El Risk Control Self Assessment (RCSA): Una combinación de técnicas de evaluación de riesgos del ISO 31010

Por Alberto Villanueva Chang

Para los que utilizamos en nuestro trabajo la herramienta del Control Self Assessment (CSA) y el Risk Control Self Assessment (RCSA), no debemos dejar pasar la oportunidad para resaltar la similitud que existen con algunas de las técnicas de evaluación de riesgos señaladas en el ISO 31010.

¿Qué es en esencia el CSA y RCSA?

Es el resultado de una serie de actividades informales orientadas a extraer una opinión por consenso sobre la marcha de los controles y riesgos respectivamente. Una característica básica es que se obtiene opinión de un grupo representativo mediante sesiones, entrevistas o cuestionarios de manera anónima. Sus resultados constituyen actividades a enmendar a la brevedad a iniciativa de los interesados.

Si quisiéramos descomponer la práctica del CSA y RCSA y hallar qué tipo de técnicas de evaluación de riesgos ISO 31010 se asemejan, no cabe duda que sería la combinación de muchas de ellas, entre las cuales están: Lluvia de ideas, entrevista estructuradas o semi-estructuradas, técnica delphi, técnica estructurada “what-if”, evaluación de la fiabilidad humana, análisis de impacto de negocio,  análisis de árbol de defectos, análisis de causa – efecto, entre otras.

Es reconfortante y hasta halagador reconocer que quienes dieron origen a las herramientas del CSA y RCSA, no hicieron más adelantarse en sintetizar y dar uso práctico a muchas de estas técnicas de evaluación de riesgos seleccionadas por el ISO 31010, algunas de ellas bastante habituales.