Bogotá, 2018-08-15

DE 222-18
TITULO Tecnología de la información - Gobernanza de la tecnología de la
información para la organización
ETAPA Consulta Pública
INICIO 2018-08-15
FINALIZACIÓN 2018-10-15

El presente documento ha sido preparado por el comité técnico de normalización de ICONTEC,

CTN 181- Gestión de T.I. Como parte del proceso normativo, este documento se circula por un
periodo de 60 días para concepto y observaciones de las partes interesadas en general.

El CTN agradece cualquier observación a este documento, el cual debe ser enviado antes de la
fecha de finalización de Consulta Pública en el formato de observaciones adjunto o a través del
enlace proporcionado. De igual manera, al comité le gustaría conocer su concepto (aprobación,
aprobación con observaciones, desaprobación (indicando la causa) o abstención (indicando la
causa)) con respecto al documento. En caso de no recibir respuesta, consideraremos su
conformidad con el proyecto propuesto.

Toda observación (eliminación, modificación o inclusión de texto) debe ser relacionada con un
numeral, tener un sustento técnico y estar acompañado de la propuesta respectiva. En caso de
no presentar el sustento técnico o propuesta, su observación puede no ser considerada.

Este documento está sujeto a cambios y no debe ser utilizado como una Norma Técnica.

NOTA 1 Este documento corresponde a:

- Una adopción idéntica de la norma ISO/IEC 38500:2015

Toda la información relacionada con este documento debe ser enviada a

xxxxxxxx@icontec.org

ES-P-NN-03-F-002 página 1 de 1 Versión 02

GUÍA TÉCNICA GTC
COLOMBIANA x

2018-xx-xx

X10

E: 20-xx

CORRESPONDENCIA: x

DESCRIPTORES: x

I.C.S.: 48xx

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproducción Primera actualización

Editada 2018-xx-xx
 PRÓLOGO

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

nacional de normalización, según el Decreto 1595 de 2015.

ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.

La representación de todos los sectores involucrados en el proceso de Normalización Técnica

está garantizada por los Comités Técnicos y el período de Consulta Pública, este último
caracterizado por la participación del público en general.

La GTC X (X actualización) fue ratificada por el Consejo Directivo de 2018-0X-XX.

Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.

A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

través de su participación en el Comité Técnico 181- Gestión de T.I.

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

siguientes empresas:

ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.

DIRECCIÓN DE NORMALIZACIÓN
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

TECNOLOGÍA DE LA INFORMACIÓN - GOBERNANZA DE LA TECNOLOGÍA DE LA

INFORMACIÓN PARA LA ORGANIZACIÓN

INTRODUCCIÓN

El objetivo de esta norma es suministrar principios, definiciones y un modelo para que los
organismos de gobierno los utilicen cuando evalúan, dirigen y realicen el seguimiento del
uso de la tecnología de la información (TI) en sus organizaciones.

Esta norma es de consultoría, de alto nivel, basada en principios. Además de brindar una
guía amplia sobre el rol del organismo de gobierno, estimula a las organizaciones a usar
normas apropiadas para respaldar su gobernanza de TI.

La mayoría de las organizaciones usan TI como una herramienta fundamental del

negocio y pocas pueden funcionar eficazmente sin ella. Igualmente, TI es un factor
significativo en los planes futuros del negocio de muchas organizaciones.

El gasto en TI puede representar una proporción significativa de los gastos financieros y

de recursos humanos de la organización. Sin embargo, el beneficio de esta inversión con
frecuencia no se materializa cabalmente y los efectos adversos en las organizaciones
pueden ser significativos.

Las principales razones para estos resultados negativos son el énfasis en los aspectos
técnicos, financieros y de programación de las actividades de TI, más que el énfasis en el
contexto general del negocio para el uso de TI.

Esta norma proporciona principios, definiciones y un modelo para la buena gobernanza

de TI, para ayudar a aquellos en el nivel más alto de las organizaciones a entender y
cumplir sus obligaciones legales, reglamentarias y éticas con respecto al uso de TI en sus
organizaciones.

