Prefacio

ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la normalización en todo el mundo. Los organismos nacionales que son miembros de ISO e IEC participan en el desarrollo de las Normas Internacionales a través de comités técnicos establecidos por la organización respectiva para hacer frente a campos particulares de la actividad técnica. Comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, ISO / IEC JTC 1.

Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas ISO / IEC, Parte 2. La principal tarea de la comisión técnica conjunta es preparar Normas Internacionales. Proyectos de Normas Internacionales adoptados por el comité técnico conjunto se circulan a los organismos nacionales para votación.

La publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organismos nacionales con derecho a voto.

Llama la atención la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO e IEC no se hace responsable por la identificación de cualquiera o todos los derechos de patente.

ISO / IEC 38500 fue preparada por Standards Australia (como AS8015: 2005) y se adoptó, en virtud de un "procedimiento acelerado", por Joint Comité Técnico ISO / IEC JTC 1, Tecnología de la información, de forma paralela a su aprobación por los organismos nacionales de ISO e IEC.

ISO / IEC 38500 es una norma basada en principios de alto nivel. Además de proporcionar una orientación general sobre la función de un órgano de gobierno, se alienta a las organizaciones a utilizar las normas apropiadas en su gobierno de TI.

En el momento de publicación de esta norma, JTC1 continúa los esfuerzos para desarrollar nuevos documentos relativos a la gobernanza de la tecnología de la información.

Estos documentos, que son propensos a ser puestos en libertad en el futuro como Informes Técnicos de ISO / IEC y, posiblemente, como Normas, se espera abordar una serie de temas que incluyen:

• Gobierno de Proyectos de Inversión que impliquen TI

• Gobierno de TI utilizado en operaciones comerciales en curso

Introducción

El objetivo de esta norma es proporcionar un marco de principios para directores para utilizar a la hora de evaluar, dirigir y supervisar el uso de la tecnología de la información (TI) en sus organizaciones.

La mayoría de las organizaciones utilizan las TI como una herramienta fundamental de negocios y pocos pueden funcionar eficazmente sin ella. Es también un factor importante en los futuros planes de negocio de muchas organizaciones.

El gasto en TI puede representar una proporción significativa de los gastos de la organización de los recursos financieros y humanos. Sin embargo, un retorno de esta inversión es a menudo menospreciado y los efectos adversos en las organizaciones debido a esto pueden ser significativos.

Las principales razones de estos resultados negativos son el dar a énfasis los aspectos técnicos, financieros y de programación de las actividades de TI en lugar de dar énfasis en el uso en todo el contexto del negocio de la TI.

Esta norma proporciona un marco para una gobernanza eficaz de las TI, para ayudar a los que están en el más alto nivel de las organizaciones a comprender y cumplir con sus obligaciones legales, regulatorias y éticas en relación al uso de las TI de sus organizaciones. El marco comprende las definiciones, principios y un modelo.

Esta norma sigue la línea de la definición de gobernanza corporativa que fue publicada como un informe del Comité sobre los Aspectos Financieros del Gobierno Corporativo (el Informe Cadbury) en 1992. El Informe Cadbury también proporcionó la definición fundamental de la gobernanza corporativa en los Principios de Gobernanza Corporativa de OCDE en 1999 (revisada en 2004). Se anima a los usuarios de esta norma para familiarizarse con el Informe Cadbury y los Principios de la OCDE para el gobierno corporativo.

La gobernanza es distinta de la gestión, y para evitar la confusión, los dos conceptos están claramente definidos en la norma.

Si bien esta norma se dirige principalmente al órgano gobernante, que a su vez puede ordenar que ciertas acciones tome la gestión de la organización, también permite que, en algunas organizaciones (normalmente más pequeñas), los miembros del órgano de gobierno también puedan ocupar los roles clave en la gestión. De este modo, se asegura que la norma es aplicable a todas las organizaciones, desde la más pequeña hasta la más grande, a pesar de su propósito, el diseño y la estructura del propietario.

La norma también tiene por objeto informar y orientar a las personas involucradas en el diseño e implementación del sistema de gestión de las políticas, los procesos y las estructuras que apoyan la gobernabilidad.

ÁMBITO, APLICACIÓN Y OBJETIVOS

1.1 Ámbito

Esta norma proporciona principios para los directores de las organizaciones (incluidos los propietarios, consejeros, directores, socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz, eficiente y aceptable de Tecnología de la Información (IT) dentro de sus organizaciones.

Esta norma se aplica a la gestión de procesos de gestión (y decisiones) en relación con los servicios de información y de comunicación utilizados por una organización. Estos procesos pueden ser controlados por especialistas en TI dentro de la organización o de servicios externos, o por unidades de negocio dentro de la organización.

También proporciona orientación a aquellos que han de asesorar, informar, o ayudar a los directores. Ellos incluyen:

Senior managers; miembros de grupos que monitorean los recursos dentro de la organización; especialistas en negocios o técnicos externos, vendedores de hardware, software, comunicaciones y otros productos de TI; proveedores internos y externos de servicios (incluidos los consultores); Auditores IT

1.2 Aplicación

Esta norma es aplicable a todas las organizaciones, incluyendo empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro. La norma es aplicable a organizaciones de todos los tamaños, desde los más pequeños hasta los más grandes, independientemente de la extensión de su uso de las TI.

1.3 Objetivos

El propósito de esta norma es promover el efectivo, eficiente y aceptable uso de IT en todas las organizaciones a través de:

• asegurar las partes interesadas (incluidos los consumidores, los accionistas, y empleados) que, si la norma se sigue, que pueden tener confianza en el gobierno corporativo de la organización de TI;

• informar y orientar a los directores en gobernar el uso de las IT en su organización; y

• proporcionar una base para la evaluación objetiva de la gobernanza corporativa de IT.

1.4 Ventajas del uso de esta norma

1.4.1 general

Esta norma establece los principios para el uso eficaz, eficiente y aceptable de TI. Asegurarse de que sus organizaciones siguen estos principios ayudará a los directores en el manejo de los riesgos y el fomento de oportunidades derivadas de la utilización de las TI.

Esta norma establece un modelo para la gobernanza de TI. El riesgo de que los directores no cumplan con sus obligaciones se ve mitigado por prestar la debida atención al modelo al aplicar correctamente los principios.

La norma establece un vocabulario para la gobernanza de TI.

1.4.2 La conformación de la organización

El adecuado Gobierno corporativo de TI puede ayudar a los directores para asegurar el cumplimiento de las sobre el uso aceptable de TI.

Sistemas de IT inadecuados pueden exponer a los directores al riesgo de no cumplir con la legislación. Por ejemplo, en algunas jurisdicciones, los directores podrían ser personalmente responsables si inadecuados resultados del sistema de contabilidad de impuestos no se pagan.

Los procesos relacionados con IT incorporan riesgos específicos que deben abordarse apropiadamente. Por ejemplo, los directores podrían ser responsables de las infracciones de:

las normas de seguridad; legislación sobre privacidad; legislación de prácticas comerciales; derechos de propiedad intelectual, incluidos los acuerdos de concesión de

licencias de software; requisitos de mantenimiento de registros; legislación y reglamentación ambiental; legislación sobre salud y seguridad; legislación de accesibilidad;

estándares de responsabilidad social.

Directores utilizando las directrices de esta norma son más propensos a cumplir con sus obligaciones.

1.4.3 Rendimiento de la organización

La Gobernanza corporativa adecuada de TI ayuda a los directores para asegurar que el uso de TI contribuye positivamente al rendimiento de la organización, a través de:

•adecuada implementación y operación de las ventajas de las TI ;

•claridad de la responsabilidad y la rendición de cuentas, tanto para el uso y prestación de las TI en el cumplimiento de los objetivos de la organización;

•continuidad del negocio y la sostenibilidad;

•alineación de TI con las necesidades del negocio;

•asignación eficiente de los recursos;

•innovación en los servicios, los mercados y los negocios;

•buenas prácticas en las relaciones con las partes interesadas;

•reducción de los costos de una organización; y

•conciencia efectiva de los beneficios aprobados de cada inversión en TI.

1.5 documentos de referencia

Los siguientes documentos actúan como referencia en esta norma

Report of the Committee on the Financial Aspects of Corporate Governance, Sir Adrian Cadbury, London, 1992 ISBN 0 85258 913 1

OECD Principles of Corporate Governance, OECD, 1999 and 2004 ISO Guide 73 2002 - Risk management — Vocabulary — Guidelines for use in

standards.

1.6 Definiciones

Para los efectos de esta norma, se aplican las siguientes definiciones.

Se espera que una organización se adapte a la terminología utilizada dentro de esta norma para adaptarse a sus circunstancias o estructura.

1.6.1 Aceptable

Cumplir con las expectativas de las partes interesadas que son capaces de ser mostrado como razonables o merecidas.

1.6.2 Gobierno corporativo

El sistema por el cual las organizaciones son dirigidas y controladas. (adaptado de Cadbury 1992 y OCDE 1999)

1.6.3 El gobierno corporativo de TI

El sistema por el cual el uso actual y futuro de las TI está dirigido y controlado.

La gobernanza corporativa de TI consiste en evaluar y dirigir el uso de las TI para apoyar la organización y el seguimiento de este uso para lograr los planes. Incluye la estrategia y las políticas para el uso de TI dentro de una organización.

1.6.4 Competente

Tener la combinación de conocimientos, habilidades formales e informales, la formación, la experiencia y los atributos de comportamiento necesarios para realizar una tarea o función.

1.6.5 director

Miembro del órgano de gobierno más experimentado de una organización. Incluye propietarios, miembros de la junta, socios, directivos o similares, y los funcionarios autorizados por la legislación o regulación.

1.6.6 El comportamiento humano

La comprensión de las interacciones entre los seres humanos y otros elementos de un sistema con la intención de garantizar el bienestar y el rendimiento de los sistemas. El comportamiento humano incluye la cultura, las necesidades y aspiraciones de las personas como individuos y como grupos.

Nota: Con respecto a las TI, hay numerosos grupos o comunidades de seres humanos, cada uno con sus propias necesidades, aspiraciones y conductas. Por ejemplo, las personas que utilizan los sistemas de información pueden exhibir las necesidades relacionadas con la accesibilidad y ergonomía, así como la disponibilidad y el rendimiento. Las personas cuyos roles están cambiando debido a la utilización de las TI podrían exhibir necesidades relacionadas con la comunicación, la formación, y seguridad. Las personas involucradas en la construcción y operación de capacidades de TI pueden exhibir las necesidades relacionadas a las condiciones de trabajo y desarrollo de habilidades.

1.6.7 Tecnología de la información (IT)

Recursos necesarios para adquirir, procesar, almacenar y difundir información. Este término también incluye "Tecnología de la Comunicación (CT)" y el término compuesto "Tecnología de Información y Comunicación (ICT)".

1.6.8 Inversión

La asignación de capital humano, y otros recursos para alcanzar los objetivos definidos y otros beneficios.

1.6.9 Gestión

El sistema de controles y procesos requeridos para alcanzar los objetivos estratégicos establecidos por el órgano rector de la organización. La Gestión está sujeta a la orientación política y de control establecidos a través de la gobernanza corporativa.

1.6.10 Organización

Cualquier empresa, corporación, gobierno, organización sin fines de lucro u otro órgano legalmente constituido incluidas las asociaciones, clubes, asociaciones, agencias gubernamentales, empresas privadas y empresarios individuales que tiene su propia función y la administración.

1.6.11 Póliza

Declaraciones claras y medibles de dirección y comportamiento preferidas para llevar a cabo las decisiones dentro de una organización.

1.6.12 Propuesta

Recopilación de beneficios, costos, riesgos, oportunidades y otros factores aplicables a las decisiones a tomar. Incluye casos de negocios.

1.6.13 Recursos

Gente, procedimientos, software, información, equipamiento, insumos, infraestructura, capital y fondos de operación, y el tiempo.

1.6.14 Riesgo

Combinación de la probabilidad de un evento y sus consecuencias (Guía ISO / IEC 73).

Nota: Las consecuencias son impactos sobre la organización. Ellos pueden ser negativos, como en el uso común, u ‘oportunidades’.

1.6.15 Gestión de Riesgo

Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos (ISO / IEC Guía 73).

1.6.16 Accionista

Cualquier individuo, grupo u organización que pueda afectar, verse afectadas por, o percibirse a sí mismos afectados por una decisión o actividad (adaptado de la norma ISO / IEC Guía 73).

1.6.17 Estrategia

Plan general de desarrollo de una organización que describe el uso eficaz de los recursos en apoyo de la organización en sus actividades futuras. Implica el establecimiento de objetivos y proponer iniciativas para la acción.

1.6.18 El uso de TI

La planificación, diseño, desarrollo, implementación, operación, administración y aplicación de TI para satisfacer las necesidades de la empresa. Incluye tanto la demanda y la oferta, los servicios de TI por las unidades internas de negocio, especialista de unidades de TI o proveedores externos y los servicios públicos (como los que proporcionan el software como servicio).

2 MARCO PARA LA BUENA GOBERNANZA CORPORATIVA DE TI

2.1 Principios

Esta sección establece seis principios de buena gobernanza corporativa de TI. Los principios son aplicables a la mayoría de las organizaciones.

Los principios expresan la conducta preferente para guiar la toma de decisiones. La declaración de cada principio se refiere a lo que debería suceder, pero no prescribe cómo, cuándo o por quién se aplicarían los principios - ya que estos aspectos dependen de la naturaleza de la organización la aplicación de los principios-. Los Directores deben exigir que se apliquen estos principios.

2.1.1 Principio 1: Responsabilidad

Los individuos y grupos dentro de la organización entienden y aceptan sus responsabilidades con respecto a la oferta y la demanda de TI. Los que tienen la responsabilidad de las acciones también tienen la autoridad para llevar a cabo esas acciones.

2.1.2 Principio 2: Estrategia

La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de TI; los planes estratégicos de TI deben satisfacer las necesidades actuales y en curso de la estrategia de negocio de la organización.

2.1.3 Principio 3: Adquisición

Las Adquisiciones de TI se hacen por razones válidas, sobre la base de su caso y en curso de análisis, con la toma de decisiones clara y transparente. Hay un equilibrio apropiado entre los beneficios, oportunidades, costos y riesgos, tanto a corto plazo como a largo plazo.

2.1.4 Principio 4: Rendimiento

Las TI son adecuadas para el propósito de apoyar la organización, la prestación de los servicios, niveles de servicio y calidad de servicio requeridos para satisfacer las necesidades de negocio actual y futuro.

2.1.5 Principio 5: Conformidad

Cumple con todas las leyes y reglamentos obligatorios. Las políticas y prácticas están claramente definidos, aplicación y cumplimiento.

2.1.6 Principio 6: Comportamiento Humano

Las Políticas de IT, prácticas y decisiones demuestran respeto por el comportamiento humano, incluyendo las necesidades actuales y futuras de todas las 'personas en el proceso'.

2.2 Modelo

Los directores deben gobernar TI a través de tres tareas principales:

a) Evaluar el uso actual y futuro de las TI.

b) dirigir la preparación y ejecución de planes y políticas para asegurar que el uso de las TI cumple con los objetivos de negocio.

c) Velar por el cumplimiento de las políticas y el desempeño contra los planes.

La figura 1 muestra el modelo de Gobierno de TI del ciclo de Evaluar-Dirigir-Monitorear.

El siguiente texto figura 1 se explica los elementos y relaciones representadas.

Figura 1 Modelo de Gobierno Corporativo de TI

Evaluar

Los directores deben examinar y hacer un juicio sobre el uso actual y futuro de las TI, incluyendo estrategias, propuestas y acuerdos de suministro (ya sean internas, externas, o ambas).

Al evaluar el uso de las TI, los directores deben tener en cuenta las presiones externas o internas que actúan sobre el negocio, tales como el cambio tecnológico, las tendencias económicas y sociales, y las influencias políticas.

Los directores deben realizar la evaluación continua.

Los directores también deben tener en cuenta tanto las necesidades de negocio actuales y futuras - los objetivos organizacionales actuales y futuros que deben alcanzar, tales como el mantenimiento de la ventaja competitiva, así como los objetivos específicos de las estrategias y propuestas que están evaluando.

Dirigir

Los directores deben asignar responsabilidades y realizar preparación directa y la aplicación de planes y políticas. Los planes deben establecer la dirección de las inversiones en proyectos de TI y operaciones de TI. Las políticas deben establecer el comportamiento seguro en el uso de las TI.

Los directores deben asegurarse de que la transición de los proyectos a estado operativo se planifica y gestiona adecuadamente, teniendo en cuenta los impactos sobre las prácticas de negocio y operativos, así como los sistemas y la infraestructura de TI existente.

Los Directores deben fomentar una cultura de buena gobernanza de las TI en su organización al requerir gerentes para proporcionar información oportuna, para cumplir con la dirección y para cumplir con los seis principios de la buena gobernanza.

Si es necesario, los directores deben dirigir la presentación de propuestas para la aprobación para hacer frente a las necesidades identificadas.

Monitorear

Los Directores deben monitorear, a través de sistemas de medición adecuados, el rendimiento de las TI. Ellos deberían confirmarse a sí mismos de que el rendimiento es de concordante con los planes, especialmente en relación con los objetivos del negocio.

Los directores también deben asegurarse de que la IT cumple con las obligaciones externas y prácticas de trabajo internas.

Nota: La responsabilidad de los aspectos específicos de TI puede ser delegada a los administradores de la organización. Sin embargo, la responsabilidad por el uso y la entrega de TI eficaz, eficiente y aceptable por una organización se queda con los directores y no puede ser delegada.

3 ORIENTACIÓN PARA LA GOBERNANZA CORPORATIVA de TI

3.1 Generalidades

Las siguientes secciones proporcionan una guía de los principios generales de buen gobierno de TI y las prácticas necesarias para aplicar los principios.

Las prácticas descritas no son exhaustivas, pero proporcionan un punto de partida para la discusión de las responsabilidades de la Administración para la gobernanza de TI. Es decir, se sugieren las prácticas descritas en la orientación de Gobierno de TI.

Es responsabilidad de cada organización, de forma individual, identificar las acciones específicas necesarias para poner en práctica los principios, teniendo debidamente en cuenta la naturaleza de la organización, y el análisis adecuado de los riesgos y oportunidades del uso de las TI.

Como base para la ilustración, las prácticas descritas son aplicables a la mayoría de las organizaciones (grandes o pequeñas), la mayoría de las veces. Cualquier variación debe ser bien considerada.

3.2 Principio 1: Responsabilidad

Evaluar

Los directores deben evaluar las opciones para la asignación de responsabilidades en relación con el uso actual y futuro de la organización de TI. En la evaluación de opciones, los directores deben tratar de asegurar el uso y las entregas de TI eficaz, eficiente y aceptable en apoyo de los objetivos de negocio actuales y futuras.

Los directores deben evaluar la competencia de los que recibieron la responsabilidad de tomar decisiones sobre TI. Generalmente, estas personas deben ser gerentes de empresas que también son responsables de los objetivos de negocio de la organización y el desempeño, asistidos por especialistas en TI que entienden los valores y procesos de negocio.

Dirigir

Los directores deben ordenar que los planes se lleven a cabo de acuerdo con las responsabilidades de TI asignadas.

Los directores deben dirigir el recibimiento de la información que necesitan para cumplir con sus responsabilidades y la rendición de cuentas.

Monitorear

Los Directores deben vigilar que se establezcan mecanismos de gobernanza de TI adecuados.

Los Directores deben vigilar que los que recibieron la responsabilidad reconozcan y entiendan sus responsabilidades.

Los directores deben monitorear el desempeño de los que recibieron la responsabilidad en el gobierno de TI (por ejemplo, aquellas personas que desempeñan funciones en los comités de dirección o en la presentación de propuestas a los directores)

3.3 Principio 2: Estrategia

Evaluar

Los directores deben evaluar la evolución de TI para asegurar que va a proporcionar apoyo a las necesidades futuras del negocio.

Al considerar los planes y políticas, los directores deben evaluar las actividades de TI para asegurarse de que se alinean con los objetivos de la organización, tener la consideración de mejores prácticas y satisfacer otros requisitos de interés clave.

Los directores deben garantizar que el uso de TI está sujeto a evaluación adecuada del riesgo tal como se describe en las normas internacionales y nacionales pertinentes.

Dirigir

Los directores deben dirigir la preparación y el uso de los planes y políticas que garanticen a la organización el beneficiarse de la evolución de las TI.

Los directores también deben alentar la presentación de propuestas de usos innovadores de TI que permiten a la organización para responder a nuevas oportunidades o desafíos, emprender nuevos negocios o mejorar los procesos.

Monitorear

Los directores deben monitorear el progreso de las propuestas de TI aprobadas para garantizar que se estén logrando los objetivos en los plazos requeridos utilizando los recursos asignados.

Los directores deben supervisar el uso de las TI para asegurarse de que están obteniendo los beneficios previstos.

3.4 Principio 3: Adquisición

Evaluar

Los directores deben evaluar las opciones propuestas de la TI, equilibrando los riesgos y relación calidad-precio de las inversiones propuestas.

Dirigir

Los directores deben ordenar que las ventajas de TI (sistemas e infraestructura) se adquieran de una manera apropiada, incluyendo la preparación de la documentación adecuada, garantizando al mismo tiempo que se proporcionan capacidades requeridas.

Los directores deben dirigir que los acuerdos de suministro (incluyendo tanto los acuerdos de suministro internas y externas) apoyen las necesidades de negocio de la organización.

Monitorear

Los directores deben monitorear las inversiones en TI para asegurar que proporcionan las capacidades requeridas.

Los directores deben monitorear el grado en que su organización y proveedores mantienen la comprensión compartida de la intención de la organización en la toma de cualquier adquisición de TI.

3.5 Principio 4: Rendimiento

Evaluar

Los directores deben evaluar los medios propuestos por los administradores para asegurar que se apoyarán los procesos de negocio requeridos.

Estas propuestas deben abordar el mantenimiento normal del negocio y el tratamiento del riesgo asociado con el uso de las TI.

Los directores deben evaluar los riesgos a la continua operación del negocio derivado de las actividades de TI.

Los directores deben evaluar los riesgos para la integridad de la información y la protección de los activos de TI, incluida la propiedad intelectual asociada y memoria organizacional.

Los directores deben evaluar las opciones para asegurar decisiones eficaces y oportunas sobre el uso de las TIC en apoyo de los objetivos de negocio.

Los directores deben evaluar regularmente la eficacia y el rendimiento del sistema de la organización para la Gobernabilidad de TI.

Dirigir

Los directores deben garantizar la asignación de recursos suficientes para que cumpla con las necesidades de la organización, de acuerdo con las prioridades acordadas y las limitaciones presupuestarias.

Los directores deben dirigir a los responsables de garantizar que TI soporta el negocio, cuando sea necesario por razones de negocios, con correctos y actualizados datos que se protegen de la pérdida o mal uso.

Monitorear

Los directores deben vigilar la medida en que es compatible con el negocio.

Los directores deben monitorear el grado en que la asignación de recursos y presupuestos se priorizan de acuerdo con los objetivos de negocio.

Los directores deben monitorear el grado en que las políticas, como la exactitud de los datos y el uso eficiente de las TI, se siguen correctamente.

3.6 Principio 5: Conformación

Evaluar

Los directores deben evaluar regularmente el grado en que satisface las obligaciones (normativa, legislación, derecho consuetudinario, contractual), políticas internas, normas y directrices profesionales.

Los directores deben evaluar periódicamente el cumplimiento interno de la organización de su sistema de gobernanza de la TI.

Dirigir

Los directores deben dirigir a los responsables de establecer mecanismos regulares y rutinarios de asegurar que el uso de las TI cumple con las obligaciones pertinentes (normativa, legislación, derecho consuetudinario, contractual), normas y directrices.

Los directores deben ordenar que las políticas se establezcan y hagan cumplir para que la organización cumpla con sus obligaciones internas en el uso de las TI.

Los directores deben ordenar que el personal de TI siga las directrices pertinentes para la conducta profesional y el desarrollo.

Los directores deben dirigir que todas las acciones relacionadas con TI sean éticas.

Monitorear

Los Directores deben vigilar el cumplimiento de TI y la conformidad a través de prácticas de presentación de informes y de auditoría apropiadas, asegurando que las revisiones son oportunas, integrales y adecuadas para la evaluación del grado de satisfacción de la empresa.

Los directores deben monitorear las actividades de TI, incluyendo la eliminación de los activos y datos, para asegurar que el medio ambiente, la privacidad, la gestión estratégica del conocimiento, la preservación de la memoria de la organización y otras obligaciones pertinentes se cumplan.

3.7 Principio 6: Comportamiento Humano

Evaluar

Los directores deben evaluar las actividades de TI para asegurar que los comportamientos humanos son identificados y considerados adecuadamente.

Dirigir

Los directores deben dirigir las actividades de TI que son consistentes con el comportamiento humano identificado.

Los directores deben ordenar que los riesgos, oportunidades, problemas y preocupaciones puedan ser identificados y denunciados por cualquiera en cualquier momento. Estos riesgos deben gestionarse de acuerdo con las políticas y procedimientos publicados y dirigidos a los que toman las decisiones pertinentes.

Monitorear

Los directores deben monitorear las actividades de TI para garantizar que las conductas humanas identificadas siguen siendo pertinentes y se da que la atención adecuada a los mismos.

Los directores deben monitorear las prácticas de trabajo para asegurarse de que sean compatibles con el uso adecuado de las TI.