Propuesta de método basado en COBIT 2019, para la
evaluación de procesos tecnológicos en la municipalidad
de Carrillo
Andrés Alberto Cortés Fuentes
InterSedes, Revista electrónica de las sedes regionales de la Universidad de Costa Rica,
ISSN 2215-2458, Volumen XXIV, Número 49, Enero-Junio, 2023.
10.15517/isucr.v24i49 | intersedes.ucr.ac.cr | intersedes@ucr.ac.cr
A: e purpose of this article is to contextualize the changes at the regulatory level
in terms of governance of Information and Communication Technologies, experienced
by the Central Government Entities, Autonomous Institutions and Municipalities in
Costa Rica, since January 1, 2022, to present a method proposal based on the reference
framework of best practices for the government and management of I&T called COBIT
2019, which allows evaluating the technological processes in the Municipality of Carrillo,
in order to obtain the diagnosis of the current situation and as a value added the design
of the IT government system in a holistic manner, to meet the present requirements and
needs, enhance organizational management and generate public value through the services
provided by the local government.
R: El propósito de este artículo es contextualizar los cambios a nivel normativo en
materia de gobernanza de las Tecnologías de Información y Comunicación, que viven las
entidades del Gobierno Central, Instituciones Autónomas y Municipalidades en Costa Rica,
desde el 01 de enero del 2022, para presentar una propuesta de método basado en el marco
de referencia de mejores prácticas para el gobierno y gestión de la I&T denominado COBIT
2019, que permita evaluar los procesos tecnológicos en la Municipalidad de Carrillo, a n
de obtener el diagnóstico de la situación actual y como valor agregado el diseño del sistema
de gobierno las TIC de manera holística, para satisfacer los requerimientos y necesidades
presentes, potencializar la gestión organizacional y generar valor público a través de los
servicios que brinda el gobierno local.
Universidad de Costa Rica
Municipalidad de Carrillo
Carrillo, Filadela, Guanacaste,
Codta Rica
a_cortes@municarrillo.go.cr
Publicado por la Editorial Sede del Pacíco, Universidad de Costa Rica
P : marco de gobernanza para las TIC, diseño de un sistema de gobierno de
la I&T, buenas prácticas, valor público, gestión organizacional
K: governance framework for IT, design of an I&T governance system, good
practices, public value, organizational management
Proposal for a method based on COBIT 2019, for the evaluation of technological processes
in the municipality of Carrillo
Recibido: 04-02-22 | Aceptado: 04-05-22
C (APA): Cortés Fuentes, A. A. (2023). Propuesta de Método basado en COBIT 2019, para la
evaluación de procesos tecnológicos en la Municipalidad de Carrillo (Nota Técnica). InterSedes, 24(49), 276-
306.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
277
Introducción
Con base en el Ocio MICITT–DGD-OF-215-2021 del 11 de
noviembre de 2021, el Ministerio de Ciencia, Innovación, Tec-
nología y Telecomunicaciones (MICITT) como ente rector en
materia de Tecnología y Gobernanza Digital divulgó a todas las
entidades del Gobierno Central, Instituciones Autónomas y Mu-
nicipalidades el nuevo Marco Normativo de Gobierno y Gestión
de las Tecnologías de Información (Mora, 2021, p. 2). El cual sus-
tituye las Normas Técnicas para la gestión y el control de las Tec-
nologías de Información (N-2-2007-CODFOE) (Aguilar, 2007, p.
1) derogadas por la Contraloría General de la República mediante
la resolución N° R-DC-17-2020 del diecisiete de marzo del dos mil
veinte (Contraloría General de la República, 2022, p. 5).
Actualmente el MICITT funge como ente rector en mate-
ria de: Ciencia, Tecnología, Telecomunicaciones y Gobernanza
Digital (MIDEPLAN, 2017, p. 10), según Decreto Ejecutivo N°
41187-MP-MIDEPLAN, Reglamento de Organización del Poder
Ejecutivo. Por lo tanto, es el encargado de emitir políticas públicas
en estas áreas, así como, promover la modernización y el aprove-
chamiento de los recursos tecnológicos que utiliza el Estado, es-
tableciendo la debida coordinación con los demás órganos de la
administración pública.
Producto de lo anterior, el Gobierno Central de Costa Rica,
demuestra ser consciente que las Tecnologías de Información y
Comunicación se han convertido en un recurso estratégico que
potencializa la gestión organizacional dentro de las instituciones
del Estado, y estas a su vez invierten grandes sumas de dinero en
bienes y servicios, que les permiten dar continuidad al negocio
mediante la implementación de infraestructuras tecnológicas, con
el propósito de satisfacer los requerimientos internos y mejorar la
prestación de los servicios ante la ciudadanía.
Bajo este entorno de cambio continuo, la implementación de
un proceso de gobernanza de las tecnologías de información y co-
municación, que sirva como marco integrador para ayudar a las
entidades públicas a alcanzar sus metas estratégicas al alinear los
objetivos técnicos con los de la alta dirección es fundamental, para
potencializar las cadenas de valor institucionales. No obstante,
para que las instituciones del Estado costarricense puedan generar
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
278
valor público, es necesario pasar del paradigma de TI como reco-
lector e implementador de las demandas de las partes interesadas a
una gestión TI enfocada a apoyar el cumplimiento de la estrategia
organizacional.
Las entidades del estado central, los municipios y las institucio-
nes autónomas dependen en gran medida de dispositivos electró-
nicos e infraestructura tecnológica para mantener la continuidad
del negocio, por lo que es importante desarrollar un marco rector
para la gestión de las tecnologías de la información y comunica-
ción, que asegure las inversiones, organice los recursos y dé equi-
librio a las actividades sustantivas. Todo esto, debidamente alinea-
do con las disposiciones del marco jurídico nacional, fomentando
buenas relaciones con las partes interesadas y los proveedores de
bienes y servicios de índole tecnológico.
El Ministerio de Ciencia, Innovación, Tecnología y Telecomu-
nicaciones – MICITT elaboró el documento de Normas Técnicas
de Gestión y Control de Tecnologías de la Información, con base
en el marco de referencia de mejores prácticas para el gobierno y
gestión de la información y tecnología denominado COBIT 2019,
para que las instituciones las adopten y personalicen a su realidad
organizacional actual; promoviendo de esta forma una efectiva ad-
ministración de las I&T.
Las máximas autoridades, titulares subordinados y auditoría
interna, según lo establecido por las disposiciones citadas ante-
riormente, serán responsables de establecer mecanismos de segui-
miento y control que garanticen el establecimiento de un marco
orientador para la gestión de la I&T. Por lo tanto, deberán estable-
cer, mantener, evaluar y mejorar este marco de gobierno y gestión
de las tecnologías de la información y comunicación de conformi-
dad con lo dispuesto en la Ley General de Control Interno.
Por los argumentos expuestos anteriormente, se resalta que el
método presentado en este artículo coadyuva con el proceso de
evaluación y diagnóstico al que las organizaciones públicas deben
someterse, para medir el nivel de cumplimiento y determinación
de brechas, mismas que deben ser atendidas como parte de la me-
jora continua de los procesos institucionales y la efectiva imple-
mentación del marco normativo emitido por el MICITT, mismo
que será scalizado por la Contraloría General de la República.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
279
Marco Teórico
Al hablar de Tecnologías de Información y Comunicación, se
hace referencia de manera implícita a conceptos relacionados al:
hardware para todo aquello que tenga que ver con las partes físicas
de los dispositivos y soware para lo que corresponde a los pro-
ductos lógicos (Peña etal., 2010, p. 75).
A través de este apartado se pretende exponer las deniciones
más relevantes, en función al tema que se desarrolla por medio de
esta propuesta, entre los cuales resaltan: los sistemas operativos,
que consisten en productos cuya función principal es fungir como
intermediario entre los dispositivos y los usuarios, facilitando la
interacción y aprovechamiento de los recursos físicos que compo-
nen los equipos de cómputo. (Crescentino, 2009, p. 20).
A nivel de mercado, existen dos marcadas corrientes: los siste-
mas operativos propietarios que demandan el pago de una licencia
para su uso y los basados en soware libre que no requieren nin-
guna inversión en cuanto a derechos de uso. Importante resaltar
que las organizaciones deben velar por el cumplimiento de las nor-
mas y leyes relacionadas a la protección de derechos de propiedad
intelectual a la hora de decidir cuál de las dos tendencias desea
implementar (Peña etal., 2010, p. 23).
Asimismo, en esta sección se desea resaltar las ventajas del sof-
tware libre, movimiento que nació en Estados Unidos, alrededor
de los años ochenta, su mayor promotor ha sido el físico, progra-
mador, Richart Stallman, creador de la Fundación para el Soware
Libre (Free Soware Foundation), organización sin nes de lucro
para la promoción del movimiento de Soware Libre a nivel mun-
dial.
El soware libre, es regulado por un tipo de licencia denomi-
nada GPL (General Public License), la cual establece las siguientes
libertades asociadas a su uso (Crescentino, 2009, p. 28):
1. Uso, para cualquier propósito.
2. Acceso al código fuente, con el n de poder estudiar su es-
tructura.
3. Distribución de copias, (con o sin modicaciones), para su
divulgación y ayuda a la comunidad y público en general.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
280
4. Mejora y actualización de programas, publicando las mo-
dicaciones para benecio general.
Por otra parte, se presentan los sistemas de información, mis-
mos que necesitan un sistema operativo para ser instalados y que
permiten el registro, administración, almacenamiento y proce-
samiento de datos, por medio de un conjunto de elementos re-
lacionados e integrados por hardware, soware y usuarios. Con
el objetivo de generar información que coadyuve con una óptima
gestión de los recursos tecnológicos y que apoyen la toma de deci-
siones por parte de los altos mandos de cada organización (Delga-
do etal., 2005, p. 146).
Expuestos estos importantes conceptos, relacionados a los as-
pectos técnico-operativo de las TIC continuamos con lo que res-
pecta al marco de referencia de mejores prácticas para el gobier-
no y gestión de la información y tecnología denominado COBIT
2019, el cual provee un enfoque holístico para el diseño de un sis-
tema de gobernanza de Tecnologías de Información y Comunica-
ción, por medio de objetivos de gobierno y gestión que propor-
cionan buenas prácticas para el control de los procesos asociados
a TI. Fue publicado en el año 2018 por ISACA como parte de la
evolución del producto, con el n de potencializar las cadenas de
valor tecnológico dentro de las organizaciones (Cortés, 2021, p.
12; ISACA, 2018b, p. 11).
De igual manera, coadyuva a que las empresas alcancen un
equilibrio entre las inversiones y los requerimientos de automati-
zación de los procesos, valorando los riesgos asociados para satis-
facer las necesidades y expectativas del negocio.
COBIT 2019 brinda la posibilidad de que las organizaciones
logren tropicalizar la implementación de los procesos, a través de
buenas prácticas para el diseño de un sistema de gobierno de TI,
sin importar el ámbito de acción (público o privado) y tamaño
(pequeñas, medianas o grandes). Para ello, propone su adopción
bajo siete componentes para el diseño de un sistema de gobierno
(ISACA, 2018b, pp. 21–22):
Procesos | Estructuras organizativas | Principios, políticas
y procedimientos | Información | Cultura, ética y
comportamiento | Personas, habilidades y competencias |
Servicios, infraestructura y aplicaciones.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
281
Este marco para la gobernanza de las TIC está compuesto por
cinco dominios, el primero enfocado a Gobierno de TI y los res-
tantes a Gestión de TI, mismos que se detallan a continuación
(ISACA, 2018b, p. 20):
• Gobierno:
• Evaluar, Orientar y Supervisar (EDM).
• Gestión:
Alinear, Planicar y Organizar (APO) | Construir, Adquirir
e Implementar (BAI) | Entregar, dar Servicio y Soporte
(DSS) | Supervisar, Evaluar y Valorar (MEA).
Entre estos se distribuyen 40 objetivos de gobierno y gestión
que componen el modelo Core de COBIT (ISACA, 2018b, p. 19).
Método de Evaluación de Procesos Tecnológicos
Desde el 01 de enero del 2022, existe una necesidad inminente
para las Entidades del Gobierno Central, Instituciones Autónomas
y Municipalidades en cuanto al cumplimiento del nuevo Marco
para la Gestión de las Tecnologías de Información y Comunica-
ción emitido por el MICITT como ente rector; por lo que, en los
siguientes apartados se propone y detalla el método aplicado en
la Municipalidad de Carrillo, ubicada en la provincia de Guana-
caste, como parte del Trabajo Final de Investigación Aplicada de
(Cortés, 2021) para la Universidad de Costa Rica denominado
“EVALUACIÓN POR MEDIO DE COBIT 2019, DEL MODE-
LO DE GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y
COMUNICACIÓN DE LA MUNICIPALIDAD DE CARRILLO,
PRODUCTO DE LOS PROCESOS DE MIGRACIÓN DE SISTE-
MAS OPERATIVOS E INFORMÁTICOS”.
Este recurso representa un insumo importante para emprender
un proceso de diagnóstico de los procesos tecnológicos dentro de
cualquier entidad pública que lo desee; mismo que a su vez genera
como resultado el diseño del sistema de gobierno de la I&T, que
marcará el norte para la implementación del marco de referencia
de mejores prácticas para el gobierno y gestión de la información
y tecnología denominado COBIT 2019.
A través de dicha investigación se utilizaron los 7 componentes
para el diseño de un sistema de gobierno (ISACA, 2018b, p. 22),
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
282
como instrumento para analizar y evaluar las acciones llevadas a
cabo por la Municipalidad de Carrillo para establecer su modelo
de gestión de TIC, además de determinar brechas de cumplimien-
to con respecto a las actividades relacionadas con las prácticas de
gobierno y gestión de los objetivos que formaron parte de la inves-
tigación (Cortés, 2021, p. 81)
Es importante resaltar que toda organización pública o privada,
pequeña, mediana o grande, debe evaluar los proyectos, etapas y
procedimientos relacionados a su evolución tecnológica, ya que el
no hacerlo provoca una atmósfera de incertidumbre con respecto
a la asertividad de las decisiones, estrategias y acciones ejecutadas
para establecer su modelo de gestión de TIC (Esteban, 2005, p. 76).
Otro de los inconvenientes producto de la omisión de procesos
evaluativos, se relaciona a la falta de denición de métricas e indi-
cadores que permitan el levantamiento de estadísticas del estado
tecnológico en un momento determinado, que sirvan de prece-
dente para realizar análisis de crecimiento e identicar los niveles
de capacidad de los procesos. A continuación, se presenta la for-
ma en que (Cortés, 2021), aplicando los instrumentos de cascada
de metas y factores de diseño que provee COBIT 2019, realizó la
evaluación del modelo de gestión de TIC de la Municipalidad de
Carrillo producto de los procesos de migración de sistemas opera-
tivos e información.
Cascada de Metas
Se utilizó el cuadro de mando integral genérico establecido por
COBIT 2019, para la aplicación del instrumento “Cascada de Me-
tas”, considerando los siguientes recursos: objetivos y metas de-
nidos en el Plan Estratégico Municipal (PEM) vigente (Municipa-
lidad de Carrillo, 2010, p. 41), entrevistas a las fuentes primarias y
secundarias, metas empresariales, metas de alineamiento y objeti-
vos de gobierno y gestión. En la Figura 7 se presenta una infografía
que resalta los aspectos más relevantes de este proceso.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
283
F
I - C M COBIT ,
.
Fuente: (Cortés, 2021, p. 31)
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
284
Relacionamiento Objetivos y Metas del PEM - Metas
Empresariales:
El diseño de un sistema de gobierno, inicia con la vinculación
de los objetivos y metas del PEM, complementado con informa-
ción recopilada por medio de entrevistas a las partes interesadas
contra las metas empresariales denidas por COBIT 2019 (ISA-
CA, 2018b, p. 29).
Es fundamental tener presente los posibles escenarios, a la hora
de aplicar el instrumento: (Cortés, 2021, pp. 31–32)
1. Existencia de al menos un objetivo o meta dentro del PEM
para cada una de las 13 metas empresariales. En la Tabla 1
se identican, por medio de las líneas que tienen el valor
de “A” en la columna “Objetivos y Metas Plan Estratégico”,
por ejemplo, las metas: EG02, EG03 y EG04. Al cumplirse
este factor para las 13 metas, se obtiene como resultado, el
ámbito de cobertura máximo a la hora de diseñar un siste-
ma de gobierno.
2. De acuerdo a la orientación y expectativas estratégicas del
negocio es posible que para una o varias metas empresaria-
les no exista un objetivo o meta del PEM a homologar. En
la Tabla 1 se identican, por medio de las líneas que en la
columna “Objetivos y Metas Plan Estratégico” están vacías,
por ejemplo, la meta: EG01.
3. Otro escenario consiste en que, un mismo objetivo o meta
dentro del PEM se encuentre relacionado con 2 o más me-
tas empresariales. En la Tabla 1 se identican, por medio
de las líneas que tienen el valor de “B” en la columna “Ob-
jetivos y Metas Plan Estratégico”, por ejemplo, las metas:
EG05 y EG06.
4. Y por último que, existan 2 o más objetivos y metas dentro
del PEM que puedan ser relacionadas con una sola meta
empresarial. En la Tabla 1 se identican, por medio de las
líneas que tienen el valor de “C” en la columna “Objetivos y
Metas Plan Estratégico”, por ejemplo, la meta: EG057.
Para los escenarios 3 y 4 estas condiciones representarán un
indicador de prioridad, para ser tomado en cuenta por parte del
investigador.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
285
T
R M PEM M E
COBIT
Dimensión
COBIT 2019
Metas Empresariales - COBIT 2019
Dimensión
Institucional
Objetivos y
Metas Plan
Estratégico
Financiero
EG01-Portafolio de productos y
servicios competitivos
- -
Financiero
EG02-Gestionar los riesgos del
negocio
Desarrollo
Institucional
A
Financiero
EG03-Cumplimiento de leyes y
regulaciones externas
Desarrollo
Institucional
A
Financiero
EG04-Calidad de la información
nanciera
Desarrollo Institucional A
Cliente
EG05-Cultura de servicio orientada
al cliente
Desarrollo Institucional
B
Cliente
EG06-Continuidad y disponibilidad
de los servicios del negocio
Desarrollo
Institucional
Desarrollo Institucional C
Cliente
EG07-Calidad de la gestión de la
información
Desarrollo Institucional C
Desarrollo Institucional C
- - - - - - - - - - - -
Nota: Los signos “- - -” ubicados en la parte inferior, expresan que de acuerdo al
alcance del estudio existirán más registros. Fuente: elaboración propia con base
a (Cortés, 2021, p. 33)
Relacionamiento Metas Empresariales – Metas de
Alineamiento:
Seguidamente, se realiza la aplicación del instrumento Metas
de Alineamiento, el cual tiene como n, identicar las acciones
que realiza el Departamento TIC para apoyar y dar cumplimiento
a las metas empresariales ltradas en el apartado anterior.
Para ello, se utiliza el recurso denominado: Tabla de relaciona-
miento: Metas empresariales — Metas de alineamiento denido
por COBIT 2019, del cual se recomienda utilizar inicialmente las
celdas tipicadas con la letra “P” (primarias) y para posteriores
procesos cuando se cuente con mayor experiencia y madurez con-
templar las “S” (secundarias) (Cortés, 2021, p. 36; ISACA, 2018c,
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
286
p. 297).
Así las cosas, el paso a seguir consistió en identicar las me-
tas de alineamiento representadas por la letra “P” (primarias), que
apoyan las metas. Cabe resaltar que una misma meta de alinea-
miento puede apoyar el cumplimiento de varias metas empresa-
riales, por ejemplo: AG04 y AG07 las cuales en la Tabla 2 han sido
resaltadas en negrita (Cortés, 2021, p. 37).
T
R
COBIT
Metas Empresariales COBIT 2019 Metas de Alineamiento - COBIT 2019
Financiero
EG01-Portafolio de productos y
servicios competitivos
-
Financiero
EG02-Gestionar los riesgos del
negocio
AG02-Gestión de riesgo relacionado con I&T
AG07-Seguridad de la información,
infraestructura y aplicaciones de procesamiento
y privacidad
Financiero
EG03 Cumplimiento de leyes y
regulaciones externas
AG01-Cumplimiento y soporte de I&T para
el cumplimiento empresarial con las leyes y
regulaciones externas
AG11-Cumplimiento de I&T con las políticas
internas
Financiero
EG04-Calidad de la información
nanciera
AG04-Calidad de la información nanciera
relacionada con la tecnología
AG10-Calidad de la información sobre gestión
de I&T
Cliente
EG05-Cultura de servicio
orientada al cliente
AG08-Habilitar y dar soporte a procesos de
negocio mediante la integración de aplicaciones
y tecnología
Cliente
EG06-Continuidad y
disponibilidad y de los servicios
del negocio
AG07-Seguridad de la información,
infraestructura y aplicaciones de procesamiento
y privacidad
Cliente
EG07-Calidad de la gestión de la
información
AG04-Calidad de la información nanciera
relacionada con la tecnología
AG10-Calidad de la información sobre gestión
de I&T
- - - - - - - - -
Nota: Los signos “- - -” ubicados en la parte inferior, expresan que de acuerdo al
alcance del estudio existirán más registros. Fuente: elaboración propia con base
a (Cortés, 2021, p. 38)
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
287
Relacionamiento Metas de Alineamiento – Objetivos de
Gobierno y Gestión:
El último paso para aplicar la “Cascada de Metas” consiste en el
relacionamiento de las metas de alineamiento identicadas, contra
los 40 objetivos de gobierno y gestión, para identicar cuáles serán
tomados en cuenta en el proceso evaluativo y el posterior estable-
cimiento del sistema de gobierno propuesto por COBIT 2019.
El recurso utilizado para ello se denomina: Tabla de relaciona-
miento: Metas de alineamiento — Objetivos de gobierno y gestión
denidos por COBIT 2019. Se recomienda utilizar inicialmente
las celdas tipicadas con la letra “P” (primarios) y para posteriores
procesos cuando se cuente con mayor experiencia y madurez con-
templar los “S” (secundarios) (Cortés, 2021, p. 39; ISACA, 2018c,
p. 298).
Así las cosas, el paso a seguir consistió en identicar los ob-
jetivos de gobierno y gestión representados por la letra “P” (pri-
marias), que apoyan las metas de alineamiento. Cabe resaltar que
un mismo objetivo de gobierno y gestión puede apoyar el cum-
plimiento de varias metas de alineamiento por ejemplo: EDM03,
APO12 y DSS05 los cuales en la Tabla 3 han sido resaltados en
negrita (Cortés, 2021, p. 40).
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
288
T
R
COBIT
Metas de Alineamiento -COBIT
2019
Objetivos de Gobierno y Gestión
AG02-Gestión de riesgo relacionado
con I&T
EDM03 Asegurar la optimización del riesgo
APO12 Gestionar el riesgo
DSS05 Gestionar los servicios de seguridad
AG07-Seguridad de la información,
infraestructura y aplicaciones de
procesamiento y privacidad
EDM03 Asegurar la optimización del riesgo
APO12 Gestionar el riesgo APO13 Gestionar
la seguridad
BAI10 Gestionar la conguración DSS04
Gestionar la continuidad
DSS05 Gestionar los servicios de seguridad
AG01-Cumplimiento y soporte
de I&T para el cumplimiento
empresarial con las leyes y
regulaciones externas
EDM01 Asegurar el establecimiento y
mantenimiento del marco de gobierno
MEA03 Gestionar el cumplimiento con
requerimientos externos
AG11-Cumplimiento de I&T con las
políticas internas
APO01 Administrar el marco de gestión de
I&T
MEA02 Gestión del sistema de control interno
MEA04 Gestionar el aseguramiento
AG04-Calidad de la información
nanciera relacionada con la
tecnología
APO06 Gestionar el presupuesto y los costos
BAI09 Gestionar los activos
AG10-Calidad de la información
sobre gestión de I&T
EDM05 Asegurar la participación de las partes
interesadas
APO11 Gestionar la calidad
APO14 Gestionar los datos
MEA01 Gestionar el rendimiento y monitorear
el cumplimiento
- - - - - -
Nota: Los signos “- - -” ubicados en la parte inferior, expresan que de acuerdo al
alcance del estudio existirán más registros. Fuente: elaboración propia con base
a (Cortés, 2021, p. 41)
Agrupamiento de Objetivos de Gobierno y Gestión por
Dominio:
La Tabla 4, representa el producto nal de la aplicación del ins-
trumento “Cascada de Metas”, donde se reúnen los objetivos de
gobierno y gestión que serán sometidos a evaluación y formarán
parte del diseño del sistema de gobierno que cada organización
debe implementar según las pautas y recomendaciones que dene
COBIT 2019.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
289
Que, para los efectos de un proceso de evaluación y planica-
ción de actividades que subsanen brechas de cumplimiento, repre-
senta un insumo valioso, ya que el investigador puede discernir a
cuáles objetivos debe prestar mayor atención.
También, como parte de este artículo se detallan los instrumen-
tos de análisis, resumen de resultados y planicación elaborados
por (Cortés, 2021) para evaluar por medio de COBIT 2019 el mo-
delo de gestión de TIC de la Municipalidad de Carrillo, producto
de la migración de sistemas operativos e informáticos para el pe-
riodo 2020-2021:
• Instrumento para la evaluación de los objetivos de gobier-
no y gestión seleccionados, basado en los 7 componentes
para el diseño de un sistema de gobierno.
• Instrumento para identicar los niveles de capacidad y bre-
chas de cumplimiento de los procesos asociados a las prác-
ticas de gobierno y gestión.
• Instrumento resumen ejecutivo para sintetizar y presentar
los resultados de la investigación.
• Para nalizar, instrumento gerencial que permite plani-
car, priorizar, controlar y monitorear la implementación y
cumplimiento de las actividades para subsanar las brechas
con un horizonte de 3 años (Cortés, 2021, p. 82).
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
290
T
A O G G
M PEM D COBIT
Dominios Objetivos de Gobierno y Gestión
Alinear, Planicar y Organizar
(APO)
AP001 Administrar el marco de gestion de I&T
APO02 Gestionar la estrategia
APO03 Gestionar la arquitectura empresarial
Construir, Adquirir e
Implementar (BAI)
BAI01 Gestionar los programas
BAI02 Gestionar denición de requerimientos
BAI03 Gestionar la identicación y construcción
de soluciones
Entregar, Dar Servicio y Soporte
(DSS)
DSS01 Gestionar las operaciones
DSS02 Gestionar las peticiones de servicio y los
incidentes
DSS03 Gestionar problemas
Evaluar, Dirigir y Monitorizar
(EDM).
EDM03 Asegurar la optimización del riesgo
EDM04 Asegurar la optimización de recursos
EDM05 Asegurar la participación de las partes
interesadas
Monitorizar, Evaluar y Valorar
(MEA)
MEA01 Gestionar el rendimiento y monitorear el
cumplimiento
MEA03 Gestionar el cumplimiento con
requerimientos externos
Nota: Las las con los signos “- - -”, expresan que de acuerdo al alcance del
estudio existirán más registros. Fuente: elaboración propia con base a (Cortés,
2021, p. 46)
Factores de Diseño:
Una vez aplicado el instrumento de “Cascada de Metas”, por
medio del cual se denió la base del sistema de gobierno general
de la Municipalidad de Carrillo, se aplicó el instrumento denomi-
nado “Factores de Diseño”, concepto que se introduce en COBIT
2019 (ISACA, 2018b, p. 19), a través del cual se valoran una serie
de factores que inciden directamente en la implementación del
marco de gobernanza de las TIC; en otras palabras, la intención de
este ejercicio es realizar un renamiento del sistema de gobierno
empresarial, tropicalizando las condiciones, expectativas y necesi-
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
291
dades de la organización en lo que respecta a la información y la
tecnología. (ISACA, 2018b, p. 23)
A continuación, se describe en qué consiste cada uno de los
Factores de Diseño denidos por COBIT 2019:
Factor de Diseño 1 – Estrategia Empresarial:
Consiste en ponderar de acuerdo con una escala de 1-5, el nivel
de importancia de cada uno de los cuatro arquetipos propuestos
por COBIT 2019 (ISACA, 2018b, p. 23):
• Crecimiento/Adquisición: La empresa se centra en el cre-
cimiento (ingresos).
• Innovación/Diferenciación: La empresa debe centrarse en
ofrecer productos y servicios diferentes y/o innovadores a
sus clientes.
• Liderazgo en costes: La empresa debe centrarse en la mi-
nimización de costes a corto plazo.
• Servicio al Cliente/Estabilidad: La empresa se centra en
proporcionar un servicio estable y orientado al cliente.
Este proceso ayuda a identicar cual será el arquetipo base para
alinear la estrategia empresarial, y en función a ello, denir las lí-
neas de acción para alcanzar los objetivos y metas institucionales.
Factor de Diseño 2 – Metas Empresariales:
El siguiente factor está vinculado con el proceso de “Cascada
de Metas”, descrito en apartados anteriores, toma como fuente las
Metas Empresariales denidas por COBIT 2019, clasicadas en
cuatro dimensiones dentro del cuadro de mando integral (Finan-
ciero, Cliente, Interno, Crecimiento) (ISACA, 2018b, p. 24), y tiene
como objetivo, coadyuvar con la implementación de la estrategia
empresarial en las organizaciones.
El abordaje de este factor de diseño, debe considerarse de forma
holística, para lo cual es necesario que todas las partes interesa-
das se involucren, participen de manera constante y promuevan
actividades de sensibilización y concienciación del personal, que
permitan alcanzar un nivel avanzado de asertividad a la hora de
ponderar cada meta.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
292
Factor de Diseño 3 – Perl del Riesgo:
Mediante este apartado se realiza la valoración de los riesgos re-
lacionados con la I&T, identicando posibles problemas y vulne-
rabilidades, con base en las categorías de escenario de riesgos esta-
blecidas por COBIT 2019. Este factor brinda la posibilidad de que
la organización dena su apetito al riesgo, con el objetivo de tomar
decisiones y acciones, en función del tratamiento y mecanismos
de control que se deberán establecer, con base en los recursos y
capacidades disponibles en la organización (ISACA, 2018b, p. 24).
Factor de Diseño 4 – Problemas relacionados con I&T:
Este factor de diseño va de la mano con el anterior, ya que con-
siste en un método complementario que coadyuva con la valora-
ción de los riesgos a nivel de TIC, basándose en una lista genérica
de problemas relacionados con I&T que provee COBIT 2019, con
los cuales las empresas y organizaciones deben enfrentarse diaria-
mente (ISACA, 2018b, p. 25).
Factor de Diseño 5 – Escenario de Amenazas:
Consiste en identicar el contexto organizacional, en función
del nivel de amenazas bajo el cual opera la organización (ISACA,
2018b, p. 25):
• Normal: La empresa funciona bajo lo que se consideran
niveles de amenaza normales.
• Alto: Debido a su situación geopolítica, sector industrial
o perl especíco, la empresa funciona en un entorno de
amenazas elevadas.
Factor de Diseño 6 – Requisitos de Cumplimiento:
Permite clasicar los requerimientos de cumplimento de la
organización, en función de sus condiciones internas y externas,
capacidades, necesidades y oportunidades de mejora, para la pres-
tación de servicios, es necesario ponderar la organización con base
en cada uno de los siguientes criterios (ISACA, 2018b, p. 26):
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
293
• Requerimientos de cumplimiento bajos: La empresa está
sujeta a un conjunto de requerimientos de cumplimiento
mínimos que son inferiores a la media.
• Requerimientos de cumplimiento normales: La empre-
sa está sujeta a un conjunto de requerimientos de cumpli-
miento comunes a las distintas industrias.
• Requerimientos de cumplimiento altos: La empresa está
sujeta a requerimientos de cumplimiento más elevados a
lo normal, en la mayoría de los casos relacionados con el
sector industrial y las condiciones geopolíticas.
Factor de Diseño 7 – Rol de TI:
Con base en la categorización establecida en COBIT 2019 se
realiza un análisis de la percepción de la alta gerencia y el empo-
deramiento de los departamentos de tecnologías de información
y comunicación, que permita determinar el rol de TI dentro de
la organización, los posibles enfoques son (ISACA, 2018b, p. 26):
• Soporte: TI no es crucial para el funcionamiento y la con-
tinuidad de los procesos y servicios del negocio ni para su
innovación.
• Fábrica: Cuando las TI fallan, hay un impacto inmediato
en el funcionamiento y continuidad de los procesos y ser-
vicios del negocio. Sin embargo, las TI no se consideran un
factor impulsor de la innovación de procesos y servicios
del negocio.
• Cambio: Las TI se consideran un factor impulsor de la in-
novación de procesos y servicios del negocio. En este mo-
mento, sin embargo, no hay una dependencia crítica en TI
para el funcionamiento y la continuidad actual de los pro-
cesos y servicios del negocio.
• Estratégico: Las TI son críticas para el funcionamiento e
innovación de los procesos y servicios del negocio de la or-
ganización.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
294
Factor de Diseño 8 – Modelo de abastecimiento de proveedores
para TI:
COBIT 2019, mediante este factor de diseño brinda la posibili-
dad a las organizaciones, de analizar la tendencia sobre su modelo
de adquisición de bienes y servicios a nivel de tecnologías de in-
formación, con el objetivo de dimensionar posibles riesgos y bre-
chas para la organización, las cuales representan oportunidades de
mejora para salvaguardar los activos e intereses de la organización,
así como la adopción de nuevas tendencias y paradigma de la I&T.
Las opciones a ponderar son (ISACA, 2018b, p. 26):
• Externalización / Tercerización (outsourcing): La empre-
sa requiere los servicios de un tercero para proporcionar
servicios de TI.
• Nube: La empresa maximiza el uso de la nube para propor-
cionar servicios de TI a sus usuarios.
• Internalizado (insourced): La empresa aporta su propio
personal y servicios de TI.
• Híbrido: Se aplica un modelo híbrido que combina los
otros tres modelos en distintos grados.
Factor de Diseño 9 – Métodos de implementación de TI:
Para este factor de diseño, el ejercicio consiste en identicar
los métodos de implementación de TI, que han adoptado los de-
partamentos de tecnologías de información y comunicación, para
satisfacer las necesidades internas y externas de la organización.
Entre los valores disponibles están (ISACA, 2018b, p. 27):
• Ágil: La empresa utiliza los métodos de desarrollo de tra-
bajo Ágil para su desarrollo de soware.
• DevOPs: La empresa usa los métodos de trabajo DevOps
para la creación, despliegue y operaciones de soware.
• Tradicional: La empresa usa un método más clásico para
el desarrollo de soware (cascada) y separa el desarrollo de
soware de las operaciones.
• Híbrido: La empresa usa una mezcla de implementación
de TI tradicional y TI moderna, a la que solemos referirnos
como «TI bimodal».
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
295
Factor de Diseño 10 – Estrategia de adopción de tecnología:
Para determinar este factor de diseño, es necesario analizar los
tres escenarios denidos por COBIT 2019, para identicar el perl
de adopción de las TI que ha materializado la organización por
medio de las acciones implementadas por sus departamentos de
tecnologías de información y comunicación. Los valores a consi-
derar son (ISACA, 2018b, p. 27):
• El que primero se mueve (First mover): La empresa suele
adoptar nuevas tecnologías lo antes posible e intenta lograr
la «ventaja del que primero se mueve».
• Seguidor (Follower): La empresa suele esperar a que las
nuevas tecnologías se generalicen y pongan a prueba antes
de adoptarlas.
• Adoptadores lentos (Slow adopter): La empresa tarda
mucho en adoptar las nuevas tecnologías.
Resultado de la aplicación de cascada de metas y factores de
diseño
Una vez aplicado el instrumento de “Factores de Diseño”, se lo-
gra pasar de un escenario general sobre el diseño del sistema de
gobierno para la Municipalidad de Carrillo, basado en las expec-
tativas y metas plasmadas en el Plan Estratégico Municipal versus
el proceso de “Cascada de Metas”, a uno más concreto y especíco,
por medio de la determinación de los “Niveles de capacidad ob-
jetivo – sugerido” por COBIT 2019 para cada uno de los objeti-
vos de gobierno y gestión que formaron parte del alcance de la
investigación (Cortés, 2021). La denición de escalas evaluativas
denominadas “Niveles de capacidad”, permitieron identicar por
medio de la aplicación del instrumento, el nivel que COBIT 2019
sugiere para cada proceso, según el nivel de cumplimiento de sus
prácticas de gestión.
Por otra parte, la guía de diseño de COBIT 2019, abre la posi-
bilidad a la organización que está realizando la implementación de
denir un “Nivel de capacidad objetivo – decidido” en función del
alcance, con base en los recursos y capacidades disponibles, por
esa razón, en el caso de la Municipalidad de Carrillo, se decidió
establecer un valor de 2 (dos) para todos los objetivos de gobierno
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
296
y gestión que forman parte de su proceso de implementación de la
normativa emitida por el MICITT (ISACA, 2018a, p. 134).
En la Tabla 5 se resumen los objetivos de gobierno y gestión que
forman parte del diseño del sistema de gobierno en la Municipa-
lidad de Carrillo.
T
R,
.
Diseño del sistema de
gobiernos COBIT 2019
Conclusión del
alcance:
Prioridad de
los objetivos de
gobierno/gestión
Nivel de
capacidad
objetivo
sugerido
Nivel de
capacidad
objetivo
decidido
EDM02—Asegurar la entrega
de benecios
35 2 2
EDM03—Asegurar la
optimización del riesgo
50 3 2
EDM05—Asegurar el
compromiso de las partes
interesadas
40 2 2
APO01—Gestionar el marco
de gestión de I&T
15 1 2
APO02—Gestionar la
estrategia
0 1 2
APO05—Gestionar el
portafolio
-5 1 2
APO07—Gestionar los
recursos humanos
30 2 2
APO08—Gestionar las
relaciones
70 3 2
APO09—Gestionar los
acuerdos de servicio
20 1 2
APO10—Gestionar los
proveedores
-5 1 2
APO11—Gestionar la calidad 25 2 2
APO12—Gestionar los
riesgos
85 4 2
APO13—Gestionar la
seguridad
65 3 2
APO14—Gestionar los datos 20 1 2
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
297
BAI01—Gestionar los
programas
10 1 2
BAI04—Gestionar la
disponibilidad y la capacidad
5 1 2
BAI10—Gestionar la
conguración
-5 1 2
BAI11—Gestionar los
proyectos
-35 1 2
DSS02—Gestionar las
peticiones y los incidentes de
servicio
35 2 2
DSS03—Gestionar los
problemas
60 3 2
DSS04—Gestionar la
continuidad
65 3 2
DSS05—Gestionar los
servicios de seguridad
100 4 2
DSS06—Gestionar los
controles de procesos de
negocio
25 2 2
MEA03—Gestionar el
cumplimiento de los
requisitos externos
45 2 2
MEA04—Gestionar el
aseguramiento
35 2 2
Fuente: elaboración propia con base a (Cortés, 2021, p. 82)
Descripción de Instrumentos Elaborados:
Evaluación, Presentación de Resultados y
Planicación de actividades para subsanar
brechas de cumplimiento
Para iniciar con la evaluación es indispensable denir para cada
proceso el “Nivel de capacidad objetivo - decido”, el cual represen-
ta las aspiraciones de cumplimiento por parte de la organización
en cada uno de los ciclos de implementación, este valor va de 0 a
5 según la escala establecida por COBIT 2019 (ISACA, 2018b, p.
39). Importante señalar que este marco para la gobernanza de las
TIC, dentro del documento guía de diseño abre la posibilidad de
denir dicho valor en función del alcance proyectado, los recursos
y capacidades disponibles.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
298
Seguidamente, se describe la sistematización de los instrumen-
tos elaborados por (Cortés, 2021), con el n de que puedan ser
adoptados y tropicalizados por cualquier Gobierno Local, institu-
ción pública o privada, pequeña, mediana o gran empresa.
Mediante el siguiente enlace: https://www.municarrillo.go.cr/
index.php/oficina-virtual/zona-descargas/category/28-instru-
mento-de-evaluacion-modelo-de-gestion-de-tic-cobit-2019 se
encuentran disponibles, diez hojas electrónicas (una por objeti-
vo según la investigación de (Cortés, 2021)), cada una contiene
9 apartados, los primeros 7 se basan en los componentes para el
diseño de un sistema de gobierno (ISACA, 2018c, p. 17):
Proceso | Estructura organizativa | Flujos y elementos
de información | Personas, habilidades y competencias |
Políticas y procedimientos | Cultura, ética y comportamiento
| Servicios, infraestructura y aplicaciones.
Estos permiten recopilar información concerniente al nivel de
cumplimiento para su posterior análisis y presentación de resul-
tados.
El instrumento para determinar el “Nivel de capacidad actual
(NCA)” de los procesos y las actividades relacionadas a las prácti-
cas de gobierno y gestión que la entidad no ha atendido (las cuales
representan brechas de cumplimiento), se ubica en el octavo apar-
tado de las hojas electrónicas.
Y, por último se elabora una tabla de resumen ejecutivo que
sintetiza el proceso evaluativo con base en los ocho apartados cita-
dos anteriormente, su propósito principal es brindar a los lectores
un resumen ejecutivo de los hallazgos, producto de la investiga-
ción realizada.
A continuación, se describe el propósito y estructura de cada
componente:
1-Proceso: Se realizó una descomposición de las descripciones
que establece COBIT 2019 para cada una de las prácticas de go-
bierno y gestión, con el n de generar una serie de preguntas que
permitan al investigador evaluar si la entidad cumple o no, con las
actividades establecidas.
Las posibles respuestas son: Sí, Parcial y No, con el condicio-
nante de que para las dos primeras es exigido rellenar la casilla
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
299
titulada “Soportes: Documentación o instrumentos” con el propó-
sito de aportar evidencias, para el caso de ser “No” la celda queda
vacía.
2-Estructura organizativa: Para este componente se plantea
realizar un proceso de homologación de roles e identicación de
responsabilidades para cada parte interesada, según los objetivos
de gobierno y gestión evaluados. Dentro del instrumento se pro-
porciona una tabla denominada “Homologación de Roles COBIT
2019 - Municipalidad de Carrillo”, para asociar cada puesto con
el rol establecido por COBIT 2019, para luego proceder con la
asignación de responsabilidades (R: Responsable, A: Quien rinde
cuentas) (ISACA, 2018b, p. 40).
Para nalizar se debe responder a la interrogante: cumple, exis-
te o no cumple, cada rol con la función establecida; la segunda
opción aplica en los escenarios donde la organización carece del
profesional o puesto para la homologación.
3-Flujos y elementos de información: En esta sección, se de-
ne como base del proceso evaluativo, las salidas (productos) es-
tablecidas por COBIT 2019 para cada práctica de gobierno y ges-
tión. Las “Descripciones de las Salidas” fueron transformadas en
preguntas de evaluación, que permiten al investigador evaluar si la
entidad cumple o no, con las actividades establecidas.
Las posibles respuestas son: Sí, Parcial y No, con el condicio-
nante de que para las dos primeras es exigido rellenar la casilla
titulada “Soportes: Documentación o instrumentos” con el n de
aportar evidencias, para el caso de ser “No” la celda queda vacía.
Con respecto a las “Descripciones de las Entradas”, estas no han
sido tomadas en cuenta para la presente guía, ya que para la inves-
tigación de (Cortés, 2021), la prioridad se centró en medir si los
objetivos de gobierno y gestión relacionados a los procesos de mi-
gración de sistemas operativos e informáticas, estaban generando
las salidas (productos) establecidos por COBIT 2019.
4-Personas, habilidades y competencias: En función de pro-
curar una implementación de acciones correctivas y efectiva toma
de decisiones, para cumplir con las actividades relacionadas a este
componente, se plantea realizar un levantamiento de los factores a
evaluar planteados por COBIT 2019 (ISACA, 2018b, p. 22).
Cada factor a considerar debe medirse en función al cumpli-
miento (existencia) para lo cual se debe responder: Sí, Parcial y No,
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
300
con la condición de que para las dos primeras es exigido rellenar
la casilla titulada “Documentación de Referencia” con la intención
de aportar evidencias, para el caso de ser “No” la celda queda vacía.
5-Políticas y procedimientos: Por medio de este componen-
te se pretende evaluar el cumplimiento de las políticas y proce-
dimientos relevantes dispuestos por COBIT 2019, que sirvan de
orientación para las organizaciones sobre cómo materializar una
gestión efectiva y práctica de las TIC (ISACA, 2018b, p. 21).
Tomando como base la “Descripción de la política”, se reco-
mienda levantar un listado de documentación existente, que per-
mita medir el cumplimiento e identicar las brechas relacionadas
al componente.
6-Cultura, ética y comportamiento: Este componente se uti-
liza para evaluar el accionar de las partes interesadas en conjunto
con el de organización de una forma holística, por medio de una
serie de elementos culturales clave propuestos por COBIT 2019
(ISACA, 2018b, p. 22).
A través de la descripción de los “Elementos Culturales Clave”,
se recomienda levantar un listado de documentación existente que
permita medir el cumplimiento e identicar las brechas relaciona-
das.
7-Servicios, infraestructura y aplicaciones: COBIT 2019
plantea una lista de factores clave a evaluar que permiten al in-
vestigador analizar los aspectos estratégicos-operativos vincula-
dos a la infraestructura, tecnología y aplicaciones que facilitan el
establecimiento de un sistema de gobierno en las organizaciones
(ISACA, 2018b, p. 22).
Cada factor debe medirse en función al cumplimiento (existen-
cia) para lo cual se debe responder: Sí, Parcial y No, con la condi-
ción de que para las dos primeras es exigido rellenar la casilla titu-
lada “Documentación de Referencia” con la intención de aportar
evidencias, para el caso de ser “No” la celda queda vacía.
8-Herramienta para determinar el “Nivel de capacidad ac-
tual (NCA)” y brechas: Con base en la escala denida por COBIT
2019 para evaluar el nivel de cumplimiento de cada proceso, es
posible determinar el nivel de capacidad actual. A continuación se
describe cada uno de los posibles valores a asignar (ISACA, 2018b,
p. 39):
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
301
• N = No se alcanzó 0% a 15%
• P = Se alcanzó parcial 15% a 50%
• L = Alcance gran medida 50% a 85%
• F = Totalmente alcanzado 85% a 100%
Para iniciar con el proceso se recomienda previamente indicar
en la parte superior derecha del instrumento, el valor correspon-
diente al “Nivel de Capacidad Objetivo (NCO)” decidido por la
organización, mismo que se dene durante la aplicación del méto-
do de “Cascada de Metas”, ya que, a partir de este dato, automática-
mente todas las “Actividades” cuyo nivel de capacidad sea igual o
menor, serán tipicadas con el valor de “F” en la columna titulada
“METAS”, lo que signica que serán sometidas a evaluación, las
restantes cuyo nivel de capacidad es mayor no serán consideradas.
Seguidamente, la dinámica consiste en:
• Ir estableciendo el valor de cumplimiento e implementa-
ción, actividad por actividad por medio de la columna ti-
tulada “VALOR” con base en la escala descrita en párrafos
anteriores.
• Las actividades cuya valoración se encuentre entre 85% a
100% automáticamente pasarán de No Cumplida a Cum-
plida en la columna titulada “Observación”.
• Cuando la valoración del cumplimiento e implementación,
esté por debajo de 85% la herramienta validará contra el
nivel de capacidad objetivo y al ser menor, no cambiará de
estado, ya que la actividad no estaría cumpliendo el nivel
que se requiere. Lo que da como resultado una brecha de
cumplimiento.
• Para hacer una referencia más explícita se recomienda re-
saltar manualmente de color amarillo la actividad.
• Es necesario aplicar el mismo procedimiento de medición
al resto de actividades que conforman las prácticas de go-
bierno o gestión por medio de la columna titulada “VA-
LOR”, y al nalizar el proceso se genera automáticamen-
te una valoración del nivel de cumplimiento general para
cada práctica, mismo que se ubica en una de las cuatro
categorías de la escala evaluativa (N, P, L o F). Esta nota
la podemos ubicar en el bloque de celdas que está al lado
derecho del apartado “Métricas modelo”.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
302
• Es importante tener presente que para el grupo de activi-
dades que representen valores mayores al valor del nivel
de capacidad objetivo, no es necesario someterlas a evalua-
ción, por lo tanto, solamente se omiten, pero se realiza la
salvedad de que deben ser consideradas en futuros proce-
sos para dar cobertura al marco de gobernanza propuesto
por COBIT 2019.
• Culminado el proceso de valoración, para establecer el
nivel de capacidad es necesario tener claro que todas las
actividades que componen cada apartado, deben ser cum-
plidas cabalmente para poder indicar que se ha alcanzado
dicho nivel, en caso de existir actividades sin cumplir en un
determinado nivel objetivo, el nivel de capacidad actual del
proceso será representado por el valor del nivel anterior.
9-Resumen - Resultados de la Evaluación: En la última pes-
taña de la hoja electrónica se plantea una estructura para presen-
tar los resultados obtenidos por medio de los siete componentes
para el diseño de un sistema de gobierno y la herramienta para
determinar el “Nivel de capacidad actual (NCA)” y brechas. En
conclusión, este instrumento representa un resumen ejecutivo con
la síntesis de la evaluación realizada por medio de los 8 apartados
descritos anteriormente, para cada uno de los objetivos de gobier-
no y gestión que formen parte del proceso evaluativo.
10-Plan de acción para subsanar brechas de cumplimiento:
Una vez concluido el proceso de recopilación de información, aná-
lisis y evaluación, es necesario planicar y proyectar en el tiempo
las siguientes interrogantes: ¿Qué se va hacer? y ¿Cuándo se va
hacer?, para poder dimensionar los recursos nancieros, humanos
y técnicos que se necesitan para dar cumplimiento a las activida-
des establecidas por COBIT 2019. A continuación, se describe la
estructura y n del instrumento:
Las tres primeras columnas de izquierda a derecha sirven para
ordenar los elementos de manera jerárquica, según la clasicación
denida por COBIT 2019:
• Objetivos.
• Prácticas.
• Actividades para el cumplimiento de Prácticas / Para ciclos
de implementación COBIT 2019.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
303
La columna “Tipo de Práctica” especica si las actividades co-
rresponden a un objetivo de gobierno o gestión.
Los valores de la columna titulada “Nivel Capacidad Sugerido
COBIT 2019” se obtienen con base en la Herramienta para de-
terminar el “Nivel de capacidad actual (NCA)” y brechas, ya que
cada actividad está asociada a un nivel de capacidad establecido
por COBIT 2019.
Los valores de la columna titulada “Nivel Capacidad Actual
MuniCarrillo” serán el producto del proceso de evaluación aplica-
do al objetivo de gobierno o gestión analizado y por consiguiente
para las actividades que lo componen. La columna titulada “Nota
Cumplimiento Actual” reúne las calicaciones dadas por el eva-
luador para cada una de sus actividades en función del cumpli-
miento por parte de la organización.
Mediante la columna “Actividades que Necesitan Atención” se
asigna el valor de Si, No y N/A esto para clasicar el inventario de
actividades sometidas a evaluación.
Las siguientes nueve columnas están planteadas para proyec-
tar y medir el nivel de cumplimiento a mediano plazo, ya que el
horizonte se dene a tres años. Por medio de esta herramienta la
línea de mando gerencial contará con un cuadro de mando inte-
gral para conocer y monitorear si la organización al gestionar las
TIC por medio de un marco de gobernanza va mejorando o no.
