Está en la página 1de 23

ISO 38 500

ISO 38 500

Contenido

HISTORIA ............................................................................................................................................. 2
INTRODUCCION .................................................................................................................................. 3
ACTUALIZACION.................................................................................................................................. 4
1. ALCANCE, APLICACIÓN Y OBJETIVOS ......................................................................................... 5
1.1. ALCANCE ............................................................................................................................. 5
1.2. APLICACIÓN ........................................................................................................................ 5
1.3. OBJETIVOS........................................................................................................................... 5
1.4. BENEFICIOS AL USAR ESTA NORMA ................................................................................... 6
1.4.1 Generalidades .................................................................................................................... 6
1.4.2 Conformidad de la organización ....................................................................................... 6
1.4.3 Desempeño de la organización ......................................................................................... 7
2. GOBIERNO CORPORATIVO DE LAS TI (GCTI) ............................................................................ 10
2.1. DEFINICION DE GOBIERNO CORPORATIVO (GC) ............................................................. 10
2.2. DEFINICION DE GOBIERNO CORPORATIVO DE LAS TI (GCTI) .......................................... 11
3. PRINCIPIOS DE LA ISO 38 500 ..................................................................................................... 8
3.1. Responsabilidad.................................................................................................................. 8
3.2. Estrategia ............................................................................................................................ 8
3.3. Adquisición ......................................................................................................................... 8
3.4. Rendimiento ....................................................................................................................... 8
3.5. Conformidad ....................................................................................................................... 8
3.6. Conducta humana............................................................................................................... 8
4. MODELO DE GCTI ...................................................................................................................... 12
4.1. GUIAS PARA EL BUEN GCTI ............................................................................................... 12
5. MODELO DE MADUREZ ............................................................................................................ 14

1
ISO 38 500

HISTORIA

El 1 de junio de 2008 veía la luz, de la mano de la Organización Internacional de


Normalización (International Organization for Standardization, ISO) y de la Comisión
Electrotécnica Internacional (International Electrotechnical Commission, IEC), la norma
ISO/IEC 38500:2008. Corporate Governance of Information Technology.

Por primera vez, una norma de alcance internacional trataba, de manera central, el tema
del Gobierno Corporativo de las Tecnologías de la Información. Habían tenido que pasar
diez años desde la creación, en 1998, del Instituto para la Gobernanza de las Tecnologías
de la Información (Information Technology Governance Institute, ITGI) por parte de
ISACA, la antigua Asociación para el Control y la Auditoría de los Sistemas de
Información (Information Systems Audit and Control Association); y había transcurrido,
también, casi una década desde que el término “IT governance” apareciese, por vez
primera, en el título de un trabajo académico de investigación de naturaleza
técnica/empresarial: fue el caso del artículo “Arrangements for information technology
governance: a theory of multiple contingencies”, firmado el 1 de junio de 1999 -, por los
profesores Vallabh Sambamurthy y Robert W. Zmud.

Sin embargo, la “38500” no constituía la primera iniciativa normalizadora en el ámbito del


Buen Gobierno Corporativo de las TIC. Ya en 2002, un grupo de “pioneros” australianos y
neozelandeses, principalmente, iniciaron un proyecto, bajo la tutela de la entidad
australiana de normalización, Standards Australia, que daría lugar a la publicación oficial,
el 31 de enero de 2005, de la norma nacional australiana AS 8015-2005: Corporate
governance of information and communication technology. De hecho, sería esta norma la
que marcaría el camino para la aparición, tres años y medio después, de la norma
internacional, el 1 de Junio.

El citado camino pasó por la adopción de la norma australiana, por parte del Comité
Técnico Conjunto JTC1 de ISO/IEC, como borrador de norma internacional (Draft
International Standard, DIS), mediante procedimiento de tramitación rápida. De este
modo, el borrador ISO/IEC DIS 29382 (numeración provisionalmente asignada a la nueva
norma) fue votado y aprobado por los organismos nacionales de normalización, tanto de
ISO, como de IEC. En el caso de España, este papel correspondió a la Asociación
Española de Normalización, AENOR. En mayo de 2008, la norma ISO/IEC 29382 fue
renombrada con la que habría de ser su numeración definitiva: ISO/IEC 38500.
Finalmente, se publicó unos días después, el 1 de junio.

