en la organización o en organizaciones similares u obtener asesoría de profesionales en derecho, auditoría o cualquier otro profesional que competa.

c) Dentro de las esferas de acción de una persona jurídica, las siguientes son algunas categorías de riesgo para los delitos contemplados en el artículo 1 de la Ley N° 9699:

 Riesgo país: la prevalencia de estos delitos en el país de operación. Puede utilizarse como referencias índices elaborados por organismos internacionales.

 Riesgo sectorial: nivel de exposición al riesgo de estos delitos del sector en el que la persona jurídica realiza sus actividades.

 Riesgo de asociados: se deriva de relaciones sobre las que la persona jurídica no tenga completo control. Este puede ser el caso de que la persona jurídica recurra a intermediarios, particularmente si se les paga por comisión basada en ventas, o cuando la persona jurídica es parte de un consorcio o alianza comercial.

 Riesgo de la actividad comercial: volumen y monto de transacciones comerciales, así como la transparencia de la actividad comercial de la persona jurídica.

 Riesgo ligado al sector público: grado de interacción existente con funcionarios públicos en determinadas actividades de la persona jurídica.

d) Establecimiento de los criterios para evaluar el nivel de riesgo de incidencia de delitos, tomando en cuenta las políticas y objetivos de la persona jurídica.

e) La medida de la probabilidad de que se materialice el riesgo, tomando en cuenta la experiencia de la persona jurídica en circunstancias similares, o de otra persona jurídica expuesta a riesgos similares.

La medida del impacto de la materialización de un riesgo, tomando en cuenta el impacto financiero, reputacional, y sobre los objetivos estratégicos, así como las posibilidades de una recuperación completa, parcial o de la no recuperación.

Ambas medidas, la medida de la probabilidad de que se materialice el riesgo y la medida del impacto de la materialización del riesgo, pueden multiplicarse para obtener una medida general del riesgo. Esta medida general puede ser usada para establecer un límite absoluto, mas allá del cual el riesgo se considera inaceptable. También puede usarse para determinar el nivel de jerarquía organizacional al que la decisión de aceptar el riesgo debe ser escalada.

f) Según la puntuación de riesgo y, tomando en cuenta factores como el costo de los controles y la incertidumbre de la estimación de las variables, la persona jurídica debe clasificar y categorizar los riesgos en diferentes grupos según sus criterios de riesgo, de manera que se puedan priorizar aquellos que requieren acción inmediata sin análisis adicional, de casos menos severos que requieren un análisis más detallado o riesgos que no requieren acciones adicionales a la implementación de los controles prexistentes.

A partir del resultado del análisis, la persona jurídica podrá adoptar una variedad de respuestas al riesgo, entre estas:

 Aceptación: apropiada únicamente para riesgos que no sean críticos para el funcionamiento del Modelo y donde haya posibilidad de que los costos de su mitigación superen el beneficio.

 Mitigación: utilizar o implementar controles para reducir el riesgo a un nivel aceptable. Esto puede requerir la implementación de un programa remedial para identificar y cerrar brechas en las políticas y procesos de la persona jurídica.

 Eliminación: se evita el riesgo cesando la actividad que lo produce. Puede ser necesaria ante riesgos críticos que no puedan ser mitigados.

g) Los resultados de la evaluación de riesgos y sus revisiones deben ser reportados a la oficina que al efecto se designe. El formato y la frecuencia de reporte debe depender de diversos factores, incluyendo el tamaño y complejidad de la persona jurídica, la naturaleza de la información a reportar, los requerimientos del público meta y el objetivo particular de cada reporte. Estas circunstancias y riesgos deben supervisarse periódicamente, reevaluarse y adaptarse, según sea necesario, para garantizar la eficacia continua del Modelo.

Artículo 7.- De la debida diligencia. El Modelo contemplará una debida diligencia de aquellos socios de negocio con los que se realicen transacciones, proyectos, actividades y que tengan relaciones con la persona jurídica que, como resultado de la evaluación de riesgo, presentan un nivel medio o alto, de manera que pueda ser valorado.

