Académique Documents
Professionnel Documents
Culture Documents
COLOMBIANA 38500
2009-12-16
I.C.S.: 35.080.00
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIÓN DE NORMALIZACIÓN
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
CONTENIDO
Página
INTRODUCCIÓN
1.2 APLICACIÓN................................................................................................................1
3.1 GENERALIDADES.......................................................................................................8
Página
DOCUMENTO DE REFERENCIA..........................................................................................14
INTRODUCCIÓN
El objetivo de esta norma es proporcionar un marco de principios para que los Directores los
utilicen al evaluar, dirigir y monitorear el uso de la tecnología de la información (TI) en sus
organizaciones.
Las principales causas de estos resultados negativos son el énfasis en los aspectos técnicos,
financieros y de programación de las actividades de Tecnología de la Información y no el
énfasis en el contexto general del negocio en cuanto al uso de la Tecnología de la Información.
Esta norma brinda un marco para el gobierno eficaz de la Tecnología de la Información con el
fin de ayudar a aquellos en los niveles más altos de las organizaciones a comprender y cumplir
sus obligaciones legales, reglamentarias y éticas con respecto al uso que le dan sus
organizaciones a la Tecnología de la Información. Este marco abarca definiciones, principios y
un modelo.
Esta norma sigue los lineamientos de la definición de Gobierno Corporativo publicada como
Informe del Comité sobre Aspectos Financieros del Gobierno Corporativo (el informe Cadbury)
en 1992. El informe Cadbury también suministró la definición fundamental de Gobierno
Corporativo en los Principios OECD de Gobierno Corporativo de 1999 (revisada en 2004). Se
recomienda a los usuarios de esta norma que se familiaricen con el informe Cadbury y los
Principios OECD de Gobierno Corporativo.
El gobierno es diferente de la gestión y, para evitar confusión, los dos conceptos se definen
claramente en la norma.
Aunque esta norma está dirigida principalmente al organismo de gobierno, que a su vez puede
requerir que la gerencia de la organización emprenda algunas acciones, también permite que,
en algunas organizaciones (por lo general más pequeñas), los miembros del organismo de
gobierno ocupen los roles claves en la gerencia. De esta manera garantiza que la norma sea
aplicable a todas las organizaciones, desde la más pequeña hasta la más grande,
independientemente del propósito, el diseño y la estructura de propiedad.
1.1 ALCANCE
Esta norma proporciona principios de guía para los directores de las organizaciones
(incluyendo, dueños, miembros de la junta, directores, socios, altos ejecutivos o similares)
sobre el uso eficaz, eficiente y aceptable de la tecnología de la información (TI) en sus
organizaciones.
Esta norma se aplica al gobierno de los procesos de gestión (y las decisiones) relacionados
con los servicios de información y comunicación utilizados por la organización. Estos procesos
podrían ser controlados por los especialistas en TI de la organización, por proveedores
externos del servicio o por unidades de negocios dentro de la organización.
- altos directivos;
- auditores de TI.
1.2 APLICACIÓN
Esta norma se aplica a todas las organizaciones, incluyendo compañías públicas y privadas,
entidades gubernamentales y organizaciones sin ánimo de lucro. También se aplica a
organizaciones de todos los tamaños, desde la más pequeña hasta la más grande,
independientemente de la extensión de su uso de TI.
1 de 14
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
1.3 OBJETIVOS
- Brindar una base para la evaluación objetiva del Gobierno Corporativo de la Tecnología
de la Información.
1.4.1 Generalidades
Esta norma establece los principios para el uso eficaz, eficiente y aceptable de la Tecnología
de la Información. El asegurar que sus organizaciones siguen estos principios facilitará a los
directores equilibrar los riesgos y promover las oportunidades que se originan en el uso de la
Tecnología de la Información.
Los sistemas de TI inadecuados pueden exponer a los directores al riesgo de no cumplir con
las leyes. Por ejemplo, en algunas jurisdicciones, los directores pueden tener responsabilidad
personal si un sistema contable inadecuado ocasiona el no pago de los impuestos.
Los procesos que tratan de la TI incorporan riesgos que se deben tratar adecuadamente. Por
ejemplo, los directores podrían ser responsables debido a incumplimientos de:
- normas de seguridad;
2
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
Es más probable que los directores que usan las directrices de esta norma cumplan con sus
obligaciones.
Report of the Committee on the Financial Aspects of Corporate Governance, Sir Adrian
Cadbury, London, 1992 ISBN 0 85258 913 1.
ISO Guide 73 2002, Risk Management. Vocabulary. Guidelines for Use in Standards.
1.6 DEFINICIONES
Para el propósito de esta norma, se aplican las definiciones que se indican a continuación.
3
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
Se espera que una organización adapte la terminología utilizada en esta norma a sus
circunstancias o su estructura.
1.6.1 Aceptable
1.6.4 Competente
1.6.5 Director
Miembro del organismo de gobierno más alto de una organización. Se incluyen dueños,
miembros de la junta, socios, ejecutivos de alto nivel o similares y funcionarios autorizados por
la legislación o los reglamentos.
Comprensión de las interacciones entre los humanos y otros elementos de un sistema con la
intención de garantizar el bienestar y el desempeño de los sistemas. El comportamiento
humano incluye la cultura, las necesidades y aspiraciones de las personas como individuos y
como grupos.
NOTA Con respecto a la Tecnología de la Información, existen numerosos grupos o comunidades de seres
humanos, cada una con sus propias necesidades, aspiraciones y comportamientos. Por ejemplo, las personas que
utilizan los sistemas de información pueden exhibir necesidades relacionadas con la accesibilidad y la ergonomía,
así como con la disponibilidad y el desempeño. Las personas cuyas funciones laborales cambian debido al uso de la
Tecnología de la Información pueden tener necesidades relacionadas con la comunicación, la capacitación y el
reaseguramiento. Las personas involucradas en la construcción y operación de las capacidades de la Tecnología de
la Información pueden tener necesidades relacionadas con las condiciones de trabajo y el desarrollo de habilidades.
Recursos que se requieren para adquirir, procesar, almacenar y divulgar la información. Este
término también incluye "tecnología de la comunicación (TC)" y el término combinado
"tecnología de la información y la comunicación (TIC)".
4
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
1.6.8 Inversión
Asignación de recursos humanos, de capital y otros recursos para lograr los objetivos definidos
y otros beneficios.
1.6.9 Gestión
Sistema de controles y procesos que se requieren para lograr los objetivos estratégicos
establecidos por el organismo de gobierno de una organización. La gestión está sujeta a las
directrices y el monitoreo de la política establecidos a través del Gobierno Corporativo.
1.6.10 Organización
Toda compañía, corporación, organismo del gobierno, organismo sin ánimo de lucro u otro
legalmente constituido incluyendo asociaciones, clubes, sociedades, agencias
gubernamentales, empresas que cotizan en bolsa, compañías privadas y comercializadores
individuales, que tengan sus propias funciones y administración.
1.6.11 Política
1.6.12 Propuesta
1.6.13 Recursos
1.6.14 Riesgo
NOTA Las consecuencias son impactos en la organización. Pueden ser negativos, como se utiliza comúnmente,
u "oportunidades".
Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos
(Guía ISO/IEC 73).
Todo individuo, grupo u organización que puede afectar, verse afectado o percibirse a sí mismo
como afectado por una decisión o una actividad (adaptado de Guía ISO/IEC 73).
1.6.17 Estrategia
Plan global de desarrollo de una organización que describe el uso eficaz de los recursos que
dan soporte a las actividades futuras de la organización. La estrategia implica el
establecimiento de objetivos y la propuesta de iniciativas para la acción.
5
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
2.1 PRINCIPIOS
Esta sección establece seis principios para el buen Gobierno Corporativo de la Tecnología de
la Información. Los principios se aplican a la mayoría de las organizaciones.
Las adquisiciones de Tecnología de la Información se hacen por razones válidas, con base en
el análisis adecuado y continuo, con toma de decisiones clara y transparente. Existe el
equilibrio adecuado entre beneficios, oportunidades, costos y riesgos, tanto a corto como a
largo plazo.
La Tecnología de la Información cumple con todas las leyes y los reglamentos obligatorios. Las
políticas y las prácticas están claramente definidas, implementadas y se hacen cumplir.
6
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
2.2 MODELO
b) Dirigir la preparación e implementación de los planes y las políticas para garantizar que
el uso de la TI satisface los objetivos del negocio.
Evaluar
Dirigir Monitorear
Propuestas
del desempeño
Planes y
Conformidad
políticas
Evaluar
7
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
Se recomienda a los directores realizar evaluación continua, a medida que cambian las
presiones.
Los directores también deberían considerar las necesidades tanto actuales como futuras del
negocio - los objetivos organizacionales actuales y futuros que deben lograr, tales como el
mantenimiento de la ventaja competitiva, así como los objetivos específicos de las estrategias y
las propuestas que ellos están evaluando.
Dirigir
Los directores deberían asignar a los responsables de los planes y las políticas, así como y de
la preparación directa y la implementación de tales planes y políticas. Es recomendable que los
planes establezcan la dirección para las inversiones en los proyectos y operaciones de
Tecnología de la Información. Las políticas deberían establecer una buena conducta en la
utilización de la Tecnología de la Información.
También conviene que los directores aseguren que la transición de los proyectos al estado
operativo se planifica y gestiona adecuadamente, tomando en consideración los impactos en el
negocio y las prácticas operativas, así como también los sistemas y la infraestructura de TI ya
existentes.
Monitorear
NOTA La responsabilidad de los aspectos específicos de la Tecnología de la Información se puede delegar a los
directores dentro de la organización. Sin embargo, la responsabilidad sobre las acciones y decisiones de la
utilización eficaz, eficiente y aceptable así como de la entrega de la Tecnología de la Información por parte de una
organización permanece en los directores y no se puede delegar.
3.1 GENERALIDADES
Las siguientes secciones suministran una guía para los principios generales del buen gobierno
de la Tecnología de la Información y prácticas que se requieren para implementar los
principios.
Las prácticas que se describen no son exhaustivas, sino que brindan un punto de partida para
la discusión de las responsabilidades de los directores en el gobierno de la Tecnología de la
8
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
información. Es decir, las prácticas descritas son una guía sugerida para el gobierno de la
Tecnología de la información.
Como base para ilustración, las prácticas descritas se aplican a la mayoría de organizaciones
(grandes o pequeñas), la mayoría de las veces. Cualquier variación se debería considerar muy
bien.
Evaluar
Los directores deberían evaluar las opciones para la asignación de responsabilidades con
relación al uso actual y futuro de la Tecnología de la información de la organización. Al evaluar
las opciones, se recomienda que los directores busquen asegurar el uso y la entrega eficaces,
eficientes y aceptables de la Tecnología de la información como soporte para los objetivos
actuales y futuros del negocio.
Dirigir
Los directores deberían dirigir los planes para que se realicen de acuerdo con las
responsabilidades de Tecnología de la información asignadas.
También deberían exigir que se les entregue la información que necesitan para cumplir sus
responsabilidades, incluidas las relativas a acciones y toma de decisiones.
Monitorear
Los directores deberían monitorear que se hayan establecido los mecanismos adecuados para
el gobierno de la Tecnología de la información.
9
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
Evaluar
Los directores deberían evaluar los desarrollos de Tecnología de la información y los procesos
del negocio con el fin de asegurarse de que la Tecnología de la información brindará soporte a
las necesidades futuras del negocio.
Al considerar los planes y las políticas, los directores deberían evaluar las actividades de
Tecnología de la información para asegurar que están alineadas con los objetivos de la
organización para las circunstancias cambiantes, que toman en consideración las mejores
prácticas y satisfacen los requisitos de otras partes involucradas clave.
Dirigir
Los directores deberían dirigir la preparación y la utilización de los planes y las políticas que
aseguren que la organización sí se beneficia de los desarrollos de la Tecnología de la
información.
Monitorear
Evaluar
Dirigir
Los directores deberían gestionar que los activos de Tecnología de la información (sistemas e
infraestructura) se adquieran de la manera correcta, incluida la preparación de la
documentación adecuada, a la vez que se asegura el suministro de las capacidades
requeridas.
Los directores deberían gestionar que los acuerdos de suministro (tanto interno como externo)
den soporte a las necesidades del negocio de la organización.
10
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
Monitorear
Evaluar
Los directores deberían evaluar los medios propuestos por los gerentes para asegurar que la
Tecnología de la información apoye los procesos de negocio con la habilidad y capacidad
requeridas. Estas propuestas deberían dirigirse hacia la continuidad de la operación normal del
negocio y del tratamiento de los riesgos asociados con el uso de Tecnología de la información.
Se recomienda que los directores evalúen los riesgos que se originan en las actividades de la
Tecnología de la información, para la continuidad de la operación de los negocios.
Los directores deberían evaluar los riesgos para la integridad de la información y la protección
de los activos de Tecnología de la información, incluyendo la propiedad intelectual y la memoria
organizacional asociadas.
También deberían evaluar las opciones para garantizar decisiones eficaces y oportunas acerca
del uso de la Tecnología de la información en soporte de las metas del negocio.
Los directores deberían evaluar con regularidad la eficacia y el desempeño del sistema de la
organización para el gobierno de la Tecnología de la información.
Dirigir
Los directores deberían asegurar la asignación de recursos suficientes de manera tal que la
Tecnología de la información satisfaga las necesidades de la organización, de acuerdo con las
prioridades acordadas y las restricciones del presupuesto.
Monitorear
También deberían monitorear la extensión hasta la cual se da prioridad a los recursos y los
presupuestos asignados de acuerdo con los objetivos del negocio.
De igual modo los directores deberían monitorear la extensión hasta la cual se cumplen
adecuadamente las políticas, como aquellas para la precisión de los datos y el uso eficiente de
la Tecnología de la información.
11
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
Evaluar
Es recomendable que los directores evalúen con regularidad la extensión hasta la cual la
Tecnología de la información satisface las obligaciones (reglamentarias, legislativas, de ley,
contractuales), las políticas internas, las normas y las directrices profesionales.
Dirigir
Los directores deberían dirigir de modo que se establezcan y hagan cumplir las políticas que
permiten a la organización cumplir sus obligaciones internas en el uso de la Tecnología de la
información.
Los directores deberían dirigir de forma tal que el personal de Tecnología de la información
cumpla las directrices pertinentes para el comportamiento y el desarrollo profesional.
Conviene que los directores dirijan de tal forma que todas las acciones relacionadas con la
Tecnología de la información sean éticas.
Monitorear
Evaluar
Los directores deberían evaluar las actividades de Tecnología de la información para asegurar
que los comportamientos humanos estén identificados y se consideren de manera correcta.
Dirigir
Los directores deberían dirigir de manera tal que las actividades de Tecnología de la
información sean consistentes con el comportamiento humano identificado.
Se recomienda que los directores dirijan de manera que cualquier persona en cualquier
momento pueda identificar y reportar riesgos, oportunidades, problemas y preocupaciones.
12
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
Estos riesgos se deberían manejar de acuerdo con las políticas y los procedimientos
publicados y escalar hasta las personas correspondientes a cargo de la toma de decisiones.
Monitorear
Los directores deberían monitorear las prácticas laborales con el fin de asegurar que son
consistentes con el uso adecuado de la Tecnología de la información.
13
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500
DOCUMENTO DE REFERENCIA
14