Responsabilidad Social Corporativa y su

impacto sobre la Gestión de la Tecnología de

la Información
OECx – B1156x

Tema 2. Introducción a la
Gobernanza Corporativa de TI
Lección 2. Introducción al estándar
Gobernanza Corporativa de TI ISO /IEC
38500
 Resumen
“Los procesos de Gobernanza están diseñados para ayudar a las
organizaciones a utilizar recursos limitados con sabiduría. Sin embargo,
algunos CIOs recientemente me han comentado que las unidades de
negocio en sus compañías han utilizado la recesión como una excusa
para evitar virtualmente todo tipo de mecanismo de Gobernanza de TI.
Los proyectos han circunvalado los comités de estrategia, saltado todos
los procesos de priorización y se han encaminado hacia su
implementación con casos de negocio muy frágiles y planes de proyecto
incompletos. Cuando TI protesta, las unidades de negocio claman que
necesitan acelerar el desarrollo de los proyectos en orden a responder a
las amenazas de la competencia. En efecto, han cedido terreno a sus
competidores evitando todas las disciplinas necesarias para el éxito de los
proyectos.”
Bart Perkins. Diciembre 2009. Computer World
 
 Resumen
• Durante los 60 años que llevan de vida comercial los sistemas de
información y la tecnología de la Información se han presenciado
muchas mejoras en hardware, comunicaciones y software. La
miniaturización, la mejora continua en la relación precio/ rendimiento y
la automatización de trabajos complejos son tres áreas específicas de
cambio. Este es el lado brillante del tema.
• El lado oscuro es el hecho de que el porcentaje de proyectos y
trabajos de TI que fracasan sigue siendo muy elevado. Dependiendo
del tipo de encuesta que leamos, podemos encontrar cifras distintas,
pero siempre altas y no inferiores al 40% de proyectos que no entregan
los beneficios tangibles prometidos y menos de un 50% se terminan en
los plazos y presupuestos acordados. Y un alto porcentaje nunca se
acaban o peor, no se llegan a utilizar.
• Desafortunadamente, estos números no han cambiado demasiado en
los últimos 25 años a pesar de las mejoras en la tecnología, la creación
de nuevos métodos y técnicas. En ese sentido, muchos métodos para
la gestión de TI han prometido mucho y entregado poco. Los fallos
continúan y el éxito no aparece.
 Resumen
• Hay algunos problemas específicos con TI y su gestión:
•TI no se percibe que esté alineada/integrada con el negocio.
• Muchos grupos de TI parece que trabajan en proyectos
marginales.
• TI trabaja en una dirección equivocada.
• Mucho trabajo y recursos de TI se consumen en soporte y
mantenimiento de la tecnología y sistemas de TI existentes.
• TI está demasiado enamorada con la nueva tecnología, en
detrimento de las necesidades reales.
•T I reacciona a menudo ante la demanda y los eventos, en lugar
de ser proactiva. Así, TI no parece nunca ir por delante.
• Los resultados de muchos proyectos que se terminan no
producen ni cambios ni beneficios.
• TI y el trabajo de TI parecen estar desconectados de la mejora de
procesos.
• Los beneficios de las inversiones en nuevas tecnologías no se
perciben a menudo.
• Las inversiones en TI durante los 20 últimos años han sido
cuestionados por diversos investigadores.
 Resumen

• El impacto de estos problemas sobre el negocio es

substancial. Generalmente se considera y es
aceptado que los negocios dependen de sus
procesos clave para sus ingresos y beneficios.
• La función de TI que tiene éxito implantará los
sistemas y tecnología apoyando sus procesos clave.
Esto es, el éxito del negocio está vinculado a TI
mediante los procesos de negocio.
• Este es el núcleo del alineamiento de TI con el
negocio.
 Resumen
• La gobernanza de TI como parte de la gobernanza corporativa del negocio
es clave para el alineamiento entre negocio y TI e incluye los roles y
responsabilidades de la gestión, el negocio y los cuerpos externos de
gobierno y comités de estrategia.
• Inicialmente la gobernanza y la gestión de TI eran la misma cosa. Hoy la
gobernanza de TI dirige y controla el uso de la TI por parte de la
organización e incluye los siguientes elementos:
• Supervisión y dirección de la gestión de TI.
• El papel de TI en la organización
• Roles y responsabilidades tanto del negocio como de TI en las
actividades de TI.
• Planificación y medida de TI y sus procesos
• Gestión del portfolio de TI y proyectos.
• Asignación de recursos entre las distintas actividades de TI
• Dirigir la gestión del trabajo a realizar por TI.
• Todas las iniciativas tomadas en esta dirección desde el año 2003
iniciadas por ITGI y por el CISR del MIT, junto con la norma AZN 8015 y el
Modelo Calder Moir, dieron lugar a la norma ISO 38500 – 2008 que
constituye la guía de la mejores prácticas de la Gobernanza Corporativa de
 ISO/IEC 38500

Contenido (15 páginas)

• Alcance y objetivos
• Beneficios
• Definiciones
• Modelo
• Principios y guía de su implantación
 Responsabilidad
 Estrategia
 Adquisición
 Rendimiento
 Conformidad
 Conducta humana
 ISO/IEC 38500
• Gobernanza Corporativa: Sistema con el que dirigen y controlan las organizaciones

• Gobernanza de TI: Sistema con el que dirige y controla el presente y el futuro de la TI

• Gestión: Sistema de controles y procesos necesarios para alcanzar los objetivos estratégicos fijados en una organización. La
gestión está sujeta a las políticas y vigilancia definidas en la gobernanza corporativa

