PrefacioISO (Organizacin Internacional de Normalizacin) e IEC (Comisin Electrotcnica Internacional) forman el sistema especializado para la normalizacin en todo el mundo. Los organismos nacionales que son miembros de ISO e IEC participan en el desarrollo de las Normas Internacionales a travs de comits tcnicos establecidos por la organizacin respectiva para hacer frente a campos particulares de la actividad tcnica. Comits tcnicos de ISO e IEC colaboran en campos de inters mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en coordinacin con ISO e IEC, tambin participan en el trabajo. En el campo de la tecnologa de la informacin, ISO e IEC han establecido un comit tcnico conjunto, ISO / IEC JTC 1.Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas ISO / IEC, Parte 2. La principal tarea de la comisin tcnica conjunta es preparar Normas Internacionales. Proyectos de Normas Internacionales adoptados por el comit tcnico conjunto se circulan a los organismos nacionales para votacin.La publicacin como Norma Internacional requiere la aprobacin por al menos el 75% de los organismos nacionales con derecho a voto.Llama la atencin la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO e IEC no se hace responsable por la identificacin de cualquiera o todos los derechos de patente.ISO / IEC 38500 fue preparada por Standards Australia (como AS8015: 2005) y se adopt, en virtud de un "procedimiento acelerado", por Joint Comit Tcnico ISO / IEC JTC 1, Tecnologa de la informacin, de forma paralela a su aprobacin por los organismos nacionales de ISO e IEC.ISO / IEC 38500 es una norma basada en principios de alto nivel. Adems de proporcionar una orientacin general sobre la funcin de un rgano de gobierno, se alienta a las organizaciones a utilizar las normas apropiadas en su gobierno de TI.En el momento de publicacin de esta norma, JTC1 contina los esfuerzos para desarrollar nuevos documentos relativos a la gobernanza de la tecnologa de la informacin.Estos documentos, que son propensos a ser puestos en libertad en el futuro como Informes Tcnicos de ISO / IEC y, posiblemente, como Normas, se espera abordar una serie de temas que incluyen: Gobierno de Proyectos de Inversin que impliquen TI Gobierno de TI utilizado en operaciones comerciales en curso IntroduccinEl objetivo de esta norma es proporcionar un marco de principios para directores para utilizar a la hora de evaluar, dirigir y supervisar el uso de la tecnologa de la informacin (TI) en sus organizaciones.La mayora de las organizaciones utilizan las TI como una herramienta fundamental de negocios y pocos pueden funcionar eficazmente sin ella. Es tambin un factor importante en los futuros planes de negocio de muchas organizaciones.El gasto en TI puede representar una proporcin significativa de los gastos de la organizacin de los recursos financieros y humanos. Sin embargo, un retorno de esta inversin es a menudo menospreciado y los efectos adversos en las organizaciones debido a esto pueden ser significativos. Las principales razones de estos resultados negativos son el dar a nfasis los aspectos tcnicos, financieros y de programacin de las actividades de TI en lugar de dar nfasis en el uso en todo el contexto del negocio de la TI.Esta norma proporciona un marco para una gobernanza eficaz de las TI, para ayudar a los que estn en el ms alto nivel de las organizaciones a comprender y cumplir con sus obligaciones legales, regulatorias y ticas en relacin al uso de las TI de sus organizaciones. El marco comprende las definiciones, principios y un modelo.Esta norma sigue la lnea de la definicin de gobernanza corporativa que fue publicada como un informe del Comit sobre los Aspectos Financieros del Gobierno Corporativo (el Informe Cadbury) en 1992. El Informe Cadbury tambin proporcion la definicin fundamental de la gobernanza corporativa en los Principios de Gobernanza Corporativa de OCDE en 1999 (revisada en 2004). Se anima a los usuarios de esta norma para familiarizarse con el Informe Cadbury y los Principios de la OCDE para el gobierno corporativo.La gobernanza es distinta de la gestin, y para evitar la confusin, los dos conceptos estn claramente definidos en la norma.Si bien esta norma se dirige principalmente al rgano gobernante, que a su vez puede ordenar que ciertas acciones tome la gestin de la organizacin, tambin permite que, en algunas organizaciones (normalmente ms pequeas), los miembros del rgano de gobierno tambin puedan ocupar los roles clave en la gestin. De este modo, se asegura que la norma es aplicable a todas las organizaciones, desde la ms pequea hasta la ms grande, a pesar de su propsito, el diseo y la estructura del propietario.La norma tambin tiene por objeto informar y orientar a las personas involucradas en el diseo e implementacin del sistema de gestin de las polticas, los procesos y las estructuras que apoyan la gobernabilidad.

