La mejor gua para conseguir desarrollar el Negocio

basndose en las Tecnologas de la Informacin

GOBERNANZA CORPORATIVA DE LA
TECNOLOGA DE LA INFORMACIN

ISLACHIN AVENDAO EDISON

PORRAS RIOS HELMER

Mis documentos
ISO/IEC 38500

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

INDICE
INTRODUCCIN .............................................................................................................................. 2
ALCANCE, APLICACIN Y OBJETIVOS .......................................................................... 5

I.
1.

Alcance ................................................................................................................................... 5

2.

Aplicacin............................................................................................................................... 6

3.

Objetivos ................................................................................................................................ 6

4.

Beneficios de la Utilizacin de esta Norma ......................................................................... 6

a.

General ............................................................................................................................... 6

b.

Cumplimiento de la Organizacin ................................................................................... 7

c.

Desempeo de la Organizacin ........................................................................................ 8

5.

Documentos de Referencia ................................................................................................... 9

6.

Definiciones ............................................................................................................................ 9

II.
1.

1)

Aceptable ............................................................................................................................ 9

2)

Gobernanza Corporativa.................................................................................................. 9

3)

Gobernanza Corporativa de la TI ................................................................................... 9

4)

Competente ...................................................................................................................... 10

5)

Administrador ................................................................................................................. 10

6)

Conducta Humana .......................................................................................................... 10

7)

Tecnologa de la Informacin (TI) ................................................................................. 11

8)

Inversin........................................................................................................................... 11

9)

Gestin .............................................................................................................................. 11

11)

Poltica .......................................................................................................................... 12

12)

Propuesta...................................................................................................................... 12

13)

Recursos ....................................................................................................................... 12

14)

Riesgo ........................................................................................................................... 12

15)

Gestin de Riesgo ........................................................................................................ 12

16)

Parte Interesada (Stakeholder) .................................................................................. 12

17)

Estrategia ..................................................................................................................... 13

18)

Uso de la TI .................................................................................................................. 13

MARCO PARA LA GOBERNANZA CORPORATIVA DE LA TI .............................. 13

Principios ............................................................................................................................. 13

Pgina 1

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

2.

A.

Principio 1: Responsabilidad.......................................................................................... 14

B.

Principio 2: Estrategia .................................................................................................... 14

C.

Principio 3: Adquisicin ................................................................................................. 14

D.

Principio 4: Desempeo .................................................................................................. 14

E.

Principio 5: Cumplimiento ............................................................................................. 14

F.

Principio 6: Conducta Humana ..................................................................................... 14

Modelo .................................................................................................................................. 15

Figura 1 - ModelodelaGobernanzaCorporativadelaTI........................................................................ 15
III.

DIRECTRICES PARA LA GOBERNANZA CORPORATIVA DE LA TI.................. 17

1.

Observaciones Generales .................................................................................................... 17

2.

Principio 1: Responsabilidad.............................................................................................. 18

3.

Principio 2: Estrategia ........................................................................................................ 19

4.

Principio 3: Adquisicin ..................................................................................................... 20

5.

Principio 4: Desempeo ...................................................................................................... 21

6.

Principio 5: Cumplimiento ................................................................................................. 22

7.

Principio 6: Conducta Humana ......................................................................................... 23

Conclusiones ..................................................................................................................................... 25
Bibliografa ....................................................................................................................................... 26

INTRODUCCIN

Pgina 2

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

El objetivo de esta norma es proporcionar un marco de principios para los administradores
cuando evalen, dirijan y supervisen el uso de la Tecnologa de la Informacin (TI) en sus
organizaciones.

La mayora de las organizaciones utilizan la TI como herramienta fundamental para el

negocio, y pocas pueden funcionar eficazmente sin ella. La TI es tambin un factor
importante en los planes futuros de negocio de muchas organizaciones.

Los gastos en TI pueden representar una parte importante de los gastos de una organizacin
en recursos financieros y humanos. Sin embargo, a menudo no se produce el retorno
esperado de esta inversin y el impacto negativo en las organizaciones puede ser
importante.

Las principales razones de estos resultados negativos son dar mayor importancia a la
tecnologa, finanzas y aspectos de la planificacin de las actividades de TI, que al contexto
global del uso de la TI en el negocio.

