GOBIERNO CORPORATIVO DE TI
INDICE INTRODUCCIÓN....................................................................................................3
ALCA ALCANC NCE, E, APLIC PLICAC ACIÓ IÓN N Y OBJET OBJETIV IVOS OS...........................................................5
I. 1.
.......................................................... ........................................ ........................................ .......................... ...... 5 Alcance......................................
2.
Aplicación....................................................................................................6
.
O!"e#i$%&.....................................................................................................6
'.
Bene(i Bene(ici% ci%&& )e )e la la *#il *#ili+a i+ació ción n )e )e ea ea N%-a N%-a..........................................................6 a.
Geneal....................................................................................................6
!.
C-p C-pli li-i -ien en#% #% )e la O/an O/ani+ i+ac ació ión n..................................................................7
c.
De&e De&e-p -pe0 e0%% )e )e la la O/ O/an ani+ i+ac ació ión n......................................................................8
.
D%c D% c-en#% en#%&& )e Re(e Re(ee enc ncia ia..............................................................................9
.
De(inici%ne&..................................................................................................9
II. II. 1.
13
Acep#a!le....................................... ........................................................... ........................................ ....................................... ................... 9
23
G%!e G% !en nan an+a +a C% C%p p% %a# a#i$ i$aa.............................................................................9
3
G%!e G% !en nan an+a +a C% C%p p% %a# a#i$ i$aa )e )e la la TI TI..................................................................9
'3
C%-pe#en#e.............................................................................................10
3
A)-inia)%.........................................................................................10
3
C%n)c#a 4-a -ana...................................................................................10
53
Tecn%l cn%l%/ %/6a 6a )e )e la In( In(% %-a -aci ción ón 7TI 7TI33................................................................11
83
In$e&ión................................................................................................11
93
Geión...................................................................................................11
113
P%l6#ica................................................................................................12
123
P%pea............................................................................................12
13
Rec&%&..............................................................................................12
1'3
Rie&/%.................................................................................................12
13
Geión )e )e Ri Rie&/%..................................................................................12
13 13
Pa# Pa#ee In#e In#ee e&a &a)a )a 7S#a 7S#a:e :e;% ;%l) l)e e33................................................................12
153
Ea#e/ia............................................................................................13
183
*&% )e la TI..........................................................................................13
Página 1
GOBIERNO CORPORATIVO DE TI A. Pin Pinci cipi pi%% 1> Re&p Re&p%n %n&a &a!i !ili li)a )a) )......................................................................14 B. Pin Pinci cipi pi%% 2> 2> E Ea a#e #e/i /iaa...............................................................................14 C. Pin Pinci cipi pi%% > A)?i& )?i&ic ició ión n.............................................................................14 D. Pin Pinci cipi pi%% '> '> De& De&ee-pe pe0% 0%.............................................................................14 E. Pin Pinci cipi pi%% > C-p C-pli li-i -ien en#% #%.........................................................................14 @. 2.
Pin Pinci cipi pi%% > C% C%n) n)c# c#aa 4-an 4-anaa...................................................................14 <%)el%......................................................................................................15
Figura 1 - ModelodelaGobernanzaCorporativadelaTI.....................................................15 III. III.
DIREC DIRECTRI TRICES CES PAR PARA A LA GOBERN GOBERNAN= AN=A A CORP CORPORA ORATI TIV VA DE LA TI TI...............17
1.
O!&e O!&e$ $ac aci% i%ne ne&& Ge Gene nea ale le&&..............................................................................17
2.
Pin Pinci cipi pi%% 1> Re&p Re&p%n %n&a &a!i !ili li)a )a) ).........................................................................18
.
Pin Pinci cipi pi%% 2> E Ea# a#e/ e/ia ia..................................................................................19
'.
Pin Pinci cipi pi%% > > A)?i )?i&i &ici ción ón................................................................................20
.
Pinci incipi pi%% '> '> De& De&ee-pe pe0% 0%................................................................................21
.
Pin Pinci cipi pi%% > > CC-pl plii-ie ien# n#%%............................................................................22
5.