MBITO, APLICACIN Y OBJETIVOS1.1 mbitoEsta norma proporciona principios para los directores de las organizaciones (incluidos los propietarios, consejeros, directores, socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz, eficiente y aceptable de Tecnologa de la Informacin (IT) dentro de sus organizaciones.Esta norma se aplica a la gestin de procesos de gestin (y decisiones) en relacin con los servicios de informacin y de comunicacin utilizados por una organizacin. Estos procesos pueden ser controlados por especialistas en TI dentro de la organizacin o de servicios externos, o por unidades de negocio dentro de la organizacin.Tambin proporciona orientacin a aquellos que han de asesorar, informar, o ayudar a los directores. Ellos incluyen: Senior managers; miembros de grupos que monitorean los recursos dentro de la organizacin; especialistas en negocios o tcnicos externos, vendedores de hardware, software, comunicaciones y otros productos de TI; proveedores internos y externos de servicios (incluidos los consultores); Auditores IT1.2 AplicacinEsta norma es aplicable a todas las organizaciones, incluyendo empresas pblicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro. La norma es aplicable a organizaciones de todos los tamaos, desde los ms pequeos hasta los ms grandes, independientemente de la extensin de su uso de las TI.1.3 ObjetivosEl propsito de esta norma es promover el efectivo, eficiente y aceptable uso de IT en todas las organizaciones a travs de: asegurar las partes interesadas (incluidos los consumidores, los accionistas, y empleados) que, si la norma se sigue, que pueden tener confianza en el gobierno corporativo de la organizacin de TI; informar y orientar a los directores en gobernar el uso de las IT en su organizacin; y proporcionar una base para la evaluacin objetiva de la gobernanza corporativa de IT.

1.4 Ventajas del uso de esta norma1.4.1 generalEsta norma establece los principios para el uso eficaz, eficiente y aceptable de TI. Asegurarse de que sus organizaciones siguen estos principios ayudar a los directores en el manejo de los riesgos y el fomento de oportunidades derivadas de la utilizacin de las TI.Esta norma establece un modelo para la gobernanza de TI. El riesgo de que los directores no cumplan con sus obligaciones se ve mitigado por prestar la debida atencin al modelo al aplicar correctamente los principios.La norma establece un vocabulario para la gobernanza de TI.

