En resumen
El director de operaciones te pide que flexibilices el protocolo de inspección para no retrasar el embarque. Tú sabes que es un riesgo. Él sabe que es un riesgo. Pero el embarque tiene que salir. ¿Qué haces?
Por qué importa
El profesional de seguridad que no documenta las decisiones que se toman en contra de su recomendación no está siendo flexible. Está siendo invisible. Y la invisibilidad en seguridad siempre tiene un costo.
Hay momentos en la carrera de todo profesional de seguridad en los que la recomendación técnicamente correcta choca con la presión operativa del negocio. El embarque tiene que cruzar la frontera antes de las seis de la tarde. La inspección completa toma dos horas. El director de operaciones pide que se omita o se abrevia. Tú sabes lo que eso implica.
En esos momentos, hay dos errores posibles. El primero es ceder sin documentar nada, asumiendo el riesgo en silencio. El segundo es negarse sin ofrecer una alternativa, generando un conflicto que debilita tu posición en la organización. La carta de aceptación de riesgo es el instrumento que evita ambos errores.
Qué es y para qué sirve
Una carta de aceptación de riesgo es un documento en el que la persona con autoridad para tomar la decisión reconoce formalmente que está eligiendo proceder de una manera que el área de seguridad ha identificado como riesgosa, y que asume la responsabilidad de esa decisión. No es una amenaza. Es una herramienta de gobernanza.
Cumple tres funciones: documenta que el riesgo fue identificado y comunicado, establece quién tomó la decisión y bajo qué circunstancias, y protege al profesional de seguridad de ser señalado como responsable de un incidente que ocurrió después de que su recomendación fue ignorada.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Cuándo usarla
- ▸Cuando se solicita omitir o abreviar un proceso de seguridad crítico por presión operativa.
- ▸Cuando se decide no implementar una medida de seguridad recomendada por razones de costo.
- ▸Cuando se autoriza una excepción a una política de seguridad establecida.
- ▸Cuando se decide continuar operando después de identificar una vulnerabilidad que no puede corregirse de inmediato.
Cómo presentarla sin crear conflicto
La carta de aceptación de riesgo no debe presentarse como una amenaza o como una forma de cubrirse las espaldas. Debe presentarse como parte del proceso de gestión de riesgo: "Entiendo la presión operativa. Voy a documentar la decisión para que tengamos registro de las circunstancias. Si algo ocurre, esto nos protege a todos y nos permite aprender del incidente."
Esa presentación cambia la dinámica. Ya no es seguridad contra operaciones. Es seguridad y operaciones gestionando juntos una situación difícil con transparencia.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.