INTERNATIONAL ISO/IEC

STANDARD 38500
Primera edición
2008-06-01

Gobierno corporativo de tecnología de la

información
Gobernanza des technologies de l'information par l'entreprise

Número de referencia
ISO/IEC 38500:2008(E)

© ISO/IEC 2008
 ISO/IEC 38500:2008(E)

Contenido Página

1 SCOPE, APPLICATION AND OBJECTIVES .............................................................. 1

1.1 Scope ........................................................................................................ 1
1.2 Application ................................................................................................. 1
1.3 Objectives .................................................................................................. 1
1.4 Benefits of Using This Standard .................................................................... 2
1.5 Referenced Documents ................................................................................ 3
1.6 Definitions .................................................................................................. 3
2 FRAMEWORK FOR GOOD CORPORATE GOVERNANCE OF IT .................................... 5
2.1 Principles ................................................................................................... 5
2.2 Model ........................................................................................................ 6
3 GUIDANCE FOR THE CORPORATE GOVERNANCE of IT ........................................... 9
3.1 General...................................................................................................... 9
3.2 Principle 1: Responsibility............................................................................. 9
3.3 Principle 2: Strategy .................................................................................. 11
3.4 Principle 3: Acquisition ............................................................................... 11
3.5 Principle 4: Performance ............................................................................ 12
3.6 Principle 5: Conformance ........................................................................... 13
3.7 Principle 6: Human Behaviour ..................................................................... 14
 © ISO/IEC 2008 - Todos los derechos reservados Iii

ISO/IEC 38500:2008(E)

Prólogo
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) forman el sistema especializado para la
normalización mundial. Organismos nacionales que son miembros de ISO o IEC
participan en el desarrollo de normas internacionales a través de comités
técnicos establecidos por la organización respectiva para tratar con los campos
particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran
en campos de interés mutuo. Otras organizaciones
internacionales, gubernamentales y no gubernamentales, en colaboración con la
ISO y la CEI, también toman parte en el trabajo. En el campo de la tecnología
de la información, la ISO y la CEI han establecido un comité técnico conjunto
ISO/IEC JTC 1.
Las normas internacionales son redactados de conformidad con las normas
que figuran en las normas ISO/IEC, Parte 2. La principal tarea del comité
técnico conjunto es preparar normas internacionales. Los proyectos de normas
internacionales aprobadas por el comité técnico conjunto se distribuyó a los
organismos nacionales para la votación. La publicación como norma
internacional requiere la aprobación por al menos el 75 % de los órganos
nacionales de emitir un voto.
Se señala a la atención la posibilidad de que algunos de los elementos de este
documento pueden estar sujetos a derechos de patente. La ISO y la CEI no se
responsabiliza por la identificación de cualquiera o todos los derechos de
patente.
ISO/IEC 38500 fue preparado por Standards Australia (como AS8015:2005) y
fue aprobada, en virtud de un procedimiento de "vía rápida", por el Comité
Técnico ISO/IEC JTC 1, tecnología de la información, en paralelo con su
aprobación por los órganos nacionales de la ISO y la CEI.
ISO/IEC 38500 es un alto nivel de estándar de asesoramiento basado en
principios. Además de proporcionar una orientación general sobre la función
de un órgano rector, se alienta a las organizaciones a utilizar normas
apropiadas para apuntalar su gobernanza.
En el momento de la publicación de esta norma, el JTC1 está continuando sus
esfuerzos para desarrollar nuevos documentos relativos a la gobernanza de la
tecnología de la información.
Estos documentos, que son susceptibles de ser lanzados en el futuro como la
ISO/IEC informes técnicos y, posiblemente, como las Normas, se espera
abordar una gama de temas, incluyendo:
• Gestión de proyectos de inversión en TI
• Gobernanza de la utilizada en las operaciones comerciales en curso

Iv © ISO/IEC 2008 - Todos los derechos reservados

ISO/IEC 38500:2008(E)

