Prefacio

ISO (Organizacin Internacional de Normalizacin) e IEC (Comisin

Electrotcnica Internacional) forman el sistema especializado para la
normalizacin en todo el mundo. Los organismos nacionales que son
miembros de ISO e IEC participan en el desarrollo de las Normas
Internacionales a travs de comits tcnicos establecidos por la
organizacin respectiva para hacer frente a campos particulares de la
actividad tcnica. Comits tcnicos de ISO e IEC colaboran en campos
de inters mutuo. Otras organizaciones internacionales,
gubernamentales y no gubernamentales, en coordinacin con ISO e
IEC, tambin participan en el trabajo. En el campo de la tecnologa de
la informacin, ISO e IEC han establecido un comit tcnico conjunto,
ISO / IEC JTC 1.
Las Normas Internacionales se redactan de acuerdo con las reglas
establecidas en las Directivas ISO / IEC, Parte 2. La principal tarea de
la comisin tcnica conjunta es preparar Normas Internacionales.
Proyectos de Normas Internacionales adoptados por el comit tcnico
conjunto se circulan a los organismos nacionales para votacin.
La publicacin como Norma Internacional requiere la aprobacin por
al menos el 75% de los organismos nacionales con derecho a voto.
Llama la atencin la posibilidad de que algunos de los elementos de
este documento puedan estar sujetos a derechos de patente. ISO e
IEC no se hace responsable por la identificacin de cualquiera o todos
los derechos de patente.
ISO / IEC 38500 fue preparada por Standards Australia (como AS8015:
2005) y se adopt, en virtud de un "procedimiento acelerado", por
Joint Comit Tcnico ISO / IEC JTC 1, Tecnologa de la informacin, de
forma paralela a su aprobacin por los organismos nacionales de ISO
e IEC.
ISO / IEC 38500 es una norma basada en principios de alto nivel.
Adems de proporcionar una orientacin general sobre la funcin de
un rgano de gobierno, se alienta a las organizaciones a utilizar las
normas apropiadas en su gobierno de TI.
En el momento de publicacin de esta norma, JTC1 contina los
esfuerzos para desarrollar nuevos documentos relativos a la
gobernanza de la tecnologa de la informacin.

Estos documentos, que son propensos a ser puestos en libertad en el

futuro como Informes Tcnicos de ISO / IEC y, posiblemente, como
Normas, se espera abordar una serie de temas que incluyen:
Gobierno de Proyectos de Inversin que impliquen TI
Gobierno de TI utilizado en operaciones comerciales en curso

Introduccin
El objetivo de esta norma es proporcionar un marco de principios para
directores para utilizar a la hora de evaluar, dirigir y supervisar el uso
de la tecnologa de la informacin (TI) en sus organizaciones.
La mayora de las organizaciones utilizan las TI como una herramienta
fundamental de negocios y pocos pueden funcionar eficazmente sin
ella. Es tambin un factor importante en los futuros planes de negocio
de muchas organizaciones.
El gasto en TI puede representar una proporcin significativa de los
gastos de la organizacin de los recursos financieros y humanos. Sin
embargo, un retorno de esta inversin es a menudo menospreciado y
los efectos adversos en las organizaciones debido a esto pueden ser
significativos.
Las principales razones de estos resultados negativos son el dar a
nfasis los aspectos tcnicos, financieros y de programacin de las
actividades de TI en lugar de dar nfasis en el uso en todo el contexto
del negocio de la TI.
Esta norma proporciona un marco para una gobernanza eficaz de las
TI, para ayudar a los que estn en el ms alto nivel de las
organizaciones a comprender y cumplir con sus obligaciones legales,
regulatorias y ticas en relacin al uso de las TI de sus
organizaciones. El marco comprende las definiciones, principios y un
modelo.
Esta norma sigue la lnea de la definicin de gobernanza corporativa
que fue publicada como un informe del Comit sobre los Aspectos
Financieros del Gobierno Corporativo (el Informe Cadbury) en 1992. El
Informe Cadbury tambin proporcion la definicin fundamental de la
gobernanza corporativa en los Principios de Gobernanza Corporativa
de OCDE en 1999 (revisada en 2004). Se anima a los usuarios de
esta norma para familiarizarse con el Informe Cadbury y los Principios
de la OCDE para el gobierno corporativo.