Pin Pinci cipi pi%% > > C%n) C%n)c c#a #a 4-a 4-ana na......................................................................23
Conclusiones..................................... ......................................................... ........................................ ........................................ ............................ ........ 25 Bibliografía..........................................................................................................26
INTROD*CCIÓN
Página 2
GOBIERNO CORPORATIVO DE TI l ob"etivo de esta nor#a es proporcionar un #arco de principios para los ad#inistradores cuando eval$en% diri"an & supervisen el uso de la Tecnología de la Infor#aci'n (TI) en sus organizaciones* +a #a&oría de las organizaciones utilizan la TI co#o ,erra#ienta funda#ental para el negocio% & pocas pueden funcionar eficaz#ente sin ella* +a TI es ta#bi-n un factor i#portante en los planes futuros de negocio de #uc,as organizaciones* +os gastos en TI pueden representar una parte i#portante de los gastos de una organizaci'n en recursos financieros & ,u#anos* .in e#bargo% a #enudo no se produce el retorno esperado de esta inversi'n & el i#pacto negativo en las organizaciones puede ser i#portante* +as principales razones de estos resultados negativos son dar #a&or i#portancia a la tecnología% finanzas & aspectos de la planificaci'n de las actividades de TI% /ue al conte0to global del uso de la TI en el negocio* sta nor#a proporciona un #arco eficaz para la gobernanza de la TI para a&udar a las personas del #10i#o nivel de las organizaciones a co#prender & cu#plir con sus obligaciones legales% regla#entarias & -ticas respecto al uso /ue% en sus organizaciones% se ,ace de la TI* l #arco inclu&e definiciones% principios & un #odelo* sta nor#a se a"usta a la definici'n de gobernanza corporativa publicada co#o un infor#e de la Co#isi'n sobre los aspectos financieros de la gobernanza corporativa (el Infor#e Cadbur&) en 2334* l Infor#e Cadbur& ta#bi-n aport' la definici'n b1sica de la gobernanza corporativa en los 5rincipios de gobernanza corporativa de la OCD de 2333 (revisados en 4667)* .e ani#a a los usuarios de esta nor#a a fa#iliarizarse con el Infor#e Cadbur& & los 5rincipios de gobernanza corporativa de la OCD*
Página 3
GOBIERNO CORPORATIVO DE TI +a gobernanza es distinta de la gesti'n &% para evitar cual/uier confusi'n% los dos conceptos se definen clara#ente en la presente nor#a* .i bien esta nor#a est1 dirigida principal#ente al cuerpo de gobierno% /uien a su vez puede deter#inar /ue ciertas acciones sean realizadas por la direcci'n de la organizaci'n% ta#bi-n per#ite /ue% en algunas organizaciones (nor#al#ente las #1s pe/ue8as)% los #ie#bros del cuerpo de gobierno ta#bi-n puedan dese#pe8ar funciones claves en la gesti'n* De esta #anera% se asegura /ue la nor#a sea aplicable para todas las organizaciones% desde las #1s pe/ue8as a las #1s grandes% independiente#ente del prop'sito% dise8o & estructura societaria* sta nor#a ta#bi-n tiene por ob"eto infor#ar & orientar a los involucrados en el dise8o e i#ple#entaci'n del siste#a de gesti'n sobre políticas% procesos & estructuras /ue sostienen a la gobernanza*
Página 4
GOBIERNO CORPORATIVO DE TI GOBERNAN=A CORPORATIVA DE LA TECNOLOGIA DE IN@OR
I.
ALCANCE, APLICACIÓN Y OBJETIVOS 1. Alcance sta nor#a proporciona principios orientadores para los ad#inistradores de las organizaciones (inclu&endo propietarios% #ie#bros del conse"o% directivos% socios% altos e"ecutivos o si#ilares) sobre el uso eficaz% eficiente & aceptable de la Tecnología de la Infor#aci'n (TI) en sus organizaciones* sta nor#a se aplica a la gobernanza de los procesos (& decisiones) de gesti'n relativos a los servicios de infor#aci'n & co#unicaci'n utilizados por una organizaci'n* stos procesos podrían ser controlados tanto por especialistas en TI de la organizaci'n co#o por proveedores de servicios e0ternos% o unidades de negocio dentro de la organizaci'n* Ta#bi-n proporciona orientaci'n a los /ue asesoran% infor#an% o a&udan a los ad#inistradores% entre los /ue se inclu&en9 altos
directivos: #ie#bros de los grupos /ue #onitorizan los recursos dentro de la organizaci'n: especialistas e0ternos% t-cnicos o de negocio% co#o pueden ser "urídicos o contables: asociaciones co#erciales #inoristas u
organis#os profesionales: fabricantes de ,ard;are% soft;are% co#unicaciones & otros productos de TI: proveedores de servicios internos & e0ternos (incluidos consultores): auditores de TI* (International Standard ISOI!" 38500# 2008$
