gestiÓn de riesgos del gobierno - icgfm.org · ... riesgo y software de cumplimiento ... •...

2015 ICGFM CONFERENCE

GESTIÓN DE RIESGOS DEL GOBIERNO

1

ACERCA DE MULTILATIN

Proveedor global de PFM

Compañía canadiense

Líder de GRP

Enfoque 100% en el gobierno

ISO-9001/2008

Cubre el ciclo del presupuesto

Moderna tecnología web

Alto índice de éxito

FREEBALANCE

3

ENFOQUE

4

Doug Hadden, Vicepresidente Ejecutivo, Estrategia e Innovación, FreeBalance

EJERCICIOS

• Se proporcionan múltiples escenarios a los grupos • Se incluyen las hojas de trabajo • Comentarios de los grupos

5

AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno

6

¿POR QUÉ?

7

CAMBIO DE PODER

8

HABILITACIÓN DE LA TECNOLOGÍA

9

MAYOR DEMANDA DE MEJORES SERVICIOS A LOS CIUDADANOS

10

MAYOR PARTICIPACIÓN

11

SOLUCIONES ANTIGUAS

12

MIEDO AL RIESGO

13

CAMBIO COMPLETO EN EL CÁLCULO DEL RIESGO

14

= INNOVACIÓN

15

= RESULTADOS

16

= $$$$

17

18

NEGOCIO HABITUAL

ASUMIR

19

FRENOS ANTIBLOQUEO

20

EL RIESGO SE TRATA DE LA MITIGACIÓN

21

EL RIESGO SE TRATA DE LA PLANIFICACIÓN

22

Y SE ANTICIPAN LOS BENEFICIOS DEL RESULTADO

23

PRÁCTICA DE GESTIÓN DEL RIESGO, NO DEL

RIESGO EN EL DESARROLLO

24

TEMAS

25

RIESGO BENEFICIO MITIGAR


26

Presentado por: David Robillard, Director ejecutivo

RIESGOS A LA REPUTACIÓN EN LA CONTRATACIÓN

Motivos para lograr una negociación

Fuente - Successful Investments: Overcoming Deal Risks, Marsh, Mercer 2006.

DILIGENCIA DEBIDA

Un término utilizado para diferentes conceptos relacionados con una investigación de una empresas o persona, o una acción con cierto estándar de atención.

Puede ser una obligación legal, pero el término se aplica con mayor frecuencia a las investigaciones voluntarias.

Es más común de lo que piensa ya que se requiere para numerosas actividades asociación con otras compañías contratación de empleados obtención de nuevos clientes

http://en.wikipedia.org/wiki/Standard_of_care

BRECHAS EN LA REPUTACIÓN - CUANDO LA REPUTACIÓN EXCEDE LA

REALIDAD

Alta reputación

“Brecha”

Realidad

}

CUANDO LA REPUTACIÓN EXCEDE LA REALIDAD

Diligencia debida insuficiente - Efecto de la falta de información

CONOCER A LAS PERSONAS DETRÁS DE LA EMPRESA

El proceso de diligencia debida lo detectará

Sus referencias se comprueban Mis empleados lo investigaron Ya lo conozco Lo conocí, está bien

ÚLTIMAS PALABRAS FAMOSAS

LO QUE UN CANDIDATO NUNCA LE DIRÁ

ASOCIACIÓN DEL SECTOR PÚBLICO Y PRIVADO: UN

MATRIMONIO CORPORATIVO DESFAVORECIDO

RENAVE – RICARDO CAVALLO & TALSUD

BRECHAS EN LA REPUTACIÓN – REPUTACIÓN EROSIONADA

Realidad

Reputación erosionada

} “Brecha”

EFECTO DE LOS RUMORES O LA MALA PRENSA

REPUTACIÓN EROSIONADA

EFECTO NEGATIVO EN EL PRECIO

PLAN FARMACÉUTICO - EL SHIFA EN SUDÁN

“Sudán desea que la ONU apruebe el bombardeo de EE. UU. de una fábrica de fármacos”