Esta norma proporciona un marco eficaz para la gobernanza de la TI para ayudar a las
personas del mximo nivel de las organizaciones a comprender y cumplir con sus
obligaciones legales, reglamentarias y ticas respecto al uso que, en sus organizaciones, se
hace de la TI.

El marco incluye definiciones, principios y un modelo.

Esta norma se ajusta a la definicin de gobernanza corporativa publicada como un informe

de la Comisin sobre los aspectos financieros de la gobernanza corporativa (el Informe
Cadbury) en 1992. El Informe Cadbury tambin aport la definicin bsica de la
gobernanza corporativa en los Principios de gobernanza corporativa de la OCDE de 1999
(revisados en 2004). Se anima a los usuarios de esta norma a familiarizarse con el Informe
Cadbury y los Principios de gobernanza corporativa de la OCDE.

Pgina 3

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

La gobernanza es distinta de la gestin y, para evitar cualquier confusin, los dos conceptos
se definen claramente en la presente norma.

Si bien esta norma est dirigida principalmente al cuerpo de gobierno, quien a su vez puede
determinar que ciertas acciones sean realizadas por la direccin de la organizacin, tambin
permite que, en algunas organizaciones (normalmente las ms pequeas), los miembros del
cuerpo de gobierno tambin puedan desempear funciones claves en la gestin. De esta
manera, se asegura que la norma sea aplicable para todas las organizaciones, desde las ms
pequeas a las ms grandes, independientemente del propsito, diseo y estructura
societaria.

Esta norma tambin tiene por objeto informar y orientar a los involucrados en el diseo e
implementacin del sistema de gestin sobre polticas, procesos y estructuras que sostienen
a la gobernanza.

Pgina 4

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

GOBERNANZA CORPORATIVA DE LA TECNOLOGIA DE INFORMACION

I.

ALCANCE, APLICACIN Y OBJETIVOS

1. Alcance
Esta norma proporciona principios orientadores para los administradores de
las organizaciones (incluyendo propietarios, miembros del consejo,
directivos, socios, altos ejecutivos o similares) sobre el uso eficaz, eficiente
y aceptable de la Tecnologa de la Informacin (TI) en sus organizaciones.

Esta norma se aplica a la gobernanza de los procesos (y decisiones) de

gestin relativos a los servicios de informacin y comunicacin utilizados
por una organizacin. Estos procesos podran ser controlados tanto por
especialistas en TI de la organizacin como por proveedores de servicios
externos, o unidades de negocio dentro de la organizacin.
Tambin proporciona orientacin a los que asesoran, informan, o
ayudan a los administradores, entre los que se incluyen:
altos directivos;
miembros de los grupos que monitorizan los recursos dentro de la
organizacin;
especialistas externos, tcnicos o de negocio, como pueden ser
jurdicos

contables;

asociaciones

comerciales minoristas u

organismos profesionales;
fabricantes de hardware, software, comunicaciones y otros productos
de TI;
proveedores de servicios internos y externos (incluidos consultores);
auditores de TI.
(International Standard ISO/IEC 38500, 2008)

Pgina 5

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

2. Aplicacin
Esta norma es aplicable a todas las organizaciones, ya sean empresas
pblicas o privadas, entidades gubernamentales y entidades sin nimo de
lucro. La norma es asimismo aplicable a organizaciones de todos los
tamaos, desde las ms pequeas hasta las ms grandes, con independencia
de su grado de utilizacin de la TI.
(International Standard ISO/IEC 38500, 2008)

3. Objetivos
El propsito de esta norma es promover el uso eficaz, eficiente y aceptable
de la TI en todas las organizaciones por medio de:
asegurar a las partes interesadas (incluidos clientes, accionistas y
empleados) que si siguen la norma, pueden con- fiar en la
gobernanza corporativa de la TI dentro de la organizacin;
informar y orientar a los administradores sobre el gobierno del
uso de la TI en su organizacin; y
proporcionar una base de referencia para la evaluacin objetiva
de la gobernanza corporativa de la TI.
(International Standard ISO/IEC 38500, 2008)

