Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iso Iec V - 1
Iso Iec V - 1
_________________________________________
Correspondencia:
Esta Norma Técnica Ecuatoriana es idéntica a la Norma Internacional ISO/IEC 38500: 2008
Prólogo nacional
Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 38500, es una traducción idéntica a la Norma
Internacional ISO/IEC 38500:2008 Corporate governance of information technology. El comité
responsable de esta Norma Técnica Ecuatoriana y de su traducción es el Comité Interno del INEN.
Para el propósito de esta Norma Técnica Ecuatoriana se enlistan los documentos normativos
internacionales que se referencian en la Norma Internacional ISO/IEC 38500:2008, para los cuales no
existen documentos normativos nacionales correspondientes.
Sir Adrian Cardbury: 1992 Informe de la Comisión sobre los aspectos financieros de la empresa de
Gobierno
ISO Guia 73: 2002 Gestión de riesgos. Vocabulario. Directrices para el uso en las normas
Índice
Página
Prólogo ………………………………………………………………………………………………………iii
Introducción………………………………………………………………………………………………..iv
Prólogo
ISO (la Organización Internacional de Normalización) y la IEC (la Comisión Electrotécnica
Internacional) conforman el sistema especializado para la normalización en el mundo. Los
organismos nacionales que son miembros de la ISO o la IEC participan en el desarrollo de normas
internacionales a través de los comités técnicos establecidos por la organización correspondiente
para tratar los campos particulares de la actividad técnica. Los comités técnicos de la ISO y la IEC
colaboran en áreas de interés mutuo. Otras organizaciones internacionales, gubernamentales y no
gubernamentales, en unión con ISO e IEC también toman parte en esta labor. En el campo de la
tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el comité
ISO/IEC JTC 1.
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 del
documento ISO/IEC Directives. La principal labor del comité técnico es preparar normas
internacionales. Las versiones preliminares de las normas internacionales adoptadas por el comité
técnico conjunto se dan a conocer a todos los organismos nacionales para la votación. La publicación
como una Norma Internacional requiere la aprobación de 75% mínimo de los organismos nacionales
que votan.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. Ni la ISO ni la IEC asumen responsabilidad por la identificación
de cualquiera o todos los derechos de patente.
La norma ISO/IEC 38500 fue preparada por Standards Australia (como AS8015:2005) y fue
adoptada, bajo un “procedimiento rápido” por el comité técnico ISO/IEC JTC 1. Tecnología de la
información, en paralelo con su aprobación por parte de los organismos nacionales de ISO e IEC.
La norma ISO/IEC 38500 es una norma de consulta de alto nivel basada en principios. Además de
proporcionar una amplia guía sobre la función de un organismo de gobierno, motiva a las
organizaciones a usar las normas correctas para sustentar su gobierno de la tecnología de la
información (TI).
En el momento de publicación de esta norma, el comité JTC1 continúa sus esfuerzos para desarrollar
documentos adicionales relacionados con el gobierno de la tecnología de la información. Se espera
que estos documentos, que probablemente se publiquen en el futuro como Informes Técnicos de
ISO/IEC y, posiblemente, como normas, comprendan un rango de temas que incluya:
Introducción
El objetivo de esta norma es proporcionar un marco de principios para que los Directores los utilicen
al evaluar, dirigir y monitorear el uso de la tecnología de la información (TI) en sus organizaciones.
El gasto en Tecnología de la Información puede representar una proporción importante de los gastos
de una organización respecto a sus recursos financieros y humanos. No obstante, el retorno de esta
inversión a menudo no se logra completamente y los efectos adversos en las organizaciones pueden
ser significativos.
Las principales causas de estos resultados negativos son el énfasis en los aspectos técnicos,
financieros y de programación de las actividades de Tecnología de la Información y no el énfasis en el
contexto general del negocio en cuanto al uso de la Tecnología de la Información.
Esta norma brinda un marco para el gobierno eficaz de la Tecnología de la Información con el fin de
ayudar a aquellos en los niveles más altos de las organizaciones a comprender y cumplir sus
obligaciones legales, reglamentarias y éticas con respecto al uso que le dan sus organizaciones a la
Tecnología de la Información. Este marco abarca definiciones, principios y un modelo.