“Sudán dice que el bombardeo de los EE. UU. de la fábrica se basó en «inteligencia defectuosa»”

SIETE SIGNOS DE ADVERTENCIA

SIETE SEÑALES DE ADVERTENCIA

• Falta de experiencia en la industria o proyectos • Experiencia en industrias no reguladas • Propietarios o la gerencia

o proporcionan detalles escasos o falta de precisión

o Insuficiente información financiera • Estructuras complicadas de propiedad • Litigios penales y/o civiles anteriores

TALLER

42


43

RIESGO

44

CICLO DEL PRESUPUESTO

45

Ejecución del presupuesto

Preparación del presupuesto

EL RIESGO Y LA PLANIFICACIÓN DEL PRESUPUESTO

46

RELACIONADO CON LA PLANIFICACIÓN DEL PRESUPUESTO

47

Plan del presupuesto

Marco macroeconómico

Prioridades del gobierno

Gestión del riesgo

CICLO DE COMENTARIOS

48

Plan del presupuesto

Marco macroeconómico

Prioridades del gobierno

Gestión del riesgo

Reales

Riesgos realizados, riesgos evitados, impactos del riesgo

Resultados financieros

Resultados

Monitoreo y evaluació

RIESGOS DEL CICLO DEL PRESUPUESTO

• Pronósticos • Espacio fiscal

• Deudas • Liquidez

• Corrupción • Ineficiencia • Resultados

Ejecución del presupuesto

Preparación del presupuesto

CONSIDERE LOS PROYECTOS DE INVERSIÓN PÚBLICA

50

PREOCUPACIONES DEL GOBIERNO

51

Política Operativo

Político ¿El proyecto se completará

dentro del mandato del gobierno actual?

¿El proyecto cumplirá el plazo?

Contractual ¿Los proveedores se quejarán de prácticas

injustas?

¿Se adquirirá la solución correcta/mejor valor?

Programático ¿Se produjeron los resultados esperados?

¿El proyecto cumplirá el presupuesto?

INTERPRETACIÓN DE FALLA

52

Política Operativo

Político Comprueba la ineficiencia de la política

Los empleados civiles no tienen competencia para ejecutar la

política

Contractual Comprueba que la política era demasiado costosa para tener

beneficios

Los empleados civiles no pueden elegir la solución más efectiva

Programático Comprueba que la política era

demasiado difícil para tener beneficios

Los empleados civiles no pudieron administrar el proyecto dentro del plazo y el presupuesto

BENEFICIOS DE LA GESTIÓN EFECTIVA DEL RIESGO

53

Política Operativo

Innovador El Gobierno is líder mundial en innovación.

Bajo costo con altos beneficios gracias al aprovechamiento de

soluciones innovadoras.

CUANDO OCURRE EL DESASTRE

54

MOTIVACIÓN PARA LA REFORMA DE PFM

55


56

CERTEZA DE ILUSIÓN

57

HEURÍSTICA Y PREJUICIOS

58

PREJUICIOS COMUNES

• Optimismo excesivo • Exceso de confianza • Prejuicios de confirmación • Pensamiento grupal • Prejuicios de control • Aversión a la pérdida • Falacia de costos hundidos • Prejuicio del status quo

59

EVALUACIÓN

60

CÁLCULO DEL RIESGO

61

PROBABILIDAD

63

NO SE PUEDE ELIMINAR EL PREJUICIO

64


65

CÁLCULO DEL RIESGO

RIESGO = PROBABILIDAD NEGATIVA X IMPACTO NEGATIVO

66

MATRIZ DE RIESGO TRADICIONAL

67

Impacto negativo

Muy alto

Alto

Medio

Medio-bajo

Bajo

Bajo Medio-bajo Medio Alto Muy alto

Probabilidad negativa Aceptar Monitorear Mitigar Evitar

CÁLCULO DE INNOVACIÓN

INNOVACIÓN =

(PROBABILIDAD DE RESULTADO POSITIVO X IMPACTO POSITIVO)