• Competente: Posee la combinación requerida de conocimiento, habilidades formales o informales, entrenamiento, experiencia y
conducta para tener un rol o ejecutar una tarea

• Director: Miembro del órgano de gobierno de mayor nivel dentro de una organización. Incluye propietarios, miembros del consejo,
socios, ejecutivos de alto nivel y personas autorizadas por la regulación o legislación

• Conducta humana: La comprensión de la interacción entre personas y otros elementos de un sistema, para asegurar el rendimiento
del sistema y el bienestar. Incluye la cultura, y las aspiraciones como individuos y como grupos

• Inversión: Asignación de capital, personas y otros recursos para alcanzar objetivos y otros beneficios

• Política: Definición clara y medible de la conducta y dirección preferida, que condiciona las decisiones posibles en una
organización

• Recursos: Personas, procedimientos, software, información, maquinaria, consumibles, infraestructura, fondos de capital y
operativos y tiempo

• Riesgo: Combinación de la probabilidad de un suceso y de su impacto

• Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organización respecto a sus riesgos

• Estrategia: Plan general de desarrollo de una organización, que describe el uso eficaz de los recursos para darle soporte en sus
actividades futuras: comprende la definición de objetivos y la propuesta de iniciativas de acción

• Uso de TI: Planificación, diseño, desarrollo, despliegue, operación, gestión y su aplicación a las necesidades del negocio. Incluye
la demanda y la entrega de los servicios de TI por unidades internas de TI, unidades especializadas en TI o proveedores externos,
así como los proveedores de productos como software y servicios
 ISO/IEC 38500
Alcance Objetivos

• Proporcionar guías para que

propietarios, miembros de
consejos, directivos y
ejecutivos de alto nivel usen
la TI de modo eficaz, eficiente Promover el uso eficaz, eficiente y
y aceptable, en su aceptable de TI en las organizaciones
organización para:
• Asegurar a los participantes (incluidos
clientes, accionistas y empleados) que,
• Proporcionar guías para
si se sigue el estándar, pueden confiar
quienes asesoren, informen o
en la gobernanza de TI
ayuden a los miembros de
• Informar y guiar a los directores sobre el
consejos:
• Alta Dirección gobierno de TI en sus organizaciones
• Personas que vigilan los • Suministrar bases para la evaluación
recursos de la empresa objetiva de la gobernanza de TI
• Especialistas externos, de
negocio o TI
• Vendedores de TI
• Proveedores internos de
servicios, incluidos los
consultores
• Auditores informáticos
 ISO/IEC 38500
Generales
Establece los principios para el uso eficaz, eficiente y aceptable de TIC y propone un
vocabulario para la gobernanza de TIC .Estos principios aseguran que los directivos
evaluarán los riesgos y aprovecharán las oportunidades derivadas de TIC

Conformidad de la organización Desempeño de la organización

• Ayuda a los directores a asegurar la conformidad con • Implantación y operación apropiada de los activos de TI
las obligaciones regulatorias, legales y contractuales • Claridad en la responsabilidad del uso y aprovisionamiento de TI para alcanzar las
sobre el uso aceptable de TI, evitando riesgos metas de la organización

personales a los directores por incumplimiento de • Alineamiento de TI y necesidades de negocio

obligaciones contables y fiscales • Uso eficiente de los recursos asignados

• Ayuda a afrontar adecuadamente los riesgos • Innovación en servicios, mercados y negocios

específicos relativos procesos implantados con TI. Por • Buenas prácticas en las relaciones con todos los participantes
ejemplo, los directores de una empresa podrían ser • Reducción de costes para la organización
responsables del incumplimiento o infracciones sobre: • Realización de los beneficios aprobados para cada inversión en TI

Estándares de seguridad
Legislación sobre Protección de Datos
Legislación sobre corre basura (Spam)
Legislación sobre prácticas comerciales
Derechos de propiedad intelectual (incluidas licencias de
software)
Requisitos de custodia histórica de datos
Leyes y reglamentos sobre el medio ambiente
Legislación sobre seguridad y salud de las personas
Legislación sobre accesibilidad
Estándares de responsabilidad social
 ISO / IEC 38500 l
de

Pr ego
es

es ci
N
Gobernanza ad

io o
id

ne
Corporativa s
c e c io

s
e
N ego

de
l
Evaluar N

Dirigir
Uso futuro: Uso actual:
Monitorear

Proyectos de Operaciones de

Propuestas
Negocio Negocio
Políticas

Conformidad
Rendimiento
Planes,

Proyectos Operaciones
TI TI

PROCESOS DE NEGOCIO
 ISO / IEC 38500

DOMINIO DE
NEGOCIO:
Como es usado
TI para habilitar Uso futuro: Uso actual:
y operar el
negocio
Proyectos de Operaciones de
Negocio Negocio

OFERTA

OFERTA
DOMINIO DE
TI:
Como es
gestionado y
entregada la TI

12
 ISO / IEC 38500
l
de
Pr ego
es
es ci
N Gobernanza d
a
io o
id
ne
Corporativa s
c e c io
s
e
N ego
de
l Evaluar N

Dirigir Monitorear

Propuestas
Políticas

Conformidad
Rendimiento
Planes,

Proyectos Operaciones
TI TI

PROCESOS DE NEGOCIO
13
 ISO / IEC 38500
l
de
Pr ego
es
es ci
N Gobernanza d
a
io o
Basándose en esta id
ne
Corporativa s
c e c io
s
e
N ego
de evaluación, la
l Evaluar N
Gobernanza Corporativa
Dirigir dirige la Gestión
Monitorear
Corporativa para tomar
acciones especificas