1.4.2 La conformacin de la organizacinEl adecuado Gobierno corporativo de TI puede ayudar a los directores para asegurar el cumplimiento de las sobre el uso aceptable de TI. Sistemas de IT inadecuados pueden exponer a los directores al riesgo de no cumplir con la legislacin. Por ejemplo, en algunas jurisdicciones, los directores podran ser personalmente responsables si inadecuados resultados del sistema de contabilidad de impuestos no se pagan.Los procesos relacionados con IT incorporan riesgos especficos que deben abordarse apropiadamente. Por ejemplo, los directores podran ser responsables de las infracciones de: las normas de seguridad; legislacin sobre privacidad; legislacin de prcticas comerciales; derechos de propiedad intelectual, incluidos los acuerdos de concesin de licencias de software; requisitos de mantenimiento de registros; legislacin y reglamentacin ambiental; legislacin sobre salud y seguridad; legislacin de accesibilidad; estndares de responsabilidad social.Directores utilizando las directrices de esta norma son ms propensos a cumplir con sus obligaciones.1.4.3 Rendimiento de la organizacinLa Gobernanza corporativa adecuada de TI ayuda a los directores para asegurar que el uso de TI contribuye positivamente al rendimiento de la organizacin, a travs de:adecuada implementacin y operacin de las ventajas de las TI ;claridad de la responsabilidad y la rendicin de cuentas, tanto para el uso y prestacin de las TI en el cumplimiento de los objetivos de la organizacin;continuidad del negocio y la sostenibilidad;alineacin de TI con las necesidades del negocio;asignacin eficiente de los recursos;innovacin en los servicios, los mercados y los negocios;buenas prcticas en las relaciones con las partes interesadas;reduccin de los costos de una organizacin; yconciencia efectiva de los beneficios aprobados de cada inversin en TI.1.5 documentos de referencia Los siguientes documentos actan como referencia en esta norma Report of the Committee on the Financial Aspects of Corporate Governance, Sir Adrian Cadbury, London, 1992 ISBN 0 85258 913 1 OECD Principles of Corporate Governance, OECD, 1999 and 2004 ISO Guide 73 2002 - Risk management Vocabulary Guidelines for use in standards.1.6 DefinicionesPara los efectos de esta norma, se aplican las siguientes definiciones.Se espera que una organizacin se adapte a la terminologa utilizada dentro de esta norma para adaptarse a sus circunstancias o estructura.

1.6.1 AceptableCumplir con las expectativas de las partes interesadas que son capaces de ser mostrado como razonables o merecidas.1.6.2 Gobierno corporativoEl sistema por el cual las organizaciones son dirigidas y controladas. (adaptado de Cadbury 1992 y OCDE 1999)1.6.3 El gobierno corporativo de TIEl sistema por el cual el uso actual y futuro de las TI est dirigido y controlado. La gobernanza corporativa de TI consiste en evaluar y dirigir el uso de las TI para apoyar la organizacin y el seguimiento de este uso para lograr los planes. Incluye la estrategia y las polticas para el uso de TI dentro de una organizacin.1.6.4 CompetenteTener la combinacin de conocimientos, habilidades formales e informales, la formacin, la experiencia y los atributos de comportamiento necesarios para realizar una tarea o funcin.1.6.5 directorMiembro del rgano de gobierno ms experimentado de una organizacin. Incluye propietarios, miembros de la junta, socios, directivos o similares, y los funcionarios autorizados por la legislacin o regulacin.1.6.6 El comportamiento humanoLa comprensin de las interacciones entre los seres humanos y otros elementos de un sistema con la intencin de garantizar el bienestar y el rendimiento de los sistemas. El comportamiento humano incluye la cultura, las necesidades y aspiraciones de las personas como individuos y como grupos.Nota: Con respecto a las TI, hay numerosos grupos o comunidades de seres humanos, cada uno con sus propias necesidades, aspiraciones y conductas. Por ejemplo, las personas que utilizan los sistemas de informacin pueden exhibir las necesidades relacionadas con la accesibilidad y ergonoma, as como la disponibilidad y el rendimiento. Las personas cuyos roles estn cambiando debido a la utilizacin de las TI podran exhibir necesidades relacionadas con la comunicacin, la formacin, y seguridad. Las personas involucradas en la construccin y operacin de capacidades de TI pueden exhibir las necesidades relacionadas a las condiciones de trabajo y desarrollo de habilidades.1.6.7 Tecnologa de la informacin (IT)Recursos necesarios para adquirir, procesar, almacenar y difundir informacin. Este trmino tambin incluye "Tecnologa de la Comunicacin (CT)" y el trmino compuesto "Tecnologa de Informacin y Comunicacin (ICT)".1.6.8 InversinLa asignacin de capital humano, y otros recursos para alcanzar los objetivos definidos y otros beneficios.1.6.9 Gestin El sistema de controles y procesos requeridos para alcanzar los objetivos estratgicos establecidos por el rgano rector de la organizacin. La Gestin est sujeta a la orientacin poltica y de control establecidos a travs de la gobernanza corporativa.1.6.10 OrganizacinCualquier empresa, corporacin, gobierno, organizacin sin fines de lucro u otro rgano legalmente constituido incluidas las asociaciones, clubes, asociaciones, agencias gubernamentales, empresas privadas y empresarios individuales que tiene su propia funcin y la administracin.1.6.11 PlizaDeclaraciones claras y medibles de direccin y comportamiento preferidas para llevar a cabo las decisiones dentro de una organizacin.1.6.12 PropuestaRecopilacin de beneficios, costos, riesgos, oportunidades y otros factores aplicables a las decisiones a tomar. Incluye casos de negocios.1.6.13 RecursosGente, procedimientos, software, informacin, equipamiento, insumos, infraestructura, capital y fondos de operacin, y el tiempo.1.6.14 RiesgoCombinacin de la probabilidad de un evento y sus consecuencias (Gua ISO / IEC 73).Nota: Las consecuencias son impactos sobre la organizacin. Ellos pueden ser negativos, como en el uso comn, u oportunidades.

