Gestión de Riesgos – Tratamiento de los Riesgos
Luego de haber valorado (identificado, analizado y evaluado) los riesgos de la organización o sistema debe definirse y aplicarse controles y procedimientos para asegurar su tratamiento.
Las estrategias de tratamiento de los riesgos identificadas para cada riesgo durante la fase de Evaluación de los Riesgos deben obedecer a los criterios de tratamiento:
El criterio para determinar si un control o procedimiento es adecuado para tratar el riesgo es comparar el valor asignado al riesgo (probabilidad e impacto), conocido como Riesgo Inherente, y el valor modificado de dicho riesgo luego de implementar y aplicar el control o procedimiento conocido como Riesgo Residual. Si el valor de Riesgo Residual es inferior al valor de Riesgo Inherente se interpreta que el control o procedimiento permite tratar el riesgo adecuadamente.
Esto implica que el control o procedimiento de tratamiento debe:
El Tratamiento de los Riesgo de acuerdo a la norma ISO 31000: 2018 requiere tanto creatividad en el diseño y selección de los controles y procedimientos apropiados, así como disciplina operativa para su implementación, aplicación y medición de efectividad, de forma que se puedan gestionar la probabilidad e impacto de los riesgos.
Las estrategias de tratamiento de los riesgos identificadas para cada riesgo durante la fase de Evaluación de los Riesgos deben obedecer a los criterios de tratamiento:
- Mitigar los efectos negativos y consecuencias del impacto de los riesgos cuando se materialicen.
- Aceptar y convivir con los efectos causados por los riesgos.
- Procurar evitar la fuente de los riesgos.
- Transferir o compartir el impacto de los riesgos a través de mecanismos organizacionales o financieros.
El criterio para determinar si un control o procedimiento es adecuado para tratar el riesgo es comparar el valor asignado al riesgo (probabilidad e impacto), conocido como Riesgo Inherente, y el valor modificado de dicho riesgo luego de implementar y aplicar el control o procedimiento conocido como Riesgo Residual. Si el valor de Riesgo Residual es inferior al valor de Riesgo Inherente se interpreta que el control o procedimiento permite tratar el riesgo adecuadamente.
Esto implica que el control o procedimiento de tratamiento debe:
- Disminuir la probabilidad de ocurrencia, por ejemplo disminuyendo las oportunidades de que ocurra o mejorando la capacidad de detección temprana de los eventos de riesgo.
- Minimizar los efectos del impacto de riesgos, por ejemplo a través de planes de contingencia o contratación de seguros que indemnicen los costos.
El Tratamiento de los Riesgo de acuerdo a la norma ISO 31000: 2018 requiere tanto creatividad en el diseño y selección de los controles y procedimientos apropiados, así como disciplina operativa para su implementación, aplicación y medición de efectividad, de forma que se puedan gestionar la probabilidad e impacto de los riesgos.
No hay comentarios.:
Publicar un comentario
Nota: sólo los miembros de este blog pueden publicar comentarios.