Esta norma sigue los lineamientos de la definición de Gobierno Corporativo publicada como Informe
del Comité sobre Aspectos Financieros del Gobierno Corporativo (el informe Cadbury) en 1992. El
informe Cadbury también suministró la definición fundamental de Gobierno Corporativo en los
Principios OECD de Gobierno Corporativo de 1999 (revisada en 2004). Se recomienda a los usuarios
de esta norma que se familiaricen con el informe Cadbury y los Principios OECD de Gobierno
Corporativo.
El gobierno es diferente de la gestión y, para evitar confusión, los dos conceptos se definen
claramente en la norma.
Aunque esta norma está dirigida principalmente al organismo de gobierno, que a su vez puede
requerir que la gerencia de la organización emprenda algunas acciones, también permite que, en
algunas organizaciones (por lo general más pequeñas), los miembros del organismo de gobierno
ocupen los roles claves en la gerencia. De esta manera garantiza que la norma sea aplicable a todas
las organizaciones, desde la más pequeña hasta la más grande, independientemente del propósito, el
diseño y la estructura de propiedad.
1.1 Alcance
Esta norma proporciona principios de guía para los directores de las organizaciones (incluyendo,
dueños, miembros de la junta, directores, socios, altos ejecutivos o similares) sobre el uso eficaz,
eficiente y aceptable de la tecnología de la información (TI) en sus organizaciones.
Esta norma se aplica al gobierno de los procesos de gestión (y las decisiones) relacionados con los
servicios de información y comunicación utilizados por la organización. Estos procesos podrían ser
controlados por los especialistas en TI de la organización, por proveedores externos del servicio o por
unidades de negocios dentro de la organización.
· altos directivos;
· auditores de TI.
1.2 Aplicación
Esta norma se aplica a todas las organizaciones, incluyendo compañías públicas y privadas,
entidades gubernamentales y organizaciones sin ánimo de lucro. También se aplica a organizaciones
de todos los tamaños, desde la más pequeña hasta la más grande, independientemente de la
extensión de su uso de TI.
1.3 Objetivos
· Brindar una base para la evaluación objetiva del Gobierno Corporativo de la Tecnología de la
Información.
1.4.1 Generalidades
Esta norma establece los principios para el uso eficaz, eficiente y aceptable de la Tecnología de la
Información. El asegurar que sus organizaciones siguen estos principios facilitará a los directores
equilibrar los riesgos y promover las oportunidades que se originan en el uso de la Tecnología de la
Información.
Los sistemas de TI inadecuados pueden exponer a los directores al riesgo de no cumplir con las
leyes. Por ejemplo, en algunas jurisdicciones, los directores pueden tener responsabilidad personal si
un sistema contable inadecuado ocasiona el no pago de los impuestos.
Los procesos que tratan de la TI incorporan riesgos que se deben tratar adecuadamente. Por
ejemplo, los directores podrían ser responsables debido a incumplimientos de:
· normas de seguridad;
Es más probable que los directores que usan las directrices de esta norma cumplan con sus
obligaciones.
Report of the Committee on the Financial Aspects of Corporate Governance, Sir Adrian Cadbury,
London, 1992 ISBN 0 85258 913 1.
ORCD Principles of Corporate Governance, OECD, 1999 and 2004.
ISO Guide 73 2002, Risk Management. Vocabulary. Guidelines for Use in Standards.
1.6 Definiciones
Para el propósito de esta norma, se aplican las definiciones que se indican a continuación.
Se espera que una organización adapte la terminología utilizada en esta norma a sus circunstancias o
su estructura.
1.6.1 Aceptable
Cumplimiento de las expectativas de las partes involucradas que se pueden considerar razonables o
meritorias.
Sistema mediante el cual se dirigen y controlan las organizaciones. (Adaptado de Cadbury 1992 y
OECD 1999).
Sistema mediante el cual se dirige y controla el uso actual y futuro de la Tecnología de la Información.
El Gobierno Corporativo de la TI implica la evaluación y dirección del uso de dicha tecnología para
dar soporte a la organización y el monitoreo de este uso para alcanzar los planes. Éste incluye la
estrategia y las políticas para utilizar la Tecnología de la Información dentro de una organización.
1.6.4 Competente
1.6.5 Director
Miembro del organismo de gobierno más alto de una organización. Se incluyen dueños, miembros de
la junta, socios, ejecutivos de alto nivel o similares y funcionarios autorizados por la legislación o los
reglamentos.