- (PROBABILIDAD DE RESULTADO NEGATIVO X

IMPACTO NEGATIVO)

68

MATRIZ DE BENEFICIOS

69

Impacto positivo

Muy alto

Alto

Medio

Medio-bajo

Bajo


Probabilidad positiva

ENFOQUE: APETITO POR LA INNOVACIÓN

70

ENFOQUE

71

Impacto negativo

Muy alto

Alto

Medio

Medio-bajo

Bajo


Probabilidad negativa

De acuerdo con el apetito por el riesgo, no debe participar en

proyectos de alto riesgo

ENFOQUE

72

Impacto positivo

Muy alto

Alto

Medio

Medio-bajo

Bajo


Probabilidad positiva

De acuerdo con el apetito por la innovación, no debe participar en proyectos de bajo retorno y

probabilidad

NUEVA MATRIZ

73

Alto impacto positivo, Alta probabilidad positiva

Alto impacto positivo Baja probabilidad negativa

Bajo impacto positivo, Baja probabilidad positiva

Aceptar Monitorear Mitigar Evitar

Alto impacto negativo Alta probabilidad negativa

DOCUMENTACIÓN

74

Descripción del problema

Descripción:

Narración:

Los organismos descentralizados pueden codificar transacciones de un área del presupuesto donde no les queda presupuesto a áreas donde tienen presupuesto.

Aunque la entidad descentralizada no gasta en exceso, el gobierno necesita información realista del presupuesto

para una planificación realista. Las entidades de presupuesto descentralizado tienen suficiente autoridad para sustentar pequeños desvíos del presupuesto, todas las demás transferencias deben ser aprobadas por el Ministro de Finanzas.

Aceptar Monitorear Mitigar Evitar

Descripción de la solución

* Mitigación:

* Monitorear:

* Razonamiento:

74

El Ministerio de Finanzas examinará mensualmente los informes de transferencia del presupuesto y auditará los que tienen una desviación inferior al 5%. Es irreal que las entidades descentralizadas operen de forma consistente sin desviaciones.

Curso de capacitación para funcionarios descentralizados.

El curso de capacitación ayudará a los funcionarios a comprender que en general se aceptarán las desviaciones, que tienen autoridad suficiente y necesitan presupuestos más precisos para el año siguiente.

TALLER

75


76

GRC – OTRA INDUSTRIA TECNOLÓGICA “TLA”*

77

Gobernanza

Riesgo Cumplimiento

* Acrónimo de tres letras

ERM – OTRA INDUSTRIA TECNOLÓGICA “TLA”*

78

Gobernanza

Riesgo Cumplimiento

* Acrónimo de tres letras

Gestión del riesgo empresarial

GOBERNANZA

• Estructura de cómo la organización alcanza los objetivos

79

RIESGO

• Anticipar y gestionar los riesgos

80

CUMPLIMIENTO

• Con las políticas y procedimientos de la organización

81

SINCRONIZADO

82

ESPECÍFICO DEL DOMINIO

83

EN CONSECUENCIA - INTEGRACIÓN DEL PRESUPUESTO

84

TECNOLOGÍA DE LA INFORMACIÓN GRC

85


86

MANEJO DE LA INCERTIDUMBRE

87

SWOT

88

FORTALEZAS

DEBILIDADES

OPORTUNIDADES

AMENAZAS

PESTEL

89

político

económico

social

tecnológico

ambiental

legal

CAPACIDAD DE PREDICCIÓN

90

PROBABILIDADES

91


92

David A. Robillard, Presidente – MultiLatin Febrero de 2014

93

REPUTACIÓN Y TI - EL FACTOR

HUMANO

TEMAS DESTACADOS

94 https://www.privacyassociation.org/privacy_perspectives/post/2013_the_year_of_privacy

https://www.privacyassociation.org/privacy_perspectives/post/2013_the_year_of_privacy

TEMAS DESTACADOS


La vida (no tan) secreta del NSA.