4. Beneficios de la Utilizacin de esta Norma

a. General
Esta norma establece principios para el uso eficaz, eficiente y
aceptable de la TI. Asegurando a aquellas organizaciones que el
seguimiento de estos principios ayudar a sus administradores a
sopesar los riesgos y fomentar oportunidades derivadas de la
utilizacin de la TI.
Esta norma establece un modelo de gobernanza de la TI. El
riesgo

de

que

los

administradores

no

cumplan

con

sus

Pgina 6

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

obligaciones se mitiga prestando la debida atencin al modelo y
aplicando correctamente los principios.
La norma proporciona un vocabulario para la gobernanza de la TI.
(International Standard ISO/IEC 38500, 2008)

b. Cumplimiento de la Organizacin
La adecuada gobernanza corporativa de la TI puede ayudar a los
administradores a asegurar el cumplimiento con las obligaciones
(reglamentarias,

legislativas,

de

derecho

consuetudinario

contractual) relativas al uso aceptable de la TI.

Sistemas

inadecuados

de

TI

pueden

exponer

los

administradores al riesgo de no cumplir con la legislacin. Por

ejemplo, en algunas jurisdicciones, los administradores podran ser
personalmente responsables si un sistema contable inadecuado tiene
como resultado el impago de impuestos.

Los procesos relacionados con la TI incorporan riesgos especficos

que

deben

administradores

abordarse
podran

adecuadamente.
ser

Por

considerados

ejemplo,

los

responsables

de

infracciones relativas a:
normas de seguridad
legislacin sobre la privacidad
legislacin sobre correo basura
legislacin sobre las prcticas comerciales
derechos de propiedad intelectual, incluidos los acuerdos de
licencia de software
requisitos de retencin de informacin
Pgina 7

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

leyes y reglamentaciones ambientales
legislacin sobre salud y seguridad
legislacin sobre accesibilidad
normas de responsabilidad social
Utilizando las directrices de esta norma, es ms probable que los
administradores cumplan con sus obligaciones.
(International Standard ISO/IEC 38500, 2008)

c. Desempeo de la Organizacin
La adecuada gobernanza corporativa de la TI ayuda a los
administradores a asegurar que el uso de la TI contribuye
positivamente al desempeo de la organizacin, mediante:
una implementacin y explotacin adecuada de los activos de
la TI
claridad de la responsabilidad e imputabilidad tanto para el
uso como para la provisin de la TI para el logro de los
objetivos de la organizacin
la continuidad y sostenibilidad del negocio
la alineacin de la TI con las necesidades del negocio
la asignacin eficiente de recursos
la innovacin en los servicios, mercados, y negocios
las buenas prcticas en las relaciones con las partes
interesadas
la reduccin de los costes de una organizacin
la consecucin real de los beneficios aprobados para cada
inversin en TI
(International Standard ISO/IEC 38500, 2008)

Pgina 8

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

5. Documentos de Referencia
En esta norma se hace referencia a los siguientes documentos:

1. Informe de la Comisin sobre Aspectos Financieros de la

Gobernanza Corporativa, Sir AdrianCadbury, London, 1992 ISBN 0
85258 913 1
2. OCDE Principios de Gobernanza Corporativa, OCDE, 1999 y 2004
3. Gua ISO 73 2002 Gestin del riesgo. Vocabulario
(Gobernanza Corporativa de la Tecnologa de la Informacin, 2013)

6. Definiciones
A los efectos de la presente norma, se aplican las siguientes definiciones.

Se espera que la organizacin adapte la terminologa utilizada en esta norma

a sus circunstancias o estructura.

1) Aceptable
Satisface las expectativas, que se han podido expresar como
razonables o justificadas de las partes interesadas.

2) Gobernanza Corporativa
El sistema por el cual se dirigen y controlan las organizaciones.
(Informe de la Comisin sobre Aspectos Financieros de la
Gobernanza Corporativa, Sir Adrian Cadbury, 1992)
(OCDE Principios de Gobernanza Corporativa, 1999 y 2004)

3) Gobernanza Corporativa de la TI
El sistema por el cual se dirige y controla el uso, actual y futuro, de
la TI.

