Feature Selection (FS) Methods

“El riesgo se debe determinar la posibilidad de ocurrencia de riesgos potenciales, lo cual pueda entorpecer el normal desarrollo de las funciones de la Institución.

Para esto podemos elaborar un listado de los riesgos inherentes a las actividades o procedimientos que se llevan a cabo en cada proceso, priorizándolos según el grado en que estos afecten los objetivos.” (Fisher, 2005, pág. 83)

Es muy importante tener en cuenta que para realizar la identificación del riesgo este no se haya materializado.

2.5.1. Análisis del factor del riesgo

En el análisis de factores de riesgo es necesario tener en cuenta aquellos que pueden incrementar la probabilidad de que un riesgo ocurra. Inclusive, es posible generar riesgos nuevos como por ejemplo la integridad, la ética de las personas involucradas, el tamaño y la complejidad de las transacciones involucradas en el proceso, así como, los cambios en los sistemas o en el personal clave; adicionalmente se debe tener en cuenta los factores de carácter externo que pudieran llegar a afectar la Organización como son los económicos, sociales, legales o de cambio tecnológico.

61 2.5.2. Clasificación del riesgo

La clasificación del riesgo permite realizar una mejor identificación de los riesgos inherentes a los procesos de la Organización, ya que delimita los parámetros a seguir por el responsable. Esta sería una posible clasificación:

 Riesgo estratégico  Riesgo operativo  Riesgo de control  Riesgo financiero  Riesgo de tecnología  Riesgo de incumplimiento  Riesgo de fraude

 Riesgo de ambiente natural y laboral

2.5.3. Ponderación del riesgo

La ponderación del riesgo consiste en establecer los niveles adecuados de calificación, tanto de la probabilidad como del impacto, para determinar realmente el nivel de vulnerabilidad en la institución ante situaciones previsibles. También se debe tener en cuenta los factores de riesgo enunciados durante el proceso de identificación.

 Probabilidad de ocurrencia: para determinar este ítem se debe considerar los controles utilizados hasta el momento y la efectividad de los mismos, así como, la frecuencia en la que ocurren los riesgos y en la que se van a analizar.

 Impacto: en este ítem se evalúan las consecuencias en caso que el hecho que originó el riesgo se materialice. También analiza el grado en que afecta los

62

objetivos de los procesos involucrados o, inclusive de manera general a la institución.

2.5.4. Matriz de riesgo

Básicamente una matriz de riesgos puede ser como la siguiente:

PROBABILIDAD CONSECUENCIA Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)

Muy probable Entre el 67 % al 100% Valor: 3 Probable Entre el 34 % al 66% Valor : 2 Improbable Entre el 1 % al 33% Valor: 1

Tabla 1Matriz de riesgo Fuente: El autor

63

CONSECUENCIA

VALOR ASIGNACIÓN DESCRIPCIÓN

1 Insignificante La brecha puede resultar en poca o nula la pérdida o daño.

2 Menor La brecha puede resultar en una pérdida o daño menor. 3 Moderada La brecha puede resultar en una pérdida o daño serio y

los procesos del negocio pueden verse afectados negativamente.

4 Mayor La brecha puede resultar en una pérdida o daño serio y los procesos del negocio pueden fallar o interrumpirse. 5 Catastrófico La brecha puede resultar en altas pérdidas de dinero o

en un daño crítico a un individuo o al bienestar, reputación, privacidad y/o competitividad de la empresa, los procesos del negocio fallarán

Tabla 2 Consecuencia del riesgo Fuente: El autor

Pero la información que se debe manejar al administrar riesgos seria idealmente la siguiente:  Riesgo: es la posibilidad de ocurrencia de aquella situación que pueda entorpecer

el normal desarrollo de las funciones de la institución y le impidan el logro de sus objetivos.

64

 Impacto: son las consecuencias que puede ocasionar a la institución la materialización del riesgo.

 Probabilidad: es la posibilidad de ocurrencia del riesgo.

 Control existente: en este ítem se debe especificar cuál es el control que la Entidad tiene implementado para combatir, minimizar o prevenir el riesgo.

 Nivel De Riesgo: es el resultado de la aplicación de la escala escogida para determinar el nivel de riesgo de acuerdo a la posibilidad de ocurrencia, teniendo en cuenta los controles existentes.

 Causas: son los medios, circunstancias y agentes que generan los riesgos.

 Acciones: es la aplicación concreta de las opciones del manejo del riesgo que entraran a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo.

 Responsables: son las dependencias o áreas encargadas de adelantar las acciones propuestas, también se debe determinar en cabeza de quien va a quedar el compromiso del cumplimiento del cronograma.

 Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de trabajo.

 Indicadores: se deben usar para evaluar el desarrollo de las acciones implementadas y pueden ser de tipo cuantitativo o cualitativo, pero deben permitir emitir un juicio mediante su utilización.

65 2.5.5. Auditar y controlar

Se considera que la auditoría sin los ojos y oídos de la dirección, que generalmente no puede, no sabe o no debe realizar las verificaciones y evaluaciones, la auditoría consiste en contar con los mecanismos para poder determinar qué es lo que sucede en el sistema, que es lo que hace cada uno y cuando lo hace.

En cuanto al objeto del control es contrastar el resultado final obtenido contra el deseado a fin de incorporar las correcciones necesarias para alcanzarlo, o bien verificar la efectividad del obtenido.