96

Verificación de Identidad

http://www.isaca.org/COBIT/Pages/default.aspx

http://www.isaca.org/COBIT/Pages/default.aspx

INCUMPLIMIENTOS DE DATOS - PERSONAS Y SOCIOS

97 http://visual.ly/raconteur-data-security

http://visual.ly/raconteur-data-security

INCUMPLIMIENTOS PERMITIDOS DESDE EL INTERIOR

98 https://paladinsecurity.com/blog/safety-security-tips/cybercriminal-underground-infographic-tips-protect-your-privacy

COSTO DEL INCUMPLIMIENTO

99 http://www.ipost.com/blog/data-breaches/the-shocking-truth-about-small-business-data-security-is-on-the-back-burner/

http://www.ipost.com/blog/data-breaches/the-shocking-truth-about-small-business-data-security-is-on-the-back-burner

http://www.ipost.com/blog/data-breaches/the-shocking-truth-about-small-business-data-security-is-on-the-back-burner/

100

TIPOS DE ATAQUES

47%

44%

5% 4%

Motivations Behind Attacks (2013)

Cyber Crime

Hacktivism

CyberEspionageCyber Warfare

47%

22%

14% 7%

6% 5% 3%

20%

Objetivos principales (2013)

Government

Industry

Finance

Organisation

http://hackmageddon.com/


PAÍSES PRINCIPALES

101 http://hackmageddon.com/


EXPECTATIVAS DE GOBERNANZA

102

EXPECTATIVAS DE GOBERNANZA

103

Seguridad

Controles Protección/privacidad de los datos

¿AMIGOS O ENEMIGOS?



LEGISLACIÓN SOBRE SEGURIDAD

105

Verificación de Identidad

http://isaisi.files.wordpress.com/2010/06/untitled.jpg

MODELO TRADICIONAL DE SEGURIDAD

106

Tecnología Procedimientos/Procesos

Factores humanos

MODELO DE CUMPLIMIENTO DE SEGURIDAD

107

Tecnología Procedimientos/Procesos

Factores humanos

Todo encaja dentro de los estándares de cumplimiento

para la conducta organizativa y

detección

MOTIVOS HUMANOS

108

MOTIVOS PARA EL USO INDEBIDO DE LA POSICIÓN

109

Financieros (ambición o necesidad)

Ideología o un llamado superior

Desafío o curiosidad

Venganza

Poder

¿HÉROES O DEMONIOS?

110

Para mí, en términos de satisfacción personal, la misión aún no se ha cumplido”, dijo. “Ya gané. En cuanto los periodistas pudieron trabajar, todo lo que había intentado hacer se validó. Porque, recuerden, no deseaba cambiar la sociedad. Deseaba dar a la sociedad la oportunidad de determinar si debería cambiar.

http://www.washingtonpost.com/world/national-security/edward-snowden-after-months-of-nsa-revelations-says-his-missions-accomplished/2013/12/23/49fc36de-6c1c-11e3-a523 fe73f0ff6b8d story.html

http://www.washingtonpost.com/world/national-security/edward-snowden-after-months-of-nsa-revelations-says-his-missions-accomplished/2013/12/23/49fc36de-6c1c-11e3-a523-fe73f0ff6b8d_story.html

http://www.washingtonpost.com/world/national-security/edward-snowden-after-months-of-nsa-revelations-says-his-missions-accomplished/2013/12/23/49fc36de-6c1c-11e3-a523-fe73f0ff6b8d_story.html