Esta debida diligencia debe tomar en cuenta como mínimo, las siguientes situaciones:

a) Necesidad y legitimidad de los servicios que proveerá el socio de negocios, especialmente agentes, consultores u otros intermediarios.

b) Los servicios fueron otorgados adecuadamente en ocasiones anteriores.

c) Los pagos que se otorgarían son razonables y proporcionales.

d) Investigaciones o acusaciones de soborno.

e) Condenas criminales.

f) Dificultades financieras significativas o declaraciones de bancarrota.

g) Participación en demandas civiles relevantes.

h) Posible influencia gubernamental o de empresas propiedad del Estado.

i) Personas Políticamente Expuestas (PEP).

j) La entidad ya no está en operación.

k) Ausencia de registro gubernamental, corporativo, legal o tributario.

l) Las actividades comerciales, licencias o permisos de la entidad fueron suspendidos por más de un año.

m) La entidad fue advertida, multada o falló la inspección de una autoridad reguladora.

n) La entidad demuestra una posible falta de capacidad en función del tiempo en el negocio.

o) Ausencia de información sobre la entidad.

p) La ubicación física de la operación no puede ser confirmada.

q) El socio comercial es la persona titular de la cuenta bancaria a la cual la persona jurídica realizará los pagos correspondientes.

r) Experiencia comprobada del socio de negocio en el servicio que proveerá a la persona jurídica.

Si la relación o servicio es continuo, la persona jurídica deberá mantener la información actualizada. Ante un cambio que realice el socio de negocio en su estructura interna, deberá informar a la persona jurídica quien podrá solicitar la información que considere necesario actualizar.

Artículo 8.- Documentación y actualización. La información generada a partir de la evaluación de los riesgos deberá ser debidamente documentada y actualizada, ya sea en formato digital y/o físico y formará parte de los insumos que abordará el Modelo de cada persona jurídica en particular. La información podrá ser de carácter privado al interior de la persona jurídica, sin perjuicio del eventual requerimiento por parte de las autoridades judiciales en las investigaciones penales. La persona jurídica podrá definir, dentro de la evaluación de riesgos, el tiempo de resguardo de dicha documentación, así como la actualización de la misma.

Artículo 9.- De la cultura de la ética al interior de las personas jurídicas. Con la incorporación del Modelo se procurará promover un mayor arraigo de los principios de integridad y transparencia al interior de las personas jurídicas, así como el respeto a la ética y los valores en todos los niveles de su estructura jerárquica. Desde la alta dirección debe manifestarse un compromiso y liderazgo real y constatable con las medidas contra la corrupción previstas en el Modelo.

Artículo 10.- De la política de prevención de delitos en el Modelo. La persona jurídica desarrollará las herramientas normativas, sistemas de control interno, programas y/o modelos de gestión necesarios, considerando sus características propias, entre estas, su giro, tamaño, complejidad, naturaleza y particularidades de actuación respecto a condiciones de regalos, hospitalidad, agasajos al cliente, gastos de representación, viajes de clientes, contribuciones políticas, donaciones para fines benéficos y patrocinios; así como los riesgos de comisión de los delitos contemplados en el artículo 1 de Ley N° 9699, con el fin de prevenirlos.

Las herramientas que conformen la política de prevención deben ser puestas a disposición como documentación impresa o en formato digital, aplicadas y comunicadas de manera apropiada a todos los niveles de la estructura jerárquica de la persona jurídica y a todas las entidades sobre las cuales la persona jurídica tenga un control y, en lo posible, a sus contrapartes. Entre estas:

a) Factores formales de la ética, entre ellos: determinar los valores éticos, el código de conducta, manejo de conflictos de intereses y compromiso con las políticas.

b) Factores informales de la ética, tales como: realizar una revisión integral, al menos anual de la cultura del cumplimiento que abarque los elementos de la prevención, detección y respuesta, para detectar conductas antiéticas, de fraude, de corrupción y de debilitamiento del control interno a fin de prevenirlas y erradicarlas.

c) Una prohibición clara del soborno y otros delitos contemplados en el artículo 1 de la Ley N° 9699, un compromiso de cumplir con la normativa nacional e internacional, así como las disposiciones internas de la persona jurídica aplicables sobre el tema.

d) Un compromiso de que el contenido de la denuncia se reporta con la creencia de probablidades de certeza, incluyendo las consecuencias de incumplir dicho compromiso.