Hoy día ISO/IEC 38500:2008 se configura como una norma internacional, de alto nivel (no
entra en detalles técnicos), basada en principios (establece seis principios para el buen
gobierno corporativo de las TI) y de naturaleza asesora, esto es, trata de ofrecer
directrices (aconseja) sobre el papel que deben asumir los órganos de gobierno de las
organizaciones en relación al uso que, en ellas, se hace de las TI.

2
ISO 38 500

INTRODUCCION

El objetivo de esta norma es proporcionar un marco de principios para que los Directores
los utilicen al evaluar, dirigir y monitorear el uso de la tecnología de la información (TI) en
sus organizaciones.

La mayoría de las organizaciones usan la Tecnología de la Información como una


herramienta fundamental del negocio y pocas pueden funcionar de manera eficaz sin ella.
La Tecnología de la Información también es un factor significativo en los futuros planes de
negocios de las organizaciones.

El gasto en Tecnología de la Información puede representar una proporción importante de


los gastos de una organización respecto a sus recursos financieros y humanos. No
obstante, el retorno de esta inversión a menudo no se logra completamente y los efectos
adversos en las organizaciones pueden ser significativos.

Las principales causas de estos resultados negativos son el énfasis en los aspectos
técnicos, financieros y de programación de las actividades de Tecnología de la
Información y no el énfasis en el contexto general del negocio en cuanto al uso de la
Tecnología de la Información.

Esta norma brinda un marco para el gobierno eficaz de la Tecnología de la Información


con el fin de ayudar a aquellos en los niveles más altos de las organizaciones a
comprender y cumplir sus obligaciones legales, reglamentarias y éticas con respecto al
uso que le dan sus organizaciones a la Tecnología de la Información. Este marco abarca
definiciones, principios y un modelo.

El gobierno es diferente de la gestión y, para evitar confusión, los dos conceptos se


definen claramente en la norma.

Aunque esta norma está dirigida principalmente al organismo de gobierno, que a su vez
puede requerir que la gerencia de la organización emprenda algunas acciones, también
permite que, en algunas organizaciones (por lo general más pequeñas), los miembros del
organismo de gobierno ocupen los roles claves en la gerencia. De esta manera garantiza
que la norma sea aplicable a todas las organizaciones, desde la más pequeña hasta la
más grande, independientemente del propósito, el diseño y la estructura de propiedad.

La norma también está destinada a guiar e informar a aquellos involucrados en el diseño y


la implementación del sistema de gestión sobre políticas, procesos y estructuras que dan
soporte al gobierno.

ISO/IEC 38500 viene a completar, no sustituir a otras normas y estándares basados en la


buena gestión de los activos que soportan la información (ISO27001, COBIT, ITIL, etc…)
puesto que, lo que pretende, es proporcionar un marco coherente para garantizar que la
dirección está debidamente implicada en la gestión eficaz de las TI en cualquier ámbito y

3
ISO 38 500
alcance. Es decir, se trata de establecer el buen gobierno para una óptima gestión. La
ISO 38500 sólo establece qué puede pasar, pero no cómo, cuándo o por quién.

Por ello, los gestores que quieran implementar la norma ISO 38500 pueden encontrar en
CobiT una buena referencia de políticas, procesos, estructuras y los controles necesarios
para implementar un sistema de gestión de TI que soporte el gobierno

ACTUALIZACION

SO/IEC TR 38502:2014 provides guidance on the nature and mechanisms of governance


and management together with the relationships between them, in the context of IT within
an organization.

The purpose of ISO/IEC TR 38502:2014 is to provide information on a framework and


model that can be used to establish the boundaries and relationships between governance
and management of an organization's current and future use of IT.

ISO/IEC TS 38501:2015 provides guidance on how to implement arrangements for


effective governance of IT within an organization.

4
ISO 38 500

1. ALCANCE, APLICACIÓN Y OBJETIVOS

1.1. ALCANCE

Esta norma proporciona principios de guía para los directores de las organizaciones
(incluyendo, dueños, miembros de la junta, directores, socios, altos ejecutivos o
similares) sobre el uso eficaz, eficiente y aceptable de la tecnología de la información
(TI) en sus organizaciones.

