SlideShare una empresa de Scribd logo
1 de 28
Descargar para leer sin conexión
Mis documentos
ISO/IEC 38500
GOBERNANZA CORPORATIVA DE LA
TECNOLOGÍA DE LA INFORMACIÓN
ISLACHIN AVENDAÑO EDISON
PORRAS RIOS HELMER
“La mejor guía para conseguir desarrollar el Negocio
basándose en las Tecnologías de la Información”
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 1
INDICE
INTRODUCCIÓN .............................................................................................................................. 2
I. ALCANCE, APLICACIÓN Y OBJETIVOS.......................................................................... 5
1. Alcance ................................................................................................................................... 5
2. Aplicación............................................................................................................................... 6
3. Objetivos ................................................................................................................................ 6
4. Beneficios de la Utilización de esta Norma ......................................................................... 6
a. General............................................................................................................................... 6
b. Cumplimiento de la Organización................................................................................... 7
c. Desempeño de la Organización........................................................................................ 8
5. Documentos de Referencia ................................................................................................... 9
6. Definiciones............................................................................................................................ 9
1) Aceptable............................................................................................................................ 9
2) Gobernanza Corporativa.................................................................................................. 9
3) Gobernanza Corporativa de la TI ................................................................................... 9
4) Competente ...................................................................................................................... 10
5) Administrador ................................................................................................................. 10
6) Conducta Humana .......................................................................................................... 10
7) Tecnología de la Información (TI)................................................................................. 11
8) Inversión........................................................................................................................... 11
9) Gestión.............................................................................................................................. 11
11) Política.......................................................................................................................... 12
12) Propuesta...................................................................................................................... 12
13) Recursos ....................................................................................................................... 12
14) Riesgo ........................................................................................................................... 12
15) Gestión de Riesgo ........................................................................................................ 12
16) Parte Interesada (Stakeholder).................................................................................. 12
17) Estrategia ..................................................................................................................... 13
18) Uso de la TI.................................................................................................................. 13
II. MARCO PARA LA GOBERNANZA CORPORATIVA DE LA TI.............................. 13
1. Principios ............................................................................................................................. 13
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 2
A. Principio 1: Responsabilidad.......................................................................................... 14
B. Principio 2: Estrategia .................................................................................................... 14
C. Principio 3: Adquisición ................................................................................................. 14
D. Principio 4: Desempeño .................................................................................................. 14
E. Principio 5: Cumplimiento ............................................................................................. 14
F. Principio 6: Conducta Humana ..................................................................................... 14
2. Modelo.................................................................................................................................. 15
Figura 1 - ModelodelaGobernanzaCorporativadelaTI........................................................................ 15
III. DIRECTRICES PARA LA GOBERNANZA CORPORATIVA DE LA TI.................. 17
1. Observaciones Generales.................................................................................................... 17
2. Principio 1: Responsabilidad.............................................................................................. 18
3. Principio 2: Estrategia ........................................................................................................ 19
4. Principio 3: Adquisición ..................................................................................................... 20
5. Principio 4: Desempeño ...................................................................................................... 21
6. Principio 5: Cumplimiento ................................................................................................. 22
7. Principio 6: Conducta Humana ......................................................................................... 23
Conclusiones ..................................................................................................................................... 25
Bibliografía ....................................................................................................................................... 26
INTRODUCCIÓN
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 3
El objetivo de esta norma es proporcionar un marco de principios para los administradores
cuando evalúen, dirijan y supervisen el uso de la Tecnología de la Información (TI) en sus
organizaciones.
La mayoría de las organizaciones utilizan la TI como herramienta fundamental para el
negocio, y pocas pueden funcionar eficazmente sin ella. La TI es también un factor
importante en los planes futuros de negocio de muchas organizaciones.
Los gastos en TI pueden representar una parte importante de los gastos de una organización
en recursos financieros y humanos. Sin embargo, a menudo no se produce el retorno
esperado de esta inversión y el impacto negativo en las organizaciones puede ser
importante.
Las principales razones de estos resultados negativos son dar mayor importancia a la
tecnología, finanzas y aspectos de la planificación de las actividades de TI, que al contexto
global del uso de la TI en el negocio.
Esta norma proporciona un marco eficaz para la gobernanza de la TI para ayudar a las
personas del máximo nivel de las organizaciones a comprender y cumplir con sus
obligaciones legales, reglamentarias y éticas respecto al uso que, en sus organizaciones, se
hace de la TI.
El marco incluye definiciones, principios y un modelo.
Esta norma se ajusta a la definición de gobernanza corporativa publicada como un informe
de la Comisión sobre los aspectos financieros de la gobernanza corporativa (el Informe
Cadbury) en 1992. El Informe Cadbury también aportó la definición básica de la
gobernanza corporativa en los Principios de gobernanza corporativa de la OCDE de 1999
(revisados en 2004). Se anima a los usuarios de esta norma a familiarizarse con el Informe
Cadbury y los Principios de gobernanza corporativa de la OCDE.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 4
La gobernanza es distinta de la gestión y, para evitar cualquier confusión, los dos conceptos
se definen claramente en la presente norma.
Si bien esta norma está dirigida principalmente al cuerpo de gobierno, quien a su vez puede
determinar que ciertas acciones sean realizadas por la dirección de la organización, también
permite que, en algunas organizaciones (normalmente las más pequeñas), los miembros del
cuerpo de gobierno también puedan desempeñar funciones claves en la gestión. De esta
manera, se asegura que la norma sea aplicable para todas las organizaciones, desde las más
pequeñas a las más grandes, independientemente del propósito, diseño y estructura
societaria.
Esta norma también tiene por objeto informar y orientar a los involucrados en el diseño e
implementación del sistema de gestión sobre políticas, procesos y estructuras que sostienen
a la gobernanza.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 5
GOBERNANZA CORPORATIVA DE LA TECNOLOGIA DE INFORMACION
I. ALCANCE, APLICACIÓN Y OBJETIVOS
1. Alcance
Esta norma proporciona principios orientadores para los administradores de
las organizaciones (incluyendo propietarios, miembros del consejo,
directivos, socios, altos ejecutivos o similares) sobre el uso eficaz, eficiente
y aceptable de la Tecnología de la Información (TI) en sus organizaciones.
Esta norma se aplica a la gobernanza de los procesos (y decisiones) de
gestión relativos a los servicios de información y comunicación utilizados
por una organización. Estos procesos podrían ser controlados tanto por
especialistas en TI de la organización como por proveedores de servicios
externos, o unidades de negocio dentro de la organización.
También proporciona orientación a los que asesoran, informan, o
ayudan a los administradores, entre los que se incluyen:
 altos directivos;
 miembros de los grupos que monitorizan los recursos dentro de la
organización;
 especialistas externos, técnicos o de negocio, como pueden ser
jurídicos o contables; asociaciones comerciales minoristas u
organismos profesionales;
 fabricantes de hardware, software, comunicaciones y otros productos
de TI;
 proveedores de servicios internos y externos (incluidos consultores);
 auditores de TI.
(International Standard ISO/IEC 38500, 2008)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 6
2. Aplicación
Esta norma es aplicable a todas las organizaciones, ya sean empresas
públicas o privadas, entidades gubernamentales y entidades sin ánimo de
lucro. La norma es asimismo aplicable a organizaciones de todos los
tamaños, desde las más pequeñas hasta las más grandes, con independencia
de su grado de utilización de la TI.
(International Standard ISO/IEC 38500, 2008)
3. Objetivos
El propósito de esta norma es promover el uso eficaz, eficiente y aceptable
de la TI en todas las organizaciones por medio de:
 asegurar a las partes interesadas (incluidos clientes, accionistas y
empleados) que si siguen la norma, pueden con- fiar en la
gobernanza corporativa de la TI dentro de la organización;
 informar y orientar a los administradores sobre el gobierno del
uso de la TI en su organización; y
 proporcionar una base de referencia para la evaluación objetiva
de la gobernanza corporativa de la TI.
(International Standard ISO/IEC 38500, 2008)
4. Beneficios de la Utilización de esta Norma
a. General
Esta norma establece principios para el uso eficaz, eficiente y
aceptable de la TI. Asegurando a aquellas organizaciones que el
seguimiento de estos principios ayudará a sus administradores a
sopesar los riesgos y fomentar oportunidades derivadas de la
utilización de la TI.
Esta norma establece un modelo de gobernanza de la TI. El
riesgo de que los administradores no cumplan con sus
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 7
obligaciones se mitiga prestando la debida atención al modelo y
aplicando correctamente los principios.
La norma proporciona un vocabulario para la gobernanza de la TI.
(International Standard ISO/IEC 38500, 2008)
b. Cumplimiento de la Organización
La adecuada gobernanza corporativa de la TI puede ayudar a los