e) Información sobre los canales confidenciales disponibles para planteamiento de inquietudes y denuncias sin temor de represalias.

f) Procedimientos para la protección de denunciantes.

g) Información sobre el rol de la función de gestión del Modelo y cómo contactar a la persona encargada.

h) Procedimiento para la gestión de reportes y denuncias de irregularidades.

i) Protocolos de actuación para la denuncia ante las autoridades judiciales.

j) Un compromiso de implementar, mantener y mejorar continuamente el Modelo.

k) Cualquier otro instrumento normativo que coadyuve a reducir los riesgos de comisión de delitos.

l) Una explicación de las consecuencias de no cumplir con las políticas de prevención.

Artículo 11.- De la persona encargada del Modelo. La persona jurídica deberá designar a una persona o entidad, interna o externa, que cuente con los medios y facultades suficientes para el desempeño de sus funciones, la cual se encargará de la supervisión del funcionamiento y cumplimiento del Modelo.

La persona encargada deberá contar con autonomía funcional respecto de la alta dirección de la persona jurídica, y se le proveerán de los medios y facultades suficientes para el desempeño de sus funciones. Por lo que cada persona jurídica deberá indicar expresamente ante cuál órgano o comité emitirá sus informes o denuncias.

Artículo 12.- De la función de la persona encargada del Modelo. La persona encargada del Modelo debe de contar como mínimo, con la responsabilidad y autoridad para:

a) Participar en el diseño, implementación, operación y mejoramiento del Modelo.

b) Velar que el Modelo sea diseñado y equipado para producir un análisis integral de las denuncias, los riesgos, investigaciones imparciales y protección adecuada de personas denunciantes y testigos, procurando una separación adecuada de estos roles.

c) Proveer consejo y direccionamiento sobre el Modelo y el reporte de irregularidades.

d) Reportar sobre el rendimiento del Modelo ante la alta dirección.

e) Contar con acceso directo y oportuno a la alta dirección.

f) Contar con los medios y facultades suficientes para el desempeño de sus funciones, incluyendo personal con las competencias, integridad, autoridad e independencia apropiadas.

g) Requerir información a directivos o a las personas responsables de las operaciones.

h) Gestionar las denuncias recibidas y realizar los informes finales de la investigación.

i) Realizar recomendaciones a la persona jurídica, así como asesorar a la alta dirección para efectos del cumplimiento de la Ley N° 9699 y el presente reglamento.

Artículo 13.- De la gestión de la denuncia. Al determinar el alcance del Modelo, la persona jurídica debe establecer en el mismo los canales para reportar sospechas, intentos y actos que puedan constituirse en la comisión de alguno de los delitos contemplados en el artículo 1 de la Ley N° 9699. Tanto los canales de denuncia como todo el proceso de su gestión, deben procurar confianza y protección a las personas denunciantes.

El Modelo debe contemplar, como mínimo, las siguientes etapas en el proceso de gestión de denuncias:

a) Recepción de las denuncias: los canales de denuncia deben ser de fácil acceso, seguros

y visibles, en el caso de que la persona denunciante se identifique se debe garantizar la

confidencialidad de su identidad, así como del contenido de la denuncia.

b) Las personas denunciantes deben ser informadas de que, en caso de identificarse, su

identidad, así como el contenido de la denuncia se van a mantener en confidencialidad

y, únicamente, se va a revelar en los casos que sea indispensable para la continuación

de la investigación, siempre con el acuerdo de la persona denunciante o, por lo menos,

con un aviso previo.

c) Valoración de la denuncia: el proceso de gestión de la denuncia considerará al menos,

aspectos como prioridad, exhaustividad y relevancia de la información. Al mismo

tiempo, debe considerar el nivel de protección requerida por la persona denunciante y

testigos.

d) Las denuncias deben ser clasificadas y priorizadas con base en el riesgo. Para esta

valoración, se deben considerar los siguientes aspectos, sin perjuicio de otros que sean

considerados relevantes:

 Encontrarse dentro del ámbito de cobertura de lo contemplado por el Modelo, de lo

contrario, debe ser referida al procedimiento correspondiente.

