You are on page 1of 13

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC

38500

2009-12-16

GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA INFORMACIÓN

NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC 38500 2009-12-16 GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA INFORMACIÓN E: GOVERNANCE

E:

GOVERNANCE OF INFORMATION TECHNOLOGY

CORRESPONDENCIA: esta norma es una adopción idéntica (IDT) por traducción, respecto a su documento de referencia, la norma ISO/IEC 38500:2008

DESCRIPTORES:

tecnología de información; gobierno

de

TI

-

TI;

uso

eficaz

-

TI;

uso

eficiente - TI.

 

I.C.S.: 35.080.00

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Apartado 14237 Bogotá, D.C.

-

Tel.

(571)

6078888

-

Fax (571) 2221435

Prohibida su reproducción

Editada 2009-12-24

PRÓLOGO

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo nacional de normalización, según el Decreto 2269 de 1993.

ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo.

La representación de todos los sectores involucrados en el proceso de Normalización Técnica está garantizada por los Comités Técnicos y el período de Consulta Pública, este último caracterizado por la participación del público en general.

La NTC-ISO/IEC 38500 fue ratificada por el Consejo Directivo de 2009-12-16.

Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales.

A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a través de su participación en el Comité Técnico 31 Ingeniería de software y sistemas.

COMERTECSA LTDA. GATTACA S.A. INGERSCHOFT LTDA. KAOME

PIRÁMIDE ADMINISTRACIÓN DE INFORMACIÓN LTDA. QUASAR SOFTWARE LTDA.

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las siguientes empresas:

AGENDA DE CONECTIVIDAD ALIANZA SINERTIC AMCE S.A. ASESOFTWARE LTDA. AVANSOFT S.A. BANCO CAJA SOCIAL BCSC BANCO DE BOGOTA BANCO DE LA REPÚBLICA BFGP DE COLOMBIA S.A. C & G LTDA. CARDIQUE COLEGIO SALESIANO SAN JUAN BOSCO COLGRABAR LTDA. CONEXION SISTEMAS LTDA. CONSULTAMOS LTDA. CONSULTORES TECNOLÓGICOS ASOCIADOS LTDA. CONTRALORÍA GENERAL DE LA REPÚBLICA

COPETRAN LTDA. CVG EDELCA DAKYA DESARROLLOS TECNOLÓGICOS S.A. DYNAMIC MODULAR SYSTEM DMS ENTROPÍA LTDA. ESCOBAR & MARTÍNEZ ESCUELA COLOMBIANA DE INGENIERÍA ETB FEDESOFT FENALCO - QUINDIO FIDUCIARIA CORFICOLOMBIANA FUNDACION SANTA FE FUNDACIÓN UNIVERSITARIA MARÍA CANO GBITT GEOCONSULT GETRONICS LTDA. GIRO ASOCIADOS LTDA.

GIRO CONSULTING GLOBAL DE PINTURAS S. A. GRANCOLOMBIANA DE SEGURIDAD S.A. GREENSQA S.A.

GRUPO CUBO LTDA. GRUPO SYNERTIC U-MYND LTDA. HONOR SERVICIOS DE SEGURIDAD LTDA. IBM DE COLOMBIA S.A. ICONO MULTIMEDIA S.A. INDUSTRIA COLOMBIANA DE

ELECTRÓNICOS ELECTRODOMÉSTICOS S.A.

Y

INDUSTRIA FARMACÉUTICA SYNTOFARMA S.A.

INDUSTRIAS ALIADAS S.A. INGENIO COLOMBIANO INGCO LTDA. INGESET TELECOMUNICACIONES INNERSOFT LTDA. INSTITUCION UNIVERSITARIA ANTONIO JOSÉ CAMACHO INTERGRUPO S.A. INTERTEK KEYWORD E-FACTORY LTDA. LABORATORIOS DE SOFTWARE S.A. LATINOAMERICANA DE SOFTWARE S.A. LINALCA S.A. M & G SISTEMAS LTDA. MAREIGUA LTDA. MEGABANCO MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO MV-TEL CONSULTORES LTDA. NCR COLOMBIA LTDA. NETWORK COMPUTER SYSTEM E.U. NEWSOFT LTDA. NEXOS SOFTWARE NON PLUS ULTRA S.A. OPEN SYSTEMS LTDA. PARQUE TECNOLÓGICO DE LA UNIVERSIDAD SAN BUENAVENTURA

-PARQUESOFT-

PARTNERS SYSTEM TECHNOLOGICAL OUTSOURCING POWER TEAM LTDA. POWER TEAM LTDA. PREVICAR S.A. PROASISTEMAS LTDA. PROCÁLCULO PROSIS S.A. PRODUCTIVIDAD Y COMPETITIVIDAD E.U.

