Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
GOBERNANZA CORPORATIVA DE LA
TECNOLOGA DE LA INFORMACIN
Mis documentos
ISO/IEC 38500
INDICE
INTRODUCCIN .............................................................................................................................. 2
ALCANCE, APLICACIN Y OBJETIVOS .......................................................................... 5
I.
1.
Alcance ................................................................................................................................... 5
2.
Aplicacin............................................................................................................................... 6
3.
Objetivos ................................................................................................................................ 6
4.
General ............................................................................................................................... 6
b.
c.
5.
6.
Definiciones ............................................................................................................................ 9
II.
1.
1)
Aceptable ............................................................................................................................ 9
2)
Gobernanza Corporativa.................................................................................................. 9
3)
4)
Competente ...................................................................................................................... 10
5)
Administrador ................................................................................................................. 10
6)
7)
8)
Inversin........................................................................................................................... 11
9)
Gestin .............................................................................................................................. 11
11)
Poltica .......................................................................................................................... 12
12)
Propuesta...................................................................................................................... 12
13)
Recursos ....................................................................................................................... 12
14)
Riesgo ........................................................................................................................... 12
15)
16)
17)
Estrategia ..................................................................................................................... 13
18)
Uso de la TI .................................................................................................................. 13
Pgina 1
2.
A.
Principio 1: Responsabilidad.......................................................................................... 14
B.
C.
D.
E.
F.
Figura 1 - ModelodelaGobernanzaCorporativadelaTI........................................................................ 15
III.
1.
2.
Principio 1: Responsabilidad.............................................................................................. 18
3.
4.
5.
6.
7.
Conclusiones ..................................................................................................................................... 25
Bibliografa ....................................................................................................................................... 26
INTRODUCCIN
Pgina 2
Los gastos en TI pueden representar una parte importante de los gastos de una organizacin
en recursos financieros y humanos. Sin embargo, a menudo no se produce el retorno
esperado de esta inversin y el impacto negativo en las organizaciones puede ser
importante.
Las principales razones de estos resultados negativos son dar mayor importancia a la
tecnologa, finanzas y aspectos de la planificacin de las actividades de TI, que al contexto
global del uso de la TI en el negocio.
Esta norma proporciona un marco eficaz para la gobernanza de la TI para ayudar a las
personas del mximo nivel de las organizaciones a comprender y cumplir con sus
obligaciones legales, reglamentarias y ticas respecto al uso que, en sus organizaciones, se
hace de la TI.
Pgina 3
Si bien esta norma est dirigida principalmente al cuerpo de gobierno, quien a su vez puede
determinar que ciertas acciones sean realizadas por la direccin de la organizacin, tambin
permite que, en algunas organizaciones (normalmente las ms pequeas), los miembros del
cuerpo de gobierno tambin puedan desempear funciones claves en la gestin. De esta
manera, se asegura que la norma sea aplicable para todas las organizaciones, desde las ms
pequeas a las ms grandes, independientemente del propsito, diseo y estructura
societaria.
Esta norma tambin tiene por objeto informar y orientar a los involucrados en el diseo e
implementacin del sistema de gestin sobre polticas, procesos y estructuras que sostienen
a la gobernanza.
Pgina 4
I.
contables;
asociaciones
comerciales minoristas u
organismos profesionales;
fabricantes de hardware, software, comunicaciones y otros productos
de TI;
proveedores de servicios internos y externos (incluidos consultores);
auditores de TI.
(International Standard ISO/IEC 38500, 2008)
Pgina 5
3. Objetivos
El propsito de esta norma es promover el uso eficaz, eficiente y aceptable
de la TI en todas las organizaciones por medio de:
asegurar a las partes interesadas (incluidos clientes, accionistas y
empleados) que si siguen la norma, pueden con- fiar en la
gobernanza corporativa de la TI dentro de la organizacin;
informar y orientar a los administradores sobre el gobierno del
uso de la TI en su organizacin; y
proporcionar una base de referencia para la evaluacin objetiva
de la gobernanza corporativa de la TI.