Pgina 9

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

La gobernanza corporativa de la TI implica evaluar y dirigir la
utilizacin de la TI para dar soporte a la organizacin y la
monitorizacin de ese uso para lograr la consecucin de los planes.
Incluye la estrategia y polticas para la utilizacin de la TI en la
organizacin.
(OCDE Principios de Gobernanza Corporativa, 1999 y 2004)

4) Competente
Que posee la combinacin del conocimiento, las habilidades
formales e informales, la formacin, los atributos de experiencia y de
comportamiento, necesarios para realizar una tarea o rol

5) Administrador
Miembro del cuerpo de gobierno ms alto de una organizacin.
Incluye propietarios, miembros del comit de direccin, socios, altos
ejecutivos o similares, y los mandos autorizados por leyes o
regulaciones.

6) Conducta Humana
La comprensin de las interacciones entre los seres humanos y otros
elementos de un sistema con la intencin de asegurar el bienestar de
las personas y el rendimiento de los sistemas. La conducta humana
incluye la cultura, necesidades y aspiraciones de las personas como
individuos y como grupos.

NOTA: Con respecto a la TI, hay numerosos grupos o comunidades

de personas, cada una con sus propias necesidades, aspiraciones y
comportamientos. Por ejemplo, las personas que utilizan los sistemas
de informacin podran mostrar necesidades relacionadas con la
accesibilidad y ergonoma, as como la disponibilidad y el
Pgina 10

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

desempeo. Personas cuya funcin es cambiante debido a la
utilizacin de la TI pueden plantear necesidades relacionadas con
la comunicacin, formacin y tranquilidad. Personas involucradas
en

la

construccin

operacin

de la

TI podran mostrar

necesidades relativas a las condiciones de trabajo y al desarrollo de

habilidades.

7) Tecnologa de la Informacin (TI)

Recursos necesarios para adquirir, procesar, almacenar y difundir
informacin. Este trmino tambin incluye la "Tecnologa de la
Comunicacin (TC)" y el trmino compuesto "Tecnologa de
Informacin y Comunicacin (TIC)".

8) Inversin
Asignacin de recursos humanos, financieros y otros, con el fin
de alcanzar los objetivos establecidos y otros beneficios.

9) Gestin
El sistema de controles y los procesos necesarios para alcanzar los
objetivos estratgicos establecidos por el rgano de gobierno de la
organizacin. La gestin est sujeta a la direccin marcada por la
poltica y seguimiento establecidos por medio de la gobernanza
corporativa.

10) Organizacin
Cualquier empresa, corporacin, gobierno, organizacin sin nimo
de lucro u otra entidad legalmente constituida que cuenta
administracin
clubes,

sociedades,

misin

propias,

agencias

incluyendo

con

asociaciones,

gubernamentales, empresas que

cotizan en bolsa, empresas privadas y empresas unipersonales.

Pgina 11

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

11) Poltica
Declaraciones claras y medibles de la direccin y conductas
preferidas para condicionar las decisiones que se toman dentro de la
organizacin.

12) Propuesta
Compilacin de los beneficios, costes, riesgos, oportunidades y
otros factores aplicables a las decisiones a adoptar.
Incluye casos de negocio.

13) Recursos
Personas,

procedimientos,

software,

informacin,

equipos,

consumibles, infraestructura, capital y fondos de maniobra, y tiempo.

14) Riesgo
Efecto

de la incertidumbre sobre la

consecucin

de los

objetivos(Gua ISO 73 , 2002)

NOTA: Un efecto es una desviacin, positiva y/o negativa, respecto

a lo previsto.

15) Gestin de Riesgo

Actividades coordinadas para dirigir y controlar una organizacin
con respecto al riesgo
(Gua ISO 73 , 2002)

16) Parte Interesada (Stakeholder)

Persona u organizacin que puede afectar, estar afectada, o
percibir que est afectada por una decisin o actividad
(Gua ISO 73 , 2002)

Pgina 12

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

17) Estrategia
Plan global de desarrollo de una organizacin que describe el uso
eficaz de recursos en apoyo a las actividades futuras de la
organizacin. Comprende el establecimiento de objetivos y la
propuesta de iniciativas de actuacin.

18) Uso de la TI
La planificacin, diseo, desarrollo, despliegue, operacin, gestin y
aplicacin de la TI para satisfacer las necesidades del negocio.
Incluye la demanda y la prestacin de servicios de TI por las
unidades internas de negocio, unidades especializadas de TI, o
proveedores externos.
(Gobierno de las TIC ISO/IEC 38500, 2010)

II.