Esta norma está en línea con la definición de gobernanza corporativa que se publicó
como un informe del comité sobre los aspectos financieros de la gobernanza corporativa
(informe Cadbury) en 1992. El informe Cadbury también brinda la definición básica de la
gobernanza corporativa indicada en los principios de gobernanza corporativa de la OECD
en 1999 (revisada en 2004). La gobernanza es diferente de la gestión, y para evitar
confusión, los dos conceptos se definen en esta norma y se desarrollan en ISO/IEC TR
38502.

Esta norma está dirigida principalmente para el organismo de gobierno. En algunas

organizaciones (comúnmente las más pequeñas) los miembros del organismo de
gobierno también pueden ser directores ejecutivos. Esta norma se aplica a todas las
organizaciones, desde la más pequeña hasta la más grande, independientemente del
propósito, el diseño y la estructura de propiedad.

La norma ISO/IEC TS 38501 trata de la implementación de la gobernanza de TI.

2
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

1 ALCANCE

Esta norma proporciona principios guía para los miembros de los organismos de gobierno
de las organizaciones (que pueden incluir propietarios, directores, socios, directores
ejecutivos, o similares) sobre el uso eficaz, eficiente y aceptable de la tecnología de la
información (TI) dentro de sus organizaciones.

También suministra directrices para quienes asesoran, informan o asisten a los

organismos de gobierno. Estos incluyen:

- Directores ejecutivos

- Miembros de los grupos que realizan el seguimiento a los recursos dentro de la

organización

- Especialistas técnicos o del negocio externos, por ejemplo, especialistas legales o de

contabilidad, asociaciones industriales o minoristas

- Proveedores de servicios internos y externos (incluidos los consultores)

- Auditores

Esta norma se aplica a la gobernanza del uso actual y futuro de TI de la organización,

que incluye los procesos de gestión y las decisiones relacionadas con el uso actual y
futuro de TI. Estos procesos pueden ser controlados por especialistas en TI dentro de la
organización, proveedores externos de servicios o unidades de negocio dentro de la
organización.

Esta norma define la gobernanza de TI como un subconjunto o dominio de la gobernanza

organizacional, o en el caso de una corporación, la gobernanza corporativa.

Esta norma se aplica a todas las organizaciones, incluidas las empresas públicas y
privadas, las entidades del gobierno, y organizaciones sin ánimo de lucro. También se
aplica a organizaciones de todos los tamaños, desde la más pequeña hasta la más
grande, independientemente de la extensión del uso de TI.

El propósito de esta norma es promover el uso eficaz, eficiente y aceptable de TI en

todas las organizaciones mediante:

- el aseguramiento a las partes interesadas de que, si se cumplen los principios y

prácticas propuestas por la norma, pueden tener confianza en la gobernanza de TI
de la organización;

- la información y la guía a los organismos de gobierno en el control del uso de TI en

su organización, y

- el establecimiento de un vocabulario para la gobernanza de TI.

3
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

2 TÉRMINOS Y DEFINICIONES

Para los propósitos de este documento, se aplican los siguientes términos y definiciones.

2.1 Aceptable (acceptable)

Satisface las expectativas de las partes interesadas que se pueden presentar como
razonables o meritorias.

2.2 Responsable (accountable)

Quien responde por las acciones, las decisiones y el desempeño.

2.3 Rendición de cuentas (accountability)

Estado de ser responsable.

Nota 1 al texto: la rendición de cuentas se relaciona con una responsabilidad asignada. La responsabilidad se
puede basar en la reglamentación, en un acuerdo o a través de asignación como parte de la delegación.

2.4 Gobernanza corporativa (corporate governance)

Sistema mediante el cual se dirigen y controlan las corporaciones.

Nota 1 al texto: la gobernanza corporativa es la gobernanza organizacional aplicada a las corporaciones.

Nota 2 al texto: tomado de Cadbury 1992 y OECD 1999.

Nota 3 al texto: la definición se incluye para aclarar la evolución en la terminología respecto a la edición
anterior.