(International Standard ISO/IEC 38500, 2008)
de
que
los
administradores
no
cumplan
con
sus
Pgina 6
b. Cumplimiento de la Organizacin
La adecuada gobernanza corporativa de la TI puede ayudar a los
administradores a asegurar el cumplimiento con las obligaciones
(reglamentarias,
legislativas,
de
derecho
consuetudinario
Sistemas
inadecuados
de
TI
pueden
exponer
los
deben
administradores
abordarse
podran
adecuadamente.
ser
Por
considerados
ejemplo,
los
responsables
de
infracciones relativas a:
normas de seguridad
legislacin sobre la privacidad
legislacin sobre correo basura
legislacin sobre las prcticas comerciales
derechos de propiedad intelectual, incluidos los acuerdos de
licencia de software
requisitos de retencin de informacin
Pgina 7
c. Desempeo de la Organizacin
La adecuada gobernanza corporativa de la TI ayuda a los
administradores a asegurar que el uso de la TI contribuye
positivamente al desempeo de la organizacin, mediante:
una implementacin y explotacin adecuada de los activos de
la TI
claridad de la responsabilidad e imputabilidad tanto para el
uso como para la provisin de la TI para el logro de los
objetivos de la organizacin
la continuidad y sostenibilidad del negocio
la alineacin de la TI con las necesidades del negocio
la asignacin eficiente de recursos
la innovacin en los servicios, mercados, y negocios
las buenas prcticas en las relaciones con las partes
interesadas
la reduccin de los costes de una organizacin
la consecucin real de los beneficios aprobados para cada
inversin en TI
(International Standard ISO/IEC 38500, 2008)
Pgina 8
6. Definiciones
A los efectos de la presente norma, se aplican las siguientes definiciones.
1) Aceptable
Satisface las expectativas, que se han podido expresar como
razonables o justificadas de las partes interesadas.
2) Gobernanza Corporativa
El sistema por el cual se dirigen y controlan las organizaciones.
(Informe de la Comisin sobre Aspectos Financieros de la
Gobernanza Corporativa, Sir Adrian Cadbury, 1992)
(OCDE Principios de Gobernanza Corporativa, 1999 y 2004)
3) Gobernanza Corporativa de la TI
El sistema por el cual se dirige y controla el uso, actual y futuro, de
la TI.
Pgina 9
4) Competente
Que posee la combinacin del conocimiento, las habilidades
formales e informales, la formacin, los atributos de experiencia y de
comportamiento, necesarios para realizar una tarea o rol
5) Administrador
Miembro del cuerpo de gobierno ms alto de una organizacin.
Incluye propietarios, miembros del comit de direccin, socios, altos
ejecutivos o similares, y los mandos autorizados por leyes o
regulaciones.
6) Conducta Humana
La comprensin de las interacciones entre los seres humanos y otros
elementos de un sistema con la intencin de asegurar el bienestar de
las personas y el rendimiento de los sistemas. La conducta humana
incluye la cultura, necesidades y aspiraciones de las personas como
individuos y como grupos.
la
construccin
operacin
de la
TI podran mostrar
8) Inversin
Asignacin de recursos humanos, financieros y otros, con el fin
de alcanzar los objetivos establecidos y otros beneficios.
9) Gestin
El sistema de controles y los procesos necesarios para alcanzar los
objetivos estratgicos establecidos por el rgano de gobierno de la
organizacin. La gestin est sujeta a la direccin marcada por la
poltica y seguimiento establecidos por medio de la gobernanza
corporativa.
10) Organizacin
Cualquier empresa, corporacin, gobierno, organizacin sin nimo
de lucro u otra entidad legalmente constituida que cuenta
administracin
clubes,
sociedades,
misin
propias,
agencias
incluyendo
con
asociaciones,
Pgina 11
12) Propuesta
Compilacin de los beneficios, costes, riesgos, oportunidades y
otros factores aplicables a las decisiones a adoptar.
Incluye casos de negocio.
13) Recursos
Personas,
procedimientos,
software,
informacin,
equipos,
14) Riesgo
Efecto
de la incertidumbre sobre la
consecucin
de los
Pgina 12
18) Uso de la TI
La planificacin, diseo, desarrollo, despliegue, operacin, gestin y
aplicacin de la TI para satisfacer las necesidades del negocio.
