2015 ICGFM CONFERENCE GESTIÓN DE RIESGOS DEL GOBIERNO 1
2015 ICGFM CONFERENCE
GESTIÓN DE RIESGOS DEL GOBIERNO
1
ACERCA DE MULTILATIN
Proveedor global de PFM
Compañía canadiense
Líder de GRP
Enfoque 100% en el gobierno
ISO-9001/2008
Cubre el ciclo del presupuesto
Moderna tecnología web
Alto índice de éxito
FREEBALANCE
3
ENFOQUE
4
Doug Hadden, Vicepresidente Ejecutivo, Estrategia e Innovación, FreeBalance
EJERCICIOS
• Se proporcionan múltiples escenarios a los grupos • Se incluyen las hojas de trabajo • Comentarios de los grupos
5
AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno
6
¿POR QUÉ?
7
CAMBIO DE PODER
8
HABILITACIÓN DE LA TECNOLOGÍA
9
MAYOR DEMANDA DE MEJORES SERVICIOS A LOS CIUDADANOS
10
MAYOR PARTICIPACIÓN
11
SOLUCIONES ANTIGUAS
12
MIEDO AL RIESGO
13
CAMBIO COMPLETO EN EL CÁLCULO DEL RIESGO
14
= INNOVACIÓN
15
= RESULTADOS
16
= $$$$
17
18
NEGOCIO HABITUAL
ASUMIR
19
FRENOS ANTIBLOQUEO
20
EL RIESGO SE TRATA DE LA MITIGACIÓN
21
EL RIESGO SE TRATA DE LA PLANIFICACIÓN
22
Y SE ANTICIPAN LOS BENEFICIOS DEL RESULTADO
23
PRÁCTICA DE GESTIÓN DEL RIESGO, NO DEL
RIESGO EN EL DESARROLLO
24
TEMAS
25
RIESGO BENEFICIO MITIGAR
AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno
26
Presentado por: David Robillard, Director ejecutivo
RIESGOS A LA REPUTACIÓN EN LA CONTRATACIÓN
Motivos para lograr una negociación
Fuente - Successful Investments: Overcoming Deal Risks, Marsh, Mercer 2006.
DILIGENCIA DEBIDA
Un término utilizado para diferentes conceptos relacionados con una investigación de una empresas o persona, o una acción con cierto estándar de atención.
Puede ser una obligación legal, pero el término se aplica con mayor frecuencia a las investigaciones voluntarias.
Es más común de lo que piensa ya que se requiere para numerosas actividades asociación con otras compañías contratación de empleados obtención de nuevos clientes
BRECHAS EN LA REPUTACIÓN - CUANDO LA REPUTACIÓN EXCEDE LA
REALIDAD
Alta reputación
“Brecha”
Realidad
}
CUANDO LA REPUTACIÓN EXCEDE LA REALIDAD
Diligencia debida insuficiente - Efecto de la falta de información
CONOCER A LAS PERSONAS DETRÁS DE LA EMPRESA
El proceso de diligencia debida lo detectará
Sus referencias se comprueban Mis empleados lo investigaron Ya lo conozco Lo conocí, está bien
ÚLTIMAS PALABRAS FAMOSAS
LO QUE UN CANDIDATO NUNCA LE DIRÁ
ASOCIACIÓN DEL SECTOR PÚBLICO Y PRIVADO: UN
MATRIMONIO CORPORATIVO DESFAVORECIDO
RENAVE – RICARDO CAVALLO & TALSUD
BRECHAS EN LA REPUTACIÓN – REPUTACIÓN EROSIONADA
Realidad
Reputación erosionada
} “Brecha”
EFECTO DE LOS RUMORES O LA MALA PRENSA
REPUTACIÓN EROSIONADA
EFECTO NEGATIVO EN EL PRECIO
PLAN FARMACÉUTICO - EL SHIFA EN SUDÁN
“Sudán desea que la ONU apruebe el bombardeo de EE. UU. de una fábrica de fármacos”
“Sudán dice que el bombardeo de los EE. UU. de la fábrica se basó en «inteligencia defectuosa»”
SIETE SIGNOS DE ADVERTENCIA
SIETE SEÑALES DE ADVERTENCIA
• Falta de experiencia en la industria o proyectos • Experiencia en industrias no reguladas • Propietarios o la gerencia
o proporcionan detalles escasos o falta de precisión
