Quito – Ecuador

NORMA NTE INEN-ISO/IEC 38500

TÉCNICA Primera edición
2014-06
ECUATORIANA

GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA

INFORMACIÓN. (ISO/IEC 38500:2008, IDT)

CORPORATE GOVERNANCE OF INFORMATION TECHNOLOGY (ISO/IEC 38500:2008,

IDT)

_________________________________________

Correspondencia:

Esta Norma Técnica Ecuatoriana es idéntica a la Norma Internacional ISO/IEC 38500: 2008

DESCRIPTORES: Ingeniería del Software, gobierno corporativo, tecnología, información. 21

ICS: 35.080 Páginas

© ISO 2008 - Todos los derechos reservados

© INEN 2014
NTE INEN ISO/IEC 38500 2014-06

Prólogo nacional
Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 38500, es una traducción idéntica a la Norma
Internacional ISO/IEC 38500:2008 Corporate governance of information technology. El comité
responsable de esta Norma Técnica Ecuatoriana y de su traducción es el Comité Interno del INEN.

Para el propósito de esta Norma Técnica Ecuatoriana se enlistan los documentos normativos
internacionales que se referencian en la Norma Internacional ISO/IEC 38500:2008, para los cuales no
existen documentos normativos nacionales correspondientes.

Documento Normativo Internacional

Sir Adrian Cardbury: 1992 Informe de la Comisión sobre los aspectos financieros de la empresa de
Gobierno

OECD:1999 y 2004 Principios de la OCDE para el Gobierno Corporativo.

ISO Guia 73: 2002 Gestión de riesgos. Vocabulario. Directrices para el uso en las normas

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-2818 i
NTE INEN ISO/IEC 38500 2014-06

Índice
Página

Prólogo ………………………………………………………………………………………………………iii

Introducción………………………………………………………………………………………………..iv

1. ALCANCE, APLICACIÓN Y OBJETIVOS .........................................................................................1

1.1 Alcance .......................................................................................................................................1

1.2 Aplicación ..................................................................................................................................1

1.3 Objetivos ....................................................................................................................................1

1.4 Beneficios al usar esta norma .................................................................................................2

1.5 Referencias normativas ............................................................................................................3

1.6 Definiciones ...............................................................................................................................3

2. MARCO PARA EL BUEN GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA

INFORMACIÓN ...................................................................................................................................5

2.1 Principios ...................................................................................................................................5

2.2 Modelo ........................................................................................................................................6

3. GUÍA PARA EL GOBIERNO CORPORATIVO DE LA DE LA TECNOLOGÍA DE LA

INFORMACIÓN ...................................................................................................................................8

3.1 Generalidades ............................................................................................................................8

3.2 Principio 1: Responsabilidad ...................................................................................................9

3.3 Principio 2: EstrategIa.............................................................................................................10

3.4 Principio 3: Adquisición .........................................................................................................11

3.5 Principio 4: Desempeño..........................................................................................................12

3.6 Principio 5: Conformidad........................................................................................................13

3.7 Principio 6: Comportamiento humano ..................................................................................14

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-2818 ii
NTE INEN ISO/IEC 38500 2014-06

Prólogo
ISO (la Organización Internacional de Normalización) y la IEC (la Comisión Electrotécnica
Internacional) conforman el sistema especializado para la normalización en el mundo. Los
organismos nacionales que son miembros de la ISO o la IEC participan en el desarrollo de normas
internacionales a través de los comités técnicos establecidos por la organización correspondiente
para tratar los campos particulares de la actividad técnica. Los comités técnicos de la ISO y la IEC
colaboran en áreas de interés mutuo. Otras organizaciones internacionales, gubernamentales y no
gubernamentales, en unión con ISO e IEC también toman parte en esta labor. En el campo de la
tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el comité
ISO/IEC JTC 1.

Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 del
documento ISO/IEC Directives. La principal labor del comité técnico es preparar normas
internacionales. Las versiones preliminares de las normas internacionales adoptadas por el comité
técnico conjunto se dan a conocer a todos los organismos nacionales para la votación. La publicación
como una Norma Internacional requiere la aprobación de 75% mínimo de los organismos nacionales
que votan.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. Ni la ISO ni la IEC asumen responsabilidad por la identificación
de cualquiera o todos los derechos de patente.

La norma ISO/IEC 38500 fue preparada por Standards Australia (como AS8015:2005) y fue
adoptada, bajo un “procedimiento rápido” por el comité técnico ISO/IEC JTC 1. Tecnología de la
información, en paralelo con su aprobación por parte de los organismos nacionales de ISO e IEC.

