Está en la página 1de 2

Criterios de aceptación de riesgos

Al establecer un SGSI en la empresa Seguranca se debe saber a qué tipo de riesgo


se enfrenta la organización es por ello se debe clasificar según corresponda.

En la presente tabla se muestra una valoración cualitativa en función de un valor


numérico y la gravedad del daño.

VALOR CRITERIO

10 Extremo Daño extremadamente grave.

9 Muy alto Daño muy grave

6-8 Alto Daño grave

3-5 Medio Daño importante

1-2 Bajo Daño menor

0 Despreciable Irrelevante

En la siguiente tabla se reflejan las frecuencias con la que se pueden dar las
amenazas para cada activo. Los rangos máximos y mínimos escogidos han sido de
1 día hasta 1 año respectivamente.

FRECUENCIA RANGO VALOR

Frecuencia muy alta [FMA] Una vez al día 100

Frecuencia alta [FA] Una vez al mes 10

Frecuencia media [FM] Una vez cada trimestre 1

Frecuencia baja [FB] Una vez cada semestre 0.1

Frecuencia muy baja [FMB] Una vez al año. 0.01


Los criterios de aceptabilidad del riesgo se pueden clasificar en:

Nivel bajo: se asumirá el riesgo y administrará por medio de las actividades propias
del proceso asociado y su control y registro de avance se realizará semestralmente
por medio del informe de desempeño.

Nivel medio: se deberá incluir este riesgo en el Mapa de Riesgos Institucional, se


establecerán acciones de control preventivas que permitan reducir la probabilidad
de ocurrencia del riesgo, se administrarán mediante seguimiento trimestral y se
registrarán sus avances en los informes de desempeño.

Nivel alto: se deberá incluir el riesgo en el Mapa de Riesgos Institucional y se


establecerán acciones de control preventivas que permitan evitar la materialización
del riesgo. La administración de estos riesgos será con periodicidad trimestral y su
adecuado control se registrará en los informes de desempeño.

Nivel extremo: se incluirá el riesgo en el Mapa de Riesgos Institucional, se


establecerán acciones de control preventivas y correctivas que permitan evitar la
materialización del riesgo. La administración de estos riesgos será con periodicidad
mensual y su adecuado control se registrará en informes presentados a la Dirección.

 Si el nivel de riesgo es bajo sería un riesgo aceptable.

 Si el nivel de riesgo es medio el riesgo sería mejorable.

 Si el nivel de riesgo es alto el riesgo no se puede aceptar, si se desea aceptar


deberían de establecerse ciertos controles específicos.

 Si el nivel de riesgo es crítico o extremo el riesgo no se puede aceptar bajo


ningún concepto.