PROMOTORA HOTEL DANN CARLTON BARRANQUILLA S.A. PSL PRODUCTORA DE SOFTWARE S.A. QUBIT INTERNACIONAL REDCAMPO LTDA. REDCOM LTDA REGISTRADURIA NACIONAL DEL ESTADO CIVIL S&P SOLUTIONS E.U. SÁENZ AUDITORES CONSULTORES S.A. SCRIPTA SOFTWARE LTDA. SENA SERVIMETERS S.A. SISTEMAS INTEGRALES DE INFORMÁTICA S.A. SISTEMAS Y TECNOLOGÍA PARA EL SECTOR ODONTOLÓGICO -ODONTOTECNÍA LTDA.- SITEL SOFTMANAGEMENT S.A. SOFTWARE QUALITY ASSURANCE S.A. S-SQUARE S.A STRATEGIKA TECNOVAS INFORMATICS TECNYCA LTDA. UIS -UNIVERSIDAD INDUSTRIAL DE SANTANDER UNISYS DE COLOMBIA S.A. UNIVERSIDAD AUTNOMA DE OCCIDENTE UNIVERSIDAD AUTÓNOMA DE OCCIDENTE UNIVERSIDAD COOPERATIVA DE COLOMBIA UNIVERSIDAD DE CUNDINAMARCA UNIVERSIDAD DE LOS ANDES UNIVERSIDAD DEL CAUCA UNIVERSIDAD DEL MAGDALENA UNIVERSIDAD DEL VALLE UNIVERSIDAD DEL VALLE UNIVERSIDAD NACIONAL DE COLOMBIA UNIVERSIDAD TECNOLÓGICA DEL CHOCÓ UNYDOS CONSULTING S.A. VC@SOFT LTDA. VIANET WS PARQUESOFT VIDYCOM LTDA. WORLDCAD LTDA.

ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados.

DIRECCIÓN DE NORMALIZACIÓN

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 38500

RESUMEN

INTRODUCCIÓN

CONTENIDO

Página

  • 1. ALCANCE, APLICACIÓN Y OBJETIVOS ...................................................................1

    • 1.1 ALCANCE

....................................................................................................................

1

  • 1.2 APLICACIÓN ................................................................................................................1

  • 1.3 OBJETIVOS

.................................................................................................................

2

  • 1.4 BENEFICIOS AL USAR ESTA NORMA ......................................................................2

  • 1.5 REFERENCIAS NORMATIVAS ...................................................................................3

  • 1.6 DEFINICIONES ............................................................................................................3

    • 2. MARCO PARA EL BUEN GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA INFORMACIÓN ........................................................................6

2.1

2.2

PRINCIPIOS

.................................................................................................................

6

MODELO

......................................................................................................................

7

  • 3. GUÍA PARA EL GOBIERNO CORPORATIVO DE LA DE LA TECNOLOGÍA DE LA INFORMACIÓN .......................................................................8

    • 3.1 GENERALIDADES .......................................................................................................8

    • 3.2 PRINCIPIO

1:

RESPONSABILIDAD ............................................................................9

  • 3.3 PRINCIPIO 2: ESTRATEGIA .....................................................................................10

  • 3.4 PRINCIPIO 3: ADQUISICIÓN ....................................................................................10

  • 3.5 PRINCIPIO 4: DESEMPEÑO .....................................................................................11

  • 3.6 PRINCIPIO 5: CONFORMIDAD .................................................................................12

  • 3.7 PRINCIPIO 6: COMPORTAMIENTO HUMANO

........................................................

12

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 38500

RESUMEN

Página

DOCUMENTO DE REFERENCIA ..........................................................................................14

Figura 1. Modelo para el Gobierno Corporativo de la TI .....................................................7

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 38500

RESUMEN

INTRODUCCIÓN

El objetivo de esta norma es proporcionar un marco de principios para que los Directores los utilicen al evaluar, dirigir y monitorear el uso de la tecnología de la información (TI) en sus organizaciones.

La mayoría de las organizaciones usan la Tecnología de la Información como una herramienta fundamental del negocio y pocas pueden funcionar de manera eficaz sin ella. La Tecnología de la Información también es un factor significativo en los futuros planes de negocios de las organizaciones.

El gasto en Tecnología de la Información puede representar una proporción importante de los gastos de una organización respecto a sus recursos financieros y humanos. No obstante, el retorno de esta inversión a menudo no se logra completamente y los efectos adversos en las organizaciones pueden ser significativos.