La norma ISO/IEC 38500 es una norma de consulta de alto nivel basada en principios. Además de
proporcionar una amplia guía sobre la función de un organismo de gobierno, motiva a las
organizaciones a usar las normas correctas para sustentar su gobierno de la tecnología de la
información (TI).

En el momento de publicación de esta norma, el comité JTC1 continúa sus esfuerzos para desarrollar
documentos adicionales relacionados con el gobierno de la tecnología de la información. Se espera
que estos documentos, que probablemente se publiquen en el futuro como Informes Técnicos de
ISO/IEC y, posiblemente, como normas, comprendan un rango de temas que incluya:

- Control de proyectos que involucran inversión en TI.

- Control de la TI usada operaciones continuas del negocio.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-2818 iii
NTE INEN ISO/IEC 38500 2014-06

Introducción
El objetivo de esta norma es proporcionar un marco de principios para que los Directores los utilicen
al evaluar, dirigir y monitorear el uso de la tecnología de la información (TI) en sus organizaciones.

La mayoría de las organizaciones usan la Tecnología de la Información como una herramienta

fundamental del negocio y pocas pueden funcionar de manera eficaz sin ella. La Tecnología de la
Información también es un factor significativo en los futuros planes de negocios de las
organizaciones.

El gasto en Tecnología de la Información puede representar una proporción importante de los gastos
de una organización respecto a sus recursos financieros y humanos. No obstante, el retorno de esta
inversión a menudo no se logra completamente y los efectos adversos en las organizaciones pueden
ser significativos.

Las principales causas de estos resultados negativos son el énfasis en los aspectos técnicos,
financieros y de programación de las actividades de Tecnología de la Información y no el énfasis en el
contexto general del negocio en cuanto al uso de la Tecnología de la Información.

Esta norma brinda un marco para el gobierno eficaz de la Tecnología de la Información con el fin de
ayudar a aquellos en los niveles más altos de las organizaciones a comprender y cumplir sus
obligaciones legales, reglamentarias y éticas con respecto al uso que le dan sus organizaciones a la
Tecnología de la Información. Este marco abarca definiciones, principios y un modelo.

Esta norma sigue los lineamientos de la definición de Gobierno Corporativo publicada como Informe
del Comité sobre Aspectos Financieros del Gobierno Corporativo (el informe Cadbury) en 1992. El
informe Cadbury también suministró la definición fundamental de Gobierno Corporativo en los
Principios OECD de Gobierno Corporativo de 1999 (revisada en 2004). Se recomienda a los usuarios
de esta norma que se familiaricen con el informe Cadbury y los Principios OECD de Gobierno
Corporativo.

El gobierno es diferente de la gestión y, para evitar confusión, los dos conceptos se definen
claramente en la norma.

Aunque esta norma está dirigida principalmente al organismo de gobierno, que a su vez puede
requerir que la gerencia de la organización emprenda algunas acciones, también permite que, en
algunas organizaciones (por lo general más pequeñas), los miembros del organismo de gobierno
ocupen los roles claves en la gerencia. De esta manera garantiza que la norma sea aplicable a todas
las organizaciones, desde la más pequeña hasta la más grande, independientemente del propósito, el
diseño y la estructura de propiedad.

La norma también está destinada a guiar e informar a aquellos involucrados en el diseño y la

implementación del sistema de gestión sobre políticas, procesos y estructuras que dan soporte al
gobierno.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-2818 iv
NTE INEN ISO/IEC 38500 2014-06

Gobierno corporativo de la tecnología de la información

1 ALCANCE, APLICACIÓN Y OBJETIVOS

1.1 Alcance

Esta norma proporciona principios de guía para los directores de las organizaciones (incluyendo,
dueños, miembros de la junta, directores, socios, altos ejecutivos o similares) sobre el uso eficaz,
eficiente y aceptable de la tecnología de la información (TI) en sus organizaciones.

Esta norma se aplica al gobierno de los procesos de gestión (y las decisiones) relacionados con los
servicios de información y comunicación utilizados por la organización. Estos procesos podrían ser
controlados por los especialistas en TI de la organización, por proveedores externos del servicio o por
unidades de negocios dentro de la organización.

También orienta a quienes asesoran, informan o asisten a los directores. Se incluyen:

· altos directivos;

· miembros de grupos que monitorean los recursos dentro de la organización;

· especialistas externos técnicos o en negocios, tales como legales o contables; especialistas,

asociaciones al detal u organismos profesionales;

· distribuidores de software, hardware, comunicaciones y otros productos de TI;

· proveedores internos y externos de servicios (incluyendo consultores);

· auditores de TI.