o Insuficiente información financiera • Estructuras complicadas de propiedad • Litigios penales y/o civiles anteriores
TALLER
42
AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno
43
RIESGO
44
CICLO DEL PRESUPUESTO
45
Ejecución del presupuesto
Preparación del presupuesto
EL RIESGO Y LA PLANIFICACIÓN DEL PRESUPUESTO
46
RELACIONADO CON LA PLANIFICACIÓN DEL PRESUPUESTO
47
Plan del presupuesto
Marco macroeconómico
Prioridades del gobierno
Gestión del riesgo
CICLO DE COMENTARIOS
48
Plan del presupuesto
Marco macroeconómico
Prioridades del gobierno
Gestión del riesgo
Reales
Riesgos realizados, riesgos evitados, impactos del riesgo
Resultados financieros
Resultados
Monitoreo y evaluació
RIESGOS DEL CICLO DEL PRESUPUESTO
• Pronósticos • Espacio fiscal
• Deudas • Liquidez
• Corrupción • Ineficiencia • Resultados
Ejecución del presupuesto
Preparación del presupuesto
CONSIDERE LOS PROYECTOS DE INVERSIÓN PÚBLICA
50
PREOCUPACIONES DEL GOBIERNO
51
Política Operativo
Político ¿El proyecto se completará
dentro del mandato del gobierno actual?
¿El proyecto cumplirá el plazo?
Contractual ¿Los proveedores se quejarán de prácticas
injustas?
¿Se adquirirá la solución correcta/mejor valor?
Programático ¿Se produjeron los resultados esperados?
¿El proyecto cumplirá el presupuesto?
INTERPRETACIÓN DE FALLA
52
Política Operativo
Político Comprueba la ineficiencia de la política
Los empleados civiles no tienen competencia para ejecutar la
política
Contractual Comprueba que la política era demasiado costosa para tener
beneficios
Los empleados civiles no pueden elegir la solución más efectiva
Programático Comprueba que la política era
demasiado difícil para tener beneficios
Los empleados civiles no pudieron administrar el proyecto dentro del plazo y el presupuesto
BENEFICIOS DE LA GESTIÓN EFECTIVA DEL RIESGO
53
Política Operativo
Innovador El Gobierno is líder mundial en innovación.
Bajo costo con altos beneficios gracias al aprovechamiento de
soluciones innovadoras.
CUANDO OCURRE EL DESASTRE
54
MOTIVACIÓN PARA LA REFORMA DE PFM
55
AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno
56
CERTEZA DE ILUSIÓN
57
HEURÍSTICA Y PREJUICIOS
58
PREJUICIOS COMUNES
• Optimismo excesivo • Exceso de confianza • Prejuicios de confirmación • Pensamiento grupal • Prejuicios de control • Aversión a la pérdida • Falacia de costos hundidos • Prejuicio del status quo
59
EVALUACIÓN
60
CÁLCULO DEL RIESGO
61
62
PROBABILIDAD
63
NO SE PUEDE ELIMINAR EL PREJUICIO
64
AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno
65
CÁLCULO DEL RIESGO
RIESGO = PROBABILIDAD NEGATIVA X IMPACTO NEGATIVO
66
MATRIZ DE RIESGO TRADICIONAL
67
Impacto negativo
Muy alto
Alto
Medio
Medio-bajo
Bajo
Bajo Medio-bajo Medio Alto Muy alto
Probabilidad negativa Aceptar Monitorear Mitigar Evitar
CÁLCULO DE INNOVACIÓN
INNOVACIÓN =
(PROBABILIDAD DE RESULTADO POSITIVO X IMPACTO POSITIVO)
- (PROBABILIDAD DE RESULTADO NEGATIVO X
IMPACTO NEGATIVO)
68
MATRIZ DE BENEFICIOS
69
Impacto positivo
Muy alto
Alto
Medio
Medio-bajo
Bajo
Bajo Medio-bajo Medio Alto Muy alto
Probabilidad positiva
ENFOQUE: APETITO POR LA INNOVACIÓN
70
ENFOQUE
71
Impacto negativo
Muy alto
Alto