2. Aplicación sta nor#a es aplicable a todas las organizaciones% &a sean e#presas p$blicas o privadas% entidades guberna#entales & entidades sin 1ni#o de lucro* +a nor#a es asi#is#o aplicable a organizaciones de todos los
Página 5
GOBIERNO CORPORATIVO DE TI ta#a8os% desde las #1s pe/ue8as ,asta las #1s grandes% con independencia de su grado de utilizaci'n de la TI* (International .tandard I.O?66% 466>)
. O!"e#i$%& l prop'sito de esta nor#a es pro#over el uso eficaz% eficiente & aceptable de la TI en todas las organizaciones por #edio de9
asegurar a las partes interesadas (incluidos clientes% accionistas & e#pleados) /ue si siguen la nor#a% pueden con@ fiar en la
gobernanza corporativa de la TI dentro de la organizaci'n: infor#ar & orientar a los ad#inistradores sobre el gobierno del uso de la TI en su organizaci'n: & proporcionar una base de referencia para la evaluaci'n ob"etiva de la gobernanza corporativa de la TI* (International .tandard I.O?66% 466>)
'. Bene(ici%& )e la *#ili+ación )e ea N%-a a. Geneal sta nor#a establece principios para el uso eficaz% eficiente & aceptable de la TI* Asegurando a a/uellas organizaciones /ue el segui#iento de estos principios a&udar1 a sus ad#inistradores a sopesar los riesgos & fo#entar oportunidades derivadas de la utilizaci'n de la TI* sta nor#a establece un #odelo de gobernanza de la TI* l riesgo de /ue los ad#inistradores no cu#plan con sus obligaciones se #itiga prestando la debida atenci'n al #odelo & aplicando correcta#ente los principios* +a nor#a proporciona un vocabulario para la gobernanza de la TI* (International .tandard I.O?66% 466>)
!. C-pli-ien#% )e la O/ani+ación Página 6
GOBIERNO CORPORATIVO DE TI +a adecuada gobernanza corporativa de la TI puede a&udar a los ad#inistradores a asegurar el cu#pli#iento con las obligaciones (regla#entarias% legislativas% de derec,o consuetudinario & contractual) relativas al uso aceptable de la TI* .iste#as
inadecuados
de
TI
pueden
e0poner
a
los
ad#inistradores al riesgo de no cu#plir con la legislaci'n* 5or e"e#plo% en algunas "urisdicciones% los ad#inistradores podrían ser personal#ente responsables si un siste#a contable inadecuado tiene co#o resultado el i#pago de i#puestos* +os procesos relacionados con la TI incorporan riesgos específicos /ue
deben
abordarse
ad#inistradores
podrían
adecuada#ente* ser
5or
considerados
e"e#plo%
los
responsables
de
infracciones relativas a9 nor#as de seguridad legislaci'n sobre la privacidad legislaci'n sobre correo basura legislaci'n sobre las pr1cticas co#erciales derec,os de propiedad intelectual% incluidos los acuerdos de
licencia de soft;are re/uisitos de retenci'n de infor#aci'n le&es & regla#entaciones a#bientales legislaci'n sobre salud & seguridad legislaci'n sobre accesibilidad nor#as de responsabilidad social Utilizando las directrices de esta nor#a% es #1s probable /ue los ad#inistradores cu#plan con sus obligaciones* (International .tandard I.O?66% 466>)
c. De&e-pe0% )e la O/ani+ación +a adecuada gobernanza corporativa de la TI a&uda a los ad#inistradores a asegurar /ue el uso de la TI contribu&e positiva#ente al dese#pe8o de la organizaci'n% #ediante9
una i#ple#entaci'n & e0plotaci'n adecuada de los activos de la TI Página 7
GOBIERNO CORPORATIVO DE TI claridad
de la responsabilidad e i#putabilidad tanto para el
uso co#o para la provisi'n de la TI para el logro de los
ob"etivos de la organizaci'n la continuidad & sostenibilidad del negocio la alineaci'n de la TI con las necesidades del negocio la asignaci'n eficiente de recursos la innovaci'n en los servicios% #ercados% & negocios las buenas pr1cticas en las relaciones con las partes
interesadas la reducci'n de los costes de una organizaci'n la consecuci'n real de los beneficios aprobados para cada inversi'n en TI (International .tandard I.O?66% 466>)
. D%c-en#%& )e Re(eencia n esta nor#a se ,ace referencia a los siguientes docu#entos9 2* Infor#e de la Co#isi'n sobre Aspectos inancieros de la Gobernanza Corporativa% .ir AdrianCadbur&% +ondon% 2334 I.BN 6 >?4?> 32= 2 4* OCD 5rincipios de Gobernanza Corporativa% OCD% 2333 & 4667 =* Guía I.O = 4664 Gesti'n del riesgo* ocabulario (Gobernanza Corporativa de la Tecnología de la Infor#aci'n% 462=)
. De(inici%ne& A los efectos de la presente nor#a% se aplican las siguientes definiciones* .e espera /ue la organizaci'n adapte la ter#inología utilizada en esta nor#a a sus circunstancias o estructura*
13 Acep#a!le .atisface las e0pectativas% /ue se ,an podido e0presar co#o razonables o "ustificadas de las partes interesadas*