Esta norma se aplica al gobierno de los procesos de gestión (y las decisiones)


relacionados con los servicios de información y comunicación utilizados por la
organización. Estos procesos podrían ser controlados por los especialistas en TI de la
organización, por proveedores externos del servicio o por unidades de negocios dentro
de la organización. También orienta a quienes asesoran, informan o asisten a los
directores. Se incluyen:

 Altos directivos;
 Miembros de grupos que monitorean los recursos dentro de la organización;
 Especialistas externos técnicos o en negocios, tales como legales o contables;
especialistas, asociaciones al detal u organismos profesionales;
 Distribuidores de software, hardware, comunicaciones y otros productos de TI;
 Proveedores internos y externos de servicios (incluyendo consultores);
 Auditores de TI.

1.2. APLICACIÓN

Esta norma se aplica a todas las organizaciones, incluyendo compañías públicas y


privadas, entidades gubernamentales y organizaciones sin ánimo de lucro. También se
aplica a organizaciones de todos los tamaños, desde la más pequeña hasta la más
grande, independientemente de la extensión de su uso de TI.

1.3. OBJETIVOS

El propósito de esta norma es fomentar el uso eficaz, eficiente y aceptable de la


Tecnología de la Información en todas las organizaciones a través de las siguientes
acciones:

 Asegurar a las partes involucradas (incluyendo consumidores, accionistas y


empleados) que, si se cumple la norma, pueden confiar en el Gobierno
Corporativo que tiene la organización sobre la TI.
 Informar y orientar a los directores sobre el gobierno del uso de la Tecnología de
la

5
ISO 38 500
 Información en sus organizaciones.
 Brindar una base para la evaluación objetiva del Gobierno Corporativo de la
Tecnología de la Información.

1.4. BENEFICIOS AL USAR ESTA NORMA

1.4.1 Generalidades

Esta norma establece los principios para el uso eficaz, eficiente y aceptable de la
Tecnología de la Información. El asegurar que sus organizaciones siguen estos
principios facilitará a los directores equilibrar los riesgos y promover las
oportunidades que se originan en el uso de la Tecnología de la Información.

Esta norma establece un modelo para el gobierno de la Tecnología de la


Información. El riesgo de que los directores no cumplan sus obligaciones se
reduce a prestar atención debida al modelo en la aplicación correcta de los
principios.

La norma establece un vocabulario para el gobierno de la Tecnología de la


Información.

1.4.2 Conformidad de la organización

El Gobierno Corporativo adecuado de la Tecnología de la Información puede


ayudar a los directores a garantizar la conformidad con las obligaciones
(reglamentarias, legislativas, de ley, contractuales) relacionadas con el uso
aceptable de la Tecnología de la Información.

Los sistemas de TI inadecuados pueden exponer a los directores al riesgo de no


cumplir con las leyes. Por ejemplo, en algunas jurisdicciones, los directores
pueden tener responsabilidad personal si un sistema contable inadecuado
ocasiona el no pago de los impuestos.

Los procesos que tratan de la TI incorporan riesgos que se deben tratar


adecuadamente. Por ejemplo, los directores podrían ser responsables debido a
incumplimientos de:

 Normas de seguridad
 Legislación sobre privacidad
 Legislación sobre correo masivo
 Legislación sobre prácticas comerciales
 Derechos de propiedad intelectual, incluyendo acuerdos sobre licencias de
software.
 Requisitos de conservación de registros.

6
ISO 38 500
 Legislación y reglamentación ambiental.
 Legislación sobre salud y seguridad
 Legislación sobre accesibilidad
 Normas sobre responsabilidad social.

Es más probable que los directores que usan las directrices de esta norma
cumplan con sus obligaciones.

1.4.3 Desempeño de la organización

El Gobierno Corporativo adecuado de la Tecnología de la Información ayuda a los


directores a garantizar que el uso de la Tecnología de la Información contribuye de
manera positiva al desempeño de la organización a través de:

 La implementación y operación adecuadas de los activos de la Tecnología


de la
Información.
 Claridad de la responsabilidad, acciones y decisiones tanto para el uso
como la provisión de la tecnología de la información en el logro de las
metas de la organización.
 Continuidad y sostenibilidad del negocio.
 Alineación de la Tecnología de la Información con las necesidades del
negocio.
 Asignación eficiente de los recursos.
 Innovación en los servicios, los mercados y los negocios.
 Buenas prácticas en las relaciones con las partes involucradas.
 Reducción en los costos para la organización.
 Comprensión real de los beneficios buscados a partir de cada inversión en
Tecnología de la Información.

7
ISO 38 500

2. PRINCIPIOS DE LA ISO 38 500


La norma define ISO 38500 define seis principios de un buen gobierno corporativo de TI:

2.1. Responsabilidad
Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o
demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para
su realización.

2.2. Estrategia
La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y
futuras de las TI. Los planes estratégicos de TI satisfacen las necesidades actuales y
previstas derivadas de la estrategia de negocio.

2.3. Adquisición
Las adquisiciones de TI se hacen por razones válidas, basándose en un análisis
apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado
entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.

2.4. Rendimiento
La TI está dimensionada para dar soporte a la organización, proporcionando los
servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.

2.5. Conformidad
La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y
prácticas al respecto están claramente definidas, implementadas y exigidas.

2.6. Conducta humana


Las políticas de TI, prácticas y decisiones demuestran respecto por la conducta humana,
incluyendo las necesidades actuales y emergentes de toda la gente involucrada.

8
ISO 38 500

9
ISO 38 500

3. GOBIERNO CORPORATIVO DE LAS TI (GCTI)

3.1. DEFINICION DE GOBIERNO CORPORATIVO (GC)

O’Donovan (2003) define gobierno corporativo como “un sistema interno que incluye
políticas, procesos y personas, que sirve a las necesidades de los inversionistas y
otros agentes empresariales, mediante el control y la dirección de las actividades de
administración con objetividad, integridad y buena experiencia empresarial. El éxito del
gobierno corporativo es confiado a la apreciación de los mercados y a la legislación,
además de una cultura de dirección sana que salvaguarde las políticas y procesos
corporativos”.

El Gobierno Corporativo es un proceso efectuado por el consejo de administración de


una entidad, su dirección y restante personal, aplicable a la definición de estrategias en
toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a
la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una
seguridad razonable sobre el logro de los objetivos.

10
ISO 38 500

3.2. DEFINICION DE GOBIERNO CORPORATIVO DE LAS TI (GCTI)

El GCTI se refiere a la capacidad que tiene una organización de dirigir y controlar la


función de las tecnologías de información para asegurar que sostienen y extienden sus
objetivos estratégicos mediante la realización efectiva de proyectos, la provisión de
servicios de alta calidad, la gestión de riesgos y la optimización de recursos.

El GCTI es responsabilidad de los miembros del Comité de Dirección y de los altos


ejecutivos de la organización.

El principal objetivo del Gobierno Corporativo de las TI (GCTI) es conseguir la


alineación entre la estrategia del negocio y la estrategia de las TI. Este proceso es
básico que el GCTI cumpla su función primordial de generación de valor para los
grupos de interés, minimizando los riesgos.

El GCTI incluye estrategias, políticas, responsabilidades, estructuras y procesos para


la utilización de las TI en una organización. La inclusión de elementos operativos y
elementos estratégicos (de presente y de futuro) es un aspecto esencial del GCTI, y
guía el desarrollo de las tareas de gestión y administración

Finalmente, un aspecto a destacar es que el GCTI es de aplicación a cualquier tipo de


organización, independientemente de su tamaño, antigüedad, localización, finalidad, o
de su naturaleza pública o privada. El GCTI es el sistema más adecuado para que una
organización obtenga el máximo valor de sus TI desde el punto de vista estratégico,
pero para tener éxito debe basarse en un buen GC, que establezca claramente los
objetivos de negocio de la organización, alineando los objetivos de negocio con los
objetivos TI.

11
ISO 38 500

4. MODELO DE GCTI

El modelo de GCTI que incluye los siguientes elementos:

 Adoptar como principal referente de implantación de GCTI lo contenido en la


norma ISO 38500 principalmente su Modelo de Gobierno Triangular teniendo
en cuenta sus tres tareas principales (Evaluar, Dirigir y Monitorizar).

4.1. GUIAS PARA EL BUEN GCTI


La norma también proporciona un conjunto de guías para el buen GCTI y
propone una serie de prácticas para implementar los principios descritos
anteriormente.

12
ISO 38 500

13
ISO 38 500

5. MODELO DE MADUREZ
Bajo el modelo del uso del GTI4U los directivos universitarios deben gobernar las TI a
través de 3 acciones: Evaluar la utilización actual y futura de las TI, Dirigir la
preparación de planes y políticas y Monitorizar la evolución de las TI.