2.5 Dirigir (direct)

Comunicar los propósitos y resultados deseados a

Nota 1 al texto: en el contexto de la gobernanza de TI, dirigir implica establecer objetivos, estrategias y
políticas que deben adoptar los miembros de la organización para garantizar que el uso de TI satisface los
objetivos del negocio.

Nota 2 al texto: los directores pueden establecer objetivos, estrategias y políticas, si ellos tienen autoridad
delegada por el organismo de gobierno.

2.6 Evaluar (evaluate)

Considerar y hacer juicios informados.

Nota 1 al texto: en el contexto de la gobernanza de TI, evaluar involucra juicios acerca de las circunstancias y
oportunidades internas y externas, actuales y futuras, relacionadas con el uso actual y futuro de TI de la
organización.

2.7 Director ejecutivo (executive manager)

Persona con la autoridad delegada del organismo de gobierno para implementar las
estrategias y las políticas para cumplir el propósito de la organización.

4
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

Nota 1 al texto: los directores ejecutivos pueden incluir roles que reportan ante el organismo de gobierno o el
jefe de la organización, o deben rendir cuentas por la función principal de presentación de informes, por
ejemplo, presidentes ejecutivos, jefes de las organizaciones de gobierno, jefes financieros, jefes de oficinas
operativas, jefes de oficina de información y roles similares.

Nota 2 al texto: en las normas de gestión, los directores ejecutivos se pueden denominar alta dirección.

2.8 Gobernanza (governance)

Sistema para dirigir y controlar

2.9 Organismo de gobierno (governing body)

Persona o grupo de personas que deben rendir cuentas por el desempeño y el

cumplimiento de la organización.

2.10 Gobernanza de TI (governance of IT)

Sistema mediante el cual se dirige y controla el uso actual y futuro de TI.

Nota 1 al texto: la gobernanza de TI es un componente o un subconjunto de la gobernanza organizacional.

Nota 2 al texto: el término gobernanza de TI es equivalente a los términos gobernanza corporativa de TI,
gobernanza empresarial de TI, y gobernanza organizacional de TI.

2.11 Comportamiento humano (human behaviour)

Interacción entre los humanos y otros elementos del sistema.

Nota 1 al texto: el comportamiento humano incluye cultura, necesidades, y aspiraciones de las personas
como individuos y como grupos.

Nota 2 al texto: con respecto a TI, existen numerosos grupos o comunidades de humanos, cada uno con sus
propias necesidades, aspiraciones y comportamientos. Por ejemplo, las personas que usan los sistemas de
información pueden tener necesidades relacionadas con accesibilidad y ergonomía, así como con la
disponibilidad y el desempeño. Las personas cuyos roles laborales cambian debido al uso de TI pueden tener
necesidades relacionadas con comunicación, formación y disipación de dudas o temores. Las personas
implicadas en construir y operar las capacidades de TI pueden tener necesidades relacionadas con las
condiciones de trabajo y el desarrollo de habilidades.

2.12 Tecnología de la información – TI (information technology – IT)

Recursos utilizados para adquirir, procesar, almacenar y distribuir información.

Nota 1 al texto: este término también incluye “tecnología de las comunicaciones (TC)” y el término compuesto
“tecnología de la información y las comunicaciones (TIC)”.

2.13 Inversión (investment)

Asignación de recursos para lograr los objetivos definidos y otros beneficios.

2.14 Gestión (management)

Ejercicio de control y supervisión dentro de la autoridad y la rendición de cuentas

establecidas por la gobernanza.

5
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

Nota 1 al texto: el término gestión con frecuencia se utiliza como un término colectivo para aquellos con la
responsabilidad del control de una organización o partes de ella. El término directores se usa para evitar
confusión con los sistemas de gestión.

2.15 Directores (managers)

Grupo de personas responsables del control y la supervisión de una organización o

partes de ella.

Nota 1 al texto: los directores ejecutivos son una categoría de directores.

2.16 Seguimiento (monitor)

Revisar como base para tomar decisiones y hacer juicios apropiados.