 Constituirse en la comisión de un delito que requiera ser referida a las autoridades

judiciales correspondientes.

e) Atención de las denuncias: el proceso de gestión de denuncias debe proveer una

investigación imparcial y objetiva del contenido, y brindar medidas protectoras y

monitoreo según sea apropiado, efectivo y oportuno para la persona denunciante,

testigos y para aquellas sujeto del reporte. Estas medidas de protección pueden

prevenir, contener o remediar.

Cuando se recibe una denuncia, la persona jurídica debe evaluar el riesgo de que

existan represalias contra la persona denunciante con el fin de mitigarlas,

considerando:

 La probabilidad de que la confidencialidad se mantenga.

 Preocupación de la persona denunciante por posibles represalias.

 La participación de la persona denunciante en la situación denunciada.

 La relación de la persona denunciante con la persona sujeto de la denuncia.

 La manera en la que la persona denunciante adquirió conocimiento de la situación

denunciada.

Esta valoración de riesgo debe ser actualizada cuando se toma la decisión de investigar

el reporte, durante la investigación y una vez que los resultados de la investigación son

conocidos.

f) La revisión de la denuncia puede conllevar uno o varios de los siguientes procesos:

 Emprender una recopilación de información adicional como complemento a la

denuncia interpuesta.

 Referir la denuncia para otro procedimiento ya sea a lo interno o a lo externo de la

persona jurídica.

 Comunicación periódica con la persona denunciante, en el caso de estar

debidamente identificada.

 Respetar el debido proceso y desarrollarse de manera independiente tanto de la

unidad involucrada, la persona denunciante y las personas sujeto de la denuncia.

g) Los plazos para la emisión de los informes finales de investigación deben ser

razonables, atendiendo la complejidad y demás características del caso, procurando no

excederse de seis meses.

h) Conclusión de la gestión de la denuncia: debe contemplar un mecanismo para la

conclusión de las investigaciones y la formulación de recomendaciones y decisiones

basadas en los resultados de la etapa de atención. Los resultados pueden ser utilizados

para reporte a la alta dirección, denuncias penales, aprendizaje organizacional y

desarrollo de medidas de mitigación a nivel de la persona jurídica. Estos puede

involucrar:

 Finalizar la investigación, incluyendo la documentación de hallazgos y

recomendaciones.

 Toma de acciones como respuesta a las recomendaciones de la investigación.

 Recomendar sanciones administrativas contra las personas responsables.

 Recomendar el archivo de la denuncia en los casos en que la misma resulte

improcedente. Esta recomendación debe ser debidamente motivada y contar con los

documentos que respalden la decisión.

 Comunicar a la persona denunciante la finalización de la gestión y las acciones

realizadas.

 Valorar la continuación o suspensión de las medidas de protección de la persona

denunciante y testigos.

 Si en las conclusiones de la investigación se determinan presuntas responsabilidades

de tipo penal, la persona encargada del Modelo tomará las acciones pertinentes e

inmediatas para el traslado del informe a la alta dirección, quien valorará el traslado

de la denuncia al Ministerio Público.

Artículo 14.- Medidas para la protección de la persona denunciante. El Modelo deberá contemplar mecanismos internos para garantizar la protección y apoyo de las personas denunciantes al interno de la persona jurídica con el fin de disminuir los riesgos a ser víctimas de represalias. Además, protección y apoyo a otros testigos. Esto debe iniciar tan pronto como la denuncia es recibida y debe continuar a lo largo del proceso de gestión de la denuncia.

La responsabilidad de dicha protección y apoyo debe estar claramente asignada dentro de la persona jurídica. La persona jurídica debe definir las medidas disciplinarias derivadas del intento de identificar a una persona denunciante, así como de quien tome represalias en su contra.

En el caso que la persona denunciante sea una persona de la organización, se le deben proteger sus condiciones laborales, no pudiendo ser discriminada, sancionada, suspendida, descendida, cesada, despedida, reubicada o removida de su cargo a consecuencia de la denuncia. En ningún caso, esta protección exime a la persona denunciante de sus responsabilidades laborales, sanciones disciplinarias o el despido por hechos diferentes a los denunciados, de conformidad con las disposiciones de la normativa laboral nacional aplicable.