1.6.15 Gestin de RiesgoActividades coordinadas para dirigir y controlar una organizacin con respecto a los riesgos (ISO / IEC Gua 73).1.6.16 AccionistaCualquier individuo, grupo u organizacin que pueda afectar, verse afectadas por, o percibirse a s mismos afectados por una decisin o actividad (adaptado de la norma ISO / IEC Gua 73).1.6.17 EstrategiaPlan general de desarrollo de una organizacin que describe el uso eficaz de los recursos en apoyo de la organizacin en sus actividades futuras. Implica el establecimiento de objetivos y proponer iniciativas para la accin.1.6.18 El uso de TILa planificacin, diseo, desarrollo, implementacin, operacin, administracin y aplicacin de TI para satisfacer las necesidades de la empresa. Incluye tanto la demanda y la oferta, los servicios de TI por las unidades internas de negocio, especialista de unidades de TI o proveedores externos y los servicios pblicos (como los que proporcionan el software como servicio).

2 MARCO PARA LA BUENA GOBERNANZA CORPORATIVA DE TI2.1 PrincipiosEsta seccin establece seis principios de buena gobernanza corporativa de TI. Los principios son aplicables a la mayora de las organizaciones.Los principios expresan la conducta preferente para guiar la toma de decisiones. La declaracin de cada principio se refiere a lo que debera suceder, pero no prescribe cmo, cundo o por quin se aplicaran los principios - ya que estos aspectos dependen de la naturaleza de la organizacin la aplicacin de los principios-. Los Directores deben exigir que se apliquen estos principios.2.1.1 Principio 1: ResponsabilidadLos individuos y grupos dentro de la organizacin entienden y aceptan sus responsabilidades con respecto a la oferta y la demanda de TI. Los que tienen la responsabilidad de las acciones tambin tienen la autoridad para llevar a cabo esas acciones.2.1.2 Principio 2: EstrategiaLa estrategia de negocio de la organizacin tiene en cuenta las capacidades actuales y futuras de TI; los planes estratgicos de TI deben satisfacer las necesidades actuales y en curso de la estrategia de negocio de la organizacin.2.1.3 Principio 3: AdquisicinLas Adquisiciones de TI se hacen por razones vlidas, sobre la base de su caso y en curso de anlisis, con la toma de decisiones clara y transparente. Hay un equilibrio apropiado entre los beneficios, oportunidades, costos y riesgos, tanto a corto plazo como a largo plazo.2.1.4 Principio 4: RendimientoLas TI son adecuadas para el propsito de apoyar la organizacin, la prestacin de los servicios, niveles de servicio y calidad de servicio requeridos para satisfacer las necesidades de negocio actual y futuro.2.1.5 Principio 5: ConformidadCumple con todas las leyes y reglamentos obligatorios. Las polticas y prcticas estn claramente definidos, aplicacin y cumplimiento.