Introducción
El objetivo de esta norma es proporcionar un marco de principios para los
directores para utilizar a la hora de evaluar, dirigir y supervisar el uso de la
tecnología de la información (TI) en sus organizaciones.
La mayoría de las organizaciones utilizan como una herramienta empresarial
fundamental y son pocos los que pueden funcionar sin ella. También es un
factor importante en el futuro, los planes de negocio de muchas
organizaciones.
Los gastos en que pueda representar una proporción significativa de los gastos
de la organización de los recursos humanos y financieros. Sin embargo, un
retorno sobre la inversión a menudo no es realizado plenamente y los efectos
adversos sobre las organizaciones que pueden ser significativas.
Las razones principales de estas consecuencias negativas son el énfasis
sobre los aspectos técnicos, financieros y de programación de las
actividades de sus aspectos más que el énfasis en el contexto de toda la
empresa.
Este estándar proporciona un marco para la gestión eficaz de ella, para ayudar a
aquellos en el más alto nivel de las organizaciones comprendan y cumplan sus
aspectos legales, regulatorios y obligaciones éticas respecto de sus
organizaciones". El marco consta de definiciones, principios y un modelo.
 Esta norma está alineada con la definición de gobernabilidad corporativa que
fue publicado como un informe del Comité sobre los aspectos financieros de
la gobernanza corporativa (el Informe Cadbury) en 1992. El Informe Cadbury
también proporcionó la fundación definición de gobernabilidad corporativa en
los principios de gobernanza empresarial de la OCDE en 1999 (revisado en
2004). Los usuarios de esta norma son animados a familiarizarse con el
Informe Cadbury y los principios de gobernanza empresarial de la OCDE.
La gobernabilidad es distinta de la gestión, y para evitar confusiones, los dos
conceptos están claramente definidos en la norma.
Mientras que esta norma está dirigida fundamentalmente al consejo de
administración que, a su vez, pueden disponer que determinadas medidas
adoptadas por la administración de la organización, sino que también permite
que, en algunas organizaciones (generalmente más pequeña), los miembros
del consejo de administración también pueden ocupar los roles clave en la
gestión. De esta manera, se asegura que la norma es aplicable a todas las
organizaciones, desde el más pequeño hasta el más grande,
independientemente de la finalidad, el diseño y la estructura de propiedad.
La norma también está destinado a informar y orientar a aquellos involucrados
en el diseño y aplicación del sistema de gestión de políticas, procesos y
estructuras de apoyo al gobierno.

© ISO/IEC 2008 - Todos los derechos reservados V

Norma Internacional ISO/IEC 38500:2008(E)

Gobierno corporativo de tecnología de la información

1 Ámbito de aplicación y objetivos

1.1 Alcance
Esta norma establece los principios rectores para los directores de las
organizaciones (incluidos los propietarios, administradores, directivos, socios,
directivos, o similar) en la eficaz, eficiente y el uso aceptable de la tecnología
de la información (TI) en el seno de sus organizaciones.
Esta norma se aplica a la gestión de los procesos de gestión (y las decisiones
relativas a los servicios de información y de comunicación utilizados por una
organización. Estos procesos podrían ser controladas por especialistas en TI
dentro de la organización o de proveedores de servicios externos o de las
unidades de negocio dentro de la organización.
También se proporciona orientación a los asesorar, informar, o ayudar a los
directores. Éstos incluyen:
• Los altos directivos.
• Los miembros de los grupos que monitorean los recursos dentro de la
organización.
• Negocios externos o especialistas técnicos, tales como legal o
contabilidad; especialistas, minoristas, asociaciones u organismos
profesionales;
• Los proveedores de hardware, software, comunicaciones y otros
productos; • proveedores de servicios internos y externos (incluidos los
consultores).
• Auditores de TI.