MARCO PARA LA GOBERNANZA CORPORATIVA DE LA TI

1. Principios
Esta seccin establece seis principios de gobernanza corporativa de la TI.
Los principios son aplicables a la mayora de las organizaciones.

Los principios expresan el comportamiento deseable para orientar la toma de

decisiones. La definicin de cada principio se refiere a lo que debera
suceder, pero no prescribe cmo, cundo o por quin se pondra en prctica,
ya que estos aspectos dependen de la naturaleza de la organizacin que los
implanta. Los administradores deberan exigir la aplicacin de dichos
principios en su organizacin.
(International Standard ISO/IEC 38500, 2008)

Pgina 13

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

A. Principio 1: Responsabilidad
Los individuos y grupos dentro de la organizacin comprenden y aceptan sus
responsabilidades con respecto a la demanda y al suministro de productos y
servicios de la TI. Quienes tienen la responsabilidad sobre las actuaciones tambin
tienen la autoridad para llevarlas a cabo.

B. Principio 2: Estrategia
La estrategia de negocio de la organizacin tiene en cuenta las capacidades actuales
y futuras de la TI; los planes estratgicos de la TI satisfacen las necesidades actuales
y futuras de la estrategia de negocio.

C. Principio 3: Adquisicin
Las adquisiciones de TI se hacen por razones vlidas, sobre la base de anlisis
adecuados y continuados, a travs de decisiones claras y transparentes. Hay un
adecuado equilibrio entre beneficios, oportunidades, costes y riesgos, tanto a corto
como a largo plazo.

D. Principio 4: Desempeo
La TI satisface el propsito de dar soporte a la organizacin, mediante la provisin
de servicios, niveles de servicio y calidad de servicio requeridos para alcanzar los
requisitos presentes y futuros del negocio.

E. Principio 5: Cumplimiento
La TI cumple con toda la legislacin y normativas obligatorias. Las polticas y
prcticas estn claramente definidas, implantadas y se hacen cumplir.

F. Principio 6: Conducta Humana

Las polticas de TI, prcticas y decisiones relacionadas con la TI muestran respeto
hacia la conducta humana, incluyendo las necesidades actuales y futuras de todas
las personas implicadas en el proceso.

Pgina 14

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

2. Modelo
Los administradores deberan gobernar la TI a travs de tres tareas
principales:
a) evaluar el uso actual y futuro de la TI;
b) dirigir la preparacin y ejecucin de planes y polticas para asegurar que
el uso de la TI satisface los objetivos de la organizacin;
c) monitorizar el cumplimiento de las polticas y el desempeo con relacin
a lo planificado.

La figura 1 muestra el modelo de gobernanza de la TI en un ciclo de tipo

Evaluar-Dirigir-Monitorizar. El texto que sigue a la figura 1 explica los
elementos y las relaciones representados.

Figura 1 - ModelodelaGobernanzaCorporativadelaTI

(International Standard ISO/IEC 38500, 2008)

Pgina 15

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Evaluar
Los administradores deberan valorar la situacin y formular juicios sobre el uso actual y
futuro de la TI, incluyendo estrategias, propuestas y acuerdos de prestacin de servicios
(ya sean internos, externos, o ambos).

Al evaluar el uso de la TI, los administradores deberan considerar las presiones externas o
internas que actan sobre el negocio como pueden ser los cambios tecnolgicos, las
tendencias econmicas y sociales y las influencias polticas. Dado que dichas influencias
cambian, los administradores deberan acometer evaluaciones de forma continua.

Los administradores tambin deberan tener en cuenta las necesidades actuales y futuras
del negocio, los objetivos organizativos actuales y futuros que deben alcanzar, tales como
el mantenimiento de la ventaja competitiva, as como los objetivos especficos de las
estrategias y propuestas que estn evaluando.

Dirigir
Los administradores deberan asignar

responsabilidades

y dirigir la preparacin e

implantacin de planes y polticas.

Los planes deberan fijar el rumbo de inversiones en proyectos y operaciones de TI. Las
polticas deberan establecer una conducta responsable en el uso de la TI.

Los administradores deberan asegurar que la transicin de los proyectos a un estado

operativo se planifique y gestione adecuadamente, teniendo en cuenta el impacto en el
negocio y las prcticas operativas, y los sistemas e infraestructura de TI existentes.

