NORMA TÉCNICA NTP-ISO/IEC 38500

PERUANA 2016
Dirección de Normalización - INACAL
Calle Las Camelias 815, San Isidro (Lima 27) Lima, Perú

Tecnología de información. Gobernanza de TI para la

organización
Information technology. Governance of IT for the organization

(EQV. ISO/IEC 38500:2015 ed. 2.0 Information technology - Governance of IT for the organization)

2016-06-15
2ª Edición

R.D. N° 013-2016-INACAL/DN. Publicada el 2016-07-16 Precio basado en 21 páginas

I.C.S.: 35.020 ESTA NORMA ES RECOMENDABLE
Descriptores: Organización, gobierno, gobernanza, tecnología, información, software

© ISO/IEC 2015 - © INACAL 2016

© ISO/IEC 2015

Todos los derechos son reservados. A menos que se especifique lo contrario, ninguna parte de esta
publicación podrá ser reproducida o utilizada por cualquier medio, electrónico o mecánico, incluyendo
fotocopia o publicándolo en el Internet o intranet, sin permiso por escrito del INACAL, único representante
de la ISO/IEC en territorio peruano.

© INACAL 2016

Todos los derechos son reservados. A menos que se especifique lo contrario, ninguna parte de esta
publicación podrá ser reproducida o utilizada por cualquier medio, electrónico o mecánico, incluyendo
fotocopia o publicándolo en el Internet o intranet, sin permiso por escrito del INACAL.

INACAL

Calle Las Camelias 815, San Isidro

Lima - Perú
Tel.: +51 1 640-8820
administracion@inacal.gob.pe
www.inacal.gob.pe

i
© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados
 ÍNDICE

página

ÍNDICE ii

PREFACIO iii

PRÓLOGO (ISO) v

INTRODUCCIÓN vi

1 OBJETO 1

2 TÉRMINOS Y DEFINICIONES 2

3 BENEFICIOS DE LA BUENA GOBERNANZA DE TI 8

4 PRINCIPIOS Y MODELO PARA LA BUENA GOBERNANZA 9

DE TI

4.1 Principios 9
4.2 Modelo 11

5 GUÍA PARA LA GOBERNANZA DE TI 14

5.1 Generalidades 14
5.2 Principio 1: Responsabilidad 14
5.3 Principio 2: Estrategia 15
5.4 Principio 3: Adquisición 16
5.5 Principio 4: Desempeño 17
5.6 Principio 5: Conformidad 19
5.7 Principio 6: Comportamiento humano 20

BIBLIOGRAFÍA 21

ii
© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados
 PREFACIO

A. RESEÑA HISTÓRICA

A.1 La presente Norma Técnica Peruana ha sido elaborada por el Comité

Técnico de Normalización de Ingeniería de software, sistemas de información y gestión
de proyectos - Sub Comité Técnico de Normalización Ingeniería de software y sistemas
de información, mediante el Sistema 1 o de Adopción, durante los meses de noviembre
a diciembre de 2015, utilizando como antecedente a la norma ISO/IEC 38500:2015
Information technology - Governance of IT for the organization.

A.2 El Comité Técnico de Normalización de Ingeniería de software, sistemas

de información y gestión de proyectos - Sub Comité Técnico de Normalización
Ingeniería de software y sistemas de información presentó a la Dirección de
Normalización –DN-, con fecha 2015-12-31, el PNTP-ISO/IEC 38500:2015, para su
revisión y aprobación, siendo sometido a la etapa de discusión pública el 2016-04-22.
No habiéndose presentado observaciones fue oficializada como Norma Técnica Peruana
NTP-ISO/IEC 38500:2016 Tecnología de información. Gobernanza de TI para la
organización, 2ª Edición, el 16 de julio de 2016.

A.3 Esta Norma Técnica Peruana reemplaza a la NTP-ISO/IEC 38500:2010

Gobierno corporativo de la tecnología de la información y es una adopción de la norma
ISO/IEC 38500:2015 Information technology - Governance of IT for the organization.
La presente Norma Técnica Peruana presenta cambios editoriales referidos principalmente
a terminología empleada propia del idioma español y ha sido estructurada de acuerdo a las
Guías Peruanas GP 001:1995 y GP 002:1995.

B. INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIÓN

DE LA NORMA TÉCNICA PERUANA

Secretaría del SC Pontificia Universidad Católica del Perú

– Facultad de Ciencias e Ingeniería

Presidente del SC Romel Alvarez Llanos -

Superintendencia de Banca y Seguros y
Administradoras de Fondos de Pensiones

Secretaria del SC Miriam Elizabeth Amable Ciudad

iii
© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados
ENTIDAD REPRESENTANTE

Asociación Peruana de Software Libre Henry García Ruíz

APESOL Yonsi Solís Ponce

AVANTICA TECHNOLOGIES SAC Cecilia García García

Alberto Arce León

Cámara Peruana de Tecnologías de la Paul Deza Díaz

Información - CAPETI Moisés Alarcón Presentación

Colegio de Ingenieros del Perú. Consejo Alejandrina Nelly Huarcaya Junes

Departamental de Lima – CIP – CD Lima Víctor Guevara Chávez

Consultor independiente Carlos Horna Vallejos

Consultor independiente María Cecilia Moreno

EQ Soft Consultoría y Soporte E.I.R.L. Ernesto Quiñonez Azcárate

Jorge Jaimes Fuentes

Oficina Nacional de Gobierno Electrónico Carlos Arias Ramos

e Informática

Pontificia Universidad Católica del Perú Gloria Baños Diaz

Departamento de Ingeniería

Superintendencia Nacional de Jorge Daniel Llanos Panduro

Administración Tributaria – SUNAT Janet Sánchez Montoya

Universidad Católica Sedes Sapientiae María Elena Chávez Barces

Universidad de Lima Rocío Checa Fernández

Universidad Peruana de Ciencias Aplicadas Jorge Cabrera Berríos

iv
© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados
 PRÓLOGO
(ISO)

La ISO (Organización Internacional para la Normalización) y la IEC (Comisión

Electrotécnica Internacional) forman el sistema especializado para la normalización
mundial. Los organismos nacionales que son miembros de la ISO o IEC participan en el
desarrollo de Normas Internacionales a través de comités técnicos establecidos por la
organización respectiva para atender campos particulares de actividad técnica. Los
comités técnicos ISO e IEC colaboran en campos de interés mutuo. Otros organismos
internacionales, gubernamentales y no gubernamentales, en coordinación con ISO e
IEC, también participan en el trabajo. En el campo de tecnología de información, ISO e
IEC han establecido el comité técnico conjunto, ISO/IEC JTC 1.

Los procedimientos utilizados para desarrollar este documento y los destinados a su

posterior mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular,
los diferentes criterios de aprobación necesarios para los diferentes tipos de
documentos. Este documento fue elaborado de acuerdo con las reglas editoriales de la
parte 2 de las Directivas ISO/IEC. www.iso.org/directives

Existe la posibilidad de que alguno de los elementos de este documento pueda estar
sujeto a derechos de patente. ISO e IEC no se hacen responsables de la identificación de
dichos derechos de patente. Los detalles de cualquier derecho de patente identificados
durante la elaboración del documento estarán en la introducción y/o en la lista ISO de
las declaraciones de patentes recibidas (ver www.iso.org/patents).

Cualquier nombre comercial utilizado en el presente documento se brinda para la

comodidad de los usuarios y no constituye un aval.

Para una explicación sobre el significado de los términos específicos de la ISO y

expresiones relacionadas con la evaluación de la conformidad, así como información
sobre la adhesión de ISO a los principios de la OMC en los Obstáculos Técnicos al
Comercio (OTC) consulte el siguiente URL: Foreword - Supplementary information

ISO/IEC 38500 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC1,
Information technology, Subcommittee SC 40, Service Management and IT
Governance.

Esta segunda edición de la ISO/IEC 38500 cancela y reemplaza la primera edición de la

ISO/IEC 38500:2008, Capítulos, apartados y figuras, las cuales han sido técnicamente
revisadas.
v
© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados
 INTRODUCCIÓN

El objetivo de esta Norma es proporcionar principios, definiciones y un modelo a los

órganos de gobierno para utilizar cuando evalúe, dirija y monitorice el uso de las
tecnologías de la información (TI) en sus organizaciones.

Esta es una Norma de consulta de alto nivel, basada en principios. Además proporciona
una orientación general sobre el rol del órgano de gobierno, fomentando en las
organizaciones el uso de normas apropiadas para respaldar su gobernanza de TI.

La mayoría de las organizaciones utilizan TI como una herramienta fundamental del

negocio y pocos pueden funcionar eficazmente sin ellas. Las TI son también un factor
significativo en los futuros planes de negocio de muchas organizaciones.

El gasto en TI puede representar una proporción significativa del gasto de la

organización en los recursos financieros y humanos. Sin embargo, un retorno de esta
inversión a menudo no se realiza plenamente y los efectos adversos en las
organizaciones pueden ser significativos.

Las principales razones de estos resultados negativos son el énfasis en los aspectos
técnicos, financieros y de programación de las actividades de TI, en lugar del énfasis en
todo el contexto de negocio del uso de TI.

Esta Norma proporciona principios, definiciones y un modelo para la buena gobernanza

de TI, para asistir a los que están en el más alto nivel de las organizaciones a
comprender y cumplir con sus obligaciones legales, regulatorias y éticas con respecto al
uso de TI en sus organizaciones.