111


112

Deprimido con la situación que enfrentábamos [en Iraq]”, y abrumado por las operaciones contra el terrorismo en que los EE. UU. parecían “obsesionados con capturar y matar personas”, Manning dijo que había buscado ”hacer del mundo un lugar mejor“.

http://www.rollingstone.com/politics/news/bradley-manning-explains-his-motives-20130228

http://www.rollingstone.com/politics/news/bradley-manning-explains-his-motives-20130228


113




Derecho o envidia

Poder

DELITOS CIBERNÉTICOS


TRABAJO INTERNO

116

De acuerdo con ACFE, en el 81% de los casos las personas que cometen fraude muestran una o más señales de advertencia sobre su conducta que con frecuencia se asocian con la conducta fraudulenta. o 36% endeudado o 27% con dificultades financieras o 19% tuvo una asociación inusualmente

cercana con proveedores o clientes y o 18% tuvo excesivos problemas de

control

http://www.corporatecomplianceinsights.com/information-security-best-practices/



117




Venganza

Poder

EJEMPLO: PRIVACIDAD DE LOS DATOS

118

Hurto del padrón electoral en México - IFE

http://noticieros.televisa.com/mexico/1311/ife-ifai-presentan-denuncia-pgr-filtracion-datos/


EJEMPLO: PRIVACIDAD DE LOS DATOS

119

Hurto del padrón electoral en México - IFE


Múltiples usos, incluido el ataque a víctimas de HNWI para extorsión y secuestro



120




Venganza

Poder

DESAFÍO O CURIOSIDAD

121


122




Venganza

Poder


123




Venganza (derechos)

Poder

………y por supuesto……. siempre existen………. ………..errores o equivocaciones

MEJORES PRÁCTICAS

124

Seguridad física.

Clasificación y retención de datos.

Requisitos de contraseña y lineamientos

Redes inalámbricas.



MEJORES PRÁCTICAS

125

Capacitación de concientización del empleado

Respuesta a incidentes.



COMENTARIOS DE CIERRE

126

La internet de las cosas o Oportunidad y riesgo

Las organizaciones están formadas por personas o Empleados y socios independientes o Los sistemas no pueden distinguir entre un

usuario auténtico y falso o Conocer a las personas que tienen acceso físico y

a los sistemas Dentro de sus gobiernos respectivos

o los datos son más valiosos que el dinero o la capacidad de operar las 24 horas, 7 días a la

semana puede estar en riesgo

COMENTARIOS DE CIERRE

127

Sus constituyentes y participantes dependen de su capacidad de proteger sus datos contra el hurto, uso indebido o destrucción

Los riesgos para su gobierno pueden incluir costos financieros, daños a la reputación y confianza

Los costos para sus constituyentes pueden ser mayores e incluyen pérdidas personales y financieras










128

PARA TODOS

129

CONSIDERE LA MADUREZ

130

Nivel 0: Ausente

Nivel 1: Inicial

Nivel 2: Repetible

Nivel 3: Definido

Nivel 4: Administra

do

Nivel 5: Optimizado

ENFOQUE DE MADUREZ

131

0: Ausente

1: Inicial

2: Repetible

3: Definido

4: Administrado

5: Optimizado

ENFOQUE DE MADUREZ

• Enfoque donde la capacidad es alta

132

0: Ausente

1: Inicial

2: Repetible

3: Definido

4: Administrado

5: Optimizado

TALLER

133


134

RESUMEN

• Enfoque arriesgado = evitar el riesgo • Con frecuencia sin conocimiento del status quo • El riesgo se puede gestionar con eficiencia • Se pueden aprovechar las herramientas para el riesgo • La gestión del riesgo del gobierno es especial • y crítica para el rendimiento del gobierno • Muchos gobiernos subestiman los riesgos de TI

135

RIESGO BENEFICIO MITIGAR

gestiÓn de riesgos del gobierno - icgfm.org · ... riesgo y software de cumplimiento ... •...

Documents