Artículo 15.- De la divulgación y capacitación. La persona jurídica divulgará, periódicamente, entre las personas de la organización y contrapartes información destinada a prevenir la comisión de los delitos considerados en el artículo 1 de la Ley N° 9699, y capacitará sobre la normativa interna y los mecanismos de denuncia que pone a disposición en el Modelo. La estrategia de divulgación y capacitación deberá alcanzar a todos los niveles de la estructura organizativa de persona jurídica, además procurará incluir a proveedores, distribuidores, prestadores de servicios, agentes, intermediarios, socios o cualquier tercero involucrado en las operaciones, según la evaluación de riesgos.

Esta capacitación debe abordar, como mínimo, los siguientes asuntos:

a) El Modelo, así como sus políticas, procedimientos, procesos y herramientas relacionadas, y el deber de cumplir con ellas.

b) Su contribución a la efectividad del Modelo.

c) Las circunstancias bajo las cuales puedan surgir dudas o denuncias de irregularidades en el desarrollo de sus labores y cómo reconocerlas.

d) El impacto de reportar irregularidades y sus posibles resultados.

e) Cómo y a quién pueden remitir consultas, reportes o denuncias de irregularidades.

f) La protección disponible al utilizar los canales de denuncia.

g) Cómo pueden colaborar a prevenir, evitar y protegerse de represalias.

h) Las implicaciones de incumplir con el Modelo.

Artículo 16.- Del involucramiento de las contrapartes. En el marco de sus operaciones, la persona jurídica procurará que sus contrapartes, tales como proveedores, distribuidores, prestadores de servicios, agentes, intermediarios, socios o cualquier tercero involucrado en las operaciones, se adhieran a su política de prevención, código ético de conducta o a cualquier otro instrumento normativo destinado a prevenir la comisión de los delitos considerados en el artículo 1 de la Ley N° 9699.

Artículo 17.- De las sanciones. La persona jurídica establecerá un sistema de sanciones para quienes incumplan las medidas estipuladas y referenciadas en el Modelo, incluyendo a personas de la organización y por vía contractual, a contrapartes, tales como proveedores, distribuidores, prestadores de servicios, agentes, intermediarios, socios o cualquier tercero involucrado en las operaciones.

Artículo 18.- Del monitoreo y evaluación del Modelo. La adopción del Modelo por parte de la persona jurídica debe ser constatable y preferiblemente, de aplicación sostenida en el tiempo, así mismo, su funcionamiento debe ser monitoreado y evaluado con el fin de detectar fallas, debilidades, oportunidades de mejora, o cualquier otro elemento que pueda sumar al buen funcionamiento del Modelo; así también, debe procurar la inclusión de medidas para abordar cambios estructurales, cambios en el perfil de riesgos, falencias del Modelo o cualquier otro cambio que pueda afectar el buen funcionamiento del mismo.

Artículo 19.- De la realización de la auditoria externa. La persona jurídica realizará una auditoría de los Estados Financieros de forma periódica, no excediendo de tres años, para dichos efectos se considerará las Normas Internacionales de Contabilidad y de Auditoría vigentes, y las Normas Internacionales de Información Financiera o la regulación aplicable según las disposiciones del Colegio de Contadores Públicos de Costa Rica, asimismo, dentro de esa auditoría se verificará:

a) El establecimiento de cuentas no registradas en libros.

b) La realización de operaciones no registradas en libro o mal consignadas.

c) El registro de gastos inexistentes.

d) El asiento de gastos en los libros de contabilidad con indicación incorrecta de su objeto.

e) La utilización de documentos falsos o alterados.

f) La destrucción deliberada de documentos de contabilidad antes del plazo previsto en la ley.

Artículo 20.- De la realización de la auditoría interna. La persona jurídica realizará una auditoría interna como método de prevencion de delitos, al menos una vez al año, teniendo en consideración, como mínimo, lo siguiente:

a) Propósito: indicar para qué es.

b) Alcance: el período que cubre.

c) Orientación: restrospectiva sobre lo que se va a realizar en la auditoría.

d) Normativa: normas de auditoría financiera e interna que le fuera aplicable y normas de legislación.

e) Enfoque: el enfoque que se le dará a la auditoría.

f) Auditor a cargo.