Los directivos universitarios buscan herramientas de evaluación mediante


benchmarking y herramientas de autoevaluación. Esta búsqueda responde a tres
necesidades:

1. La de realizar una medición relativa de dónde se encuentra el gobierno de las


TI de la universidad.
2. La de decidir hacia dónde deben ir el gobierno de las TI de forma eficiente.
3. La de utilizar una herramienta para medir el avance del gobierno de las TI en
relación a los objetivos de la universidad.

Los modelos de Madurez (MM) permiten establecer la situación relativa del gobierno
de las TI, es decir, permite decidir a donde debe ir de manera eficiente y además
medir su avance en relación con los objetivos de la universidad.

Los Modelos de Madurez (MM) son herramientas que satisfacen perfectamente estas
necesidades.

Los modelos de madurez más importantes en relación con las TI son el incluido en
COBIT por el IT Governance Institute (ITGI, 2007) y el modelo de madurez de la
capacidades propuesto por el Software Engineering Institute (SEI, 2010).

Los MM suelen establecer varios niveles o estados, desde un nivel de no-existente


(0) hasta un nivel de optimizado (5), que le sirven a la organización para
autoevaluarse. El modelo de madurez propuesto por el GTI4U incluye los siguientes
niveles:

0 - Inexistente.
La universidad no conoce el principio, no es consciente de necesitarlo.

1 - Inicial.
El principio está establecido, pero los procesos de gobierno de las TI están
desorganizados y son ad hoc.

2 - Repetible/Intuitivo.
El principio está inmaduro, los procesos de gobierno de las TI siguen un patrón
regular.

3 - Definido.
El principio comienza a madurar, los procesos de gobierno de las TI son
documentados y comunicados.

14
ISO 38 500
4 - Medible.
El principio está bastante maduro, los procesos de gobierno de las TI se
monitorizan y se miden.

5 - Optimizado.
El principio se encuentra en nivel óptimo, el gobierno de las TI se basa en las
mejores prácticas.

Un MM establece una medida del progreso, conforme al avance en niveles de


madurez. Cada nivel a su vez cuenta con un número de requisitos que deben
lograrse. El alcanzar estos estadios se lleva a cabo mediante la satisfacción o
insatisfacción de varias metas claras y cuantificables descritas por el modelo. Con la
excepción del primer nivel, cada uno de los restantes niveles de madurez está
compuesto por un cierto número requisitos. El MM está diseñado para ser usado
como un modelo limitante, donde no se puede pasar al siguiente nivel de madurez
(nivel superior) sin haber cumplido todas las condiciones del nivel inferior.

El MM propuesto por el GTI4U se basa a las guías de gobierno de las TI de la norma


ISO 38500 (figura siguiente) y cada nivel describe los requisitos relacionados con las
tres acciones de gobierno (Evaluar, Dirigir y Monitorizar).

15
ISO 38 500
El modelo GTI4U propone seis modelos de madurez, uno para cada uno de los seis
principios de la norma ISO 38500.

En la siguiente figura se muestra, a modo de ejemplo, el MM para el principio


Responsabilidad.

Modelo de Madurez del principio Responsabilidad

16
ISO 38 500
Una vez que los directivos universitarios dispongan de este MM, su objetivo es
localizar en él cuál es el estado o nivel de madurez actual de su universidad y
también establecer cuál es el nivel que desea que alcance en el futuro.

Si todas las universidades españolas utilizan el mismo modelo de madurez se facilita


la comparación de cada una con la media del Sistema Universitario Español, o sea el
MM se convierte en una herramienta de benchmarking.
GTI4U propone un modelo iconográfico (similar al de COBIT) que muestra la madurez
de gobierno de las TI de una universidad en base al MM descrito anteriormente

Las escalas del modelo de madurez y el modelo iconográfico ayudarán a los


responsables de las TI a explicarle al Comité de Dirección de la Universidad dónde se
encuentran los defectos del gobierno de las TI y a establecer objetivos de mejora
donde se requieran.

17
ISO 38 500

6. INDICADORES DE GOBIERNO (IG)


El nivel del GTI4U está compuesto por un conjunto de indicadores que tienen por
objetivo medir si se están llevando a cabo satisfactoriamente las buenas prácticas
recomendadas para el gobierno de las TI.

Cada uno de los principios de la norma ISO 38500 incluidos en el GTI4U será
evaluado a partir de un conjunto de indicadores agrupados en tres tipos diferentes.