2.1.6 Principio 6: Comportamiento HumanoLas Polticas de IT, prcticas y decisiones demuestran respeto por el comportamiento humano, incluyendo las necesidades actuales y futuras de todas las 'personas en el proceso'.

2.2 ModeloLos directores deben gobernar TI a travs de tres tareas principales:a) Evaluar el uso actual y futuro de las TI.b) dirigir la preparacin y ejecucin de planes y polticas para asegurar que el uso de las TI cumple con los objetivos de negocio.c) Velar por el cumplimiento de las polticas y el desempeo contra los planes.La figura 1 muestra el modelo de Gobierno de TI del ciclo de Evaluar-Dirigir-Monitorear. El siguiente texto figura 1 se explica los elementos y relaciones representadas.

Figura 1 Modelo de Gobierno Corporativo de TIEvaluarLos directores deben examinar y hacer un juicio sobre el uso actual y futuro de las TI, incluyendo estrategias, propuestas y acuerdos de suministro (ya sean internas, externas, o ambas).Al evaluar el uso de las TI, los directores deben tener en cuenta las presiones externas o internas que actan sobre el negocio, tales como el cambio tecnolgico, las tendencias econmicas y sociales, y las influencias polticas.Los directores deben realizar la evaluacin continua.Los directores tambin deben tener en cuenta tanto las necesidades de negocio actuales y futuras - los objetivos organizacionales actuales y futuros que deben alcanzar, tales como el mantenimiento de la ventaja competitiva, as como los objetivos especficos de las estrategias y propuestas que estn evaluando.DirigirLos directores deben asignar responsabilidades y realizar preparacin directa y la aplicacin de planes y polticas. Los planes deben establecer la direccin de las inversiones en proyectos de TI y operaciones de TI. Las polticas deben establecer el comportamiento seguro en el uso de las TI.Los directores deben asegurarse de que la transicin de los proyectos a estado operativo se planifica y gestiona adecuadamente, teniendo en cuenta los impactos sobre las prcticas de negocio y operativos, as como los sistemas y la infraestructura de TI existente.Los Directores deben fomentar una cultura de buena gobernanza de las TI en su organizacin al requerir gerentes para proporcionar informacin oportuna, para cumplir con la direccin y para cumplir con los seis principios de la buena gobernanza.Si es necesario, los directores deben dirigir la presentacin de propuestas para la aprobacin para hacer frente a las necesidades identificadas.Monitorear Los Directores deben monitorear, a travs de sistemas de medicin adecuados, el rendimiento de las TI. Ellos deberan confirmarse a s mismos de que el rendimiento es de concordante con los planes, especialmente en relacin con los objetivos del negocio.Los directores tambin deben asegurarse de que la IT cumple con las obligaciones externas y prcticas de trabajo internas.Nota: La responsabilidad de los aspectos especficos de TI puede ser delegada a los administradores de la organizacin. Sin embargo, la responsabilidad por el uso y la entrega de TI eficaz, eficiente y aceptable por una organizacin se queda con los directores y no puede ser delegada.

3 ORIENTACIN PARA LA GOBERNANZA CORPORATIVA de TI3.1 GeneralidadesLas siguientes secciones proporcionan una gua de los principios generales de buen gobierno de TI y las prcticas necesarias para aplicar los principios.Las prcticas descritas no son exhaustivas, pero proporcionan un punto de partida para la discusin de las responsabilidades de la Administracin para la gobernanza de TI. Es decir, se sugieren las prcticas descritas en la orientacin de Gobierno de TI.Es responsabilidad de cada organizacin, de forma individual, identificar las acciones especficas necesarias para poner en prctica los principios, teniendo debidamente en cuenta la naturaleza de la organizacin, y el anlisis adecuado de los riesgos y oportunidades del uso de las TI.Como base para la ilustracin, las prcticas descritas son aplicables a la mayora de las organizaciones (grandes o pequeas), la mayora de las veces. Cualquier variacin debe ser bien considerada.