23 G%!enan+a C%p%a#i$a l siste#a por el cual se dirigen & controlan las organizaciones* (Infor#e de la Co#isi'n sobre Aspectos inancieros de la Gobernanza Corporativa% .ir Adrian Cadbur&% 2334) (OCD 5rincipios de Gobernanza Corporativa% 2333 & 4667) Página 8
GOBIERNO CORPORATIVO DE TI 3 G%!enan+a C%p%a#i$a )e la TI l siste#a por el cual se dirige & controla el uso% actual & futuro% de la TI* +a gobernanza corporativa de la TI i#plica evaluar & dirigir la utilizaci'n de la TI para dar soporte a la organizaci'n & la #onitorizaci'n de ese uso para lograr la consecuci'n de los planes* Inclu&e la estrategia & políticas para la utilizaci'n de la TI en la organizaci'n* (OCD 5rincipios de Gobernanza Corporativa% 2333 & 4667)
'3 C%-pe#en#e Eue posee la co#binaci'n del conoci#iento% las ,abilidades for#ales e infor#ales% la for#aci'n% los atributos de e0periencia & de co#porta#iento% necesarios para realizar una tarea o rol
3 A)-inia)% Mie#bro del cuerpo de gobierno #1s alto de una organizaci'n* Inclu&e propietarios% #ie#bros del co#it- de direcci'n% socios% altos e"ecutivos o si#ilares% & los #andos autorizados por le&es o regulaciones*
3 C%n)c#a 4-ana +a co#prensi'n de las interacciones entre los seres ,u#anos & otros ele#entos de un siste#a con la intenci'n de asegurar el bienestar de las personas & el rendi#iento de los siste#as* +a conducta ,u#ana inclu&e la cultura% necesidades & aspiraciones de las personas co#o individuos & co#o grupos*
NOTA> Con respecto a la TI% ,a& nu#erosos grupos o co#unidades de personas% cada una con sus propias necesidades% aspiraciones & co#porta#ientos* 5or e"e#plo% las personas /ue utilizan los siste#as de infor#aci'n podrían #ostrar necesidades relacionadas con la Página 9
GOBIERNO CORPORATIVO DE TI accesibilidad & ergono#ía% así co#o la disponibilidad & el dese#pe8o* 5ersonas cu&a funci'n es ca#biante debido a la utilizaci'n de la TI pueden plantear necesidades relacionadas con la co#unicaci'n% for#aci'n & tran/uilidad* 5ersonas involucradas en la construcci'n & operaci'n de la TI podrían #ostrar necesidades relativas a las condiciones de traba"o & al desarrollo de ,abilidades*
53 Tecn%l%/6a )e la In(%-ación 7TI3 Recursos necesarios para ad/uirir% procesar% al#acenar & difundir infor#aci'n* ste t-r#ino ta#bi-n inclu&e la FTecnología de la Co#unicaci'n (TC)F & el t-r#ino co#puesto FTecnología de Infor#aci'n & Co#unicaci'n (TIC)F*
83 In$e&ión Asignaci'n de recursos ,u#anos% financieros & otros% con el fin de alcanzar los ob"etivos establecidos & otros beneficios*
93 Geión l siste#a de controles & los procesos necesarios para alcanzar los ob"etivos estrat-gicos establecidos por el 'rgano de gobierno de la organizaci'n* +a gesti'n est1 su"eta a la direcci'n #arcada por la política & segui#iento establecidos por #edio de la gobernanza corporativa*
13 O/ani+ación Cual/uier e#presa% corporaci'n% gobierno% organizaci'n sin 1ni#o de lucro u otra entidad legal#ente constituida /ue cuenta con ad#inistraci'n clubes%
&
sociedades%
#isi'n
propias%
agencias
inclu&endo
asociaciones%
guberna#entales% e#presas /ue
cotizan en bolsa% e#presas privadas & e#presas unipersonales*
113 P%l6#ica Declaraciones claras & #edibles de la direcci'n & conductas preferidas para condicionar las decisiones /ue se to#an dentro de la organizaci'n* Página 10
GOBIERNO CORPORATIVO DE TI 123 P%pea Co#pilaci'n de los beneficios% costes% riesgos% oportunidades & otros factores aplicables a las decisiones a adoptar* Inclu&e casos de negocio*
13 Rec&%& 5ersonas%
procedi#ientos%
soft;are%
infor#aci'n%
e/uipos%
consu#ibles% infraestructura% capital & fondos de #aniobra% & tie#po*
1'3 Rie&/% fecto de la incertidu#bre sobre la consecuci'n de los ob"etivos(Guía I.O = % 4664)
NOTA> Un efecto es una desviaci'n% positiva &
13 Geión )e Rie&/% Actividades coordinadas para dirigir & controlar una organizaci'n con respecto al riesgo (Guía I.O = % 4664)
13 Pa#e In#ee&a)a 7S#a:e;%l)e3 5ersona u organizaci'n /ue puede afectar% estar afectada% o percibir /ue est- afectada por una decisi'n o actividad (Guía I.O = % 4664)
153 Ea#e/ia 5lan global de desarrollo de una organizaci'n /ue describe el uso eficaz de recursos en apo&o a las actividades futuras de la organizaci'n* Co#prende el estableci#iento de ob"etivos & la propuesta de iniciativas de actuaci'n*
183 *&% )e la TI +a planificaci'n% dise8o% desarrollo% despliegue% operaci'n% gesti'n & aplicaci'n de la TI para satisfacer las necesidades del negocio* Inclu&e la de#anda & la prestaci'n de servicios de TI por las unidades internas de negocio% unidades especializadas de TI% o proveedores e0ternos* (Gobierno de las TIC I.O?66% 4626) Página 11
GOBIERNO CORPORATIVO DE TI II.