Nota 1 al texto: el seguimiento implica la obtención rutinaria de información acerca del progreso frente a los
planes, así como el examen periódico de todos los logros frente a las estrategias y los resultados acordados
para brindar una base para la toma de decisiones y los ajustes en los planes.

Nota 2 al texto: el seguimiento incluye la revisión de la conformidad con la legislación, los reglamentos y las
políticas organizacionales pertinentes.

2.17 Organización (organization)

Persona o grupo de personas que tienen sus propias funciones con responsabilidades,
autoridades y relaciones para alcanzar sus objetivos

Nota 1 al texto: el concepto de organización incluye, pero no se limita a un solo comerciante, compañía,
corporación, firma, empresa, autoridad, sociedad, caridad o institución, o parte o combinación de ellas, esté
registrada o no y sea pública o privada.

[Fuente: Suplemento consolidado de ISO, 2013-Procedimientos específicos para ISO,

Anexo XL, Apéndice 2. La nota se ha añadido en esta norma]

2.18 Gobernanza organizacional (organizational governance)

Sistema mediante el cual se dirigen y controlan las organizaciones.

2.19 Política (policy)

Intenciones y dirección de una organización expresadas formalmente por su organismo

de gobierno o directores ejecutivos que actúan con la autoridad apropiada.

2.20 Propuesta (proposal)

Compilación de beneficios, costos, riesgos, oportunidades y otros factores aplicables a

las decisiones que se han de tomar.

Ejemplo: casos de negocio

2.21 Recursos (resources)

6
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

Personas, procedimientos, software, información, equipos, consumibles, infraestructura,

capital, fondos operativos, y tiempo.

2.22 Responsabilidad (responsibility)

Obligación de actuar y tomar decisiones para lograr los resultados exigidos.

2.23 Riesgo (risk)

El efecto de la incertidumbre en los objetivos.

Nota 1 al texto: un efecto es una desviación con respecto a lo que se espera - positivo y/o negativo.

Nota 2 al texto: los efectos negativos reflejan las amenazas mientras que los riesgos positivos reflejan las
oportunidades.

[Fuente: ISO Guía 73:2009)

2.24 Parte interesada (stakeholder)

Todo individuo, grupo u organización que puede afectar, verse afectado o percibirse a sí
mismo como afectado por una decisión o actividad.

[Fuente: adaptado de ISO Guía 73:2009]

2.25 Uso de TI (use of IT)

Planificación, diseño, desarrollo, despliegue, operación, gestión y aplicación de TI para

cumplir los objetivos del negocio y crear valor para la organización.

Nota 1 al texto: el uso de TI incluye tanto la demanda como el suministro de TI.

Nota 2 al texto: el uso de TI incluye tanto el uso actual como el futuro.

3 BENEFICIOS DE LA BUENA GOBERNANZA DE TI

La buena gobernanza de TI ayuda a los organismos de gobierno a garantizar que el uso

de TI contribuye positivamente al desempeño de la organización, a través de:

- innovación en servicios, mercados y negocios;

- alineación de TI con las necesidades del negocio;

- implementación y operación apropiadas de los activos de TI;

- claridad de la responsabilidad y rendición de cuentas, tanto para el suministro como

para la demanda de TI, en el logro de las metas de la organización;

- continuidad y sostenibilidad del negocio;

- asignación eficiente de los recursos;

7
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

- buenas prácticas en las relaciones con las partes interesadas; y

- materialización real de los beneficios esperados por cada inversión en TI.

Esta norma establece principios para el uso eficaz, eficiente y aceptable de TI. Los
organismos de gobierno, al garantizar que sus organizaciones cumplen estos principios,
tendrán asistencia para la gestión de riesgos y fomentar la explotación de las
oportunidades que se derivan del uso de TI.

La buena gobernanza de TI también ayuda a los organismos de gobierno a garantizar el

cumplimiento de las obligaciones (reglamentarias, legislativas, contractuales)
relacionadas con el uso aceptable de TI.

