Módulo: Tipo Tratamiento Riesgo - grcbit/grc GitHub Wiki
Una vez que se han identificado y medido los factores de riesgo, se debe definir un tratamiento para dichos factores, cuando el nivel de riesgo definido no cae dentro de los niveles de riesgo residual definido por la organización, se deben aplicar acciones de respuesta o tratamiento, para asegurar que el riesgo residual sea aceptable para la organización.
Los tipos de tratamiento son:
- Mitigar
- Aceptar
- Transferir
- Evitar
Mitigar el Riesgo
- Se toman acciones o medidas para reducir el impacto y/o la probabilidad.
- Se implementan actividades de control, que pueden abarcar controles técnicos, procesos, políticas, entre otros, para mitigar los factores de riesgo identificados.
Aceptar el Riesgo
- La organización reconoce los impactos y afectaciones que la materialización del riesgo puede ocasionar, y se aceptan dichas consecuencias.
- La organización decide no tomar acciones para mitigar los factores de riesgo identificados.
- La organización no desconoce el riesgo, está consciente del riesgo y lo acepta.
Transferir el Riesgo
- El riesgo se mitiga transfiriendo o compartiendo una parte del riesgo.
- Regularmente se tercerizan ciertas actividades o se contratan seguros.
- Esta medida no evita que la organización sea responsable en caso de la materialización de un riesgo, ni transfiere la responsabilidad por dicho riesgo.
Evitar el Riesgo
- La organización abandona las actividades o condiciones que dan lugar al riesgo.
- Esto se puede dar debido a que no existe un costo-beneficio de la implementación de controles para mitigar el riesgo.
GRCbit software cuenta con el módulo Tipo Tratamiento Riesgo (Inventario → Tipo Tratamiento Riesgo), en el cual se pueden definir los tipos de tratamiento que se considerarán en la gestión de riesgos.