CAPÍTULO III

MODELO DE ORGANIZACIÓN, PREVENCIÓN DE DELITOS, GESTIÓN Y

CONTROL DE LAS EMPRESAS PÚBLICAS ESTATALES, NO ESTATALES Y

LAS INSTITUCIONES AUTÓNOMAS.

Artículo 21.- De la elaboración del Modelo. Para efectos de la elaboración del Modelo las empresas públicas estatales, no estatales y las instituciones autónomas considerarán lo señalado en el Capítulo II del presente Reglamento.

CAPÍTULO IV

MODELO DE ORGANIZACIÓN, PREVENCIÓN DE DELITOS, GESTIÓN Y

CONTROL DE LAS PERSONAS JURÍDICAS DE PEQUEÑAS

Y MEDIANAS DIMENSIONES

Artículo 22.- De la elaboración del Modelo. Para efectos de la elaboración del modelo, la persona jurídica de pequeñas y medianas dimensiones -son aquellas señaladas en el artículo 10 de la Ley 9699-, evaluará los riesgos que, eventualmente, puedan involucrarla con la comisión de los delitos contemplados en el artículo 1 de la Ley N° 9699, debiendo realizar, al menos:

a) La identificación y descripción de riesgos derivados del contexto de la persona jurídica y de entrevistas a personas clave de la organización.

b) Un análisis del riesgo, por medio de criterios de evaluación, para establecer el riesgo aceptable o inaceptable y determinar el nivel de jerarquía organizacional al que la decisión de aceptar el riesgo debe ser escalada.

Para los criterios de evaluación considerará la probabilidad que se materialice el riesgo, así como el impacto de su materialización.

c) La valoración del riesgo para su aceptación, mitigación o eliminación.

Estas circunstancias y riesgos deben supervisarse periódicamente, reevaluarse y adaptarse, según sea necesario, para garantizar la eficacia continua del Modelo.

Artículo 23.- Documentación y actualización. La información generada a partir de la evaluación de los riesgos deberá ser debidamente documentada y actualizada, ya sea en formato digital y/o físico, y formará parte de los insumos que abordará el Modelo de cada persona jurídica de pequeñas y medianas dimensiones en particular. La información podrá ser de carácter privado al interior de la persona jurídica, sin perjuicio del eventual requerimiento por parte de las autoridades judiciales en las investigaciones penales.

La persona jurídica de pequeñas y medianas dimensiones podrá definir, dentro de la evaluación de riesgos, el tiempo de resguardo de dicha documentación, así como la actualización de la misma.

Artículo 24.- De la cultura de la ética al interior de las personas jurídicas de pequeñas y medianas dimensiones. Con la incorporación del Modelo se procurará promover un mayor arraigo de los principios de integridad y transparencia al interior de las personas jurídicas, así como el respeto a la ética y los valores de la persona jurídica de pequeñas y medianas dimensiones en todos los niveles de su estructura jerárquica.

Desde la alta dirección debe manifestarse un compromiso y liderazgo real y constatable con las medidas contra la corrupción previstas en el Modelo.

Artículo 25.- De la política de prevención de delitos en el Modelo. La persona jurídica de pequeñas y mediana dimensiones podrá desarrollar las herramientas normativas, sistemas de control interno, programas y/o modelos de gestión necesarios, considerando sus características propias, entre estas, su giro, tamaño, complejidad, naturaleza y particularidades de actuación respecto a condiciones de regalos, hospitalidad, agasajos al cliente, gastos de representación, viajes de clientes, contribuciones políticas, donaciones para fines benéficos y patrocinios; así como los riesgos de comisión de los delitos contemplados en el artículo 1 de Ley N° 9699, con el fin de prevenirlos.

Las herramientas que conformen la política de prevención deben ser puestas a disposición como documentación impresa o en formato digital, aplicadas y comunicadas de manera apropiada a todos los niveles de la estructura jerárquica de la persona jurídica y en lo posible, a sus contrapartes. Entre estas:

a) Factores formales de la ética, entre estos: determinar los valores éticos, el código de conducta, manejo de conflictos de intereses y compromiso con la política de prevención.

b) Factores informales de la ética, entre estos: realizar una revisión integral, al menos anual, de la cultura del cumplimiento para detectar conductas antiéticas, de fraude, de corrupción y de debilitamiento del control interno a fin de prevenirlas y erradicarlas.