1.2 Aplicación

Esta norma se aplica a todas las organizaciones, incluyendo compañías públicas y privadas,
entidades gubernamentales y organizaciones sin ánimo de lucro. También se aplica a organizaciones
de todos los tamaños, desde la más pequeña hasta la más grande, independientemente de la
extensión de su uso de TI.

1.3 Objetivos

El propósito de esta norma es fomentar el uso eficaz, eficiente y aceptable de la Tecnología de la

Información en todas las organizaciones a través de las siguientes acciones:

· Asegurar a las partes involucradas (incluyendo consumidores, accionistas y empleados) que,

si se cumple la norma, pueden confiar en el Gobierno Corporativo que tiene la organización
sobre la TI.

· Informar y orientar a los directores sobre el gobierno del uso de la Tecnología de la

Información en sus organizaciones.

· Brindar una base para la evaluación objetiva del Gobierno Corporativo de la Tecnología de la
Información.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 1 de 21
NTE INEN ISO/IEC 38500 2014-06

1.4 Beneficios al usar esta norma

1.4.1 Generalidades

Esta norma establece los principios para el uso eficaz, eficiente y aceptable de la Tecnología de la
Información. El asegurar que sus organizaciones siguen estos principios facilitará a los directores
equilibrar los riesgos y promover las oportunidades que se originan en el uso de la Tecnología de la
Información.

Esta norma establece un modelo para el gobierno de la Tecnología de la Información. El riesgo de

que los directores no cumplan sus obligaciones se reduce a prestar atención debida al modelo en la
aplicación correcta de los principios.

La norma establece un vocabulario para el gobierno de la Tecnología de la Información.

1.4.2 Conformidad de la organización

El Gobierno Corporativo adecuado de la Tecnología de la Información puede ayudar a los directores a

garantizar la conformidad con las obligaciones (reglamentarias, legislativas, de ley, contractuales)
relacionadas con el uso aceptable de la Tecnología de la Información.

Los sistemas de TI inadecuados pueden exponer a los directores al riesgo de no cumplir con las
leyes. Por ejemplo, en algunas jurisdicciones, los directores pueden tener responsabilidad personal si
un sistema contable inadecuado ocasiona el no pago de los impuestos.

Los procesos que tratan de la TI incorporan riesgos que se deben tratar adecuadamente. Por
ejemplo, los directores podrían ser responsables debido a incumplimientos de:

· normas de seguridad;

· Legislación sobre privacidad;

· legislación sobre correo masivo;

· legislación sobre prácticas comerciales;

· derechos de propiedad intelectual, incluyendo acuerdos sobre licencias de software;

· requisitos de conservación de registros;

· legislación y reglamentación ambiental;

· legislación sobre salud y seguridad;

· legislación sobre accesibilidad;

· normas sobre responsabilidad social.

Es más probable que los directores que usan las directrices de esta norma cumplan con sus
obligaciones.

1.4.3 Desempeño de la organización

El Gobierno Corporativo adecuado de la Tecnología de la Información ayuda a los directores a

garantizar que el uso de la Tecnología de la Información contribuye de manera positiva al desempeño
de la organización a través de:

· la implementación y operación adecuadas de los activos de la Tecnología de la Información;

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 2 de 21
NTE INEN ISO/IEC 38500 2014-06

· claridad de la responsabilidad, acciones y decisiones tanto para el uso como la provisión de la

tecnología de la información en el logro de las metas de la organización;

· continuidad y sostenibilidad del negocio;

· alineación de la Tecnología de la Información con las necesidades del negocio;

· asignación eficiente de los recursos;

· innovación en los servicios, los mercados y los negocios;

· buenas prácticas en las relaciones con las partes involucradas;

· reducción en los costos para la organización y

· Comprensión real de los beneficios buscados a partir de cada inversión en Tecnología de la

Información.

1.5 Referencias normativas

Los siguientes documentos se citan en esta norma:

Report of the Committee on the Financial Aspects of Corporate Governance, Sir Adrian Cadbury,
London, 1992 ISBN 0 85258 913 1.
ORCD Principles of Corporate Governance, OECD, 1999 and 2004.
ISO Guide 73 2002, Risk Management. Vocabulary. Guidelines for Use in Standards.

1.6 Definiciones

Para el propósito de esta norma, se aplican las definiciones que se indican a continuación.

Se espera que una organización adapte la terminología utilizada en esta norma a sus circunstancias o
su estructura.

1.6.1 Aceptable

Cumplimiento de las expectativas de las partes involucradas que se pueden considerar razonables o
meritorias.

1.6.2 Gobierno Corporativo

Sistema mediante el cual se dirigen y controlan las organizaciones. (Adaptado de Cadbury 1992 y
OECD 1999).

1.6.3 Gobierno Corporativo de la TI

Sistema mediante el cual se dirige y controla el uso actual y futuro de la Tecnología de la Información.

El Gobierno Corporativo de la TI implica la evaluación y dirección del uso de dicha tecnología para
dar soporte a la organización y el monitoreo de este uso para alcanzar los planes. Éste incluye la
estrategia y las políticas para utilizar la Tecnología de la Información dentro de una organización.

1.6.4 Competente

Que tiene la combinación de conocimiento, habilidades formales e informales, capacitación,

experiencia y atributos de comportamiento que se requieren para ejecutar una tarea o una función.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 3 de 21
NTE INEN ISO/IEC 38500 2014-06

1.6.5 Director

Miembro del organismo de gobierno más alto de una organización. Se incluyen dueños, miembros de
la junta, socios, ejecutivos de alto nivel o similares y funcionarios autorizados por la legislación o los
reglamentos.

1.6.6 Comportamiento humano

Comprensión de las interacciones entre los humanos y otros elementos de un sistema con la
intención de garantizar el bienestar y el desempeño de los sistemas. El comportamiento humano
incluye la cultura, las necesidades y aspiraciones de las personas como individuos y como grupos.

Nota: Con respecto a la Tecnología de la Información, existen numerosos grupos o comunidades de seres humanos, cada
una con sus propias necesidades, aspiraciones y comportamientos. Por ejemplo, las personas que utilizan los sistemas de
información pueden exhibir necesidades relacionadas con la accesibilidad y la ergonomía, así como con la disponibilidad y el
desempeño. Las personas cuyas funciones laborales cambian debido al uso de la Tecnología de la Información pueden tener
necesidades relacionadas con la comunicación, la capacitación y el reaseguramiento. Las personas involucradas en la
construcción y operación de las capacidades de la Tecnología de la Información pueden tener necesidades relacionadas con
las condiciones de trabajo y el desarrollo de habilidades.

1.6.7 Tecnología de la información (TI)

Recursos que se requieren para adquirir, procesar, almacenar y divulgar la información. Este término
también incluye "tecnología de la comunicación (TC)" y el término combinado "tecnología de la
información y la comunicación (TIC)".

1.6.8 Inversión

Asignación de recursos humanos, de capital y otros recursos para lograr los objetivos definidos y
otros beneficios.

1.6.9 Gestión

Sistema de controles y procesos que se requieren para lograr los objetivos estratégicos establecidos
por el organismo de gobierno de una organización. La gestión está sujeta a las directrices y el
monitoreo de la política establecidos a través del Gobierno Corporativo.

1.6.10 Organización

Toda compañía, corporación, organismo del gobierno, organismo sin ánimo de lucro u otro
legalmente constituido incluyendo asociaciones, clubes, sociedades, agencias gubernamentales,
empresas que cotizan en bolsa, compañías privadas y comercializadores individuales, que tengan
sus propias funciones y administración.

1.6.11 Política

Declaraciones claras y medibles de la orientación y comportamiento preferidos para condicionar las

decisiones tomadas dentro de una organización.

1.6.12 Propuesta

Recopilación de beneficios, costos, riesgos, oportunidades y otros factores aplicables a las decisiones
que se van a tomar. Se incluyen los casos de negocio.

1.6.13 Recursos

Personas, procedimientos, software, información, equipo, insumos, infraestructura, capital y fondos de

operación, así como el tiempo.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 4 de 21
NTE INEN ISO/IEC 38500 2014-06

1.6.14 Riesgo

Combinación de la probabilidad de un evento y su consecuencia (Guía ISO/IEC 73).

Nota: Las consecuencias son impactos en la organización. Pueden ser negativos, como se utiliza comúnmente, u
"oportunidades".

1.6.15 Gestión de riesgos

Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos (Guía
ISO/IEC 73).

1.6.16 Parte involucrada

Todo individuo, grupo u organización que puede afectar, verse afectado o percibirse a sí mismo como
afectado por una decisión o una actividad (adaptado de Guía ISO/IEC 73).

1.6.17 Estrategia

Plan global de desarrollo de una organización que describe el uso eficaz de los recursos que dan
soporte a las actividades futuras de la organización. La estrategia implica el establecimiento de
objetivos y la propuesta de iniciativas para la acción.

1.6.18 Uso de la Tecnología de la Información

Planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de la Tecnología de la

Información para satisfacer las necesidades del negocio. Se incluyen tanto la demanda como el
suministro de servicios de TI por parte de las unidades internas de negocios, unidades especialistas
en TI o proveedores externos y empresas de servicios públicos (como los que suministran software).

2. MARCO PARA EL BUEN GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA

INFORMACIÓN

2.1 Principios

Esta sección establece seis principios para el buen Gobierno Corporativo de la Tecnología de la
Información. Los principios se aplican a la mayoría de las organizaciones.

Los principios expresan el comportamiento de preferencia para guiar la toma de decisiones. La

declaración de cada principio se refiere a lo que debería suceder, pero no prescribe cómo, cuándo o
por parte de quién se implementarán los principios - dado que estos aspectos dependen de la
naturaleza de la organización que implementa los principios. Es recomendable que los directores
exijan que se apliquen estos principios.

2.1.1 Principio 1: Responsabilidad

Los individuos o grupos dentro de la organización entienden y aceptan sus responsabilidades con
respecto tanto al suministro como a la demanda de Tecnología de la Información. Aquellos con
responsabilidad de las acciones también tienen la autoridad para ejecutar tales acciones.

2.1.2 Principio 2: Estrategia

La estrategia de negocios de la organización toma en consideración las capacidades actuales y

futuras de la Tecnología de la Información; los planes estratégicos para la Tecnología de la
Información satisfacen las necesidades actuales y continuas de la estrategia de negocios de la
organización.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 5 de 21
NTE INEN ISO/IEC 38500 2014-06

2.1.3 Principio 3: Adquisición

Las adquisiciones de Tecnología de la Información se hacen por razones válidas, con base en el
análisis adecuado y continuo, con toma de decisiones clara y transparente. Existe el equilibrio
adecuado entre beneficios, oportunidades, costos y riesgos, tanto a corto como a largo plazo.

2.1.4 Principio 4: Desempeño

La Tecnología de la Información es adecuada para brindar soporte a la organización, suministrando

los servicios, los niveles de servicio y la calidad del servicio que se requieren para satisfacer los
requisitos actuales y futuros del negocio.

2.1.5 Principio 5: Conformidad

La Tecnología de la Información cumple con todas las leyes y los reglamentos obligatorios. Las
políticas y las prácticas están claramente definidas, implementadas y se hacen cumplir.

2.1.6 Principio 6: Comportamiento humano

Las políticas, prácticas y decisiones con respecto a la Tecnología de la Información demuestran

respeto por el comportamiento humano, incluyendo las necesidades actuales y evolutivas de todas
las "personas en el proceso".

2.2 Modelo

Los directores deberían controlar la Tecnología de la Información a través de tres tareas principales:

a) Evaluar el uso actual y futuro de la Tecnología de la Información.

b) Dirigir la preparación e implementación de los planes y las políticas para garantizar que el uso
de la TI satisface los objetivos del negocio.

c) Monitorear la conformidad con las políticas y el desempeño frente a los planes.

La Figura 1 muestra el modelo de gobierno de la Tecnología de la Información del ciclo evaluar-dirigir-

monitorear. El texto que sigue a la Figura 1 explica los elementos y las relaciones descritas.

P r e s io n e s s o b r e G o b ie r n o N e c e s id a d e s
e l n e g o c io c o r p o r a tiv o d e l n e g o c io

T IC

E v a lu a r

D ir ig ir M o n ito r e a r
P r o p u e s ta s

del desem peño

P la n e s y

C o n fo r m id a d
p o lític a s

P r o c e s o s d e l n e g o c io

P r o y e c to s T IC O p e r a c io n e s T IC

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 6 de 21
NTE INEN ISO/IEC 38500 2014-06

Figura 1. Modelo para el Gobierno Corporativo de la TI

Evaluar

Los directores deberían examinar y juzgar el uso corriente y futuro de la Tecnología de la Información,
incluyendo estrategias, propuestas y acuerdos de suministro (sean internos, externos, o ambos).

Al evaluar el uso de la Tecnología de la Información, es recomendable que los directores consideren

las presiones externas o internas que actúan sobre el negocio como el cambio tecnológico, las
tendencias sociales y económicas y las influencias políticas.

Se recomienda a los directores realizar evaluación continua, a medida que cambian las presiones.

Los directores también deberían considerar las necesidades tanto actuales como futuras del negocio -
los objetivos organizacionales actuales y futuros que deben lograr, tales como el mantenimiento de la
ventaja competitiva, así como los objetivos específicos de las estrategias y las propuestas que ellos
están evaluando.

Dirigir

Los directores deberían asignar a los responsables de los planes y las políticas, así como y de la
preparación directa y la implementación de tales planes y políticas. Es recomendable que los planes
establezcan la dirección para las inversiones en los proyectos y operaciones de Tecnología de la
Información. Las políticas deberían establecer una buena conducta en la utilización de la Tecnología
de la Información.

También conviene que los directores aseguren que la transición de los proyectos al estado operativo
se planifica y gestiona adecuadamente, tomando en consideración los impactos en el negocio y las
prácticas operativas, así como también los sistemas y la infraestructura de TI ya existentes.

Los directores deberían fomentar una cultura de buen gobierno de la Tecnología de la Información en
su organización, exigiendo a la gerencia suministrar información oportuna para cumplir con la
dirección y con los seis principios del buen gobierno.

Si es necesario, los directores deberían orientar la presentación de propuestas para aprobación con
el fin de tratar las necesidades identificadas.

Monitorear

Es recomendable que los directores monitoreen, a través de sistemas de medición adecuados, el

desempeño de la Tecnología de la Información. Deberían asegurarse ellos mismos de que el
desempeño está acorde con los planes, en particular con respecto a los objetivos del negocio.

Los directores también deberían asegurarse de que la Tecnología de la Información cumple con las
obligaciones externas (reglamentarias, legislativas, de ley, contractuales) y las prácticas laborales
internas.

Nota: La responsabilidad de los aspectos específicos de la Tecnología de la Información se puede delegar a los
directores dentro de la organización. Sin embargo, la responsabilidad sobre las acciones y decisiones de la utilización
eficaz, eficiente y aceptable así como de la entrega de la Tecnología de la Información por parte de una organización
permanece en los directores y no se puede delegar.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 7 de 21
NTE INEN ISO/IEC 38500 2014-06

3. GUÍA PARA EL GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA INFORMACIÓN

3.1 Generalidades

Las siguientes secciones suministran una guía para los principios generales del buen gobierno de la
Tecnología de la Información y prácticas que se requieren para implementar los principios.

Las prácticas que se describen no son exhaustivas, sino que brindan un punto de partida para la
discusión de las responsabilidades de los directores en el gobierno de la Tecnología de la
información. Es decir, las prácticas descritas son una guía sugerida para el gobierno de la Tecnología
de la información.

Es responsabilidad de cada organización, individualmente, identificar las acciones específicas que se

requieren para implementar los principios, dando consideración debida a la naturaleza de la
organización y analizando adecuadamente los riesgos y las oportunidades en el uso de la Tecnología
de la información.

Como base para ilustración, las prácticas descritas se aplican a la mayoría de organizaciones
(grandes o pequeñas), la mayoría de las veces. Cualquier variación se debería considerar muy bien.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 8 de 21
NTE INEN ISO/IEC 38500 2014-06

3.2 Principio 1: Responsabilidad

Evaluar

Los directores deberían evaluar las opciones para la asignación de responsabilidades con relación al
uso actual y futuro de la Tecnología de la información de la organización. Al evaluar las opciones, se
recomienda que los directores busquen asegurar el uso y la entrega eficaces, eficientes y aceptables
de la Tecnología de la información como soporte para los objetivos actuales y futuros del negocio.

Los directores deberían evaluar la competencia de aquellos a quienes se les asigna la

responsabilidad de tomar decisiones con respecto a la Tecnología de la información. En general,
estas personas deberían ser gerentes del negocio que también sean responsables de los objetivos
del negocio de la organización y del desempeño, ayudados por especialistas en TI que entiendan los
valores y los procesos del negocio.

Dirigir

Los directores deberían dirigir los planes para que se realicen de acuerdo con las responsabilidades
de Tecnología de la información asignadas.

También deberían exigir que se les entregue la información que necesitan para cumplir sus
responsabilidades, incluidas las relativas a acciones y toma de decisiones.

Monitorear

Los directores deberían monitorear que se hayan establecido los mecanismos adecuados para el
gobierno de la Tecnología de la información.

También deberían monitorear que aquellos a quienes se ha asignado responsabilidad reconozcan y

entiendan sus responsabilidades.

Los directores deberían monitorear el desempeño de aquellos a quienes se ha asignado

responsabilidad en el gobierno de la TI (por ejemplo, aquellas personas miembros de los comités
directivos o que presentan propuestas a los directores).

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 9 de 21
NTE INEN ISO/IEC 38500 2014-06

3.3 Principio 2: Estrategia

Evaluar

Los directores deberían evaluar los desarrollos de Tecnología de la información y los procesos del
negocio con el fin de asegurarse de que la Tecnología de la información brindará soporte a las
necesidades futuras del negocio.

Al considerar los planes y las políticas, los directores deberían evaluar las actividades de Tecnología
de la información para asegurar que están alineadas con los objetivos de la organización para las
circunstancias cambiantes, que toman en consideración las mejores prácticas y satisfacen los
requisitos de otras partes involucradas clave.

