Formulario de Solicitud de Aceptación de Riesgos y Registro
Control de Gobernanza: Aceptación Formal de Riesgos
1. Propósito
Proporcionar el formulario estándar para documentar y solicitar la aceptación formal de riesgos, y la estructura del registro para el seguimiento de todos los riesgos aceptados a lo largo de su ciclo de vida.
2. Alcance
Este formulario y registro aplican a todos los riesgos cibernéticos donde la decisión de tratamiento es aceptar el riesgo residual, ya sea de forma temporal o continua.
3. Contenido del Formulario
3.1 Formulario de Solicitud de Aceptación de Riesgos
La siguiente información es requerida para todas las solicitudes de aceptación de riesgos:
Información de la Solicitud: Nombre del solicitante, fecha, unidad de negocio, identificador de entrada relacionado en el registro de riesgos.
Descripción del Riesgo: Descripción clara del riesgo que se acepta, incluyendo la vulnerabilidad específica, amenaza o brecha de control.
Evaluación de Riesgo: Calificación de riesgo actual (puntuaciones de probabilidad e impacto usando la metodología aprobada), nivel de riesgo residual después de los controles existentes y activos o procesos afectados.
Justificación de la Aceptación: Justificación de negocio para aceptar el riesgo en lugar de mitigarlo, transferirlo o evitarlo. Debe incluir un análisis de costo-beneficio comparando el costo del tratamiento contra la exposición potencial a pérdidas.
Controles Compensatorios: Descripción de cualquier control compensatorio vigente que reduzca parcialmente el riesgo, incluyendo su efectividad y cualquier requisito de monitoreo.
Duración de la Aceptación: Período de aceptación solicitado (no debe exceder [PERSONALIZAR: 12 months] sin reaprobación). Incluir la fecha de revisión propuesta.
Condiciones de Aceptación: Cualquier condición bajo la cual la aceptación se invalida (por ejemplo, cambios en el panorama de amenazas, proceso de negocio o requisitos regulatorios que alterarían la evaluación de riesgos).
Información del Aprobador: Nombre, título, firma y fecha. La autoridad de aprobación debe alinearse con la Matriz de Autoridad de Aceptación de Riesgos en la Declaración de Apetito de Riesgo.
3.2 Estructura del Registro de Aceptación de Riesgos
El Registro de Aceptación de Riesgos deberá rastrear lo siguiente para cada riesgo aceptado:
| Campo | Descripción |
|---|---|
| ID de Aceptación | Identificador único (formato: RA-[YYYY]-[NNN]) |
| Referencia del Registro de Riesgos | Enlace a la entrada asociada en el registro de riesgos cibernéticos |
| Descripción del Riesgo | Resumen del riesgo aceptado |
| Calificación de Riesgo Residual | Nivel de riesgo residual actual (Crítico/Alto/Medio/Bajo) |
| Solicitante | Nombre y unidad de negocio del individuo que solicita la aceptación |
| Aprobador | Nombre y título del individuo que aprobó la aceptación |
| Fecha de Aprobación | Fecha en que se aprobó la aceptación |
| Fecha de Vencimiento/Revisión | Fecha en la cual la aceptación debe ser revisada o renovada |
| Controles Compensatorios | Descripción de los controles compensatorios vigentes |
| Condiciones | Condiciones que invalidarían la aceptación |
| Estado | Activo / En Revisión / Vencido / Cerrado (riesgo mitigado) |
| Fecha de Última Revisión | Fecha de la revisión más reciente de esta aceptación |
| Resultado de la Revisión | Renovar / Remediar / Escalar / Cerrar |
3.3 Proceso de Gestión del Registro
El Registro de Aceptación de Riesgos deberá ser mantenido por [PERSONALIZAR: Cyber Risk Management team] en [PERSONALIZAR: GRC tool/system].
Se generarán alertas automatizadas [PERSONALIZAR: 30 days] antes de las fechas de vencimiento de aceptación, notificando al propietario del riesgo y a [PERSONALIZAR: Cyber Risk Management].
Las aceptaciones vencidas donde no se haya completado una revisión deberán escalarse a [PERSONALIZAR: CISO] dentro de [PERSONALIZAR: 5 business days] del vencimiento.
El registro deberá revisarse en su totalidad por [PERSONALIZAR: CISO / Cyber Risk Committee] al menos [PERSONALIZAR: quarterly] para identificar tendencias, concentraciones y problemas de antigüedad.
Las métricas resumidas del registro (total de aceptaciones, niveles de riesgo, antigüedad, cumplimiento de vencimientos) deberán incluirse en el informe ejecutivo de riesgo cibernético [PERSONALIZAR: quarterly].
4. Cumplimiento
El cumplimiento de este formulario es obligatorio para todo el personal y funciones dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, revisión de la gerencia y supervisión de la segúnda linea de defensa.
Las excepciones a este formulario deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Comite Ejecutivo de Riesgos], y revisarse al menos anualmente.
5. Revisión y Actualización
Este formulario será revisado al menos anualmente por [PERSONALIZAR: CISO/Propietario del Documento] y actualizado según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios, estructura organizaciónal o apetito de riesgo.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación del Documento
Aprobado Por
Cargo
Fecha
Control de Documentos