1.2 Aplicación
Esta norma es aplicable a todas las organizaciones, incluidas las empresas
públicas y privadas, entidades gubernamentales y organizaciones sin fines de
lucro. La norma es aplicable a organizaciones de todos los tamaños, desde el
más pequeño hasta el más grande, independientemente de la magnitud de su
uso de ella.

1.3 Objetivos
El objetivo de esta norma es promover eficaces, eficientes y de uso aceptable
en todas las organizaciones por:
• Asegurando a los interesados (incluidos los consumidores, accionistas y
empleados) que, si la norma es seguida, pueden tener confianza en el
gobierno corporativo de la organización;
• Informar y guiar a los directores en la administración del uso de la TI en
su organización; y
• Proporcionar una base para la evaluación objetiva de la gobernabilidad
corporativa.

© ISO/IEC 2008 – All rights reserved 1

ISO/IEC 38500:2008(E)

1.4 Ventajas de usar este estándar

1.4.1 General
Esta norma establece los principios para el uso eficiente, eficaz y aceptable el
uso de la misma. Asegurar que sus organizaciones siga estos
principios directores ayudará a equilibrar los riesgos y estimulando las
oportunidades derivadas del uso de la misma.
Esta norma establece un modelo para la gestión de ésta. El riesgo de no
cumplir con sus obligaciones de directores es mitigado por prestar la debida
atención a la modelo en la correcta aplicación de los principios.
La norma establece un vocabulario para la Gobernanza.

1.4.2 La conformidad de la organización

Buen gobierno corporativo puede ayudar a los directores para asegurar el
cumplimiento de las obligaciones (normativos, la legislación, el derecho común,
contractuales) sobre el uso aceptable de él.
Insuficiencia de los sistemas de TI puede exponer a los directores para que el
riesgo de no cumplir con la legislación. Por ejemplo, en algunas jurisdicciones,
los directores podrían ser considerados personalmente responsables si un
sistema de contabilidad inadecuado resultados en impuestos no pagados.
Incorpore procesos relativos a riesgos específicos que deben abordarse de
forma apropiada. Por ejemplo, los directores deben ser responsables por las
infracciones de:
• Normas de seguridad;
• La legislación de privacidad;
• La legislación de spam;
• La legislación sobre prácticas comerciales;
• Los derechos de propiedad intelectual, incluidos los acuerdos de licencias
de software.
• Los requisitos de mantenimiento de registros.
• Las leyes y los reglamentos ambientales;
• La legislación en materia de salud y seguridad;
• La legislación de accesibilidad;
• Los criterios de responsabilidad social.
Los directores usando las pautas de este estándar son más propensos a cumplir
con sus obligaciones.

1.4.3 El desempeño de la organización

Buen gobierno corporativo ayuda a los directores de TI para garantizar que se
utilice contribuye positivamente al rendimiento de la organización, a través de:
• Implementación y funcionamiento adecuado de los activos de TI.
• La claridad de la responsabilidad y la rendición de cuentas, tanto para el
uso y disposición de las TI en el logro de los objetivos de la
organización.
• La continuidad del negocio y la sostenibilidad;
• La alineación de la TI con las necesidades del negocio.
• La asignación eficiente de los recursos.
• La innovación en los servicios, mercados y negocios;
2 © ISO/IEC 2008 – All rights reserved
 ISO/IEC 38500:2008(E)

• Buenas prácticas en las relaciones con los interesados.

• Reducción de los costes de una organización; y
• Realización de los beneficios aprobados por cada inversión.
1.5 Documentos de referencia
Los siguientes documentos están contemplados en esta norma:

Informe de la Comisión sobre los aspectos financieros de Corporate

Gobernanza, Sir Adrian Cadbury, Londres, 1992 ISBN 0 85258 913 1

Principios de Gobierno Corporativo de la OCDE, OCDE, 1999 y 2004

La Guía ISO 73 2002 - Gestión de Riesgos - Vocabulario - Directrices para

el uso en las normas.