Propuestas
Políticas

Conformidad
Rendimiento
Planes,

La dirección dictada por

la Gobernanza
Proyectos Corporativa
Operaciones se refleja en
TI
TI
Planes aprobados y
Políticas
PROCESOS DE NEGOCIO
 ISO / IEC 38500
l
de
Pr ego
es
es ci
N Gobernanza d
a
io o
id
ne
Corporativa s
c e c io
s
e
N ego
de
l Evaluar N

La Gestión
Corporativa, como Dirigir Las Propuestas
Monitorear

parte de su son evaluadas por

responsabilidad la Gobernanza
Corporativa dando

Propuestas
con los procesos
Políticas

la debida

Conformidad
Rendimiento
Planes,

de negocio,
prepara consideración a
Propuestas para el las Presiones y
uso de TI Necesidades del
Proyectos Operaciones Negocio
TI TI

PROCESOS DE NEGOCIO
 ISO / IEC 38500
l
de
Pr ego
es
es ci
N Gobernanza d
a
io o
id
ne
Corporativa s
c e c io
s
e
N ego
de
La Gestión Corporativa
l Evaluar N
acomete los Proyectos TI La capacidad entregada
para proveerDirigir
a la es entonces
Monitorear utilizada
organización la para operar el negocio
capacidad requerida

Propuestas
Políticas

Conformidad
Rendimiento
Planes,

Proyectos Operaciones
TI TI

PROCESOS DE NEGOCIO
 ISO/IEC 38500
l
de
Pr ego
es
es ci
N Gobernanza d
a
io o
id
ne
Corporativa s
c e c io
s
e
N ego
de
l Evaluar N

Dirigir Monitorear

Propuestas
Políticas

Conformidad
Planes,

Desempeño
Proyectos de Negocio con dependencias TI Operaciones
Proyectos
TI TI

Proyectos de Negocio con dependencias TI

GESTION CORPORATIVA
PROCESOS DE NEGOCIO
 ISO / IEC 38500
l
de
Pr ego
El rendimiento de la TI y Gobernanza es
es ci
N d
a
io o
id
ne
Corporativa s
la Conformidad con la c e c io
s
e
N ego
de
l
Gestión Corporativa, a Evaluar N

través de reglas y
políticas, es informada
Dirigir Monitorear

periódicamente a la
La Gobernanza Corporativa
Gobernanza Corporativa
monitorea los informes para

Propuestas
evaluar el Desempeño y
Políticas

Conformidad
Rendimiento
Planes,

Conformidad. El
conocimiento que se
desprende de este monitoreo
es tomado enProyectos
cuenta para Operaciones
que futuras propuestas
TI sean TI

evaluadas
PROCESOS DE NEGOCIO
 RELACION ENTRE GOBERNANZA Y GESTION
s
de
Pr l

a
id ocio
es
de ego

Gobernanza s
io
N

ce eg
ne

Corporativa Ne l N
s

Planificar
cio

de
Evaluar

Dirigir Monitorear Propuestas

referentes al uso
actual y futuro de
TI
actual y futuro de
referentes al uso

Conformidad
Desempeño
Propuestas
Políticas
Planes,

TI

Proyectos de Operaciones de
Negocio con Negocio con
dependencias TI dependencias TI

Proyectos de Negocio con dependencias TI

Construir Ejecutar

Proyectos de Negocio con dependencias TI

MODELO BASICO DE NEGOCIO
GESTION CORPORATIVA (Sistema de Gestión)
 DESCOMPOSICION DEL CICLO DE GESTION

Desarrollo Propuestas
de la estrategia: Para definir la Visión
referentes
visión del negocio al
asíuso
como la estrategia del
actual yde
uso esperado futuro de Dos niveles en el
la TI.
Estrategia
desarrollo de laTI
estrategia: Planificar
•Establecimiento de la visión a la que la
organización aspira.
Planificar
• Definición de cómo la visión será
Proyectos TI
conseguida.
(Cambios
habilitados por TI)
Construir
Implementación

Operaciones TI
(Operaciones de
Negocio
habilitados por TI) Ejecutar
Operación

SISTEMAS DE GESTION
 DESCOMPOSICION DEL CICLO DE GESTION

Propuestas Visión
referentes al uso
actual y futuro de Estrategia
TI priorizar y asignarPlanificar
Planificación: Para
los recursos para entregar y operar la TI
– sistemas de negocio requeridos por la
estrategia de la organización-.
Planificar
Proyectos TI
(Cambios
habilitados por TI)
Construir
Implementación

Operaciones TI
(Operaciones de
Negocio
habilitados por TI) Ejecutar
Operación

SISTEMAS DE GESTION
 DESCOMPOSICION DEL CICLO DE GESTION

Propuestas Visión
referentes al uso
actual y futuro de Estrategia
TI Planificar

Implementación: Despliegue y gestión Planificar

de los recursos asignados para entregar
Proyectos
los sistemas TI nuevos así
de negocio
como actualizados
(Cambios requeridos por la
estrategia de lapor
habilitados organización.
TI)
Construir
Implementación

Operaciones TI
(Operaciones de
Negocio
habilitados por TI) Ejecutar
Operación

SISTEMAS DE GESTION
 DESCOMPOSICION DEL CICLO DE GESTION

Propuestas Visión
referentes al uso
actual y futuro de Estrategia
TI Planificar

Planificar
Proyectos TI
(Cambios
habilitados por TI)
Construir
Operación: Conducta en curso de la TI
Implementación
– actividades de negocio habilitadas
para realizar la estrategia establecida
porOperaciones TIy objetivos
la organización
(Operaciones de
operacionales
Negocio
habilitados por TI) Ejecutar
Operación