Esta Norma está alineada con la definición de gobierno corporativo que fue publicado
como un Informe del Comité sobre los Aspectos Financieros del Gobierno Corporativo
(el Informe Cadbury) en 1992. El Informe Cadbury también proporcionó la definición
fundamental de gobierno corporativo en los Principios de la OCDE del Gobierno
Corporativo en 1999 (revisado en el 2004). El gobierno es diferente de la gestión, y para
evitar la confusión, los dos conceptos se definen en esta norma y son elaborados en la
Norma ISO / IEC TR 38502 .

vi
© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados
Esta Norma se dirige principalmente al órgano de gobierno. En algunas organizaciones
(típicamente pequeñas), los miembros del órgano de gobierno también pueden ser
gerentes ejecutivos. Esta norma es aplicable a todas las organizaciones, desde la más
pequeña a la más grande, independientemente del propósito, diseño y la estructura de
propiedad.

La implementación de la gobernanza de TI está cubierta por la norma

ISO/IEC TS 38501 .

---oooOooo---

vii
© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados
NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 1 de 21

Tecnología de información. Gobernanza de TI para la

organización

1 OBJETO

Esta Norma Técnica Peruana proporciona principios rectores para los miembros de los
órganos de gobierno de las organizaciones (que puede comprender los propietarios,
directores, socios, gerentes ejecutivos o similares) sobre el uso efectivo, eficiente y
aceptable de tecnologías de la información (TI) dentro de sus organizaciones.

También proporciona orientación para aquellos que asesoran, informan, o ayudan a los
órganos de gobierno. Estos incluyen los siguientes:

- gerentes ejecutivos;

- miembros de los grupos de monitorización de recursos dentro de la

organización;

- especialistas técnicos o de negocios externos, tales como especialistas

jurídicos o contables, asociaciones de minoristas o industriales u organismos
profesionales;

- proveedores de servicios internos y externos (incluidos consultores);

- auditores.

Esta Norma Técnica Peruana se aplica al gobierno de organizaciones actuales y futuras que
usan TI incluyendo procesos y decisiones de gestión relacionadas con el uso actual y futuro
de TI. Estos procesos pueden ser controlados por especialistas en TI dentro de la
organización, proveedores de servicios externos, o unidades de negocio dentro de la
organización.

Esta Norma Técnica Peruana define la gobernanza de TI como un subconjunto o dominio

de la gobernanza organizacional, o en el caso de una corporación, gobierno corporativo.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 2 de 21

Esta Norma Técnica Peruana es aplicable a todas las organizaciones, incluyendo

compañías públicas y privadas, entidades gubernamentales y organizaciones sin fines de
lucro. Esta Norma Técnica Peruana es aplicable a organizaciones de todo tamaño, desde la
más pequeña a la más grande, independientemente del grado de uso de TI.

El propósito de esta Norma Técnica Peruana es promover el uso efectivo, eficiente y

aceptable de TI en todas las organizaciones para:

- asegurar a los interesados que, si se siguen los principios y prácticas

propuestas por esta Norma Técnica Peruana, pueden tener la confianza en la
gobernanza de TI de su organización,

- informar y orientar a los órganos de gobierno sobre el gobierno del uso de

TI en su organización, y

- establecer un vocabulario para la gobernanza de TI.

2 TÉRMINOS Y DEFINICIONES

Para propósitos de este documento, aplican los siguientes términos y definiciones.

2.1
aceptable
cumple con las expectativas de los interesados que son capaces de ser mostrados como
razonables o merecidos

2.2
responsable
responde por las acciones, decisiones y el desempeño

2.3
rendición de cuenta
estado de rendir cuentas

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 3 de 21

NOTA 1 a la entrada: La rendición de cuentas se refiere a una responsabilidad asignada. La

responsabilidad puede estar basada en regulación o acuerdo o a través de la asignación como parte de
una delegación.

2.4
gobernanza corporativa
sistema por el cual las corporaciones son dirigidas y controladas

NOTA 1 a la entrada: La gobernanza corporativa es el gobierno organizacional aplicado a las

corporaciones.

NOTA 2 a la entrada: De Cadbury 1992 y OCDE 1999 .

NOTA 3 a la entrada: La definición se incluye para aclarar la evolución en la terminología desde la

edición anterior.

2.5
dirigir
comunicar los propósitos y resultados deseados a

NOTA 1 a la entrada: En el contexto de gobernanza de TI, dirigir implica el establecimiento de

objetivos, estrategias y políticas a ser adoptadas por los miembros de la organización para asegurar
que el uso de TI cumpla con los objetivos de negocio.