?66% 466>)
A. Pincipi% 1> Re&p%n&a!ili)a) +os individuos & grupos dentro de la organizaci'n co#prenden & aceptan sus responsabilidades con respecto a la de#anda & al su#inistro de productos & servicios de la TI* Euienes tienen la responsabilidad sobre las actuaciones ta#bi-n tienen la autoridad para llevarlas a cabo*
B. Pincipi% 2> Ea#e/ia +a estrategia de negocio de la organizaci'n tiene en cuenta las capacidades actuales & futuras de la TI: los planes estrat-gicos de la TI satisfacen las necesidades actuales & futuras de la estrategia de negocio*
C. Pincipi% > A)?i&ición +as ad/uisiciones de TI se ,acen por razones v1lidas% sobre la base de an1lisis adecuados & continuados% a trav-s de decisiones claras & transparentes* a& un adecuado e/uilibrio entre beneficios% oportunidades% costes & riesgos% tanto a corto co#o a largo plazo*
D. Pincipi% '> De&e-pe0% Página 12
GOBIERNO CORPORATIVO DE TI +a TI satisface el prop'sito de dar soporte a la organizaci'n% #ediante la provisi'n de servicios% niveles de servicio & calidad de servicio re/ueridos para alcanzar los re/uisitos presentes & futuros del negocio*
E. Pincipi% > C-pli-ien#% +a TI cu#ple con toda la legislaci'n & nor#ativas obligatorias* +as políticas & pr1cticas est1n clara#ente definidas% i#plantadas & se ,acen cu#plir*
@. Pincipi% > C%n)c#a 4-ana +as políticas de TI% pr1cticas & decisiones relacionadas con la TI #uestran respeto ,acia la conducta ,u#ana% inclu&endo las necesidades actuales & futuras de todas las Hpersonas i#plicadas en el proceso*
2. <%)el% +os ad#inistradores deberían gobernar la TI a trav-s de tres tareas principales9 a) e$ala el uso actual & futuro de la TI: b) )ii/i la preparaci'n & e"ecuci'n de planes & políticas para asegurar /ue el uso de la TI satisface los ob"etivos de la organizaci'n: c) -%ni#%i+a el cu#pli#iento de las políticas & el dese#pe8o con relaci'n a lo planificado* +a figura 2 #uestra el #odelo de gobernanza de la TI en un ciclo de tipo valuar@Dirigir@Monitorizar* l te0to /ue sigue a la figura 2 e0plica los ele#entos & las relaciones representados*
Página 13
GOBIERNO CORPORATIVO DE TI
Figura 1 -
<%)el%)elaG%!e,nan+aC%,p%,a#i$a)elaTI
(International .tandard I.O?66% 466>) E$al.a,
+os ad#inistradores deberían valorar la situaci'n & for#ular "uicios sobre el uso actual & futuro de la TI% inclu&endo estrategias% propuestas & acuerdos de prestaci'n de servicios (&a sean internos% e0ternos% o a#bos)* Al evaluar el uso de la TI% los ad#inistradores deberían considerar las presiones e0ternas o internas /ue act$an sobre el negocio co#o pueden ser los ca#bios tecnol'gicos% las tendencias econ'#icas & sociales & las influencias políticas* Dado /ue dic,as influencias ca#bian% los ad#inistradores deberían aco#eter evaluaciones de for#a continua* +os ad#inistradores ta#bi-n deberían tener en cuenta las necesidades actuales & futuras del negocio% los ob"etivos organizativos actuales & futuros /ue deben alcanzar% tales co#o el #anteni#iento de la venta"a co#petitiva% así co#o los ob"etivos específicos de las Página 14
GOBIERNO CORPORATIVO DE TI estrategias & propuestas /ue est1n evaluando* Di,i/i,
+os ad#inistradores deberían asignar responsabilidades & dirigir la preparaci'n e i#plantaci'n de planes & políticas* +os planes deberían fi"ar el ru#bo de inversiones en pro&ectos & operaciones de TI* +as políticas deberían establecer una conducta responsable en el uso de la TI* +os ad#inistradores deberían asegurar /ue la transici'n de los pro&ectos a un estado operativo se planifi/ue & gestione adecuada#ente% teniendo en cuenta el i#pacto en el negocio & las pr1cticas operativas% & los siste#as e infraestructura de TI e0istentes* +os ad#inistradores deberían fo#entar una cultura de gobernanza de la TI en su organizaci'n% e0igiendo a la direcci'n /ue su#inistre puntual#ente la infor#aci'n adecuada% con el fin de cu#plir con los ob"etivos establecidos & a"ustarse a los seis principios de gobernanza* .i fuera necesario% los ad#inistradores deberían controlar la presentaci'n de propuestas a aprobar para responder a las necesidades identificadas* <%ni#%,i+a,
+os ad#inistradores deberían #onitorizar el dese#pe8o de la TI% a trav-s de siste#as de #edici'n adecuados* Deberían asegurarse de /ue dic,o dese#pe8o est- en confor#idad con los planes% en particular con respecto a los ob"etivos de negocio* +os ad#inistradores deberían ta#bi-n asegurar /ue la TI cu#ple con las obligaciones e0ternas (nor#ativa% legislaci'n% derec,o consuetudinario% contractuales) & las pr1cticas internas de traba"o*
NOTA> +a responsabilidad sobre aspectos específicos de la TI dentro de la organizaci'n puede ser delegada a la direcci'n* .in e#bargo% son los ad#inistradores /uienes retienen la responsabilidad final (i#putabilidad) en la entrega & uso eficaz% eficiente & aceptable de la TI% la cual no puede ser delegada* Página 15
GOBIERNO CORPORATIVO DE TI
III.
DIRECTRICES PARA LA GOBERNAN=A CORPORATIVA DE LA TI 1. O!&e$aci%ne& Geneale& +os siguientes apartados ofrecen orientaci'n sobre los principios generales de la gobernanza de la TI & las buenas pr1cticas necesarias para i#plantaci'n de dic,os principios* +as pr1cticas descritas no son e0,austivas pero proporcionan un punto de partida para la discusi'n sobre las responsabilidades de los ad#inistradores con relaci'n a la gobernanza de la TI* s decir% /ue las pr1cticas descritas son una guía orientativa para la gobernanza de la TI* s responsabilidad de cada organizaci'n% de #anera individual% la identificaci'n de las #edidas necesarias para i#ple@ #entar los principios% considerando debida#ente la naturaleza de la organizaci'n & el an1lisis adecuado de los riesgos & oportunidades en el uso de la TI* A #odo ilustrativo% las pr1cticas descritas son aplicables a la #a&oría de organizaciones (grandes o pe/ue8as) en la #a&oría de las ocasiones* Cual/uier variaci'n debería ser considerada adecuada#ente*
2. Pincipi% 1> Re&p%n&a!ili)a) E$ala +os ad#inistradores deberían evaluar cu1les son las opciones e0istentes a la ,ora de asignar responsabilidades relacionadas con el uso actual & futuro de la TI en la organizaci'n* Al evaluar dic,as opciones% los ad#inistradores deberían buscar el uso eficaz% eficiente & aceptable de la TI% en apo&o de los actuales & futuros ob"etivos de negocio* +os ad#inistradores deberían evaluar la co#petencia de a/uellos a /uienes dieron la responsabilidad de to#ar decisiones sobre la TI* n general% estas personas deberían ser directores de negocio /ue ta#bi-n son responsables de los ob"etivos & el dese#pe8o organizativos% asistidos por e0pertos en TI /ue co#prenden el valor & los procesos de negocio* Página 16
GOBIERNO CORPORATIVO DE TI
Dii/i +os ad#inistradores deberían dirigir con el ob"etivo de /ue los planes se lleven a cabo de acuerdo con las responsabilidades asignadas a TI* +os ad#inistradores deberían dirigir con el fin de recibir la infor#aci'n /ue necesitan para cu#plir con sus responsabilidades & rendir cuentas*
<%ni#%i+a +os ad#inistradores deberían #onitorizar /ue se ,a&an establecido los #ecanis#os adecuados de gobernanza de la TI apropiados* Asi#is#o% deberían #onitorizar /ue a/u-llos a los /ue se les ,a&an asignado responsabilidades% las entienden & las asu#en* +os ad#inistradores deberían #onitorizar el dese#pe8o de a/uellos a los /ue se les ,a&an asignado responsabilidades relacionadas con la gobernanza de la TI (por e"e#plo% las personas /ue for#an parte de co#it-s de direcci'n o presentan propuestas a los ad#inistradores)* (International .tandard I.O?66% 466>)
. Pincipi% 2> Ea#e/ia E$ala +os ad#inistradores deberían evaluar la evoluci'n de la TI & los procesos de negocio para asegurar /ue la TI proporcionar1 apo&o a las futuras necesidades de la organizaci'n* Al e0a#inar los planes & las políticas% los ad#inistradores deberían evaluar las actividades de TI para asegurar /ue est1n alineadas con los ob"etivos de la organizaci'n ante Página 17
GOBIERNO CORPORATIVO DE TI circunstancias de ca#bio% /ue tienen en cuenta las #e"ores pr1cticas & satisfacen otros re/uisitos de los principales interesados* +os ad#inistradores deberían asegurar /ue el uso de la TI est1 su"eto a una adecuada evaluaci'n & valoraci'n del riesgo% tal co#o se describe en las nor#as internacionales & nacionales #1s relevantes*
Dii/i +os ad#inistradores deberían dirigir la creaci'n & uso de planes & políticas /ue aseguren /ue la organizaci'n se beneficia del desarrollo en la TI* +os ad#inistradores ta#bi-n deberían alentar la presentaci'n de propuestas de usos innovadores de la TI% /ue per#itan a la organizaci'n responder a nuevas oportunidades o desafíos% #e"orando los actuales procesos de negocio o e#prendiendo otros nuevos*
<%ni#%i+a +os ad#inistradores deberían #onitorizar el progreso de las propuestas de TI aprobadas% para asegurar /ue alcanzan los ob"etivos en los plazos establecidos% utilizando los recursos asignados* +os ad#inistradores deberían #onitorizar el uso de la TI para asegurar /ue se alcanzan los beneficios esperados* (International .tandard I.O?66% 466>)
'. Pincipi% > A)?i&ición E$ala +os ad#inistradores deberían evaluar cu1les son las opciones para proveerse de la TI /ue necesitan para desarrollar las propuestas aprobadas% e/uilibrando los riesgos & el valor econ'#ico de las inversiones propuestas*
Dii/i Página 18
GOBIERNO CORPORATIVO DE TI
+os ad#inistradores deberían dirigir para /ue los activos de TI (siste#as e infraestructura) se ad/uieran de #anera apropiada% inclu&endo la elaboraci'n de docu#entaci'n adecuada% al tie#po /ue se asegura /ue se obtienen las capacidades re/ueridas* +os ad#inistradores deberían dirigir para /ue los acuerdos de provisi'n (&a sean internos o e0ternos) soporten las necesidades de negocio de la organizaci'n*
<%ni#%i+a +os ad#inistradores deberían #onitorizar las inversiones en TI para asegurar /ue se provean las capacidades re/ueridas* +os ad#inistradores deberían #onitorizar ,asta /u- punto la organizaci'n & los proveedores #antienen & co#parten el prop'sito de la organizaci'n al realizar una ad/uisici'n de TI* (International .tandard I.O?66% 466>)
. Pincipi% '> De&e-pe0% E$ala +os ad#inistradores deberían evaluar los #edios propuestos por la direcci'n para asegurar /ue la TI sustentar1 los procesos de negocio con las capacidades & aptitudes re/ueridas* stas propuestas deberían incluir la continuidad de la operaci'n nor#al de la organizaci'n & la gesti'n de los riesgos asociados al uso de la TI* +os ad#inistradores deberían evaluar los riesgos para la continuidad del negocio derivados de las actividades de TI*
Página 19
GOBIERNO CORPORATIVO DE TI +os ad#inistradores deberían evaluar los riesgos para la integridad de la infor#aci'n & la protecci'n de los activos de TI% inclu&endo la propiedad intelectual & la #e#oria colectiva de la organizaci'n* +os ad#inistradores deberían evaluar opciones para asegurar la eficaz & oportuna to#a de decisiones relativas al uso de la TI para alcanzar los ob"etivos del negocio* +os ad#inistradores deberían evaluar peri'dica#ente la eficacia & el dese#pe8o del siste#a de gobernanza de la TI de la organizaci'n*
Dii/i +os ad#inistradores deberían asegurar la asignaci'n de recursos suficientes para /ue la TI satisfaga las necesidades de la organizaci'n% de acuerdo con las prioridades acordadas & las restricciones presupuestarias* +os ad#inistradores deberían dirigir a los responsables para asegurar /ue% cuando sea necesario por razones de negocio% la TI proporciona soporte al negocio con infor#aci'n actualizada% correcta & protegida ante p-rdidas o usos inadecuados*
<%ni#%i+a +os ad#inistradores deberían #onitorizar el grado con el /ue la TI sustenta el negocio* +os ad#inistradores deberían #onitorizar el grado con el cual los recursos & presupuestos asignados son priorizados de acuerdo con los ob"etivos de negocio de la organizaci'n* +os ad#inistradores deberían #onitorizar c'#o est1 de e0tendido el segui#iento de políticas tales co#o las de precisi'n de los datos & uso eficiente de la TI* (International .tandard I.O?66% 466>)
. Pincipi% > C-pli-ien#% Página 20
GOBIERNO CORPORATIVO DE TI E$ala +os ad#inistradores deberían evaluar peri'dica#ente el grado con el /ue la TI cu#plen con las obligaciones relevantes (nor#ativas% legislativas% de derec,o consuetudinario% contractuales)% las políticas internas% las nor#as & directrices profesionales* +os ad#inistradores deberían evaluar peri'dica#ente el cu#pli#iento interno de la organizaci'n con su siste#a de gobernanza de la TI*
Dii/i +os ad#inistradores deberían dirigir a los responsables para establecer #ecanis#os peri'dicos & rutinarios para asegurar /ue el uso de la TI cu#ple con las obligaciones relevantes (regulatorias% legislativas% de derec,o consuetudinario% contractuales)% las nor#as & políticas establecidas* +os ad#inistradores deberían dirigir para /ue est-n establecidas & se ,agan cu#plir las políticas /ue per#itan a la organizaci'n satisfacer sus obligaciones internas en el uso de la TI* +os ad#inistradores deberían dirigir para /ue el personal de TI cu#pla las directrices relevantes en #ateria de desarrollo & conducta profesional* +os ad#inistradores deberían dirigir para /ue la -tica ri"a todas las acciones relacionadas con la TI*
<%ni#%i+a +os ad#inistradores deberían #onitorizar el cu#pli#iento & confor#idad de la TI #ediante pr1cticas adecuadas de auditoría & e#isi'n de infor#es% asegurando /ue las revisiones sean oportunas% co#pletas & adecuadas para la evaluaci'n del grado de satisfacci'n del negocio* Página 21
GOBIERNO CORPORATIVO DE TI
+os ad#inistradores deberían #onitorizar las actividades de la TI% inclu&endo la p-rdida de infor#aci'n & de activos% para asegurar /ue se cu#plen las obligaciones a#bientales% de privacidad% de gesti'n del conoci#iento estrat-gico% conservaci'n de la #e#oria colectiva de la organizaci'n & otras obligaciones* (International .tandard I.O?66% 466>)
5. Pincipi% > C%n)c#a 4-ana E$ala +os ad#inistradores deberían evaluar las actividades de la TI para asegurar /ue las conductas ,u#anas se identifican & se consideran adecuada#ente*
Dii/i +os ad#inistradores deberían dirigir para /ue las actividades de TI sean consistentes con la conducta ,u#ana identificada* +os ad#inistradores deberían dirigir para /ue los riesgos% oportunidades% proble#as & preocupaciones relacionados con el negocio puedan identificarse & sean notificados por cual/uier individuo en cual/uier #o#ento* stos riesgos deberían ser gestionados de acuerdo con las políticas & procedi#ientos publicados% & co#unicados a los principales responsables de to#ar decisiones*
<%ni#%i+a +os ad#inistradores deberían #onitorizar las actividades de TI para asegurar /ue las conductas ,u#anas identificadas siguen siendo pertinentes & /ue se les presta una atenci'n adecuada* Página 22
GOBIERNO CORPORATIVO DE TI +os ad#inistradores deberían #onitorizar las pr1cticas de traba"o para asegurar /ue sean consistentes con el uso apropiado de la TI* (International .tandard I.O?66% 466>)
C%ncl&i%ne&
+a i#ple#entaci'n del gobierno de TI es un paso #u& i#portante para todo a/uel corporativo /ue desea #a0i#izar sus beneficios & anticiparse al #ercado*
Con
la i#ple#entaci'n del gobierno de TI no e0isten pro&ectos de tecnología
aislados% sino pro&ectos del negocio con soporte de TI* Una
vez #1s% el gobierno de TI no debe verse co#o un te#a de tecnología% sería
#1s adecuado pensarlo & adoptarlo co#o un gobierno del negocio con soporte de TI*
l gobierno de TI no es algo /ue poda#os evadir% la evoluci'n tecnol'gica & su ad,esi'n en las pr1cticas organizacionales lo ,acen inevitable: si#ple#ente% es decisi'n nuestra adecuarlo a las necesidades particulares del negocio% buscando
Página 23
GOBIERNO CORPORATIVO DE TI sie#pre alcanzar los ob"etivos estrat-gicos & el #e"or dese#pe8o de nuestros procesos e inversiones*
Página 24
GOBIERNO CORPORATIVO DE TI
Bi!li%/a(6a
I.O
(466>)* INTRNATIONA+ .TANDARD I.O?66* Geneva9 I.O
office* Co#it- T-cnico AN
la Infor#aci'n* Madrid9 ANOR* Manuel Bellester* (4626)* Gobierno de las TIC I.O?66* I.ACA JOURNA+%
olu#en 2% 7* 4627% Junio% 44% De I.ACA Base de datos* Infor#e de la Co#isi'n sobre Aspectos inancieros de la Gobernanza Corporativa%
.ir AdrianCadbur&% +ondon% 2334 I.BN 6 >?4?> 32= 2 OCD 5rincipios de Gobernanza Corporativa% OCD% 2333 & 4667 Guía I.O = 4664 Gesti'n del riesgo* ocabulario
Página 25
GOBIERNO CORPORATIVO DE TI
a eor gua ara oneguir dearrollar el egoio
%O&!')*) "O'PO')+I,) ! ) +!"OO%/) ! ) IFO')"I
PORRAS RIOS HELMER ISLACHIN AVENDAÑO EDISON
Página 26