Los administradores deberan fomentar una cultura de gobernanza de la TI en su

organizacin, exigiendo a la direccin que suministre puntualmente la informacin
adecuada, con el fin de cumplir con los objetivos establecidos y ajustarse a los seis
principios de gobernanza.
Si fuera necesario, los administradores deberan controlar la presentacin de propuestas a
aprobar para responder a las necesidades identificadas.
Pgina 16

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Monitorizar
Los administradores deberan monitorizar el desempeo de la TI, a travs de sistemas de
medicin adecuados. Deberan asegurarse de que dicho desempeo est en conformidad
con los planes, en particular con respecto a los objetivos de negocio.

Los administradores deberan tambin asegurar que la TI cumple con las obligaciones
externas (normativa, legislacin, derecho consuetudinario, contractuales) y las prcticas
internas de trabajo.

NOTA: La responsabilidad sobre aspectos especficos de la TI dentro de la organizacin

puede ser delegada a la direccin. Sin embargo, son los administradores quienes retienen
la responsabilidad final (imputabilidad) en la entrega y uso eficaz, eficiente y aceptable de
la TI, la cual no puede ser delegada.

III.

DIRECTRICES PARA LA GOBERNANZA CORPORATIVA DE LA TI

1. Observaciones Generales
Los siguientes apartados ofrecen orientacin sobre los principios
generales de la gobernanza de la TI y las buenas prcticas necesarias
para implantacin de dichos principios.

Las prcticas descritas no son exhaustivas pero proporcionan un punto de

partida para la discusin sobre las responsabilidades de los administradores
con relacin a la gobernanza de la TI. Es decir, que las prcticas descritas
son una gua orientativa para la gobernanza de la TI.

Es responsabilidad de cada organizacin, de manera individual, la

identificacin de las medidas necesarias para imple- mentar los principios,
considerando debidamente la naturaleza de la organizacin y el anlisis
adecuado de los riesgos y oportunidades en el uso de la TI.
Pgina 17

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

A modo ilustrativo, las prcticas descritas son aplicables a la mayora de
organizaciones (grandes o pequeas) en la mayora de las ocasiones.
Cualquier variacin debera ser considerada adecuadamente.

2. Principio 1: Responsabilidad
Evaluar
Los administradores deberan evaluar cules son las opciones existentes a la hora de asignar
responsabilidades relacionadas con el uso actual y futuro de la TI en la organizacin. Al
evaluar dichas opciones, los administradores deberan buscar el uso eficaz, eficiente y
aceptable de la TI, en apoyo de los actuales y futuros objetivos de negocio.
Los administradores deberan evaluar la competencia de aquellos a quienes dieron la
responsabilidad de tomar decisiones sobre la TI. En general, estas personas deberan ser
directores de negocio que tambin son responsables de los objetivos y el desempeo
organizativos, asistidos por expertos en TI que comprenden el valor y los procesos de
negocio.

Dirigir

Los administradores deberan dirigir con el objetivo de que los planes se lleven a cabo de
acuerdo con las responsabilidades asignadas a TI.

Los administradores deberan dirigir con el fin de recibir la informacin que necesitan para
cumplir con sus responsabilidades y rendir cuentas.

Monitorizar

Los administradores deberan monitorizar que se hayan establecido los mecanismos

adecuados de gobernanza de la TI apropiados.

Pgina 18

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Asimismo, deberan monitorizar que aqullos a los que se les hayan asignado
responsabilidades, las entienden y las asumen.

Los administradores deberan monitorizar el desempeo de aquellos a los que se les hayan
asignado responsabilidades relacionadas con la gobernanza de la TI (por ejemplo, las
personas que forman parte de comits de direccin o presentan propuestas a los
administradores).
(International Standard ISO/IEC 38500, 2008)

3. Principio 2: Estrategia
Evaluar
Los administradores deberan evaluar la evolucin de la TI y los procesos de negocio para
asegurar que la TI proporcionar apoyo a las futuras necesidades de la organizacin.

Al examinar los planes y las polticas, los administradores deberan evaluar las actividades
de TI para asegurar que estn alineadas con los objetivos de la organizacin ante
circunstancias de cambio, que tienen en cuenta las mejores prcticas y satisfacen otros
requisitos de los principales interesados.

