NORMA TÉCNICA NTC-ISO/IEC

COLOMBIANA 38500

2009-12-16

GOBIERNO CORPORATIVO DE LA TECNOLOGÍA

DE LA INFORMACIÓN

E: GOVERNANCE OF INFORMATION TECHNOLOGY

CORRESPONDENCIA: esta norma es una adopción idéntica

(IDT) por traducción, respecto a su
documento de referencia, la norma
ISO/IEC 38500:2008

DESCRIPTORES: tecnología de información; gobierno

de TI - TI; uso eficaz - TI; uso
eficiente - TI.

I.C.S.: 35.080.00

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproducción Editada 2009-12-24

 PRÓLOGO

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

nacional de normalización, según el Decreto 2269 de 1993.

ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.

La representación de todos los sectores involucrados en el proceso de Normalización Técnica

está garantizada por los Comités Técnicos y el período de Consulta Pública, este último
caracterizado por la participación del público en general.

La NTC-ISO/IEC 38500 fue ratificada por el Consejo Directivo de 2009-12-16.

Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.

A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

través de su participación en el Comité Técnico 31 Ingeniería de software y sistemas.

COMERTECSA LTDA. PIRÁMIDE ADMINISTRACIÓN DE

GATTACA S.A. INFORMACIÓN LTDA.
INGERSCHOFT LTDA. QUASAR SOFTWARE LTDA.
KAOME

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

siguientes empresas:

AGENDA DE CONECTIVIDAD COPETRAN LTDA.

ALIANZA SINERTIC CVG EDELCA
AMCE S.A. DAKYA
ASESOFTWARE LTDA. DESARROLLOS TECNOLÓGICOS S.A.
AVANSOFT S.A. DYNAMIC MODULAR SYSTEM DMS
BANCO CAJA SOCIAL BCSC ENTROPÍA LTDA.
BANCO DE BOGOTA ESCOBAR & MARTÍNEZ
BANCO DE LA REPÚBLICA ESCUELA COLOMBIANA DE INGENIERÍA
BFGP DE COLOMBIA S.A. ETB
C & G LTDA. FEDESOFT
CARDIQUE FENALCO - QUINDIO
COLEGIO SALESIANO SAN JUAN BOSCO FIDUCIARIA CORFICOLOMBIANA
COLGRABAR LTDA. FUNDACION SANTA FE
CONEXION SISTEMAS LTDA. FUNDACIÓN UNIVERSITARIA MARÍA
CONSULTAMOS LTDA. CANO
CONSULTORES TECNOLÓGICOS GBITT
ASOCIADOS LTDA. GEOCONSULT
CONTRALORÍA GENERAL DE LA GETRONICS LTDA.
REPÚBLICA GIRO ASOCIADOS LTDA.
GIRO CONSULTING PROMOTORA HOTEL DANN CARLTON
GLOBAL DE PINTURAS S. A. BARRANQUILLA S.A.
GRANCOLOMBIANA DE SEGURIDAD S.A. PSL PRODUCTORA DE SOFTWARE S.A.
GREENSQA S.A. QUBIT INTERNACIONAL
GRUPO CUBO LTDA. REDCAMPO LTDA.
GRUPO SYNERTIC U-MYND LTDA. REDCOM LTDA
HONOR SERVICIOS DE SEGURIDAD LTDA. REGISTRADURIA NACIONAL DEL
IBM DE COLOMBIA S.A. ESTADO CIVIL
ICONO MULTIMEDIA S.A. S&P SOLUTIONS E.U.
INDUSTRIA COLOMBIANA DE SÁENZ AUDITORES CONSULTORES S.A.
ELECTRÓNICOS Y SCRIPTA SOFTWARE LTDA.
ELECTRODOMÉSTICOS S.A. SENA
INDUSTRIA FARMACÉUTICA SERVIMETERS S.A.
SYNTOFARMA S.A. SISTEMAS INTEGRALES DE
INDUSTRIAS ALIADAS S.A. INFORMÁTICA S.A.
INGENIO COLOMBIANO INGCO LTDA. SISTEMAS Y TECNOLOGÍA PARA EL
INGESET TELECOMUNICACIONES SECTOR ODONTOLÓGICO
INNERSOFT LTDA. -ODONTOTECNÍA LTDA.-
INSTITUCION UNIVERSITARIA ANTONIO SITEL
JOSÉ CAMACHO SOFTMANAGEMENT S.A.
INTERGRUPO S.A. SOFTWARE QUALITY ASSURANCE S.A.
INTERTEK S-SQUARE S.A
KEYWORD E-FACTORY LTDA. STRATEGIKA
LABORATORIOS DE SOFTWARE S.A. TECNOVAS INFORMATICS
LATINOAMERICANA DE SOFTWARE S.A. TECNYCA LTDA.
LINALCA S.A. UIS -UNIVERSIDAD INDUSTRIAL DE
M & G SISTEMAS LTDA. SANTANDER
MAREIGUA LTDA. UNISYS DE COLOMBIA S.A.
MEGABANCO UNIVERSIDAD AUTNOMA DE
MINISTERIO DE COMERCIO, INDUSTRIA OCCIDENTE
Y TURISMO UNIVERSIDAD AUTÓNOMA DE
MV-TEL CONSULTORES LTDA. OCCIDENTE
NCR COLOMBIA LTDA. UNIVERSIDAD COOPERATIVA DE
NETWORK COMPUTER SYSTEM E.U. COLOMBIA
NEWSOFT LTDA. UNIVERSIDAD DE CUNDINAMARCA
NEXOS SOFTWARE UNIVERSIDAD DE LOS ANDES
NON PLUS ULTRA S.A. UNIVERSIDAD DEL CAUCA
OPEN SYSTEMS LTDA. UNIVERSIDAD DEL MAGDALENA
PARQUE TECNOLÓGICO DE LA UNIVERSIDAD DEL VALLE
UNIVERSIDAD SAN BUENAVENTURA UNIVERSIDAD DEL VALLE
-PARQUESOFT- UNIVERSIDAD NACIONAL DE COLOMBIA
PARTNERS SYSTEM TECHNOLOGICAL UNIVERSIDAD TECNOLÓGICA DEL
OUTSOURCING CHOCÓ
POWER TEAM LTDA. UNYDOS CONSULTING S.A.
POWER TEAM LTDA. VC@SOFT LTDA.
PREVICAR S.A. VIANET WS PARQUESOFT
PROASISTEMAS LTDA. VIDYCOM LTDA.
PROCÁLCULO PROSIS S.A. WORLDCAD LTDA.
PRODUCTIVIDAD Y COMPETITIVIDAD E.U.

ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.

DIRECCIÓN DE NORMALIZACIÓN
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

CONTENIDO

Página

INTRODUCCIÓN

1. ALCANCE, APLICACIÓN Y OBJETIVOS ...................................................................1

1.1 ALCANCE ....................................................................................................................1

1.2 APLICACIÓN................................................................................................................1

1.3 OBJETIVOS .................................................................................................................2

1.4 BENEFICIOS AL USAR ESTA NORMA......................................................................2

1.5 REFERENCIAS NORMATIVAS ...................................................................................3

1.6 DEFINICIONES ............................................................................................................3

2. MARCO PARA EL BUEN GOBIERNO CORPORATIVO DE LA

TECNOLOGÍA DE LA INFORMACIÓN........................................................................6

2.1 PRINCIPIOS .................................................................................................................6

2.2 MODELO ......................................................................................................................7

3. GUÍA PARA EL GOBIERNO CORPORATIVO DE LA DE LA

TECNOLOGÍA DE LA INFORMACIÓN .......................................................................8

3.1 GENERALIDADES.......................................................................................................8

3.2 PRINCIPIO 1: RESPONSABILIDAD............................................................................9

3.3 PRINCIPIO 2: ESTRATEGIA .....................................................................................10

3.4 PRINCIPIO 3: ADQUISICIÓN ....................................................................................10

3.5 PRINCIPIO 4: DESEMPEÑO .....................................................................................11

3.6 PRINCIPIO 5: CONFORMIDAD .................................................................................12

3.7 PRINCIPIO 6: COMPORTAMIENTO HUMANO ........................................................12

NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

Página

DOCUMENTO DE REFERENCIA..........................................................................................14

Figura 1. Modelo para el Gobierno Corporativo de la TI.....................................................7

NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

INTRODUCCIÓN

El objetivo de esta norma es proporcionar un marco de principios para que los Directores los
utilicen al evaluar, dirigir y monitorear el uso de la tecnología de la información (TI) en sus
organizaciones.

La mayoría de las organizaciones usan la Tecnología de la Información como una herramienta

fundamental del negocio y pocas pueden funcionar de manera eficaz sin ella. La Tecnología de
la Información también es un factor significativo en los futuros planes de negocios de las
organizaciones.

El gasto en Tecnología de la Información puede representar una proporción importante de los

gastos de una organización respecto a sus recursos financieros y humanos. No obstante, el
retorno de esta inversión a menudo no se logra completamente y los efectos adversos en las
organizaciones pueden ser significativos.

Las principales causas de estos resultados negativos son el énfasis en los aspectos técnicos,
financieros y de programación de las actividades de Tecnología de la Información y no el
énfasis en el contexto general del negocio en cuanto al uso de la Tecnología de la Información.

Esta norma brinda un marco para el gobierno eficaz de la Tecnología de la Información con el
fin de ayudar a aquellos en los niveles más altos de las organizaciones a comprender y cumplir
sus obligaciones legales, reglamentarias y éticas con respecto al uso que le dan sus
organizaciones a la Tecnología de la Información. Este marco abarca definiciones, principios y
un modelo.

Esta norma sigue los lineamientos de la definición de Gobierno Corporativo publicada como
Informe del Comité sobre Aspectos Financieros del Gobierno Corporativo (el informe Cadbury)
en 1992. El informe Cadbury también suministró la definición fundamental de Gobierno
Corporativo en los Principios OECD de Gobierno Corporativo de 1999 (revisada en 2004). Se
recomienda a los usuarios de esta norma que se familiaricen con el informe Cadbury y los
Principios OECD de Gobierno Corporativo.

El gobierno es diferente de la gestión y, para evitar confusión, los dos conceptos se definen
claramente en la norma.

Aunque esta norma está dirigida principalmente al organismo de gobierno, que a su vez puede
requerir que la gerencia de la organización emprenda algunas acciones, también permite que,
en algunas organizaciones (por lo general más pequeñas), los miembros del organismo de
gobierno ocupen los roles claves en la gerencia. De esta manera garantiza que la norma sea
aplicable a todas las organizaciones, desde la más pequeña hasta la más grande,
independientemente del propósito, el diseño y la estructura de propiedad.

La norma también está destinada a guiar e informar a aquellos involucrados en el diseño y la

implementación del sistema de gestión sobre políticas, procesos y estructuras que dan soporte
al gobierno.
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA INFORMACIÓN

1. ALCANCE, APLICACIÓN Y OBJETIVOS

1.1 ALCANCE

Esta norma proporciona principios de guía para los directores de las organizaciones
(incluyendo, dueños, miembros de la junta, directores, socios, altos ejecutivos o similares)
sobre el uso eficaz, eficiente y aceptable de la tecnología de la información (TI) en sus
organizaciones.

Esta norma se aplica al gobierno de los procesos de gestión (y las decisiones) relacionados
con los servicios de información y comunicación utilizados por la organización. Estos procesos
podrían ser controlados por los especialistas en TI de la organización, por proveedores
externos del servicio o por unidades de negocios dentro de la organización.

También orienta a quienes asesoran, informan o asisten a los directores. Se incluyen:

- altos directivos;

- miembros de grupos que monitorean los recursos dentro de la organización;

- especialistas externos técnicos o en negocios, tales como legales o contables;

especialistas, asociaciones al detal u organismos profesionales;

- distribuidores de software, hardware, comunicaciones y otros productos de TI;

- proveedores internos y externos de servicios (incluyendo consultores);

- auditores de TI.

1.2 APLICACIÓN

Esta norma se aplica a todas las organizaciones, incluyendo compañías públicas y privadas,
entidades gubernamentales y organizaciones sin ánimo de lucro. También se aplica a
organizaciones de todos los tamaños, desde la más pequeña hasta la más grande,
independientemente de la extensión de su uso de TI.

1 de 14
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

1.3 OBJETIVOS

El propósito de esta norma es fomentar el uso eficaz, eficiente y aceptable de la Tecnología de

la Información en todas las organizaciones a través de las siguientes acciones:

- Asegurar a las partes involucradas (incluyendo consumidores, accionistas y empleados)

que, si se cumple la norma, pueden confiar en el Gobierno Corporativo que tiene la
organización sobre la TI.

- Informar y orientar a los directores sobre el gobierno del uso de la Tecnología de la

Información en sus organizaciones.

- Brindar una base para la evaluación objetiva del Gobierno Corporativo de la Tecnología
de la Información.

1.4 BENEFICIOS AL USAR ESTA NORMA

1.4.1 Generalidades

Esta norma establece los principios para el uso eficaz, eficiente y aceptable de la Tecnología
de la Información. El asegurar que sus organizaciones siguen estos principios facilitará a los
directores equilibrar los riesgos y promover las oportunidades que se originan en el uso de la
Tecnología de la Información.

Esta norma establece un modelo para el gobierno de la Tecnología de la Información. El riesgo

de que los directores no cumplan sus obligaciones se reduce a prestar atención debida al
modelo en la aplicación correcta de los principios.

La norma establece un vocabulario para el gobierno de la Tecnología de la Información.

1.4.2 Conformidad de la organización

El Gobierno Corporativo adecuado de la Tecnología de la Información puede ayudar a los

directores a garantizar la conformidad con las obligaciones (reglamentarias, legislativas, de ley,
contractuales) relacionadas con el uso aceptable de la Tecnología de la Información.

Los sistemas de TI inadecuados pueden exponer a los directores al riesgo de no cumplir con
las leyes. Por ejemplo, en algunas jurisdicciones, los directores pueden tener responsabilidad
personal si un sistema contable inadecuado ocasiona el no pago de los impuestos.

Los procesos que tratan de la TI incorporan riesgos que se deben tratar adecuadamente. Por
ejemplo, los directores podrían ser responsables debido a incumplimientos de:

- normas de seguridad;

- Legislación sobre privacidad;

- legislación sobre correo masivo;

- legislación sobre prácticas comerciales;

- derechos de propiedad intelectual, incluyendo acuerdos sobre licencias de software;

- requisitos de conservación de registros;

2
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

- legislación y reglamentación ambiental;

- legislación sobre salud y seguridad;

- legislación sobre accesibilidad;

- normas sobre responsabilidad social.

Es más probable que los directores que usan las directrices de esta norma cumplan con sus
obligaciones.

1.4.3 Desempeño de la organización

El Gobierno Corporativo adecuado de la Tecnología de la Información ayuda a los directores a

garantizar que el uso de la Tecnología de la Información contribuye de manera positiva al
desempeño de la organización a través de:

- la implementación y operación adecuadas de los activos de la Tecnología de la

Información;

- claridad de la responsabilidad, acciones y decisiones tanto para el uso como la

provisión de la tecnología de la información en el logro de las metas de la organización;

- continuidad y sostenibilidad del negocio;

- alineación de la Tecnología de la Información con las necesidades del negocio;

- asignación eficiente de los recursos;

- innovación en los servicios, los mercados y los negocios;

- buenas prácticas en las relaciones con las partes involucradas;

- reducción en los costos para la organización y

- Comprensión real de los beneficios buscados a partir de cada inversión en Tecnología

de la Información.

1.5 REFERENCIAS NORMATIVAS

Los siguientes documentos se citan en esta norma:

Report of the Committee on the Financial Aspects of Corporate Governance, Sir Adrian
Cadbury, London, 1992 ISBN 0 85258 913 1.

ORCD Principles of Corporate Governance, OECD, 1999 and 2004.

ISO Guide 73 2002, Risk Management. Vocabulary. Guidelines for Use in Standards.

1.6 DEFINICIONES

Para el propósito de esta norma, se aplican las definiciones que se indican a continuación.

3
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

Se espera que una organización adapte la terminología utilizada en esta norma a sus
circunstancias o su estructura.

1.6.1 Aceptable

Cumplimiento de las expectativas de las partes involucradas que se pueden considerar

razonables o meritorias.

1.6.2 Gobierno Corporativo

Sistema mediante el cual se dirigen y controlan las organizaciones. (Adaptado de Cadbury

1992 y OECD 1999).

1.6.3 Gobierno Corporativo de la TI

Sistema mediante el cual se dirige y controla el uso actual y futuro de la Tecnología de la

Información.

El Gobierno Corporativo de la TI implica la evaluación y dirección del uso de dicha tecnología

para dar soporte a la organización y el monitoreo de este uso para alcanzar los planes. Éste
incluye la estrategia y las políticas para utilizar la Tecnología de la Información dentro de una
organización.

1.6.4 Competente

Que tiene la combinación de conocimiento, habilidades formales e informales, capacitación,

experiencia y atributos de comportamiento que se requieren para ejecutar una tarea o una
función.

1.6.5 Director

Miembro del organismo de gobierno más alto de una organización. Se incluyen dueños,
miembros de la junta, socios, ejecutivos de alto nivel o similares y funcionarios autorizados por
la legislación o los reglamentos.

1.6.6 Comportamiento humano

Comprensión de las interacciones entre los humanos y otros elementos de un sistema con la
intención de garantizar el bienestar y el desempeño de los sistemas. El comportamiento
humano incluye la cultura, las necesidades y aspiraciones de las personas como individuos y
como grupos.

NOTA Con respecto a la Tecnología de la Información, existen numerosos grupos o comunidades de seres
humanos, cada una con sus propias necesidades, aspiraciones y comportamientos. Por ejemplo, las personas que
utilizan los sistemas de información pueden exhibir necesidades relacionadas con la accesibilidad y la ergonomía,
así como con la disponibilidad y el desempeño. Las personas cuyas funciones laborales cambian debido al uso de la
Tecnología de la Información pueden tener necesidades relacionadas con la comunicación, la capacitación y el
reaseguramiento. Las personas involucradas en la construcción y operación de las capacidades de la Tecnología de
la Información pueden tener necesidades relacionadas con las condiciones de trabajo y el desarrollo de habilidades.

1.6.7 Tecnología de la información (TI)

Recursos que se requieren para adquirir, procesar, almacenar y divulgar la información. Este
término también incluye "tecnología de la comunicación (TC)" y el término combinado
"tecnología de la información y la comunicación (TIC)".

4
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

1.6.8 Inversión

Asignación de recursos humanos, de capital y otros recursos para lograr los objetivos definidos
y otros beneficios.

1.6.9 Gestión

Sistema de controles y procesos que se requieren para lograr los objetivos estratégicos
establecidos por el organismo de gobierno de una organización. La gestión está sujeta a las
directrices y el monitoreo de la política establecidos a través del Gobierno Corporativo.

1.6.10 Organización

Toda compañía, corporación, organismo del gobierno, organismo sin ánimo de lucro u otro
legalmente constituido incluyendo asociaciones, clubes, sociedades, agencias
gubernamentales, empresas que cotizan en bolsa, compañías privadas y comercializadores
individuales, que tengan sus propias funciones y administración.

1.6.11 Política

Declaraciones claras y medibles de la orientación y comportamiento preferidos para

condicionar las decisiones tomadas dentro de una organización.

1.6.12 Propuesta

Recopilación de beneficios, costos, riesgos, oportunidades y otros factores aplicables a las

decisiones que se van a tomar. Se incluyen los casos de negocio.

1.6.13 Recursos

Personas, procedimientos, software, información, equipo, insumos, infraestructura, capital y

fondos de operación, así como el tiempo.

1.6.14 Riesgo

Combinación de la probabilidad de un evento y su consecuencia (Guía ISO/IEC 73).

NOTA Las consecuencias son impactos en la organización. Pueden ser negativos, como se utiliza comúnmente,
u "oportunidades".

1.6.15 Gestión de riesgos

Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos
(Guía ISO/IEC 73).

1.6.16 Parte involucrada

Todo individuo, grupo u organización que puede afectar, verse afectado o percibirse a sí mismo
como afectado por una decisión o una actividad (adaptado de Guía ISO/IEC 73).

1.6.17 Estrategia

Plan global de desarrollo de una organización que describe el uso eficaz de los recursos que
dan soporte a las actividades futuras de la organización. La estrategia implica el
establecimiento de objetivos y la propuesta de iniciativas para la acción.
5
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

1.6.18 Uso de la Tecnología de la Información

Planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de la Tecnología

de la Información para satisfacer las necesidades del negocio. Se incluyen tanto la demanda
como el suministro de servicios de TI por parte de las unidades internas de negocios, unidades
especialistas en TI o proveedores externos y empresas de servicios públicos (como los que
suministran software).

2. MARCO PARA EL BUEN GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA

INFORMACIÓN

2.1 PRINCIPIOS

Esta sección establece seis principios para el buen Gobierno Corporativo de la Tecnología de
la Información. Los principios se aplican a la mayoría de las organizaciones.

Los principios expresan el comportamiento de preferencia para guiar la toma de decisiones. La

declaración de cada principio se refiere a lo que debería suceder, pero no prescribe cómo,
cuándo o por parte de quién se implementarán los principios - dado que estos aspectos
dependen de la naturaleza de la organización que implementa los principios. Es recomendable
que los directores exijan que se apliquen estos principios.

2.1.1 Principio 1: responsabilidad

Los individuos o grupos dentro de la organización entienden y aceptan sus responsabilidades

con respecto tanto al suministro como a la demanda de Tecnología de la Información. Aquellos
con responsabilidad de las acciones también tienen la autoridad para ejecutar tales acciones.

2.1.2 Principio 2: estrategia

La estrategia de negocios de la organización toma en consideración las capacidades actuales y

futuras de la Tecnología de la Información; los planes estratégicos para la Tecnología de la
Información satisfacen las necesidades actuales y continuas de la estrategia de negocios de la
organización.

2.1.3 Principio 3: adquisición

Las adquisiciones de Tecnología de la Información se hacen por razones válidas, con base en
el análisis adecuado y continuo, con toma de decisiones clara y transparente. Existe el
equilibrio adecuado entre beneficios, oportunidades, costos y riesgos, tanto a corto como a
largo plazo.

2.1.4 Principio 4: desempeño

La Tecnología de la Información es adecuada para brindar soporte a la organización,

suministrando los servicios, los niveles de servicio y la calidad del servicio que se requieren
para satisfacer los requisitos actuales y futuros del negocio.

2.1.5 Principio 5: conformidad

La Tecnología de la Información cumple con todas las leyes y los reglamentos obligatorios. Las
políticas y las prácticas están claramente definidas, implementadas y se hacen cumplir.

6
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

2.1.6 Principio 6: comportamiento humano

Las políticas, prácticas y decisiones con respecto a la Tecnología de la Información

demuestran respeto por el comportamiento humano, incluyendo las necesidades actuales y
evolutivas de todas las "personas en el proceso".

2.2 MODELO

Los directores deberían controlar la Tecnología de la Información a través de tres tareas

principales:

a) Evaluar el uso actual y futuro de la Tecnología de la Información.

b) Dirigir la preparación e implementación de los planes y las políticas para garantizar que
el uso de la TI satisface los objetivos del negocio.

c) Monitorear la conformidad con las políticas y el desempeño frente a los planes.

La Figura 1 muestra el modelo de gobierno de la Tecnología de la Información del ciclo

evaluar-dirigir-monitorear. El texto que sigue a la Figura 1 explica los elementos y las relaciones
descritas.

Presiones sobre Gobierno Necesidades

el negocio corporativo del negocio
TIC

Evaluar

Dirigir Monitorear
Propuestas

del desempeño
Planes y

Conformidad
políticas

Procesos del negocio

Proyectos TIC Operaciones TIC

Figura 1. Modelo para el Gobierno Corporativo de la TI

Evaluar

Los directores deberían examinar y juzgar el uso corriente y futuro de la Tecnología de la

Información, incluyendo estrategias, propuestas y acuerdos de suministro (sean internos,
externos, o ambos).

Al evaluar el uso de la Tecnología de la Información, es recomendable que los directores

consideren las presiones externas o internas que actúan sobre el negocio como el cambio
tecnológico, las tendencias sociales y económicas y las influencias políticas.

7
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

Se recomienda a los directores realizar evaluación continua, a medida que cambian las
presiones.

Los directores también deberían considerar las necesidades tanto actuales como futuras del
negocio - los objetivos organizacionales actuales y futuros que deben lograr, tales como el
mantenimiento de la ventaja competitiva, así como los objetivos específicos de las estrategias y
las propuestas que ellos están evaluando.

Dirigir

Los directores deberían asignar a los responsables de los planes y las políticas, así como y de
la preparación directa y la implementación de tales planes y políticas. Es recomendable que los
planes establezcan la dirección para las inversiones en los proyectos y operaciones de
Tecnología de la Información. Las políticas deberían establecer una buena conducta en la
utilización de la Tecnología de la Información.

También conviene que los directores aseguren que la transición de los proyectos al estado
operativo se planifica y gestiona adecuadamente, tomando en consideración los impactos en el
negocio y las prácticas operativas, así como también los sistemas y la infraestructura de TI ya
existentes.

Los directores deberían fomentar una cultura de buen gobierno de la Tecnología de la

Información en su organización, exigiendo a la gerencia suministrar información oportuna para
cumplir con la dirección y con los seis principios del buen gobierno.

Si es necesario, los directores deberían orientar la presentación de propuestas para aprobación

con el fin de tratar las necesidades identificadas.

Monitorear

Es recomendable que los directores monitoreen, a través de sistemas de medición adecuados,

el desempeño de la Tecnología de la Información. Deberían asegurarse ellos mismos de que el
desempeño está acorde con los planes, en particular con respecto a los objetivos del negocio.

Los directores también deberían asegurarse de que la Tecnología de la Información cumple

con las obligaciones externas (reglamentarias, legislativas, de ley, contractuales) y las prácticas
laborales internas.

NOTA La responsabilidad de los aspectos específicos de la Tecnología de la Información se puede delegar a los
directores dentro de la organización. Sin embargo, la responsabilidad sobre las acciones y decisiones de la
utilización eficaz, eficiente y aceptable así como de la entrega de la Tecnología de la Información por parte de una
organización permanece en los directores y no se puede delegar.

3. GUÍA PARA EL GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA

INFORMACIÓN

3.1 GENERALIDADES

Las siguientes secciones suministran una guía para los principios generales del buen gobierno
de la Tecnología de la Información y prácticas que se requieren para implementar los
principios.

Las prácticas que se describen no son exhaustivas, sino que brindan un punto de partida para
la discusión de las responsabilidades de los directores en el gobierno de la Tecnología de la
8
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

información. Es decir, las prácticas descritas son una guía sugerida para el gobierno de la
Tecnología de la información.

Es responsabilidad de cada organización, individualmente, identificar las acciones específicas

que se requieren para implementar los principios, dando consideración debida a la naturaleza
de la organización y analizando adecuadamente los riesgos y las oportunidades en el uso de la
Tecnología de la información.

Como base para ilustración, las prácticas descritas se aplican a la mayoría de organizaciones
(grandes o pequeñas), la mayoría de las veces. Cualquier variación se debería considerar muy
bien.

3.2 PRINCIPIO 1: RESPONSABILIDAD

Evaluar

Los directores deberían evaluar las opciones para la asignación de responsabilidades con
relación al uso actual y futuro de la Tecnología de la información de la organización. Al evaluar
las opciones, se recomienda que los directores busquen asegurar el uso y la entrega eficaces,
eficientes y aceptables de la Tecnología de la información como soporte para los objetivos
actuales y futuros del negocio.

Los directores deberían evaluar la competencia de aquellos a quienes se les asigna la

responsabilidad de tomar decisiones con respecto a la Tecnología de la información. En
general, estas personas deberían ser gerentes del negocio que también sean responsables de
los objetivos del negocio de la organización y del desempeño, ayudados por especialistas en TI
que entiendan los valores y los procesos del negocio.

Dirigir

Los directores deberían dirigir los planes para que se realicen de acuerdo con las
responsabilidades de Tecnología de la información asignadas.

También deberían exigir que se les entregue la información que necesitan para cumplir sus
responsabilidades, incluidas las relativas a acciones y toma de decisiones.

Monitorear

Los directores deberían monitorear que se hayan establecido los mecanismos adecuados para
el gobierno de la Tecnología de la información.

También deberían monitorear que aquellos a quienes se ha asignado responsabilidad

reconozcan y entiendan sus responsabilidades.

Los directores deberían monitorear el desempeño de aquellos a quienes se ha asignado

responsabilidad en el gobierno de la TI (por ejemplo, aquellas personas miembros de los
comités directivos o que presentan propuestas a los directores).

9
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

3.3 PRINCIPIO 2: ESTRATEGIA

Evaluar

Los directores deberían evaluar los desarrollos de Tecnología de la información y los procesos
del negocio con el fin de asegurarse de que la Tecnología de la información brindará soporte a
las necesidades futuras del negocio.

Al considerar los planes y las políticas, los directores deberían evaluar las actividades de
Tecnología de la información para asegurar que están alineadas con los objetivos de la
organización para las circunstancias cambiantes, que toman en consideración las mejores
prácticas y satisfacen los requisitos de otras partes involucradas clave.

Es recomendable que los directores aseguren que el uso de la Tecnología de la información

está sujeto a la valoración y evaluación adecuada del riesgo, tal como se describe en normas
nacionales e internacionales pertinentes.

Dirigir

Los directores deberían dirigir la preparación y la utilización de los planes y las políticas que
aseguren que la organización sí se beneficia de los desarrollos de la Tecnología de la
información.

Los directores también deberían fomentar la presentación de propuestas para usos

innovadores de la Tecnología de la información que le permitan a la organización responder a
oportunidades o nuevos retos, emprender nuevos negocios o mejorar los procesos.

Monitorear

Los directores deberían monitorear el progreso de las propuestas de Tecnología de la

información aprobadas para asegurar que se están cumpliendo los objetivos en los marcos
temporales exigidos, utilizando los recursos asignados.

Se recomienda que los directores monitoreen el uso de la Tecnología de la información para

asegurar que ésta obtiene los beneficios previstos.

3.4 PRINCIPIO 3: ADQUISICIÓN

Evaluar

Los directores deberían evaluar las opciones para el suministro de la Tecnología de la

información con el fin de realizar las propuestas aprobadas, equilibrando los riesgos y el valor
del dinero de las inversiones propuestas.

Dirigir

Los directores deberían gestionar que los activos de Tecnología de la información (sistemas e
infraestructura) se adquieran de la manera correcta, incluida la preparación de la
documentación adecuada, a la vez que se asegura el suministro de las capacidades
requeridas.

Los directores deberían gestionar que los acuerdos de suministro (tanto interno como externo)
den soporte a las necesidades del negocio de la organización.

10
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

Monitorear

Los directores deberían monitorear las inversiones en Tecnología de la información para

asegurar que éstas proporcionan las capacidades requeridas.

Se recomienda que los directores monitoreen el grado en el que su organización y sus

proveedores mantienen el entendimiento compartido de la intención de la organización al hacer
cualquier adquisición de Tecnología de la información.

3.5 PRINCIPIO 4: DESEMPEÑO

Evaluar

Los directores deberían evaluar los medios propuestos por los gerentes para asegurar que la
Tecnología de la información apoye los procesos de negocio con la habilidad y capacidad
requeridas. Estas propuestas deberían dirigirse hacia la continuidad de la operación normal del
negocio y del tratamiento de los riesgos asociados con el uso de Tecnología de la información.

Se recomienda que los directores evalúen los riesgos que se originan en las actividades de la
Tecnología de la información, para la continuidad de la operación de los negocios.

Los directores deberían evaluar los riesgos para la integridad de la información y la protección
de los activos de Tecnología de la información, incluyendo la propiedad intelectual y la memoria
organizacional asociadas.

También deberían evaluar las opciones para garantizar decisiones eficaces y oportunas acerca
del uso de la Tecnología de la información en soporte de las metas del negocio.

Los directores deberían evaluar con regularidad la eficacia y el desempeño del sistema de la
organización para el gobierno de la Tecnología de la información.

Dirigir

Los directores deberían asegurar la asignación de recursos suficientes de manera tal que la
Tecnología de la información satisfaga las necesidades de la organización, de acuerdo con las
prioridades acordadas y las restricciones del presupuesto.

Los directores deberían dirigir a aquellos responsables de asegurar que la Tecnología de la

información de soporte al negocio, cuando se requiera por razones del negocio, con datos
correctos y actualizados que estén protegidos contra pérdida o mal uso.

Monitorear

Es recomendable que los directores monitoreen la extensión hasta la cual la Tecnología de la

información da soporte al negocio.

También deberían monitorear la extensión hasta la cual se da prioridad a los recursos y los
presupuestos asignados de acuerdo con los objetivos del negocio.

De igual modo los directores deberían monitorear la extensión hasta la cual se cumplen
adecuadamente las políticas, como aquellas para la precisión de los datos y el uso eficiente de
la Tecnología de la información.

11
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

3.6 PRINCIPIO 5: CONFORMIDAD

Evaluar

Es recomendable que los directores evalúen con regularidad la extensión hasta la cual la
Tecnología de la información satisface las obligaciones (reglamentarias, legislativas, de ley,
contractuales), las políticas internas, las normas y las directrices profesionales.

Los directores deberían también evaluar a intervalos regulares la conformidad interna de la

organización con su sistema para el gobierno de la Tecnología de la información.

Dirigir

Los directores deberían dirigir a aquellos responsables de establecer mecanismos regulares y

rutinarios para garantizar que el uso de la Tecnología de la información cumple con las
obligaciones pertinentes (reglamentarias, legislativas, de ley, contractuales), las normas y las
directrices.

Los directores deberían dirigir de modo que se establezcan y hagan cumplir las políticas que
permiten a la organización cumplir sus obligaciones internas en el uso de la Tecnología de la
información.

Los directores deberían dirigir de forma tal que el personal de Tecnología de la información
cumpla las directrices pertinentes para el comportamiento y el desarrollo profesional.

Conviene que los directores dirijan de tal forma que todas las acciones relacionadas con la
Tecnología de la información sean éticas.

Monitorear

Es recomendable que los directores monitoreen la conformidad y el cumplimiento de la

Tecnología de la información a través de prácticas adecuadas de auditoria y presentación de
informes, asegurando que las revisiones sean oportunas, exhaustivas y adecuadas para la
evaluación del grado de satisfacción del negocio.

También deberían monitorear las actividades de Tecnología de la información, incluyendo la

disposición final de los activos y los datos, para asegurar el cumplimiento de obligaciones
ambientales, de privacidad, de gestión del conocimiento estratégico, de preservación de la
memoria organizacional y otras obligaciones pertinentes.

3.7 PRINCIPIO 6: COMPORTAMIENTO HUMANO

Evaluar

Los directores deberían evaluar las actividades de Tecnología de la información para asegurar
que los comportamientos humanos estén identificados y se consideren de manera correcta.

Dirigir

Los directores deberían dirigir de manera tal que las actividades de Tecnología de la
información sean consistentes con el comportamiento humano identificado.

Se recomienda que los directores dirijan de manera que cualquier persona en cualquier
momento pueda identificar y reportar riesgos, oportunidades, problemas y preocupaciones.

12
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

Estos riesgos se deberían manejar de acuerdo con las políticas y los procedimientos
publicados y escalar hasta las personas correspondientes a cargo de la toma de decisiones.

Monitorear

Se recomienda que los directores monitoreen las actividades de Tecnología de la información

para asegurar que los comportamientos humanos identificados siguen siendo pertinentes y que
se les brinda la atención adecuada.

Los directores deberían monitorear las prácticas laborales con el fin de asegurar que son
consistentes con el uso adecuado de la Tecnología de la información.

13
NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500

DOCUMENTO DE REFERENCIA

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Corporate Governance of

Information Technology. Geneva: ISO, 2008, 22p (ISO/IEC 38500:2008 (E)).

14