c) Una prohibición clara del soborno y otros delitos contemplados en el artículo 1 de la Ley N° 9699, un compromiso de cumplir con la normativa nacional e internacional, así como las disposiciones internas de la persona jurídica aplicables sobre el tema.

d) Manuales de procesos.

e) Manuales de funciones.

f) Perfiles de puestos.

g) Protocolos de actuación para la presentación, recepción y atención de denuncias, que incluya un compromiso de la persona denunciante de que el contenido de la denuncia se reporta con la creencia de probabilidades de certeza, así como información de los canales confidenciales disponibles para el planteamiento de las denuncias sin temor a represalias.

h) Protocolos de actuación para la denuncia ante las autoridades judiciales.

i) Protocolos para la protección de denunciantes.

j) Cualquier otro instrumento normativo que coadyuve a reducir los riesgos de comisión de delitos.

Artículo 26.- De la persona encargada del modelo. La persona jurídica de pequeñas y medianas dimensiones deberá designar una persona que se encargue de la supervisión del funcionamiento y cumplimiento del Modelo. La persona encargada podrá ser directamente la alta dirección o, en su defecto, el fundador, asociado fundador, el dueño, socio o accionista encargado de la dirección de la persona jurídica.

Artículo 27.- De las funciones de la persona encargada del modelo. La persona encargada de la gestión del Modelo debe contar, como mínimo, con la responsabilidad y autoridad para:

a) Participar en el diseño, implementación, operación y mejoramiento del Modelo.

b) Velar que el Modelo sea diseñado y equipado para producir un análisis integral de las denuncias, los riesgos, investigaciones imparciales y protección adecuada de las personas denunciantes y testigos.

c) Proveer consejo y direccionamiento sobre el Modelo y el reporte de irregularidades.

d) Contar con acceso directo al órgano con mayor jerarquía cuando proceda.

e) Contar con los medios y facultades suficientes para el desempeño de sus funciones.

f) Requerir información a las personas responsables de las operaciones, siendo su accionar totalmente independiente de los órganos de mayor jerarquía, en el caso que proceda.

g) Realizar recomendaciones, así como asesorar para efectos del cumplimiento de la Ley N.° 9699 y el presente reglamento.

Artículo 28.- De la gestión de la denuncia. Al determinar el alcance del Modelo, la persona jurídica de pequeñas y medianas dimensiones, debe establecer en el mismo, los canales para reportar sospechas, intentos y actos que puedan constituirse en la comisión de alguno de los delitos contemplados en el artículo 1 de la Ley N° 9699. Tanto los canales de denuncia como todo el proceso de su gestión, deben procurar confianza y protección a las personas denunciantes.

El Modelo debe estar abierto para la comunicación de inquietudes, no solo por parte de las personas de la organización, sino de socios de negocios y cualquier otro tercero.

El Modelo debe contemplar las siguientes etapas en el proceso de gestión de denuncias:

a) Recepción de las denuncias: Los canales de denuncia deben ser de fácil acceso, seguros y visibles, en el caso de que la persona denunciante se identifique, se debe garantizar la confidencialidad de su identidad, así como del contenido de la denuncia.

b) Las personas denunciantes deben ser informadas de que, en caso de identificarse su identidad, así como el contenido de la denuncia se van a mantener en confidencialidad y, únicamente, se va a revelar en los casos que sea indispensable para la continuación de la investigación, siempre con el acuerdo del denunciante o, por lo menos, con un aviso previo.

c) Valoración y priorización de la denuncia: el proceso de gestión de la denuncia considerará al menos, aspectos como prioridad con base en la evaluación de riesgos, exhaustividad y relevancia de la información. Al mismo tiempo, debe considerar el nivel de protección requerida por la persona denunciante y testigos.

d) Atención de las denuncias: el proceso de gestión de denuncias debe proveer una investigación imparcial y objetiva del contenido, y brindar medidas protectoras y monitoreo, según sea apropiado, efectivo y oportuno para la persona denunciante, testigos y para aquellos sujeto del reporte. Estas medidas de protección pueden prevenir y contener o remediar.

e) Los plazos para la emisión de los informes finales de investigación deben ser razonables, atendiendo la complejidad y demás características del caso, procurando no excederse de cuatro meses.

f) Conclusión de la gestión de la denuncia: debe contemplar un mecanismo para la conclusión de las investigaciones y la formulación de recomendaciones y decisiones basadas en los resultados de la etapa de atención. Los resultados pueden ser utilizados para reporte a la alta dirección, denuncias penales, aprendizaje organizacional y desarrollo de medidas de mitigación a nivel de la organización. Estos puede involucrar:

 Finalizar la investigación, incluyendo la documentación de hallazgos y recomendaciones.