Incluye la demanda y la prestacin de servicios de TI por las
unidades internas de negocio, unidades especializadas de TI, o
proveedores externos.
(Gobierno de las TIC ISO/IEC 38500, 2010)
II.
1. Principios
Esta seccin establece seis principios de gobernanza corporativa de la TI.
Los principios son aplicables a la mayora de las organizaciones.
Pgina 13
B. Principio 2: Estrategia
La estrategia de negocio de la organizacin tiene en cuenta las capacidades actuales
y futuras de la TI; los planes estratgicos de la TI satisfacen las necesidades actuales
y futuras de la estrategia de negocio.
C. Principio 3: Adquisicin
Las adquisiciones de TI se hacen por razones vlidas, sobre la base de anlisis
adecuados y continuados, a travs de decisiones claras y transparentes. Hay un
adecuado equilibrio entre beneficios, oportunidades, costes y riesgos, tanto a corto
como a largo plazo.
D. Principio 4: Desempeo
La TI satisface el propsito de dar soporte a la organizacin, mediante la provisin
de servicios, niveles de servicio y calidad de servicio requeridos para alcanzar los
requisitos presentes y futuros del negocio.
E. Principio 5: Cumplimiento
La TI cumple con toda la legislacin y normativas obligatorias. Las polticas y
prcticas estn claramente definidas, implantadas y se hacen cumplir.
Pgina 14
Figura 1 - ModelodelaGobernanzaCorporativadelaTI
Al evaluar el uso de la TI, los administradores deberan considerar las presiones externas o
internas que actan sobre el negocio como pueden ser los cambios tecnolgicos, las
tendencias econmicas y sociales y las influencias polticas. Dado que dichas influencias
cambian, los administradores deberan acometer evaluaciones de forma continua.
Los administradores tambin deberan tener en cuenta las necesidades actuales y futuras
del negocio, los objetivos organizativos actuales y futuros que deben alcanzar, tales como
el mantenimiento de la ventaja competitiva, as como los objetivos especficos de las
estrategias y propuestas que estn evaluando.
Dirigir
Los administradores deberan asignar
responsabilidades
y dirigir la preparacin e
Los administradores deberan tambin asegurar que la TI cumple con las obligaciones
externas (normativa, legislacin, derecho consuetudinario, contractuales) y las prcticas
internas de trabajo.
III.
1. Observaciones Generales
Los siguientes apartados ofrecen orientacin sobre los principios
generales de la gobernanza de la TI y las buenas prcticas necesarias
para implantacin de dichos principios.
2. Principio 1: Responsabilidad
Evaluar
Los administradores deberan evaluar cules son las opciones existentes a la hora de asignar
responsabilidades relacionadas con el uso actual y futuro de la TI en la organizacin. Al
evaluar dichas opciones, los administradores deberan buscar el uso eficaz, eficiente y
aceptable de la TI, en apoyo de los actuales y futuros objetivos de negocio.
Los administradores deberan evaluar la competencia de aquellos a quienes dieron la
responsabilidad de tomar decisiones sobre la TI. En general, estas personas deberan ser
directores de negocio que tambin son responsables de los objetivos y el desempeo
organizativos, asistidos por expertos en TI que comprenden el valor y los procesos de
negocio.
Dirigir
Los administradores deberan dirigir con el objetivo de que los planes se lleven a cabo de
acuerdo con las responsabilidades asignadas a TI.
Los administradores deberan dirigir con el fin de recibir la informacin que necesitan para
cumplir con sus responsabilidades y rendir cuentas.
Monitorizar
Pgina 18
Los administradores deberan monitorizar el desempeo de aquellos a los que se les hayan
asignado responsabilidades relacionadas con la gobernanza de la TI (por ejemplo, las
personas que forman parte de comits de direccin o presentan propuestas a los
administradores).
(International Standard ISO/IEC 38500, 2008)
3. Principio 2: Estrategia
Evaluar
Los administradores deberan evaluar la evolucin de la TI y los procesos de negocio para
asegurar que la TI proporcionar apoyo a las futuras necesidades de la organizacin.
