Etapas del PTEE
El PTEE deberá contemplar, como mínimo, las siguientes etapas para identificar, prevenir, controlar y gestionar el riesgo C/ST y las consecuencias de materialización:
1. Identificación del riesgo C/ST: El PTEE debe elaborarse con fundamento en la evaluación exhaustiva de las particularidades de cada entidad obligada de los posibles riesgos C/ST a los que esté expuesta.
El principio de evaluación del riesgo C/ST se orienta a que se adopten procedimientos de evaluación que sean proporcionales a la materialidad, tamaño, estructura, naturaleza, países de operación y actividades específicas de cada entidad obligada.
2. Identificación de los Factores de Riesgo C/ST: Las entidades obligadas deben realizar las siguientes actividades para identificar los factores de riesgo C/ST:
a. Identificar y evaluar sus riesgos por medio de diagnósticos independientes, tales como procedimientos periódicos de debida diligencia y de auditoria de cumplimiento, que deberán adelantarse con los recursos operativos, tecnológicos, económicos y humanos que sean necesarios y suficientes para cumplir el objetivo de una correcta evaluación.
b. Adoptar medidas apropiadas para atenuar los riesgos C/ST, una vez que estos hayan sido identificados y detectados.
c. Evaluar los riesgos C/ST, independientemente del mecanismo elegido, los cuales servirán de fundamento para que la junta directiva o máximo órgano social determinen la modificación del PTEE, cuando las circunstancias así lo requieran.
d. Las demás que deban aplicarse conforme a su política de cumplimiento.
3. Medición o evaluación del Riesgo C/ST: Concluida la etapa de identificación, el PTEE debe permitirle a las entidades obligadas medir la posibilidad o probabilidad de ocurrencia de los riesgos C/ST.
Dentro de la medición o evaluación del riesgo C/ST, las entidades Obligadas deben:
a. Establecer los mecanismos para la evaluación de los riesgos C/ST.
b. Adoptar medidas apropiadas para atenuar y mitigar los riesgos C/ST, una vez que estos hayan sido identificados y detectados.
c. Evaluar los riesgos C/ST, independientemente del mecanismo elegido, los cuales servirán de fundamento para que la junta directiva o máximo órgano social determinen la modificación del PTEE, cuando las circunstancias así lo requieran.
d. Evaluar el riesgo C/ST cuando incursione en nuevos mercados u ofrezca nuevos productos o servicios.
4. Control y monitoreo de las Políticas de Cumplimiento y PTEE: En razón de la complejidad y naturaleza cambiante de las relaciones jurídicas con entidades estatales o los negocios o transacciones internacionales o nacionales, que lleve a cabo una entidad obligada, también cambiarán los riesgos C/ST a los que la anterior pueda verse enfrentada.
Por lo anterior, las entidades obligadas deberán evaluar y poner en práctica las técnicas que consideren más apropiadas para verificar y evaluar de manera periódica, la efectividad de sus procedimientos para prevenir cualquier acto de corrupción, así como actualizar sus políticas de cumplimiento cuando ello sea necesario.