SISTEMAS DE GESTION
DESCOMPOSICION DE LOS SISTEMAS DE GESTION EN
DISCIPLINAS (THORP)

Estrategia

Arquitectura de
Portfolio

Empresa
Arquitectura de Empresa: Planificando y
gestionando el diseño global así como la
interacción de los componentes dentro del
sistema Planificación Programa
de negocio (personas, procesos,

Activos
estratégica: Estableciendo
estructurapara
dirección y tecnología).
un uso efectivo, eficiente y
aceptable de la TI

Proyecto

Operación
DESCOMPOSICION DE LOS SISTEMAS DE GESTION EN
DISCIPLINAS (THORP)

Estrategia

Arquitectura de
Gestión del Programa: Supervisión
Portfolio global de los trabajos requeridos para

Empresa
entregar las inversiones acordadas

Programa

Activos
Proyecto Gestión del Portfolio: Selección
de las opciones de inversión mas
apropiadas

Operación
 DESCOMPOSICION DE LOS SISTEMAS DE GESTION EN
DISCIPLINAS (THORP)

Estrategia

Arquitectura de
Gestión de Proyectos: Planificación
Portfolio especifica e implementación de una

Empresa
iniciativa aprobada.

Programa

Activos
Gestión de Activos TI: Asegurando que
los sistemas SW e infraestructura
permanecen eficientes, eficaces y
Proyecto
aceptables y que son retirados y /o
reemplazados apropiadamente.

Operación
DESCOMPOSICION DE LOS SISTEMAS DE GESTION EN
DISCIPLINAS (Thorpe)

Estrategia
Entrega del Servicio

Arquitectura de
Operacional: Proporcionando
entrega eficaz, eficiente y
Portfolio

Empresa
aceptable de la capacidad
operacional requerida por la
organización.

Programa

Activos
Seguridad de la Información:
Comprensión y tratamiento del riesgo de
la disponibilidad, integridad, privacidad y
autenticidad de la información que la
Proyecto
organización crea y colecciona a l largo
del negocio.

Operación
 SISTEMA DE GOBERNANZA

EVALUAR

DIRIGIR

MONITOREAR
 SISTEMA DE GOBERNANZA

El papel de los Evaluación uso actual

consejeros/directores TI. Perspectiva
en la evaluación Sistema de Negocio

Evaluación uso actual

Evaluación TI. Perspectiva
gobernanza Tecnología
EVALUAR

Evaluación suministro Evaluación uso futuro

TI. Estrategia
Evaluación iniciativas
propuestas y
prioridades
 Principios de buena gobernanza (ISO/IEC 38500)
Las personas o grupos • Tiene en cuenta las
comprenden las que tienen en capacidades actuales y
la demanda o la entrega de futuras de TI
servicio y tienen autoridad Responsa-
para poder realizar sus trabajos Estrategia • Los planes estratégicos de TI
bilidad satisfacen las necesidades
estratégicas del negocio

to Cr
en e
a mi ico de aci
ine té
g Va ón
Al stra lor
e
Comportamiento
Humano Adquisición

Ren
Med iento

Ries n de
gos
dim
ida d

tió
Ges
el
Gestión
de Recursos

Las políticas, prácticas y • Se hace por razones válidas,

decisiones muestran respeto
por los aspectos humanos y
consideran las necesidades
cambiantes de “las personas en
los procesos”
con análisis y tomas de
decisiones claras y
transparentes.
• Equilibrio entre oportunidad,
Conformidad Rendimiento coste, beneficio y riesgo, a
cosrto y a largo plazo

• TIC cumple todas las legislaciones y

regulaciones obligatorias. La TI es apropiada para dar soporte a la
• Las políticas y prácticas están organización, y la suministra servicios, con niveles
claramente definidas, implantadas y se y calidad apropiados para satisfacer los requisitos
hacen cumplir actuales y futuros
Principios para la Gobernanza Corporativa de TI

• Establecer claramente las responsabilidades sobre TI

• Desarrollar el Plan de TI para dar el mejor soporte a la organización

• Adquisición de TI con rigor (coste, riesgo, beneficios a corto y largo

plazo)

• Asegurar el buen desempeño de TI, siempre que sea requerida la

función

• Asegurar que TI actúa conforme a la legislación y normas internas y

externas existentes

• Asegurar que en el uso de TI se satisfacen las necesidades presentes y

futuras de todos los involucrados en el proceso
PRINCIPIOS ISO 38500

RESPONSABILIDAD

ESTRATEGIA

ADQUISICION

RENDIMIENTO

CONFORMIDAD

COMPORTAMIENTO HUMANO
 SISTEMA DE GOBERNANZA
En la evaluación de un sistema de gobernanza participan los cuatro elementos del sistema: personas, procesos,
estructura y tecnología.

ISO / IEC 38500 proporciona un marco para evaluar cualquier sistema de gobernanza de TI:

Evaluación
gobernanza
Tareas Evaluar Dirigir Monitorear
Principios
¿Qué significa cada celda?
Responsabilidad ¿Cómo se realiza?
¿Qué hay que tratar de mejorar?
¿Qué consecuencias de mejora deberían ser
Estrategia
buscadas?