3.2 Principio 1: Responsabilidad

EvaluarLos directores deben evaluar las opciones para la asignacin de responsabilidades en relacin con el uso actual y futuro de la organizacin de TI. En la evaluacin de opciones, los directores deben tratar de asegurar el uso y las entregas de TI eficaz, eficiente y aceptable en apoyo de los objetivos de negocio actuales y futuras.Los directores deben evaluar la competencia de los que recibieron la responsabilidad de tomar decisiones sobre TI. Generalmente, estas personas deben ser gerentes de empresas que tambin son responsables de los objetivos de negocio de la organizacin y el desempeo, asistidos por especialistas en TI que entienden los valores y procesos de negocio.

DirigirLos directores deben ordenar que los planes se lleven a cabo de acuerdo con las responsabilidades de TI asignadas.Los directores deben dirigir el recibimiento de la informacin que necesitan para cumplir con sus responsabilidades y la rendicin de cuentas.

MonitorearLos Directores deben vigilar que se establezcan mecanismos de gobernanza de TI adecuados.Los Directores deben vigilar que los que recibieron la responsabilidad reconozcan y entiendan sus responsabilidades.Los directores deben monitorear el desempeo de los que recibieron la responsabilidad en el gobierno de TI (por ejemplo, aquellas personas que desempean funciones en los comits de direccin o en la presentacin de propuestas a los directores)

3.3 Principio 2: EstrategiaEvaluarLos directores deben evaluar la evolucin de TI para asegurar que va a proporcionar apoyo a las necesidades futuras del negocio.Al considerar los planes y polticas, los directores deben evaluar las actividades de TI para asegurarse de que se alinean con los objetivos de la organizacin, tener la consideracin de mejores prcticas y satisfacer otros requisitos de inters clave.Los directores deben garantizar que el uso de TI est sujeto a evaluacin adecuada del riesgo tal como se describe en las normas internacionales y nacionales pertinentes.

DirigirLos directores deben dirigir la preparacin y el uso de los planes y polticas que garanticen a la organizacin el beneficiarse de la evolucin de las TI.Los directores tambin deben alentar la presentacin de propuestas de usos innovadores de TI que permiten a la organizacin para responder a nuevas oportunidades o desafos, emprender nuevos negocios o mejorar los procesos.

Monitorear Los directores deben monitorear el progreso de las propuestas de TI aprobadas para garantizar que se estn logrando los objetivos en los plazos requeridos utilizando los recursos asignados.Los directores deben supervisar el uso de las TI para asegurarse de que estn obteniendo los beneficios previstos.

3.4 Principio 3: AdquisicinEvaluarLos directores deben evaluar las opciones propuestas de la TI, equilibrando los riesgos y relacin calidad-precio de las inversiones propuestas.Dirigir Los directores deben ordenar que las ventajas de TI (sistemas e infraestructura) se adquieran de una manera apropiada, incluyendo la preparacin de la documentacin adecuada, garantizando al mismo tiempo que se proporcionan capacidades requeridas.Los directores deben dirigir que los acuerdos de suministro (incluyendo tanto los acuerdos de suministro internas y externas) apoyen las necesidades de negocio de la organizacin.MonitorearLos directores deben monitorear las inversiones en TI para asegurar que proporcionan las capacidades requeridas.Los directores deben monitorear el grado en que su organizacin y proveedores mantienen la comprensin compartida de la intencin de la organizacin en la toma de cualquier adquisicin de TI.