Esta norma establece un modelo para la gobernanza de TI. El riesgo de que los
organismos de gobierno no cumplan sus obligaciones se mitiga prestando atención al

modelo en la aplicación correcta de los principios.

Los sistemas de TI adecuados y el uso incorrecto o inapropiado de TI puede exponer a

una organización al riesgo de incumplir las leyes. Por ejemplo, en algunas jurisdicciones,
los miembros de los organismos de gobierno pueden ser responsables de rendir cuentas
personalmente, si un sistema de contabilidad inadecuado origina el no pago de
impuestos.

Los procesos que tienen que ver con TI incorporan riesgos específicos que se deberían
abordar apropiadamente. Por ejemplo, los organismos de gobierno y sus miembros
pueden ser responsables de rendir cuentas por:

- brechas en la privacidad, correo basura, salud y seguridad, conservación de

registros, legislación y reglamentos,

- incumplimiento de las normas relacionadas con seguridad, responsabilidad social;

- temas relacionados con derechos de propiedad intelectual, incluidos los acuerdos de

licencias.

Es más probable que los organismos de gobierno que utilizan las directrices de esta
norma cumplan sus obligaciones.

4 PRINCIPIOS Y MODELO PARA LA BUENA GOBERNANZA DE TI

4.1 Principios

Esta sección establece seis principios para la buena gobernanza de TI. Los principios
expresan el comportamiento de preferencia para orientar la toma de decisiones. La
declaración de cada principio se refiere a lo que debería suceder, pero no prescribe
cómo, cuánto o quién debería implementar los principios, dado que estos aspectos
dependen de la naturaleza de la organización que los implementa. Los organismos de
gobierno deberían exigir que se apliquen estos principios.

Principio 1: Responsabilidad

8
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

Los individuos y los grupos dentro de la organización comprenden y aceptan sus

responsabilidades con respecto tanto al suministro como a la demanda de TI. Aquellos
responsables de las acciones también tienen autoridad para ejecutar dichas acciones.

Principio 2: Estrategia

La estrategia del negocio de la organización toma en consideración las capacidades

actuales y futuras de TI; los planes para el uso de TI satisfacen las necesidades actuales
y permanentes de la estrategia del negocio de la organización.

Principio 3: Adquisición

Las adquisiciones de TI se hacen por razones válidas, con base en análisis apropiado y
permanente, con toma de decisiones clara y transparente. Existe un equilibrio correcto
entre beneficios, oportunidades, costos y riesgos, tanto a corto como a largo plazo.

Principio 4: Desempeño

TI es adecuada para el propósito de apoyar a la organización, de prestar los servicios, los

niveles de servicio y la calidad de servicio que se requieren para cumplir los requisitos
actuales y futuros del negocio.

Principio 5: Conformidad

El uso de TI cumple con todos los reglamentos obligatorios y las leyes. Las políticas y las
prácticas están claramente definidas, implementadas y se hacen cumplir.

Principio 6: Comportamiento humano

Las políticas, prácticas y decisiones con respecto a TI demuestran respeto por el

comportamiento humano, incluidas las necesidades actuales y cambiantes de todas las
“personas en el proceso”.

4.2 Modelo

Los organismos de gobierno deberían gobernar TI a través de tres tareas principales:

a) Evaluar el uso actual y futuro de TI.

b) Dirigir la preparación e implementación de las estrategias y las políticas para

garantizar que el uso de TI satisface los objetivos del negocio.

c) Hacer seguimiento a la conformidad con las políticas, y el desempeño frente a las

estrategias.

La autoridad por aspectos específicos de TI se puede delegar a los directores dentro de

la organización. No obstante, la rendición de cuentas por el uso eficaz, eficiente y
aceptable de TI por parte de una organización sigue siendo responsabilidad del
organismo de gobierno y no se puede delegar.

9
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

La Figura 1 muestra el modelo para la gobernanza de TI utilizando las tareas de Evaluar-

Dirigir-Hacer seguimiento. El texto inmediato a la Figura 1 explica los elementos y las
relaciones ilustradas.