administradores a asegurar el cumplimiento con las obligaciones
(reglamentarias, legislativas, de derecho consuetudinario y
contractual) relativas al uso aceptable de la TI.
Sistemas inadecuados de TI pueden exponer a los
administradores al riesgo de no cumplir con la legislación. Por
ejemplo, en algunas jurisdicciones, los administradores podrían ser
personalmente responsables si un sistema contable inadecuado tiene
como resultado el impago de impuestos.
Los procesos relacionados con la TI incorporan riesgos específicos
que deben abordarse adecuadamente. Por ejemplo, los
administradores podrían ser considerados responsables de
infracciones relativas a:
 normas de seguridad
 legislación sobre la privacidad
 legislación sobre correo basura
 legislación sobre las prácticas comerciales
 derechos de propiedad intelectual, incluidos los acuerdos de
licencia de software
 requisitos de retención de información
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 8
 leyes y reglamentaciones ambientales
 legislación sobre salud y seguridad
 legislación sobre accesibilidad
 normas de responsabilidad social
Utilizando las directrices de esta norma, es más probable que los
administradores cumplan con sus obligaciones.
(International Standard ISO/IEC 38500, 2008)
c. Desempeño de la Organización
La adecuada gobernanza corporativa de la TI ayuda a los
administradores a asegurar que el uso de la TI contribuye
positivamente al desempeño de la organización, mediante:
 una implementación y explotación adecuada de los activos de
la TI
 claridad de la responsabilidad e imputabilidad tanto para el
uso como para la provisión de la TI para el logro de los
objetivos de la organización
 la continuidad y sostenibilidad del negocio
 la alineación de la TI con las necesidades del negocio
 la asignación eficiente de recursos
 la innovación en los servicios, mercados, y negocios
 las buenas prácticas en las relaciones con las partes
interesadas
 la reducción de los costes de una organización
 la consecución real de los beneficios aprobados para cada
inversión en TI
(International Standard ISO/IEC 38500, 2008)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 9
5. Documentos de Referencia
En esta norma se hace referencia a los siguientes documentos:
1. Informe de la Comisión sobre Aspectos Financieros de la
Gobernanza Corporativa, Sir AdrianCadbury, London, 1992 ISBN 0
85258 913 1
2. OCDE Principios de Gobernanza Corporativa, OCDE, 1999 y 2004
3. Guía ISO 73 2002 Gestión del riesgo. Vocabulario
(Gobernanza Corporativa de la Tecnología de la Información, 2013)
6. Definiciones
A los efectos de la presente norma, se aplican las siguientes definiciones.
Se espera que la organización adapte la terminología utilizada en esta norma
a sus circunstancias o estructura.
1) Aceptable
Satisface las expectativas, que se han podido expresar como
razonables o justificadas de las partes interesadas.
2) Gobernanza Corporativa
El sistema por el cual se dirigen y controlan las organizaciones.
(Informe de la Comisión sobre Aspectos Financieros de la
Gobernanza Corporativa, Sir Adrian Cadbury, 1992)
(OCDE Principios de Gobernanza Corporativa, 1999 y 2004)
3) Gobernanza Corporativa de la TI
El sistema por el cual se dirige y controla el uso, actual y futuro, de
la TI.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 10
La gobernanza corporativa de la TI implica evaluar y dirigir la
utilización de la TI para dar soporte a la organización y la
monitorización de ese uso para lograr la consecución de los planes.
Incluye la estrategia y políticas para la utilización de la TI en la
organización.
(OCDE Principios de Gobernanza Corporativa, 1999 y 2004)
4) Competente
Que posee la combinación del conocimiento, las habilidades
formales e informales, la formación, los atributos de experiencia y de
comportamiento, necesarios para realizar una tarea o rol
5) Administrador
Miembro del cuerpo de gobierno más alto de una organización.
Incluye propietarios, miembros del comité de dirección, socios, altos
ejecutivos o similares, y los mandos autorizados por leyes o
regulaciones.
6) Conducta Humana
La comprensión de las interacciones entre los seres humanos y otros
elementos de un sistema con la intención de asegurar el bienestar de
las personas y el rendimiento de los sistemas. La conducta humana
incluye la cultura, necesidades y aspiraciones de las personas como
individuos y como grupos.
NOTA: Con respecto a la TI, hay numerosos grupos o comunidades
de personas, cada una con sus propias necesidades, aspiraciones y
comportamientos. Por ejemplo, las personas que utilizan los sistemas
de información podrían mostrar necesidades relacionadas con la
accesibilidad y ergonomía, así como la disponibilidad y el
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 11
desempeño. Personas cuya función es cambiante debido a la
utilización de la TI pueden plantear necesidades relacionadas con
la comunicación, formación y tranquilidad. Personas involucradas
en la construcción y operación de la TI podrían mostrar
necesidades relativas a las condiciones de trabajo y al desarrollo de
habilidades.
7) Tecnología de la Información (TI)
Recursos necesarios para adquirir, procesar, almacenar y difundir
información. Este término también incluye la "Tecnología de la
Comunicación (TC)" y el término compuesto "Tecnología de
Información y Comunicación (TIC)".
8) Inversión
Asignación de recursos humanos, financieros y otros, con el fin
de alcanzar los objetivos establecidos y otros beneficios.
9) Gestión
El sistema de controles y los procesos necesarios para alcanzar los
objetivos estratégicos establecidos por el órgano de gobierno de la
organización. La gestión está sujeta a la dirección marcada por la
política y seguimiento establecidos por medio de la gobernanza
corporativa.
10) Organización
Cualquier empresa, corporación, gobierno, organización sin ánimo
de lucro u otra entidad legalmente constituida que cuenta con
administración y misión propias, incluyendo asociaciones,
clubes, sociedades, agencias gubernamentales, empresas que
cotizan en bolsa, empresas privadas y empresas unipersonales.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 12
11) Política
Declaraciones claras y medibles de la dirección y conductas
preferidas para condicionar las decisiones que se toman dentro de la
organización.
12) Propuesta
Compilación de los beneficios, costes, riesgos, oportunidades y
otros factores aplicables a las decisiones a adoptar.
Incluye casos de negocio.
13) Recursos
Personas, procedimientos, software, información, equipos,
consumibles, infraestructura, capital y fondos de maniobra, y tiempo.
14) Riesgo
Efecto de la incertidumbre sobre la consecución de los
objetivos(Guía ISO 73 , 2002)
NOTA: Un efecto es una desviación, positiva y/o negativa, respecto
a lo previsto.
15) Gestión de Riesgo
Actividades coordinadas para dirigir y controlar una organización
con respecto al riesgo
(Guía ISO 73 , 2002)
16) Parte Interesada (Stakeholder)
Persona u organización que puede afectar, estar afectada, o
percibir que esté afectada por una decisión o actividad
(Guía ISO 73 , 2002)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 13
17) Estrategia
Plan global de desarrollo de una organización que describe el uso
eficaz de recursos en apoyo a las actividades futuras de la
organización. Comprende el establecimiento de objetivos y la
propuesta de iniciativas de actuación.
18) Uso de la TI
La planificación, diseño, desarrollo, despliegue, operación, gestión y
aplicación de la TI para satisfacer las necesidades del negocio.
Incluye la demanda y la prestación de servicios de TI por las
unidades internas de negocio, unidades especializadas de TI, o
proveedores externos.
(Gobierno de las TIC ISO/IEC 38500, 2010)
II. MARCO PARA LA GOBERNANZA CORPORATIVA DE LA TI
1. Principios
Esta sección establece seis principios de gobernanza corporativa de la TI.
Los principios son aplicables a la mayoría de las organizaciones.
Los principios expresan el comportamiento deseable para orientar la toma de
decisiones. La definición de cada principio se refiere a lo que debería
suceder, pero no prescribe cómo, cuándo o por quién se pondría en práctica,
ya que estos aspectos dependen de la naturaleza de la organización que los
implanta. Los administradores deberían exigir la aplicación de dichos
principios en su organización.
(International Standard ISO/IEC 38500, 2008)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 14
A. Principio 1: Responsabilidad
Los individuos y grupos dentro de la organización comprenden y aceptan sus
responsabilidades con respecto a la demanda y al suministro de productos y
servicios de la TI. Quienes tienen la responsabilidad sobre las actuaciones también
tienen la autoridad para llevarlas a cabo.
B. Principio 2: Estrategia
La estrategia de negocio de la organización tiene en cuenta las capacidades actuales
y futuras de la TI; los planes estratégicos de la TI satisfacen las necesidades actuales
y futuras de la estrategia de negocio.
C. Principio 3: Adquisición
Las adquisiciones de TI se hacen por razones válidas, sobre la base de análisis
adecuados y continuados, a través de decisiones claras y transparentes. Hay un
adecuado equilibrio entre beneficios, oportunidades, costes y riesgos, tanto a corto
como a largo plazo.
D. Principio 4: Desempeño
La TI satisface el propósito de dar soporte a la organización, mediante la provisión
de servicios, niveles de servicio y calidad de servicio requeridos para alcanzar los
requisitos presentes y futuros del negocio.
E. Principio 5: Cumplimiento
La TI cumple con toda la legislación y normativas obligatorias. Las políticas y
prácticas están claramente definidas, implantadas y se hacen cumplir.
F. Principio 6: Conducta Humana
Las políticas de TI, prácticas y decisiones relacionadas con la TI muestran respeto
hacia la conducta humana, incluyendo las necesidades actuales y futuras de todas
las “personas implicadas en el proceso”.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 15
2. Modelo
Los administradores deberían gobernar la TI a través de tres tareas
principales:
a) evaluar el uso actual y futuro de la TI;
b) dirigir la preparación y ejecución de planes y políticas para asegurar que
el uso de la TI satisface los objetivos de la organización;
c) monitorizar el cumplimiento de las políticas y el desempeño con relación
a lo planificado.
La figura 1 muestra el modelo de gobernanza de la TI en un ciclo de tipo
Evaluar-Dirigir-Monitorizar. El texto que sigue a la figura 1 explica los
elementos y las relaciones representados.
Figura 1 - ModelodelaGobernanzaCorporativadelaTI
(International Standard ISO/IEC 38500, 2008)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 16
Evaluar
Los administradores deberían valorar la situación y formular juicios sobre el uso actual y
futuro de la TI, incluyendo estrategias, propuestas y acuerdos de prestación de servicios
(ya sean internos, externos, o ambos).
Al evaluar el uso de la TI, los administradores deberían considerar las presiones externas o
internas que actúan sobre el negocio como pueden ser los cambios tecnológicos, las
tendencias económicas y sociales y las influencias políticas. Dado que dichas influencias
cambian, los administradores deberían acometer evaluaciones de forma continua.
Los administradores también deberían tener en cuenta las necesidades actuales y futuras
del negocio, los objetivos organizativos actuales y futuros que deben alcanzar, tales como
el mantenimiento de la ventaja competitiva, así como los objetivos específicos de las
estrategias y propuestas que están evaluando.
Dirigir
Los administradores deberían asignar responsabilidades y dirigir la preparación e
implantación de planes y políticas.
Los planes deberían fijar el rumbo de inversiones en proyectos y operaciones de TI. Las
políticas deberían establecer una conducta responsable en el uso de la TI.
Los administradores deberían asegurar que la transición de los proyectos a un estado
operativo se planifique y gestione adecuadamente, teniendo en cuenta el impacto en el
negocio y las prácticas operativas, y los sistemas e infraestructura de TI existentes.
Los administradores deberían fomentar una cultura de gobernanza de la TI en su
organización, exigiendo a la dirección que suministre puntualmente la información
adecuada, con el fin de cumplir con los objetivos establecidos y ajustarse a los seis
principios de gobernanza.
Si fuera necesario, los administradores deberían controlar la presentación de propuestas a
aprobar para responder a las necesidades identificadas.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 17
Monitorizar
Los administradores deberían monitorizar el desempeño de la TI, a través de sistemas de
medición adecuados. Deberían asegurarse de que dicho desempeño esté en conformidad
con los planes, en particular con respecto a los objetivos de negocio.
Los administradores deberían también asegurar que la TI cumple con las obligaciones
externas (normativa, legislación, derecho consuetudinario, contractuales) y las prácticas
internas de trabajo.
NOTA: La responsabilidad sobre aspectos específicos de la TI dentro de la organización
puede ser delegada a la dirección. Sin embargo, son los administradores quienes retienen
la responsabilidad final (imputabilidad) en la entrega y uso eficaz, eficiente y aceptable de
la TI, la cual no puede ser delegada.
III. DIRECTRICES PARA LA GOBERNANZA CORPORATIVA DE LA TI
1. Observaciones Generales
Los siguientes apartados ofrecen orientación sobre los principios
generales de la gobernanza de la TI y las buenas prácticas necesarias
para implantación de dichos principios.
Las prácticas descritas no son exhaustivas pero proporcionan un punto de
partida para la discusión sobre las responsabilidades de los administradores
con relación a la gobernanza de la TI. Es decir, que las prácticas descritas
son una guía orientativa para la gobernanza de la TI.
Es responsabilidad de cada organización, de manera individual, la
identificación de las medidas necesarias para imple- mentar los principios,
considerando debidamente la naturaleza de la organización y el análisis
adecuado de los riesgos y oportunidades en el uso de la TI.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 18
A modo ilustrativo, las prácticas descritas son aplicables a la mayoría de
organizaciones (grandes o pequeñas) en la mayoría de las ocasiones.
Cualquier variación debería ser considerada adecuadamente.
2. Principio 1: Responsabilidad
Evaluar
Los administradores deberían evaluar cuáles son las opciones existentes a la hora de asignar
responsabilidades relacionadas con el uso actual y futuro de la TI en la organización. Al
evaluar dichas opciones, los administradores deberían buscar el uso eficaz, eficiente y
aceptable de la TI, en apoyo de los actuales y futuros objetivos de negocio.
Los administradores deberían evaluar la competencia de aquellos a quienes dieron la
responsabilidad de tomar decisiones sobre la TI. En general, estas personas deberían ser
directores de negocio que también son responsables de los objetivos y el desempeño
organizativos, asistidos por expertos en TI que comprenden el valor y los procesos de
negocio.
Dirigir
Los administradores deberían dirigir con el objetivo de que los planes se lleven a cabo de
acuerdo con las responsabilidades asignadas a TI.
Los administradores deberían dirigir con el fin de recibir la información que necesitan para
cumplir con sus responsabilidades y rendir cuentas.
Monitorizar
Los administradores deberían monitorizar que se hayan establecido los mecanismos
adecuados de gobernanza de la TI apropiados.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 19
Asimismo, deberían monitorizar que aquéllos a los que se les hayan asignado
responsabilidades, las entienden y las asumen.
Los administradores deberían monitorizar el desempeño de aquellos a los que se les hayan
asignado responsabilidades relacionadas con la gobernanza de la TI (por ejemplo, las
personas que forman parte de comités de dirección o presentan propuestas a los
administradores).
(International Standard ISO/IEC 38500, 2008)
3. Principio 2: Estrategia
Evaluar
Los administradores deberían evaluar la evolución de la TI y los procesos de negocio para
asegurar que la TI proporcionará apoyo a las futuras necesidades de la organización.
Al examinar los planes y las políticas, los administradores deberían evaluar las actividades
de TI para asegurar que están alineadas con los objetivos de la organización ante
circunstancias de cambio, que tienen en cuenta las mejores prácticas y satisfacen otros
requisitos de los principales interesados.
Los administradores deberían asegurar que el uso de la TI está sujeto a una adecuada
evaluación y valoración del riesgo, tal como se describe en las normas internacionales y
nacionales más relevantes.
Dirigir
Los administradores deberían dirigir la creación y uso de planes y políticas que aseguren
que la organización se beneficia del desarrollo en la TI.
Los administradores también deberían alentar la presentación de propuestas de usos
innovadores de la TI, que permitan a la organización responder a nuevas oportunidades o
desafíos, mejorando los actuales procesos de negocio o emprendiendo otros nuevos.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 20
Monitorizar
Los administradores deberían monitorizar el progreso de las propuestas de TI aprobadas,
para asegurar que alcanzan los objetivos en los plazos establecidos, utilizando los recursos
asignados.
Los administradores deberían monitorizar el uso de la TI para asegurar que se alcanzan los
beneficios esperados.
(International Standard ISO/IEC 38500, 2008)
4. Principio 3: Adquisición
Evaluar
Los administradores deberían evaluar cuáles son las opciones para proveerse de la TI que
necesitan para desarrollar las propuestas aprobadas, equilibrando los riesgos y el valor
económico de las inversiones propuestas.
Dirigir
Los administradores deberían dirigir para que los activos de TI (sistemas e infraestructura)
se adquieran de manera apropiada, incluyendo la elaboración de documentación adecuada,
al tiempo que se asegura que se obtienen las capacidades requeridas.
Los administradores deberían dirigir para que los acuerdos de provisión (ya sean internos o
externos) soporten las necesidades de negocio de la organización.
Monitorizar
Los administradores deberían monitorizar las inversiones en TI para asegurar que se
provean las capacidades requeridas.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 21
Los administradores deberían monitorizar hasta qué punto la organización y los
proveedores mantienen y comparten el propósito de la organización al realizar una
adquisición de TI.
(International Standard ISO/IEC 38500, 2008)
5. Principio 4: Desempeño
Evaluar
Los administradores deberían evaluar los medios propuestos por la dirección para asegurar
que la TI sustentará los procesos de negocio con las capacidades y aptitudes requeridas.
Estas propuestas deberían incluir la continuidad de la operación normal de la organización
y la gestión de los riesgos asociados al uso de la TI.
Los administradores deberían evaluar los riesgos para la continuidad del negocio derivados
de las actividades de TI.
Los administradores deberían evaluar los riesgos para la integridad de la información y la
protección de los activos de TI, incluyendo la propiedad intelectual y la memoria colectiva
de la organización.
Los administradores deberían evaluar opciones para asegurar la eficaz y oportuna toma de
decisiones relativas al uso de la TI para alcanzar los objetivos del negocio.
Los administradores deberían evaluar periódicamente la eficacia y el desempeño del
sistema de gobernanza de la TI de la organización.
Dirigir
Los administradores deberían asegurar la asignación de recursos suficientes para que la TI
satisfaga las necesidades de la organización, de acuerdo con las prioridades acordadas y las
restricciones presupuestarias.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 22
Los administradores deberían dirigir a los responsables para asegurar que, cuando sea
necesario por razones de negocio, la TI proporciona soporte al negocio con información
actualizada, correcta y protegida ante pérdidas o usos inadecuados.
Monitorizar
Los administradores deberían monitorizar el grado con el que la TI sustenta el negocio.
Los administradores deberían monitorizar el grado con el cual los recursos y presupuestos
asignados son priorizados de acuerdo con los objetivos de negocio de la organización.
Los administradores deberían monitorizar cómo está de extendido el seguimiento de
políticas tales como las de precisión de los datos y uso eficiente de la TI.
(International Standard ISO/IEC 38500, 2008)
6. Principio 5: Cumplimiento
Evaluar
Los administradores deberían evaluar periódicamente el grado con el que la TI cumplen
con las obligaciones relevantes (normativas, legislativas, de derecho consuetudinario,
contractuales), las políticas internas, las normas y directrices profesionales.
Los administradores deberían evaluar periódicamente el cumplimiento interno de la
organización con su sistema de gobernanza de la TI.
Dirigir
Los administradores deberían dirigir a los responsables para establecer mecanismos
periódicos y rutinarios para asegurar que el uso de la TI cumple con las obligaciones
relevantes (regulatorias, legislativas, de derecho consuetudinario, contractuales), las normas
y políticas establecidas.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 23
Los administradores deberían dirigir para que estén establecidas y se hagan cumplir las
políticas que permitan a la organización satisfacer sus obligaciones internas en el uso de la
TI.
Los administradores deberían dirigir para que el personal de TI cumpla las directrices
relevantes en materia de desarrollo y conducta profesional.
Los administradores deberían dirigir para que la ética rija todas las acciones relacionadas
con la TI.
Monitorizar
Los administradores deberían monitorizar el cumplimiento y conformidad de la TI
mediante prácticas adecuadas de auditoría y emisión de informes, asegurando que las
revisiones sean oportunas, completas y adecuadas para la evaluación del grado de
satisfacción del negocio.
Los administradores deberían monitorizar las actividades de la TI, incluyendo la pérdida de
información y de activos, para asegurar que se cumplen las obligaciones ambientales, de
privacidad, de gestión del conocimiento estratégico, conservación de la memoria colectiva
de la organización y otras obligaciones.
(International Standard ISO/IEC 38500, 2008)
7. Principio 6: Conducta Humana
Evaluar
Los administradores deberían evaluar las actividades de la TI para asegurar que las
conductas humanas se identifican y se consideran adecuadamente.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 24
Dirigir
Los administradores deberían dirigir para que las actividades de TI sean consistentes con la
conducta humana identificada.
Los administradores deberían dirigir para que los riesgos, oportunidades, problemas y
preocupaciones relacionados con el negocio puedan identificarse y sean notificados por
cualquier individuo en cualquier momento. Estos riesgos deberían ser gestionados de
acuerdo con las políticas y procedimientos publicados, y comunicados a los principales
responsables de tomar decisiones.
Monitorizar
Los administradores deberían monitorizar las actividades de TI para asegurar que las
conductas humanas identificadas siguen siendo pertinentes y que se les presta una atención
adecuada.
Los administradores deberían monitorizar las prácticas de trabajo para asegurar que sean
consistentes con el uso apropiado de la TI.
(International Standard ISO/IEC 38500, 2008)
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 25
Conclusiones
 La implementación del gobierno de TI es un paso muy importante para todo aquel
corporativo que desea maximizar sus beneficios y anticiparse al mercado.
 Con la implementación del gobierno de TI no existen proyectos de tecnología
aislados, sino proyectos del negocio con soporte de TI.
 Una vez más, el gobierno de TI no debe verse como un tema de tecnología, sería
más adecuado pensarlo y adoptarlo como un gobierno del negocio con soporte de
TI.
 El gobierno de TI no es algo que podamos evadir, la evolución tecnológica y su
adhesión en las prácticas organizacionales lo hacen inevitable; simplemente, es
decisión nuestra adecuarlo a las necesidades particulares del negocio, buscando
siempre alcanzar los objetivos estratégicos y el mejor desempeño de nuestros
procesos e inversiones.
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 26
Bibliografía
 ISO/IEC. (2008). INTERNATIONAL STANDARD ISO/IEC 38500. Geneva: ISO
office.
 Comité Técnico AEN/CTN 71. (2013). Gobernanza Corporativa de la Tecnología
de la Información. Madrid: AENOR.
 Manuel Bellester. (2010). Gobierno de las TIC ISO/IEC 38500. ISACA JOURNAL,
Volumen 1, 4. 2014, Junio, 22, De ISACA Base de datos.
 Informe de la Comisión sobre Aspectos Financieros de la Gobernanza Corporativa,
Sir AdrianCadbury, London, 1992 ISBN 0 85258 913 1
 OCDE Principios de Gobernanza Corporativa, OCDE, 1999 y 2004
 Guía ISO 73 2002 Gestión del riesgo. Vocabulario
GOBIERNO CORPORATIVO DE TI ISO/IEC 38500
Página 27

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Presentacion capitulo 3 Sistemas de Información Organizaciones y Estrategias
Presentacion capitulo 3 Sistemas de Información Organizaciones y EstrategiasPresentacion capitulo 3 Sistemas de Información Organizaciones y Estrategias
Presentacion capitulo 3 Sistemas de Información Organizaciones y Estrategias
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Iso 20000
Iso  20000Iso  20000
Iso 20000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Dimensiones morales de los sistemas de información
Dimensiones morales de los sistemas de informaciónDimensiones morales de los sistemas de información
Dimensiones morales de los sistemas de información
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBIT
 
CAPITULO 4 SISTEMAS DE INFORMACIÓN GERENCIAL
CAPITULO 4 SISTEMAS DE INFORMACIÓN GERENCIAL CAPITULO 4 SISTEMAS DE INFORMACIÓN GERENCIAL
CAPITULO 4 SISTEMAS DE INFORMACIÓN GERENCIAL
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 
Introducción a ERP
Introducción a ERPIntroducción a ERP
Introducción a ERP
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacion
 
ITIL
ITILITIL
ITIL
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 
Iso 20000 1 2018 SGS
Iso 20000 1 2018 SGSIso 20000 1 2018 SGS
Iso 20000 1 2018 SGS
 
Norma iso 17799
Norma iso  17799Norma iso  17799
Norma iso 17799
 
Sistemas de información Gerencial
Sistemas de información GerencialSistemas de información Gerencial
Sistemas de información Gerencial
 
Sistemas de información, organizaciones y estrategía
Sistemas de información, organizaciones y estrategíaSistemas de información, organizaciones y estrategía
Sistemas de información, organizaciones y estrategía
 
Alineación estratégica de TI al negocio
Alineación estratégica de TI al negocioAlineación estratégica de TI al negocio
Alineación estratégica de TI al negocio
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 

Destacado

EXPO ISO38500
EXPO ISO38500EXPO ISO38500
EXPO ISO38500ITSM
 
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intentoWebinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intentoLuis Moran Abad
 
caso pratico
caso praticocaso pratico
caso praticoITSM
 
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1DIANA DEL CARMEN LÓPEZ CERÓN
 
Tema 1 "Datos en la era de la información"
Tema 1 "Datos en la era de la información"Tema 1 "Datos en la era de la información"
Tema 1 "Datos en la era de la información"Luis Unigarro
 
ISO38500
ISO38500ISO38500
ISO38500ITSM
 
Administración de las tecnologías de información
Administración de las tecnologías de informaciónAdministración de las tecnologías de información
Administración de las tecnologías de informaciónAdolfo J. Araujo J. ajaraujo
 
Aporte de COBIT 5 al Gobierno Corporativo de Tecnología
Aporte de COBIT 5 al Gobierno Corporativo de TecnologíaAporte de COBIT 5 al Gobierno Corporativo de Tecnología
Aporte de COBIT 5 al Gobierno Corporativo de TecnologíaCarlos Francavilla
 
Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alex Miguel
 
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Edras Izaguirre
 
Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Carlos Francavilla
 
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...netmind
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001.. ..
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 

Destacado (19)

EXPO ISO38500
EXPO ISO38500EXPO ISO38500
EXPO ISO38500
 
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intentoWebinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
Webinar: Cómo trabajar en TI con los Mejores Frameworks sin morir en el intento
 
caso pratico
caso praticocaso pratico
caso pratico
 
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1
ADMINISTRACION DE LAS TECNOLOGIAS DE LA INFORMACION UNIDAD 1
 
Tema 1 "Datos en la era de la información"
Tema 1 "Datos en la era de la información"Tema 1 "Datos en la era de la información"
Tema 1 "Datos en la era de la información"
 
ISO38500
ISO38500ISO38500
ISO38500
 
Administración de las tecnologías de información
Administración de las tecnologías de informaciónAdministración de las tecnologías de información
Administración de las tecnologías de información
 
Aporte de COBIT 5 al Gobierno Corporativo de Tecnología
Aporte de COBIT 5 al Gobierno Corporativo de TecnologíaAporte de COBIT 5 al Gobierno Corporativo de Tecnología
Aporte de COBIT 5 al Gobierno Corporativo de Tecnología
 
Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164Alexander miguel burgos viera 20132002164
Alexander miguel burgos viera 20132002164
 
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
 
Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...
netmind - COBIT5; el nuevo marco para la Gobernanza de las Tecnologías de la ...
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICs
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 

Similar a ISO IEC 38500

Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4sergio
 
Gobierno ti
Gobierno tiGobierno ti
Gobierno tiCHRYCIN
 
Diapositiva cap #3 sistema de informacion
Diapositiva cap #3 sistema de informacionDiapositiva cap #3 sistema de informacion
Diapositiva cap #3 sistema de informacionmelgarh25
 
Informe cobit 5.0
Informe cobit 5.0Informe cobit 5.0
Informe cobit 5.0Eli Blas
 
3.2.gobierno de tecnologias de t.i.
3.2.gobierno de tecnologias de t.i.3.2.gobierno de tecnologias de t.i.
3.2.gobierno de tecnologias de t.i.Jessi Luna
 
Ficha4 6 c_dulce1
Ficha4 6 c_dulce1Ficha4 6 c_dulce1
Ficha4 6 c_dulce1vgde
 
Cesar david orellana capitulo 3
Cesar david orellana capitulo 3Cesar david orellana capitulo 3
Cesar david orellana capitulo 3Davidorellana35
 
Solemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimientoSolemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimientoArthur Oyarzun
 
Importancia de los sistema de información informatizados I
Importancia de los sistema de información informatizados IImportancia de los sistema de información informatizados I
Importancia de los sistema de información informatizados INorberto Ortiz León
 
Ensayo de Estandares.
Ensayo de Estandares.Ensayo de Estandares.
Ensayo de Estandares.Sole Leraguii
 
Alineamiento Estratégico de las Tecnologías de Información
Alineamiento Estratégico de las Tecnologías de InformaciónAlineamiento Estratégico de las Tecnologías de Información
Alineamiento Estratégico de las Tecnologías de InformaciónWalter Edison Alanya Flores
 
08 actividadde aprendizaje
08 actividadde aprendizaje08 actividadde aprendizaje
08 actividadde aprendizajeLesterPD
 
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).UDO Monagas
 

Similar a ISO IEC 38500 (20)

Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4
 
Gobierno ti
Gobierno tiGobierno ti
Gobierno ti
 
Gobierno ti
Gobierno tiGobierno ti
Gobierno ti
 
Diapositiva cap #3 sistema de informacion
Diapositiva cap #3 sistema de informacionDiapositiva cap #3 sistema de informacion
Diapositiva cap #3 sistema de informacion
 
Informe cobit 5.0
Informe cobit 5.0Informe cobit 5.0
Informe cobit 5.0
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
 
3.2.gobierno de tecnologias de t.i.
3.2.gobierno de tecnologias de t.i.3.2.gobierno de tecnologias de t.i.
3.2.gobierno de tecnologias de t.i.
 
Ficha4 6 c_dulce1
Ficha4 6 c_dulce1Ficha4 6 c_dulce1
Ficha4 6 c_dulce1
 
Cesar david orellana capitulo 3
Cesar david orellana capitulo 3Cesar david orellana capitulo 3
Cesar david orellana capitulo 3
 
Solemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimientoSolemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimiento
 
Software de control de proceso
Software de control de procesoSoftware de control de proceso
Software de control de proceso
 
Importancia de los sistema de información informatizados I
Importancia de los sistema de información informatizados IImportancia de los sistema de información informatizados I
Importancia de los sistema de información informatizados I
 
Ensayo de Estandares.
Ensayo de Estandares.Ensayo de Estandares.
Ensayo de Estandares.
 
Ensayo
EnsayoEnsayo
Ensayo
 
Tarea 1 - Capítulo 3
Tarea 1 - Capítulo 3Tarea 1 - Capítulo 3
Tarea 1 - Capítulo 3
 
Alineamiento Estratégico de las Tecnologías de Información
Alineamiento Estratégico de las Tecnologías de InformaciónAlineamiento Estratégico de las Tecnologías de Información
Alineamiento Estratégico de las Tecnologías de Información
 
Capitulo 3
Capitulo 3Capitulo 3
Capitulo 3
 
08 actividadde aprendizaje
08 actividadde aprendizaje08 actividadde aprendizaje
08 actividadde aprendizaje
 
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
ISA (INTERNATIONAL SOCIETY OF AUTOMATION).
 
Sistemas
SistemasSistemas
Sistemas
 

Más de Edison Isla A

Evaluacion de riesgos pcc ii
Evaluacion de riesgos pcc  iiEvaluacion de riesgos pcc  ii
Evaluacion de riesgos pcc iiEdison Isla A
 
Instrucciones de simulacro_de_sismo (1)
Instrucciones de simulacro_de_sismo (1)Instrucciones de simulacro_de_sismo (1)
Instrucciones de simulacro_de_sismo (1)Edison Isla A
 
Seguridad industrial i
Seguridad industrial iSeguridad industrial i
Seguridad industrial iEdison Isla A
 
Act secion alcides 12 8-18 - copia
Act secion alcides 12 8-18 - copiaAct secion alcides 12 8-18 - copia
Act secion alcides 12 8-18 - copiaEdison Isla A
 
Contrato de compra y venta privado
Contrato de compra y venta privadoContrato de compra y venta privado
Contrato de compra y venta privadoEdison Isla A
 
Cultura local dibujo
Cultura local dibujoCultura local dibujo
Cultura local dibujoEdison Isla A
 
Img20190512 10092653
Img20190512 10092653Img20190512 10092653
Img20190512 10092653Edison Isla A
 

Más de Edison Isla A (12)

399.010 1-2015
399.010 1-2015399.010 1-2015
399.010 1-2015
 
Evaluacion de riesgos pcc ii
Evaluacion de riesgos pcc  iiEvaluacion de riesgos pcc  ii
Evaluacion de riesgos pcc ii
 
Instrucciones de simulacro_de_sismo (1)
Instrucciones de simulacro_de_sismo (1)Instrucciones de simulacro_de_sismo (1)
Instrucciones de simulacro_de_sismo (1)
 
Seguridad industrial i
Seguridad industrial iSeguridad industrial i
Seguridad industrial i
 
Memorando
MemorandoMemorando
Memorando
 
Inform es
Inform esInform es
Inform es
 
Act secion alcides 12 8-18 - copia
Act secion alcides 12 8-18 - copiaAct secion alcides 12 8-18 - copia
Act secion alcides 12 8-18 - copia
 
Contrato de compra y venta privado
Contrato de compra y venta privadoContrato de compra y venta privado
Contrato de compra y venta privado
 
Cultura local dibujo
Cultura local dibujoCultura local dibujo
Cultura local dibujo
 
Culturas local
Culturas localCulturas local
Culturas local
 
Img20190512 10092653
Img20190512 10092653Img20190512 10092653
Img20190512 10092653
 
Curriculo
CurriculoCurriculo
Curriculo
 

Último

SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024gharce
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALEDUCCUniversidadCatl
 
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfFichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfssuser50d1252
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxYeseniaRivera50
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...fcastellanos3
 
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO  YESSENIA 933623393 NUEV...IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO  YESSENIA 933623393 NUEV...
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...YobanaZevallosSantil1
 
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfTema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfDaniel Ángel Corral de la Mata, Ph.D.
 
Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Rosabel UA
 
Fichas de matemática DE PRIMERO DE SECUNDARIA.pdf
Fichas de matemática DE PRIMERO DE SECUNDARIA.pdfFichas de matemática DE PRIMERO DE SECUNDARIA.pdf
Fichas de matemática DE PRIMERO DE SECUNDARIA.pdfssuser50d1252
 
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsxJuanpm27
 
05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdf05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdfRAMON EUSTAQUIO CARO BAYONA
 
sesión de aprendizaje 4 E1 Exposición oral.pdf
sesión de aprendizaje 4 E1 Exposición oral.pdfsesión de aprendizaje 4 E1 Exposición oral.pdf
sesión de aprendizaje 4 E1 Exposición oral.pdfpatriciavsquezbecerr
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfAlfredoRamirez953210
 

Último (20)

TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE                       .TL/CNL – 2.ª FASE                       .
TL/CNL – 2.ª FASE .
 
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
 
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfFichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
 
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptxPresentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
Presentación de Estrategias de Enseñanza-Aprendizaje Virtual.pptx
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
 
DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS         .DIA INTERNACIONAL DAS FLORESTAS         .
DIA INTERNACIONAL DAS FLORESTAS .
 
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO  YESSENIA 933623393 NUEV...IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO  YESSENIA 933623393 NUEV...
IV SES LUN 15 TUTO CUIDO MI MENTE CUIDANDO MI CUERPO YESSENIA 933623393 NUEV...
 
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfTema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
 
PPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptxPPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptx
 
Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024
 
VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL                  _VISITA À PROTEÇÃO CIVIL                  _
VISITA À PROTEÇÃO CIVIL _
 
Fichas de matemática DE PRIMERO DE SECUNDARIA.pdf
Fichas de matemática DE PRIMERO DE SECUNDARIA.pdfFichas de matemática DE PRIMERO DE SECUNDARIA.pdf
Fichas de matemática DE PRIMERO DE SECUNDARIA.pdf
 
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx
3. Pedagogía de la Educación: Como objeto de la didáctica.ppsx
 
05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdf05 Fenomenos fisicos y quimicos de la materia.pdf
05 Fenomenos fisicos y quimicos de la materia.pdf
 
sesión de aprendizaje 4 E1 Exposición oral.pdf
sesión de aprendizaje 4 E1 Exposición oral.pdfsesión de aprendizaje 4 E1 Exposición oral.pdf
sesión de aprendizaje 4 E1 Exposición oral.pdf
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
 
La luz brilla en la oscuridad. Necesitamos luz
La luz brilla en la oscuridad. Necesitamos luzLa luz brilla en la oscuridad. Necesitamos luz
La luz brilla en la oscuridad. Necesitamos luz
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdfTema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
 

ISO IEC 38500

  • 1. Mis documentos ISO/IEC 38500 GOBERNANZA CORPORATIVA DE LA TECNOLOGÍA DE LA INFORMACIÓN ISLACHIN AVENDAÑO EDISON PORRAS RIOS HELMER “La mejor guía para conseguir desarrollar el Negocio basándose en las Tecnologías de la Información”
  • 2. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 1 INDICE INTRODUCCIÓN .............................................................................................................................. 2 I. ALCANCE, APLICACIÓN Y OBJETIVOS.......................................................................... 5 1. Alcance ................................................................................................................................... 5 2. Aplicación............................................................................................................................... 6 3. Objetivos ................................................................................................................................ 6 4. Beneficios de la Utilización de esta Norma ......................................................................... 6 a. General............................................................................................................................... 6 b. Cumplimiento de la Organización................................................................................... 7 c. Desempeño de la Organización........................................................................................ 8 5. Documentos de Referencia ................................................................................................... 9 6. Definiciones............................................................................................................................ 9 1) Aceptable............................................................................................................................ 9 2) Gobernanza Corporativa.................................................................................................. 9 3) Gobernanza Corporativa de la TI ................................................................................... 9 4) Competente ...................................................................................................................... 10 5) Administrador ................................................................................................................. 10 6) Conducta Humana .......................................................................................................... 10 7) Tecnología de la Información (TI)................................................................................. 11 8) Inversión........................................................................................................................... 11 9) Gestión.............................................................................................................................. 11 11) Política.......................................................................................................................... 12 12) Propuesta...................................................................................................................... 12 13) Recursos ....................................................................................................................... 12 14) Riesgo ........................................................................................................................... 12 15) Gestión de Riesgo ........................................................................................................ 12 16) Parte Interesada (Stakeholder).................................................................................. 12 17) Estrategia ..................................................................................................................... 13 18) Uso de la TI.................................................................................................................. 13 II. MARCO PARA LA GOBERNANZA CORPORATIVA DE LA TI.............................. 13 1. Principios ............................................................................................................................. 13
  • 3. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 2 A. Principio 1: Responsabilidad.......................................................................................... 14 B. Principio 2: Estrategia .................................................................................................... 14 C. Principio 3: Adquisición ................................................................................................. 14 D. Principio 4: Desempeño .................................................................................................. 14 E. Principio 5: Cumplimiento ............................................................................................. 14 F. Principio 6: Conducta Humana ..................................................................................... 14 2. Modelo.................................................................................................................................. 15 Figura 1 - ModelodelaGobernanzaCorporativadelaTI........................................................................ 15 III. DIRECTRICES PARA LA GOBERNANZA CORPORATIVA DE LA TI.................. 17 1. Observaciones Generales.................................................................................................... 17 2. Principio 1: Responsabilidad.............................................................................................. 18 3. Principio 2: Estrategia ........................................................................................................ 19 4. Principio 3: Adquisición ..................................................................................................... 20 5. Principio 4: Desempeño ...................................................................................................... 21 6. Principio 5: Cumplimiento ................................................................................................. 22 7. Principio 6: Conducta Humana ......................................................................................... 23 Conclusiones ..................................................................................................................................... 25 Bibliografía ....................................................................................................................................... 26 INTRODUCCIÓN
  • 4. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 3 El objetivo de esta norma es proporcionar un marco de principios para los administradores cuando evalúen, dirijan y supervisen el uso de la Tecnología de la Información (TI) en sus organizaciones. La mayoría de las organizaciones utilizan la TI como herramienta fundamental para el negocio, y pocas pueden funcionar eficazmente sin ella. La TI es también un factor importante en los planes futuros de negocio de muchas organizaciones. Los gastos en TI pueden representar una parte importante de los gastos de una organización en recursos financieros y humanos. Sin embargo, a menudo no se produce el retorno esperado de esta inversión y el impacto negativo en las organizaciones puede ser importante. Las principales razones de estos resultados negativos son dar mayor importancia a la tecnología, finanzas y aspectos de la planificación de las actividades de TI, que al contexto global del uso de la TI en el negocio. Esta norma proporciona un marco eficaz para la gobernanza de la TI para ayudar a las personas del máximo nivel de las organizaciones a comprender y cumplir con sus obligaciones legales, reglamentarias y éticas respecto al uso que, en sus organizaciones, se hace de la TI. El marco incluye definiciones, principios y un modelo. Esta norma se ajusta a la definición de gobernanza corporativa publicada como un informe de la Comisión sobre los aspectos financieros de la gobernanza corporativa (el Informe Cadbury) en 1992. El Informe Cadbury también aportó la definición básica de la gobernanza corporativa en los Principios de gobernanza corporativa de la OCDE de 1999 (revisados en 2004). Se anima a los usuarios de esta norma a familiarizarse con el Informe Cadbury y los Principios de gobernanza corporativa de la OCDE.
  • 5. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 4 La gobernanza es distinta de la gestión y, para evitar cualquier confusión, los dos conceptos se definen claramente en la presente norma. Si bien esta norma está dirigida principalmente al cuerpo de gobierno, quien a su vez puede determinar que ciertas acciones sean realizadas por la dirección de la organización, también permite que, en algunas organizaciones (normalmente las más pequeñas), los miembros del cuerpo de gobierno también puedan desempeñar funciones claves en la gestión. De esta manera, se asegura que la norma sea aplicable para todas las organizaciones, desde las más pequeñas a las más grandes, independientemente del propósito, diseño y estructura societaria. Esta norma también tiene por objeto informar y orientar a los involucrados en el diseño e implementación del sistema de gestión sobre políticas, procesos y estructuras que sostienen a la gobernanza.
  • 6. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 5 GOBERNANZA CORPORATIVA DE LA TECNOLOGIA DE INFORMACION I. ALCANCE, APLICACIÓN Y OBJETIVOS 1. Alcance Esta norma proporciona principios orientadores para los administradores de las organizaciones (incluyendo propietarios, miembros del consejo, directivos, socios, altos ejecutivos o similares) sobre el uso eficaz, eficiente y aceptable de la Tecnología de la Información (TI) en sus organizaciones. Esta norma se aplica a la gobernanza de los procesos (y decisiones) de gestión relativos a los servicios de información y comunicación utilizados por una organización. Estos procesos podrían ser controlados tanto por especialistas en TI de la organización como por proveedores de servicios externos, o unidades de negocio dentro de la organización. También proporciona orientación a los que asesoran, informan, o ayudan a los administradores, entre los que se incluyen:  altos directivos;  miembros de los grupos que monitorizan los recursos dentro de la organización;  especialistas externos, técnicos o de negocio, como pueden ser jurídicos o contables; asociaciones comerciales minoristas u organismos profesionales;  fabricantes de hardware, software, comunicaciones y otros productos de TI;  proveedores de servicios internos y externos (incluidos consultores);  auditores de TI. (International Standard ISO/IEC 38500, 2008)
  • 7. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 6 2. Aplicación Esta norma es aplicable a todas las organizaciones, ya sean empresas públicas o privadas, entidades gubernamentales y entidades sin ánimo de lucro. La norma es asimismo aplicable a organizaciones de todos los tamaños, desde las más pequeñas hasta las más grandes, con independencia de su grado de utilización de la TI. (International Standard ISO/IEC 38500, 2008) 3. Objetivos El propósito de esta norma es promover el uso eficaz, eficiente y aceptable de la TI en todas las organizaciones por medio de:  asegurar a las partes interesadas (incluidos clientes, accionistas y empleados) que si siguen la norma, pueden con- fiar en la gobernanza corporativa de la TI dentro de la organización;  informar y orientar a los administradores sobre el gobierno del uso de la TI en su organización; y  proporcionar una base de referencia para la evaluación objetiva de la gobernanza corporativa de la TI. (International Standard ISO/IEC 38500, 2008) 4. Beneficios de la Utilización de esta Norma a. General Esta norma establece principios para el uso eficaz, eficiente y aceptable de la TI. Asegurando a aquellas organizaciones que el seguimiento de estos principios ayudará a sus administradores a sopesar los riesgos y fomentar oportunidades derivadas de la utilización de la TI. Esta norma establece un modelo de gobernanza de la TI. El riesgo de que los administradores no cumplan con sus
  • 8. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 7 obligaciones se mitiga prestando la debida atención al modelo y aplicando correctamente los principios. La norma proporciona un vocabulario para la gobernanza de la TI. (International Standard ISO/IEC 38500, 2008) b. Cumplimiento de la Organización La adecuada gobernanza corporativa de la TI puede ayudar a los administradores a asegurar el cumplimiento con las obligaciones (reglamentarias, legislativas, de derecho consuetudinario y contractual) relativas al uso aceptable de la TI. Sistemas inadecuados de TI pueden exponer a los administradores al riesgo de no cumplir con la legislación. Por ejemplo, en algunas jurisdicciones, los administradores podrían ser personalmente responsables si un sistema contable inadecuado tiene como resultado el impago de impuestos. Los procesos relacionados con la TI incorporan riesgos específicos que deben abordarse adecuadamente. Por ejemplo, los administradores podrían ser considerados responsables de infracciones relativas a:  normas de seguridad  legislación sobre la privacidad  legislación sobre correo basura  legislación sobre las prácticas comerciales  derechos de propiedad intelectual, incluidos los acuerdos de licencia de software  requisitos de retención de información
  • 9. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 8  leyes y reglamentaciones ambientales  legislación sobre salud y seguridad  legislación sobre accesibilidad  normas de responsabilidad social Utilizando las directrices de esta norma, es más probable que los administradores cumplan con sus obligaciones. (International Standard ISO/IEC 38500, 2008) c. Desempeño de la Organización La adecuada gobernanza corporativa de la TI ayuda a los administradores a asegurar que el uso de la TI contribuye positivamente al desempeño de la organización, mediante:  una implementación y explotación adecuada de los activos de la TI  claridad de la responsabilidad e imputabilidad tanto para el uso como para la provisión de la TI para el logro de los objetivos de la organización  la continuidad y sostenibilidad del negocio  la alineación de la TI con las necesidades del negocio  la asignación eficiente de recursos  la innovación en los servicios, mercados, y negocios  las buenas prácticas en las relaciones con las partes interesadas  la reducción de los costes de una organización  la consecución real de los beneficios aprobados para cada inversión en TI (International Standard ISO/IEC 38500, 2008)
  • 10. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 9 5. Documentos de Referencia En esta norma se hace referencia a los siguientes documentos: 1. Informe de la Comisión sobre Aspectos Financieros de la Gobernanza Corporativa, Sir AdrianCadbury, London, 1992 ISBN 0 85258 913 1 2. OCDE Principios de Gobernanza Corporativa, OCDE, 1999 y 2004 3. Guía ISO 73 2002 Gestión del riesgo. Vocabulario (Gobernanza Corporativa de la Tecnología de la Información, 2013) 6. Definiciones A los efectos de la presente norma, se aplican las siguientes definiciones. Se espera que la organización adapte la terminología utilizada en esta norma a sus circunstancias o estructura. 1) Aceptable Satisface las expectativas, que se han podido expresar como razonables o justificadas de las partes interesadas. 2) Gobernanza Corporativa El sistema por el cual se dirigen y controlan las organizaciones. (Informe de la Comisión sobre Aspectos Financieros de la Gobernanza Corporativa, Sir Adrian Cadbury, 1992) (OCDE Principios de Gobernanza Corporativa, 1999 y 2004) 3) Gobernanza Corporativa de la TI El sistema por el cual se dirige y controla el uso, actual y futuro, de la TI.
  • 11. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 10 La gobernanza corporativa de la TI implica evaluar y dirigir la utilización de la TI para dar soporte a la organización y la monitorización de ese uso para lograr la consecución de los planes. Incluye la estrategia y políticas para la utilización de la TI en la organización. (OCDE Principios de Gobernanza Corporativa, 1999 y 2004) 4) Competente Que posee la combinación del conocimiento, las habilidades formales e informales, la formación, los atributos de experiencia y de comportamiento, necesarios para realizar una tarea o rol 5) Administrador Miembro del cuerpo de gobierno más alto de una organización. Incluye propietarios, miembros del comité de dirección, socios, altos ejecutivos o similares, y los mandos autorizados por leyes o regulaciones. 6) Conducta Humana La comprensión de las interacciones entre los seres humanos y otros elementos de un sistema con la intención de asegurar el bienestar de las personas y el rendimiento de los sistemas. La conducta humana incluye la cultura, necesidades y aspiraciones de las personas como individuos y como grupos. NOTA: Con respecto a la TI, hay numerosos grupos o comunidades de personas, cada una con sus propias necesidades, aspiraciones y comportamientos. Por ejemplo, las personas que utilizan los sistemas de información podrían mostrar necesidades relacionadas con la accesibilidad y ergonomía, así como la disponibilidad y el
  • 12. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 11 desempeño. Personas cuya función es cambiante debido a la utilización de la TI pueden plantear necesidades relacionadas con la comunicación, formación y tranquilidad. Personas involucradas en la construcción y operación de la TI podrían mostrar necesidades relativas a las condiciones de trabajo y al desarrollo de habilidades. 7) Tecnología de la Información (TI) Recursos necesarios para adquirir, procesar, almacenar y difundir información. Este término también incluye la "Tecnología de la Comunicación (TC)" y el término compuesto "Tecnología de Información y Comunicación (TIC)". 8) Inversión Asignación de recursos humanos, financieros y otros, con el fin de alcanzar los objetivos establecidos y otros beneficios. 9) Gestión El sistema de controles y los procesos necesarios para alcanzar los objetivos estratégicos establecidos por el órgano de gobierno de la organización. La gestión está sujeta a la dirección marcada por la política y seguimiento establecidos por medio de la gobernanza corporativa. 10) Organización Cualquier empresa, corporación, gobierno, organización sin ánimo de lucro u otra entidad legalmente constituida que cuenta con administración y misión propias, incluyendo asociaciones, clubes, sociedades, agencias gubernamentales, empresas que cotizan en bolsa, empresas privadas y empresas unipersonales.
  • 13. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 12 11) Política Declaraciones claras y medibles de la dirección y conductas preferidas para condicionar las decisiones que se toman dentro de la organización. 12) Propuesta Compilación de los beneficios, costes, riesgos, oportunidades y otros factores aplicables a las decisiones a adoptar. Incluye casos de negocio. 13) Recursos Personas, procedimientos, software, información, equipos, consumibles, infraestructura, capital y fondos de maniobra, y tiempo. 14) Riesgo Efecto de la incertidumbre sobre la consecución de los objetivos(Guía ISO 73 , 2002) NOTA: Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto. 15) Gestión de Riesgo Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo (Guía ISO 73 , 2002) 16) Parte Interesada (Stakeholder) Persona u organización que puede afectar, estar afectada, o percibir que esté afectada por una decisión o actividad (Guía ISO 73 , 2002)
  • 14. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 13 17) Estrategia Plan global de desarrollo de una organización que describe el uso eficaz de recursos en apoyo a las actividades futuras de la organización. Comprende el establecimiento de objetivos y la propuesta de iniciativas de actuación. 18) Uso de la TI La planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de la TI para satisfacer las necesidades del negocio. Incluye la demanda y la prestación de servicios de TI por las unidades internas de negocio, unidades especializadas de TI, o proveedores externos. (Gobierno de las TIC ISO/IEC 38500, 2010) II. MARCO PARA LA GOBERNANZA CORPORATIVA DE LA TI 1. Principios Esta sección establece seis principios de gobernanza corporativa de la TI. Los principios son aplicables a la mayoría de las organizaciones. Los principios expresan el comportamiento deseable para orientar la toma de decisiones. La definición de cada principio se refiere a lo que debería suceder, pero no prescribe cómo, cuándo o por quién se pondría en práctica, ya que estos aspectos dependen de la naturaleza de la organización que los implanta. Los administradores deberían exigir la aplicación de dichos principios en su organización. (International Standard ISO/IEC 38500, 2008)
  • 15. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 14 A. Principio 1: Responsabilidad Los individuos y grupos dentro de la organización comprenden y aceptan sus responsabilidades con respecto a la demanda y al suministro de productos y servicios de la TI. Quienes tienen la responsabilidad sobre las actuaciones también tienen la autoridad para llevarlas a cabo. B. Principio 2: Estrategia La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de la TI; los planes estratégicos de la TI satisfacen las necesidades actuales y futuras de la estrategia de negocio. C. Principio 3: Adquisición Las adquisiciones de TI se hacen por razones válidas, sobre la base de análisis adecuados y continuados, a través de decisiones claras y transparentes. Hay un adecuado equilibrio entre beneficios, oportunidades, costes y riesgos, tanto a corto como a largo plazo. D. Principio 4: Desempeño La TI satisface el propósito de dar soporte a la organización, mediante la provisión de servicios, niveles de servicio y calidad de servicio requeridos para alcanzar los requisitos presentes y futuros del negocio. E. Principio 5: Cumplimiento La TI cumple con toda la legislación y normativas obligatorias. Las políticas y prácticas están claramente definidas, implantadas y se hacen cumplir. F. Principio 6: Conducta Humana Las políticas de TI, prácticas y decisiones relacionadas con la TI muestran respeto hacia la conducta humana, incluyendo las necesidades actuales y futuras de todas las “personas implicadas en el proceso”.
  • 16. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 15 2. Modelo Los administradores deberían gobernar la TI a través de tres tareas principales: a) evaluar el uso actual y futuro de la TI; b) dirigir la preparación y ejecución de planes y políticas para asegurar que el uso de la TI satisface los objetivos de la organización; c) monitorizar el cumplimiento de las políticas y el desempeño con relación a lo planificado. La figura 1 muestra el modelo de gobernanza de la TI en un ciclo de tipo Evaluar-Dirigir-Monitorizar. El texto que sigue a la figura 1 explica los elementos y las relaciones representados. Figura 1 - ModelodelaGobernanzaCorporativadelaTI (International Standard ISO/IEC 38500, 2008)
  • 17. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 16 Evaluar Los administradores deberían valorar la situación y formular juicios sobre el uso actual y futuro de la TI, incluyendo estrategias, propuestas y acuerdos de prestación de servicios (ya sean internos, externos, o ambos). Al evaluar el uso de la TI, los administradores deberían considerar las presiones externas o internas que actúan sobre el negocio como pueden ser los cambios tecnológicos, las tendencias económicas y sociales y las influencias políticas. Dado que dichas influencias cambian, los administradores deberían acometer evaluaciones de forma continua. Los administradores también deberían tener en cuenta las necesidades actuales y futuras del negocio, los objetivos organizativos actuales y futuros que deben alcanzar, tales como el mantenimiento de la ventaja competitiva, así como los objetivos específicos de las estrategias y propuestas que están evaluando. Dirigir Los administradores deberían asignar responsabilidades y dirigir la preparación e implantación de planes y políticas. Los planes deberían fijar el rumbo de inversiones en proyectos y operaciones de TI. Las políticas deberían establecer una conducta responsable en el uso de la TI. Los administradores deberían asegurar que la transición de los proyectos a un estado operativo se planifique y gestione adecuadamente, teniendo en cuenta el impacto en el negocio y las prácticas operativas, y los sistemas e infraestructura de TI existentes. Los administradores deberían fomentar una cultura de gobernanza de la TI en su organización, exigiendo a la dirección que suministre puntualmente la información adecuada, con el fin de cumplir con los objetivos establecidos y ajustarse a los seis principios de gobernanza. Si fuera necesario, los administradores deberían controlar la presentación de propuestas a aprobar para responder a las necesidades identificadas.
  • 18. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 17 Monitorizar Los administradores deberían monitorizar el desempeño de la TI, a través de sistemas de medición adecuados. Deberían asegurarse de que dicho desempeño esté en conformidad con los planes, en particular con respecto a los objetivos de negocio. Los administradores deberían también asegurar que la TI cumple con las obligaciones externas (normativa, legislación, derecho consuetudinario, contractuales) y las prácticas internas de trabajo. NOTA: La responsabilidad sobre aspectos específicos de la TI dentro de la organización puede ser delegada a la dirección. Sin embargo, son los administradores quienes retienen la responsabilidad final (imputabilidad) en la entrega y uso eficaz, eficiente y aceptable de la TI, la cual no puede ser delegada. III. DIRECTRICES PARA LA GOBERNANZA CORPORATIVA DE LA TI 1. Observaciones Generales Los siguientes apartados ofrecen orientación sobre los principios generales de la gobernanza de la TI y las buenas prácticas necesarias para implantación de dichos principios. Las prácticas descritas no son exhaustivas pero proporcionan un punto de partida para la discusión sobre las responsabilidades de los administradores con relación a la gobernanza de la TI. Es decir, que las prácticas descritas son una guía orientativa para la gobernanza de la TI. Es responsabilidad de cada organización, de manera individual, la identificación de las medidas necesarias para imple- mentar los principios, considerando debidamente la naturaleza de la organización y el análisis adecuado de los riesgos y oportunidades en el uso de la TI.
  • 19. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 18 A modo ilustrativo, las prácticas descritas son aplicables a la mayoría de organizaciones (grandes o pequeñas) en la mayoría de las ocasiones. Cualquier variación debería ser considerada adecuadamente. 2. Principio 1: Responsabilidad Evaluar Los administradores deberían evaluar cuáles son las opciones existentes a la hora de asignar responsabilidades relacionadas con el uso actual y futuro de la TI en la organización. Al evaluar dichas opciones, los administradores deberían buscar el uso eficaz, eficiente y aceptable de la TI, en apoyo de los actuales y futuros objetivos de negocio. Los administradores deberían evaluar la competencia de aquellos a quienes dieron la responsabilidad de tomar decisiones sobre la TI. En general, estas personas deberían ser directores de negocio que también son responsables de los objetivos y el desempeño organizativos, asistidos por expertos en TI que comprenden el valor y los procesos de negocio. Dirigir Los administradores deberían dirigir con el objetivo de que los planes se lleven a cabo de acuerdo con las responsabilidades asignadas a TI. Los administradores deberían dirigir con el fin de recibir la información que necesitan para cumplir con sus responsabilidades y rendir cuentas. Monitorizar Los administradores deberían monitorizar que se hayan establecido los mecanismos adecuados de gobernanza de la TI apropiados.
  • 20. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 19 Asimismo, deberían monitorizar que aquéllos a los que se les hayan asignado responsabilidades, las entienden y las asumen. Los administradores deberían monitorizar el desempeño de aquellos a los que se les hayan asignado responsabilidades relacionadas con la gobernanza de la TI (por ejemplo, las personas que forman parte de comités de dirección o presentan propuestas a los administradores). (International Standard ISO/IEC 38500, 2008) 3. Principio 2: Estrategia Evaluar Los administradores deberían evaluar la evolución de la TI y los procesos de negocio para asegurar que la TI proporcionará apoyo a las futuras necesidades de la organización. Al examinar los planes y las políticas, los administradores deberían evaluar las actividades de TI para asegurar que están alineadas con los objetivos de la organización ante circunstancias de cambio, que tienen en cuenta las mejores prácticas y satisfacen otros requisitos de los principales interesados. Los administradores deberían asegurar que el uso de la TI está sujeto a una adecuada evaluación y valoración del riesgo, tal como se describe en las normas internacionales y nacionales más relevantes. Dirigir Los administradores deberían dirigir la creación y uso de planes y políticas que aseguren que la organización se beneficia del desarrollo en la TI. Los administradores también deberían alentar la presentación de propuestas de usos innovadores de la TI, que permitan a la organización responder a nuevas oportunidades o desafíos, mejorando los actuales procesos de negocio o emprendiendo otros nuevos.
  • 21. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 20 Monitorizar Los administradores deberían monitorizar el progreso de las propuestas de TI aprobadas, para asegurar que alcanzan los objetivos en los plazos establecidos, utilizando los recursos asignados. Los administradores deberían monitorizar el uso de la TI para asegurar que se alcanzan los beneficios esperados. (International Standard ISO/IEC 38500, 2008) 4. Principio 3: Adquisición Evaluar Los administradores deberían evaluar cuáles son las opciones para proveerse de la TI que necesitan para desarrollar las propuestas aprobadas, equilibrando los riesgos y el valor económico de las inversiones propuestas. Dirigir Los administradores deberían dirigir para que los activos de TI (sistemas e infraestructura) se adquieran de manera apropiada, incluyendo la elaboración de documentación adecuada, al tiempo que se asegura que se obtienen las capacidades requeridas. Los administradores deberían dirigir para que los acuerdos de provisión (ya sean internos o externos) soporten las necesidades de negocio de la organización. Monitorizar Los administradores deberían monitorizar las inversiones en TI para asegurar que se provean las capacidades requeridas.
  • 22. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 21 Los administradores deberían monitorizar hasta qué punto la organización y los proveedores mantienen y comparten el propósito de la organización al realizar una adquisición de TI. (International Standard ISO/IEC 38500, 2008) 5. Principio 4: Desempeño Evaluar Los administradores deberían evaluar los medios propuestos por la dirección para asegurar que la TI sustentará los procesos de negocio con las capacidades y aptitudes requeridas. Estas propuestas deberían incluir la continuidad de la operación normal de la organización y la gestión de los riesgos asociados al uso de la TI. Los administradores deberían evaluar los riesgos para la continuidad del negocio derivados de las actividades de TI. Los administradores deberían evaluar los riesgos para la integridad de la información y la protección de los activos de TI, incluyendo la propiedad intelectual y la memoria colectiva de la organización. Los administradores deberían evaluar opciones para asegurar la eficaz y oportuna toma de decisiones relativas al uso de la TI para alcanzar los objetivos del negocio. Los administradores deberían evaluar periódicamente la eficacia y el desempeño del sistema de gobernanza de la TI de la organización. Dirigir Los administradores deberían asegurar la asignación de recursos suficientes para que la TI satisfaga las necesidades de la organización, de acuerdo con las prioridades acordadas y las restricciones presupuestarias.
  • 23. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 22 Los administradores deberían dirigir a los responsables para asegurar que, cuando sea necesario por razones de negocio, la TI proporciona soporte al negocio con información actualizada, correcta y protegida ante pérdidas o usos inadecuados. Monitorizar Los administradores deberían monitorizar el grado con el que la TI sustenta el negocio. Los administradores deberían monitorizar el grado con el cual los recursos y presupuestos asignados son priorizados de acuerdo con los objetivos de negocio de la organización. Los administradores deberían monitorizar cómo está de extendido el seguimiento de políticas tales como las de precisión de los datos y uso eficiente de la TI. (International Standard ISO/IEC 38500, 2008) 6. Principio 5: Cumplimiento Evaluar Los administradores deberían evaluar periódicamente el grado con el que la TI cumplen con las obligaciones relevantes (normativas, legislativas, de derecho consuetudinario, contractuales), las políticas internas, las normas y directrices profesionales. Los administradores deberían evaluar periódicamente el cumplimiento interno de la organización con su sistema de gobernanza de la TI. Dirigir Los administradores deberían dirigir a los responsables para establecer mecanismos periódicos y rutinarios para asegurar que el uso de la TI cumple con las obligaciones relevantes (regulatorias, legislativas, de derecho consuetudinario, contractuales), las normas y políticas establecidas.
  • 24. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 23 Los administradores deberían dirigir para que estén establecidas y se hagan cumplir las políticas que permitan a la organización satisfacer sus obligaciones internas en el uso de la TI. Los administradores deberían dirigir para que el personal de TI cumpla las directrices relevantes en materia de desarrollo y conducta profesional. Los administradores deberían dirigir para que la ética rija todas las acciones relacionadas con la TI. Monitorizar Los administradores deberían monitorizar el cumplimiento y conformidad de la TI mediante prácticas adecuadas de auditoría y emisión de informes, asegurando que las revisiones sean oportunas, completas y adecuadas para la evaluación del grado de satisfacción del negocio. Los administradores deberían monitorizar las actividades de la TI, incluyendo la pérdida de información y de activos, para asegurar que se cumplen las obligaciones ambientales, de privacidad, de gestión del conocimiento estratégico, conservación de la memoria colectiva de la organización y otras obligaciones. (International Standard ISO/IEC 38500, 2008) 7. Principio 6: Conducta Humana Evaluar Los administradores deberían evaluar las actividades de la TI para asegurar que las conductas humanas se identifican y se consideran adecuadamente.
  • 25. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 24 Dirigir Los administradores deberían dirigir para que las actividades de TI sean consistentes con la conducta humana identificada. Los administradores deberían dirigir para que los riesgos, oportunidades, problemas y preocupaciones relacionados con el negocio puedan identificarse y sean notificados por cualquier individuo en cualquier momento. Estos riesgos deberían ser gestionados de acuerdo con las políticas y procedimientos publicados, y comunicados a los principales responsables de tomar decisiones. Monitorizar Los administradores deberían monitorizar las actividades de TI para asegurar que las conductas humanas identificadas siguen siendo pertinentes y que se les presta una atención adecuada. Los administradores deberían monitorizar las prácticas de trabajo para asegurar que sean consistentes con el uso apropiado de la TI. (International Standard ISO/IEC 38500, 2008)
  • 26. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 25 Conclusiones  La implementación del gobierno de TI es un paso muy importante para todo aquel corporativo que desea maximizar sus beneficios y anticiparse al mercado.  Con la implementación del gobierno de TI no existen proyectos de tecnología aislados, sino proyectos del negocio con soporte de TI.  Una vez más, el gobierno de TI no debe verse como un tema de tecnología, sería más adecuado pensarlo y adoptarlo como un gobierno del negocio con soporte de TI.  El gobierno de TI no es algo que podamos evadir, la evolución tecnológica y su adhesión en las prácticas organizacionales lo hacen inevitable; simplemente, es decisión nuestra adecuarlo a las necesidades particulares del negocio, buscando siempre alcanzar los objetivos estratégicos y el mejor desempeño de nuestros procesos e inversiones.
  • 27. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 26 Bibliografía  ISO/IEC. (2008). INTERNATIONAL STANDARD ISO/IEC 38500. Geneva: ISO office.  Comité Técnico AEN/CTN 71. (2013). Gobernanza Corporativa de la Tecnología de la Información. Madrid: AENOR.  Manuel Bellester. (2010). Gobierno de las TIC ISO/IEC 38500. ISACA JOURNAL, Volumen 1, 4. 2014, Junio, 22, De ISACA Base de datos.  Informe de la Comisión sobre Aspectos Financieros de la Gobernanza Corporativa, Sir AdrianCadbury, London, 1992 ISBN 0 85258 913 1  OCDE Principios de Gobernanza Corporativa, OCDE, 1999 y 2004  Guía ISO 73 2002 Gestión del riesgo. Vocabulario
  • 28. GOBIERNO CORPORATIVO DE TI ISO/IEC 38500 Página 27