Las principales causas de estos resultados negativos son el énfasis en los aspectos técnicos, financieros y de programación de las actividades de Tecnología de la Información y no el énfasis en el contexto general del negocio en cuanto al uso de la Tecnología de la Información.

Esta norma brinda un marco para el gobierno eficaz de la Tecnología de la Información con el fin de ayudar a aquellos en los niveles más altos de las organizaciones a comprender y cumplir sus obligaciones legales, reglamentarias y éticas con respecto al uso que le dan sus organizaciones a la Tecnología de la Información. Este marco abarca definiciones, principios y un modelo.

Esta norma sigue los lineamientos de la definición de Gobierno Corporativo publicada como Informe del Comité sobre Aspectos Financieros del Gobierno Corporativo (el informe Cadbury) en 1992. El informe Cadbury también suministró la definición fundamental de Gobierno Corporativo en los Principios OECD de Gobierno Corporativo de 1999 (revisada en 2004). Se recomienda a los usuarios de esta norma que se familiaricen con el informe Cadbury y los Principios OECD de Gobierno Corporativo.

El gobierno es diferente de la gestión y, para evitar confusión, los dos conceptos se definen claramente en la norma.

Aunque esta norma está dirigida principalmente al organismo de gobierno, que a su vez puede requerir que la gerencia de la organización emprenda algunas acciones, también permite que, en algunas organizaciones (por lo general más pequeñas), los miembros del organismo de gobierno ocupen los roles claves en la gerencia. De esta manera garantiza que la norma sea aplicable a todas las organizaciones, desde la más pequeña hasta la más grande, independientemente del propósito, el diseño y la estructura de propiedad.

La norma también está destinada a guiar e informar a aquellos involucrados en el diseño y la implementación del sistema de gestión sobre políticas, procesos y estructuras que dan soporte al gobierno.

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 38500

RESUMEN

GOBIERNO CORPORATIVO DE LA TECNOLOGÍA DE LA INFORMACIÓN

  • 1. ALCANCE, APLICACIÓN Y OBJETIVOS

    • 1.1 ALCANCE

Esta norma proporciona principios de guía para

los

directores de las organizaciones

(incluyendo, dueños, miembros de la junta, directores, socios, altos ejecutivos o similares)

sobre

el

uso

eficaz, eficiente y aceptable de la tecnología de la información (TI) en sus

organizaciones.

Esta norma se aplica al gobierno de los procesos de gestión (y las decisiones) relacionados con los servicios de información y comunicación utilizados por la organización. Estos procesos podrían ser controlados por los especialistas en TI de la organización, por proveedores externos del servicio o por unidades de negocios dentro de la organización.

También orienta a quienes asesoran, informan o asisten a los directores. Se incluyen:

  • - altos directivos;

  • - miembros de grupos que monitorean los recursos dentro de la organización;

  • - especialistas externos técnicos o en negocios, tales como legales o contables; especialistas, asociaciones al detal u organismos profesionales;

  • - distribuidores de software, hardware, comunicaciones y otros productos de TI;

  • - proveedores internos y externos de servicios (incluyendo consultores);

  • - auditores de TI.

1.2

APLICACIÓN

Esta norma se aplica a todas las organizaciones, incluyendo compañías públicas y privadas, entidades gubernamentales y organizaciones sin ánimo de lucro. También se aplica a organizaciones de todos los tamaños, desde la más pequeña hasta la más grande, independientemente de la extensión de su uso de TI.

1 de 14

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 38500

RESUMEN

  • 1.3 OBJETIVOS

El propósito de esta norma es fomentar el uso eficaz, eficiente y aceptable de la Tecnología de la Información en todas las organizaciones a través de las siguientes acciones:

  • - Asegurar a las partes involucradas (incluyendo consumidores, accionistas y empleados) que, si se cumple la norma, pueden confiar en el Gobierno Corporativo que tiene la organización sobre la TI.

  • - Informar y orientar a los directores sobre el gobierno del uso de la Tecnología de la Información en sus organizaciones.

  • - Brindar una base para la evaluación objetiva del Gobierno Corporativo de la Tecnología de la Información.

    • 1.4 BENEFICIOS AL USAR ESTA NORMA

      • 1.4.1 Generalidades

Esta norma establece los principios para el uso eficaz, eficiente y aceptable de la Tecnología de la Información. El asegurar que sus organizaciones siguen estos principios facilitará a los directores equilibrar los riesgos y promover las oportunidades que se originan en el uso de la Tecnología de la Información.