La gobernanza es distinta de la gestin, y para evitar la confusin, los

dos conceptos estn claramente definidos en la norma.
Si bien esta norma se dirige principalmente al rgano gobernante,
que a su vez puede ordenar que ciertas acciones tome la gestin de
la organizacin, tambin permite que, en algunas organizaciones
(normalmente ms pequeas), los miembros del rgano de gobierno
tambin puedan ocupar los roles clave en la gestin. De este modo,
se asegura que la norma es aplicable a todas las organizaciones,
desde la ms pequea hasta la ms grande, a pesar de su propsito,
el diseo y la estructura del propietario.
La norma tambin tiene por objeto informar y orientar a las personas
involucradas en el diseo e implementacin del sistema de gestin de
las polticas, los procesos y las estructuras que apoyan la
gobernabilidad.

MBITO, APLICACIN Y OBJETIVOS

1.1 mbito
Esta norma proporciona principios para los directores de las
organizaciones (incluidos los propietarios, consejeros, directores,
socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz, eficiente
y aceptable de Tecnologa de la Informacin (IT) dentro de sus
organizaciones.
Esta norma se aplica a la gestin de procesos de gestin (y
decisiones) en relacin con los servicios de informacin y de
comunicacin utilizados por una organizacin. Estos procesos pueden
ser controlados por especialistas en TI dentro de la organizacin o de
servicios externos, o por unidades de negocio dentro de la
organizacin.
Tambin proporciona orientacin a aquellos que han de asesorar,
informar, o ayudar a los directores. Ellos incluyen:

Senior managers;
miembros de grupos que monitorean los recursos dentro de la
organizacin;
especialistas en negocios o tcnicos externos,
vendedores de hardware, software, comunicaciones y otros
productos de TI;

proveedores internos y externos de servicios (incluidos los

consultores);
Auditores IT

1.2 Aplicacin
Esta norma es aplicable a todas las organizaciones, incluyendo
empresas pblicas y privadas, entidades gubernamentales y
organizaciones sin fines de lucro. La norma es aplicable a
organizaciones de todos los tamaos, desde los ms pequeos hasta
los ms grandes, independientemente de la extensin de su uso de
las TI.
1.3 Objetivos
El propsito de esta norma es promover el efectivo, eficiente y
aceptable uso de IT en todas las organizaciones a travs de:
asegurar las partes interesadas (incluidos los consumidores, los
accionistas, y empleados) que, si la norma se sigue, que pueden tener
confianza en el gobierno corporativo de la organizacin de TI;
informar y orientar a los directores en gobernar el uso de las IT en
su organizacin; y
proporcionar una base para la evaluacin objetiva de la gobernanza
corporativa de IT.

1.4 Ventajas del uso de esta norma

1.4.1 general
Esta norma establece los principios para el uso eficaz, eficiente y
aceptable de TI. Asegurarse de que sus organizaciones siguen estos
principios ayudar a los directores en el manejo de los riesgos y el
fomento de oportunidades derivadas de la utilizacin de las TI.
Esta norma establece un modelo para la gobernanza de TI. El riesgo
de que los directores no cumplan con sus obligaciones se ve mitigado
por prestar la debida atencin al modelo al aplicar correctamente los
principios.
La norma establece un vocabulario para la gobernanza de TI.

1.4.2 La conformacin de la organizacin

El adecuado Gobierno corporativo de TI puede ayudar a los directores
para asegurar el cumplimiento de las sobre el uso aceptable de TI.
Sistemas de IT inadecuados pueden exponer a los directores al riesgo
de no cumplir con la legislacin. Por ejemplo, en algunas
jurisdicciones, los directores podran ser personalmente responsables
si inadecuados resultados del sistema de contabilidad de impuestos
no se pagan.
Los procesos relacionados con IT incorporan riesgos especficos que
deben abordarse apropiadamente. Por ejemplo, los directores podran
ser responsables de las infracciones de:

las normas de seguridad;

legislacin sobre privacidad;
legislacin de prcticas comerciales;
derechos de propiedad intelectual, incluidos los acuerdos de
concesin de licencias de software;
requisitos de mantenimiento de registros;
legislacin y reglamentacin ambiental;
legislacin sobre salud y seguridad;
legislacin de accesibilidad;
estndares de responsabilidad social.

Directores utilizando las directrices de esta norma son ms propensos

a cumplir con sus obligaciones.
1.4.3 Rendimiento de la organizacin
La Gobernanza corporativa adecuada de TI ayuda a los directores
para asegurar que el uso de TI contribuye positivamente al
rendimiento de la organizacin, a travs de:
adecuada implementacin y operacin de las ventajas de las TI ;
claridad de la responsabilidad y la rendicin de cuentas, tanto para
el uso y prestacin de las TI en el cumplimiento de los objetivos de la
organizacin;
continuidad del negocio y la sostenibilidad;
alineacin de TI con las necesidades del negocio;
asignacin eficiente de los recursos;
innovacin en los servicios, los mercados y los negocios;

buenas prcticas en las relaciones con las partes interesadas;

reduccin de los costos de una organizacin; y
conciencia efectiva de los beneficios aprobados de cada inversin en
TI.
1.5 documentos de referencia
Los siguientes documentos actan como referencia en esta norma

Report of the Committee on the Financial Aspects of Corporate

Governance, Sir Adrian Cadbury, London, 1992 ISBN 0 85258
913 1
OECD Principles of Corporate Governance, OECD, 1999 and
2004
ISO Guide 73 2002 - Risk management Vocabulary
Guidelines for use in standards.

1.6 Definiciones
Para los efectos de esta norma, se aplican las siguientes definiciones.
Se espera que una organizacin se adapte a la terminologa utilizada
dentro de esta norma para adaptarse a sus circunstancias o
estructura.

1.6.1 Aceptable
Cumplir con las expectativas de las partes interesadas que son
capaces de ser mostrado como razonables o merecidas.
1.6.2 Gobierno corporativo
El sistema por el cual las organizaciones son dirigidas y controladas.
(adaptado de Cadbury 1992 y OCDE 1999)
1.6.3 El gobierno corporativo de TI
El sistema por el cual el uso actual y futuro de las TI est dirigido y
controlado.
La gobernanza corporativa de TI consiste en evaluar y dirigir el uso
de las TI para apoyar la organizacin y el seguimiento de este uso
para lograr los planes. Incluye la estrategia y las polticas para el uso
de TI dentro de una organizacin.
1.6.4 Competente

Tener la combinacin de conocimientos, habilidades formales e

informales, la formacin, la experiencia y los atributos de
comportamiento necesarios para realizar una tarea o funcin.
1.6.5 director
Miembro del rgano de gobierno ms experimentado de una
organizacin. Incluye propietarios, miembros de la junta, socios,
directivos o similares, y los funcionarios autorizados por la legislacin
o regulacin.
1.6.6 El comportamiento humano
La comprensin de las interacciones entre los seres humanos y otros
elementos de un sistema con la intencin de garantizar el bienestar y
el rendimiento de los sistemas. El comportamiento humano incluye la
cultura, las necesidades y aspiraciones de las personas como
individuos y como grupos.
Nota: Con respecto a las TI, hay numerosos grupos o comunidades de
seres humanos, cada uno con sus propias necesidades, aspiraciones y
conductas. Por ejemplo, las personas que utilizan los sistemas de
informacin pueden exhibir las necesidades relacionadas con la
accesibilidad y ergonoma, as como la disponibilidad y el
rendimiento. Las personas cuyos roles estn cambiando debido a la
utilizacin de las TI podran exhibir necesidades relacionadas con la
comunicacin, la formacin, y seguridad. Las personas involucradas
en la construccin y operacin de capacidades de TI pueden exhibir
las necesidades relacionadas a las condiciones de trabajo y desarrollo
de habilidades.
1.6.7 Tecnologa de la informacin (IT)
Recursos necesarios para adquirir, procesar, almacenar y difundir
informacin. Este trmino tambin incluye "Tecnologa de la
Comunicacin (CT)" y el trmino compuesto "Tecnologa de
Informacin y Comunicacin (ICT)".
1.6.8 Inversin
La asignacin de capital humano, y otros recursos para alcanzar los
objetivos definidos y otros beneficios.
1.6.9 Gestin
El sistema de controles y procesos requeridos para alcanzar los
objetivos estratgicos establecidos por el rgano rector de la

organizacin. La Gestin est sujeta a la orientacin poltica y de

control establecidos a travs de la gobernanza corporativa.
1.6.10 Organizacin
Cualquier empresa, corporacin, gobierno, organizacin sin fines de
lucro u otro rgano legalmente constituido incluidas las asociaciones,
clubes, asociaciones, agencias gubernamentales, empresas privadas
y empresarios individuales que tiene su propia funcin y la
administracin.
1.6.11 Pliza
Declaraciones claras y medibles de direccin y comportamiento
preferidas para llevar a cabo las decisiones dentro de una
organizacin.
1.6.12 Propuesta
Recopilacin de beneficios, costos, riesgos, oportunidades y otros
factores aplicables a las decisiones a tomar. Incluye casos de
negocios.
1.6.13 Recursos
Gente, procedimientos, software, informacin, equipamiento,
insumos, infraestructura, capital y fondos de operacin, y el tiempo.
1.6.14 Riesgo
Combinacin de la probabilidad de un evento y sus consecuencias
(Gua ISO / IEC 73).
Nota: Las consecuencias son impactos sobre la organizacin. Ellos
pueden ser negativos, como en el uso comn, u oportunidades.

1.6.15 Gestin de Riesgo

Actividades coordinadas para dirigir y controlar una organizacin con
respecto a los riesgos (ISO / IEC Gua 73).
1.6.16 Accionista
Cualquier individuo, grupo u organizacin que pueda afectar, verse
afectadas por, o percibirse a s mismos afectados por una decisin o
actividad (adaptado de la norma ISO / IEC Gua 73).

1.6.17 Estrategia
Plan general de desarrollo de una organizacin que describe el uso
eficaz de los recursos en apoyo de la organizacin en sus actividades
futuras. Implica el establecimiento de objetivos y proponer iniciativas
para la accin.
1.6.18 El uso de TI
La planificacin, diseo, desarrollo, implementacin, operacin,
administracin y aplicacin de TI para satisfacer las necesidades de la
empresa. Incluye tanto la demanda y la oferta, los servicios de TI por
las unidades internas de negocio, especialista de unidades de TI o
proveedores externos y los servicios pblicos (como los que
proporcionan el software como servicio).

2 MARCO PARA LA BUENA GOBERNANZA

CORPORATIVA DE TI
2.1 Principios
Esta seccin establece seis principios de buena gobernanza
corporativa de TI. Los principios son aplicables a la mayora de las
organizaciones.

Los principios expresan la conducta preferente para guiar la toma de

decisiones. La declaracin de cada principio se refiere a lo que
debera suceder, pero no prescribe cmo, cundo o por quin se
aplicaran los principios - ya que estos aspectos dependen de la
naturaleza de la organizacin la aplicacin de los principios-. Los
Directores deben exigir que se apliquen estos principios.
2.1.1 Principio 1: Responsabilidad
Los individuos y grupos dentro de la organizacin entienden y
aceptan sus responsabilidades con respecto a la oferta y la demanda
de TI. Los que tienen la responsabilidad de las acciones tambin
tienen la autoridad para llevar a cabo esas acciones.
2.1.2 Principio 2: Estrategia
La estrategia de negocio de la organizacin tiene en cuenta las
capacidades actuales y futuras de TI; los planes estratgicos de TI
deben satisfacer las necesidades actuales y en curso de la estrategia
de negocio de la organizacin.
2.1.3 Principio 3: Adquisicin
Las Adquisiciones de TI se hacen por razones vlidas, sobre la base de
su caso y en curso de anlisis, con la toma de decisiones clara y
transparente. Hay un equilibrio apropiado entre los beneficios,
oportunidades, costos y riesgos, tanto a corto plazo como a largo
plazo.
2.1.4 Principio 4: Rendimiento
Las TI son adecuadas para el propsito de apoyar la organizacin, la
prestacin de los servicios, niveles de servicio y calidad de servicio
requeridos para satisfacer las necesidades de negocio actual y futuro.
2.1.5 Principio 5: Conformidad
Cumple con todas las leyes y reglamentos obligatorios. Las polticas y
prcticas estn claramente definidos, aplicacin y cumplimiento.

2.1.6 Principio 6: Comportamiento Humano

Las Polticas de IT, prcticas y decisiones demuestran respeto por el

comportamiento humano, incluyendo las necesidades actuales y
futuras de todas las 'personas en el proceso'.

2.2 Modelo
Los directores deben gobernar TI a travs de tres tareas principales:

a) Evaluar el uso actual y futuro de las TI.

b) dirigir la preparacin y ejecucin de planes y polticas para
asegurar que el uso de las TI cumple con los objetivos de negocio.
c) Velar por el cumplimiento de las polticas y el desempeo contra
los planes.
La figura 1 muestra el modelo de Gobierno de TI del ciclo de EvaluarDirigir-Monitorear.
El siguiente texto figura 1 se explica los elementos y relaciones
representadas.

Figura 1 Modelo de Gobierno Corporativo de TI

Evaluar
Los directores deben examinar y hacer un juicio sobre el uso actual y
futuro de las TI, incluyendo estrategias, propuestas y acuerdos de
suministro (ya sean internas, externas, o ambas).
Al evaluar el uso de las TI, los directores deben tener en cuenta las
presiones externas o internas que actan sobre el negocio, tales
como el cambio tecnolgico, las tendencias econmicas y sociales, y
las influencias polticas.
Los directores deben realizar la evaluacin continua.

Los directores tambin deben tener en cuenta tanto las necesidades

de negocio actuales y futuras - los objetivos organizacionales actuales
y futuros que deben alcanzar, tales como el mantenimiento de la
ventaja competitiva, as como los objetivos especficos de las
estrategias y propuestas que estn evaluando.
Dirigir
Los directores deben asignar responsabilidades y realizar preparacin
directa y la aplicacin de planes y polticas. Los planes deben
establecer la direccin de las inversiones en proyectos de TI y
operaciones de TI. Las polticas deben establecer el comportamiento
seguro en el uso de las TI.
Los directores deben asegurarse de que la transicin de los proyectos
a estado operativo se planifica y gestiona adecuadamente, teniendo
en cuenta los impactos sobre las prcticas de negocio y operativos,
as como los sistemas y la infraestructura de TI existente.
Los Directores deben fomentar una cultura de buena gobernanza de
las TI en su organizacin al requerir gerentes para proporcionar
informacin oportuna, para cumplir con la direccin y para cumplir
con los seis principios de la buena gobernanza.
Si es necesario, los directores deben dirigir la presentacin de
propuestas para la aprobacin para hacer frente a las necesidades
identificadas.
Monitorear
Los Directores deben monitorear, a travs de sistemas de medicin
adecuados, el rendimiento de las TI. Ellos deberan confirmarse a s
mismos de que el rendimiento es de concordante con los planes,
especialmente en relacin con los objetivos del negocio.
Los directores tambin deben asegurarse de que la IT cumple con las
obligaciones externas y prcticas de trabajo internas.
Nota: La responsabilidad de los aspectos especficos de TI puede ser
delegada a los administradores de la organizacin. Sin embargo, la
responsabilidad por el uso y la entrega de TI eficaz, eficiente y
aceptable por una organizacin se queda con los directores y no
puede ser delegada.