Los administradores deberan asegurar que el uso de la TI est sujeto a una adecuada
evaluacin y valoracin del riesgo, tal como se describe en las normas internacionales y
nacionales ms relevantes.

Dirigir

Los administradores deberan dirigir la creacin y uso de planes y polticas que aseguren
que la organizacin se beneficia del desarrollo en la TI.
Los administradores tambin deberan alentar la presentacin de propuestas de usos
innovadores de la TI, que permitan a la organizacin responder a nuevas oportunidades o
desafos, mejorando los actuales procesos de negocio o emprendiendo otros nuevos.
Pgina 19

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Monitorizar

Los administradores deberan monitorizar el progreso de las propuestas de TI aprobadas,

para asegurar que alcanzan los objetivos en los plazos establecidos, utilizando los recursos
asignados.

Los administradores deberan monitorizar el uso de la TI para asegurar que se alcanzan los
beneficios esperados.
(International Standard ISO/IEC 38500, 2008)

4. Principio 3: Adquisicin
Evaluar
Los administradores deberan evaluar cules son las opciones para proveerse de la TI que
necesitan para desarrollar las propuestas aprobadas, equilibrando los riesgos y el valor
econmico de las inversiones propuestas.
Dirigir

Los administradores deberan dirigir para que los activos de TI (sistemas e infraestructura)
se adquieran de manera apropiada, incluyendo la elaboracin de documentacin adecuada,
al tiempo que se asegura que se obtienen las capacidades requeridas.

Los administradores deberan dirigir para que los acuerdos de provisin (ya sean internos o
externos) soporten las necesidades de negocio de la organizacin.

Monitorizar

Los administradores deberan monitorizar las inversiones en TI para asegurar que se

provean las capacidades requeridas.

Pgina 20

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Los administradores deberan monitorizar hasta qu punto la organizacin y los
proveedores mantienen y comparten el propsito de la organizacin al realizar una
adquisicin de TI.
(International Standard ISO/IEC 38500, 2008)

5. Principio 4: Desempeo
Evaluar
Los administradores deberan evaluar los medios propuestos por la direccin para asegurar
que la TI sustentar los procesos de negocio con las capacidades y aptitudes requeridas.
Estas propuestas deberan incluir la continuidad de la operacin normal de la organizacin
y la gestin de los riesgos asociados al uso de la TI.

Los administradores deberan evaluar los riesgos para la continuidad del negocio derivados
de las actividades de TI.

Los administradores deberan evaluar los riesgos para la integridad de la informacin y la

proteccin de los activos de TI, incluyendo la propiedad intelectual y la memoria colectiva
de la organizacin.

Los administradores deberan evaluar opciones para asegurar la eficaz y oportuna toma de
decisiones relativas al uso de la TI para alcanzar los objetivos del negocio.
Los administradores deberan evaluar peridicamente la eficacia y el desempeo del
sistema de gobernanza de la TI de la organizacin.

Dirigir

Los administradores deberan asegurar la asignacin de recursos suficientes para que la TI

satisfaga las necesidades de la organizacin, de acuerdo con las prioridades acordadas y las
restricciones presupuestarias.

Pgina 21

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Los administradores deberan dirigir a los responsables para asegurar que, cuando sea
necesario por razones de negocio, la TI proporciona soporte al negocio con informacin
actualizada, correcta y protegida ante prdidas o usos inadecuados.

Monitorizar

Los administradores deberan monitorizar el grado con el que la TI sustenta el negocio.

Los administradores deberan monitorizar el grado con el cual los recursos y presupuestos
asignados son priorizados de acuerdo con los objetivos de negocio de la organizacin.

Los administradores deberan monitorizar cmo est de extendido el seguimiento de

polticas tales como las de precisin de los datos y uso eficiente de la TI.
(International Standard ISO/IEC 38500, 2008)

6. Principio 5: Cumplimiento
Evaluar
Los administradores deberan evaluar peridicamente el grado con el que la TI cumplen
con las obligaciones relevantes (normativas, legislativas, de derecho consuetudinario,
contractuales), las polticas internas, las normas y directrices profesionales.