Esta norma establece un modelo para el gobierno de la Tecnología de la Información. El riesgo de que los directores no cumplan sus obligaciones se reduce a prestar atención debida al modelo en la aplicación correcta de los principios.

La norma establece un vocabulario para el gobierno de la Tecnología de la Información.

  • 1.4.2 Conformidad de la organización

El Gobierno Corporativo adecuado de la Tecnología de la Información puede ayudar a los directores a garantizar la conformidad con las obligaciones (reglamentarias, legislativas, de ley, contractuales) relacionadas con el uso aceptable de la Tecnología de la Información.

Los sistemas de TI inadecuados pueden exponer a los directores al riesgo de no cumplir con las leyes. Por ejemplo, en algunas jurisdicciones, los directores pueden tener responsabilidad personal si un sistema contable inadecuado ocasiona el no pago de los impuestos.

Los procesos que tratan de la TI incorporan riesgos que se deben tratar adecuadamente. Por ejemplo, los directores podrían ser responsables debido a incumplimientos de:

  • - normas de seguridad;

  • - Legislación sobre privacidad;

  • - legislación sobre correo masivo;

  • - legislación sobre prácticas comerciales;

  • - derechos de propiedad intelectual, incluyendo acuerdos sobre licencias de software;

  • - requisitos de conservación de registros;

2

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 38500

RESUMEN

  • - legislación y reglamentación ambiental;

  • - legislación sobre salud y seguridad;

  • - legislación sobre accesibilidad;

  • - normas sobre responsabilidad social.

Es más probable que los directores que usan las directrices de esta norma cumplan con sus obligaciones.

  • 1.4.3 Desempeño de la organización

El Gobierno Corporativo adecuado de la Tecnología de la Información ayuda a los directores a garantizar que el uso de la Tecnología de la Información contribuye de manera positiva al desempeño de la organización a través de:

  • - la implementación y operación adecuadas de los activos de Información;

la Tecnología de la

  • - claridad de la responsabilidad, acciones y decisiones tanto para el uso como la provisión de la tecnología de la información en el logro de las metas de la organización;

  • - continuidad y sostenibilidad del negocio;

  • - alineación de la Tecnología de la Información con las necesidades del negocio;

  • - asignación eficiente de los recursos;

  • - innovación en los servicios, los mercados y los negocios;

  • - buenas prácticas en las relaciones con las partes involucradas;

  • - reducción en los costos para la organización y

  • - Comprensión real de los beneficios buscados a partir de cada inversión en Tecnología de la Información.

    • 1.5 REFERENCIAS NORMATIVAS

Los siguientes documentos se citan en esta norma:

Report of the Committee on the Financial Aspects of Corporate Governance, Sir Adrian Cadbury, London, 1992 ISBN 0 85258 913 1.

ORCD Principles of Corporate Governance, OECD, 1999 and 2004.

ISO Guide 73 2002, Risk Management. Vocabulary. Guidelines for Use in Standards.

  • 1.6 DEFINICIONES

Para el propósito de esta norma, se aplican las definiciones que se indican a continuación.

3

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 38500

RESUMEN

Se espera que una organización adapte la terminología utilizada en esta norma a sus circunstancias o su estructura.

  • 1.6.1 Aceptable

Cumplimiento de las expectativas de las partes involucradas que se pueden considerar razonables o meritorias.

  • 1.6.2 Gobierno Corporativo

Sistema mediante el cual se dirigen y controlan las organizaciones. (Adaptado de Cadbury 1992 y OECD 1999).

  • 1.6.3 Gobierno Corporativo de la TI

Sistema mediante el cual se dirige y controla el uso actual y futuro de la Tecnología de la Información.

El Gobierno Corporativo de la TI implica la evaluación y dirección del uso de dicha tecnología para dar soporte a la organización y el monitoreo de este uso para alcanzar los planes. Éste incluye la estrategia y las políticas para utilizar la Tecnología de la Información dentro de una organización.

  • 1.6.4 Competente

Que tiene la combinación de conocimiento, habilidades formales e informales, capacitación, experiencia y atributos de comportamiento que se requieren para ejecutar una tarea o una función.

  • 1.6.5 Director

Miembro del organismo de gobierno más alto de una organización. Se incluyen dueños, miembros de la junta, socios, ejecutivos de alto nivel o similares y funcionarios autorizados por la legislación o los reglamentos.

