ISO/IEC 38500:2008(E)

INTERNATIONAL
STANDARD

ISO/IE
C
38500
Primera edicin
2008-06-01

Gobierno corporativo de tecnologa de la

informacin
Gobernanza des technologies de l'information par l'entreprise

Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd

Nr.181680-LfNr.4606714001-2009-09-24 11:21

ISO/IEC 2008 All rights reserved

Nmero de referencia
ISO/IEC 38500:2008(E)

ISO/IEC 2008

ISO/IEC 38500:2008(E)

Contenido

Pgina

1 SCOPE, APPLICATION AND OBJECTIVES..............................................................1

1.1 Scope.......................................................................................................1
1.2 Application................................................................................................1
1.3 Objectives.................................................................................................1
1.4 Benefits of Using This Standard....................................................................1
1.5 Referenced Documents................................................................................2
1.6 Definitions.................................................................................................3
2 FRAMEWORK FOR GOOD CORPORATE GOVERNANCE OF IT....................................5
2.1 Principles...................................................................................................5
2.2 Model.......................................................................................................6
3 GUIDANCE FOR THE CORPORATE GOVERNANCE of IT...........................................8
3.1 General.....................................................................................................8
3.2 Principle 1: Responsibility............................................................................8
3.3 Principle 2: Strategy.................................................................................10
3.4 Principle 3: Acquisition..............................................................................10
3.5 Principle 4: Performance............................................................................11
3.6 Principle 5: Conformance...........................................................................12
3.7 Principle 6: Human Behaviour.....................................................................13

Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd

Nr.181680-LfNr.4606714001-2009-09-24 11:21

 ISO/IEC 2008 - Todos los derechos reservados

ISO/IEC 38500:2008(E)

Prlogo
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) forman el sistema especializado para la
normalizacin mundial. Organismos nacionales que son miembros de ISO o IEC
participan en el desarrollo de normas internacionales a travs de comits
tcnicos establecidos por la organizacin respectiva para tratar con los campos
particulares de actividad tcnica. Los comits tcnicos de ISO e IEC colaboran
en campos de inters mutuo. Otras organizaciones
internacionales, gubernamentales y no gubernamentales, en colaboracin con la
ISO y la CEI, tambin toman parte en el trabajo. En el campo de la tecnologa
de la informacin, la ISO y la CEI han establecido un comit tcnico conjunto
ISO/IEC JTC 1.
Las normas internacionales son redactados de conformidad con las normas
que figuran en las normas ISO/IEC, Parte 2. La principal tarea del comit
tcnico conjunto es preparar normas internacionales. Los proyectos de normas
internacionales aprobadas por el comit tcnico conjunto se distribuy a los
organismos nacionales para la votacin. La publicacin como norma
internacional requiere la aprobacin por al menos el 75 % de los rganos
nacionales de emitir un voto.
Se seala a la atencin la posibilidad de que algunos de los elementos de este
documento pueden estar sujetos a derechos de patente. La ISO y la CEI no se
responsabiliza por la identificacin de cualquiera o todos los derechos de
patente.
Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd
Nr.181680-LfNr.4606714001-2009-09-24 11:21

ISO/IEC 38500 fue preparado por Standards Australia (como AS8015:2005) y

fue aprobada, en virtud de un procedimiento de "va rpida", por el Comit
Tcnico ISO/IEC JTC 1, tecnologa de la informacin, en paralelo con su
aprobacin por los rganos nacionales de la ISO y la CEI.
ISO/IEC 38500 es un alto nivel de estndar de asesoramiento basado en
principios. Adems de proporcionar una orientacin general sobre la funcin
de un rgano rector, se alienta a las organizaciones a utilizar normas
apropiadas para apuntalar su gobernanza.
En el momento de la publicacin de esta norma, el JTC1 est continuando sus
esfuerzos para desarrollar nuevos documentos relativos a la gobernanza de la
tecnologa de la informacin.