Comprensión de las interacciones entre los humanos y otros elementos de un sistema con la
intención de garantizar el bienestar y el desempeño de los sistemas. El comportamiento humano
incluye la cultura, las necesidades y aspiraciones de las personas como individuos y como grupos.
Nota: Con respecto a la Tecnología de la Información, existen numerosos grupos o comunidades de seres humanos, cada
una con sus propias necesidades, aspiraciones y comportamientos. Por ejemplo, las personas que utilizan los sistemas de
información pueden exhibir necesidades relacionadas con la accesibilidad y la ergonomía, así como con la disponibilidad y el
desempeño. Las personas cuyas funciones laborales cambian debido al uso de la Tecnología de la Información pueden tener
necesidades relacionadas con la comunicación, la capacitación y el reaseguramiento. Las personas involucradas en la
construcción y operación de las capacidades de la Tecnología de la Información pueden tener necesidades relacionadas con
las condiciones de trabajo y el desarrollo de habilidades.
Recursos que se requieren para adquirir, procesar, almacenar y divulgar la información. Este término
también incluye "tecnología de la comunicación (TC)" y el término combinado "tecnología de la
información y la comunicación (TIC)".
1.6.8 Inversión
Asignación de recursos humanos, de capital y otros recursos para lograr los objetivos definidos y
otros beneficios.
1.6.9 Gestión
Sistema de controles y procesos que se requieren para lograr los objetivos estratégicos establecidos
por el organismo de gobierno de una organización. La gestión está sujeta a las directrices y el
monitoreo de la política establecidos a través del Gobierno Corporativo.
1.6.10 Organización
Toda compañía, corporación, organismo del gobierno, organismo sin ánimo de lucro u otro
legalmente constituido incluyendo asociaciones, clubes, sociedades, agencias gubernamentales,
empresas que cotizan en bolsa, compañías privadas y comercializadores individuales, que tengan
sus propias funciones y administración.
1.6.11 Política
1.6.12 Propuesta
Recopilación de beneficios, costos, riesgos, oportunidades y otros factores aplicables a las decisiones
que se van a tomar. Se incluyen los casos de negocio.
1.6.13 Recursos
1.6.14 Riesgo
Nota: Las consecuencias son impactos en la organización. Pueden ser negativos, como se utiliza comúnmente, u
"oportunidades".
Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos (Guía
ISO/IEC 73).
Todo individuo, grupo u organización que puede afectar, verse afectado o percibirse a sí mismo como
afectado por una decisión o una actividad (adaptado de Guía ISO/IEC 73).
1.6.17 Estrategia
Plan global de desarrollo de una organización que describe el uso eficaz de los recursos que dan
soporte a las actividades futuras de la organización. La estrategia implica el establecimiento de
objetivos y la propuesta de iniciativas para la acción.
2.1 Principios
Esta sección establece seis principios para el buen Gobierno Corporativo de la Tecnología de la
Información. Los principios se aplican a la mayoría de las organizaciones.
Los individuos o grupos dentro de la organización entienden y aceptan sus responsabilidades con
respecto tanto al suministro como a la demanda de Tecnología de la Información. Aquellos con
responsabilidad de las acciones también tienen la autoridad para ejecutar tales acciones.
Las adquisiciones de Tecnología de la Información se hacen por razones válidas, con base en el
análisis adecuado y continuo, con toma de decisiones clara y transparente. Existe el equilibrio
adecuado entre beneficios, oportunidades, costos y riesgos, tanto a corto como a largo plazo.
La Tecnología de la Información cumple con todas las leyes y los reglamentos obligatorios. Las
políticas y las prácticas están claramente definidas, implementadas y se hacen cumplir.
2.2 Modelo
Los directores deberían controlar la Tecnología de la Información a través de tres tareas principales:
b) Dirigir la preparación e implementación de los planes y las políticas para garantizar que el uso
de la TI satisface los objetivos del negocio.
P r e s io n e s s o b r e G o b ie r n o N e c e s id a d e s
e l n e g o c io c o r p o r a tiv o d e l n e g o c io
T IC
E v a lu a r
D ir ig ir M o n ito r e a r
P r o p u e s ta s
C o n fo r m id a d
p o lític a s
P r o c e s o s d e l n e g o c io
P r o y e c to s T IC O p e r a c io n e s T IC
Evaluar
Los directores deberían examinar y juzgar el uso corriente y futuro de la Tecnología de la Información,
incluyendo estrategias, propuestas y acuerdos de suministro (sean internos, externos, o ambos).