1.6 Definiciones
Para los propósitos de esta norma, las definiciones siguientes se aplican.
Es de esperar que una organización adaptar la terminología utilizada dentro de
esta norma para adaptarlos a sus circunstancias o estructura.

1.6.1 Aceptable
Satisfacer las expectativas de los interesados directos que son capaces de ser
mostrado como razonable o se merecía.

1.6.2 Gobierno corporativo

El sistema por el cual las organizaciones son dirigidas y controladas. (Adaptado
de Cadbury 1992 y OCDE 1999)

1.6.3 Gobierno corporativo de TI

El sistema por el cual el uso actual y futuro de está dirigida y controlada.
Gobierno corporativo de TI implica evaluar y dirigir el uso de TI para apoyar
la organización y la supervisión de este uso para lograr los planes. Incluye la
estrategia y políticas para su uso dentro de una organización.

1.6.4 Autoridad
Con la combinación de conocimientos, formal e informal, formación,
experiencia, habilidades y atributos de comportamiento necesarios para realizar
una tarea o función.

1.6.5 Director
Miembro del consejo de administración más altos de una organización. Incluye
propietarios, los miembros de la junta directiva, socios, directivos o similar, y
los funcionarios autorizados por ley o reglamento.

© ISO/IEC 2008 – All rights reserved 3

ISO/IEC 38500:2008(E)

1.6.6 Comportamiento Humano

La comprensión de las interacciones entre los seres humanos y otros elementos
de un sistema con la intención de garantizar el bienestar y el rendimiento de los
sistemas. El comportamiento humano incluye la cultura, las necesidades y
aspiraciones de las personas como individuos y como grupos.
Nota: En el caso de ella, hay numerosos grupos o comunidades de seres
humanos, cada uno con sus propias necesidades, aspiraciones y
comportamientos. Por ejemplo, personas que utilizan sistemas de información
podría exhibir las necesidades relacionadas con la accesibilidad y la ergonomía,
así como la disponibilidad y el rendimiento. Las personas cuyas funciones de
trabajo están cambiando debido a la utilización de las tecnologías de la
información podrían presentar necesidades relacionadas con la comunicación, la
capacitación, y la tranquilidad. Las personas involucradas en la construcción y
explotación de las capacidades de TI podría exhibir las necesidades
relacionadas con las condiciones de trabajo y desarrollo de habilidades.

1.6.7 La tecnología de la información (TI)

Los recursos necesarios para adquirir, procesar, almacenar y difundir la
información. Este término también incluye la "tecnología de la Comunicación
(TC)" y el término compuesto "Tecnología de la información y la comunicación
(TIC)".

1.6.8 La inversión
Asignación de recursos humanos, el capital y otros recursos para lograr
objetivos definidos y otros beneficios.

1.6.9 Gestión
El sistema de controles y procesos necesarios para alcanzar los objetivos
estratégicos establecidos por el órgano rector de la organización. La gestión
está sujeta a la política de orientación y supervisión establecidos a través de la
gobernanza corporativa.

1.6.10 Organización
Cualquier empresa, corporación, gobierno, sin fines de lucro u otro organismo
legalmente constituido incluyendo asociaciones, clubes, asociaciones, agencias
del gobierno, las empresas que cotizan en bolsa, las empresas privadas y los
comerciantes independientes que tiene su propia función(s) y de la
administración.

1.6.11 Política
Declaraciones claras y mensurables de dirección preferida y comportamiento
para condicionar las decisiones tomadas dentro de una organización.

1.6.12 Propuesta
Compilación de beneficios, costos, riesgos, oportunidades y otros factores
aplicables a la toma de decisiones. Incluye casos de negocios.

