ISO 38 500

INTEGRANTES:
Alarcon Cubas, Flor
Casas Reque, Ricky
Cortez Mirenghi, Rossana
Gonzales Otero, Luis
Jara Rodriguez, Kevin
Salcedo de la Cruz, Pilar
Sempertegui Tocto, Melissa

ISO 38 500

Contenido
HISTORIA............................................................................................................. 2
INTRODUCCION................................................................................................... 4
ACTUALIZACION.................................................................................................. 5
1.

ALCANCE, APLICACIN Y OBJETIVOS.............................................................6

1.1.

ALCANCE................................................................................................ 6

1.2.

APLICACIN............................................................................................ 6

1.3.

OBJETIVOS.............................................................................................. 6

1.4.

BENEFICIOS AL USAR ESTA NORMA........................................................7

1.4.1 Generalidades...................................................................................... 7
1.4.2 Conformidad de la organizacin..........................................................7
1.4.3 Desempeo de la organizacin............................................................8
2.

3.

Gobierno Corporativo de las TI (GCTI)..........................................................9

2.1.

DEFINICION DE GOBIERNO CORPORATIVO (GC)......................................9

2.2.

DEFINICION DE GOBIERNO CORPORATIVO DE LAS TI (GCTI).................10

2.3.

M.......................................................................................................... 10

2.4.

ODELO DE GCTI.................................................................................... 11

2.5.

GUIAS PARA EL BUEN GCTI...................................................................11

PRINCIPIOS DE LA ISO 38 500..................................................................12

3.1.

Responsabilidad................................................................................... 12

3.2.

Estrategia............................................................................................. 13

3.3.

Adquisicin........................................................................................... 13

3.4.

Rendimiento......................................................................................... 13

3.5.

Conformidad......................................................................................... 13

3.6.

Conducta humana................................................................................ 13

ISO 38 500

HISTORIA
El 1 de junio de 2008 vea la luz, de la mano de la Organizacin Internacional de
Normalizacin (International Organization for Standardization, ISO) y de la Comisin
Electrotcnica Internacional (International Electrotechnical Commission, IEC), la norma
ISO/IEC 38500:2008. Corporate Governance of Information Technology.
Por primera vez, una norma de alcance internacional trataba, de manera central, el tema
del Gobierno Corporativo de las Tecnologas de la Informacin. Haban tenido que pasar
diez aos desde la creacin, en 1998, del Instituto para la Gobernanza de las Tecnologas
de la Informacin (Information Technology Governance Institute, ITGI) por parte de
ISACA, la antigua Asociacin para el Control y la Auditora de los Sistemas de Informacin
(Information Systems Audit and Control Association); y haba transcurrido, tambin, casi
una dcada desde que el trmino IT governance apareciese, por vez primera, en el ttulo
de un trabajo acadmico de investigacin de naturaleza tcnica/empresarial: fue el caso
del artculo Arrangements for information technology governance: a theory of multiple
contingencies, firmado el 1 de junio de 1999 -, por los profesores Vallabh Sambamurthy
y Robert W. Zmud.
Sin embargo, la 38500 no constitua la primera iniciativa normalizadora en el mbito del
Buen Gobierno Corporativo de las TIC. Ya en 2002, un grupo de pioneros australianos y
neozelandeses, principalmente, iniciaron un proyecto, bajo la tutela de la entidad
australiana de normalizacin, Standards Australia, que dara lugar a la publicacin oficial,
el 31 de enero de 2005, de la norma nacional australiana AS 8015-2005: Corporate
governance of information and communication technology. De hecho, sera esta norma la
que marcara el camino para la aparicin, tres aos y medio despus, de la norma
internacional, el 1 de Junio.
El citado camino pas por la adopcin de la norma australiana, por parte del Comit
Tcnico Conjunto JTC1 de ISO/IEC, como borrador de norma internacional (Draft
International Standard, DIS), mediante procedimiento de tramitacin rpida. De este
modo, el borrador ISO/IEC DIS 29382 (numeracin provisionalmente asignada a la nueva
norma) fue votado y aprobado por los organismos nacionales de normalizacin, tanto de
ISO, como de IEC. En el caso de Espaa, este papel correspondi a la Asociacin
Espaola de Normalizacin, AENOR. En mayo de 2008, la norma ISO/IEC 29382 fue
renombrada con la que habra de ser su numeracin definitiva: ISO/IEC 38500.
Finalmente, se public unos das despus, el 1 de junio.
Hoy da ISO/IEC 38500:2008 se configura como una norma internacional, de alto nivel (no
entra en detalles tcnicos), basada en principios (establece seis principios para el buen
gobierno corporativo de las TI) y de naturaleza asesora, esto es, trata de ofrecer
directrices (aconseja) sobre el papel que deben asumir los rganos de gobierno de las
organizaciones en relacin al uso que, en ellas, se hace de las TI.

ISO 38 500

ISO 38 500

INTRODUCCION
El objetivo de esta norma es proporcionar un marco de principios para que los Directores
los utilicen al evaluar, dirigir y monitorear el uso de la tecnologa de la informacin (TI) en
sus organizaciones.
La mayora de las organizaciones usan la Tecnologa de la Informacin como una
herramienta fundamental del negocio y pocas pueden funcionar de manera eficaz sin ella.
La Tecnologa de la Informacin tambin es un factor significativo en los futuros planes de
negocios de las organizaciones.
El gasto en Tecnologa de la Informacin puede representar una proporcin importante de
los gastos de una organizacin respecto a sus recursos financieros y humanos. No
obstante, el retorno de esta inversin a menudo no se logra completamente y los efectos
adversos en las organizaciones pueden ser significativos.
Las principales causas de estos resultados negativos son el nfasis en los aspectos
tcnicos, financieros y de programacin de las actividades de Tecnologa de la
Informacin y no el nfasis en el contexto general del negocio en cuanto al uso de la
Tecnologa de la Informacin.
Esta norma brinda un marco para el gobierno eficaz de la Tecnologa de la Informacin
con el fin de ayudar a aquellos en los niveles ms altos de las organizaciones a
comprender y cumplir sus obligaciones legales, reglamentarias y ticas con respecto al
uso que le dan sus organizaciones a la Tecnologa de la Informacin. Este marco abarca
definiciones, principios y un modelo.
El gobierno es diferente de la gestin y, para evitar confusin, los dos conceptos se
definen claramente en la norma.
Aunque esta norma est dirigida principalmente al organismo de gobierno, que a su vez
puede requerir que la gerencia de la organizacin emprenda algunas acciones, tambin
permite que, en algunas organizaciones (por lo general ms pequeas), los miembros del
organismo de gobierno ocupen los roles claves en la gerencia. De esta manera garantiza
que la norma sea aplicable a todas las organizaciones, desde la ms pequea hasta la
ms grande, independientemente del propsito, el diseo y la estructura de propiedad.
La norma tambin est destinada a guiar e informar a aquellos involucrados en el diseo y
la implementacin del sistema de gestin sobre polticas, procesos y estructuras que dan
soporte al gobierno.
ISO/IEC 38500 viene a completar, no sustituir a otras normas y estndares basados en la
buena gestin de los activos que soportan la informacin (ISO27001, COBIT, ITIL, etc)
puesto que, lo que pretende, es proporcionar un marco coherente para garantizar que la
direccin est debidamente implicada en la gestin eficaz de las TI en cualquier mbito y

ISO 38 500

alcance. Es decir, se trata de establecer el buen gobierno para una ptima gestin. La ISO
38500 slo establece qu puede pasar, pero no cmo, cundo o por quin.
Por ello, los gestores que quieran implementar la norma ISO 38500 pueden encontrar en
CobiT una buena referencia de polticas, procesos, estructuras y los controles necesarios
para implementar un sistema de gestin de TI que soporte el gobierno

ACTUALIZACION
SO/IEC TR 38502:2014 provides guidance on the nature and mechanisms of governance
and management together with the relationships between them, in the context of IT within
an organization.
The purpose of ISO/IEC TR 38502:2014 is to provide information on a framework and
model that can be used to establish the boundaries and relationships between governance
and management of an organization's current and future use of IT.
ISO/IEC TS 38501:2015 provides guidance on how to implement arrangements for
effective governance of IT within an organization.

ISO 38 500

1.ALCANCE, APLICACIN Y OBJETIVOS

1.1. ALCANCE
Esta norma proporciona principios de gua para los directores de las organizaciones
(incluyendo, dueos, miembros de la junta, directores, socios, altos ejecutivos o
similares) sobre el uso eficaz, eficiente y aceptable de la tecnologa de la informacin
(TI) en sus organizaciones.
Esta norma se aplica al gobierno de los procesos de gestin (y las decisiones)
relacionados con los servicios de informacin y comunicacin utilizados por la
organizacin. Estos procesos podran ser controlados por los especialistas en TI de la
organizacin, por proveedores externos del servicio o por unidades de negocios dentro
de la organizacin. Tambin orienta a quienes asesoran, informan o asisten a los
directores. Se incluyen:

Altos directivos;
Miembros de grupos que monitorean los recursos dentro de la organizacin;
Especialistas externos tcnicos o en negocios, tales como legales o contables;
especialistas, asociaciones al detal u organismos profesionales;
Distribuidores de software, hardware, comunicaciones y otros productos de TI;
Proveedores internos y externos de servicios (incluyendo consultores);
Auditores de TI.

1.2. APLICACIN
Esta norma se aplica a todas las organizaciones, incluyendo compaas pblicas y
privadas, entidades gubernamentales y organizaciones sin nimo de lucro. Tambin se
aplica a organizaciones de todos los tamaos, desde la ms pequea hasta la ms
grande, independientemente de la extensin de su uso de TI.

1.3. OBJETIVOS
El propsito de esta norma es fomentar el uso eficaz, eficiente y aceptable de la
Tecnologa de la Informacin en todas las organizaciones a travs de las siguientes
acciones:

Asegurar a las partes involucradas (incluyendo consumidores, accionistas y

empleados) que, si se cumple la norma, pueden confiar en el Gobierno
Corporativo que tiene la organizacin sobre la TI.
Informar y orientar a los directores sobre el gobierno del uso de la Tecnologa de
la
Informacin en sus organizaciones.
6

ISO 38 500

Brindar una base para la evaluacin objetiva del Gobierno Corporativo de la

Tecnologa de la Informacin.

1.4. BENEFICIOS AL USAR ESTA NORMA

1.4.1 Generalidades
Esta norma establece los principios para el uso eficaz, eficiente y aceptable de la
Tecnologa de la Informacin. El asegurar que sus organizaciones siguen estos
principios facilitar a los directores equilibrar los riesgos y promover las
oportunidades que se originan en el uso de la Tecnologa de la Informacin.
Esta norma establece un modelo para el gobierno de la Tecnologa de la
Informacin. El riesgo de que los directores no cumplan sus obligaciones se
reduce a prestar atencin debida al modelo en la aplicacin correcta de los
principios.
La norma establece un vocabulario para el gobierno de la Tecnologa de la
Informacin.

1.4.2 Conformidad de la organizacin

El Gobierno Corporativo adecuado de la Tecnologa de la Informacin puede
ayudar a los directores a garantizar la conformidad con las obligaciones
(reglamentarias, legislativas, de ley, contractuales) relacionadas con el uso
aceptable de la Tecnologa de la Informacin.
Los sistemas de TI inadecuados pueden exponer a los directores al riesgo de no
cumplir con las leyes. Por ejemplo, en algunas jurisdicciones, los directores
pueden tener responsabilidad personal si un sistema contable inadecuado
ocasiona el no pago de los impuestos.
Los procesos que tratan de la TI incorporan riesgos que se deben tratar
adecuadamente. Por ejemplo, los directores podran ser responsables debido a
incumplimientos de:

Normas de seguridad
Legislacin sobre privacidad
Legislacin sobre correo masivo
Legislacin sobre prcticas comerciales
Derechos de propiedad intelectual, incluyendo acuerdos sobre licencias de
software.
Requisitos de conservacin de registros.
Legislacin y reglamentacin ambiental.
Legislacin sobre salud y seguridad
7

ISO 38 500

Legislacin sobre accesibilidad

Normas sobre responsabilidad social.

Es ms probable que los directores que usan las directrices de esta norma
cumplan con sus obligaciones.

1.4.3 Desempeo de la organizacin

El Gobierno Corporativo adecuado de la Tecnologa de la Informacin ayuda a los
directores a garantizar que el uso de la Tecnologa de la Informacin contribuye de
manera positiva al desempeo de la organizacin a travs de:

La implementacin y operacin adecuadas de los activos de la Tecnologa

de la
Informacin.
Claridad de la responsabilidad, acciones y decisiones tanto para el uso
como la provisin de la tecnologa de la informacin en el logro de las
metas de la organizacin.
Continuidad y sostenibilidad del negocio.
Alineacin de la Tecnologa de la Informacin con las necesidades del
negocio.
Asignacin eficiente de los recursos.
Innovacin en los servicios, los mercados y los negocios.
Buenas prcticas en las relaciones con las partes involucradas.
Reduccin en los costos para la organizacin.
Comprensin real de los beneficios buscados a partir de cada inversin en
Tecnologa de la Informacin.

ISO 38 500

2.Gobierno Corporativo de las TI (GCTI)

2.1. DEFINICION DE GOBIERNO CORPORATIVO (GC)

ODonovan (2003) define gobierno corporativo como un sistema interno que incluye
polticas, procesos y personas, que sirve a las necesidades de los inversionistas y
otros agentes empresariales, mediante el control y la direccin de las actividades de
administracin con objetividad, integridad y buena experiencia empresarial. El xito del
gobierno corporativo es confiado a la apreciacin de los mercados y a la legislacin,
adems de una cultura de direccin sana que salvaguarde las polticas y procesos
corporativos.
El Gobierno Corporativo es un proceso efectuado por el consejo de administracin de
una entidad, su direccin y restante personal, aplicable a la definicin de estrategias en
toda la empresa y diseado para identificar eventos potenciales que puedan afectar a
la organizacin, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una
seguridad razonable sobre el logro de los objetivos.

ISO 38 500

2.2. DEFINICION DE GOBIERNO CORPORATIVO DE LAS TI

(GCTI)
El GCTI se refiere a la capacidad que tiene una organizacin de dirigir y controlar la
funcin de las tecnologas de informacin para asegurar que sostienen y extienden sus
objetivos estratgicos mediante la realizacin efectiva de proyectos, la provisin de
servicios de alta calidad, la gestin de riesgos y la optimizacin de recursos.
El GCTI es responsabilidad de los miembros del Comit de Direccin y de los altos
ejecutivos de la organizacin.
El principal objetivo del Gobierno Corporativo de las TI (GCTI) es conseguir la
alineacin entre la estrategia del negocio y la estrategia de las TI. Este proceso es
bsico que el GCTI cumpla su funcin primordial de generacin de valor para los
grupos de inters, minimizando los riesgos.
El GCTI incluye estrategias, polticas, responsabilidades, estructuras y procesos para
la utilizacin de las TI en una organizacin. La inclusin de elementos operativos y
elementos estratgicos (de presente y de futuro) es un aspecto esencial del GCTI, y
gua el desarrollo de las tareas de gestin y administracin
Finalmente, un aspecto a destacar es que el GCTI es de aplicacin a cualquier tipo de
organizacin, independientemente de su tamao, antigedad, localizacin, finalidad, o
de su naturaleza pblica o privada. El GCTI es el sistema ms adecuado para que una
organizacin obtenga el mximo valor de sus TI desde el punto de vista estratgico,
pero para tener xito debe basarse en un buen GC, que establezca claramente los
objetivos de negocio de la organizacin, alineando los objetivos de negocio con los
objetivos TI.

2.3. M

10

ISO 38 500

2.4. ODELO DE GCTI

El modelo de GCTI que incluye los siguientes elementos:

Adoptar como principal referente de implantacin de GCTI lo contenido en la

norma ISO 38500 principalmente su Modelo de Gobierno Triangular teniendo
en cuenta sus tres tareas principales (Evaluar, Dirigir y Monitorizar).

2.5. GUIAS PARA EL BUEN GCTI

La norma tambin proporciona un conjunto de guas para el buen GCTI y propone una
serie de prcticas para implementar los principios descritos anteriormente.

11

ISO 38 500

3.PRINCIPIOS DE LA ISO 38 500

La norma define ISO 38500 define seis principios de un buen gobierno corporativo de TI:

3.1. Responsabilidad
Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o
demanda de TI. La responsabilidad sobre una accin lleva aparejada la autoridad para
su realizacin.

3.2. Estrategia
La estrategia de negocio de la organizacin tiene en cuenta las capacidades actuales y
futuras de las TI. Los planes estratgicos de TI satisfacen las necesidades actuales y
previstas derivadas de la estrategia de negocio.

3.3. Adquisicin
Las adquisiciones de TI se hacen por razones vlidas, basndose en un anlisis
apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado
entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.

3.4. Rendimiento
La TI est dimensionada para dar soporte a la organizacin, proporcionando los
servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.
12

ISO 38 500

3.5. Conformidad
La funcin de TI cumple todas las legislaciones y normas aplicables. Las polticas y
prcticas al respecto estn claramente definidas, implementadas y exigidas.

3.6. Conducta humana

Las polticas de TI, prcticas y decisiones demuestran respecto por la conducta humana,
incluyendo las necesidades actuales y emergentes de toda la gente involucrada.

13