Iii

Estos documentos, que son susceptibles de ser lanzados en el futuro como la

ISO/IEC informes tcnicos y, posiblemente, como las Normas, se espera
abordar una gama de temas, incluyendo:

Gestin de proyectos de inversin en TI

Gobernanza de la utilizada en las operaciones comerciales en curso

Iv

ISO/IEC 2008 - Todos los derechos reservados

ISO/IEC 38500:2008(E)

Introduccin
El objetivo de esta norma es proporcionar un marco de principios para los
directores para utilizar a la hora de evaluar, dirigir y supervisar el uso de la
tecnologa de la informacin (TI) en sus organizaciones.
La mayora de las organizaciones utilizan como una herramienta empresarial
fundamental y son pocos los que pueden funcionar sin ella. Tambin es un
factor importante en el futuro, los planes de negocio de muchas
organizaciones.
Los gastos en que pueda representar una proporcin significativa de los gastos
de la organizacin de los recursos humanos y financieros. Sin embargo, un
retorno sobre la inversin a menudo no es realizado plenamente y los efectos
adversos sobre las organizaciones que pueden ser significativas.
Las razones principales de estas consecuencias negativas son el nfasis
sobre los aspectos tcnicos, financieros y de programacin de las
actividades de sus aspectos ms que el nfasis en el contexto de toda
la empresa.
Este estndar proporciona un marco para la gestin eficaz de ella, para ayudar a
aquellos en el ms alto nivel de las organizaciones comprendan y cumplan sus
aspectos legales, regulatorios y obligaciones ticas respecto de sus
organizaciones". El marco consta de definiciones, principios y un modelo.

Esta norma est alineada con la definicin de gobernabilidad corporativa que

fue publicado como un informe del Comit sobre los aspectos financieros de
la gobernanza corporativa (el Informe Cadbury) en 1992. El Informe Cadbury
tambin proporcion la fundacin definicin de gobernabilidad corporativa en
los principios de gobernanza empresarial de la OCDE en 1999 (revisado en
2004). Los usuarios de esta norma son animados a familiarizarse con el
Informe Cadbury y los principios de gobernanza empresarial de la OCDE.
La gobernabilidad es distinta de la gestin, y para evitar confusiones, los dos
conceptos estn claramente definidos en la norma.
Mientras que esta norma est dirigida fundamentalmente al consejo de
administracin que, a su vez, pueden disponer que determinadas medidas
adoptadas por la administracin de la organizacin, sino que tambin permite
que, en algunas organizaciones (generalmente ms pequea), los miembros
del consejo de administracin tambin pueden ocupar los roles clave en la
gestin. De esta manera, se asegura que la norma es aplicable a todas las
organizaciones, desde el ms pequeo hasta el ms grande,
independientemente de la finalidad, el diseo y la estructura de propiedad.
La norma tambin est destinado a informar y orientar a aquellos involucrados
en el diseo y aplicacin del sistema de gestin de polticas, procesos y
estructuras de apoyo al gobierno.

ISO/IEC 2008 - Todos los derechos reservados

Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd

Nr.181680-LfNr.4606714001-2009-09-24 11:21

Gobierno corporativo de tecnologa de la informacin

1 mbito de aplicacin y objetivos
1.1 Alcance
Esta norma establece los principios rectores para los directores de las organizaciones
(incluidos los propietarios, administradores, directivos, socios, directivos, o similar) en la
eficaz, eficiente y el uso aceptable de la tecnologa de la informacin (TI) en el seno de sus
organizaciones.
Esta norma se aplica a la gestin de los procesos de gestin (y las decisiones relativas a los
servicios de informacin y de comunicacin utilizados por una organizacin. Estos procesos
podran ser controladas por especialistas en TI dentro de la organizacin o de proveedores
de servicios externos o de las unidades de negocio dentro de la organizacin.

Estndar internacional

ISO/IEC 38500:2008(E)

Tambin se proporciona orientacin a los asesorar, informar, o ayudar a los directores. stos
incluyen:
Los altos directivos.
Los miembros de los grupos que monitorean los recursos dentro de la organizacin.
Negocios externos o especialistas tcnicos, tales como legal o contabilidad;
especialistas, minoristas, asociaciones u organismos profesionales;
Los proveedores de hardware, software, comunicaciones y otros
productos; proveedores de servicios internos y externos (incluidos los consultores).
Auditores de TI.

1.2 Aplicacin
Esta norma es aplicable a todas las organizaciones, incluidas las empresas pblicas y
privadas, entidades gubernamentales y organizaciones sin fines de lucro. La norma es
aplicable a organizaciones de todos los tamaos, desde el ms pequeo hasta el ms
grande, independientemente de la magnitud de su uso de ella.

1.3 Objetivos
El objetivo de esta norma es promover eficaces, eficientes y de uso aceptable en todas las
organizaciones por:
Asegurando a los interesados (incluidos los consumidores, accionistas y empleados)
que, si la norma es seguida, pueden tener confianza en el gobierno corporativo de la
organizacin;
Informar y guiar a los directores en la administracin del uso de la TI en su
organizacin; y
Proporcionar una base para la evaluacin objetiva de la gobernabilidad corporativa.

1.4 Ventajas de usar este estndar

1.4.1

General

Esta norma establece los principios para el uso eficiente, eficaz y aceptable el uso de la
misma. Asegurar que sus organizaciones siga estos principios directores ayudar a equilibrar
los riesgos y estimulando las oportunidades derivadas del uso de la misma.
Esta norma establece un modelo para la gestin de sta. El riesgo de no cumplir con sus
obligaciones de directores es mitigado por prestar la debida atencin a la modelo en la
Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd
Nr.181680-LfNr.4606714001-2009-09-24 11:21

correcta aplicacin de los principios.

La norma establece un vocabulario para la Gobernanza.

1.4.2

La conformidad de la organizacin

Buen gobierno corporativo puede ayudar a los directores para asegurar el cumplimiento de
las obligaciones (normativos, la legislacin, el derecho comn, contractuales) sobre el uso
aceptable de l.
Insuficiencia de los sistemas de TI puede exponer a los directores para que el riesgo de
no cumplir con la legislacin. Por ejemplo, en algunas jurisdicciones, los directores
podran ser considerados personalmente responsables si un sistema de contabilidad
inadecuado resultados en impuestos no pagados.
Incorpore procesos relativos a riesgos especficos que deben abordarse de forma apropiada.
Por ejemplo, los directores deben ser responsables por las infracciones de:

Normas de seguridad;
La legislacin de privacidad;
La legislacin de spam;
La legislacin sobre prcticas comerciales;
Los derechos de propiedad intelectual, incluidos los acuerdos de licencias de software.
Los requisitos de mantenimiento de registros.
Las leyes y los reglamentos ambientales;
La legislacin en materia de salud y seguridad;
La legislacin de accesibilidad;
Los criterios de responsabilidad social.

Los directores usando las pautas de este estndar son ms propensos a cumplir con sus
obligaciones.

1.4.3

El desempeo de la organizacin

Buen gobierno corporativo ayuda a los directores de TI para garantizar que se utilice
contribuye positivamente al rendimiento de la organizacin, a travs de:

Implementacin y funcionamiento adecuado de los activos de TI.

La claridad de la responsabilidad y la rendicin de cuentas, tanto para el uso y
disposicin de las TI en el logro de los objetivos de la organizacin.
La continuidad del negocio y la sostenibilidad;
La alineacin de la TI con las necesidades del negocio.
La asignacin eficiente de los recursos.
La innovacin en los servicios, mercados y negocios;
Buenas prcticas en las relaciones con los interesados.
Reduccin de los costes de una organizacin; y
Realizacin de los beneficios aprobados por cada inversin.

1.5 Documentos de referencia

Los siguientes documentos estn contemplados en esta norma:

Informe de la Comisin sobre los aspectos financieros de Corporate

Gobernanza, Sir Adrian Cadbury, Londres, 1992 ISBN 0 85258 913 1
Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd
Nr.181680-LfNr.4606714001-2009-09-24 11:21

Principios
de

Gobierno Corporativo de la OCDE, OCDE, 1999 y 2004

La Gua ISO 73 2002 - Gestin de Riesgos - Vocabulario - Directrices para el uso en las
normas.

1.6 Definiciones
Para los propsitos de esta norma, las definiciones siguientes se aplican.
Es de esperar que una organizacin adaptar la terminologa utilizada dentro de esta norma
para adaptarlos a sus circunstancias o estructura.

1.6.1

Aceptable

Satisfacer las expectativas de los interesados directos que son capaces de ser mostrado
como razonable o se mereca.

1.6.2

Gobierno corporativo

El sistema por el cual las organizaciones son dirigidas y controladas. (Adaptado de Cadbury
1992 y OCDE 1999)

1.6.3

Gobierno corporativo de TI

El sistema por el cual el uso actual y futuro de est dirigida y controlada.

Gobierno corporativo de TI implica evaluar y dirigir el uso de TI para apoyar la
organizacin y la supervisin de este uso para lograr los planes. Incluye la estrategia y
polticas para su uso dentro de una organizacin.

1.6.4

Autoridad

Con la combinacin de conocimientos, formal e informal, formacin, experiencia, habilidades

y atributos de comportamiento necesarios para realizar una tarea o funcin.

1.6.5

Director

Miembro del consejo de administracin ms altos de una organizacin. Incluye propietarios,

los miembros de la junta directiva, socios, directivos o similar, y los funcionarios autorizados
por ley o reglamento.

1.6.6

Comportamiento Humano

La comprensin de las interacciones entre los seres humanos y otros elementos de un

sistema con la intencin de garantizar el bienestar y el rendimiento de los sistemas. El
comportamiento humano incluye la cultura, las necesidades y aspiraciones de las personas
como individuos y como grupos.
Nota: En el caso de ella, hay numerosos grupos o comunidades de seres humanos, cada uno
con sus propias necesidades, aspiraciones y comportamientos. Por ejemplo, personas que
utilizan sistemas de informacin podra exhibir las necesidades relacionadas con la
accesibilidad y la ergonoma, as como la disponibilidad y el rendimiento. Las personas cuyas
funciones de trabajo estn cambiando debido a la utilizacin de las tecnologas de la
Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd
Nr.181680-LfNr.4606714001-2009-09-24 11:21

informacin podran presentar necesidades relacionadas con la comunicacin, la

capacitacin, y la tranquilidad. Las personas involucradas en la construccin y explotacin de
las capacidades de TI podra exhibir las necesidades relacionadas con las condiciones de
trabajo y desarrollo de habilidades.

1.6.7

La tecnologa de la informacin (TI)

Los recursos necesarios para adquirir, procesar, almacenar y difundir la informacin. Este
trmino tambin incluye la "tecnologa de la Comunicacin (TC)" y el trmino compuesto
"Tecnologa de la informacin y la comunicacin (TIC)".

1.6.8

La inversin

Asignacin de recursos humanos, el capital y otros recursos para lograr objetivos definidos y
otros beneficios.

1.6.9

Gestin

El sistema de controles y procesos necesarios para alcanzar los objetivos estratgicos

establecidos por el rgano rector de la organizacin. La gestin est sujeta a la poltica de
orientacin y supervisin establecidos a travs de la gobernanza corporativa.

1.6.10 Organizacin
Cualquier empresa, corporacin, gobierno, sin fines de lucro u otro organismo legalmente
constituido incluyendo asociaciones, clubes, asociaciones, agencias del gobierno, las
empresas que cotizan en bolsa, las empresas privadas y los comerciantes independientes
que tiene su propia funcin(s) y de la administracin.

1.6.11 Poltica
Declaraciones claras y mensurables de direccin preferida y comportamiento para
condicionar las decisiones tomadas dentro de una organizacin.

1.6.12 Propuesta
Compilacin de beneficios, costos, riesgos, oportunidades y otros factores aplicables a la
toma de decisiones. Incluye casos de negocios.

1.6.13 Recursos
Las personas, procedimientos, software, informacin, equipos, ingredientes, la
infraestructura, los fondos operativos y de capital, y en el tiempo.

1.6.14 Riesgo
Combinacin de la probabilidad de un suceso y sus consecuencias (ISO/IEC Guide 73).
Nota: Las consecuencias son los impactos sobre la organizacin. Pueden ser negativas, como
en el uso comn, o "oportunidades" de uso comn.

1.6.15 Gestin de Riesgos

Actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo
(ISO/IEC Guide 73).

1.6.16 Los interesados

Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd
Nr.181680-LfNr.4606714001-2009-09-24 11:21

Cualquier
persona,
grupo u organizacin que pueda afectar, a ser afectados por, o se perciben a s mismos de
ser afectado por una decisin o actividad (adaptado de ISO/IEC Guide 73).

1.6.17 Estrategia
Una organizacin global de plan de desarrollo, describiendo el uso eficaz de los recursos en
apoyo de la organizacin en sus actividades futuras. Consiste en la fijacin de objetivos y
proponer iniciativas para la accin.

1.6.18 Uso de TI
La planificacin, diseo, desarrollo, implementacin, operacin, administracin y aplicacin
de la TI para satisfacer las necesidades de la empresa. Incluye tanto la demanda como la
oferta de servicios de TI por unidades empresariales internas, unidades especializadas, o

proveedores externos y servicios pblicos (tales como proporcionar software como

servicios).

2 Marco para el buen gobierno corporativo de TI

2.1 Principios
En esta seccin se exponen seis principios de buen gobierno corporativo de TI. Los principios
son aplicables a la mayora de las organizaciones.
Los principios expresan comportamiento preferido para orientar la toma de decisiones. La
declaracin de cada principio se refiere a lo que debera suceder, pero no prescribe cmo,
cundo y por quin los principios seran aplicadas, como estos aspectos dependen de la
naturaleza de la organizacin la aplicacin de los principios. Los directores deben exigir
que se aplican estos principios.

2.1.1

Principio 1: Responsabilidad

Los individuos y grupos dentro de la organizacin comprendan y acepten sus

responsabilidades respecto de la oferta y la demanda. Los responsables de las acciones
tambin tienen la autoridad para llevar a cabo esas acciones.

2.1.2

Principio 2: Estrategia

Estrategia de negocio de la organizacin tiene en cuenta las capacidades actuales y futuras;

los planes estratgicos para satisfacer las necesidades actuales y en curso de la estrategia de
negocio de la organizacin.

2.1.3

Principio 3: Adquisicin

Adquisiciones de TI se hacen por razones vlidas, sobre la base de una apropiada y anlisis
en curso, con claridad y transparencia en la toma de decisiones. Existe un equilibrio
adecuado entre los beneficios, oportunidades, costos y riesgos, tanto en el corto y el largo
plazo.

2.1.4

Principio 4: Rendimiento

Es apto para su uso en el apoyo a la organizacin, la prestacin de los servicios, niveles de

servicio y calidad de servicio requerida para satisfacer las necesidades empresariales
actuales y futuras.
Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd
Nr.181680-LfNr.4606714001-2009-09-24 11:21

2.1.5

incipio 5: Conformidad
Cumple con todas las leyes y reglamentos obligatorios. Las polticas y prcticas estn
claramente definidas, implementadas y aplicadas.

2.1.6

Principio 6: Comportamiento Humano

Las polticas de TI, prcticas y decisiones demuestran respeto por el comportamiento

humano, incluida la actual y la evolucin de las necesidades de todas las personas en el
proceso".

Pr

2.2 Modelo
Los directores deben regir a travs de tres tareas principales:
a) Evaluar el uso actual y futuro de la misma.
b) Dirigir la preparacin y ejecucin de planes y polticas para asegurar que el uso de
cumple con los objetivos de negocio.
c) Supervisar el cumplimiento de las polticas y los resultados contra los planes.
La figura 1 muestra el modelo de gobierno de TI del ciclo de Evaluate-DirectMonitor. El
texto siguiente Figura 1 explica los elementos y las relaciones representadas.

Figura 1 Modelo de gobierno corporativo de TI

Evaluar
Los directores deben examinar y formular un juicio sobre el uso actual y futuro del mismo,
incluyendo estrategias, propuestas y acuerdos de suministro (ya sean internos, externos o
ambos).
En la evaluacin del uso de ste, los directores deben considerar las presiones externas o
internas y actuando sobre el negocio, tales como el cambio tecnolgico, las tendencias
econmicas y sociales, y las influencias polticas.
Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd
Nr.181680-LfNr.4606714001-2009-09-24 11:21

Los
directores

deben realizar la evaluacin continua, ya que las presiones del cambio.

Los directores tambin deben tener en cuenta tanto las necesidades empresariales actuales y
futuras - los actuales y futuros objetivos organizacionales que deben alcanzar, tales como el
mantenimiento de la ventaja competitiva, as como los objetivos especficos de
las estrategias y propuestas que estn evaluando.
Direct
Los directores deben asignar responsabilidad, y dirigir la preparacin y ejecucin de planes y
polticas. Los planes deben fijar el rumbo de las inversiones en proyectos de TI y las
operaciones de TI. Las polticas deberan establecer buen comportamiento en el uso de las
TI.

Los directores deben asegurarse de que la transicin de los proyectos al estado operativo se
planifican y gestionan adecuadamente, teniendo en cuenta los impactos sobre los negocios y
las prcticas operativas, as como los sistemas y la infraestructura de TI existente.
Los directores deben fomentar una cultura de buen gobierno de las TI en su organizacin,
exigiendo a los administradores de proporcionar informacin oportuna, para cumplir con la
direccin y conformarse con los seis principios de la buena gobernanza.
Si es necesario, los directores deben dirigir la presentacin de propuestas para su aprobacin
para abordar las necesidades identificadas.
Monitor
Los directores deben vigilar, a travs de sistemas de medicin apropiados, el rendimiento del
mismo. Se debe tranquilizar a s mismos que el rendimiento est en conformidad con los
planes, en particular con respecto a los objetivos del negocio.
Los directores tambin deben asegurarse de que se cumple con las obligaciones externas
(normativos, la legislacin, el derecho comn, contractuales y prcticas de trabajo interno.
Nota: la responsabilidad de aspectos concretos del mismo puede ser delegada a los
administradores dentro de la organizacin. Sin embargo, la rendicin de cuentas para
el uso eficiente, eficaz y uso aceptable y la entrega de la misma por una organizacin
permanece con los directores y no puede delegarse.

Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd

Nr.181680-LfNr.4606714001-2009-09-24 11:21

3 Orientacin PARA EL GOBIERNO CORPORATIVO DE TI

3.1 General
Las siguientes secciones proporcionan orientacin para los principios generales de la buena
gobernanza de las TI y las prcticas necesarias para aplicar los principios.
Las prcticas descritas no son exhaustivos, sino proporcionar un punto de partida para la
discusin de las responsabilidades de los directores para la gestin de sta. Es decir, las
prcticas descritas son la orientacin sugerida para la gobernanza de la TI.
Es responsabilidad de cada organizacin, individualmente, para identificar las acciones
especficas necesarias para aplicar los principios, dando la debida consideracin a la
naturaleza de la organizacin, y un anlisis adecuado de los riesgos y oportunidades de la
utilizacin de la misma.
Como base para la ilustracin, las prcticas descritas son aplicables a la mayora de las
organizaciones (grandes o pequeas), la mayor parte del tiempo. Cualquier variacin debe
ser bien considerado.

3.2 Principio 1: Responsabilidad

Evaluar
Los directores deben evaluar las opciones para la asignacin de responsabilidades respecto
de la organizacin del uso actual y futuro de la misma. En la evaluacin de opciones, los
directores deben tratar de asegurar la efectiva, eficiente y uso aceptable y entrega de TI en
apoyo de objetivos empresariales actuales y futuras.
Los directores deben evaluar la competencia de las personas que reciben la responsabilidad
de tomar decisiones al respecto. Generalmente, estas personas deben ser gestores de
empresas que tambin son responsables de los objetivos comerciales de la organizacin y el
rendimiento, asistida por especialistas que entienden los valores empresariales y procesos.
Direct
Los directores deben dirigir que los planes se lleven a cabo de acuerdo con las
Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd
Nr.181680-LfNr.4606714001-2009-09-24 11:21

responsabilidades asignadas.
Los directores deben dirigir que reciban la informacin que necesitan para cumplir con sus
responsabilidades y rendicin de cuentas.

Monitor

Los directores deben vigilar que se establezcan mecanismos de gobernanza.

Los directores deberan vigilar que aquellos que recibieron la responsabilidad de reconocer y
comprender sus responsabilidades.
Los directores deben vigilar el desempeo de las responsabilidades en la gestin de TI (por
ejemplo, aquellas personas que sirve en los comits de direccin o en la presentacin de
propuestas a los directores).

Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd

Nr.181680-LfNr.4606714001-2009-09-24 11:21

ISO/IEC 38500:2008(E)

3.3 Principio 2: Estrategia

Evaluar
Los directores deben evaluar los acontecimientos en TI y procesos de negocio para
asegurar que proporcionar apoyo a las futuras necesidades de su negocio.
En el examen de los planes y polticas, los directores deben evaluar las actividades
para asegurar que se alinean con los objetivos de la organizacin a las cambiantes
circunstancias, tomar el examen de prcticas mejores y satisfacer otros requisitos
clave involucrados.
Los directores deben asegurarse de que estn sometidos a la evaluacin de riesgos y
la evaluacin correspondiente, como se describe en las normas internacionales y
nacionales correspondientes.
Direct
Los directores deben dirigir la preparacin y utilizacin de planes y polticas que
aseguren la organizacin se beneficia de la evolucin.
Los directores tambin debern estimular la presentacin de propuestas para usos
innovadores que permiten a la organizacin para responder a las nuevas
oportunidades y retos, emprender nuevos negocios o mejorar los procesos.
Monitor
Los directores deben supervisar el progreso de las propuestas aprobadas para
asegurarse de que estn alcanzando los objetivos en plazos necesarios con los
recursos asignados.
Los directores deben supervisar el uso de las TI para asegurarse de que se estn
logrando los beneficios previstos.
Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd
Nr.181680-LfNr.4606714001-2009-09-2411:21

3.4 Principio 3: Adquisicin

Evaluar
Los directores deben evaluar opciones para proporcionar a realizar propuestas
aprobadas, de equilibrar los riesgos y rentabilidad de las inversiones propuestas.
Direct

16

ISO/IEC 2008 All rights reserved

ISO/IEC 38500:2008(E)

Los directores deben dirigir que activos (sistemas e infraestructura) se adquieren en

forma adecuada, incluyendo la preparacin de la documentacin adecuada,
garantizando que las capacidades requeridas son proporcionados.
Los directores deben dirigir ese abastecimiento (incluyendo ambos acuerdos de
suministro interno y externo) apoyar las necesidades de negocio de la organizacin.
Monitor
Los directores deberan supervisar las inversiones de TI para asegurarse de que
proporcionan las capacidades necesarias.
Los directores deben vigilar en qu medida la organizacin y proveedores mantienen
el entendimiento compartido de la organizacin tiene la intencin de hacer cualquier
adquisicin de TI.