Adquisición

Rendimiento ¿Nuestro sistema de gestión satisface las

necesidades de una gobernanza efectiva?
Conformidad vs
¿Nuestro sistema de gestión satisface las
Comportamiento necesidades de los requerimientos de marcos
formales?
Humano
 ISO/IEC 38500
Principio Evaluar
1. Establecer claramente Los directores/consejeros
las responsabilidades deberían evaluar las opciones
sobre TI para asignar responsabilidades
con relación a la utilización
(Responsabilidad) actual y futura de la TI. Entre
dichas opciones deberían buscar
aquellas que aseguran una
utilización y una entrega de TI
eficaz, eficiente y aceptable en
apoyo de la consecución de los
objetivos actuales y futuros del
negocio.
Deberían evaluar la competencia
de las personas a las que se le
dan responsabilidades para
tomar decisiones con relación a
la TI. Generalmente, estas
personas deberían ser directores
de negocio que también sean
responsables de los objetivos y
resultados de la organización,
asistidos por especialistas de TI
que comprendan los valores del
negocio y los procesos.
Dirigir/Ordenar Monitorear
Los directores/consejeros Los directores/consejeros
deberían controlar que los mantienen la responsabilidad
planes se desarrollan de final para la ejecución de los
acuerdo con las planes y propuestas.
responsabilidades de TI Deberían verificar
asignadas. personalmente que los
mecanismos adecuados de
gobierno están correctamente
establecidos
Deberían evaluar el
desempeño de aquellos a los
que se les ha dado la
responsabilidad en la
gobierno de TI
Deberían asegurar que
reciben la información que
necesitan para desarrollar sus
responsabilidades
estableciendo los sistemas
adecuados de medida
 ISO/IEC 38500
Principio Evaluar Dirigir/Regular Monitorear

2. Desarrollar el Plan de Para formular planes y Los directores/consejeros Los directores/consejeros

TI para dar el mejor políticas, los deberían controlar que deberían seguir el
soporte a la organización. directores/consejeros de las propuestas son progreso de las
TI deberían evaluar las sometidas a aprobación, propuestas aprobadas
(Estrategia) actividades realizadas a tiempo, para tratar las para asegurar que están
por TI para asegurar que deficiencias identificadas alcanzando los objetivos
están alineadas con los en la evaluación de las en el plazo adecuado
objetivos de la actividades de TI. utilizando los recursos
organización en asignados.
circunstancias Deberían también
cambiantes, tienen en impulsar la presentación Deberían supervisar el
consideración las de propuestas para usos uso de TI para asegurar
mejores prácticas y innovadores de TI que que se está alcanzando
satisfacen otros faciliten a la organización los beneficios esperados.
requisitos de partes iniciar nuevos negocios o
interesadas clave. mejorar procesos.

Deberían de utilizar Deberían impulsar la

procedimientos de preparación y utilización
gestión de riesgos de planes y políticas que
aseguren que la
organización se beneficia
de los desarrollos de TI
 ISO/IEC 38500

Principio Evaluar Dirigir/Regular Monitorear

3. Adquisición de TI con Los directores/consejeros Los directores/consejeros Los directores/consejeros

rigor. deberían evaluar deberían regular que los deberían hacer un
opciones para la activos de TI (sistemas e seguimiento de las
(Adquisición) provisión de TI que infraestructuras) sean adquisiciones de TI para
permitan desarrollar las adquiridos en la forma asegurar que
propuestas aprobadas , apropiada, incluyendo la proporcionan las
equilibrando riesgo y preparación de la capacidades requeridas
valor en las inversiones documentación, mientras
propuestas. se asegura que se Deberían seguir el grado
proporcionan las hasta el cual sus
capacidades requeridas. organización y
proveedores mantienen
Deberían promover que un conocimiento
su organización y sus compartido del interés en
proveedores realizar una adquisición
desarrollaran un de TI
conocimiento compartido
del interés de la
organización de realizar
una adquisición de TI
 ISO/IEC 38500

Principio Evaluar Dirigir/Regular Monitorear

4. Asegurar el buen Los directores/consejeros Para asegurar que TI da Los directores/consejeros

desempeño de TI, deberían evaluar riesgos el apoyo adecuado al deberían seguir el
siempre que sea de la integridad de la negocio, los alcance del grado de
requerida la función. información y la directores/consejeros soporte al negocio por
protección de los activos deberían exigir al parte de TI
(Ejecución/Resultados) de TI de los daños, responsable datos
abusos o mala utilización. correctos, actualizados y Deberían monitorizar a TI
protegidos frente a para asegurar que los
Deberían evaluar pérdidas o mal uso, de activos se retiran del
distintas opciones para acuerdo con las normas servicio y se sitúan de
asegurar que TI dará existentes. (27001- acuerdo con los
soporte a los procesos 27002) requisitos del entorno y
de negocio con la de gestión de los datos.
habilidad y capacitación Deberían verificar que
requerida existen suficientes Deberían vigilar el grado
recursos asignados para de seguimiento de las
asegurar que IT satisface políticas sobre precisión
las necesidades de la de datos y el uso
organización de acuerdo eficiente de TI
a las prioridades que se
han establecido.
 ISO/IEC 38500
Principio Evaluar Dirigir/Regular Monitorear

5. Asegurar que TI actúa Los directores/consejeros Los directores/consejeros Los directores/consejeros

conforme a la legislación deberían evaluar deberían exigir al
y normas internas y regularmente el grado responsable el
externas existentes. hasta el cual TI cumple establecimiento de
con las obligaciones mecanismos regulares y
(Conformidad) internas incluyendo rutinarios para asegurar
legislación, políticas que la utilización de TI de
internas, estándares y acuerdo con con la
guías profesionales. legislación vigente mas
relevante.
Deberían exigir que se
establezcan y refuercen
las políticas para facilitar
que la organización
cumpla con sus
obligaciones internas en
su utilización de TI
deberían seguir la forma
en que los directivos
revisan el cumplimiento y
conformidad de TI para
asegurar que las
revisiones se hacen
puntualmente y son
completas y adecuadas
para la evaluación del
grado de satisfacción de
las obligaciones internas