3 ORIENTACIN PARA LA GOBERNANZA CORPORATIVA

de TI
3.1 Generalidades
Las siguientes secciones proporcionan una gua de los principios
generales de buen gobierno de TI y las prcticas necesarias para
aplicar los principios.
Las prcticas descritas no son exhaustivas, pero proporcionan un
punto de partida para la discusin de las responsabilidades de la
Administracin para la gobernanza de TI. Es decir, se sugieren las
prcticas descritas en la orientacin de Gobierno de TI.
Es responsabilidad de cada organizacin, de forma individual,
identificar las acciones especficas necesarias para poner en prctica
los principios, teniendo debidamente en cuenta la naturaleza de la
organizacin, y el anlisis adecuado de los riesgos y oportunidades
del uso de las TI.
Como base para la ilustracin, las prcticas descritas son aplicables a
la mayora de las organizaciones (grandes o pequeas), la mayora de
las veces. Cualquier variacin debe ser bien considerada.

3.2 Principio 1: Responsabilidad

Evaluar
Los directores deben evaluar las opciones para la asignacin de
responsabilidades en relacin con el uso actual y futuro de la
organizacin de TI. En la evaluacin de opciones, los directores deben
tratar de asegurar el uso y las entregas de TI eficaz, eficiente y
aceptable en apoyo de los objetivos de negocio actuales y futuras.
Los directores deben evaluar la competencia de los que recibieron la
responsabilidad de tomar decisiones sobre TI. Generalmente, estas
personas deben ser gerentes de empresas que tambin son
responsables de los objetivos de negocio de la organizacin y el
desempeo, asistidos por especialistas en TI que entienden los
valores y procesos de negocio.

Dirigir
Los directores deben ordenar que los planes se lleven a cabo de
acuerdo con las responsabilidades de TI asignadas.
Los directores deben dirigir el recibimiento de la informacin que
necesitan para cumplir con sus responsabilidades y la rendicin de
cuentas.

Monitorear
Los Directores deben vigilar que se establezcan mecanismos de
gobernanza de TI adecuados.
Los Directores deben vigilar que los que recibieron la responsabilidad
reconozcan y entiendan sus responsabilidades.

Los directores deben monitorear el desempeo de los que recibieron

la responsabilidad en el gobierno de TI (por ejemplo, aquellas
personas que desempean funciones en los comits de direccin o en
la presentacin de propuestas a los directores)

3.3 Principio 2: Estrategia

Evaluar
Los directores deben evaluar la evolucin de TI para asegurar que va
a proporcionar apoyo a las necesidades futuras del negocio.
Al considerar los planes y polticas, los directores deben evaluar las
actividades de TI para asegurarse de que se alinean con los objetivos
de la organizacin, tener la consideracin de mejores prcticas y
satisfacer otros requisitos de inters clave.
Los directores deben garantizar que el uso de TI est sujeto a
evaluacin adecuada del riesgo tal como se describe en las normas
internacionales y nacionales pertinentes.

Dirigir
Los directores deben dirigir la preparacin y el uso de los planes y
polticas que garanticen a la organizacin el beneficiarse de la
evolucin de las TI.
Los directores tambin deben alentar la presentacin de propuestas
de usos innovadores de TI que permiten a la organizacin para
responder a nuevas oportunidades o desafos, emprender nuevos
negocios o mejorar los procesos.

Monitorear
Los directores deben monitorear el progreso de las propuestas de TI
aprobadas para garantizar que se estn logrando los objetivos en los
plazos requeridos utilizando los recursos asignados.

Los directores deben supervisar el uso de las TI para asegurarse de

que estn obteniendo los beneficios previstos.

3.4 Principio 3: Adquisicin

Evaluar
Los directores deben evaluar las opciones propuestas de la TI,
equilibrando los riesgos y relacin calidad-precio de las inversiones
propuestas.
Dirigir
Los directores deben ordenar que las ventajas de TI (sistemas e
infraestructura) se adquieran de una manera apropiada, incluyendo la
preparacin de la documentacin adecuada, garantizando al mismo
tiempo que se proporcionan capacidades requeridas.
Los directores deben dirigir que los acuerdos de suministro
(incluyendo tanto los acuerdos de suministro internas y externas)
apoyen las necesidades de negocio de la organizacin.
Monitorear
Los directores deben monitorear las inversiones en TI para asegurar
que proporcionan las capacidades requeridas.
Los directores deben monitorear el grado en que su organizacin y
proveedores mantienen la comprensin compartida de la intencin de
la organizacin en la toma de cualquier adquisicin de TI.