Se recomienda a los directores realizar evaluación continua, a medida que cambian las presiones.
Los directores también deberían considerar las necesidades tanto actuales como futuras del negocio -
los objetivos organizacionales actuales y futuros que deben lograr, tales como el mantenimiento de la
ventaja competitiva, así como los objetivos específicos de las estrategias y las propuestas que ellos
están evaluando.
Dirigir
Los directores deberían asignar a los responsables de los planes y las políticas, así como y de la
preparación directa y la implementación de tales planes y políticas. Es recomendable que los planes
establezcan la dirección para las inversiones en los proyectos y operaciones de Tecnología de la
Información. Las políticas deberían establecer una buena conducta en la utilización de la Tecnología
de la Información.
También conviene que los directores aseguren que la transición de los proyectos al estado operativo
se planifica y gestiona adecuadamente, tomando en consideración los impactos en el negocio y las
prácticas operativas, así como también los sistemas y la infraestructura de TI ya existentes.
Los directores deberían fomentar una cultura de buen gobierno de la Tecnología de la Información en
su organización, exigiendo a la gerencia suministrar información oportuna para cumplir con la
dirección y con los seis principios del buen gobierno.
Si es necesario, los directores deberían orientar la presentación de propuestas para aprobación con
el fin de tratar las necesidades identificadas.
Monitorear
Los directores también deberían asegurarse de que la Tecnología de la Información cumple con las
obligaciones externas (reglamentarias, legislativas, de ley, contractuales) y las prácticas laborales
internas.
Nota: La responsabilidad de los aspectos específicos de la Tecnología de la Información se puede delegar a los
directores dentro de la organización. Sin embargo, la responsabilidad sobre las acciones y decisiones de la utilización
eficaz, eficiente y aceptable así como de la entrega de la Tecnología de la Información por parte de una organización
permanece en los directores y no se puede delegar.
3.1 Generalidades
Las siguientes secciones suministran una guía para los principios generales del buen gobierno de la
Tecnología de la Información y prácticas que se requieren para implementar los principios.
Las prácticas que se describen no son exhaustivas, sino que brindan un punto de partida para la
discusión de las responsabilidades de los directores en el gobierno de la Tecnología de la
información. Es decir, las prácticas descritas son una guía sugerida para el gobierno de la Tecnología
de la información.
Como base para ilustración, las prácticas descritas se aplican a la mayoría de organizaciones
(grandes o pequeñas), la mayoría de las veces. Cualquier variación se debería considerar muy bien.
Evaluar
Los directores deberían evaluar las opciones para la asignación de responsabilidades con relación al
uso actual y futuro de la Tecnología de la información de la organización. Al evaluar las opciones, se
recomienda que los directores busquen asegurar el uso y la entrega eficaces, eficientes y aceptables
de la Tecnología de la información como soporte para los objetivos actuales y futuros del negocio.
Dirigir
Los directores deberían dirigir los planes para que se realicen de acuerdo con las responsabilidades
de Tecnología de la información asignadas.
También deberían exigir que se les entregue la información que necesitan para cumplir sus
responsabilidades, incluidas las relativas a acciones y toma de decisiones.
Monitorear
Los directores deberían monitorear que se hayan establecido los mecanismos adecuados para el
gobierno de la Tecnología de la información.
Evaluar
Los directores deberían evaluar los desarrollos de Tecnología de la información y los procesos del
negocio con el fin de asegurarse de que la Tecnología de la información brindará soporte a las
necesidades futuras del negocio.
Al considerar los planes y las políticas, los directores deberían evaluar las actividades de Tecnología
de la información para asegurar que están alineadas con los objetivos de la organización para las
circunstancias cambiantes, que toman en consideración las mejores prácticas y satisfacen los
requisitos de otras partes involucradas clave.
Es recomendable que los directores aseguren que el uso de la Tecnología de la información está
sujeto a la valoración y evaluación adecuada del riesgo, tal como se describe en normas nacionales e
internacionales pertinentes.
Dirigir
Los directores deberían dirigir la preparación y la utilización de los planes y las políticas que aseguren
que la organización sí se beneficia de los desarrollos de la Tecnología de la información.
Los directores también deberían fomentar la presentación de propuestas para usos innovadores de la
Tecnología de la información que le permitan a la organización responder a oportunidades o nuevos
retos, emprender nuevos negocios o mejorar los procesos.
