Para los
que utilizamos en nuestro trabajo la herramienta del Control Self Assessment
(CSA) y el Risk Control Self Assessment (RCSA), no debemos dejar pasar la
oportunidad para resaltar la similitud que existen con algunas de las técnicas
de evaluación de riesgos señaladas en el ISO 31010.
¿Qué es en
esencia el CSA y RCSA?
Es el
resultado de una serie de actividades informales orientadas a extraer una
opinión por consenso sobre la marcha de los controles y riesgos respectivamente.
Una característica básica es que se obtiene opinión de un grupo representativo
mediante sesiones, entrevistas o cuestionarios de manera anónima. Sus resultados
constituyen actividades a enmendar a la brevedad a iniciativa de los
interesados.
Si
quisiéramos descomponer la práctica del CSA y RCSA y hallar qué tipo de técnicas
de evaluación de riesgos ISO 31010 se asemejan, no cabe duda que sería la
combinación de muchas de ellas, entre las cuales están: Lluvia de ideas,
entrevista estructuradas o semi-estructuradas, técnica delphi, técnica
estructurada “what-if”, evaluación de la fiabilidad humana, análisis de impacto
de negocio, análisis de árbol de defectos, análisis de causa – efecto, entre
otras.
Es
reconfortante y hasta halagador reconocer que quienes dieron origen a las
herramientas del CSA y RCSA, no hicieron más adelantarse en sintetizar y dar uso
práctico a muchas de estas técnicas de evaluación de riesgos seleccionadas por
el ISO 31010, algunas de ellas bastante habituales.
ParteTexto en linea ®. All Rights Reserved para:
