Resumen
El propósito de este artículo es contextualizar los cambios a nivel normativo en materia de gobernanza de las Tecnologías de Información y Comunicación, que viven las entidades del Gobierno Central, Instituciones Autónomas y Municipalidades en Costa Rica, desde el 01 de enero del 2022, para presentar una propuesta de método basado en el marco de referencia de mejores prácticas para el gobierno y gestión de la I&T denominado COBIT 2019, que permita evaluar los procesos tecnológicos en la Municipalidad de Carrillo, a fin de obtener el diagnóstico de la situación actual y como valor agregado el diseño del sistema de gobierno las TIC de manera holística, para satisfacer los requerimientos y necesidades presentes, potencializar la gestión organizacional y generar valor público a través de los servicios que brinda el gobierno local.
Palabras clave: marco de gobernanza para las TIC; diseño de un sistema de gobierno de la I&T; buenas prácticas; valor público; gestión organizacional.
Abstract
The purpose of this article is to contextualize the changes at the regulatory level in terms of governance of Information and Communication Technologies, experienced by the Central Government Entities, Autonomous Institutions and Municipalities in Costa Rica, since January 1, 2022, to present a method proposal based on the reference framework of best practices for the government and management of I&T called COBIT 2019, which allows evaluating the technological processes in the Municipality of Carrillo, in order to obtain the diagnosis of the current situation and as a value added the design of the IT government system in a holistic manner, to meet the present requirements and needs, enhance organizational management and generate public value through the services provided by the local government.
Keywords: governance framework for IT; design of an I&T governance system; good practices; public value; organizational management
Introducción
Con base en el Oficio MICITT-DGD-OF-215-2021 del 11 de noviembre de 2021, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) como ente rector en materia de Tecnología y Gobernanza Digital divulgó a todas las entidades del Gobierno Central, Instituciones Autónomas y Municipalidades el nuevo Marco Normativo de Gobierno y Gestión de las Tecnologías de Información (Mora, 2021, p. 2). El cual sustituye las Normas Técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CODFOE) (Aguilar, 2007, p. 1) derogadas por la Contraloría General de la República mediante la resolución N° R-DC-17-2020 del diecisiete de marzo del dos mil veinte (Contraloría General de la República, 2022, p. 5).
Actualmente el MICITT funge como ente rector en mate ria de: Ciencia, Tecnología, Telecomunicaciones y Gobernanza Digital (MIDEPLAN, 2017, p. 10), según Decreto Ejecutivo N° 41187-MP-MIDEPLAN, Reglamento de Organización del Poder Ejecutivo. Por lo tanto, es el encargado de emitir políticas públicas en estas áreas, así como, promover la modernización y el aprovechamiento de los recursos tecnológicos que utiliza el Estado, es tableciendo la debida coordinación con los demás órganos de la administración pública.
Producto de lo anterior, el Gobierno Central de Costa Rica, demuestra ser consciente que las Tecnologías de Información y Comunicación se han convertido en un recurso estratégico que potencializa la gestión organizacional dentro de las instituciones del Estado, y estas a su vez invierten grandes sumas de dinero en bienes y servicios, que les permiten dar continuidad al negocio mediante la implementación de infraestructuras tecnológicas, con el propósito de satisfacer los requerimientos internos y mejorar la prestación de los servicios ante la ciudadanía.
Bajo este entorno de cambio continuo, la implementación de un proceso de gobernanza de las tecnologías de información y co municación, que sirva como marco integrador para ayudar a las entidades públicas a alcanzar sus metas estratégicas al alinear los objetivos técnicos con los de la alta dirección es fundamental, para potencializar las cadenas de valor institucionales. No obstante, para que las instituciones del Estado costarricense puedan generar valor público, es necesario pasar del paradigma de TI como recolector e implementador de las demandas de las partes interesadas a una gestión TI enfocada a apoyar el cumplimiento de la estrategia organizacional.
Las entidades del estado central, los municipios y las instituciones autónomas dependen en gran medida de dispositivos electrónicos e infraestructura tecnológica para mantener la continuidad del negocio, por lo que es importante desarrollar un marco rector para la gestión de las tecnologías de la información y comunicación, que asegure las inversiones, organice los recursos y dé equilibrio a las actividades sustantivas. Todo esto, debidamente alinea- do con las disposiciones del marco jurídico nacional, fomentando buenas relaciones con las partes interesadas y los proveedores de bienes y servicios de índole tecnológico.
El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones - MICITT elaboró el documento de Normas Técnicas de Gestión y Control de Tecnologías de la Información, con base en el marco de referencia de mejores prácticas para el gobierno y gestión de la información y tecnología denominado COBIT 2019, para que las instituciones las adopten y personalicen a su realidad organizacional actual; promoviendo de esta forma una efectiva ad- ministración de las I&T.
Las máximas autoridades, titulares subordinados y auditoría interna, según lo establecido por las disposiciones citadas anteriormente, serán responsables de establecer mecanismos de seguimiento y control que garanticen el establecimiento de un marco orientador para la gestión de la I&T. Por lo tanto, deberán establecer, mantener, evaluar y mejorar este marco de gobierno y gestión de las tecnologías de la información y comunicación de conformidad con lo dispuesto en la Ley General de Control Interno.
Por los argumentos expuestos anteriormente, se resalta que el método presentado en este artículo coadyuva con el proceso de evaluación y diagnóstico al que las organizaciones públicas deben someterse, para medir el nivel de cumplimiento y determinación de brechas, mismas que deben ser atendidas como parte de la me- jora continua de los procesos institucionales y la efectiva implementación del marco normativo emitido por el MICITT, mismo que será fiscalizado por la Contraloría General de la República.
Marco Teórico
Al hablar de Tecnologías de Información y Comunicación, se hace referencia de manera implícita a conceptos relacionados al: hardware para todo aquello que tenga que ver con las partes físicas de los dispositivos y software para lo que corresponde a los pro- ductos lógicos (Peña et al., 2010, p. 75).
A través de este apartado se pretende exponer las definiciones más relevantes, en función al tema que se desarrolla por medio de esta propuesta, entre los cuales resaltan: los sistemas operativos, que consisten en productos cuya función principal es fungir como intermediario entre los dispositivos y los usuarios, facilitando la interacción y aprovechamiento de los recursos físicos que compo nen los equipos de cómputo. (Crescentino, 2009, p. 20).
A nivel de mercado, existen dos marcadas corrientes: los sistemas operativos propietarios que demandan el pago de una licencia para su uso y los basados en software libre que no requieren ninguna inversión en cuanto a derechos de uso. Importante resaltar que las organizaciones deben velar por el cumplimiento de las normas y leyes relacionadas a la protección de derechos de propiedad intelectual a la hora de decidir cuál de las dos tendencias desea implementar (Peña et al., 2010, p. 23).
Asimismo, en esta sección se desea resaltar las ventajas del sof tware libre, movimiento que nació en Estados Unidos, alrededor de los años ochenta, su mayor promotor ha sido el físico, programador, Richart Stallman, creador de la Fundación para el Software Libre (Free Software Foundation), organización sin fines de lucro para la promoción del movimiento de Software Libre a nivel mundial.
El software libre, es regulado por un tipo de licencia denominada GPL (General Public License), la cual establece las siguientes libertades asociadas a su uso (Crescentino, 2009, p. 28):
-
1. Uso, para cualquier propósito.
-
2. Acceso al código fuente, con el fin de poder estudiar su estructura.
-
3. Distribución de copias, (con o sin modificaciones), para su divulgación y ayuda a la comunidad y público en general.
-
4. Mejora y actualización de programas, publicando las modificaciones para beneficio general.
Por otra parte, se presentan los sistemas de información, mismos que necesitan un sistema operativo para ser instalados y que permiten el registro, administración, almacenamiento y procesamiento de datos, por medio de un conjunto de elementos relacionados e integrados por hardware, software y usuarios. Con el objetivo de generar información que coadyuve con una óptima gestión de los recursos tecnológicos y que apoyen la toma de decisiones por parte de los altos mandos de cada organización (Delgado et al., 2005, p. 146).
Expuestos estos importantes conceptos, relacionados a los aspectos técnico-operativo de las TIC continuamos con lo que res- pecta al marco de referencia de mejores prácticas para el gobierno y gestión de la información y tecnología denominado COBIT 2019, el cual provee un enfoque holístico para el diseño de un sistema de gobernanza de Tecnologías de Información y Comunicación, por medio de objetivos de gobierno y gestión que propor cionan buenas prácticas para el control de los procesos asociados a TI. Fue publicado en el año 2018 por ISACA como parte de la evolución del producto, con el fin de potencializar las cadenas de valor tecnológico dentro de las organizaciones (Cortés, 2021, p. 12; ISACA, 2018b, p. 11).
De igual manera, coadyuva a que las empresas alcancen un equilibrio entre las inversiones y los requerimientos de automatización de los procesos, valorando los riesgos asociados para satisfacer las necesidades y expectativas del negocio.
COBIT 2019 brinda la posibilidad de que las organizaciones logren tropicalizar la implementación de los procesos, a través de buenas prácticas para el diseño de un sistema de gobierno de TI, sin importar el ámbito de acción (público o privado) y tamaño (pequeñas, medianas o grandes). Para ello, propone su adopción bajo siete componentes para el diseño de un sistema de gobierno (ISACA, 2018b, pp. 21-22):
Procesos | Estructuras organizativas | Principios, políticas y procedimientos | Información | Cultura, ética y comportamiento | Personas, habilidades y competencias | Servicios, infraestructura y aplicaciones.
Este marco para la gobernanza de las TIC está compuesto por cinco dominios, el primero enfocado a Gobierno de TI y los restantes a Gestión de TI, mismos que se detallan a continuación (ISACA, 2018b, p. 20):
-
Gobierno:
-
Evaluar, Orientar y Supervisar (EDM).
-
Gestión:
Alinear, Planificar y Organizar (APO) | Construir, Adquirir e Implementar (BAI) | Entregar, dar Servicio y Soporte (DSS) | Supervisar, Evaluar y Valorar (MEA).
Entre estos se distribuyen 40 objetivos de gobierno y gestión que componen el modelo Core de COBIT (ISACA, 2018b, p. 19).
Método de Evaluación de Procesos Tecnológicos
Desde el 01 de enero del 2022, existe una necesidad inminente para las Entidades del Gobierno Central, Instituciones Autónomas y Municipalidades en cuanto al cumplimiento del nuevo Marco para la Gestión de las Tecnologías de Información y Comunicación emitido por el MICITT como ente rector; por lo que, en los siguientes apartados se propone y detalla el método aplicado en la Municipalidad de Carrillo, ubicada en la provincia de Guanacaste, como parte del Trabajo Final de Investigación Aplicada de (Cortés, 2021) para la Universidad de Costa Rica denominado''EVALUACIÓN POR MEDIO DE COBIT 2019, DEL MODE- LO DE GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN DE LA MUNICIPALIDAD DE CARRILLO, PRODUCTO DE LOS PROCESOS DE MIGRACIÓN DE SISTE- MAS OPERATIVOS E INFORMÁTICOS''.
Este recurso representa un insumo importante para emprender un proceso de diagnóstico de los procesos tecnológicos dentro de cualquier entidad pública que lo desee; mismo que a su vez genera como resultado el diseño del sistema de gobierno de la I&T, que marcará el norte para la implementación del marco de referencia de mejores prácticas para el gobierno y gestión de la información y tecnología denominado COBIT 2019.
A través de dicha investigación se utilizaron los 7 componentes para el diseño de un sistema de gobierno (ISACA, 2018b, p. 22), como instrumento para analizar y evaluar las acciones llevadas a cabo por la Municipalidad de Carrillo para establecer su modelo de gestión de TIC, además de determinar brechas de cumplimiento con respecto a las actividades relacionadas con las prácticas de gobierno y gestión de los objetivos que formaron parte de la inves tigación (Cortés, 2021, p. 81)
Es importante resaltar que toda organización pública o privada, pequeña, mediana o grande, debe evaluar los proyectos, etapas y procedimientos relacionados a su evolución tecnológica, ya que el no hacerlo provoca una atmósfera de incertidumbre con respecto al asertividad de las decisiones, estrategias y acciones ejecutadas para establecer su modelo de gestión de TIC (Esteban, 2005, p. 76).
Otro de los inconvenientes producto de la omisión de procesos evaluativos, se relaciona a la falta de definición de métricas e indicadores que permitan el levantamiento de estadísticas del estado tecnológico en un momento determinado, que sirvan de precedente para realizar análisis de crecimiento e identificar los niveles de capacidad de los procesos. A continuación, se presenta la forma en que (Cortés, 2021), aplicando los instrumentos de cascada de metas y factores de diseño que provee COBIT 2019, realizó la evaluación del modelo de gestión de TIC de la Municipalidad de Carrillo producto de los procesos de migración de sistemas operativos e información.
Cascada de Metas
Se utilizó el cuadro de mando integral genérico establecido por COBIT 2019, para la aplicación del instrumento''Cascada de Me- tas'', considerando los siguientes recursos: objetivos y metas definidos en el Plan Estratégico Municipal (PEM) vigente (Municipalidad de Carrillo, 2010, p. 41), entrevistas a las fuentes primarias y secundarias, metas empresariales, metas de alineamiento y objetivos de gobierno y gestión. En la Figura 7 se presenta una infografía que resalta los aspectos más relevantes de este proceso.
Infografía - cascada de metas definido por cobit 2019, propuesto para identificar los objetivos de gobierno y gestión a evaluar.
Relacionamiento Objetivos y Metas del PEM - Metas Empresariales:
El diseño de un sistema de gobierno, inicia con la vinculación de los objetivos y metas del PEM, complementado con informa ción recopilada por medio de entrevistas a las partes interesadas contra las metas empresariales definidas por COBIT 2019 (ISA CA, 2018b, p. 29).
Es fundamental tener presente los posibles escenarios, a la hora de aplicar el instrumento: (Cortés, 2021, pp. 31-32)
-
1. Existencia de al menos un objetivo o meta dentro del PEM para cada una de las 13 metas empresariales. En la Tabla 1 se identifican, por medio de las líneas que tienen el valor de''A'' en la columna''Objetivos y Metas Plan Estratégico'', por ejemplo, las metas: EG02, EG03 y EG04. Al cumplirse este factor para las 13 metas, se obtiene como resultado, el ámbito de cobertura máximo a la hora de diseñar un sistema de gobierno.
-
2. De acuerdo a la orientación y expectativas estratégicas del negocio es posible que para una o varias metas empresaria- les no exista un objetivo o meta del PEM a homologar. En la Tabla 1 se identifican, por medio de las líneas que en la columna''Objetivos y Metas Plan Estratégico'' están vacías, por ejemplo, la meta: EG01.
-
3. Otro escenario consiste en que, un mismo objetivo o meta dentro del PEM se encuentre relacionado con 2 o más me- tas empresariales. En la Tabla 1 se identifican, por medio de las líneas que tienen el valor de''B'' en la columna''Ob jetivos y Metas Plan Estratégico'', por ejemplo, las metas: EG05 y EG06.
-
4. Y por último que, existan 2 o más objetivos y metas dentro del PEM que puedan ser relacionadas con una sola meta empresarial. En la Tabla 1 se identifican, por medio de las líneas que tienen el valor de''C'' en la columna''Objetivos y Metas Plan Estratégico'', por ejemplo, la meta: EG057.
Para los escenarios 3 y 4 estas condiciones representarán un indicador de prioridad, para ser tomado en cuenta por parte del investigador.
Relacionamiento Metas Empresariales - Metas de Alineamiento:
Seguidamente, se realiza la aplicación del instrumento Metas de Alineamiento, el cual tiene como fin, identificar las acciones que realiza el Departamento TIC para apoyar y dar cumplimiento a las metas empresariales filtradas en el apartado anterior.
Para ello, se utiliza el recurso denominado: Tabla de relaciona- miento: Metas empresariales - Metas de alineamiento definido por COBIT 2019, del cual se recomienda utilizar inicialmente las celdas tipificadas con la letra''P'' (primarias) y para posteriores procesos cuando se cuente con mayor experiencia y madurez con- templar las''S'' (secundarias) (Cortés, 2021, p. 36; ISACA, 2018c,
p. 297).
Así las cosas, el paso a seguir consistió en identificar las me- tas de alineamiento representadas por la letra''P'' (primarias), que apoyan las metas. Cabe resaltar que una misma meta de alinea- miento puede apoyar el cumplimiento de varias metas empresa- riales, por ejemplo: AG04 y AG07 las cuales en la Tabla 2 han sido resaltadas en negrita (Cortés, 2021, p. 37).
Relacionamiento Metas de Alineamiento - Objetivos de Gobierno y Gestión:
El último paso para aplicar la''Cascada de Metas'' consiste en el relacionamiento de las metas de alineamiento identificadas, contra los 40 objetivos de gobierno y gestión, para identificar cuáles serán tomados en cuenta en el proceso evaluativo y el posterior estable- cimiento del sistema de gobierno propuesto por COBIT 2019.
El recurso utilizado para ello se denomina: Tabla de relaciona- miento: Metas de alineamiento - Objetivos de gobierno y gestión definidos por COBIT 2019. Se recomienda utilizar inicialmente las celdas tipificadas con la letra''P'' (primarios) y para posteriores procesos cuando se cuente con mayor experiencia y madurez con- templar los''S'' (secundarios) (Cortés, 2021, p. 39; ISACA, 2018c, p. 298).
Así las cosas, el paso a seguir consistió en identificar los objetivos de gobierno y gestión representados por la letra''P'' (primarias), que apoyan las metas de alineamiento. Cabe resaltar que un mismo objetivo de gobierno y gestión puede apoyar el cum plimiento de varias metas de alineamiento, por ejemplo: EDM03, APO12 y DSS05 los cuales en la Tabla 3 han sido resaltados en negrita (Cortés, 2021, p. 40).
Agrupamiento de Objetivos de Gobierno y Gestión por Dominio:
La Tabla 4, representa el producto final de la aplicación del instrumento''Cascada de Metas'', donde se reúnen los objetivos de gobierno y gestión que serán sometidos a evaluación y formarán parte del diseño del sistema de gobierno que cada organización debe implementar según las pautas y recomendaciones que define COBIT 2019.
Que, para los efectos de un proceso de evaluación y planificación de actividades que subsanen brechas de cumplimiento, representa un insumo valioso, ya que el investigador puede discernir a cuáles objetivos debe prestar mayor atención.
También, como parte de este artículo se detallan los instrumentos de análisis, resumen de resultados y planificación elaborados por (Cortés, 2021) para evaluar por medio de COBIT 2019 el modelo de gestión de TIC de la Municipalidad de Carrillo, producto de la migración de sistemas operativos e informáticos para el periodo 2020-2021:
-
Instrumento para la evaluación de los objetivos de gobierno y gestión seleccionados, basado en los 7 componentes para el diseño de un sistema de gobierno.
-
Instrumento para identificar los niveles de capacidad y brechas de cumplimiento de los procesos asociados a las prácticas de gobierno y gestión.
-
Instrumento resumen ejecutivo para sintetizar y presentar los resultados de la investigación.
-
Para finalizar, instrumento gerencial que permite planificar, priorizar, controlar y monitorear la implementación y cumplimiento de las actividades para subsanar las brechas con un horizonte de 3 años (Cortés, 2021, p. 82).
Factores de Diseño:
Una vez aplicado el instrumento de''Cascada de Metas'', por medio del cual se definió la base del sistema de gobierno general de la Municipalidad de Carrillo, se aplicó el instrumento denominado''Factores de Diseño'', concepto que se introduce en COBIT 2019 (ISACA, 2018b, p. 19), a través del cual se valoran una serie de factores que inciden directamente en la implementación del marco de gobernanza de las TIC; en otras palabras, la intención de este ejercicio es realizar un refinamiento del sistema de gobierno empresarial, tropicalizando las condiciones, expectativas y necesidades de la organización en lo que respecta a la información y la tecnología. (ISACA, 2018b, p. 23)
A continuación, se describe en qué consiste cada uno de los Factores de Diseño definidos por COBIT 2019:
Factor de Diseño 1 - Estrategia Empresarial:
Consiste en ponderar de acuerdo con una escala de 1-5, el nivel de importancia de cada uno de los cuatro arquetipos propuestos por COBIT 2019 (ISACA, 2018b, p. 23):
-
Crecimiento/Adquisición: La empresa se centra en el crecimiento (ingresos).
-
Innovación/Diferenciación: La empresa debe centrarse en ofrecer productos y servicios diferentes y/o innovadores a sus clientes.
-
Liderazgo en costes: La empresa debe centrarse en la minimización de costes a corto plazo.
-
Servicio al Cliente/Estabilidad: La empresa se centra en proporcionar un servicio estable y orientado al cliente.
Este proceso ayuda a identificar cual será el arquetipo base para alinear la estrategia empresarial, y en función a ello, definir las líneas de acción para alcanzar los objetivos y metas institucionales.
Factor de Diseño 2 - Metas Empresariales:
El siguiente factor está vinculado con el proceso de''Cascada de Metas'', descrito en apartados anteriores, toma como fuente las Metas Empresariales definidas por COBIT 2019, clasificadas en cuatro dimensiones dentro del cuadro de mando integral (Financiero, Cliente, Interno, Crecimiento) (ISACA, 2018b, p. 24), y tiene como objetivo, coadyuvar con la implementación de la estrategia empresarial en las organizaciones.
El abordaje de este factor de diseño, debe considerarse de forma holística, para lo cual es necesario que todas las partes interesa- das se involucren, participen de manera constante y promuevan actividades de sensibilización y concienciación del personal, que permitan alcanzar un nivel avanzado de asertividad a la hora de ponderar cada meta.
Factor de Diseño 3 - Perfil del Riesgo:
Mediante este apartado se realiza la valoración de los riesgos relacionados con la I&T, identificando posibles problemas y vulnerabilidades, con base en las categorías de escenario de riesgos esta blecidas por COBIT 2019. Este factor brinda la posibilidad de que la organización defina su apetito al riesgo, con el objetivo de tomar decisiones y acciones, en función del tratamiento y mecanismos de control que se deberán establecer, con base en los recursos y capacidades disponibles en la organización (ISACA, 2018b, p. 24).
Factor de Diseño 4 - Problemas relacionados con I&T:
Este factor de diseño va de la mano con el anterior, ya que con siste en un método complementario que coadyuva con la valoración de los riesgos a nivel de TIC, basándose en una lista genérica de problemas relacionados con I&T que provee COBIT 2019, con los cuales las empresas y organizaciones deben enfrentarse diaria- mente (ISACA, 2018b, p. 25).
Factor de Diseño 5 - Escenario de Amenazas:
Consiste en identificar el contexto organizacional, en función del nivel de amenazas bajo el cual opera la organización (ISACA, 2018b, p. 25):
-
Normal: La empresa funciona bajo lo que se consideran niveles de amenaza normales.
-
Alto: Debido a su situación geopolítica, sector industrial o perfil específico, la empresa funciona en un entorno de amenazas elevadas.
Factor de Diseño 6 - Requisitos de Cumplimiento:
Permite clasificar los requerimientos de cumplimento de la organización, en función de sus condiciones internas y externas, capacidades, necesidades y oportunidades de mejora, para la prestación de servicios, es necesario ponderar la organización con base en cada uno de los siguientes criterios (ISACA, 2018b, p. 26):
-
Requerimientos de cumplimiento bajos: La empresa está sujeta a un conjunto de requerimientos de cumplimiento mínimos que son inferiores a la media.
-
Requerimientos de cumplimiento normales: La empresa está sujeta a un conjunto de requerimientos de cumplimiento comunes a las distintas industrias.
-
Requerimientos de cumplimiento altos: La empresa está sujeta a requerimientos de cumplimiento más elevados a lo normal, en la mayoría de los casos relacionados con el sector industrial y las condiciones geopolíticas.
Factor de Diseño 7 - Rol de TI:
Con base en la categorización establecida en COBIT 2019 se realiza un análisis de la percepción de la alta gerencia y el empoderamiento de los departamentos de tecnologías de información y comunicación, que permita determinar el rol de TI dentro de la organización, los posibles enfoques son (ISACA, 2018b, p. 26):
-
Soporte: TI no es crucial para el funcionamiento y la con tinuidad de los procesos y servicios del negocio ni para su innovación.
-
Fábrica: Cuando las TI fallan, hay un impacto inmediato en el funcionamiento y continuidad de los procesos y ser- vicios del negocio. Sin embargo, las TI no se consideran un factor impulsor de la innovación de procesos y servicios del negocio.
-
Cambio: Las TI se consideran un factor impulsor de la in- novación de procesos y servicios del negocio. En este momento, sin embargo, no hay una dependencia crítica en TI para el funcionamiento y la continuidad actual de los procesos y servicios del negocio.
-
Estratégico: Las TI son críticas para el funcionamiento e innovación de los procesos y servicios del negocio de la organización.
Factor de Diseño 8 - Modelo de abastecimiento de proveedores para TI:
COBIT 2019, mediante este factor de diseño brinda la posibilidad a las organizaciones, de analizar la tendencia sobre su modelo de adquisición de bienes y servicios a nivel de tecnologías de in- formación, con el objetivo de dimensionar posibles riesgos y brechas para la organización, las cuales representan oportunidades de mejora para salvaguardar los activos e intereses de la organización, así como la adopción de nuevas tendencias y paradigma de la I&T. Las opciones a ponderar son (ISACA, 2018b, p. 26):
-
Externalización / Tercerización (outsourcing): La empre- sa requiere los servicios de un tercero para proporcionar servicios de TI.
-
Nube: La empresa maximiza el uso de la nube para propor- cionar servicios de TI a sus usuarios.
-
Internalizado (insourced): La empresa aporta su propio personal y servicios de TI.
-
Híbrido: Se aplica un modelo híbrido que combina los otros tres modelos en distintos grados.
Factor de Diseño 9 - Métodos de implementación de TI:
Para este factor de diseño, el ejercicio consiste en identificar los métodos de implementación de TI, que han adoptado los departamentos de tecnologías de información y comunicación, para satisfacer las necesidades internas y externas de la organización. Entre los valores disponibles están (ISACA, 2018b, p. 27):
-
Ágil: La empresa utiliza los métodos de desarrollo de tra- bajo Ágil para su desarrollo de software.
-
DevOPs: La empresa usa los métodos de trabajo DevOps para la creación, despliegue y operaciones de software.
-
Tradicional: La empresa usa un método más clásico para el desarrollo de software (cascada) y separa el desarrollo de software de las operaciones.
-
Híbrido: La empresa usa una mezcla de implementación de TI tradicional y TI moderna, a la que solemos referirnos como «TI bimodal».
Factor de Diseño 10 - Estrategia de adopción de tecnología:
Para determinar este factor de diseño, es necesario analizar los tres escenarios definidos por COBIT 2019, para identificar el perfil de adopción de las TI que ha materializado la organización por medio de las acciones implementadas por sus departamentos de tecnologías de información y comunicación. Los valores a considerar son (ISACA, 2018b, p. 27):
-
El que primero se mueve (First mover): La empresa suele adoptar nuevas tecnologías lo antes posible e intenta lograr la «ventaja del que primero se mueve».
-
Seguidor (Follower): La empresa suele esperar a que las nuevas tecnologías se generalicen y pongan a prueba antes de adoptarlas.
-
Adoptadores lentos (Slow adopter): La empresa tarda mucho en adoptar las nuevas tecnologías.
Resultado de la aplicación de cascada de metas y factores de diseño
Una vez aplicado el instrumento de''Factores de Diseño'', se logra pasar de un escenario general sobre el diseño del sistema de gobierno para la Municipalidad de Carrillo, basado en las expectativas y metas plasmadas en el Plan Estratégico Municipal versus el proceso de''Cascada de Metas'', a uno más concreto y específico, por medio de la determinación de los''Niveles de capacidad objetivo - sugerido'' por COBIT 2019 para cada uno de los objetivos de gobierno y gestión que formaron parte del alcance de la investigación (Cortés, 2021). La definición de escalas evaluativas denominadas''Niveles de capacidad'', permitieron identificar por medio de la aplicación del instrumento, el nivel que COBIT 2019 sugiere para cada proceso, según el nivel de cumplimiento de sus prácticas de gestión.
Por otra parte, la guía de diseño de COBIT 2019, abre la posibilidad a la organización que está realizando la implementación de definir un''Nivel de capacidad objetivo - decidido'' en función del alcance, con base en los recursos y capacidades disponibles, por esa razón, en el caso de la Municipalidad de Carrillo, se decidió establecer un valor de 2 (dos) para todos los objetivos de gobierno y gestión que forman parte de su proceso de implementación de la normativa emitida por el MICITT (ISACA, 2018a, p. 134).
En la Tabla 5 se resumen los objetivos de gobierno y gestión que forman parte del diseño del sistema de gobierno en la Municipalidad de Carrillo.
Descripción de Instrumentos Elaborados: Evaluación, Presentación de Resultados y Planificación de actividades para subsanar brechas de cumplimiento
Para iniciar con la evaluación es indispensable definir para cada proceso el''Nivel de capacidad objetivo - decido'', el cual representa las aspiraciones de cumplimiento por parte de la organización en cada uno de los ciclos de implementación, este valor va de 0 a 5 según la escala establecida por COBIT 2019 (ISACA, 2018b, p. 39). Importante señalar que este marco para la gobernanza de las TIC, dentro del documento guía de diseño abre la posibilidad de definir dicho valor en función del alcance proyectado, los recursos y capacidades disponibles.
Seguidamente, se describe la sistematización de los instrumentos elaborados por (Cortés, 2021), con el fin de que puedan ser adoptados y tropicalizados por cualquier Gobierno Local, institución pública o privada, pequeña, mediana o gran empresa.
Mediante el siguiente enlace: https://www.municarrillo.go.cr/ index.php/oficina-virtual/zona-descargas/category/28-instru- mento-de-evaluacion-modelo-de-gestion-de-tic-cobit-2019 se encuentran disponibles, diez hojas electrónicas (una por objetivo según la investigación de (Cortés, 2021)), cada una contiene 9 apartados, los primeros 7 se basan en los componentes para el diseño de un sistema de gobierno (ISACA, 2018c, p. 17):
Proceso | Estructura organizativa | Flujos y elementos de información | Personas, habilidades y competencias | Políticas y procedimientos | Cultura, ética y comportamiento
| Servicios, infraestructura y aplicaciones.
Estos permiten recopilar información concerniente al nivel de cumplimiento para su posterior análisis y presentación de resultados.
El instrumento para determinar el''Nivel de capacidad actual (NCA)'' de los procesos y las actividades relacionadas a las prácticas de gobierno y gestión que la entidad no ha atendido (las cuales representan brechas de cumplimiento), se ubica en el octavo apar tado de las hojas electrónicas.
Y, por último, se elabora una tabla de resumen ejecutivo que sintetiza el proceso evaluativo con base en los ocho apartados cita- dos anteriormente, su propósito principal es brindar a los lectores un resumen ejecutivo de los hallazgos, producto de la investigación realizada.
A continuación, se describe el propósito y estructura de cada componente:
1-Proceso: Se realizó una descomposición de las descripciones que establece COBIT 2019 para cada una de las prácticas de gobierno y gestión, con el fin de generar una serie de preguntas que permitan al investigador evaluar si la entidad cumple o no, con las actividades establecidas.
Las posibles respuestas son: Sí, Parcial y No, con el condicionante de que para las dos primeras es exigido rellenar la casilla
titulada''Soportes: Documentación o instrumentos'' con el propósito de aportar evidencias, para el caso de ser''No'' la celda queda vacía.
2- Estructura organizativa: Para este componente se plantea realizar un proceso de homologación de roles e identificación de responsabilidades para cada parte interesada, según los objetivos de gobierno y gestión evaluados. Dentro del instrumento se proporciona una tabla denominada''Homologación de Roles COBIT 2019 - Municipalidad de Carrillo'', para asociar cada puesto con el rol establecido por COBIT 2019, para luego proceder con la asignación de responsabilidades (R: Responsable, A: Quien rinde cuentas) (ISACA, 2018b, p. 40).
Para finalizar se debe responder a la interrogante: cumple, existe o no cumple, cada rol con la función establecida; la segunda opción aplica en los escenarios donde la organización carece del profesional o puesto para la homologación.
3- Flujos y elementos de información: En esta sección, se de- fine como base del proceso evaluativo, las salidas (productos) establecidas por COBIT 2019 para cada práctica de gobierno y gestión. Las''Descripciones de las Salidas'' fueron transformadas en preguntas de evaluación, que permiten al investigador evaluar si la entidad cumple o no, con las actividades establecidas.
Las posibles respuestas son: Sí, Parcial y No, con el condicionante de que para las dos primeras es exigido rellenar la casilla titulada''Soportes: Documentación o instrumentos'' con el fin de aportar evidencias, para el caso de ser''No'' la celda queda vacía.
Con respecto a las''Descripciones de las Entradas'', estas no han sido tomadas en cuenta para la presente guía, ya que para la investigación de (Cortés, 2021), la prioridad se centró en medir si los objetivos de gobierno y gestión relacionados a los procesos de migración de sistemas operativos e informáticas, estaban generando las salidas (productos) establecidos por COBIT 2019.
4- Personas, habilidades y competencias: En función de pro- curar una implementación de acciones correctivas y efectiva toma de decisiones, para cumplir con las actividades relacionadas a este componente, se plantea realizar un levantamiento de los factores a evaluar planteados por COBIT 2019 (ISACA, 2018b, p. 22).
Cada factor a considerar debe medirse en función al cumplimiento (existencia) para lo cual se debe responder: Sí, Parcial y No,
con la condición de que para las dos primeras es exigido rellenar la casilla titulada''Documentación de Referencia'' con la intención de aportar evidencias, para el caso de ser''No'' la celda queda vacía.
5-Políticas y procedimientos: Por medio de este componen-
te se pretende evaluar el cumplimiento de las políticas y procedimientos relevantes dispuestos por COBIT 2019, que sirvan de orientación para las organizaciones sobre cómo materializar una gestión efectiva y práctica de las TIC (ISACA, 2018b, p. 21).
Tomando como base la''Descripción de la política'', se recomienda levantar un listado de documentación existente, que per- mita medir el cumplimiento e identificar las brechas relacionadas al componente.
6- Cultura, ética y comportamiento: Este componente se utiliza para evaluar el accionar de las partes interesadas en conjunto con el de organización de una forma holística, por medio de una serie de elementos culturales clave propuestos por COBIT 2019 (ISACA, 2018b, p. 22).
A través de la descripción de los''Elementos Culturales Clave'', se recomienda levantar un listado de documentación existente que permita medir el cumplimiento e identificar las brechas relaciona- das.
7- Servicios, infraestructura y aplicaciones: COBIT 2019 plantea una lista de factores clave a evaluar que permiten al investigador analizar los aspectos estratégicos-operativos vincula- dos a la infraestructura, tecnología y aplicaciones que facilitan el establecimiento de un sistema de gobierno en las organizaciones (ISACA, 2018b, p. 22).
Cada factor debe medirse en función al cumplimiento (existencia) para lo cual se debe responder: Sí, Parcial y No, con la condición de que para las dos primeras es exigido rellenar la casilla titulada''Documentación de Referencia'' con la intención de aportar evidencias, para el caso de ser''No'' la celda queda vacía.
8- Herramienta para determinar el''Nivel de capacidad ac tual (NCA)'' y brechas: Con base en la escala definida por COBIT 2019 para evaluar el nivel de cumplimiento de cada proceso, es posible determinar el nivel de capacidad actual. A continuación, se describe cada uno de los posibles valores a asignar (ISACA, 2018b, p. 39):
-
N = No se alcanzó 0% a 15%
-
P = Se alcanzó parcial 15% a 50%
-
L = Alcance gran medida 50% a 85%
-
F = Totalmente alcanzado 85% a 100%
Para iniciar con el proceso se recomienda previamente indicar en la parte superior derecha del instrumento, el valor correspondiente al''Nivel de Capacidad Objetivo (NCO)'' decidido por la organización, mismo que se define durante la aplicación del método de''Cascada de Metas'', ya que, a partir de este dato, automática- mente todas las''Actividades'' cuyo nivel de capacidad sea igual o menor, serán tipificadas con el valor de''F'' en la columna titulada''METAS'', lo que significa que serán sometidas a evaluación, las restantes cuyo nivel de capacidad es mayor no serán consideradas.
Seguidamente, la dinámica consiste en:
-
Ir estableciendo el valor de cumplimiento e implementa ción, actividad por actividad por medio de la columna titulada''VALOR'' con base en la escala descrita en párrafos anteriores.
-
Las actividades cuya valoración se encuentre entre 85% a 100% automáticamente pasarán de No Cumplida a Cumplida en la columna titulada''Observación''.
-
Cuando la valoración del cumplimiento e implementación, esté por debajo de 85% la herramienta validará contra el nivel de capacidad objetivo y al ser menor, no cambiará de estado, ya que la actividad no estaría cumpliendo el nivel que se requiere. Lo que da como resultado una brecha de cumplimiento.
-
Para hacer una referencia más explícita se recomienda re- saltar manualmente de color amarillo la actividad.
-
Es necesario aplicar el mismo procedimiento de medición al resto de actividades que conforman las prácticas de gobierno o gestión por medio de la columna titulada''VA- LOR'', y al finalizar el proceso se genera automáticamente una valoración del nivel de cumplimiento general para cada práctica, mismo que se ubica en una de las cuatro categorías de la escala evaluativa (N, P, L o F). Esta nota la podemos ubicar en el bloque de celdas que está al lado derecho del apartado''Métricas modelo''.
-
Es importante tener presente que para el grupo de actividades que representen valores mayores al valor del nivel de capacidad objetivo, no es necesario someterlas a evaluación, por lo tanto, solamente se omiten, pero se realiza la salvedad de que deben ser consideradas en futuros procesos para dar cobertura al marco de gobernanza propuesto por COBIT 2019.
-
Culminado el proceso de valoración, para establecer el nivel de capacidad es necesario tener claro que todas las actividades que componen cada apartado, deben ser cumplidas cabalmente para poder indicar que se ha alcanzado dicho nivel, en caso de existir actividades sin cumplir en un determinado nivel objetivo, el nivel de capacidad actual del proceso será representado por el valor del nivel anterior.
9- Resumen - Resultados de la Evaluación: En la última pes- taña de la hoja electrónica se plantea una estructura para presentar los resultados obtenidos por medio de los siete componentes para el diseño de un sistema de gobierno y la herramienta para determinar el''Nivel de capacidad actual (NCA)'' y brechas. En conclusión, este instrumento representa un resumen ejecutivo con la síntesis de la evaluación realizada por medio de los 8 apartados descritos anteriormente, para cada uno de los objetivos de gobierno y gestión que formen parte del proceso evaluativo.
10- Plan de acción para subsanar brechas de cumplimiento: Una vez concluido el proceso de recopilación de información, aná- lisis y evaluación, es necesario planificar y proyectar en el tiempo las siguientes interrogantes: ¿Qué se va hacer? y ¿Cuándo se va hacer?, para poder dimensionar los recursos financieros, humanos y técnicos que se necesitan para dar cumplimiento a las actividades establecidas por COBIT 2019. A continuación, se describe la estructura y fin del instrumento:
Las tres primeras columnas de izquierda a derecha sirven para ordenar los elementos de manera jerárquica, según la clasificación definida por COBIT 2019:
-
Objetivos.
-
Prácticas.
-
Actividades para el cumplimiento de Prácticas / Para ciclos de implementación COBIT 2019.
La columna''Tipo de Práctica'' especifica si las actividades co rresponden a un objetivo de gobierno o gestión.
Los valores de la columna titulada''Nivel Capacidad Sugerido COBIT 2019'' se obtienen con base en la Herramienta para de- terminar el''Nivel de capacidad actual (NCA)'' y brechas, ya que cada actividad está asociada a un nivel de capacidad establecido por COBIT 2019.
Los valores de la columna titulada''Nivel Capacidad Actual MuniCarrillo'' serán el producto del proceso de evaluación aplica- do al objetivo de gobierno o gestión analizado y por consiguiente para las actividades que lo componen. La columna titulada''Nota Cumplimiento Actual'' reúne las calificaciones dadas por el evaluador para cada una de sus actividades en función del cumplimiento por parte de la organización.
Mediante la columna''Actividades que Necesitan Atención'' se asigna el valor de Si, No y N/A esto para clasificar el inventario de actividades sometidas a evaluación.
Las siguientes nueve columnas están planteadas para proyectar y medir el nivel de cumplimiento a mediano plazo, ya que el horizonte se define a tres años. Por medio de esta herramienta la línea de mando gerencial contará con un cuadro de mando integral para conocer y monitorear si la organización al gestionar las TIC por medio de un marco de gobernanza va mejorando o no.
Además de identificar riesgos y posibles desviaciones para las cuales será necesario tomar decisiones asertivas en cuanto a in- versión, aumento de personal, entre otros en el momento oportuno.
Conclusiones
A través del estudio de (Cortés, 2021), fue posible elaborar una guía para evaluar la evolución tecnológica de la Municipalidad de Carrillo, producto de los procesos de migración de sistemas operativos e informáticos por medio de COBIT 2019. Para ello se realizó una sistematización del proceso evaluativo y una descripción detallada de los instrumentos elaborados para el levantamiento de información. Es importante resaltar, que este método tiene la versatilidad, de poder ser utilizado para llevar a cabo procesos evaluativos de TI en cualquier organización, razón por la cual se
convierte en un insumo valioso para el gremio municipal y demás instituciones nacionales e internacionales que lo necesiten.
En el caso específico de Costa Rica producto de los cambios a nivel normativo en materia de gobernanza de las TI, que viven las Entidades del Estado Central, Instituciones Autónomas y Municipalidades, desde el 01 de enero del 2022, esta propuesta de método basado en el marco de referencia de mejores prácticas para el gobierno y gestión de la información y tecnología denominado COBIT 2019, representa un valioso instrumento para evaluar los procesos tecnológicos en las organizaciones, obteniendo como resultado el diagnóstico de la situación actual y como valor agregado el diseño del sistema de gobierno de la I&T de manera holística, que permitirá satisfacer los requerimientos y necesidades presentes, potencializar la gestión organizacional y generar valor público a través de los servicios brindados a la ciudadanía.