Medio
Medio-bajo
Bajo
Bajo Medio-bajo Medio Alto Muy alto
Probabilidad negativa
De acuerdo con el apetito por el riesgo, no debe participar en
proyectos de alto riesgo
ENFOQUE
72
Impacto positivo
Muy alto
Alto
Medio
Medio-bajo
Bajo
Bajo Medio-bajo Medio Alto Muy alto
Probabilidad positiva
De acuerdo con el apetito por la innovación, no debe participar en proyectos de bajo retorno y
probabilidad
NUEVA MATRIZ
73
Alto impacto positivo, Alta probabilidad positiva
Alto impacto positivo Baja probabilidad negativa
Bajo impacto positivo, Baja probabilidad positiva
Aceptar Monitorear Mitigar Evitar
Alto impacto negativo Alta probabilidad negativa
DOCUMENTACIÓN
74
Descripción del problema
Descripción:
Narración:
Los organismos descentralizados pueden codificar transacciones de un área del presupuesto donde no les queda presupuesto a áreas donde tienen presupuesto.
Aunque la entidad descentralizada no gasta en exceso, el gobierno necesita información realista del presupuesto
para una planificación realista. Las entidades de presupuesto descentralizado tienen suficiente autoridad para sustentar pequeños desvíos del presupuesto, todas las demás transferencias deben ser aprobadas por el Ministro de Finanzas.
Aceptar Monitorear Mitigar Evitar
Descripción de la solución
* Mitigación:
* Monitorear:
* Razonamiento:
74
El Ministerio de Finanzas examinará mensualmente los informes de transferencia del presupuesto y auditará los que tienen una desviación inferior al 5%. Es irreal que las entidades descentralizadas operen de forma consistente sin desviaciones.
Curso de capacitación para funcionarios descentralizados.
El curso de capacitación ayudará a los funcionarios a comprender que en general se aceptarán las desviaciones, que tienen autoridad suficiente y necesitan presupuestos más precisos para el año siguiente.
TALLER
75
AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno
76
GRC – OTRA INDUSTRIA TECNOLÓGICA “TLA”*
77
Gobernanza
Riesgo Cumplimiento
* Acrónimo de tres letras
ERM – OTRA INDUSTRIA TECNOLÓGICA “TLA”*
78
Gobernanza
Riesgo Cumplimiento
* Acrónimo de tres letras
Gestión del riesgo empresarial
GOBERNANZA
• Estructura de cómo la organización alcanza los objetivos
79
RIESGO
• Anticipar y gestionar los riesgos
80
CUMPLIMIENTO
• Con las políticas y procedimientos de la organización
81
SINCRONIZADO
82
ESPECÍFICO DEL DOMINIO
83
EN CONSECUENCIA - INTEGRACIÓN DEL PRESUPUESTO
84
TECNOLOGÍA DE LA INFORMACIÓN GRC
85
AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno
86
MANEJO DE LA INCERTIDUMBRE
87
SWOT
88
FORTALEZAS
DEBILIDADES
OPORTUNIDADES
AMENAZAS
PESTEL
89
político
económico
social
tecnológico
ambiental
legal
CAPACIDAD DE PREDICCIÓN
90
PROBABILIDADES
91
AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno
92
David A. Robillard, Presidente – MultiLatin Febrero de 2014
93
REPUTACIÓN Y TI - EL FACTOR
HUMANO
TEMAS DESTACADOS
94 https://www.privacyassociation.org/privacy_perspectives/post/2013_the_year_of_privacy
TEMAS DESTACADOS
95 https://www.privacyassociation.org/privacy_perspectives/post/2013_the_year_of_privacy
La vida (no tan) secreta del NSA.
96
Verificación de Identidad
http://www.isaca.org/COBIT/Pages/default.aspx
INCUMPLIMIENTOS DE DATOS - PERSONAS Y SOCIOS
97 http://visual.ly/raconteur-data-security
INCUMPLIMIENTOS PERMITIDOS DESDE EL INTERIOR
98 https://paladinsecurity.com/blog/safety-security-tips/cybercriminal-underground-infographic-tips-protect-your-privacy
COSTO DEL INCUMPLIMIENTO
99 http://www.ipost.com/blog/data-breaches/the-shocking-truth-about-small-business-data-security-is-on-the-back-burner/
100
TIPOS DE ATAQUES
47%
44%
5% 4%
Motivations Behind Attacks (2013)
Cyber Crime
Hacktivism
CyberEspionageCyber Warfare
47%
22%
14% 7%
6% 5% 3%
20%
Objetivos principales (2013)
Government
Industry
Finance
Organisation
http://hackmageddon.com/
EXPECTATIVAS DE GOBERNANZA
102
EXPECTATIVAS DE GOBERNANZA
103
Seguridad
Controles Protección/privacidad de los datos
¿AMIGOS O ENEMIGOS?
104 https://www.privacyassociation.org/privacy_perspectives/post/2013_the_year_of_privacy
LEGISLACIÓN SOBRE SEGURIDAD
105
Verificación de Identidad
http://isaisi.files.wordpress.com/2010/06/untitled.jpg
MODELO TRADICIONAL DE SEGURIDAD
106
Tecnología Procedimientos/Procesos
Factores humanos
MODELO DE CUMPLIMIENTO DE SEGURIDAD
107
Tecnología Procedimientos/Procesos
Factores humanos
Todo encaja dentro de los estándares de cumplimiento
para la conducta organizativa y
detección
MOTIVOS HUMANOS
108
MOTIVOS PARA EL USO INDEBIDO DE LA POSICIÓN
109
Financieros (ambición o necesidad)
Ideología o un llamado superior
Desafío o curiosidad
Venganza
Poder
¿HÉROES O DEMONIOS?
110
Para mí, en términos de satisfacción personal, la misión aún no se ha cumplido”, dijo. “Ya gané. En cuanto los periodistas pudieron trabajar, todo lo que había intentado hacer se validó. Porque, recuerden, no deseaba cambiar la sociedad. Deseaba dar a la sociedad la oportunidad de determinar si debería cambiar.
http://www.washingtonpost.com/world/national-security/edward-snowden-after-months-of-nsa-revelations-says-his-missions-accomplished/2013/12/23/49fc36de-6c1c-11e3-a523 fe73f0ff6b8d story.html
¿HÉROES O DEMONIOS?
111
¿HÉROES O DEMONIOS?
112
Deprimido con la situación que enfrentábamos [en Iraq]”, y abrumado por las operaciones contra el terrorismo en que los EE. UU. parecían “obsesionados con capturar y matar personas”, Manning dijo que había buscado ”hacer del mundo un lugar mejor“.
http://www.rollingstone.com/politics/news/bradley-manning-explains-his-motives-20130228
MOTIVOS PARA EL USO INDEBIDO DE LA POSICIÓN
113
Financieros (ambición o necesidad)
Ideología o un llamado superior
Desafío o curiosidad
Derecho o envidia
Poder
DELITOS CIBERNÉTICOS
114 https://paladinsecurity.com/blog/safety-security-tips/cybercriminal-underground-infographic-tips-protect-your-privacy
DELITOS CIBERNÉTICOS
115 https://paladinsecurity.com/blog/safety-security-tips/cybercriminal-underground-infographic-tips-protect-your-privacy
TRABAJO INTERNO
116
De acuerdo con ACFE, en el 81% de los casos las personas que cometen fraude muestran una o más señales de advertencia sobre su conducta que con frecuencia se asocian con la conducta fraudulenta. o 36% endeudado o 27% con dificultades financieras o 19% tuvo una asociación inusualmente
cercana con proveedores o clientes y o 18% tuvo excesivos problemas de
control
http://www.corporatecomplianceinsights.com/information-security-best-practices/
MOTIVOS PARA EL USO INDEBIDO DE LA POSICIÓN
117
Financieros (ambición o necesidad)
Ideología o un llamado superior
Desafío o curiosidad
Venganza
Poder
EJEMPLO: PRIVACIDAD DE LOS DATOS
118
Hurto del padrón electoral en México - IFE
http://noticieros.televisa.com/mexico/1311/ife-ifai-presentan-denuncia-pgr-filtracion-datos/
EJEMPLO: PRIVACIDAD DE LOS DATOS
119
Hurto del padrón electoral en México - IFE
http://noticieros.televisa.com/mexico/1311/ife-ifai-presentan-denuncia-pgr-filtracion-datos/
Múltiples usos, incluido el ataque a víctimas de HNWI para extorsión y secuestro
MOTIVOS PARA EL USO INDEBIDO DE LA POSICIÓN
120
Financieros (ambición o necesidad)
Ideología o un llamado superior
Desafío o curiosidad
Venganza
Poder
DESAFÍO O CURIOSIDAD
121
MOTIVOS PARA EL USO INDEBIDO DE LA POSICIÓN
122
Financieros (ambición o necesidad)
Ideología o un llamado superior
Desafío o curiosidad
Venganza
Poder
MOTIVOS PARA EL USO INDEBIDO DE LA POSICIÓN
123
Financieros (ambición o necesidad)
Ideología o un llamado superior
Desafío o curiosidad
Venganza (derechos)
Poder
………y por supuesto……. siempre existen………. ………..errores o equivocaciones
MEJORES PRÁCTICAS
124
Seguridad física.
Clasificación y retención de datos.
Requisitos de contraseña y lineamientos
Redes inalámbricas.
http://www.corporatecomplianceinsights.com/information-security-best-practices/
MEJORES PRÁCTICAS
125
Capacitación de concientización del empleado
Respuesta a incidentes.
http://www.corporatecomplianceinsights.com/information-security-best-practices/
COMENTARIOS DE CIERRE
126
La internet de las cosas o Oportunidad y riesgo
Las organizaciones están formadas por personas o Empleados y socios independientes o Los sistemas no pueden distinguir entre un
usuario auténtico y falso o Conocer a las personas que tienen acceso físico y
a los sistemas Dentro de sus gobiernos respectivos
o los datos son más valiosos que el dinero o la capacidad de operar las 24 horas, 7 días a la
semana puede estar en riesgo
COMENTARIOS DE CIERRE
127
Sus constituyentes y participantes dependen de su capacidad de proteger sus datos contra el hurto, uso indebido o destrucción
Los riesgos para su gobierno pueden incluir costos financieros, daños a la reputación y confianza
Los costos para sus constituyentes pueden ser mayores e incluyen pérdidas personales y financieras
http://www.corporatecomplianceinsights.com/information-security-best-practices/
AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno
128
PARA TODOS
129
CONSIDERE LA MADUREZ
130
Nivel 0: Ausente
Nivel 1: Inicial
Nivel 2: Repetible
Nivel 3: Definido
Nivel 4: Administra
do
Nivel 5: Optimizado
ENFOQUE DE MADUREZ
131
0: Ausente
1: Inicial
2: Repetible
3: Definido
4: Administrado
5: Optimizado
ENFOQUE DE MADUREZ
• Enfoque donde la capacidad es alta
132
0: Ausente
1: Inicial
2: Repetible
3: Definido
4: Administrado
5: Optimizado
TALLER
133
AGENDA DEL TALLER • Introducción a la gestión del riesgo • Riesgo a la reputación y ejercicio • Riesgo y planificación de la gestión de finanzas públicas • Problema de evitar el riesgo • Matriz de riesgo y ejercicio • Gobernanza, riesgo y software de cumplimiento • Integración de las herramientas de planificación • Gestión del riesgo de TI • Madurez de la gestión del riesgo y ejercicio • Uso con su gobierno
134
RESUMEN
• Enfoque arriesgado = evitar el riesgo • Con frecuencia sin conocimiento del status quo • El riesgo se puede gestionar con eficiencia • Se pueden aprovechar las herramientas para el riesgo • La gestión del riesgo del gobierno es especial • y crítica para el rendimiento del gobierno • Muchos gobiernos subestiman los riesgos de TI
135
RIESGO BENEFICIO MITIGAR