Evaluar

Los organismos de gobierno deberían examinar y juzgar el uso actual y futuro de TI,
incluidos planes, propuestas y arreglos de suministro (sean internos, externos o ambos).

Al evaluar el uso de TI, los organismos de gobierno deberían considerar las presiones
externas e internas que actúan sobre la organización, por ejemplo, cambio tecnológico,
tendencias económicas y sociales, obligaciones reglamentarias, expectativas legítimas de
las partes interesadas e influencias políticas. Los organismos de gobierno deberían
emprender la evaluación continuamente a medida que cambian las circunstancias.
También deberían tomar en cuenta las necesidades del negocio tanto actuales como
futuras, los objetivos organizacionales actuales y futuros que ellos deben alcanzar, como
el mantenimiento de la ventaja competitiva, así como los objetivos específicos de los
planes y las propuestas que evalúan.

Figura 1. Modelo de gobernanza de TI

10
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

Dirigir

Los organismos de gobierno deberían asignar la responsabilidad y así orientar la

preparación y la implementación de las estrategias y las políticas. Las estrategias
deberían establecer la dirección para las inversiones en TI y lo que esta debería lograr.
Las políticas deberían establecer un comportamiento solido en el uso de TI.

Estos organismos también deberían fomentar una cultura de buena gobernanza de TI en

su organización exigiendo a los directores que brinden información oportuna, cumplan
con la dirección y la conformidad con los seis principios de la buena gobernanza.

Si es necesario, los organismos de gobierno deberían orientar la presentación de

propuestas de aprobación con el fin de abordar las necesidades identificadas.

Seguimiento

Los organismos de gobierno deberían hacer seguimiento, a través de sistemas de

medición adecuados, el desempeño de TI. Deberían asegurarse de que el desempeño
está acorde con las estrategias, en particular con respecto a los objetivos del negocio.

Estos organismos también deberían asegurarse de que TI cumple con las obligaciones
externas (reglamentarias, legislativas, contractuales) y las prácticas de trabajo internas.

5 DIRECTRICES PARA LA GOBERNANZA DE TI

5.1 Generalidades

Las siguientes subsecciones proporcionan directrices para los principios generales de la

buena gobernanza de TI y las prácticas que se requieren para implementar los principios.

Las prácticas que se describen no son exhaustivas, sino que brindan un punto de partida
para la discusión de las responsabilidades del organismo de gobierno en la gobernanza
de TI. Es decir, las prácticas que se describen son directrices sugeridas para la
gobernanza de TI.

Es responsabilidad de cada organización, individualmente, identificar las acciones

específicas que se requieren para implementar los principios, considerando debidamente
la naturaleza de la organización, y el análisis adecuado de los riesgos y las oportunidades
del uso de TI.

5.2 Principio 1: Responsabilidad

Evaluar

Los organismos de gobierno deberían evaluar las opciones para asignar las
responsabilidades con respecto al uso actual y futuro de TI de la organización. Al evaluar
las opciones, estos organismos deberían buscar garantizar el uso eficaz, eficiente y
aceptable de TI para apoyar los objetivos actuales y futuros del negocio.

11
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

Del mismo modo, deberían evaluar la competencia de aquellos responsables de tomar

las decisiones con respecto a TI. En general, estas personas deberían ser directores del
negocio que también son responsables de los objetivos y el desempeño del negocio de la
organización, asistidos por especialistas TI que comprenden los valores y los procesos
del negocio.

Dirigir

Los organismos de gobierno deberían orientar las estrategias que se deben seguir, de
acuerdo con las responsabilidades asignadas para TI.

Estos organismos deberían indicar que reciben la información que necesitan para cumplir
sus responsabilidades y la rendición de cuentas.

Seguimiento

Los organismos de gobierno deberían hacer seguimiento de que se establecen los

mecanismos adecuados para la gobernanza de TI.

Estos organismos deberían hacer seguimiento de que aquellos a quienes se les ha

asignado la responsabilidad conocen y entienden sus responsabilidades.

Igualmente deberían hacer seguimiento al desempeño de aquellos con responsabilidad

en la gobernanza de TI (p. ej., aquellas personas que sirven en comités de dirección o
que presentan propuestas a los organismos de gobierno).

5.3 Principio 2: Estrategia

Evaluar

Los organismos de gobierno deberían evaluar los desarrollos en TI y los procesos del
negocio para garantizar que TI brindará apoyo a las necesidades futuras del negocio.

Cuando se consideran los planes y las políticas, el organismo de gobierno debería

evaluar el uso de TI y las actividades de TI para garantizar que están en línea con los
objetivos de la organización y satisfacen los requisitos de las partes interesadas claves y
legítimas. El organismo de gobierno también debería considerar las buenas prácticas.

Estos organismos también deberían garantizar que el uso de TI está sujeto a la gestión
de riesgo adecuada.

Dirigir

Los organismos de gobierno deberían orientar la preparación y el uso de las estrategias y

las políticas que garanticen que la organización realmente se beneficia de los desarrollos
en TI.

Estos organismos también deberían fomentar la presentación de propuestas para los

usos innovadores de TI que permiten a la organización responder a nuevos retos o
nuevas oportunidades, emprender negocios nuevos o mejorar los procesos.

12
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

Seguimiento

Los organismos de gobierno deberían hacer seguimiento al progreso de las propuestas

de TI aprobadas para garantizar que estas logren los objetivos en los tiempos requeridos
y utilizando los recursos asignados.

Igualmente, deberían hacer seguimiento al uso de TI para garantizar que se están

alcanzando los beneficios previstos.

5.4 Principio 3: Adquisición

Evaluar

Los organismos de gobierno deberían evaluar las opciones para la mejora en TI con el fin
de materializar las propuestas aprobadas, equilibrar los riesgos y el valor monterios de
las inversiones propuestas.

Dirigir

Los organismos de gobierno deberían dar instrucciones para que los bienes de TI
(sistemas e infraestructuras) se adquieran de manera adecuada, incluida la preparación
de documentación apropiada, garantizando el suministro de las capacidades que se
requieren.

Estos organismos deberían dar orientación para que los arreglos para el suministro
(incluidos los arreglos tanto internos como externos) apoyen a las necesidades del
negocio de la organización.

Los organismos de gobierno deberían instruir para que su organización y sus

proveedores desarrollen una comprensión compartida de la intención de la organización

al realizar cualquier adquisición de TI.

Seguimiento

Los organismos de gobierno deberían hacer seguimiento a las inversiones en TI para

garantizar que estas suministran las capacidades que se requieren.

Estos organismos de gobierno deberían hacer seguimiento a la extensión en la cual su

organización y sus proveedores mantiene la comprensión compartida de la intención de
la organización al realizar cualquier adquisición de TI.

5.5 Principio 4: Desempeño

Evaluar

Los organismos de gobierno deberían evaluar los planes propuestos por los directores
para garantizar que TI brindará apoyo a los procesos del negocio con la capacidad y
habilidad que se requieren. Estas propuestas deberían abordar la operación normal
continua de la organización y el tratamiento de los riesgos asociados con el uso de TI.

13
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

También deberían evaluar los riesgos para la operación continua del negocio que se
originan en las actividades de TI.

Igualmente, estos organismos deberían evaluar los riesgos para la integridad de la

información y la protección de los activos de TI, incluidas la propiedad intelectual
asociada y la memoria organizacional.

Estos organismos deberían evaluar las opciones para garantizar decisiones eficaces y
oportunas acerca del uso de TI en apoyo a las metas del negocio.

Del mismo modo deberían evaluar regularmente la eficacia y el desempeño de la

gobernanza de TI de la organización.

Dirigir

Los organismos de gobierno deberían garantizar la asignación de recursos suficientes, de

manera que TI satisfaga las necesidades de la organización, de acuerdo con las
prioridades pactadas y las limitaciones presupuestales.

Estos organismos deberían dirigir a los responsables para garantizar que TI brinda apoyo
a la organización, cuando se requiere por razones del negocio, con datos correctos y
actualizados que están protegidos contra pérdida o mal uso.

Seguimiento

Los organismos de gobierno deberían hacer seguimiento del alcance hasta el cual TI
brinda apoyo al negocio. También deberían hacer seguimiento del alcance hasta el cual
se priorizan los recursos y presupuestos asignados de acuerdo con los objetivos del
negocio.

Estos organismos deberían hacer seguimiento del alcance hasta el cual se cumplen
adecuadamente las políticas, por ejemplo, para la precisión de los datos y el uso eficiente
de TI.

5.6 Principios 5: Conformidad

Evaluar

Los organismos de gobierno deberían evaluar con regularidad el alcance hasta la cual TI
satisface las obligaciones (reglamentarias, legislativas, contractuales), las políticas
internas, las normas y las directrices profesionales.

Igualmente, deberían evaluar con regularidad la conformidad interna de la organización

con su marco de referencia para la gobernanza de TI.

Dirigir

Los organismos de gobierno deberían dirigir a los responsables para establecer

mecanismos rutinarios y regulares para garantizar que el uso de TI cumple con las
obligaciones, las políticas internas, las normas y las directrices pertinentes.

14
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

También deberían orientar para que se establezcan las políticas y se hagan cumplir para
permitir que la organización cumpla sus obligaciones internas en el uso de TI.

Estos organismos también deberían dar instrucciones para que el personal de TI cumpla
las directrices pertinentes para el comportamiento y el desarrollo profesional.

Asimismo, deberían ordenar que todas las acciones relacionadas con TI sean éticas.

Seguimiento

Los organismos de gobierno deberían hacer seguimiento a el cumplimiento y la

conformidad de TI a través de prácticas adecuadas de presentación de informes y
auditoría, garantizando que las revisiones sean oportunas, exhaustivas y adecuadas para
evaluar el grado de la satisfacción de la organización.

También deberían hacer seguimiento a las actividades de TI, incluida la disposición final
de activos y datos, para garantizar que se cumple con la gestión ambiental, de privacidad,
de conocimiento estratégico, con la preservación de la memoria de la organización y
otras obligaciones pertinentes.

5.7 Principio 6: Comportamiento Humano

Evaluar

Los organismos de gobierno deberían evaluar las actividades de TI para garantizar que
se identifican y toman en consideración los comportamientos humanos.

Dirigir

Los organismos de gobierno deberían dar directrices para que las actividades de TI sean
consistentes con el comportamiento humano identificado.

Igualmente, deberían dar instrucciones para que cualquier persona pueda identificar y
reportar en cualquier momento los riesgos, las oportunidades, los problemas y las
preocupaciones. Los riesgos se deberían gestionar de acuerdo con las políticas y los
procedimientos publicados, y escalar hasta las entidades decisorias relevantes.

Seguimiento

Los organismos de gobierno deberían hacer seguimiento a las actividades de TI para

garantizar que los comportamientos humanos identificados siguen siendo pertinentes y
que se les da la atención apropiada.

Estos organismos deberían hacer seguimiento a las prácticas de trabajo para garantizar
que sean consistentes con el uso apropiado de TI.

15
PROYECTO DE
NORMA TÉCNICA COLOMBIANA

BIBLIOGRAFÍA

[1] ISO/IEC TR 38502, Information technology – Governance of IT – Framework and

model

[2] ISO/IEC TS 38501, Information technology – Corporate governance of IT

Implementation guide1)

[3] ISO/IEC Directives Part 1, Consolidated ISO Supplement, 2013, Annex SL,
Appendix 2

[4] Report of the Committee on the Financial Aspects of Corporate Governance. Sir
Adrian Cadbury, London, 1992 ISBN 0 85258 91931

[5] OECD Principles of Corporate Governance. OECD, 1999 and 2004

DOCUMENTO D E REFERENCIA

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information technology –

Governance of IT for the Organization. Geneva: ISO, 2015, 2op (ISO/IEC 38500 E))

16