3.5 Principio 4: Rendimiento

Evaluar
Los directores deben evaluar los medios propuestos por los
administradores para asegurar que se apoyarn los procesos de
negocio requeridos.
Estas propuestas deben abordar el mantenimiento normal del negocio
y el tratamiento del riesgo asociado con el uso de las TI.
Los directores deben evaluar los riesgos a la continua operacin del
negocio derivado de las actividades de TI.
Los directores deben evaluar los riesgos para la integridad de la
informacin y la proteccin de los activos de TI, incluida la propiedad
intelectual asociada y memoria organizacional.
Los directores deben evaluar las opciones para asegurar decisiones
eficaces y oportunas sobre el uso de las TIC en apoyo de los objetivos
de negocio.
Los directores deben evaluar regularmente la eficacia y el
rendimiento del sistema de la organizacin para la Gobernabilidad de
TI.
Dirigir
Los directores deben garantizar la asignacin de recursos suficientes
para que cumpla con las necesidades de la organizacin, de acuerdo
con las prioridades acordadas y las limitaciones presupuestarias.
Los directores deben dirigir a los responsables de garantizar que TI
soporta el negocio, cuando sea necesario por razones de negocios,
con correctos y actualizados datos que se protegen de la prdida o
mal uso.

Monitorear
Los directores deben vigilar la medida en que es compatible con el
negocio.
Los directores deben monitorear el grado en que la asignacin de
recursos y presupuestos se priorizan de acuerdo con los objetivos de
negocio.
Los directores deben monitorear el grado en que las polticas, como la
exactitud de los datos y el uso eficiente de las TI, se siguen
correctamente.

3.6 Principio 5: Conformacin

Evaluar
Los directores deben evaluar regularmente el grado en que satisface
las obligaciones (normativa, legislacin, derecho consuetudinario,
contractual), polticas internas, normas y directrices profesionales.
Los directores deben evaluar peridicamente el cumplimiento interno
de la organizacin de su sistema de gobernanza de la TI.
Dirigir
Los directores deben dirigir a los responsables de establecer
mecanismos regulares y rutinarios de asegurar que el uso de las TI
cumple con las obligaciones pertinentes (normativa, legislacin,
derecho consuetudinario, contractual), normas y directrices.
Los directores deben ordenar que las polticas se establezcan y hagan
cumplir para que la organizacin cumpla con sus obligaciones
internas en el uso de las TI.
Los directores deben ordenar que el personal de TI siga las directrices
pertinentes para la conducta profesional y el desarrollo.
Los directores deben dirigir que todas las acciones relacionadas con TI
sean ticas.
Monitorear

Los Directores deben vigilar el cumplimiento de TI y la conformidad a

travs de prcticas de presentacin de informes y de auditora
apropiadas, asegurando que las revisiones son oportunas, integrales y
adecuadas para la evaluacin del grado de satisfaccin de la
empresa.
Los directores deben monitorear las actividades de TI, incluyendo la
eliminacin de los activos y datos, para asegurar que el medio
ambiente, la privacidad, la gestin estratgica del conocimiento, la
preservacin de la memoria de la organizacin y otras obligaciones
pertinentes se cumplan.

3.7 Principio 6: Comportamiento Humano

Evaluar
Los directores deben evaluar las actividades de TI para asegurar que
los comportamientos humanos son identificados y considerados
adecuadamente.
Dirigir
Los directores deben dirigir las actividades de TI que son consistentes
con el comportamiento humano identificado.
Los directores deben ordenar que los riesgos, oportunidades,
problemas y preocupaciones puedan ser identificados y denunciados
por cualquiera en cualquier momento. Estos riesgos deben
gestionarse de acuerdo con las polticas y procedimientos publicados
y dirigidos a los que toman las decisiones pertinentes.
Monitorear
Los directores deben monitorear las actividades de TI para garantizar
que las conductas humanas identificadas siguen siendo pertinentes y
se da que la atencin adecuada a los mismos.

Los directores deben monitorear las prcticas de trabajo para

asegurarse de que sean compatibles con el uso adecuado de las TI.