  • 1.6.6 Comportamiento humano

Comprensión de las interacciones entre los humanos y otros elementos de un sistema con la intención de garantizar el bienestar y el desempeño de los sistemas. El comportamiento humano incluye la cultura, las necesidades y aspiraciones de las personas como individuos y como grupos.

NOTA Con respecto a la Tecnología de la Información, existen numerosos grupos o comunidades de seres humanos, cada una con sus propias necesidades, aspiraciones y comportamientos. Por ejemplo, las personas que utilizan los sistemas de información pueden exhibir necesidades relacionadas con la accesibilidad y la ergonomía, así como con la disponibilidad y el desempeño. Las personas cuyas funciones laborales cambian debido al uso de la Tecnología de la Información pueden tener necesidades relacionadas con la comunicación, la capacitación y el reaseguramiento. Las personas involucradas en la construcción y operación de las capacidades de la Tecnología de la Información pueden tener necesidades relacionadas con las condiciones de trabajo y el desarrollo de habilidades.

  • 1.6.7 Tecnología de la información (TI)

Recursos que se requieren para adquirir, procesar, almacenar y divulgar la información. Este término también incluye "tecnología de la comunicación (TC)" y el término combinado "tecnología de la información y la comunicación (TIC)".

4

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 38500

RESUMEN

  • 1.6.8 Inversión

Asignación de recursos humanos, de capital y otros recursos para lograr los objetivos definidos y otros beneficios.

  • 1.6.9 Gestión

Sistema de controles y procesos que se requieren para lograr los objetivos estratégicos establecidos por el organismo de gobierno de una organización. La gestión está sujeta a las directrices y el monitoreo de la política establecidos a través del Gobierno Corporativo.

1.6.10

Organización

Toda compañía, corporación, organismo del gobierno, organismo sin ánimo de lucro u otro legalmente constituido incluyendo asociaciones, clubes, sociedades, agencias gubernamentales, empresas que cotizan en bolsa, compañías privadas y comercializadores individuales, que tengan sus propias funciones y administración.

1.6.11

Política

Declaraciones claras y medibles de la orientación y comportamiento preferidos para condicionar las decisiones tomadas dentro de una organización.

1.6.12

Propuesta

Recopilación de beneficios, costos, riesgos, oportunidades y otros factores aplicables a las decisiones que se van a tomar. Se incluyen los casos de negocio.

1.6.13

Recursos

Personas, procedimientos, software, información, equipo, insumos, infraestructura, capital y fondos de operación, así como el tiempo.

1.6.14

Riesgo

Combinación de la probabilidad de un evento y su consecuencia (Guía ISO/IEC 73).

NOTA

Las consecuencias son impactos en la organización. Pueden ser negativos, como se utiliza comúnmente,

u "oportunidades".

1.6.15

Gestión de riesgos

Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos (Guía ISO/IEC 73).

1.6.16

Parte involucrada

Todo individuo, grupo u organización que puede afectar, verse afectado o percibirse a sí mismo como afectado por una decisión o una actividad (adaptado de Guía ISO/IEC 73).

1.6.17

Estrategia

Plan global de desarrollo de una organización que describe el uso eficaz de los recursos que dan soporte a las actividades futuras de la organización. La estrategia implica el establecimiento de objetivos y la propuesta de iniciativas para la acción.

5

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 38500

RESUMEN

1.6.18 Uso de la Tecnología de la Información

Planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de la Tecnología de la Información para satisfacer las necesidades del negocio. Se incluyen tanto la demanda como el suministro de servicios de TI por parte de las unidades internas de negocios, unidades especialistas en TI o proveedores externos y empresas de servicios públicos (como los que suministran software).

6

NORMA TÉCNICA COLOMBIANA

NTC-ISO/IEC 38500

RESUMEN

IMPORTANTE

Este resumen no contiene toda la información necesaria para la aplicación del documento normativo original al que se refiere la portada. ICONTEC lo creo para orientar a su cliente sobre el alcance de cada uno de sus documentos y facilitar su consulta. Este resumen es de libre distribución y su uso es de total responsabilidad del usuario final.

El documento completo al que se refiere este resumen puede consultarse en los centros de información de ICONTEC en Bogotá, Medellín, Barranquilla, Cali o Bucaramanga, también puede adquirirse a través de nuestra página web o en nuestra red de oficinas (véase www.icontec.org).

El logo de ICONTEC y el documento normativo al que hace referencia este resumen están cubiertos por las leyes de derechos reservados de autor.

Información de servicios aplicables al documento aquí referenciado la encuentra en: www.icontec.org o por medio del contacto cliente@icontec.org

7

ICONTEC INTERNACIONAL