 Toma de acciones como respuesta a las recomendaciones de la investigación.

 Recomendar sanciones administrativas contra las personas responsables.

 Recomendar el archivo de la denuncia en los casos en que la misma resulte improcedente. Esta recomendación debe ser debidamente motivada y contar con los documentos que respalden la decisión.

 Comunicar al denunciante la finalización de la gestión y las acciones realizadas.

 Si en las conclusiones de la investigación se determinan presuntas responsabilidades de tipo penal, la persona encargada del Modelo tomará las acciones pertinentes e inmediatas para el traslado de la denuncia al Ministerio Público.

Artículo 29.- Medidas para la protección de la persona denunciante. El Modelo debe de contemplar un procedimiento de protección de personas denunciantes, para ello, deberá incluir como mínimo, lo siguiente:

a) Mecanismos internos para garantizar la protección de las personas denunciantes con el fin de disminuir los riesgos a ser víctimas de represalias. Esto debe iniciar tan pronto como el reporte es recibido y debe continuar a lo largo del proceso de gestión de la denuncia. Aunado a esto deben definirse las medidas disciplinarias derivadas del intento de identificar a una persona denunciante, así como de quien tome represalias en su contra.

b) En el caso que la persona denunciante sea una persona de la organización, se le deben proteger sus condiciones laborales, no pudiendo ser discriminada, sancionada, suspendida, descendida, cesada, despedida, reubicada o removida de su cargo a consecuencia de la denuncia. En ningún caso, esta protección exime a la persona denunciante de sus responsabilidades laborales, sanciones disciplinarias o el despido por hechos diferentes a los denunciados, de conformidad con las disposiciones de la normativa laboral nacional aplicable.

Artículo 30.- De la divulgación y capacitación. La persona jurídica de pequeñas y medianas dimensiones divulgará, periódicamente, entre las personas de la organización y contrapartes información destinada a prevenir la comisión de los delitos considerados en el artículo 1 de la Ley N° 9699, y capacitará sobre la normativa interna y los mecanismos de denuncia que pone a disposición en el Modelo. La estrategia de divulgación y capacitación deberá alcanzar a todos los niveles de la estructura organizativa de persona jurídica, además procurará incluir a proveedores, distribuidores, prestadores de servicios, agentes, intermediarios, socios o cualquier tercero involucrado en las operaciones, según la evaluación de riesgos.

Artículo 31.- De las sanciones. La persona jurídica de pequeñas y medianas dimensiones establecerá un sistema de sanciones para quienes incumplan las medidas estipuladas y referenciadas en el Modelo, incluyendo a personas de la organización y, por vía contractual, a contrapartes, tales como proveedores, distribuidores, prestadores de servicios, agentes, intermediarios, socios o cualquier tercero involucrado en las operaciones.

Artículo 32.- De la realización de evaluación de modelos. La persona jurídica de pequeñas y medianas dimensiones realizará una evaluación de Modelo de forma periódica, no excediendo de tres años, a excepción de las empresas que cuenten con la condición PYME, de conformidad con la Ley N° 8262, las cuales la realizarán cada cuatro años; asimismo, dentro de esa evaluación, considerará:

a) El establecimiento de cuentas no registradas en libros.

b) La realización de operaciones no registradas en libro o mal consignadas.

c) El registro de gastos inexistentes.

d) El asiento de gastos en los libros de contabilidad con indicación incorrecta de su objeto.

e) La utilización de documentos falsos o alterados.

f) La destrucción deliberada de documentos de contabilidad antes del plazo previsto en la ley.

Artículo 33.- Del rige. Rige a partir de su publicación en el Diario Oficial La Gaceta.

Dado en la Presidencia de la República. - San José, a los cuatro días del mes de junio del año dos mil veinte.