¿Qué exige este criterio?
Para cada riesgo identificado, una decisión consciente sobre cómo tratarlo: aceptarlo (con justificación documentada), mitigarlo (con controles específicos), transferirlo (a un tercero, típicamente vía seguro) o evitarlo (eliminando la actividad que lo genera). El tratamiento debe estar firmado por la dirección y trazado hasta los controles implementados.

¿Qué hay que revisar al cliente?

• Plan de tratamiento de riesgos (PTR) con decisión por riesgo.
• Justificación documentada de cada riesgo aceptado.
• Controles implantados que mitigan los riesgos identificados (con vínculo).
• Pólizas de seguro u otros instrumentos para riesgos transferidos.
• Acta del Comité Director aprobando el PTR.
• Indicadores de seguimiento (KRI) de los riesgos aceptados o mitigados.

Preguntas clave para las entrevistas

• ¿Cuál es el riesgo aceptado más alto y por qué se acepta?
• ¿Cómo se demuestra que los controles cubren los riesgos previstos?
• ¿Existe seguro de responsabilidad civil que actúe como transferencia para algún riesgo?
• ¿Qué procedimiento se sigue cuando un riesgo aceptado se materializa?

¿Por qué es esencial para QERDS y TSA?
El auditor CAR comprueba la coherencia entre el análisis de riesgos y los controles efectivos. Riesgos sin tratar o tratamientos sin trazabilidad son hallazgos directos. Para servicios cualificados, los riesgos críticos (compromiso de clave, indisponibilidad, suplantación) suelen exigir mitigación obligatoria, no aceptación.

Evidencia que demostraría conformidad

• Plan de tratamiento de riesgos firmado.
• Acta de Comité Director de aprobación.
• Matriz riesgo ↔ control implantado.
• Pólizas de seguro o acuerdos contractuales para riesgos transferidos.