1. Las Cuestiones de Madurez (CM) son preguntas diseñadas con el objetivo


de situar automáticamente a la organización en el nivel que le corresponde
dentro del Modelo de Madurez de Gobierno TI de cada principio.

2. Los Indicadores de Evidencia de Gobierno (IEG) se refieren a buenas


prácticas que deben estar presentes en la organización para mejorar su
madurez de gobierno de las TI.

3. Del mismo modo, los Indicadores Cuantitativos de Gobierno (ICG) son


evidencias, pero expresadas con valores absolutos, de cuál es el estado de
madurez de algunos aspectos del gobierno de las TI de la organización.

Tipos de indicadores incluidos en el GTI4U

18
ISO 38 500

6.1. Cuestiones de Madurez (CM)

Las Cuestiones de Madurez (CM) son preguntas que se extraen directamente


de la redacción de las condiciones de buen gobierno incluidas en los diferentes
niveles de los MM propuestos por GTI4U para los seis principios de la ISO
38500.

Se propone un pequeño número de cuestiones (inferior a diez) para cada una


de las acciones de gobierno (Evaluar, Dirigir, Monitorizar) asociadas a cada
principio. Sus respuestas van a situar automáticamente a la organización en el
nivel que le corresponde dentro del MM de cada principio.

Cuestiones de madurez de la acción dirigida al principio de responsabilidad.

Las respuestas a las CM serán un simple “Sí” o “No”, o un “No Sé (NS)” en caso
de que no se conozca la respuesta con certeza. Una vez que se comience a
responder las CM sólo se debe seguir leyendo y respondiendo mientras las
respuestas sean afirmativas. Si en algún momento se responde negativamente
a alguna de las cuestiones se debe abandonar el cuestionario y dejar sin
respuesta el resto de las preguntas.

Se ha implementado una aplicación software que se encargará de establecer


automáticamente el nivel de madurez de cada principio de gobierno de las TI a
partir de las respuestas a las CM.

Las respuestas a las cuestiones de Madures (CM) van a situar


automáticamente a la universidad en el nivel que le corresponde dentro
del Modelo de Madurez de cada principio.

19
ISO 38 500

6.2. Indicadores de Evidencia de Gobierno (IEG)

Los Indicadores de Evidencia de Gobierno (IEG) se refieren a buenas prácticas


que deben estar presentes en la organización para mejorar su madurez de
gobierno de las TI.

GTI4U propone un pequeño número de IEG (menos de 10) para cada una de
las acciones de gobierno (Evaluar, Dirigir, Monitorizar) asociadas a cada
principio.

Las respuestas a los IEG serán un simple “Sí” o “No”, o un “No Sé (NS)” en
caso de que no se conozca la respuesta con certeza.

Indicadores de evidencia de Gobierno de la acción Dirigir del principio de responsabilidad.

El responder a estos indicadores va a suponer una evidencia para los


responsables de las TI de la universidad para abordar con más conocimiento de
causa las CM. También se va a medir el porcentaje de buenas prácticas
presentes en la universidad en relación con cada uno de los principios. De esta
manera, podrán vislumbrar las lagunas sobre las que hay que implementar
acciones de mejorar.

Al responder a los Indicadores de Evidencia de Gobierno (IEG) se


establece si la universidad satisface las mejores prácticas propias de un
buen gobierno de las TI.

20
ISO 38 500

6.3. Indicadores Cuantitativos de Gobierno (ICG)

Del mismo modo, los Indicadores Cuantitativos de Gobierno (ICG), son


evidencia, pero en este caso expresado con valores absolutos, de cuál es el
estado de madurez de algunos aspectos tecnológicos de la organización.

GTI4U propone un pequeño número de ICG (menos de 10) para cada una de
las acciones de gobierno (Evaluar, Dirigir, Monitorizar) asociadas a cada
principio.

Indicadores cuantitativos de Gobierno de la acción Dirigir del principio de


responsabilidad.

Dependiendo del tipo de pregunta realizada, las respuestas a los ICG serán de
diferentes tipos: valores absolutos, porcentajes, etc.

Al responder a los Indicadores de Evidencia de Gobierno (IEG) se


establece si la universidad satisface las mejores prácticas propias de un
buen gobierno de las TI

21
ISO 38 500

Estructura de los indicadores del Principio Responsabilidad.

22

También podría gustarte