Al examinar los planes y las polticas, los administradores deberan evaluar las actividades
de TI para asegurar que estn alineadas con los objetivos de la organizacin ante
circunstancias de cambio, que tienen en cuenta las mejores prcticas y satisfacen otros
requisitos de los principales interesados.
Los administradores deberan asegurar que el uso de la TI est sujeto a una adecuada
evaluacin y valoracin del riesgo, tal como se describe en las normas internacionales y
nacionales ms relevantes.
Dirigir
Los administradores deberan dirigir la creacin y uso de planes y polticas que aseguren
que la organizacin se beneficia del desarrollo en la TI.
Los administradores tambin deberan alentar la presentacin de propuestas de usos
innovadores de la TI, que permitan a la organizacin responder a nuevas oportunidades o
desafos, mejorando los actuales procesos de negocio o emprendiendo otros nuevos.
Pgina 19
Los administradores deberan monitorizar el uso de la TI para asegurar que se alcanzan los
beneficios esperados.
(International Standard ISO/IEC 38500, 2008)
4. Principio 3: Adquisicin
Evaluar
Los administradores deberan evaluar cules son las opciones para proveerse de la TI que
necesitan para desarrollar las propuestas aprobadas, equilibrando los riesgos y el valor
econmico de las inversiones propuestas.
Dirigir
Los administradores deberan dirigir para que los activos de TI (sistemas e infraestructura)
se adquieran de manera apropiada, incluyendo la elaboracin de documentacin adecuada,
al tiempo que se asegura que se obtienen las capacidades requeridas.
Los administradores deberan dirigir para que los acuerdos de provisin (ya sean internos o
externos) soporten las necesidades de negocio de la organizacin.
Monitorizar
Pgina 20
5. Principio 4: Desempeo
Evaluar
Los administradores deberan evaluar los medios propuestos por la direccin para asegurar
que la TI sustentar los procesos de negocio con las capacidades y aptitudes requeridas.
Estas propuestas deberan incluir la continuidad de la operacin normal de la organizacin
y la gestin de los riesgos asociados al uso de la TI.
Los administradores deberan evaluar los riesgos para la continuidad del negocio derivados
de las actividades de TI.
Los administradores deberan evaluar opciones para asegurar la eficaz y oportuna toma de
decisiones relativas al uso de la TI para alcanzar los objetivos del negocio.
Los administradores deberan evaluar peridicamente la eficacia y el desempeo del
sistema de gobernanza de la TI de la organizacin.
Dirigir
Pgina 21
Monitorizar
Los administradores deberan monitorizar el grado con el cual los recursos y presupuestos
asignados son priorizados de acuerdo con los objetivos de negocio de la organizacin.
6. Principio 5: Cumplimiento
Evaluar
Los administradores deberan evaluar peridicamente el grado con el que la TI cumplen
con las obligaciones relevantes (normativas, legislativas, de derecho consuetudinario,
contractuales), las polticas internas, las normas y directrices profesionales.
Dirigir
Los administradores deberan dirigir para que el personal de TI cumpla las directrices
relevantes en materia de desarrollo y conducta profesional.
Los administradores deberan dirigir para que la tica rija todas las acciones relacionadas
con la TI.
Monitorizar
Pgina 23
Dirigir
Los administradores deberan dirigir para que las actividades de TI sean consistentes con la
conducta humana identificada.
Los administradores deberan dirigir para que los riesgos, oportunidades, problemas y
preocupaciones relacionados con el negocio puedan identificarse y sean notificados por
cualquier individuo en cualquier momento. Estos riesgos deberan ser gestionados de
acuerdo con las polticas y procedimientos publicados, y comunicados a los principales
responsables de tomar decisiones.
Monitorizar
Los administradores deberan monitorizar las actividades de TI para asegurar que las
conductas humanas identificadas siguen siendo pertinentes y que se les presta una atencin
adecuada.
Los administradores deberan monitorizar las prcticas de trabajo para asegurar que sean
consistentes con el uso apropiado de la TI.
(International Standard ISO/IEC 38500, 2008)
Pgina 24
Pgina 25
Pgina 26
Pgina 27