3.5 Principio 4: RendimientoEvaluarLos directores deben evaluar los medios propuestos por los administradores para asegurar que se apoyarn los procesos de negocio requeridos.Estas propuestas deben abordar el mantenimiento normal del negocio y el tratamiento del riesgo asociado con el uso de las TI.Los directores deben evaluar los riesgos a la continua operacin del negocio derivado de las actividades de TI.Los directores deben evaluar los riesgos para la integridad de la informacin y la proteccin de los activos de TI, incluida la propiedad intelectual asociada y memoria organizacional.Los directores deben evaluar las opciones para asegurar decisiones eficaces y oportunas sobre el uso de las TIC en apoyo de los objetivos de negocio.Los directores deben evaluar regularmente la eficacia y el rendimiento del sistema de la organizacin para la Gobernabilidad de TI.Dirigir Los directores deben garantizar la asignacin de recursos suficientes para que cumpla con las necesidades de la organizacin, de acuerdo con las prioridades acordadas y las limitaciones presupuestarias.Los directores deben dirigir a los responsables de garantizar que TI soporta el negocio, cuando sea necesario por razones de negocios, con correctos y actualizados datos que se protegen de la prdida o mal uso.Monitorear Los directores deben vigilar la medida en que es compatible con el negocio.Los directores deben monitorear el grado en que la asignacin de recursos y presupuestos se priorizan de acuerdo con los objetivos de negocio.Los directores deben monitorear el grado en que las polticas, como la exactitud de los datos y el uso eficiente de las TI, se siguen correctamente.

3.6 Principio 5: Conformacin EvaluarLos directores deben evaluar regularmente el grado en que satisface las obligaciones (normativa, legislacin, derecho consuetudinario, contractual), polticas internas, normas y directrices profesionales.Los directores deben evaluar peridicamente el cumplimiento interno de la organizacin de su sistema de gobernanza de la TI.DirigirLos directores deben dirigir a los responsables de establecer mecanismos regulares y rutinarios de asegurar que el uso de las TI cumple con las obligaciones pertinentes (normativa, legislacin, derecho consuetudinario, contractual), normas y directrices.Los directores deben ordenar que las polticas se establezcan y hagan cumplir para que la organizacin cumpla con sus obligaciones internas en el uso de las TI.Los directores deben ordenar que el personal de TI siga las directrices pertinentes para la conducta profesional y el desarrollo.Los directores deben dirigir que todas las acciones relacionadas con TI sean ticas.Monitorear Los Directores deben vigilar el cumplimiento de TI y la conformidad a travs de prcticas de presentacin de informes y de auditora apropiadas, asegurando que las revisiones son oportunas, integrales y adecuadas para la evaluacin del grado de satisfaccin de la empresa.Los directores deben monitorear las actividades de TI, incluyendo la eliminacin de los activos y datos, para asegurar que el medio ambiente, la privacidad, la gestin estratgica del conocimiento, la preservacin de la memoria de la organizacin y otras obligaciones pertinentes se cumplan.

3.7 Principio 6: Comportamiento HumanoEvaluarLos directores deben evaluar las actividades de TI para asegurar que los comportamientos humanos son identificados y considerados adecuadamente.Dirigir Los directores deben dirigir las actividades de TI que son consistentes con el comportamiento humano identificado.Los directores deben ordenar que los riesgos, oportunidades, problemas y preocupaciones puedan ser identificados y denunciados por cualquiera en cualquier momento. Estos riesgos deben gestionarse de acuerdo con las polticas y procedimientos publicados y dirigidos a los que toman las decisiones pertinentes.Monitorear Los directores deben monitorear las actividades de TI para garantizar que las conductas humanas identificadas siguen siendo pertinentes y se da que la atencin adecuada a los mismos.Los directores deben monitorear las prcticas de trabajo para asegurarse de que sean compatibles con el uso adecuado de las TI.