ISO 38 500

Contenido

HISTORIA2INTRODUCCION4ACTUALIZACION51.ALCANCE, APLICACIN Y OBJETIVOS61.1.ALCANCE61.2.APLICACIN61.3.OBJETIVOS61.4.BENEFICIOS AL USAR ESTA NORMA71.4.1 Generalidades71.4.2 Conformidad de la organizacin71.4.3 Desempeo de la organizacin82.Gobierno Corporativo de las TI (GCTI)92.1.DEFINICION DE GOBIERNO CORPORATIVO (GC)92.2.DEFINICION DE GOBIERNO CORPORATIVO DE LAS TI (GCTI)102.3.M102.4.ODELO DE GCTI112.5.GUIAS PARA EL BUEN GCTI113.PRINCIPIOS DE LA ISO 38 500123.1.Responsabilidad123.2.Estrategia133.3.Adquisicin133.4.Rendimiento133.5.Conformidad133.6.Conducta humana13

HISTORIA

El 1 de junio de 2008 vea la luz, de la mano de la Organizacin Internacional de Normalizacin (International Organization for Standardization, ISO) y de la Comisin Electrotcnica Internacional (International Electrotechnical Commission, IEC), la norma ISO/IEC 38500:2008. Corporate Governance of Information Technology.Por primera vez, una norma de alcance internacional trataba, de manera central, el tema del Gobierno Corporativo de las Tecnologas de la Informacin. Haban tenido que pasar diez aos desde la creacin, en 1998, del Instituto para la Gobernanza de las Tecnologas de la Informacin (Information Technology Governance Institute, ITGI) por parte de ISACA, la antigua Asociacin para el Control y la Auditora de los Sistemas de Informacin (Information Systems Audit and Control Association); y haba transcurrido, tambin, casi una dcada desde que el trmino IT governance apareciese, por vez primera, en el ttulo de un trabajo acadmico de investigacin de naturaleza tcnica/empresarial: fue el caso del artculo Arrangements for information technology governance: a theory of multiple contingencies, firmado el 1 de junio de 1999 -, por los profesores Vallabh Sambamurthy y Robert W. Zmud.Sin embargo, la 38500 no constitua la primera iniciativa normalizadora en el mbito del Buen Gobierno Corporativo de las TIC. Ya en 2002, un grupo de pioneros australianos y neozelandeses, principalmente, iniciaron un proyecto, bajo la tutela de la entidad australiana de normalizacin, Standards Australia, que dara lugar a la publicacin oficial, el 31 de enero de 2005, de la norma nacional australiana AS 8015-2005: Corporate governance of information and communication technology. De hecho, sera esta norma la que marcara el camino para la aparicin, tres aos y medio despus, de la norma internacional, el 1 de Junio.El citado camino pas por la adopcin de la norma australiana, por parte del Comit Tcnico Conjunto JTC1 de ISO/IEC, como borrador de norma internacional (Draft International Standard, DIS), mediante procedimiento de tramitacin rpida. De este modo, el borrador ISO/IEC DIS 29382 (numeracin provisionalmente asignada a la nueva norma) fue votado y aprobado por los organismos nacionales de normalizacin, tanto de ISO, como de IEC. En el caso de Espaa, este papel correspondi a la Asociacin Espaola de Normalizacin, AENOR. En mayo de 2008, la norma ISO/IEC 29382 fue renombrada con la que habra de ser su numeracin definitiva: ISO/IEC 38500. Finalmente, se public unos das despus, el 1 de junio.Hoy da ISO/IEC 38500:2008 se configura como una norma internacional, de alto nivel (no entra en detalles tcnicos), basada en principios (establece seis principios para el buen gobierno corporativo de las TI) y de naturaleza asesora, esto es, trata de ofrecer directrices (aconseja) sobre el papel que deben asumir los rganos de gobierno de las organizaciones en relacin al uso que, en ellas, se hace de las TI.

INTRODUCCION

El objetivo de esta norma es proporcionar un marco de principios para que los Directores los utilicen al evaluar, dirigir y monitorear el uso de la tecnologa de la informacin (TI) en sus organizaciones.La mayora de las organizaciones usan la Tecnologa de la Informacin como una herramienta fundamental del negocio y pocas pueden funcionar de manera eficaz sin ella. La Tecnologa de la Informacin tambin es un factor significativo en los futuros planes de negocios de las organizaciones.El gasto en Tecnologa de la Informacin puede representar una proporcin importante de los gastos de una organizacin respecto a sus recursos financieros y humanos. No obstante, el retorno de esta inversin a menudo no se logra completamente y los efectos adversos en las organizaciones pueden ser significativos.Las principales causas de estos resultados negativos son el nfasis en los aspectos tcnicos, financieros y de programacin de las actividades de Tecnologa de la Informacin y no el nfasis en el contexto general del negocio en cuanto al uso de la Tecnologa de la Informacin.Esta norma brinda un marco para el gobierno eficaz de la Tecnologa de la Informacin con el fin de ayudar a aquellos en los niveles ms altos de las organizaciones a comprender y cumplir sus obligaciones legales, reglamentarias y ticas con respecto al uso que le dan sus organizaciones a la Tecnologa de la Informacin. Este marco abarca definiciones, principios y un modelo.El gobierno es diferente de la gestin y, para evitar confusin, los dos conceptos se definen claramente en la norma.Aunque esta norma est dirigida principalmente al organismo de gobierno, que a su vez puede requerir que la gerencia de la organizacin emprenda algunas acciones, tambin permite que, en algunas organizaciones (por lo general ms pequeas), los miembros del organismo de gobierno ocupen los roles claves en la gerencia. De esta manera garantiza que la norma sea aplicable a todas las organizaciones, desde la ms pequea hasta la ms grande, independientemente del propsito, el diseo y la estructura de propiedad.La norma tambin est destinada a guiar e informar a aquellos involucrados en el diseo y la implementacin del sistema de gestin sobre polticas, procesos y estructuras que dan soporte al gobierno.ISO/IEC 38500 viene a completar, no sustituir a otras normas y estndares basados en la buena gestin de los activos que soportan la informacin (ISO27001, COBIT, ITIL, etc) puesto que, lo que pretende, es proporcionar un marco coherente para garantizar que la direccin est debidamente implicada en la gestin eficaz de las TI en cualquier mbito y alcance. Es decir, se trata de establecer el buen gobierno para una ptima gestin. La ISO 38500 slo establece qu puede pasar, pero no cmo, cundo o por quin.Por ello, los gestores que quieran implementar la norma ISO 38500 pueden encontrar en CobiT una buena referencia de polticas, procesos, estructuras y los controles necesarios para implementar un sistema de gestin de TI que soporte el gobierno

ACTUALIZACION

SO/IEC TR 38502:2014 provides guidance on the nature and mechanisms of governance and management together with the relationships between them, in the context of IT within an organization.The purpose of ISO/IEC TR 38502:2014 is to provide information on a framework and model that can be used to establish the boundaries and relationships between governance and management of an organization's current and future use of IT.ISO/IEC TS 38501:2015 provides guidance on how to implement arrangements for effective governance of IT within an organization.

1. ALCANCE, APLICACIN Y OBJETIVOS

1.1. ALCANCE

Esta norma proporciona principios de gua para los directores de las organizaciones (incluyendo, dueos, miembros de la junta, directores, socios, altos ejecutivos o similares) sobre el uso eficaz, eficiente y aceptable de la tecnologa de la informacin (TI) en sus organizaciones.

Esta norma se aplica al gobierno de los procesos de gestin (y las decisiones) relacionados con los servicios de informacin y comunicacin utilizados por la organizacin. Estos procesos podran ser controlados por los especialistas en TI de la organizacin, por proveedores externos del servicio o por unidades de negocios dentro de la organizacin. Tambin orienta a quienes asesoran, informan o asisten a los directores. Se incluyen:

Altos directivos; Miembros de grupos que monitorean los recursos dentro de la organizacin; Especialistas externos tcnicos o en negocios, tales como legales o contables; especialistas, asociaciones al detal u organismos profesionales; Distribuidores de software, hardware, comunicaciones y otros productos de TI; Proveedores internos y externos de servicios (incluyendo consultores); Auditores de TI.