NOTA 2 a la entrada: Los objetivos, estrategias y políticas pueden ser establecidos por los gerentes si
ellos tienen la autoridad delegada por el órgano de gobierno.

2.6
evaluar
considerar y hacer juicios informados

NOTA 1 a la entrada: En el contexto de gobernanza de TI, evaluar implica juicios sobre circunstancias
internas y externas, actuales y futuras así como de oportunidades relacionadas al uso actual y futuro de
TI en la organización.

2.7
gerente ejecutivo
persona a quien se le ha delegado la autoridad por el órgano de gobierno para la
implementación de estrategias y políticas para cumplir el propósito de la organización

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 4 de 21

NOTA 1 a la entrada: Gerentes ejecutivos pueden incluir roles que reportan al órgano de gobierno o a
la cabeza de la organización o tiene la total responsabilidad en la importante función de reportar, por
ejemplo Directores Ejecutivos (CEO), Jefes de las Organizaciones Gubernamentales, Directores
Financieros (CFOs), Directores de Operaciones (COO), Directores de Información (CIOs) y roles
similares.

NOTA 2 a la entrada: En las normas de gestión, los gerentes ejecutivos pueden ser referidos como alta
dirección.

2.8
gobernanza
sistema de dirección y control

2.9
órgano de gobierno
persona o grupo de personas que son responsables por el desempeño y la conformidad de
la organización

2.10
gobernanza de TI
sistema por el cual el uso actual y futuro de TI es dirigido y controlado

NOTA 1 a la entrada: Gobernanza de TI es un componente o subconjunto de la gobernanza

organizacional.

NOTA 2 a la entrada: El término gobernanza de TI es equivalente a los términos de gobierno

corporativo de TI, gobernanza empresarial de TI, y gobernanza organizacional de TI.

2.11
comportamiento humano
interacción entre los seres humanos y otros elementos del sistema

NOTA 1 a la entrada: Comportamiento humano incluye la cultura, las necesidades y las aspiraciones
de las personas como individuos y como grupos.

NOTA 2 a la entrada: Con respecto a TI, existen numerosos grupos o comunidades de personas, cada
uno con sus propias necesidades, aspiraciones y comportamiento. Por ejemplo, las personas que
utilizan los sistemas de información pueden presentar necesidades relacionadas con la accesibilidad y
la ergonomía, así como disponibilidad y desempeño. Las personas cuyos roles de trabajo están
cambiando debido al uso de TI podrían presentar necesidades relacionadas con la comunicación,
capacitación y tranquilidad. Las personas involucradas en la generación y operación de capacidades TI
pueden presentar necesidades relacionadas a condiciones de trabajo y desarrollo de habilidades.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 5 de 21

2.12
tecnología de la información (TI)
recursos utilizados para adquirir, procesar, almacenar y difundir información

NOTA 1 a la entrada: Este término también incluye "tecnología de comunicaciones (TC)" y el término
compuesto "tecnología de la información y comunicaciones (TIC)".

2.13
inversión
asignación de recursos para lograr los objetivos definidos y otros beneficios

2.14
gestión
ejercicio del control y supervisión dentro de la autoridad y responsabilidad establecida por
la gobernanza.

NOTA 1 a la entrada: El término gestión se utiliza a menudo como un término colectivo para los que
tienen la responsabilidad de controlar una organización o partes de una organización. El término
gerentes se utiliza para evitar la confusión con los sistemas de gestión.

2.15
gerentes
grupo de personas responsables del control y la supervisión de una organización o partes
de una organización

NOTA 1 a la entrada: Los gerentes ejecutivos son una categoría de gerentes.

2.16
monitorización
revisar como una base para decisiones y ajustes apropiados

NOTA 1 a la entrada: La monitorización involucra obtener de forma rutinaria información sobre el

progreso comparado con los planes, así como el examen periódico de todos los logros alcanzados
comparado con las estrategias y resultados acordados para proporcionar una base para la toma de
decisiones y ajustes a los planes.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 6 de 21

NOTA 2 a la entrada: La monitorización incluye la revisión del cumplimiento con la legislación,

regulaciones y las políticas de la organización relevantes.

2.17
organización
persona o grupo de personas que tiene sus propias funciones con responsabilidades,
autoridades y relaciones para lograr sus objetivos

NOTA 1 a la entrada: El concepto de organización incluye, pero no se limita al comerciante

individual, compañía, corporación, firma, empresa, autoridad, asociación, beneficencia, instituciones o
parte de estos o combinaciones de los mismos, ya sean parte de una corporación o no, pública o
privada.

[FUENTE: Consolidated ISO Supplement 2013 - Procedures specific to ISO, Anexo XL, Apéndice 2. La
nota ha sido adicionada en esta Norma Técnica Peruana].