Monitorear
Se recomienda que los directores monitoreen el uso de la Tecnología de la información para asegurar
que ésta obtiene los beneficios previstos.
Evaluar
Los directores deberían evaluar las opciones para el suministro de la Tecnología de la información
con el fin de realizar las propuestas aprobadas, equilibrando los riesgos y el valor del dinero de las
inversiones propuestas.
Dirigir
Los directores deberían gestionar que los activos de Tecnología de la información (sistemas e
infraestructura) se adquieran de la manera correcta, incluida la preparación de la documentación
adecuada, a la vez que se asegura el suministro de las capacidades requeridas.
Los directores deberían gestionar que los acuerdos de suministro (tanto interno como externo) den
soporte a las necesidades del negocio de la organización.
Monitorear
Los directores deberían monitorear las inversiones en Tecnología de la información para asegurar
que éstas proporcionan las capacidades requeridas.
Se recomienda que los directores monitoreen el grado en el que su organización y sus proveedores
mantienen el entendimiento compartido de la intención de la organización al hacer cualquier
adquisición de Tecnología de la información.
Evaluar
Los directores deberían evaluar los medios propuestos por los gerentes para asegurar que la
Tecnología de la información apoye los procesos de negocio con la habilidad y capacidad requeridas.
Estas propuestas deberían dirigirse hacia la continuidad de la operación normal del negocio y del
tratamiento de los riesgos asociados con el uso de Tecnología de la información.
Se recomienda que los directores evalúen los riesgos que se originan en las actividades de la
Tecnología de la información, para la continuidad de la operación de los negocios.
Los directores deberían evaluar los riesgos para la integridad de la información y la protección de los
activos de Tecnología de la información, incluyendo la propiedad intelectual y la memoria
organizacional asociadas.
También deberían evaluar las opciones para garantizar decisiones eficaces y oportunas acerca del
uso de la Tecnología de la información en soporte de las metas del negocio.
Los directores deberían evaluar con regularidad la eficacia y el desempeño del sistema de la
organización para el gobierno de la Tecnología de la información.
Dirigir
Los directores deberían asegurar la asignación de recursos suficientes de manera tal que la
Tecnología de la información satisfaga las necesidades de la organización, de acuerdo con las
prioridades acordadas y las restricciones del presupuesto.
Monitorear
También deberían monitorear la extensión hasta la cual se da prioridad a los recursos y los
presupuestos asignados de acuerdo con los objetivos del negocio.
De igual modo los directores deberían monitorear la extensión hasta la cual se cumplen
adecuadamente las políticas, como aquellas para la precisión de los datos y el uso eficiente de la
Tecnología de la información.
Evaluar
Es recomendable que los directores evalúen con regularidad la extensión hasta la cual la Tecnología
de la información satisface las obligaciones (reglamentarias, legislativas, de ley, contractuales), las
políticas internas, las normas y las directrices profesionales.
Dirigir
Los directores deberían dirigir de modo que se establezcan y hagan cumplir las políticas que permiten
a la organización cumplir sus obligaciones internas en el uso de la Tecnología de la información.
Los directores deberían dirigir de forma tal que el personal de Tecnología de la información cumpla
las directrices pertinentes para el comportamiento y el desarrollo profesional.
Conviene que los directores dirijan de tal forma que todas las acciones relacionadas con la
Tecnología de la información sean éticas.
Monitorear
Evaluar
Los directores deberían evaluar las actividades de Tecnología de la información para asegurar que
los comportamientos humanos estén identificados y se consideren de manera correcta.
Dirigir
Los directores deberían dirigir de manera tal que las actividades de Tecnología de la información
sean consistentes con el comportamiento humano identificado.
Se recomienda que los directores dirijan de manera que cualquier persona en cualquier momento
pueda identificar y reportar riesgos, oportunidades, problemas y preocupaciones. Estos riesgos se
deberían manejar de acuerdo con las políticas y los procedimientos publicados y escalar hasta las
personas correspondientes a cargo de la toma de decisiones.
Monitorear
Se recomienda que los directores monitoreen las actividades de Tecnología de la información para
asegurar que los comportamientos humanos identificados siguen siendo pertinentes y que se les
brinda la atención adecuada.
Los directores deberían monitorear las prácticas laborales con el fin de asegurar que son consistentes
con el uso adecuado de la Tecnología de la información.
Otros trámites: