Quito Ecuador INFORME TÉCNICO ECUATORIANO ITE INEN-ISO/IEC TR 38502 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN GOBERNANZA DE TI MARCO DE REFERENCIA Y MODELO. (ISO/IEC TR 38502:2014, IDT) INFORMATION TECHNOLOGY GOVERNANCE OF IT FRAMEWORK AND MODEL. (ISO/IEC TR 38502:2014, IDT) Correspondencia: Este Informe Técnico Ecuatoriano es una traducción idéntica del Informe Internacional ISO/IEC TR 38502:2014. ICS: 35.020 15 Páginas ISO/IEC TR 2014 Todos los derechos reservados
ITE INEN-ISO/IEC TR 38502 Prólogo nacional Este Informe Técnico Ecuatoriano ITE INEN-ISO/IEC TR 38502, es una traducción idéntica del Informe Técnico Internacional ISO/IEC TR 38502:2015, Information technology Governance of IT Framework and model. El Servicio Ecuatoriano de Normalización, INEN, es el responsable de la traducción de esta Norma Técnica Ecuatoriana, y de su adopción es el Comité Técnico de Normalización del INEN, Comité Interno. Para el propósito de este Informe Técnico Ecuatoriano se han hecho los siguientes cambios editoriales: a) Las palabras este Informe Internacional han sido reemplazadas por este informe nacional. 2017-XX EN 2014 Todos los derechos reservados i
ITE INEN-ISO/IEC TR 38502 Índice Página Prólogo... iii Introducción... iv 1 Objeto y campo de aplicación... 1 2 Términos y definiciones... 1 3 Marco de referencia y modelo... 4 3.1 Modelo de gobernanza de TI... 4 3.2 Relación entre gobernanza y gestión de TI... 6 3.3 Elementos clave del marco de referencia de gobernanza para TI... 7 4 Guía sobre la aplicación del modelo... 8 4.1 Responsabilidades del directorio... 8 4.2 Formulación y seguimiento de la estrategia... 8 4.3 Delegación... 9 4.4 Responsabilidades de los gerentes... 10 4.5 Gobernanza y control interno... 11 Anexo A (informativo) Principios de buena gobernanza de TI... 13 Bibliografía... 14 2017-XX EN 2014 Todos los derechos reservados ii
ITE INEN-ISO/IEC TR 38502 Prólogo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la normalización a nivel mundial. Los organismos nacionales que son miembros de ISO e IEC participan en el desarrollo de las Normas Internacionales a través de comités técnicos establecidos por la organización respectiva para tratar sobre los campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de mutuo interés. Otras organizaciones internacionales, públicas y privadas, en relación con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, ISO/IEC/JTC 1. Las Normas Internacionales están redactadas de acuerdo con las reglas establecidas en las Directivas ISO/IEC, Parte 2. La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los proyectos de normas internacionales aprobados por el Comité Técnico Conjunto se distribuyen a los órganos nacionales para su votación. La publicación como norma internacional requiere la aprobación de por lo menos el 75% de los organismos nacionales que votan. En circunstancias excepcionales, cuando un comité técnico ha reunido datos de otro tipo que los que normalmente se publican como Norma Internacional ("estado del arte", por ejemplo), puede decidir por mayoría simple de sus miembros participantes publicar un Informe Técnico. Un informe Técnico es totalmente informativo por naturaleza y no tiene que ser revisado hasta que los datos que proporciona se consideran ya no válidos o útiles. Se llama la atención a la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO e IEC no se hace responsable de la identificación de cualquiera o todos los derechos de patente. ISO/IEC TR 38502 fue preparado por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnologías de la información. 2017-XX EN 2014 Todos los derechos reservados iii
ITE INEN-ISO/IEC TR 38502 Introducción La medición del éxito de cualquier inversión en el uso de tecnologías de la información (TI), ya sea para nuevas iniciativas o para actividades en curso, es el beneficio que trae para la organización el realizar dicha inversión. Generalmente los beneficios de la inversión en TI no provienen directamente de la TI real que se adquiere o respalda. Los beneficios realizados son más bien el resultado de los cambios en las actividades del negocio, los que son facilitados por el uso de la tecnología con el objeto de cumplir con las necesidades o requisitos de la organización. Las organizaciones necesitan estrategias y disposiciones de apoyo para las TI, lo que maximiza el valor de dichas inversiones, en tanto gestionan los riesgos asociados con el uso de TI. Los riesgos comprenden aspectos como la falla en la entrega de las capacidades requeridas, la falla del negocio para alcanzar los beneficios que se requieren y el impacto de las fallas de TI en la organización lo que conducen a la desorganización del negocio, incumplimiento de las obligaciones, incumplimiento regulatorio, fallas en la seguridad, pérdida de datos, tiempo muertos, etc. Uno de los desafíos para la inversión organizacional en TI es asegurar que dicha inversión y que las decisiones de adquisición se basen en estrategias, prioridades y necesidades del negocio. Por lo tanto, los responsables de la gobernanza de la organización deberían tener el control y participación adecuados respecto de las decisiones relacionadas con el uso de las TI en el negocio, para asegurar que dichas decisiones estén basadas en las estrategias, el apetito de riesgo, las prioridades y las necesidades del negocio. Se debería identificar y comprender el esfuerzo requerido para obtener los beneficios esperados. ISO/IEC 38500 [2] reconoce que el balance apropiado entre la demanda y suministro de TI es un requisito para la buena gobernanza y gestión, que necesita ser impulsado desde a partir de los cargos más altos de la organización. El objetivo de la ISO/IEC 38500 es proporcionar una guía para el directorio de las organizaciones al evaluar, dirigir y monitorear el uso de TI en sus organizaciones. Existe evidencia de confusión en el mercado con respecto al uso del término gobernanza cuando se aplica a la TI. Por ejemplo, a menudo se aplica de forma el término incorrecta gobernanza a los sistemas de gestión, marcos de referencia de control y sistemas de información, los que no son, por sí mismos, gobernanzas, pero que sí son resultados de esta y necesariamente posibilitan una gobernanza eficaz. Como resultado, a menudo existe confusión respecto de los respectivos roles gobernanza y gestión, lo que ha dificultado el desarrollo de una guía consistente respecto de la gobernanza y la implementación efectiva de las prácticas de gobernanza. Este Informe Técnico se ha desarrollado para aclarar la distinción entre los conceptos de gobernanza y gestión con respecto de TI. Proporciona un modelo que ilustra la relación entre gobernanza y gestión, e identifica las responsabilidades asociadas a cada una. 2017-XX EN 2014 Todos los derechos reservados iv
ITE INEN-EN TR 38502 Tecnologías de la información - Gobernanza de TI Marco de referencia y modelo 1 Objeto y campo de aplicación Este Informe Técnico proporciona una guía sobre la naturaleza y los mecanismos de gobernanza y gestión en conjunto con las relaciones entre ellos, en el contexto de TI dentro de una organización. El propósito de este Informe Técnico es proporcionar información sobre un marco de referencia y el modelo que se puede utilizar para establecer los límites y relaciones entre la gobernanza y la gestión del uso actual y futuro de TI por parte de una organización. Este Informe Técnico proporciona una guía para: directorios; gerentes que tienen que trabajar dentro de la autoridad y responsabilidad establecida por la gobernanza; asesores o aquellos que ayudan a la gobernanza de las organizaciones de todos los tamaños y tipos; y desarrolladores de normas de las áreas de gobernanza de TI y gestión de TI. 2 Términos y definiciones Para los propósitos de este documento, se aplican los siguientes términos y definiciones. 2.1 aceptable cumple con las expectativas de las partes interesadas, razonables o meritorias las cuales se pueden mostrar como 2.2 responsable responsable por las acciones, decisiones y desempeño 2.3 responsabilidad estado de ser responsable Nota 1 a la entrada: La responsabilidad se refiere a una responsabilidad asignada. La responsabilidad se puede basar en una regulación o acuerdo o se puede asignar como parte de una delegación. 2.4 gobernanza corporativa sistema por el cual las corporaciones son dirigidas y controladas Nota 1 a la entrada: La gobernanza corporativa es gobernanza organizacional aplicada a las corporaciones. Nota 2 a la entrada: Desde Cadbury 1992 y OECD 1999. Nota 3 a la entrada: La definición se incluye para aclarar los cambios en la terminología de la edición anterior. 2.5 dirigir comunicar los propósitos y resultados deseados EN 2010 Todos los derechos reservados 2017-xxx 1
Documento: ITE INEN- ISO/IEC TR 38502 ORIGINAL: Fecha de iniciación del estudio:2017-01-23 INFORMACIÓN COMPLEMENTARIA TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN GOBERNANZA DE TI MARCO DE REFERENCIA Y MODELO. (ISO/IEC TR 38502:2014, IDT) Código ICS: 35.020 REVISIÓN: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficialización con el Carácter de por Resolución No. publicado en el Registro Oficial No. Fecha de iniciación del estudio: Fechas de consulta pública: 2017-02-08 hasta 2017-04-08 Comité Técnico de: Comité Interno del INEN Fecha de iniciación: 2017-02-02 Fecha de aprobación: 2017-02-02 Integrantes del Comité: NOMBRES: Ing. Fernanda Ortíz (Presidenta) Ing. Fausto Chancusig Ing. Luigi Furlan Ing. Hugo Rosero Ing. Eduardo Quintana Ing. Judith Quinatoa (Secretaria técnica de Proyectos) INSTITUCIÓN REPRESENTADA: INEN DIRECCIÓN EJECUTIVA INEN DIRECCIÓN DE REGLAMENTACIÓN INEN DIRECCIÓN DE VALIDADCIÓN Y CERTIFICACIÓN INEN DIRECCIÓN DE METROLOGÍA INEN DIRECCIÓN DE NORMALIZACIÓN INEN DIRECCIÓN DE NORMALIZACIÓN Otros trámites: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficializada como: Por Resolución No. Registro Oficial No.
Servicio Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla 17-01-3999 - Telfs: (593 2)3 825960 al 3825999 Dirección Ejecutiva: E-Mail: direccion@normalizacion.gob.ec Dirección de Normalización: E-Mail: consultanormalizacion@normalizacion.gob.ec Centro de Información: centrodeinformacion@normalizacion.gob.ec URL:www.normalizacion.gob.ec