2.18
gobernanza organizacional
sistema por el cual las organizaciones son dirigidas y controladas

2.19
política
intenciones y dirección de una organización expresada formalmente por su órgano de
gobierno o gerentes ejecutivos actuando con la autoridad apropiada

2.20
propuesta
recopilación de beneficios, costos, riesgos, oportunidades y otros factores aplicables a
decisiones que se tomen

EJEMPLO: Casos de negocio

2.21
recursos
personas, procedimientos, software, información, equipamiento, consumibles,
infraestructura, capital y fondos de operación y tiempo

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 7 de 21

2.22
responsabilidad
obligación de actuar y tomar decisiones para lograr los resultados requeridos

2.23
riesgo
efecto de la incertidumbre en los objetivos

NOTA 1 a la entrada: Un efecto es una desviación de lo esperado - positivo y /o negativo.

NOTA 2 a la entrada: Los efectos negativos reflejan amenazas mientras que los riesgos positivos
reflejan oportunidades.

[FUENTE: Guía ISO 73: 2009]

2.24
interesado
cualquier individuo, grupo u organización que puede afectar a, ser afectado por o
percibirse a sí mismo a ser afectado por una decisión o actividad

[FUENTE: adaptado de la Guía ISO 73: 2009]

2.25
uso de TI
planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de TI para
cumplir con los objetivos de negocio y crear valor para la organización

NOTA 1 a la entrada: El uso de TI incluye tanto la demanda como el suministro de TI.

NOTA 2 a la entrada: El uso de TI incluye tanto el uso actual como futuro.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 8 de 21

3 BENEFICIOS DE LA BUENA GOBERNANZA DE TI

La buena gobernanza de TI apoya a los órganos de gobierno para asegurar que el uso de TI
contribuye positivamente al desempeño de la organización, a través de:

- innovación en los servicios, mercados y negocios;

- alineamiento de TI con las necesidades de negocio;

- implementación y operación adecuadas de los activos de TI;

- aclarar la responsabilidad y la rendición de cuentas, tanto el suministro y la

demanda de TI en el logro de los objetivos de la organización;

- continuidad del negocio y su sostenibilidad;

- asignación eficiente de los recursos;

- buenas prácticas en las relaciones con los interesados; y

- realización actual de los beneficios esperados de cada inversión en TI.

Esta Norma Técnica Peruana establece los principios para el uso efectivo, eficiente y
aceptable de TI. Los órganos de gobierno, para asegurar que sus organizaciones sigan estos
principios, serán asistidos en la gestión de riesgos y alentados a explotar las oportunidades
derivadas del uso de TI.

La buena gobernanza de TI también asiste a los cuerpos de gobierno asegurando la

conformidad con las obligaciones (regulatoria, legislación, contractual) concernientes al
uso aceptable de TI.

Esta Norma Técnica Peruana establece un modelo para la gobernanza de TI. El riesgo de
que los órganos de gobierno no cumplan con sus obligaciones es mitigado al prestar la
debida atención al modelo en la aplicación apropiada de los principios.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 9 de 21

Los sistemas de TI inadecuados y el uso indebido o inadecuado de TI pueden exponer a

una organización al riesgo de no cumplir con la legislación. Por ejemplo, en algunas
jurisdicciones, los miembros de los órganos de gobierno podrían ser personalmente
responsables si un sistema contable inadecuado causas impuestos no pagados.

Los procesos relacionados con TI incorporan riesgos específicos que deben ser abordados
apropiadamente. Por ejemplo los órganos de gobierno y los miembros de los órganos de
gobierno pueden ser considerados responsables por:

- infracciones a la privacidad, spam, la salud y la integridad, legislación y

regulaciones sobre el almacenamiento de registros;

- no cumplimiento de las normas relativas a la seguridad, responsabilidad

social;

- asuntos relacionados con los derechos de propiedad intelectual, incluyendo

los acuerdos de licenciamiento.

Los órganos de gobierno que utilizan la guía en esta Norma Técnica Peruana tienen mayor
probabilidad de cumplir con sus obligaciones.

4 PRINCIPIOS Y MODELO PARA LA BUENA GOBERNANZA DE TI

4.1 Principios

Este Capítulo establece seis principios para la buena gobernanza de TI. Los principios
expresan comportamientos preferentes para guiar la toma de decisiones. La declaración de
cada principio refiere a lo que debería ocurrir, pero no prescribe cómo, cuándo o por quién
los principios serían implementados – ya que estos aspectos dependen de la naturaleza de
la organización que implementa estos principios. Los órganos de gobierno deben requerir
que estos principios sean aplicados.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 10 de 21

Principio 1: Responsabilidad

Los individuos y grupos dentro de la organización entienden y aceptan sus

responsabilidades con respecto del suministro y la demanda de TI. Los que tienen la
responsabilidad por las acciones también tienen la autoridad para realizarlas.

Principio 2: Estrategia

La estrategia de negocio de la organización toma en cuenta las capacidades actuales y

futuras de TI; los planes para el uso de TI satisfacen las necesidades actuales y en curso de
la estrategia de negocio de la organización.

Principio 3: Adquisición

Las adquisiciones de TI son hechas por razones válidas, sobre la base del análisis
apropiado y en curso, con la toma de decisiones clara y transparente. Existe un balance
apropiado entre los beneficios, oportunidades, costos y riesgos, tanto a corto plazo como a
largo plazo.

Principio 4: Desempeño

La TI es adecuada para el propósito de apoyar a la organización, proporcionando los

servicios, niveles de servicio y calidad del servicio requeridos para satisfacer los requisitos
del negocio actual y futuro.

Principio 5: Conformidad

El uso de TI cumple con toda la legislación y regulaciones obligatorias. Las políticas y

prácticas son claramente definidas, implementadas y cumplidas.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 11 de 21

Principio 6: Comportamiento humano

Las políticas, prácticas y decisiones de TI demuestran respeto por el comportamiento

humano, incluyendo las necesidades actuales y cambiantes de todas las 'personas en el
proceso'.

4.2 Modelo

Los órganos de gobierno deben gobernar la TI a través de tres tareas principales:

a) Evaluar el uso actual y futuro de TI.

b) Dirigir la preparación e implementación de estrategias y políticas para

asegurar que el uso de TI cumpla con los objetivos del negocio.

c) Monitorizar la conformidad con las políticas y su desempeño en relación

con las estrategias.

La autoridad para aspectos específicos de TI puede ser delegada a los gerentes dentro de la
organización. Sin embargo, la rendición de cuentas por el uso efectivo, eficiente y
aceptable de TI por una organización permanece con el órgano de gobierno y no puede ser
delegado.

La Figura 1 muestra el modelo para gobernanza de TI utilizando Evaluar - Dirigir -

Monitorizar. El texto seguido de la Figura 1 explica los elementos y relaciones
representadas.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 12 de 21

FIGURA 1 – Modelo para la Gobernanza de TI

Evaluar

Los órganos de gobierno deben examinar y hacer un juicio sobre el uso actual y futuro de
TI, incluyendo planes, propuestas y acuerdos de suministro (ya sean internos, externos o
ambos).

En la evaluación del uso de TI, los órganos de gobierno deben considerar las presiones
externas o internas que actúan sobre la organización, tales como el cambio tecnológico, las
tendencias económicas y sociales, las obligaciones regulatorias, las expectativas legítimas
de los interesados y las influencias políticas. Los órganos de gobierno deben emprender la
© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados
NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 13 de 21

evaluación continua en la medida que cambian las circunstancias. Los órganos de gobierno
deben también tomar en cuenta las necesidades de negocio tanto actuales como futuras -
los objetivos organizacionales actuales y futuros que se tienen que alcanzar, tales como el
mantenimiento de la ventaja competitiva, así como los objetivos específicos de los planes y
propuestas que están evaluando.

Dirigir

Los órganos de gobierno deben asignar responsabilidad para, y dirigir la preparación e

implementación de estrategias y políticas. Las estrategias deben establecer la dirección
para las inversiones en TI y lo que se debe lograr. Las políticas deben establecer un sondeo
del comportamiento en el uso de TI.

Los órganos de gobierno deben fomentar una cultura de buena gobernanza de TI en su

organización requiriendo que a los gerentes proporcionen información oportuna, para
cumplir con la dirección y la conformidad de los seis principios del buen gobierno.

Si es necesario, los órganos de gobierno deben dirigir la presentación de propuestas para su

aprobación y para hacer frente a las necesidades identificadas.

Monitorizar

Los órganos de gobierno deben monitorizar, a través de sistemas de medición apropiados

el desempeño de TI. Deben asegurar que el desempeño está en concordancia con las
estrategias, particularmente en lo relacionado a los objetivos de negocio.

Los órganos de gobierno también deben asegurarse de que TI está en conformidad con las
obligaciones externas (regulatorias, legislación, contractual) y prácticas internas de trabajo.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 14 de 21

5 GUÍA PARA LA GOBERNANZA DE TI

5.1 Generalidades

Las siguientes apartados proporcionan una guía para los principios generales de buena
gobernanza de TI y las prácticas requeridas para implementar los principios.

Las prácticas descritas no son exhaustivas, pero proporcionan un punto de partida para la
discusión de las responsabilidades del órgano de gobierno para la gobernanza de TI. Es
decir, las prácticas descritas son una guía sugerida para la gobernanza de TI.

Es responsabilidad de cada organización, individualmente, para identificar las acciones

específicas requeridas para implementar los principios, tomando en consideración la
naturaleza de la organización, y el análisis apropiado de los riesgos y oportunidades del
uso de TI.

5.2 Principio 1: Responsabilidad

Evaluar

Los órganos de gobierno deben evaluar las opciones para la asignación de

responsabilidades con respecto al uso actual y futuro de TI en la organización. En la
evaluación de opciones, los órganos de gobierno deben tratar de asegurar el efectivo,
eficiente y aceptable uso de TI en apoyo de los objetivos de negocio actuales y futuros.

Los órganos de gobierno deben evaluar la competencia de los que recibieron la

responsabilidad para tomar decisiones con respecto a TI. Generalmente, estas personas
deben ser gerentes de negocio quienes son también responsables por los objetivos de
negocio y desempeño de la organización, asistidos por especialistas en TI quienes
entienden el valor y procesos de negocio.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 15 de 21

Dirigir

Los órganos de gobierno deben dirigir las estrategias que se seguirán de acuerdo con las
responsabilidades asignadas de TI.

Los órganos de gobierno deben dirigir la recepción de información que necesitan para
cumplir con sus responsabilidades y la rendición de cuentas.

Monitorizar

Los órganos de gobierno deben monitorizar que los mecanismos apropiados para la
gobernanza de TI sean establecidos.

Los órganos de gobierno deben monitorizar que los que recibieron las responsabilidades
conozcan y entiendan sus responsabilidades.

Los órganos de gobierno deben monitorizar el desempeño de quienes recibieron la

responsabilidad en la gobernanza de TI (por ejemplo, aquellas personas que desempeñan
funciones en los comités de dirección o presentan propuestas a los órganos de gobierno).

5.3 Principio 2: Estrategia

Evaluar

Los órganos de gobierno deben evaluar los desarrollos en TI y los procesos de negocio
para asegurar que TI proporciona apoyo a las futuras necesidades de negocio.

Cuando se consideran los planes y políticas, el órgano de gobierno debe evaluar el uso de
TI y las actividades de TI para asegurar de que se alinean con los objetivos de la
organización y satisfacer cada requisito legítimo clave de los interesados. El órgano de
gobierno debe también tomar en consideración las buenas prácticas.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 16 de 21

Los órganos de gobierno deben asegurar que el uso de TI está sujeto a una apropiada
gestión del riesgo.

Dirigir

Los órganos de gobierno deben dirigir la preparación y el uso de estrategias y políticas que
asegurar que la organización se beneficia del desarrollo en TI.

Los órganos de gobierno deben también alentar la presentación de propuestas para usos
innovadores de TI que permita a la organización responder a nuevas oportunidades o
desafíos, emprender nuevos negocios o mejorar los procesos.

Monitorizar

Los órganos de gobierno deben monitorizar el progreso de las propuestas aprobadas de TI

para asegurar que se están logrando los objetivos en los plazos de tiempo requeridos
utilizando los recursos asignados.

Los órganos de gobierno deben monitorizar el uso de TI para asegurar que se esté logrando
los beneficios previstos.

5.4 Principio 3: Adquisición

Evaluar

Los órganos de gobierno deben evaluar las opciones para la prestación de TI para realizar
las propuestas aprobadas, balanceando los riesgos y valor monetario de las inversiones
propuestas.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 17 de 21

Dirigir

Los órganos de gobierno deben dirigir que los activos de TI (sistemas e infraestructura)
sean adquiridos de una manera apropiada, incluyendo la preparación de la documentación
adecuada, asegurando al mismo tiempo que se proporcionan las capacidades requeridas.

Los órganos de gobierno deben dirigir que los acuerdos de suministro (incluyendo tanto los
acuerdos de suministro interno y externo) apoyen las necesidades de negocio de la
organización.

Los órganos de gobierno deben dirigir que su organización y los proveedores desarrollen
un entendimiento compartido de la intención de la organización en hacer cualquier
adquisición de TI.

Monitorizar

Los órganos de gobierno deben monitorizar las inversiones en TI para asegurar que
proporcionan las capacidades requeridas.

Los órganos de gobierno deben monitorizar el grado en que su organización y proveedores

mantienen un entendimiento compartido de la intención de la organización en hacer
cualquier adquisición de TI.

5.5 Principio 4: Desempeño

Evaluar

Los órganos de gobierno deben evaluar los planes propuestos por los gerentes para
asegurar que TI apoye los procesos de negocio con las capacidades y la capacidad
requerida. Estas propuestas deben abordar la normal continuidad operacional de la
organización y el tratamiento del riesgo asociado con el uso de TI.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 18 de 21

Los órganos de gobierno deben evaluar los riesgos para la operación continua del negocio
que surjan de las actividades de TI.

Los órganos de gobierno deben evaluar los riesgos a la integridad de la información y la

protección de los activos de TI, incluyendo la propiedad intelectual asociada y la memoria
organizacional.

Los órganos de gobierno deben evaluar las opciones para asegurar decisiones efectivas y
oportunas sobre el uso de TI en apoyo de las metas de negocio.

Los órganos de gobierno deben evaluar regularmente la efectividad y el desempeño de la

gobernanza de TI de la organización.

Dirigir

Los órganos de gobierno deben asegurar la asignación de recursos suficientes para que TI
cumpla con las necesidades de la organización, de acuerdo con las prioridades acordadas y
las restricciones presupuestales.

Los órganos de gobierno deben dirigir a los responsables para asegurar que TI apoye a la
organización, cuando se requiera por razones del negocio, con datos correctos y
actualizados que sean protegidos de pérdida o mal uso.

Monitorizar

Los órganos de gobierno deben monitorizar el grado en que TI apoye al negocio. Los
órganos de gobierno deben monitorizar el grado en que la asignación de recursos y
presupuestos sean priorizados de acuerdo con los objetivos del negocio.

Los órganos de gobierno deben monitorizar el grado en que las políticas, tales como la
exactitud de los datos y el uso eficiente de TI, se sigan correctamente.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 19 de 21

5.6 Principio 5: Conformidad

Evaluar

Los órganos de gobierno deben evaluar periódicamente el grado en la que TI satisface las
obligaciones (regulatoria, legislación, contractual), políticas internas, normas y directrices
profesionales.

Los órganos de gobierno deben evaluar periódicamente la conformidad interna de la

organización con su marco de referencia para gobernanza de TI.

Dirigir

Los órganos de gobierno deben dirigir a los responsables para establecer mecanismos
regulares y de rutina para asegurar que el uso de TI cumpla con las obligaciones relevantes,
políticas internas, normas y directrices.

Los órganos de gobierno deben dirigir que las políticas establecidas se cumplen para que la
organización pueda cumplir con sus obligaciones internas en su uso de TI.

Los órganos de gobierno deben dirigir que el personal de TI siga las directrices relevantes
en comportamiento y desarrollo profesional.

Los órganos de gobierno deben dirigir que todas las acciones relacionadas a TI sean éticas.

Monitorizar

Los órganos de gobierno deben monitorizar el cumplimiento y la conformidad de TI a

través de prácticas apropiadas de auditoría y reporte, asegurando que las revisiones sean
oportunas, integrales y adecuadas para la evaluación del grado de satisfacción de la
organización.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 20 de 21

Los órganos de gobierno deben monitorizar las actividades de TI, incluyendo la

disposición de los activos y datos, para asegurar que el ambiente, la privacidad, la gestión
de conocimiento estratégico, la preservación de la memoria organizacional y otras
obligaciones relevantes sean cumplidas.

5.7 Principio 6: Comportamiento humano

Evaluar

Los órganos de gobierno deben evaluar las actividades de TI para asegurar que los
comportamientos humanos sean identificados y considerados apropiadamente.

Dirigir

Los órganos de gobierno deben dirigir que las actividades de TI sean consistentes el
comportamiento humano identificado.

Los órganos de gobierno deben dirigir que los riesgos, oportunidades, cuestiones y
preocupaciones puedan ser identificados y reportados por cualquier perina y en cualquier
momento. Estos riesgos deben gestionarse en concordancia con las políticas y
procedimientos publicados y escalados a los que toman las decisiones relevantes.

Monitorizar

Los órganos de gobierno deben monitorizar las actividades de TI para asegurar que los
comportamientos humanos identificados siguen siendo relevantes y que se les de la
atención apropiada.

Los órganos de gobierno deben monitorizar las prácticas de trabajo para asegurar que son
consistentes con el uso apropiado de TI.

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados

NORMA TÉCNICA NTP-ISO/IEC 38500
PERUANA 21 de 21

BIBLIOGRAFÍA

[1] ISO/IEC TR 38502, Information technology — Governance of IT — Framework and

model

[2] ISO/IEC TS 38501, Information technology — Corporate governance of IT

implementation guide

[3] ISO/IEC Directives Part 1, Consolidated ISO Supplement, 2013, Annex SL,
Appendix 2

[4] REPORT OF THE COMMITTEE ON THE FINANCIAL ASPECTS OF

CORPORATE GOVERNANCE. Sir Adrian Cadbury, London, 1992 ISBN 0 85258
913 1

[5] OECD Principles of Corporate Governance, OECD, 1999 and 2004

© ISO/IEC 2015 - © INACAL 2016 - Todos los derechos son reservados