4 © ISO/IEC 2008 – All rights reserved

 ISO/IEC 38500:2008(E)

1.6.13 Recursos
Las personas, procedimientos, software, información, equipos, ingredientes, la
infraestructura, los fondos operativos y de capital, y en el tiempo.
1.6.14 Riesgo
Combinación de la probabilidad de un suceso y sus consecuencias (ISO/IEC
Guide 73).
Nota: Las consecuencias son los impactos sobre la organización. Pueden ser
negativas, como en el uso común, o "oportunidades" de uso común.

1.6.15 Gestión de Riesgos

Actividades coordinadas para dirigir y controlar una organización con respecto
al riesgo (ISO/IEC Guide 73).

1.6.16 Los interesados

Cualquier persona, grupo u organización que pueda afectar, a ser afectados
por, o se perciben a sí mismos de ser afectado por una decisión o actividad
(adaptado de ISO/IEC Guide 73).

1.6.17 Estrategia
Una organización global de plan de desarrollo, describiendo el uso eficaz de los
recursos en apoyo de la organización en sus actividades futuras. Consiste en la
fijación de objetivos y proponer iniciativas para la acción.

1.6.18 Uso de TI
La planificación, diseño, desarrollo, implementación, operación, administración
y aplicación de la TI para satisfacer las necesidades de la empresa. Incluye
tanto la demanda como la oferta de servicios de TI por unidades empresariales
internas, unidades especializadas, o proveedores externos y servicios públicos
(tales como proporcionar software como servicios).
2 Marco para el buen gobierno corporativo de TI
2.1 Principios
En esta sección se exponen seis principios de buen gobierno corporativo de TI.
Los principios son aplicables a la mayoría de las organizaciones.
Los principios expresan comportamiento preferido para orientar la toma de
decisiones. La declaración de cada principio se refiere a lo que debería
suceder, pero no prescribe cómo, cuándo y por quién los principios serían
aplicadas, como estos aspectos dependen de la naturaleza de la organización
la aplicación de los principios. Los directores deben exigir que se aplican estos
principios.

2.1.1 Principio 1: Responsabilidad

Los individuos y grupos dentro de la organización comprendan y acepten sus
responsabilidades respecto de la oferta y la demanda. Los responsables de
las acciones también tienen la autoridad para llevar a cabo esas acciones.

© ISO/IEC 2008 – All rights reserved 5

ISO/IEC 38500:2008(E)

2.1.2 Principio 2: Estrategia

Estrategia de negocio de la organización tiene en cuenta las capacidades
actuales y futuras; los planes estratégicos para satisfacer las necesidades
actuales y en curso de la estrategia de negocio de la organización.

2.1.3 Principio 3: Adquisición

Adquisiciones de TI se hacen por razones válidas, sobre la base de una
apropiada y análisis en curso, con claridad y transparencia en la toma de
decisiones. Existe un equilibrio adecuado entre los beneficios, oportunidades,
costos y riesgos, tanto en el corto y el largo plazo.

2.1.4 Principio 4: Rendimiento

Es apto para su uso en el apoyo a la organización, la prestación de los servicios,
niveles de servicio y calidad de servicio requerida para satisfacer las
necesidades empresariales actuales y futuras.

2.1.5 Principio 5: Conformidad

Cumple con todas las leyes y reglamentos obligatorios. Las políticas y prácticas
están claramente definidas, implementadas y aplicadas.

2.1.6 Principio 6: Comportamiento Humano

Las políticas de TI, prácticas y decisiones demuestran respeto por el
comportamiento humano, incluida la actual y la evolución de las necesidades de
todas las personas en el proceso".

2.2 Modelo
Los directores deben regir a través de tres tareas principales:
a) Evaluar el uso actual y futuro de la misma.

b) Dirigir la preparación y ejecución de planes y políticas para asegurar que

el uso de cumple con los objetivos de negocio.

c) Supervisar el cumplimiento de las políticas y los resultados contra los

planes.

La figura 1 muestra el modelo de gobierno de TI del ciclo de Evaluate-

DirectMonitor. El texto siguiente Figura 1 explica los elementos y las
relaciones representadas.

6 © ISO/IEC 2008 – All rights reserved

 ISO/IEC 38500:2008(E)

Figura 1 Modelo de gobierno corporativo de TI

Evaluar
Los directores deben examinar y formular un juicio sobre el uso actual y futuro
del mismo, incluyendo estrategias, propuestas y acuerdos de suministro (ya
sean internos, externos o ambos).
En la evaluación del uso de éste, los directores deben considerar las presiones
externas o internas y actuando sobre el negocio, tales como el cambio
tecnológico, las tendencias económicas y sociales, y las influencias políticas.
Los directores deben realizar la evaluación continua, ya que las presiones del
cambio.
Los directores también deben tener en cuenta tanto las necesidades
empresariales actuales y futuras - los actuales y futuros objetivos
organizacionales que deben alcanzar, tales como el mantenimiento de la
ventaja competitiva, así como los objetivos específicos de las estrategias y
propuestas que están evaluando.
Direct
Los directores deben asignar responsabilidad, y dirigir la preparación y
ejecución de planes y políticas. Los planes deben fijar el rumbo de las
inversiones en proyectos de TI y las operaciones de TI. Las políticas deberían
establecer buen comportamiento en el uso de las TI.

Los directores deben asegurarse de que la transición de los proyectos al estado

operativo se planifican y gestionan adecuadamente, teniendo en cuenta los
impactos sobre los negocios y las prácticas operativas, así como los sistemas y
la infraestructura de TI existente.
Los directores deben fomentar una cultura de buen gobierno de las TI en su
organización, exigiendo a los administradores de proporcionar información
oportuna, para cumplir con la dirección y conformarse con los seis principios de
la buena gobernanza.
Si es necesario, los directores deben dirigir la presentación de propuestas para
su aprobación para abordar las necesidades identificadas.

© ISO/IEC 2008 – All rights reserved 7

ISO/IEC 38500:2008(E)

Monitor
Los directores deben vigilar, a través de sistemas de medición apropiados, el
rendimiento del mismo. Se debe tranquilizar a sí mismos que el rendimiento
está en conformidad con los planes, en particular con respecto a los objetivos
del negocio.
Los directores también deben asegurarse de que se cumple con las obligaciones
externas (normativos, la legislación, el derecho común, contractuales y
prácticas de trabajo interno.

Nota: la responsabilidad de aspectos concretos del mismo puede ser

delegada a los administradores dentro de la organización. Sin embargo,
la rendición de cuentas para el uso eficiente, eficaz y uso aceptable y la
entrega de la misma por una organización permanece con los directores
y no puede delegarse.

8 © ISO/IEC 2008 – All rights reserved

 ISO/IEC 38500:2008(E)

3 Orientación PARA EL GOBIERNO CORPORATIVO DE TI

3.1 General
Las siguientes secciones proporcionan orientación para los principios generales
de la buena gobernanza de las TI y las prácticas necesarias para aplicar los
principios.
Las prácticas descritas no son exhaustivos, sino proporcionar un punto de
partida para la discusión de las responsabilidades de los directores para la
gestión de ésta. Es decir, las prácticas descritas son la orientación sugerida
para la gobernanza de la TI.
Es responsabilidad de cada organización, individualmente, para identificar las
acciones específicas necesarias para aplicar los principios, dando la debida
consideración a la naturaleza de la organización, y un análisis adecuado de los
riesgos y oportunidades de la utilización de la misma.
Como base para la ilustración, las prácticas descritas son aplicables a la
mayoría de las organizaciones (grandes o pequeñas), la mayor parte del
tiempo. Cualquier variación debe ser bien considerado.

3.2 Principio 1: Responsabilidad

Evaluar

Los directores deben evaluar las opciones para la asignación de

responsabilidades respecto de la organización del uso actual y futuro de la
misma. En la evaluación de opciones, los directores deben tratar de asegurar la
efectiva, eficiente y uso aceptable y entrega de TI en apoyo de objetivos
empresariales actuales y futuras.
Los directores deben evaluar la competencia de las personas que reciben la
responsabilidad de tomar decisiones al respecto. Generalmente, estas personas
deben ser gestores de empresas que también son responsables de los objetivos
comerciales de la organización y el rendimiento, asistida por especialistas que
entienden los valores empresariales y procesos.

Direct

Los directores deben dirigir que los planes se lleven a cabo de acuerdo con las
responsabilidades asignadas.
Los directores deben dirigir que reciban la información que necesitan para
cumplir con sus responsabilidades y rendición de cuentas.

© ISO/IEC 2008 – All rights reserved 9

ISO/IEC 38500:2008(E)

Monitor

Los directores deben vigilar que se establezcan mecanismos de gobernanza.

Los directores deberían vigilar que aquellos que recibieron la responsabilidad de
reconocer y comprender sus responsabilidades.
Los directores deben vigilar el desempeño de las responsabilidades en la gestión
de TI (por ejemplo, aquellas personas que sirve en los comités de dirección o en
la presentación de propuestas a los directores).

10 © ISO/IEC 2008 – All rights reserved

 ISO/IEC 38500:2008(E)

3.3 Principio 2: Estrategia

Evaluar
Los directores deben evaluar los acontecimientos en TI y procesos de negocio para
asegurar que proporcionará apoyo a las futuras necesidades de su negocio.
En el examen de los planes y políticas, los directores deben evaluar las actividades
para asegurar que se alinean con los objetivos de la organización a las cambiantes
circunstancias, tomar el examen de prácticas mejores y satisfacer otros requisitos
clave involucrados.
Los directores deben asegurarse de que están sometidos a la evaluación de riesgos y
la evaluación correspondiente, como se describe en las normas internacionales y
nacionales correspondientes.

Direct

Los directores deben dirigir la preparación y utilización de planes y políticas que

aseguren la organización se beneficia de la evolución.
Los directores también deberán estimular la presentación de propuestas para usos
innovadores que permiten a la organización para responder a las nuevas
oportunidades y retos, emprender nuevos negocios o mejorar los procesos.

Monitor

Los directores deben supervisar el progreso de las propuestas aprobadas para

asegurarse de que están alcanzando los objetivos en plazos necesarios con los
recursos asignados.
Los directores deben supervisar el uso de las TI para asegurarse de que se están
logrando los beneficios previstos.

3.4 Principio 3: Adquisición

Evaluar

Los directores deben evaluar opciones para proporcionar a realizar propuestas

aprobadas, de equilibrar los riesgos y rentabilidad de las inversiones propuestas.

Direct

© ISO/IEC 2008 – All rights reserved 11

ISO/IEC 38500:2008(E)

Los directores deben dirigir que activos (sistemas e infraestructura) se adquieren en

forma adecuada, incluyendo la preparación de la documentación adecuada,
garantizando que las capacidades requeridas son proporcionados.
Los directores deben dirigir ese abastecimiento (incluyendo ambos acuerdos de
suministro interno y externo) apoyar las necesidades de negocio de la organización.

Monitor

Los directores deberían supervisar las inversiones de TI para asegurarse de que

proporcionan las capacidades necesarias.
Los directores deben vigilar en qué medida la organización y proveedores mantienen
el entendimiento compartido de la organización tiene la intención de hacer cualquier
adquisición de TI.

3.5 Principio 4: Rendimiento

Evaluar
Los directores deben evaluar los medios propuestos por los gestores para garantizar
que apoyarán los procesos empresariales con la capacidad necesaria y la capacidad.
Estas propuestas deberían abordar el continuar con el funcionamiento normal de la
empresa y el tratamiento de los riesgos asociados con el uso de las TI.
Los directores deben evaluar los riesgos para la continuidad de las actividades
derivadas de las actividades de TI.
Los directores deben evaluar los riesgos para la integridad de la información y la
protección de los activos de TI, incluidos los de propiedad intelectual asociada y
memoria organizativa.
Los directores deben evaluar las opciones para asegurar la eficaz, tomar decisiones
oportunas sobre uso de las tecnologías de la información en apoyo de los objetivos
de negocio.
Los directores deben evaluar periódicamente la eficacia y el rendimiento de la
organización del sistema de Gobernanza de TI.

Direct

Los directores deben asegurar la asignación de recursos suficientes a fin de que

cumpla con las necesidades de la organización, de acuerdo a las prioridades
acordadas y las limitaciones presupuestarias.
Los directores deben dirigir los responsables de garantizar que se apoya el negocio,
cuando sea necesario por razones de negocio, con la correcta y actualizada que esté
protegida de la pérdida o uso indebido.

12 © ISO/IEC 2008 – All rights reserved

 ISO/IEC 38500:2008(E)

Monitor

Los directores deben vigilar la medida en que soporta el negocio.

Los directores deben vigilar el grado en que los recursos asignados y los
presupuestos son prioridades en función de los objetivos empresariales.
Los directores deben determinar el grado en que las políticas, como la exactitud de
los datos y el uso eficiente de la misma, seguido correctamente.

3.6 Principio 5: Conformidad

Evaluar

Los directores deben evaluar periódicamente la medida en que satisfaga las

obligaciones (normativos, la legislación, el derecho común, contractual), políticas
internas, normas y directrices profesionales.
Los directores deben evaluar periódicamente la conformidad interna de la
organización para su sistema de gestión de TI.

Direct

Los directores deben dirigir los responsables de establecer y regular los mecanismos
de rutina para garantizar que la utilización de cumple con las obligaciones
pertinentes (normativos, la legislación, el derecho común, contractual), normas y
directrices.
Los directores deben dirigir que se establezcan y apliquen políticas que permitan a la
Organización cumplir sus obligaciones internas en su uso de ella.
Los directores deben dirigir que el personal siga las directrices pertinentes para la
conducta profesional y el desarrollo.
Los directores deben dirigir que todas las acciones relativas a la ética.

Monitor

© ISO/IEC 2008 – All rights reserved 13

ISO/IEC 38500:2008(E)

Los directores deben vigilar su cumplimiento y conformidad a través de

informes adecuados y las prácticas de auditoría, asegurando que los comentarios son oportun
y adecuados para la evaluación del grado de satisfacción de la empresa.
completos
Los directores deben supervisar las actividades de TI, incluida la venta de activos y de datos,
garantizar que el entorno, la privacidad, la gestión del conocimiento estratégico, la
preservación de la memoria institucional y otras obligaciones pertinentes sean cumplidos.

3.7 Principio 6: Comportamiento Humano

Evaluar
Los directores deben evaluar las actividades de TI para garantizar que los
comportamientos humanos son identificadas y consideradas de manera apropiada.

Direct

Los directores deben dirigir que identifican las actividades están en consonancia con
el comportamiento humano.
Los directores deben dirigir los riesgos, oportunidades, problemas y preocupaciones
pueden ser identificados y notificados por cualquiera en cualquier momento. Estos
riesgos deben ser gestionados de conformidad con las políticas y procedimientos
publicados y escalado a los responsables de la toma de decisiones pertinentes.

Monitor

14 © ISO/IEC 2008 – All rights reserved

 ISO/IEC 38500:2008(E)

Los directores deben supervisar las actividades de TI para garantizar que identifican

los comportamientos humanos siguen siendo pertinentes y de que se preste una

atención adecuada para ellos.
Los directores deberían supervisar las prácticas de trabajo para asegurar que sean
compatibles con el uso apropiado de la misma.

© ISO/IEC 2008 – All rights reserved 15