3.5 Principio 4: Rendimiento

Evaluar
Los directores deben evaluar los medios propuestos por los gestores para garantizar
que apoyarn los procesos empresariales con la capacidad necesaria y la capacidad.
Estas propuestas deberan abordar el continuar con el funcionamiento normal de la
empresa y el tratamiento de los riesgos asociados con el uso de las TI.
Los directores deben evaluar los riesgos para la continuidad de las actividades
derivadas de las actividades de TI.
Los directores deben evaluar los riesgos para la integridad de la informacin y la
proteccin de los activos de TI, incluidos los de propiedad intelectual asociada y
memoria organizativa.
Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd
Nr.181680-LfNr.4606714001-2009-09-24 11:21

Los

directores deben evaluar las opciones para asegurar la eficaz, tomar decisiones
oportunas sobre uso de las tecnologas de la informacin en apoyo de los objetivos
de negocio.
Los directores deben evaluar peridicamente la eficacia y el rendimiento de la
organizacin del sistema de Gobernanza de TI.
Direct
Los directores deben asegurar la asignacin de recursos suficientes a fin de que
cumpla con las necesidades de la organizacin, de acuerdo a las prioridades
acordadas y las limitaciones presupuestarias.

ISO/IEC 2008 All rights reserved

17

ISO/IEC 38500:2008(E)

Los directores deben dirigir los responsables de garantizar que se apoya el negocio,
cuando sea necesario por razones de negocio, con la correcta y actualizada que est
protegida de la prdida o uso indebido.
Monitor
Los directores deben vigilar la medida en que soporta el negocio.
Los directores deben vigilar el grado en que los recursos asignados y los
presupuestos son prioridades en funcin de los objetivos empresariales.
Los directores deben determinar el grado en que las polticas, como la exactitud de
los datos y el uso eficiente de la misma, seguido correctamente.

3.6 Principio 5: Conformidad

Evaluar
Los directores deben evaluar peridicamente la medida en que satisfaga las
obligaciones (normativos, la legislacin, el derecho comn, contractual), polticas
internas, normas y directrices profesionales.
Los directores deben evaluar peridicamente la conformidad interna de la
organizacin para su sistema de gestin de TI.
Direct
Los directores deben dirigir los responsables de establecer y regular los mecanismos
de rutina para garantizar que la utilizacin de cumple con las obligaciones
pertinentes (normativos, la legislacin, el derecho comn, contractual), normas y
directrices.
Los directores deben dirigir que se establezcan y apliquen polticas que permitan a la
Organizacin cumplir sus obligaciones internas en su uso de ella.
Los directores deben dirigir que el personal siga las directrices pertinentes para la
conducta profesional y el desarrollo.
Los directores deben dirigir que todas las acciones relativas a la tica.
Monitor

18

ISO/IEC 2008 All rights reserved

ISO/IEC 38500:2008(E)

Los directores deben vigilar su cumplimi

informes adecuados y las prcticas de auditora, asegura
y adecuados para la evaluacin del grado

Los directores deben supervisar las actividades de TI

garantizarque el entorno, la privacidad, la gestin
preservacin de la memoria institucional y otras

Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd

Nr.181680-LfNr.4606714001-2009-09-24 11:21

3.7 Principio 6: Comportamiento Humano

Evaluar
Los directores deben evaluar las actividades de TI para garantizar que los
comportamientos humanos son identificadas y consideradas de manera apropiada.

ISO/IEC 2008 All rights reserved

19

ISO/IEC 38500:2008(E)

Direct
Los directores deben dirigir que identifican las actividades estn en consonancia con
el comportamiento humano.
Los directores deben dirigir los riesgos, oportunidades, problemas y preocupaciones
pueden ser identificados y notificados por cualquiera en cualquier momento. Estos
riesgos deben ser gestionados de conformidad con las polticas y procedimientos
publicados y escalado a los responsables de la toma de decisiones pertinentes.
Monitor
Los directores deben supervisar las actividades de TI para garantizar que identifican
los comportamientos humanos siguen siendo pertinentes y de que se preste una
atencin adecuada para ellos.
Los directores deberan supervisar las prcticas de trabajo para asegurar que sean
compatibles con el uso apropiado de la misma.

Normen-Download-Beuth-A. Stein'sche Buchhandlung GmbH-Kd

Nr.181680-LfNr.4606714001-2009-09-24 11:21

20

ISO/IEC 2008 All rights reserved