1.2. APLICACIN

Esta norma se aplica a todas las organizaciones, incluyendo compaas pblicas y privadas, entidades gubernamentales y organizaciones sin nimo de lucro. Tambin se aplica a organizaciones de todos los tamaos, desde la ms pequea hasta la ms grande, independientemente de la extensin de su uso de TI.

1.3. OBJETIVOS

El propsito de esta norma es fomentar el uso eficaz, eficiente y aceptable de la Tecnologa de la Informacin en todas las organizaciones a travs de las siguientes acciones:

Asegurar a las partes involucradas (incluyendo consumidores, accionistas y empleados) que, si se cumple la norma, pueden confiar en el Gobierno Corporativo que tiene la organizacin sobre la TI. Informar y orientar a los directores sobre el gobierno del uso de la Tecnologa de la Informacin en sus organizaciones. Brindar una base para la evaluacin objetiva del Gobierno Corporativo de la Tecnologa de la Informacin.

1.4. BENEFICIOS AL USAR ESTA NORMA

1.4.1 Generalidades

Esta norma establece los principios para el uso eficaz, eficiente y aceptable de la Tecnologa de la Informacin. El asegurar que sus organizaciones siguen estos principios facilitar a los directores equilibrar los riesgos y promover las oportunidades que se originan en el uso de la Tecnologa de la Informacin.

Esta norma establece un modelo para el gobierno de la Tecnologa de la Informacin. El riesgo de que los directores no cumplan sus obligaciones se reduce a prestar atencin debida al modelo en la aplicacin correcta de los principios.

La norma establece un vocabulario para el gobierno de la Tecnologa de la Informacin.

1.4.2 Conformidad de la organizacin

El Gobierno Corporativo adecuado de la Tecnologa de la Informacin puede ayudar a los directores a garantizar la conformidad con las obligaciones (reglamentarias, legislativas, de ley, contractuales) relacionadas con el uso aceptable de la Tecnologa de la Informacin.

Los sistemas de TI inadecuados pueden exponer a los directores al riesgo de no cumplir con las leyes. Por ejemplo, en algunas jurisdicciones, los directores pueden tener responsabilidad personal si un sistema contable inadecuado ocasiona el no pago de los impuestos.

Los procesos que tratan de la TI incorporan riesgos que se deben tratar adecuadamente. Por ejemplo, los directores podran ser responsables debido a incumplimientos de:

Normas de seguridad Legislacin sobre privacidad Legislacin sobre correo masivo Legislacin sobre prcticas comerciales Derechos de propiedad intelectual, incluyendo acuerdos sobre licencias de software. Requisitos de conservacin de registros. Legislacin y reglamentacin ambiental. Legislacin sobre salud y seguridad Legislacin sobre accesibilidad Normas sobre responsabilidad social.

Es ms probable que los directores que usan las directrices de esta norma cumplan con sus obligaciones.

1.4.3 Desempeo de la organizacin

El Gobierno Corporativo adecuado de la Tecnologa de la Informacin ayuda a los directores a garantizar que el uso de la Tecnologa de la Informacin contribuye de manera positiva al desempeo de la organizacin a travs de:

La implementacin y operacin adecuadas de los activos de la Tecnologa de laInformacin. Claridad de la responsabilidad, acciones y decisiones tanto para el uso como la provisin de la tecnologa de la informacin en el logro de las metas de la organizacin. Continuidad y sostenibilidad del negocio. Alineacin de la Tecnologa de la Informacin con las necesidades del negocio. Asignacin eficiente de los recursos. Innovacin en los servicios, los mercados y los negocios. Buenas prcticas en las relaciones con las partes involucradas. Reduccin en los costos para la organizacin. Comprensin real de los beneficios buscados a partir de cada inversin en Tecnologa de la Informacin.

2. Gobierno Corporativo de las TI (GCTI)

2.1. DEFINICION DE GOBIERNO CORPORATIVO (GC)

ODonovan (2003) define gobierno corporativo como un sistema interno que incluye polticas, procesos y personas, que sirve a las necesidades de los inversionistas y otros agentes empresariales, mediante el control y la direccin de las actividades de administracin con objetividad, integridad y buena experiencia empresarial. El xito del gobierno corporativo es confiado a la apreciacin de los mercados y a la legislacin, adems de una cultura de direccin sana que salvaguarde las polticas y procesos corporativos.El Gobierno Corporativo es un proceso efectuado por el consejo de administracin de una entidad, su direccin y restante personal, aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventos potenciales que puedan afectar a la organizacin, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.

2.2. DEFINICION DE GOBIERNO CORPORATIVO DE LAS TI (GCTI)

El GCTI se refiere a la capacidad que tiene una organizacin de dirigir y controlar la funcin de las tecnologas de informacin para asegurar que sostienen y extienden sus objetivos estratgicos mediante la realizacin efectiva de proyectos, la provisin de servicios de alta calidad, la gestin de riesgos y la optimizacin de recursos.El GCTI es responsabilidad de los miembros del Comit de Direccin y de los altos ejecutivos de la organizacin.El principal objetivo del Gobierno Corporativo de las TI (GCTI) es conseguir la alineacin entre la estrategia del negocio y la estrategia de las TI. Este proceso es bsico que el GCTI cumpla su funcin primordial de generacin de valor para los grupos de inters, minimizando los riesgos.El GCTI incluye estrategias, polticas, responsabilidades, estructuras y procesos para la utilizacin de las TI en una organizacin. La inclusin de elementos operativos y elementos estratgicos (de presente y de futuro) es un aspecto esencial del GCTI, y gua el desarrollo de las tareas de gestin y administracinFinalmente, un aspecto a destacar es que el GCTI es de aplicacin a cualquier tipo de organizacin, independientemente de su tamao, antigedad, localizacin, finalidad, o de su naturaleza pblica o privada. El GCTI es el sistema ms adecuado para que una organizacin obtenga el mximo valor de sus TI desde el punto de vista estratgico, pero para tener xito debe basarse en un buen GC, que establezca claramente los objetivos de negocio de la organizacin, alineando los objetivos de negocio con los objetivos TI.

2.3. M

2.4. ODELO DE GCTI

El modelo de GCTI que incluye los siguientes elementos: Adoptar como principal referente de implantacin de GCTI lo contenido en la norma ISO 38500 principalmente su Modelo de Gobierno Triangular teniendo en cuenta sus tres tareas principales (Evaluar, Dirigir y Monitorizar).

2.5. GUIAS PARA EL BUEN GCTI

La norma tambin proporciona un conjunto de guas para el buen GCTI y propone una serie de prcticas para implementar los principios descritos anteriormente.

3. PRINCIPIOS DE LA ISO 38 500La norma define ISO 38500 define seis principios de un buen gobierno corporativo de TI:

3.1. ResponsabilidadTodo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una accin lleva aparejada la autoridad para su realizacin.3.2. EstrategiaLa estrategia de negocio de la organizacin tiene en cuenta las capacidades actuales y futuras de las TI. Los planes estratgicos de TI satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio.

3.3. AdquisicinLas adquisiciones de TI se hacen por razones vlidas, basndose en un anlisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo.

3.4. RendimientoLa TI est dimensionada para dar soporte a la organizacin, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras.

3.5. ConformidadLa funcin de TI cumple todas las legislaciones y normas aplicables. Las polticas y prcticas al respecto estn claramente definidas, implementadas y exigidas.

3.6. Conducta humanaLas polticas de TI, prcticas y decisiones demuestran respecto por la conducta humana, incluyendo las necesidades actuales y emergentes de toda la gente involucrada.

14