Además de identicar riesgos y posibles desviaciones para las
cuales será necesario tomar decisiones asertivas en cuanto a in-
versión, aumento de personal, entre otros en el momento opor-
tuno.
Conclusiones
A través del estudio de (Cortés, 2021), fue posible elaborar una
guía para evaluar la evolución tecnológica de la Municipalidad de
Carrillo, producto de los procesos de migración de sistemas ope-
rativos e informáticos por medio de COBIT 2019. Para ello se rea-
lizó una sistematización del proceso evaluativo y una descripción
detallada de los instrumentos elaborados para el levantamiento
de información. Es importante resaltar, que este método tiene la
versatilidad, de poder ser utilizado para llevar a cabo procesos
evaluativos de TI en cualquier organización, razón por la cual se
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
304
convierte en un insumo valioso para el gremio municipal y demás
instituciones nacionales e internacionales que lo necesiten.
En el caso especíco de Costa Rica producto de los cambios a
nivel normativo en materia de gobernanza de las TI, que viven las
Entidades del Estado Central, Instituciones Autónomas y Muni-
cipalidades, desde el 01 de enero del 2022, esta propuesta de mé-
todo basado en el marco de referencia de mejores prácticas para
el gobierno y gestión de la información y tecnología denominado
COBIT 2019, representa un valioso instrumento para evaluar los
procesos tecnológicos en las organizaciones, obteniendo como re-
sultado el diagnóstico de la situación actual y como valor agregado
el diseño del sistema de gobierno de la I&T de manera holística,
que permitirá satisfacer los requerimientos y necesidades presen-
tes, potencializar la gestión organizacional y generar valor público
a través de los servicios brindados a la ciudadanía.
Al aplicar este instrumento, las organizaciones podrán elaborar
un levantamiento de acciones asertivas, brechas de cumplimiento
y oportunidades de mejora, sustentadas bajo el marco de gober-
nanza de las TIC denominado COBIT 2019, el cual fue tomado
como guía para el establecimiento de estándares y normas sobre
cómo ejecutar los procesos del negocio apoyados en TI. Es impor-
tante medir el estado actual de los procesos, ya que permite cono-
cer las fortalezas, oportunidades, debilidades y amenazas en torno
al negocio. A través de estos insumos los gerentes y altos mandos
institucionales, podrán tomar decisiones estratégicas para denir
el rumbo de la organización a mediano y largo plazo.
Otro benecio de medir el estado actual de los procesos, con-
siste en la posibilidad de dar seguimiento a las acciones que per-
mitirán dar cumplimiento a las brechas identicadas, ya que estas,
determinarán el crecimiento y madurez institucional como parte
del establecimiento de un sistema de gobierno de TIC, por medio
de los siete componentes que ha establecido COBIT 2019, que fue-
ron tropicalizados en el instrumento de evaluación propuesto por
(Cortés, 2021).
El instrumento denominado “Plan de acción para subsanar
brechas de cumplimiento”, se plantea como una alternativa para
que los gerentes de TI puedan proyectar, planicar y priorizar a un
horizonte de 3 años, el cumplimiento de todas aquellas actividades
asociadas al nivel de capacidad objetivo decidido, para el ciclo de
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
ANDRÉS A. CORTÉS | Propuesta de método
305
implementación de COBIT 2019 que ejecute la organización.
Adoptar COBIT 2019 como marco de gobernanza de las TIC,
abre la posibilidad de implementar a nivel institucional un siste-
ma de información para ejecutivos que coadyuve con el estable-
cimiento de un modelo integrado de servicios, procesos e infor-
mación claves para el cumplimiento de las metas y estrategias
institucionales de mediano y largo plazo, dotando a los gerentes
y altos mandos de información ejecutiva para entender la diná-
mica interna y externa, con el n de tomar decisiones asertivas
para potencializar la cadena de valor de los servicios que brinda la
organización (Muñoz etal., 2016, p. 209).
Para nalizar, es importante destacar que esta propuesta ofre-
ce la posibilidad de llevar a cabo una evaluación de los procesos
tecnológicos en las organizaciones basada, en el marco de buenas
prácticas de gobierno y gestión de la I&T denominado COBIT
2019, para determinar su situación actual con el n de establecer
las acciones y estrategias que coadyuven con la denición del mar-
co de gestión de TI emitido por el MICITT, que todas las entidades
del Gobierno Central, Instituciones Autónomas y Municipalida-
des en Costa Rica deben implementar y ejecutar a partir del año
2022.
Referencias:
Aguilar, R. (2007). Contraloría General de la República Normas
técnicas para la gestión y el control de las Tecnologías de Infor-
mación (p. 15). Contraloría General de la República. https://
www.pgr.go.cr/wp-content/uploads/2017/04/Normas-TI_N-
2-2007-CO-DFOE.pdf
Contraloría General de la República. (2022). Medidas tomadas
por las instituciones ante la derogatoria de las Normas Técnicas
para la Gestión y Control de las Tecnologías de Información.
Cortés, A. A. (2021). Evaluación por medio de COBIT 2019, del
Modelo de Gestión de Tecnologías de Información y Comu-
nicación de la Municipalidad de Carrillo, producto de los pro-
cesos de migración de sistemas operativos e informáticos. En
Repositorio Kérwá Uniersidad de Costa Rica. Universidad de
Costa Rica.
InterSedes, ISSN 2215-2458, Volumen 24, Número 49,
Enero-Junio, 2023, pp. 276-306 (Nota técnica).
INTERSEDES |
306
Crescentino, L. (2009). El soware libre y su implementación en la
administración pública. 1–83. https://bdigital.uncuyo.edu.ar/
objetos_digitales/2930/tesinacrescentino.pdf
Delgado, Á., Hernández, M., & Vega, L. (2005). Metodología para la
evaluación de riesgos en el diseño e implementación de sistemas
de información [Universidad de Costa Rica]. http://repositorio.
sibdi.ucr.ac.cr:8080/jspui/bitstream/123456789/999/1/25238.
pdf
Esteban, P. (2005). La evaluación de tecnología, un proceso estraté-
gico y estocástico (pp. 69–81). Escuela de Ingeniería de Antio-
quia, Medellín (Colombia). https://doi.org/1794-1237
ISACA. (2018a). COBIT 2019 Guía de Diseño. 100.
ISACA. (2018b). COBIT 2019 Introducción y metodología. 64.
ISACA. (2018c). COBIT 2019 Objetivos de gobierno y gestión. 302.
MIDEPLAN. (2017). N° 41187-MP-MIDEPLAN.
Mora, J. (2021). MICITT–DGD-OF-215-2021.
Municipalidad de Carrillo. (2010). Plan Estratégico Municipal
- Cantón de Carrillo. 169. https://www.municarrillo.go.cr/
images/2017/les/planicacion/plan_estrategico_municipal_
canton_carrillo.pdf
Muñoz, H., Osorio, R., & Zuñiga, L. (2016). Inteligencia de los ne-
gocios. Revista Clío América, 10(20), 194–211. https://www-
proquest-com.ezproxy.sibdi.ucr.ac.cr/docview/2102375661/
90D3ED3EB9724D33PQ/1?accountid=28692
Peña, J., Romero, E., & Román, C. (2010). Metodología para Crea-
ción y Administración de Centros Cómputo [Universidad Na-
cional Autónoma de México]. http://www.ptolomeo.unam.
mx:8080/xmlui/bitstream/handle/132.248.52.100/930/Tesis.
pdf?sequence=1