Los administradores deberan evaluar peridicamente el cumplimiento interno de la

organizacin con su sistema de gobernanza de la TI.

Dirigir

Los administradores deberan dirigir a los responsables para establecer mecanismos

peridicos y rutinarios para asegurar que el uso de la TI cumple con las obligaciones
relevantes (regulatorias, legislativas, de derecho consuetudinario, contractuales), las normas
y polticas establecidas.
Pgina 22

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Los administradores deberan dirigir para que estn establecidas y se hagan cumplir las
polticas que permitan a la organizacin satisfacer sus obligaciones internas en el uso de la
TI.

Los administradores deberan dirigir para que el personal de TI cumpla las directrices
relevantes en materia de desarrollo y conducta profesional.

Los administradores deberan dirigir para que la tica rija todas las acciones relacionadas
con la TI.

Monitorizar

Los administradores deberan monitorizar el cumplimiento y conformidad de la TI

mediante prcticas adecuadas de auditora y emisin de informes, asegurando que las
revisiones sean oportunas, completas y adecuadas para la evaluacin del grado de
satisfaccin del negocio.

Los administradores deberan monitorizar las actividades de la TI, incluyendo la prdida de

informacin y de activos, para asegurar que se cumplen las obligaciones ambientales, de
privacidad, de gestin del conocimiento estratgico, conservacin de la memoria colectiva
de la organizacin y otras obligaciones.
(International Standard ISO/IEC 38500, 2008)

7. Principio 6: Conducta Humana

Evaluar
Los administradores deberan evaluar las actividades de la TI para asegurar que las
conductas humanas se identifican y se consideran adecuadamente.

Pgina 23

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Dirigir
Los administradores deberan dirigir para que las actividades de TI sean consistentes con la
conducta humana identificada.

Los administradores deberan dirigir para que los riesgos, oportunidades, problemas y
preocupaciones relacionados con el negocio puedan identificarse y sean notificados por
cualquier individuo en cualquier momento. Estos riesgos deberan ser gestionados de
acuerdo con las polticas y procedimientos publicados, y comunicados a los principales
responsables de tomar decisiones.

Monitorizar
Los administradores deberan monitorizar las actividades de TI para asegurar que las
conductas humanas identificadas siguen siendo pertinentes y que se les presta una atencin
adecuada.
Los administradores deberan monitorizar las prcticas de trabajo para asegurar que sean
consistentes con el uso apropiado de la TI.
(International Standard ISO/IEC 38500, 2008)

Pgina 24

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Conclusiones
La implementacin del gobierno de TI es un paso muy importante para todo aquel
corporativo que desea maximizar sus beneficios y anticiparse al mercado.
Con la implementacin del gobierno de TI no existen proyectos de tecnologa
aislados, sino proyectos del negocio con soporte de TI.
Una vez ms, el gobierno de TI no debe verse como un tema de tecnologa, sera
ms adecuado pensarlo y adoptarlo como un gobierno del negocio con soporte de
TI.
El gobierno de TI no es algo que podamos evadir, la evolucin tecnolgica y su
adhesin en las prcticas organizacionales lo hacen inevitable; simplemente, es
decisin nuestra adecuarlo a las necesidades particulares del negocio, buscando
siempre alcanzar los objetivos estratgicos y el mejor desempeo de nuestros
procesos e inversiones.

Pgina 25

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Bibliografa

ISO/IEC. (2008). INTERNATIONAL STANDARD ISO/IEC 38500. Geneva: ISO

office.
Comit Tcnico AEN/CTN 71. (2013). Gobernanza Corporativa de la Tecnologa
de la Informacin. Madrid: AENOR.
Manuel Bellester. (2010). Gobierno de las TIC ISO/IEC 38500. ISACA JOURNAL,
Volumen 1, 4. 2014, Junio, 22, De ISACA Base de datos.
Informe de la Comisin sobre Aspectos Financieros de la Gobernanza Corporativa,
Sir AdrianCadbury, London, 1992 ISBN 0 85258 913 1
OCDE Principios de Gobernanza Corporativa, OCDE, 1999 y 2004
Gua ISO 73 2002 Gestin del riesgo. Vocabulario

Pgina 26

GOBIERNO CORPORATIVO DE TI ISO/IEC 38500

Pgina 27