Plan de Tratamiento de Riesgos y SOA

1.-Quisiera saber como elaborar un plan de tratamiento de riesgo en general. Existe alguna plantilla con los campos que debo considerar o recomendaciones de como hacerlo? Estoy a punto de certificarme como Auditor Interno en ISO 27001 y tengo esta duda . 
2.-He revisado que existe varios formatos de SOA , que columnas si o si debería considerar en mi Declaración. 
 

Respuestas:

Punto 1: 

Si necesitas una plantilla para el Plan de Tratamiento de Riesgos, puedes usar esta (puedes ver una versión gratuita clickeando en la pestaña "Demo gratis"): https://advisera.com/27001academy/es/documentation/plan-de-tratamiento-de-riesgos/ 
Este artículo también te puede resultar interesante (en inglés) "Qualifications for an ISO 27001 Internal Auditor": https://advisera.com/27001academy/blog/2015/03/30/qualifications-for-an-iso-27001-internal-auditor/
Por otra parte, ten en cuenta que no es lo mismo el Plan de Tratamiento de Riesgos, que el Proceso de Tratamiento de Riesgos, aquí podrás encontrar las diferencias (en inglés) “Risk Treatment Plan and Risk Treatment Process – What’s the difference?” : https://advisera.com/27001academy/iso-27001-risk-assessment-treatment-management/#treatment
 

Punto 2: 

Sobre el SOA, puedes usar nuestra plantilla (recuerda que puedes ver una versión gratuita clickeando en la pestaña "Demo gratis"): https://advisera.com/27001academy/es/documentation/declaracion-de-aplicabilidad/
Finalmente, quizás pueda resultarte interesante este artículo sobre el SOA (en inglés) “The importance of Statement of Applicability for ISO 27001” : https://advisera.com/27001academy/knowledgebase/the-importance-of-statement-of-applicability-for-iso-27001/