Es recomendable que los directores aseguren que el uso de la Tecnología de la información está
sujeto a la valoración y evaluación adecuada del riesgo, tal como se describe en normas nacionales e
internacionales pertinentes.

Dirigir

Los directores deberían dirigir la preparación y la utilización de los planes y las políticas que aseguren
que la organización sí se beneficia de los desarrollos de la Tecnología de la información.

Los directores también deberían fomentar la presentación de propuestas para usos innovadores de la
Tecnología de la información que le permitan a la organización responder a oportunidades o nuevos
retos, emprender nuevos negocios o mejorar los procesos.

Monitorear

Los directores deberían monitorear el progreso de las propuestas de Tecnología de la información

aprobadas para asegurar que se están cumpliendo los objetivos en los marcos temporales exigidos,
utilizando los recursos asignados.

Se recomienda que los directores monitoreen el uso de la Tecnología de la información para asegurar
que ésta obtiene los beneficios previstos.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 10 de 21
NTE INEN ISO/IEC 38500 2014-06

3.4 Principio 3: Adquisición

Evaluar

Los directores deberían evaluar las opciones para el suministro de la Tecnología de la información
con el fin de realizar las propuestas aprobadas, equilibrando los riesgos y el valor del dinero de las
inversiones propuestas.

Dirigir

Los directores deberían gestionar que los activos de Tecnología de la información (sistemas e
infraestructura) se adquieran de la manera correcta, incluida la preparación de la documentación
adecuada, a la vez que se asegura el suministro de las capacidades requeridas.

Los directores deberían gestionar que los acuerdos de suministro (tanto interno como externo) den
soporte a las necesidades del negocio de la organización.

Monitorear

Los directores deberían monitorear las inversiones en Tecnología de la información para asegurar
que éstas proporcionan las capacidades requeridas.

Se recomienda que los directores monitoreen el grado en el que su organización y sus proveedores
mantienen el entendimiento compartido de la intención de la organización al hacer cualquier
adquisición de Tecnología de la información.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 11 de 21
NTE INEN ISO/IEC 38500 2014-06

3.5 Principio 4: Desempeño

Evaluar

Los directores deberían evaluar los medios propuestos por los gerentes para asegurar que la
Tecnología de la información apoye los procesos de negocio con la habilidad y capacidad requeridas.
Estas propuestas deberían dirigirse hacia la continuidad de la operación normal del negocio y del
tratamiento de los riesgos asociados con el uso de Tecnología de la información.

Se recomienda que los directores evalúen los riesgos que se originan en las actividades de la
Tecnología de la información, para la continuidad de la operación de los negocios.

Los directores deberían evaluar los riesgos para la integridad de la información y la protección de los
activos de Tecnología de la información, incluyendo la propiedad intelectual y la memoria
organizacional asociadas.

También deberían evaluar las opciones para garantizar decisiones eficaces y oportunas acerca del
uso de la Tecnología de la información en soporte de las metas del negocio.

Los directores deberían evaluar con regularidad la eficacia y el desempeño del sistema de la
organización para el gobierno de la Tecnología de la información.

Dirigir

Los directores deberían asegurar la asignación de recursos suficientes de manera tal que la
Tecnología de la información satisfaga las necesidades de la organización, de acuerdo con las
prioridades acordadas y las restricciones del presupuesto.

Los directores deberían dirigir a aquellos responsables de asegurar que la Tecnología de la

información de soporte al negocio, cuando se requiera por razones del negocio, con datos correctos y
actualizados que estén protegidos contra pérdida o mal uso.

Monitorear

Es recomendable que los directores monitoreen la extensión hasta la cual la Tecnología de la

información da soporte al negocio.

También deberían monitorear la extensión hasta la cual se da prioridad a los recursos y los
presupuestos asignados de acuerdo con los objetivos del negocio.

De igual modo los directores deberían monitorear la extensión hasta la cual se cumplen
adecuadamente las políticas, como aquellas para la precisión de los datos y el uso eficiente de la
Tecnología de la información.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 12 de 21
NTE INEN ISO/IEC 38500 2014-06

3.6 Principio 5: Conformidad

Evaluar

Es recomendable que los directores evalúen con regularidad la extensión hasta la cual la Tecnología
de la información satisface las obligaciones (reglamentarias, legislativas, de ley, contractuales), las
políticas internas, las normas y las directrices profesionales.

Los directores deberían también evaluar a intervalos regulares la conformidad interna de la

organización con su sistema para el gobierno de la Tecnología de la información.

Dirigir

Los directores deberían dirigir a aquellos responsables de establecer mecanismos regulares y

rutinarios para garantizar que el uso de la Tecnología de la información cumple con las obligaciones
pertinentes (reglamentarias, legislativas, de ley, contractuales), las normas y las directrices.

Los directores deberían dirigir de modo que se establezcan y hagan cumplir las políticas que permiten
a la organización cumplir sus obligaciones internas en el uso de la Tecnología de la información.

Los directores deberían dirigir de forma tal que el personal de Tecnología de la información cumpla
las directrices pertinentes para el comportamiento y el desarrollo profesional.

Conviene que los directores dirijan de tal forma que todas las acciones relacionadas con la
Tecnología de la información sean éticas.

Monitorear

Es recomendable que los directores monitoreen la conformidad y el cumplimiento de la Tecnología de

la información a través de prácticas adecuadas de auditoria y presentación de informes, asegurando
que las revisiones sean oportunas, exhaustivas y adecuadas para la evaluación del grado de
satisfacción del negocio.

También deberían monitorear las actividades de Tecnología de la información, incluyendo la

disposición final de los activos y los datos, para asegurar el cumplimiento de obligaciones
ambientales, de privacidad, de gestión del conocimiento estratégico, de preservación de la memoria
organizacional y otras obligaciones pertinentes.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 13 de 21
NTE INEN ISO/IEC 38500 2014-06

3.7 Principio 6: Comportamiento humano

Evaluar

Los directores deberían evaluar las actividades de Tecnología de la información para asegurar que
los comportamientos humanos estén identificados y se consideren de manera correcta.

Dirigir

Los directores deberían dirigir de manera tal que las actividades de Tecnología de la información
sean consistentes con el comportamiento humano identificado.

Se recomienda que los directores dirijan de manera que cualquier persona en cualquier momento
pueda identificar y reportar riesgos, oportunidades, problemas y preocupaciones. Estos riesgos se
deberían manejar de acuerdo con las políticas y los procedimientos publicados y escalar hasta las
personas correspondientes a cargo de la toma de decisiones.

Monitorear

Se recomienda que los directores monitoreen las actividades de Tecnología de la información para
asegurar que los comportamientos humanos identificados siguen siendo pertinentes y que se les
brinda la atención adecuada.

Los directores deberían monitorear las prácticas laborales con el fin de asegurar que son consistentes
con el uso adecuado de la Tecnología de la información.

© ISO 2008 - Todos los derechos reservados

© INEN 2014
2014-0766 14 de 21
 INFORMACIÓN COMPLEMENTARIA

Documento: TÍTULO: GOBIERNO CORPORATIVO DE LA TECNOLOGÍA Código:

NTE INEN- DE LA INFORMACIÓN. (ISO/IEC 38500:2008, IDT) ICS 35.080
ISO/IEC 38500
ORIGINAL: REVISIÓN:
Fecha de iniciación del estudio: La Subsecretaría de la Calidad del Ministerio de Industrias
y Productividad aprobó este proyecto de norma
Oficialización con el Carácter de Obligatoria
por Resolución No.
publicado en el Registro Oficial No.

Fecha de iniciación del estudio:

Fechas de consulta pública: 2013-10-07 a 2013-10-21

Comité Interno del INEN:

Fecha de iniciación: 2013-10-24 Fecha de aprobación: 2013-10-24
Integrantes del Comité:

NOMBRES: INSTITUCIÓN REPRESENTADA:

Ing. Paola Castillo (Presidenta) DELEGADA DE LA COORDINACIÒN

TÉCNICA
Ing. Silvana Torres DIRECCIÓN DE REGLAMENTACIÒN
Sr. Wilson Angulo DIRECCIÓN DE METROLOGÍA
Ing. Raúl Martínez DIRECCIÓN DE VALIDACIÓN Y
CERTIFICACIÓN
Ing. Erika Chicaiza DIRECCIÓN DE NORMALIZACIÓN
Ing. Evelyn Andrade (Secretaria Técnica) DIRECCIÓN DE NORMALIZACIÓN

Otros trámites:

La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de

norma

Oficializada como: Voluntaria Por Resolución No. 14188 de 2014-05-06-10

Registro Oficial No. 276 de 2014-06-26
Instituto Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre
Casilla 17-01-3999 - Telfs: (593 2)2 501885 al 2 501891 - Fax: (593 2) 2 567815
Dirección Ejecutiva: E-Mail: direccion@inen.gob.ec
Dirección de Normalización: E-Mail: normalizacion@inen.gob.ec
Regional Guayas: E-Mail: inenguayas@inen.gob.ec
Regional Azuay: E-Mail: inencuenca@inen.gob.ec
Regional Chimborazo: E-Mail: inenriobamba@inen.gob.ec
URL:www.inen.gob.ec