Aceptación Formal de Riesgos
OperacionesDeclaración del Control
La organización ha implementado un proceso formal para la aceptación de riesgos que se mide, rastrea y reporta.
Descripción
La aceptación de riesgos es una decisión deliberada de retener un riesgo específico sin tratamiento adicional, típicamente porque el costo de la mitigación excede el impacto potencial, o porque el riesgo cae dentro del apetito de riesgo declarado de la organización. Un proceso formal de aceptación de riesgos asegura que estas decisiones sean tomadas por individuos con autoridad apropiada, estén basadas en una comprensión completa del riesgo, y estén documentadas, rastreadas y reportadas a los órganos de gobernanza. Sin un proceso formal, la aceptación de riesgos puede convertirse en un resultado predeterminado de la inacción en lugar de una decisión consciente e informada.
Actividades Clave de Implementación
- 1 Definir un proceso formal de aceptación de riesgos incluyendo requisitos de presentación, análisis requerido, niveles de autoridad de aprobación basados en la severidad del riesgo residual, y estándares de documentación
- 2 Requerir que las aceptaciones de riesgo incluyan una evaluación de riesgo completa, justificación de la aceptación, controles compensatorios (si los hay) y una fecha definida de revisión o expiración
- 3 Asegurar que la autoridad de aceptación de riesgos sea asignada a individuos proporcionales a la magnitud del riesgo que se acepta (mayor riesgo requiere mayor autoridad)
- 4 Mantener un registro de aceptación de riesgos que rastree todos los riesgos aceptados, sus fechas de revisión y cualquier condición o control compensatorio
- 5 Reportar sobre las aceptaciones de riesgo a los órganos de gobernanza, incluyendo métricas sobre volumen, niveles de riesgo, antigüedad y cualquier aceptación que haya excedido sus fechas de revisión
Ejemplos de Evidencia
- Documento de política o procedimiento de aceptación de riesgos que defina el proceso, niveles de autoridad y requisitos de documentación
- Formularios de aceptación de riesgos completados que muestren análisis de riesgo, justificación, controles compensatorios y firmas de aprobación
- Registro de aceptación de riesgos que muestre todas las aceptaciones vigentes con fechas de revisión y estado
- Reportes de gobernanza que muestren métricas de aceptación de riesgos (volumen, niveles de riesgo, antigüedad, revisiones vencidas)
- Evidencia de revisiones de aceptación de riesgos y decisiones de renovar, remediar o escalar
Niveles de Madurez
Los riesgos se aceptan implícitamente a través de la inacción o la falta de conciencia. No existe un proceso formal de aceptación. Los riesgos aceptados no se rastrean ni se revisan.
Un proceso formal de aceptación de riesgos está definido y se sigue. Las aceptaciones se documentan, son aprobadas por la autoridad apropiada y se rastrean en un registro con fechas de revisión. El reporte regular a los órganos de gobernanza ocurre.
Las aceptaciones de riesgo se monitorean continuamente para cambios en el nivel de riesgo o contexto. Las alertas automatizadas notifican a las partes interesadas de las fechas de revisión próximas. Las tendencias de aceptación se analizan para identificar problemas sistémicos. El proceso está integrado con la gestión de riesgos empresariales.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Política o procedimiento de aceptación de riesgos que defina el proceso, niveles de autoridad y estándares de documentación | Revisado anualmente | |
| Registro | Formularios de aceptación de riesgos completados con análisis, justificación, controles compensatorios y aprobaciones | Por aceptación | |
| Registro | Registro de Aceptación de Riesgos que muestre todas las aceptaciones vigentes con fechas de revisión y estado | Mantenido continuamente | |
| Registro | Reportes de gobernanza que muestren métricas de aceptación (volumen, niveles de riesgo, antigüedad, revisiones vencidas) | Trimestral | |
| Registro | Registros de revisión de aceptación de riesgos que muestren decisiones de renovación, remediación o escalamiento | Por fecha de revisión | |
| Registro | Evidencia de que la autoridad de aceptación esté alineada con el nivel de riesgo residual según la matriz de autoridad | Por aceptación |