Al aplicar este instrumento, las organizaciones podrán elaborar un levantamiento de acciones asertivas, brechas de cumplimiento y oportunidades de mejora, sustentadas bajo el marco de gobernanza de las TIC denominado COBIT 2019, el cual fue tomado como guía para el establecimiento de estándares y normas sobre cómo ejecutar los procesos del negocio apoyados en TI. Es impor tante medir el estado actual de los procesos, ya que permite conocer las fortalezas, oportunidades, debilidades y amenazas en torno al negocio. A través de estos insumos los gerentes y altos mandos institucionales, podrán tomar decisiones estratégicas para definir el rumbo de la organización a mediano y largo plazo.
Otro beneficio de medir el estado actual de los procesos, consiste en la posibilidad de dar seguimiento a las acciones que permitirán dar cumplimiento a las brechas identificadas, ya que estas, determinarán el crecimiento y madurez institucional como parte del establecimiento de un sistema de gobierno de TIC, por medio de los siete componentes que ha establecido COBIT 2019, que fue- ron tropicalizados en el instrumento de evaluación propuesto por (Cortés, 2021).
El instrumento denominado''Plan de acción para subsanar brechas de cumplimiento'', se plantea como una alternativa para que los gerentes de TI puedan proyectar, planificar y priorizar a un horizonte de 3 años, el cumplimiento de todas aquellas actividades asociadas al nivel de capacidad objetivo decidido, para el ciclo de implementación de COBIT 2019 que ejecute la organización.
Adoptar COBIT 2019 como marco de gobernanza de las TIC, abre la posibilidad de implementar a nivel institucional un sistema de información para ejecutivos que coadyuve con el estable- cimiento de un modelo integrado de servicios, procesos e información claves para el cumplimiento de las metas y estrategias institucionales de mediano y largo plazo, dotando a los gerentes y altos mandos de información ejecutiva para entender la dinámica interna y externa, con el fin de tomar decisiones asertivas para potencializar la cadena de valor de los servicios que brinda la organización (Muñoz et al., 2016, p. 209).
Para finalizar, es importante destacar que esta propuesta ofrece la posibilidad de llevar a cabo una evaluación de los procesos tecnológicos en las organizaciones basada, en el marco de buenas prácticas de gobierno y gestión de la I&T denominado COBIT 2019, para determinar su situación actual con el fin de establecer las acciones y estrategias que coadyuven con la definición del marco de gestión de TI emitido por el MICITT, que todas las entidades del Gobierno Central, Instituciones Autónomas y Municipalidades en Costa Rica deben implementar y ejecutar a partir del año 2022.
Referencias:
-
Aguilar, R. (2007). Contraloría General de la República Normas técnicas para la gestión y el control de las Tecnologías de Información (p. 15). Contraloría General de la República. https:// www.pgr.go.cr/wp-content/uploads/2017/04/Normas-TI_N- 2-2007-CO-DFOE.pdf
» https:// www.pgr.go.cr/wp-content/uploads/2017/04/Normas-TI_N- 2-2007-CO-DFOE.pdf - Contraloría General de la República. (2022). Medidas tomadas por las instituciones ante la derogatoria de las Normas Técnicas para la Gestión y Control de las Tecnologías de Información.
- Cortés, A. A. (2021). Evaluación por medio de COBIT 2019, del Modelo de Gestión de Tecnologías de Información y Comunicación de la Municipalidad de Carrillo, producto de los procesos de migración de sistemas operativos e informáticos. En Repositorio Kérwá Universidad de Costa Rica. Universidad de Costa Rica.
-
Crescentino, L. (2009). El software libre y su implementación en la administración pública. 1-83. https://bdigital.uncuyo.edu.ar/ objetos_digitales/2930/tesinacrescentino.pdf
» https://bdigital.uncuyo.edu.ar/ objetos_digitales/2930/tesinacrescentino.pdf -
Delgado, Á., Hernández, M., & Vega, L. (2005). Metodología para la evaluación de riesgos en el diseño e implementación de sistemas de información (Universidad de Costa Rica). http://repositorio. sibdi.ucr.ac.cr:8080/jspui/bitstream/123456789/999/1/25238. pdf
» http://repositorio. sibdi.ucr.ac.cr:8080/jspui/bitstream/123456789/999/1/25238. pdf -
Esteban, P. (2005). La evaluación de tecnología, un proceso estraté- gico y estocástico (pp. 69-81). Escuela de Ingeniería de Antioquia, Medellín (Colombia). https://doi.org/1794-1237
» https://doi.org/https://doi.org/1794-1237 - ISACA. (2018a). COBIT 2019 Guía de Diseño. 100.
- ISACA. (2018b). COBIT 2019 Introducción y metodología. 64.
- ISACA. (2018c). COBIT 2019 Objetivos de gobierno y gestión. 302.
- MIDEPLAN. (2017). N° 41187-MP-MIDEPLAN.
- Mora, , J. (2021). MICITT-DGD-OF-215-2021.
-
Municipalidad de Carrillo. (2010). Plan Estratégico Municipal- Cantón de Carrillo. 169. https://www.municarrillo.go.cr/ images/2017/files/planificacion/plan_estrategico_municipal_ canton_carrillo.pdf
» https://www.municarrillo.go.cr/ images/2017/files/planificacion/plan_estrategico_municipal_ canton_carrillo.pdf -
Muñoz, H., Osorio, R., & Zuñiga, L. (2016). Inteligencia de los negocios. Revista Clío América, 10(20), 194-211. https://www- proquest-com.ezproxy.sibdi.ucr.ac.cr/docview/2102375661/ 90D3ED3EB9724D33PQ/1?accountid=28692
» https://www- proquest-com.ezproxy.sibdi.ucr.ac.cr/docview/2102375661/ 90D3ED3EB9724D33PQ/1?accountid=28692 -
Peña, J., Romero, E., & Román, C. (2010). Metodología para Creación y Administración de Centros Cómputo (Universidad Nacional Autónoma de México). http://www.ptolomeo.unam. mx:8080/xmlui/bitstream/handle/132.248.52.100/930/Tesis. pdf?sequence=1
» http://www.ptolomeo.unam. mx:8080/xmlui/bitstream/handle/132.248.52.100/930/Tesis. pdf?sequence=1
Fechas de Publicación
-
Fecha del número
Jan-Jun 2023
Histórico
-
Recibido
04 Feb 2022 -
Acepto
04 Mayo 2022