Deberían exigir que el

personal de TI siga las
guías establecidas para
su profesión

Debería exigir ética en

todas las acciones
relacionadas con TI
 ISO/IEC 38500
Principio Evaluar Dirigir/Regular Monitorear

6. Asegurar que en el Los Los Los

uso de TI se directores/consejeros directores/consejeros directores/consejeros
satisfacen las deberían evaluar si deberían señalar que deberían seguir las
necesidades las actividades de TI actividades de TI son actividades de TI para
presentes y futuras de aseguran que los consistentes con las asegurar que las
todos los involucrados comportamientos necesidades necesidades
en el proceso. deseables de las identificadas. identificadas
personas se continúan siendo
(Comportamiento consideran Deberían insistir en relevantes
Humano) adecuadamente y se que los riesgos deben
identifican sus ser identificados por
necesidades. cualquier persona en
cualquier momento.
Deberían ser
gestionados de
acuerdo con las
políticas y
procedimientos
publicados y
presentados a los
responsables de la
toma de decisiones
 Ejemplo de elementos de soporte a Responsabilidad

Competencias apropiadas para las responsabilidades asignadas:

• Cada persona y órgano dentro de la Unidad tiene la capacitación y atribuciones necesarias para poder asumir sus
responsabilidades
• Se mantiene y actualiza el catálogo de competencias, teniendo en cuenta la evolución del negocio, la tecnología y el entorno de
competencia, social y de tecnología
• Las personas que trabajan en lugares fuera de la Unidad están al tanto de las noticias y conocen los valores de la Unidad
• Enseñamos los valores corporativos y la visión a las personas que entran por fusiones y adquisiciones y a los proveedores
• Medimos quién absorbe los mensajes de la directrices y valores corporativos
• Usamos un portal único como ventana para toda la Unidad y usuarios externos de la Unidad seleccionados
• Usamos formación online para nuevos conocimientos y reducir el tiempo de formación inicial a nuevos empleados
• Procesamos online los pagos de gastos, excepto los que estén siendo auditados o que presenten anomalías respecto a valores
medios o de referencia
• Usamos la colaboración para que trabajen en grupo personas dispersas geográficamente
• Usamos herramientas para automatizar la cadena de valor con proveedores
• Conocemos cuándo y porqué externalizar o no externalizar servicios clave o auxiliares
•. . . . . . .
La TI está definida, dirigida, evaluada y vigilada por el máximo órgano ejecutivo:
• Tiene una visión clara del valor del capital material e inmaterial 1 y TI
• Entiende el alineamiento NEGOCIO-TI, el rendimiento de la TI y sus oportunidades y riesgos
• Está formulado en términos comprensibles y se ha explicado con el detalle necesario
• Muestra la arquitectura de negocio y la de TI, los medios de actualizar esas estrategias y de valorar sus resultados
• El Consejo entiende los proyectos y las capacidades de TI
• Hay un mecanismo de asignación de prioridad y decisión sobre alternativas propuestas
• Hay un marco de control para regular las actividades de TI
• Están definidas las responsabilidades de Negocio y de TI
• El rendimiento de TI se informa al Consejo por medio de un BSC e informes de avance de proyectos
• El capital intelectual (BPM, patentes, procesos de gestión TI)
• Definidas y reguladas las Relaciones (con clientes, con proveedores, con competidores y aliados)

: Humano, Organizativo (entre otros procesos, sistemas, bases de datos, cultura y valores) y Relacional
1
 Ejemplo de elementos de soporte a
Estrategia

Se puede describir el modelo de negocio en media página y saber qué papel juega exactamente la TI en ese
modelo
El modelo de negocio es estable en el tiempo, aunque algunas estrategias pueden cambiar en uno o dos años
Los expertos en TI participan en el desarrollo de la estrategia y comunican las alternativas e implicaciones de la
TI sobre la estrategia
Se comprenden los entornos de negocio y de nuestra competencia y las implicaciones que tienen sobre la TI
Todas las personas que trabajan en la Unidad comprenden el modelo de negocio, estrategias, planes de acción y
qué suponen para cada uno de ellos
Se usa un modelo sencillo (por ejemplo un BSC) para convertir la estrategia de negocio en acciones de TI
Nuestros directivos y profesionales comprenden que la estrategia no es estática y reaccionan rápidamente a los
cambios
Se usan modelos como COSO, COBIT, ISO27000 para identificar, medir y reducir los riesgos
Todos los directivos comprenden el impacto de la estrategia de negocio en la arquitectura TI
El Consejo decide los principios de uso de TI, alineados con el modelo y estrategia de negocio
El Consejo decide sobre la prioridades de TI, el presupuesto de TI y el orden de las inversiones en TI
Hay un modelo claro para decisiones de inversión en TI basado en los conceptos Supervivencia, Conformidad,
Estrategia y Táctica
Los planes de TI usan modelos de comunicación basados en BSC, Zachmann u otros modelos
establecidos en la industria
El Consejo conoce el valor de nuestra propiedad intelectual y nuestros datos, y vigila las estrategias dirigidas a
aumentar ese valor
Se vigilan las actitudes y valores de las personas y las alineamos con nuestro modelos de negocio y nuestra
prioridades
Hay estrategias específicas para mantener y aumentar el valor de negocio de nuestro Capital y sus componentes
(Material e Inmaterial (Humano,Organizacional, Relacional)
. . . . . . . . . .
 Ejemplo de elementos de soporte a Adquisición

La compra y desarrollo de sistemas se hace a partir de

• Definición de requisitos de negocio y tecnológicos
• Realización de estudios de factibilidad, según modelos definidos en los estándares de
desarrollo
• Aprobación o rechazo de requisitos y resultados de los estudios de viabilidad
• Traducción de los requisitos de negocio en especificaciones de diseño
• Cumplimiento de los estándares de desarrollo en todas las modificaciones
• Separación de las actividades de desarrollo, prueba y operación
• Consideración de la utilidad y facilidad de uso para los usuarios y clientes finales:
Desarrollo -y puesta a disposición de las personas que lo necesiten- de documentación
para la transferencia de tecnología
Comunicación, formación y entrenamiento a usuarios, sus directivos, y personas que van a
mantener y operar los sistemas
Escritura de material de entrenamiento
• La compra de tecnología se hace:
• A partir de un plan de compras, alineado con los restantes planes de alto nivel
• Planeando el mantenimiento de la infraestructura
• Implantando controles internos y medidas de seguridad y auditabilidad
. . . . . . . . . . .
 Ejemplo de elementos de soporte a
Conformidad

La segregación de funciones se cumple rigurosamente

Se guardan y custodian los registros históricos de datos
Se destruyen los datos según las leyes vigentes
La toma de decisiones se hace por personas u órganos capacitados, informados y con procedimientos
formalizados
La información ascendente se hace por medio de procedimientos formalizados y auditados
La información descendente se adapta al receptor: se convierten los téminos generales de alto nivel en términos
específicos para los niveles inferiores en la estructura
Hay procedimientos adecuados de protección de activos:
• Información
• Equipos
• Capital Inmaterial
Está garantizada la prestación de los servicios o su restauración en plazos pactados frente a contingencias
razonables, ya sean físicas (por ejemplo: incendio o inundación), humanas (por ejemplo sabotaje o huelga) o de
otrás índoles
Se hacen simulacros, con presencia de observadores externos a la Unidad, para comprobar el adecuado
funcionamiento real de las medidas de protección previstas
. . . . . . . . .
 Ejemplo de elementos de soporte a
Rendimiento

 Medir el balance coste / beneficio de las inversiones y gastos, considerando el valor creado para la Empresa
 Se miden y vigilan los indicadores esenciales del negocio y de la TI y se explican las desviaciones y las medidas
correctoras previstas
 Se consideran varias clases de inversiones (estratégicas y tácticas, de soporte y de cambio,…)
 Las inversiones se gestionan a lo largo de toda su vida útil
• La valoración de los sistemas, y por lo tanto, de sus proyectos de desarrollo o sus adquisiciones se efectúa
considerando toda la vida útil de esos sistemas, midiendo el valor aportado al negocio y los requisitos
específicos de los sistemas: explotabilidad, fiabilidad, mantenibilidad, facilidad de uso
 Las inversiones en TI se gestionan como carteras de inversión, con criterios acordados con el negocio, definidos,
comprensibles y mediables, con procedimientos escritos
 Hay un cuadro de mando acordado entre negocio y TI, con definiciones concretas y acordadas de su significado,
sus fórmulas y procedimientos de cálculo y su representación.
 El cuadro de mando se basa en modelos como Zachmann y usa BSCs
 El cuadro de mando se elabora de forma automatizada, con procesos auditados y los grados de detalle precisos.
 El cuadro de mando es el elemento esencial de comunicación de resultados entre TI y Negocio y forma parte de
todas las agendas de reunión
..........
 Ejemplo de elementos de soporte a
Comportamiento
Humano

 Consideración de las aspiraciones, potencial y capacidades de las personas

 Motivación y retribución
 Se vigilan las actitudes y valores de las personas y las alineamos con nuestro modelos de negocio y nuestra
prioridades
 Hay planes y mecanismos para aumentar la sinergia de la organización:
• Creación de grupos de interés
• Potenciación del trabajo en grupo
 Hay un catálogo de competencias, actualizado al menos anualmente
 Hay un catálogo de personas con sus competencias, planes de desarrollo y capacitación, actualizados al menos
anualmente
 Se resuelven los conflictos personales relacionados con el trabajo, caso a caso
 Hay mecanismos de comunicación interpersonal fuera de los formales
.......
 ISO/IEC 38500
Los directores deberían gobernar la TI con tres tareas principales:
• Evaluar el uso actual y futuro de TI
• Dirigir la preparación e implantación de planes y políticas para asegurar que el uso de TI cumple
los objetivos del negocio
• Vigilar la conformidad (con las políticas) y el rendimiento (con los planes)

EVALUAR
• Juzgar las estrategias, propuestas y contratos de
suministro (interno y externo)
• Deben considerar las presiones internas y
externas (cambios tecnológicos, tendencias
económicas y sociales e influencia política y
evaluar sus impactos
• Deben considerar las necesidades actuales y
futuras del negocio y los objetivos actuales y
futuros
VIGILAR
• El rendimiento de la TIC, por medio de los
sistemas de medida apropiados
• Deben asegurarse de la concordancia
entre el rendimiento real y el planeado,
sobre todo en lo relativo a objetivos de
negocio
• Deben asegurarse de la conformidad de TI
con regulaciones, legislación y contratos,
así como las prácticas internas de trabajo

Ne e l N
DIRIGIR

eg es

ce eg
d
• Deben asignar responsabilidades y dirigir

io
l N ion

sid oc
oc
la escritura e implantación de planes y

ad io
de res
políticas, que fijen la dirección de las Evaluar

es
P
inversiones en proyectos y operación de
TIC.
• Las políticas deben establecer conductas

Propuestas
positivas para el uso de TI Dirigir Vigilar
• Deben asegurarse de que la transición de

Conformidad
Rendimiento
proyectos a servicios en operación está

Políticas
gestionada adecuadamente y considera el
impacto en la operación existente Planes
• Deben promover una cultura de buen
gobierno en su organización, haciendo que
los directivos informen a tiempo para poder
cumplir los 6 principios de la buena
gobernanza Proyectos Operación
de TIC de TIC
Responsabilidad P
de res
l N ion
eg es
oc
io

Estrategia
Planes
Políticas
Dirigir

Conformidad
Proyectos de TIC

Propuestas
Evaluar

Conducta Humana

Rendimiento
ISO/IEC 38500

Conformidad
Controlar

Adquisición d
Ne el N
ce eg
si o c
da io
Operación de TIC

de
s

Rendimiento
 Principales aportaciones de la ISO 38500
-La norma ISO 38500 es aplicable a cualquier tipo de organización
para implantar un buen gobierno de TI que guía a la gestión de TI.
- Es responsabilidad del Consejo el buen gobierno que guía a la
organización en el uso de la TI.
- Debe prestarse más atención a las decisiones que la organización
toma acerca del uso futuro de la TI y al compromiso de la organización
a que sea un éxito, que a la oferta existente para satisfacerla.
- Los principales usuarios de la norma son los ejecutivos de la
organización
- La buena gobernanza de TI afecta positivamente a todas las partes
interesadas en el valor y buen funcionamiento de la organización.
- El comportamiento de las personas es clave para el buen gobierno
de TI.
- Cada organización es responsable de implantar el modelo adaptado
a su cultura y situación
El Liderazgo Digital
 La norma ISO/IEC 38500 en la era digital
• Es la capacidad de los líderes de negocio para identificar y comprender las oportunidades
de crecimiento y valor mediante un uso de la TI eficaz, eficiente y aceptable de TI.

• Liderazgo Digital es:

– buscar tecnología que facilite oportunidades para reinventar el negocio
– buscar tecnología que facilite oportunidades para expandir y romper mercados
– comprender como clientes, proveedores y reguladores están utilizando tecnología para
avanzar en su propio interés
– fortalecer y orientar a la organización con una nueva y evolutiva visión.
– no es necesario poseer un conocimiento profundo de la tecnología, si no tener la
habilidad para ver el potencial de la tecnología
– comprender que el éxito no está en la entrega de la tecnología, sino como la técnología
facilita la transformación del negocio
– organizar, comprometer y focalizar a la organización para el cambio
– Activar todos los recursos para el cambio.
 La norma ISO/IEC 38500 en la era digital
ISO 38500
• Elementos fundamentales
– Focalizarse en el contexto de
negocio mejor que en el
contexto tecnológico
– Evaluar, Dirigir , Monitorear el
uso de TI
– Planear, Construir, Utilizar la TI
que facilita el éxito del negocio
– Seis Principios para guiar el
comportamiento
Liderazgo Digital
• Elementos Fundamentales
– El contexto de negocio es la
transformación del negocio y del
mercado facilitada por la tecnología
– Evaluar, Dirgir, Monitorear la
adaptación a la era digital
– Planear, Construir, Poner en
funcionamiento el negocio de la era
digital
– Seis Principios para guiar el
comportamiento
La norma ISO/IEC 38500 en la era digital
Definición ISO 38500 :
Pr bre io
es
so goc
Ne

ion el

• Gobernanza Corporativa
es

Evaluar
Gobernanza de TI es el sistema
mediante el cual el uso
Dirigir Monitorear actual y futuro de TI es
dirigido y controlado.

• El uso actual y futuro de

TI incluye la
transformación digital de
TI facilita el cambio TI facilita las la organización y la
en el negocio operaciones de participación de la
mediante proyectos negocio organización en la
transformación digital del
Gestión de TI – demanda & suministro
mercado

0:37/2
 La norma ISO/IEC 38500 en la era digital
• Responsibilidad
– El Liderazgo Digital es una responsabilidad conjunta del
cuerpo de gobierno y el equipo ejecutivo de gestión.

• Estrategia
– El Liderazgo Digital define y entrega planes estratégicos y
detallados para la transformación digital de la organización
y su respuesta a la transformación digital del mercado.

• Adquisición
– El Liderazgo Digital asegura que cada inversión en la
transformación digital está adecuadamente definida, a
tiempo y de forma racional.

0:39/2
 La norma ISO/IEC 38500 en la era digital
• Desempeño
– El Liderazgo Digital asegura que la transformación se realizará
puntualmente, que los planes consideran los factores para el cambio
interno y externo y los resultados pretendidos se consiguen.

• Conformidad
– El Liderazgo Digital presta atención a la evolución de la conformidad
con la demanda y cuando es necesario dirige la evolución de los
requisitos del mercado . El Liderazgo Digital asegura que los controles
internos y externos están configurados para facilitar la transformación
digital deseada.

• Comportamiento Humano
– El Liderazgo Digital reconoce que las personas que están, a menudo,
a la cabeza de la organización en querer aprovechar las oportunidades
que ofrece la tecnología , están frustradas por la percepción de retraso
y perciben como un reto el potencial impacto del cambio sobre sus
empleos, estado y estilo de vida.