UNIVERSIDAD DE COSTA RICA. SISTEMA DE ESTUDIOS DE POSGRADO. MODELO DE GOBIERNO Y GESTIÓN DE TI BASADO EN EL MARCO DE REFERENCIA COBIT 2019 PARA EL INSTITUTO COSTARRICENSE DEL DEPORTE Y LA RECREACIÓN. Trabajo final de investigación aplicada, sometido a la consideración de la Comisión del Programa de Estudios de Posgrado en Tecnologías de Información y Comunicación para la Gestión Organizacional, para optar al grado y título de Maestría Profesional en Tecnologías de Información y Comunicación para la Gestión Organizacional. JUAN GABRIEL ARCE VÍQUEZ. Ciudad Universitaria Rodrigo Facio, Costa Rica. 2021. ii Dedicatoria En primera instancia, este proyecto se lo dedico a Dios, sin Él no sería posible avanzar y buscar una nueva meta. A mis papás, quienes me han apoyado siempre y son el mejor ejemplo de dedicación, responsabilidad, honestidad y fuerza de voluntad para querer hacer todo de la mejor manera. También a mi esposa, Jessica, por su paciencia, dedicación y por estar junto a mi apoyándome y alentándome para seguir adelante. Ella me inspira a buscar siempre dar lo mejor. A mi hijo Daniel y a la bebé Alana, quien viene en camino, sin duda son la fuerza que me hace mejorar cada día, a crecer como persona y avanzar como profesional para darles orgullo y estabilidad. Por último, de igual forma a mis hermanos y amistades, por el tiempo, el camino recorrido y sus buenos deseos. . iii Agradecimiento Le agradezco a Dios, por permitirme llegar hasta aquí y por todas las bendiciones que sigue trayendo a mi vida. Al Director del Proyecto, don Alejandro Ulate, a los lectores, don José Paz y don Verny Fernández, por su disposición y tiempo dedicado. De igual forma, a doña Yorleny Salas, Directora del Programa de Maestría. Asimismo, a todo el equipo de trabajo y personal docente por todo su apoyo y enseñanzas. De igual manera, le agradezco al personal del ICODER, quien participó en los diferentes procesos para realizar la investigación. Por último, le agradezco a Alejandra Ramírez por su consejo y guía. iv Hoja de Aprobación “Este trabajo final de investigación aplicada fue aceptado por la Comisión del Programa de Estudio de Posgrado en Tecnologías de Información y Comunicación para la Gestión Organizacional de la Universidad de Costa Rica, como requisito parcial para optar el grado y título en Maestría Profesional en Tecnologías de Información y Comunicación para la Gestión Organizacional”. _____________________________________________ M.B.A. Carlos Alberto Vega Alvarado. Decano o Representante de Decano Sistema de Estudios de Posgrado. _____________________________________________ M.Sc. Alejandro Ulate Campos. Profesor Guía. _____________________________________________ M.Sc. José Paz Barahona. Lector. _____________________________________________ M.Sc. Verny Fernández Castro. Lector. _____________________________________________ M.Sc. Yorleny Salas Araya Directora programa de Posgrado en Tecnologías de Información y Comunicación para la Gestión Organizacional. _____________________________________________ Juan Gabriel Arce Víquez. Sustentante. v Tabla de Contenido Dedicatoria ............................................................................................................... ii Agradecimiento ....................................................................................................... iii Hoja de Aprobación ................................................................................................. iv Resumen ............................................................................................................... viii Abstract ................................................................................................................... ix Problema ................................................................................................................. 1 Justificación ............................................................................................................. 3 Objetivos ................................................................................................................. 8 Objetivo General ............................................................................................................. 8 Objetivos Específicos ...................................................................................................... 8 Capítulo I. Fundamentación Teórica ....................................................................... 9 1.1. La gestión de las Tecnologías de Información (TI) en las organizaciones ............ 9 1.2. Gobernanza ........................................................................................................ 10 1.3. Gobierno de Tecnologías de Información ........................................................... 11 1.4. Gestión de Tecnologías de Información .............................................................. 13 1.5. Marcos de referencia, buenas prácticas y estándares internacionales ............... 15 1.6. COBIT 2019 ........................................................................................................ 18 Capítulo II. Descripción de la organización y su entorno ....................................... 42 2.1. Descripción de la organización .............................................................................. 42 2.2. Actividades que realiza .......................................................................................... 42 2.3. Misión y visión ........................................................................................................ 43 2.3.1. Misión .............................................................................................................. 43 2.3.2. Visión ............................................................................................................... 44 2.4. Valores ................................................................................................................... 44 2.5. Estructura Organizacional ...................................................................................... 44 Capítulo III. Marco Metodológico ........................................................................... 46 3.1. Proceso Metodológico ............................................................................................ 46 3.2. Diseño de investigación ......................................................................................... 47 3.2.1. Tipo de investigación ....................................................................................... 47 3.2.2. Método de Investigación .................................................................................. 47 vi 3.2.3. Enfoque de Investigación ................................................................................. 47 3.3. Población de estudio e información a recolectar .................................................... 48 3.3.1. Población de estudio ........................................................................................ 48 3.3.2. Información por recolectar ............................................................................... 49 3.3.2.1. Fuentes de información ............................................................................. 49 3.3.2.2. Datos por recabar ..................................................................................... 50 3.4. Técnicas e instrumentos ........................................................................................ 51 3.4.1. Revisión documental ........................................................................................ 52 3.4.2. Entrevista ......................................................................................................... 53 3.4.3. Sesiones de trabajo en grupo .......................................................................... 53 3.5. Plan de muestreo ................................................................................................... 54 3.6. Análisis de datos .................................................................................................... 55 Capítulo IV. Tabulación y análisis ......................................................................... 57 4.1. Estrategias Empresariales ..................................................................................... 57 4.2. Metas empresariales .............................................................................................. 61 4.3. Escenarios de riesgos ............................................................................................ 67 4.4. Problemas relacionados con TI .............................................................................. 80 4.5. Escenario de Amenazas ........................................................................................ 90 4.6. Requerimientos de cumplimiento ........................................................................... 92 4.7. Rol de TI ................................................................................................................ 95 4.8. Modelo de Abastecimiento de TI ............................................................................ 99 4.9. Métodos de Implementación TI ............................................................................ 103 4.10. Estrategia de Adopción de TI ............................................................................. 105 4.11. Valoraciones para ajustes del modelo de gobierno y gestión de TI ................... 108 Capítulo V. Propuesta de solución ...................................................................... 115 5. Diseño de un Modelo de Gobierno y Gestión personalizados para el ICODER ...... 115 5.1. Traslado de factores de diseño a priorización de objetivos de gobierno y gestión ................................................................................................................................. 116 5.2. Ponderación de los factores de diseño de COBIT 2019 ................................... 117 5.3. Kit de herramientas de diseño del Modelo COBIT 2019 ................................... 117 5.4. Paso 1: Entender el contexto y la estrategia de la empresa ............................. 122 5.5. Paso 2: Determinar el alcance inicial del sistema de gobierno ......................... 123 5.5.1. Considerar la estrategia empresarial .......................................................... 124 vii 5.5.2. Considerar las metas empresariales .......................................................... 131 5.5.3. Considerar el perfil de riesgo de la empresa .............................................. 144 5.5.4. Considerar los problemas actuales relacionados con TI de la empresa ..... 150 5.5.5. Conclusión del paso 2 ................................................................................ 156 5.6. Paso 3: Perfeccionar el alcance del sistema de gobierno ................................. 161 5.6.1. Considerar el escenario de amenazas ....................................................... 161 5.6.2. Considerar los requisitos de cumplimiento ................................................. 166 5.6.3. Considerar el rol de TI ................................................................................ 171 5.6.4. Considerar el modelo de abastecimiento de proveedores para TI ............. 176 5.6.5. Considerar métodos de implementación de TI ........................................... 181 5.6.6. Considerar la estrategia de adopción de tecnología ................................... 187 5.6.7. Conclusión del paso 3 ................................................................................ 192 5.7. Paso 4: Resolver conflictos y finalizar el diseño del sistema de gobierno ........ 197 5.7.1. Resolver Conflictos ..................................................................................... 197 5.7.2. Finalizar el diseño del sistema de gobierno ................................................ 200 Capítulo VI. Conclusiones y recomendaciones ................................................... 206 6.1. Conclusiones ................................................................................................ 206 6.2. Recomendaciones ........................................................................................ 207 Referencias Bibliográficas ................................................................................... 209 Anexos ................................................................................................................ 213 Instrumento 1 .............................................................................................................. 213 Instrumento 2 .............................................................................................................. 217 Instrumento 3 .............................................................................................................. 220 viii Resumen Las Tecnologías de Información, en adelante TI, tienen la capacidad de facilitar grandes transformaciones a nivel organizacional. Estas transformaciones están acompañadas de inversiones importantes, las cuales deben procurar la generación de valor de la forma más optimizada posible. Dicha obtención de valor está estrechamente relacionada con el nivel de alineamiento que tengan las TI con la organización; por tanto, es sumamente importante que las TI apoyen e impulsen las necesidades reales de la organización en todos los niveles. Para poder garantizar que TI brinde este soporte a la organización, se hace totalmente necesario poder contar con un marco que permita orientar e impulsar, de forma estructurada, todos los esfuerzos en materia de información y tecnologías, a través del establecimiento de las prioridades de acuerdo con las necesidades de la organización. Este marco debe permitir ubicar a las TI como un componente estratégico y activo del gobierno corporativo brindándole además la posibilidad de establecer una gestión eficiente de todos los procesos asociados. En este Trabajo Final de Investigación Aplicada (TFIA), se analiza el caso del ICODER (Instituto Costarricense del Deporte y la Recreación), como institución pública del Estado costarricense, ante la necesidad de establecer un marco de gobierno y gestión de tecnologías que permita la incorporación de las mejores prácticas del mercado en el área y sea personalizado a los requerimientos de la institución. Se elabora el diseño de un modelo de gobierno y gestión basado en el marco de referencia COBIT 2019, analizando para esta labor el contexto de la organización, a través de la aplicación de todos los factores de diseño propios del modelo, priorizando de esta forma los objetivos de gobierno y gestión que la organización debe impulsar, a través de un proceso de implementación para cubrir de la mejor forma sus necesidades. ix Abstract The Information Technologies (IT), have the capacity to facilitate major transformations at the organizational level. These transformations are accompanied by significant investments that must seek to generate value in the most optimized way possible. This realization of value is closely related to the level of alignment that IT has with the organization, so it is extremely important that IT supports and drives the real needs of the organization at all levels. In order to guarantee that IT provides this support to the organization, it is absolutely necessary to have a framework that allows guiding and promoting in a structured way all efforts in the field of information and technologies through the establishment of priorities according to the needs of the organization. This framework should allow IT to be located as a strategic and active component of corporate governance, also giving it the possibility of establishing efficient management of all associated processes. In this Final Applied Research Work (TFIA in Spanish) the case of ICODER (Costa Rican Institute of Sports and Recreation) as a public institution of the Costa Rican state is analyzed, given the need to establish a governance and management framework of technologies that allows the incorporation of the best market practices in the area and be personalized to the needs of the institution. The design of a governance and management model is developed based on the COBIT 2019 reference framework, analyzing for this work the context of the organization through the application of all the design factors of the model, thus prioritizing the objectives of governance and management that the organization must promote through an implementation process to best meet its needs. x Lista de Tablas Tabla 1: Estructura de cada objetivo de COBIT 2019 ...................................................... 24 Tabla 2: Objetivos de gobierno y gestión del modelo COBIT 2019 .................................. 27 Tabla 3: Grupos de población de estudio ......................................................................... 49 Tabla 4: Estrategias Prototipo de COBIT 2019. Factor de diseño estrategia empresarial 59 Tabla 5: Metas Prototipo COBIT 2019. Factor de diseño metas empresariales ............... 62 Tabla 6: Categorías de Riesgos COBIT 2019. Factor de diseño del perfil de riesgo ....... 67 Tabla 7: Escala de probabilidad para la valoración de riesgos......................................... 74 Tabla 8: Escala de Impacto para la valoración de riesgos ............................................... 74 Tabla 9: Problemas Relacionados con I&T de COBIT 2019. Factor de Diseño Problemas Relacionados con I&T ...................................................................................................... 81 Tabla 10: Escenarios de amenazas. Factor de diseño escenario de amenazas .............. 90 Tabla 11: Requerimientos de cumplimiento. Factor de diseño requerimiento de cumplimiento .................................................................................................................... 92 Tabla 12: Rol de TI. Factor de Diseño RoL de TI ............................................................. 95 Tabla 13: Modelo de Abastecimiento de TI. Factor de diseño Modelo de Abastecimiento de TI .................................................................................................................................... 100 Tabla 14: Abastecimiento de servicios de TI del ICODER ............................................. 100 Tabla 15: Modelo de Abastecimiento de TI. Factor de Diseño Modelo de Abastecimiento de TI ............................................................................................................................... 103 Tabla 16: Estrategias de Adopción de TI. Factor de diseño de estrategias de adopción de TI .................................................................................................................................... 106 Tabla 17: Ítems relacionados a resultados de auditorias interna y externa de TI en el ICODER ......................................................................................................................... 112 Tabla 18: Ítems para mejora en el diseño del gobierno y gestión y los objetivos de gobierno y gestión relacionados .................................................................................................... 114 Tabla 19: Sección de salida—Importancia relativa derivada de cada objetivo de gobierno/gestión. Estrategia Empresarial ....................................................................... 125 Tabla 20: Cascada de Metas COBIT 2019. Metas Empresariales ................................. 132 Tabla 21: Cascada de Metas COBIT 2019. Metas Empresariales ................................. 133 Tabla 22: Sección de salida—Importancia relativa derivada de cada objetivo de gobierno/gestión. Metas Empresariales ......................................................................... 140 Tabla 23: Sección de salida—Importancia relativa derivada de cada objetivo de gobierno/gestión para los riesgos de TI ......................................................................... 146 Tabla 24: Sección de salida—Importancia relativa derivada de cada objetivo de gobierno/gestión. Problemas relacionados con TI .......................................................... 152 Tabla 25: Resumen de alcance inicial del modelo de gobierno y gestión ...................... 156 Tabla 26: Sección de salida—Importancia relativa derivada de cada objetivo de gobierno/gestión. Escenario de Amenazas. ................................................................... 162 Tabla 27: Factor de diseño 6 Requisitos de cumplimiento. Importancia derivada de objetivos de gobierno/gestión ......................................................................................... 167 Tabla 28: Factor de diseño 7 Rol de TI. Importancia derivada de objetivos de gobierno/gestión ............................................................................................................. 172 Tabla 29: Factor de diseño 8 Modelo de abastecimiento de proveedores para TI. Importancia derivada de objetivos de gobierno/gestión ................................................. 177 xi Tabla 30: Factor de diseño 9 Métodos de implementación de TI. Importancia derivada de objetivos de gobierno/gestión ......................................................................................... 183 Tabla 31: Factor de diseño 10 Estrategia de adopción de tecnología. Importancia derivada de objetivos de gobierno/gestión .................................................................................... 188 Tabla 32: Paso 3: Perfeccionar el alcance del sistema de gobierno .............................. 192 Tabla 33: Ajustes en la importancia relativa y los niveles de capacidad objetivo ........... 200 Tabla 34: Paso 4: Finalizar el alcance del sistema de gobierno ..................................... 201 Tabla 35: Categorización de objetivos de acuerdo con su grado de importancia para la organización ................................................................................................................... 204 Lista de figuras Figura 1: Contexto de Gobierno Empresarial de Información y Tecnología. .................... 12 Figura 2: Principios del Sistema de Gobierno .................................................................. 18 Figura 3: Principios del Marco de Gobierno ..................................................................... 20 Figura 4: Modelo Core de COBIT 2019 ............................................................................ 22 Figura 5: Componentes del Sistema de Gobierno ............................................................ 23 Figura 6: Factores de Diseño COBIT 2019 ...................................................................... 35 Figura 7: Impacto de los Factores de Diseño COBIT 2019 .............................................. 36 Figura 8: Proceso de Diseño de Gobierno de TI COBIT 2019 ......................................... 37 Figura 9: Niveles de capacidad de COBIT 2019 .............................................................. 38 Figura 10: Niveles de capacidad de los procesos de COBIT 2019 .................................. 39 Figura 11: Organigrama del ICODER ............................................................................... 45 Figura 12: Proceso metodológico de la investigación ...................................................... 46 Figura 13: Flujo de trabajo del diseño personalizado del sistema de gobierno .............. 115 Figura 14: Tabla de Asignación estrategias empresariales a objetivo de gobierno y gestión ....................................................................................................................................... 127 Figura 15: Cascada de metas COBIT 2019 ................................................................... 131 Figura 16: Tabla de asignación de las metas empresariales y las metas de alineamiento ....................................................................................................................................... 135 Figura 17: Tabla de asignación de objetivos de gobierno y gestión - metas de alineamiento ....................................................................................................................................... 137 Figura 18: Diseño final del modelo de gobierno y gestión de TI para el ICODER .......... 205 https://icodergocr-my.sharepoint.com/personal/juan_arce_icoder_go_cr/Documents/Escritorio/TFIA2021/TFIA_Juan-Arce_noviembre_2021_17-11-2021.docx#_Toc88066845 https://icodergocr-my.sharepoint.com/personal/juan_arce_icoder_go_cr/Documents/Escritorio/TFIA2021/TFIA_Juan-Arce_noviembre_2021_17-11-2021.docx#_Toc88066845 xii Lista de Gráficos Gráfico 1: Estrategias priorizadas para el ICODER .......................................................... 60 Gráfico 2: Metas priorizadas por el ICODER .................................................................... 63 Gráfico 3: Valoración de riesgos ...................................................................................... 75 Gráfico 4: Valoración de problemas relacionados con TI ................................................. 84 Gráfico 5: Panorama de amenazas valorado por la organización .................................... 91 Gráfico 6: Requerimientos de cumplimiento ..................................................................... 93 Gráfico 7: Rol de TI del ICODER ...................................................................................... 98 Gráfico 8: Forma de Abastecimiento de Servicios de TI del ICODER ............................ 102 Gráfico 9: Distribución porcentual de Modo de Abastecimiento de TI ............................ 103 Gráfico 10: Métodos de Implementación de Ti clasificados para el ICODER ................. 104 Gráfico 11: Estrategia de adopción de TI del ICODER .................................................. 106 Gráfico 12: Factor de diseño 1 Estrategia empresarial Importancia de las distintas estrategias (Entrada) ...................................................................................................... 124 Gráfico 13: Factor de diseño 1 Estrategia empresarial Importancia derivada de objetivos de gobierno/gestión (Salida) Grafico de Barras. ............................................................. 129 Gráfico 14: Factor de diseño 1 Estrategia empresarial Importancia derivada de objetivos de gobierno/gestión (Salida). Grafica de Radar o Araña ................................................ 130 Gráfico 15: Factor de diseño 2 Metas empresariales (Entrada) ..................................... 139 Gráfico 16: Factor de diseño 2 Metas empresariales Importancia derivada de objetivos de gobierno/gestión. Gráfico de barras. .............................................................................. 142 Gráfico 17: Factor de diseño 2 Metas empresariales. Importancia derivada de objetivos de gobierno/gestión. Gráfico de radar ................................................................................. 143 Gráfico 18: Factor de diseño 3 Perfil del riesgo de TI. Clasificación de riesgos de las categorías del escenario de riesgos de TI (entrada) ...................................................... 145 Gráfico 19: Factor de diseño 3 Perfil del riesgo de TI Importancia derivada de objetivos de gobierno/gestión. Gráfico de Barras. .............................................................................. 148 Gráfico 20: Factor de diseño 3 Perfil del riesgo de TI. Importancia derivada de objetivos de gobierno/gestión. Gráfico de radar. ................................................................................ 149 Gráfico 21: Factor de diseño 4 Problemas relacionados con I&T. Importancia de problemas relacionados con I&T(Entrada) ....................................................................................... 151 Gráfico 22: Factor de diseño 4 Problemas relacionados con I&T Importancia derivada de objetivos de gobierno/gestión. Gráfico de barras. .......................................................... 154 Gráfico 23: Factor de diseño 4 Problemas relacionados con I&T. Importancia derivada de objetivos de gobierno/gestión. Gráfico de radar. ............................................................ 155 Gráfico 24: Paso 2 Diseño Inicial. Importancia de los Objetivos de Gobierno y Gestión 160 Gráfico 25: Factor de diseño 5 Escenario de amenazas (entrada). ............................... 161 Gráfico 26: Factor de diseño 5 Escenario de amenazas. Importancia derivada de objetivos de gobierno/gestión. Gráfico de barras. ......................................................................... 164 Gráfico 27: Factor de diseño 5 Escenario de amenazas. Importancia derivada de objetivos de gobierno/gestión. Gráfico de radar. ........................................................................... 165 Gráfico 28: Factor de diseño 6 Requisitos de cumplimiento .......................................... 166 Gráfico 29: Factor de diseño 6 Requisitos de cumplimiento. Importancia derivada de objetivos de gobierno/gestión. Gráfico de Barras. .......................................................... 169 Gráfico 30: Factor de diseño 6 Requisitos de cumplimiento. Importancia derivada de objetivos de gobierno/gestión. Gráfico de radar. ............................................................ 170 xiii Gráfico 31: Factor de diseño 7 Rol de TI (Entrada) ........................................................ 171 Gráfico 32: Factor de diseño 7 Rol de TI. Importancia derivada de objetivos de gobierno/gestión. Gráfico de barras. .............................................................................. 174 Gráfico 33: Factor de diseño 7 Rol de TI. Importancia derivada de objetivos de gobierno/gestión ............................................................................................................. 175 Gráfico 34: Factor de diseño 8 Modelo de abastecimiento de proveedores de TI (Entrada) ....................................................................................................................................... 176 Gráfico 35: Factor de diseño 8 Modelo de abastecimiento de proveedores para TI. Importancia derivada de objetivos de gobierno/gestión. Gráfico de barras. ................... 179 Gráfico 36: Tabla 28: Factor de diseño 8 Modelo de abastecimiento de proveedores para TI. Importancia derivada de objetivos de gobierno/gestión. Gráfico de radar. ............... 180 Gráfico 37: Factor de diseño 9 Métodos de implementación de TI ................................ 182 Gráfico 38: Factor de diseño 9 Métodos de implementación de TI. Importancia derivada de objetivos de gobierno/gestión. Gráfico de barras. .......................................................... 185 Gráfico 39: Factor de diseño 9 Métodos de implementación de TI. Importancia derivada de objetivos de gobierno/gestión. Gráfico de radar. ............................................................ 186 Gráfico 40: Factor de diseño 10 Estrategia de adopción de tecnología ......................... 188 Gráfico 41: Factor de diseño 10 Estrategia de adopción de tecnología. Importancia derivada de objetivos de gobierno/gestión. Gráfico de barras. ...................................... 190 Gráfico 42: Factor de diseño 10 Estrategia de adopción de tecnología. Importancia derivada de objetivos de gobierno/gestión. Gráfico de radar. ........................................ 191 Gráfico 43: Paso 3: Importancia de los objetivos de Gobierno y Gestión (Todos los factores de Diseño) ...................................................................................................................... 196 xiv Lista Abreviaturas ▪ CGR: Contraloría General de la República. ▪ COBIT: Objetivos de Control para las Tecnologías de la Información y Relacionadas (Control Objectives for Information and Related Tecnology). ▪ ICG: Índice de Capacidad de Gestión. ▪ ICODER: Instituto Costarricense del Deporte y la Recreación. ▪ ISACA: Asociación de Auditoría y Control de Sistemas de Información. ▪ ISO/IEC: (International Organization for Standardization / International. ▪ ITIL: Biblioteca de infraestructura de tecnologías de información (Information Infraestructure Library). ▪ MICITT: El Ministerio de Ciencia, Tecnología y Telecomunicaciones. ▪ TFIA: Trabajo Final de Investigación Aplicada. ▪ TI: Tecnologías de Información, Unidad o Departamento de TI. ▪ TIC: Tecnologías de Información y Comunicaciones. ▪ UCR: Universidad de Costa Rica xv 1 Problema Las Tecnologías de Información, en adelante TI, son un área ideal para mejorar todos los procesos organizacionales: permiten disminuir gastos operativos, tiempos de espera en la entrega de servicios y dar una respuesta ágil a las peticiones y necesidades del usuario. Crear valor y un adecuado retorno sobre las inversiones es fundamental, y esto se logra con una adecuada gestión. De acuerdo con Curtis: “Los procesos de gobernanza débiles resultan en una gestión deficiente de las inversiones habilitadas por TI a lo largo de su ciclo de vida económico.” (Curtis, The Value of IT Governance, 2020). Para asegurar que la organización pueda tener garantía de las inversiones en tecnología, se debe realizar una planificación y administración eficiente de los recursos disponibles, por lo que es necesario contar con toda una estructura correctamente administrada, con procesos bien definidos y de acuerdo con el seguimiento de buenas prácticas reconocidas nacional e internacionalmente. De acuerdo con Marulanda, López y Cuesta, es necesaria la alineación de los objetivos de TI con la organización para poder generar mayor rentabilidad y un uso equilibrado de los recursos disponibles aprovechando las oportunidades. (Marulanda, López, & Valencia, 2017). En este caso, “…es el gobierno de Tecnologías de Información quien integra y apoya la institucionalización de buenas prácticas de planificación y organización, adquisición e implementación, entrega de servicios y soporte, y monitoreo del rendimiento de TI, para asegurar que la información administrada y las tecnologías empleadas soportan los objetivos estratégicos organizacionales.” (Torres & Lucimi, 2015). El Instituto Costarricense del Deporte y Recreación en adelante ICODER, hasta antes del año 2007 no contaba con una infraestructura de tecnologías y además carecía de personal 2 encargado de esta. Servicios como el de Correo Electrónico, Sitio Web y Soporte Técnico se contrataban eventualmente a terceros, e igualmente la atención de incidentes relacionados a estos servicios. No existía asesoría en la compra de equipo tecnológico, servicios, suministros; por ende, ningún control, nivel de seguridad, ni visión clara de lo que se quería alcanzar a nivel tecnológico. Desde el 2007, se trabajó con algún personal que fungió como asesor de la Dirección Superior (Dirección Nacional) en los temas tecnológicos. Dicho personal al no estar formalizado dentro del organigrama institucional no tenía establecido estándares o metodologías de trabajo que permitieran cubrir las diversas funciones dentro de Tecnologías de Información. Desde dicha fecha y hasta el 2020, el personal del área de Tecnologías respondía a la Dirección Administrativa Financiera sin ser visible aun en el organigrama institucional. Para el 2021, TI se estableció formalmente como una Unidad dentro de la Dirección Superior, quedando de esta forma establecida y visible dentro del organigrama institucional. Desde esta reciente concepción, la unidad no cuenta con un modelo de gobierno y gestión que esté alineado y responda a las necesidades e intereses de la organización y que garantice que todas las inversiones en tecnologías realmente generan valor para la organización; por tanto, para el sector público dentro del cual está inmersa. Aunque se han realizado iniciativas para cubrir algunos componentes tecnológicos con buenas prácticas y modelos de referencia en el campo tecnológico, dichas iniciativas no han sido suficientes y es necesario formalizar una estructura estandarizada de trabajo que permita alcanzar niveles de madurez en el gobierno y la gestión de las Tecnologías de Información para dar una adecuada sostenibilidad, seguimiento y control. 3 Para este fin, se plantea el diseño basado en el marco de referencia COBIT (Objetivos de control para la información y tecnologías relacionadas) en su última versión 2019, planteando de esta forma un modelo novedoso de gobierno y gestión tecnológica que permita y garantice su eficiencia en todos los niveles. Justificación El ICODER, desde el año 2007, inició un proceso de cambio a nivel tecnológico, de esta forma se han implementado una serie de mejoras con el fin de fortalecer los servicios de tecnologías de información disponibles, entre estos, la adquisición de infraestructura, licenciamiento, desarrollo de sistema de información y las diferentes plataformas de comunicación. Se ha ido presentando un aumento importante en el uso de las tecnologías y los servicios asociados. Para el 2006 se contaba con un servicio de correo electrónico con una capacidad muy limitada, con una página web que consistía en una ficha de presentación de la institución con datos básicos de contacto, el servicio de internet era muy deficiente y no todos los funcionarios podían acceder al servicio. Por otra parte, los equipos de cómputo carecían de controles, seguridad, estandarización y de adecuado soporte. (C, Quirós, comunicación personal, 05 de agosto de 2021). Para el 2021 existen 32 (treinta y dos) servicios formalmente habilitados. Este crecimiento que ha puesto en evidencia la necesidad urgente de diseñar e implementar un modelo de gobierno de tecnologías, el cual permita visualizar y proyectar a corto, mediano y largo plazo la forma de trabajo y todo el quehacer tecnológico de la institución. 4 El ICODER al ser una institución pública, está supeditada a seguir el marco normativo nacional. En el campo de TI, se emitieron las “Normas Técnicas para la Gestión y el control de las Tecnologías de Información” de la Contraloría General de la República (N-2-2007- CO-DFOE) aprobadas mediante Resolución del Despacho de la Contralora General de la República, Nro. R-CO-26-2007 del 7 de junio, 2007. Publicada en La Gaceta Nro.119 del 21 de junio, 2007. La emisión de dichas normas planteaba el seguimiento de buenas prácticas de gestión en Tecnologías de Información. El ICODER formalizó en el 2018 un proyecto llamado Gobernabilidad en un Plan Estratégico de Tecnologías de Información, en dicho proyecto se planteó una línea de trabajo para cubrir los aspectos normativos de forma paulatina. Sin embargo, mediante el artículo 1° de la resolución de la Contraloría General de la República N° R-DC-17-2020 del 17 de marzo del 2020, se establece derogar las normas técnicas para la gestión y el control de las tecnologías de información (N-2-2007-CO- DFOE) emitidas mediante la resolución N° R-CO-26-2007 del 07 junio del 2007, a partir del 1° de enero del 2022. De acuerdo con la misma resolución, y modificando a la vez las Normas de Control Interno para el Sector Público (N-2-2009CO-DFOE) en los ítems 5.9 y 5.10, se indica: 5.9 Tecnologías de información: El jerarca y los titulares subordinados, según sus competencias, deben propiciar el aprovechamiento de tecnologías de información que apoyen la gestión institucional mediante el manejo apropiado de la información y la implementación de soluciones ágiles y de amplio alcance. En todo caso, deben instaurarse los mecanismos y procedimientos manuales que permitan garantizar razonablemente la operación continua y correcta de los sistemas de información. En 5 esa línea, de conformidad con el perfil tecnológico de la institución, órgano o ente, en función de su naturaleza, complejidad, tamaño, modelo de negocio, volumen de operaciones, criticidad de sus procesos, riesgos y su dependencia tecnológica, el jerarca deberá aprobar el marco de gestión de tecnologías de información y establecer un proceso de implementación gradual de cada uno de sus componentes.” (Costa Rica. Contraloría General de la República, 2020). Se indica en el Transitorio I: “Todas las instituciones, entidades, órganos u otros sujetos pasivos de la fiscalización de la Contraloría General de la República deberán haber declarado, aprobado y divulgado el marco de gestión de las tecnologías de información y comunicación requerido en la modificación incorporada en esta resolución a las Normas de Control Interno para el Sector Público (N-2-2009-CODFOE), a más tardar el 1° de enero del 2022” (Costa Rica. Contraloría General de la República, 2020). En aras de proteger la inversión pública y acatar además las Normas de Control Interno del sector público N-2-2009CO-DFOE, es importante plantear un modelo de trabajo que permita ejercer suficientes controles y garantizar un funcionamiento óptimo de los recursos tecnológicos actuales y por adquirir en la institución. De los considerandos de la resolución N° R-DC-17-2020, se extrae: “9°-Que existen marcos de gestión para las tecnologías de información reconocidos a nivel mundial, los cuales contienen las mejores prácticas en la materia, que pueden ser adaptados a la realidad de las diversas organizaciones y son revisados periódicamente para mantenerlos actualizados con los constantes cambios tecnológicos.” (Costa Rica. Contraloría General de la República, 2020). 6 Por lo tanto, esta investigación plantea la necesidad de buscar el diseño de un modelo de Gobierno y Gestión de Tecnologías de Información que pueda fundamentarse en marcos de referencia, mejores prácticas, cuerpos de conocimiento o metodologías asociadas al área de tecnologías de información. La adopción de modelos o buenas prácticas reconocidas a nivel mundial como el marco de referencia ITIL (Information Technology Infrastructure Library), traducido al español (Biblioteca de Infraestructura de Tecnologías de Información) para la gestión de servicios de tecnologías, cuerpos de conocimiento como PMBok (Project Management Body of Knowledge) en español (Guía de Administración de Proyectos del Instituto de Administración de Proyectos) para la administración de proyectos, normas ISO como las normas ISO/IEC 27000 sobre estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), se considera de suma importancia para poder modelar los procesos de trabajo con instrumentos estandarizados de reconocimiento y uso internacional. Estas son buenas prácticas cuya adopción mejoran de forma sustancial la gestión de las tecnologías. Sin embargo, se tiene la necesidad de buscar un modelo que permita integrar todas estas buenas prácticas, marcos de referencia, cuerpos de conocimiento o metodologías para la gestión de los diferentes procesos de gobierno y gestión de tecnologías de información. Dicho modelo debe ser personalizado acorde con la realidad de la organización y debe permitir el establecimiento de una línea de trabajo estandarizada y normalizada, cuyo proceso de diseño y posterior implementación permita conseguir altos niveles de madurez en el gobierno y la gestión de TI a través de la mejora continua. De esta forma, se propone una metodología de trabajo la cual permita ir integrando dentro de un mismo modelo las mejores prácticas del campo tecnológico. 7 Se plantea como propuesta para el ICODER, el modelo de referencia COBIT (Objetivos de Control para las Tecnologías de la Información y Relacionadas), en su última versión (2019), debido a que es un marco integrador de otros modelos, marcos de referencia y normas internacionales y está diseñado para el gobierno y la gestión de las Tecnologías de Información. 8 Objetivos Objetivo General Diseñar un modelo de gobierno y gestión de tecnologías de la información para el ICODER basado en el marco de referencia COBIT 2019 con el fin de ser aplicado en la mejora de la gestión organizacional. Objetivos Específicos o Realizar un análisis del entorno de la organización para personalizar el modelo de gobierno y gestión de TI, de acuerdo con las necesidades de la organización. o Elaborar el diseño de un sistema de gobierno y gestión de Tecnologías de información personalizado para el ICODER, basado en el marco de referencia COBIT 2019. 9 Capítulo I. Fundamentación Teórica En este capítulo se desarrollan las bases teóricas las cuales sustentan el modelo planteado para la investigación. Se exponen los conceptos de gobernanza, gobierno de tecnologías de información, gestión de tecnologías de información, marcos de referencia, buenas prácticas, estándares internacionales y el modelo COBIT 2019. 1.1. La gestión de las Tecnologías de Información (TI) en las organizaciones La transformación digital ha propiciado que las TI se conviertan en un pilar para el crecimiento y sostenibilidad de las empresas. “Cada vez será más importante la atención a las actividades de valor añadido, es decir, la utilización de las TIC para facilitar la transformación de la empresa y los productos y servicios al cliente”. (Gray & Andreas, 1999). Se ha creado una dependencia muy importante de la tecnología para poder entregar los productos o servicios y se hacen enormes inversiones en TI. De esta forma, resulta transcendental lograr una alineación de la estrategia tecnológica con la estrategia organizacional, a fin de lograr un servicio de acuerdo con las necesidades y expectativas. Implementar tecnología sin la alineación estratégica adecuada y de forma aislada en acuerdo con Torres, Arboleda y Lucumi ¨…hace aportes parciales para alcanzar el logro estratégico institucional, pero no constituyen una solución por sí misma para lograr los objetivos de desempeño, competitividad, retención y aumento de clientes, o incremento de la cobertura de una organización” (Torres & Lucimi, 2015). Por lo tanto, es importante que todas las inversiones tecnológicas estén adecuadamente alineadas a la estrategia y metas de cada institución. de forma tal que se logren los 10 objetivos trazados. Para conseguir esta incorporación tecnológica, se requiere de gobierno y gestión adecuados. 1.2. Gobernanza Antes de entrar en la definición de Gobierno de TI, es importante referirse al gobierno empresarial o corporativo. El término gobernanza ha sido utilizado para hacer referencia a la gestión de forma igualitaria, transparente, honesta, responsable y eficiente intentando un nuevo estilo de gobernanza de la administración pública (Velásquez, Puentes, & Pérez, 2015). Según la Real Academia Española (RAE), gobernanza se define como: “Arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio entre el Estado, la sociedad civil y el mercado de la economía. (Real Acamemia de la Lengua Española, s.f.). Por otra parte, para Garbarino, la gobernanza corporativa está formada por las reglas, explícitas que llevan a una gestión transparente del negocio, favoreciendo las relaciones entre los distintos actores intervinientes, mejorando las oportunidades de crecimiento y captación de capital para el logro de las metas estratégicas corporativas (Garbarino, 2010). El International Finance Corporation (IFC), en la gobernanza empresarial identifica las estructuras y los procesos para una adecuada dirección y control en las organizaciones, contribuyendo a la generación de valor y a su desarrollo sostenible, al mejorar su desempeño y su acceso a las fuentes de capital. De acuerdo con el IT, Governance Institute se define como las responsabilidades y prácticas que ejerce el consejo y la dirección ejecutiva de la empresa, con el propósito de 11 proporcionar direccionamiento estratégico, asegurando el cumplimiento de los propósitos institucionales, la gestión de riesgos y de recursos (Velásquez, Puentes, & Pérez, 2015). De acuerdo con la OECD: “Para que exista gobernanza de TI, debe existir gobernanza corporativa, la cual define unas estructuras y supervisión del rendimiento a fin de asegurar que los objetivos se cumplan” (OCDE, 2016). Con base en esta conceptualización y siguiendo lo mencionado por Curtis, es posible observar problemas comunes de gobernanza empresarial en donde los riesgos mal identificados pueden generar mediciones inadecuadas de rendimiento y además un sentido de confianza que sería en este caso falsa. Si existen procesos de gobernanza débiles, las inversiones de TI pueden resultar gestionadas deficientemente. (Curtis, The Value of IT Governance, 2020). Por lo tanto, de existir un gobierno de TI establecido y consolidado se puede administrar de una forma más adecuada los riesgos y por ende los recursos, dando un respaldo a la organización. 1.3. Gobierno de Tecnologías de Información Dada la importancia de las tecnologías para la gestión en las organizaciones, en los últimos años se ha dado integración al concepto de Gobierno de TI o Gobierno Empresarial de TI (GETI). La GETI es una parte fundamental del gobierno corporativo. Esta la ejerce el consejo de administración, que supervisa la definición e implementación de procesos, estructuras y mecanismos relacionados en la organización para permitir a la empresa y al personal de TI desempeñar sus responsabilidades de soporte al negocio/alineamiento de TI y la creación de valor de negocio derivado de las inversiones empresariales posibles gracias a la I&T (Información y Tecnología) (ISACA, 2019). 12 Para Verhoef, el Gobierno de TI es una estructura de relaciones y procesos para dirigir y controlar la función de dichas tecnologías de una organización con el fin de alcanzar sus objetivos mediante la agregación de valor y el equilibrio del riesgo y la consideración del retorno sobre TI y sus procesos (Verhoef, 2007). Muñoz & Villegas consideran que el gobierno de TI forma parte del gobierno empresarial y se define como la estructura de relaciones y procesos para dirigir y controlar la organización hacia el logro de sus objetivos, por medio de la agregación de valor. En este mismo concepto se integran el balance entre el riesgo, el retorno de inversión en TI y sus procesos para garantizar que las TI en la compañía soporten los objetivos del negocio. (Muñoz & Ulloa, 2011). Para la ISACA, la GETI la ejerce el consejo de administración, según este parámetro “…supervisa la definición e implementación de procesos, estructuras y mecanismos relacionados en la organización para permitir a la empresa y al personal de TI desempeñar sus responsabilidades de soporte al negocio, alineamiento de TI y la creación de valor de negocio derivado de las inversiones empresariales, posibles, gracias a la información y tecnología (ISACA, 2019). De esta forma, la generación de valor es un elemento resultante de la alineación eficiente de TI al negocio obtenida de acuerdo con el buen gobierno de tecnologías de información. Se muestra dicha estructura de relación en la Figura N 1: Figura 1: Contexto de Gobierno Empresarial de Información y Tecnología. Fuente: (ISACA, 2019). 13 Agrupando los conceptos de gobernanza y gobierno de TI, cobra importancia establecer procesos de trabajo en común para garantizar un funcionamiento óptimo de Tecnologías de Información. Velásquez & Pérez, manifiestan que debe existir un marco de trabajo en común en el que la corporación debe estar unida y alineada con el gobierno de TI; el equipo directivo como agente de la junta, articula estrategias y conductas deseables a fin de cumplir los mandatos (Velásquez, Puentes, & Pérez, 2015). Por lo tanto, es un esquema de trabajo que abarca todos los niveles organizacionales de toma de decisión. En esta línea se integra además la gestión propia de Tecnologías de Información. Existen diferencias entre los términos gobernabilidad de TI y gestión de tecnologías. De acuerdo con Weil, la gobernabilidad de TI hace referencia a "los derechos de decisión y a quién se asigna la responsabilidad de las decisiones", mientras que la administración o gestión de TI se refiere a "la implementación de las decisiones específicas sobre TI". (Weill & Ross, 2004). 1.4. Gestión de Tecnologías de Información La Gestión de TI, se debe visualizar como un proceso conjunto e integrado del gobierno de TI. Según Huang et al, la gestión de TI se centra en tareas que son diarias o de rutina como las de control, asignación y gestión de diversas operaciones de los diferentes servicios que brinda TI. (Huang, Shen, Yen, & Chou, 2011). Por tanto, se considera que estas son actividades más de índole operativo. Se puede indicar que el alcance del gobierno y gestión es diferente, ya que ambas requieren incluso de distintas estructuras organizativas y tienen por ende distintos propósitos. Según ISACA, el gobierno asegura lo siguiente: 14 • Las necesidades, condiciones y opciones de las partes interesadas se evalúan para determinar objetivos empresariales equilibrados y acordados. • La dirección se establece a través de la priorización y la toma de decisiones. • El desempeño y el cumplimiento se monitorean en relación con la dirección y los objetivos acordados. En el caso de la gerencia, de igual forma según ISACA, esta se encarga de lo siguiente: • Planifica, construye, ejecuta y monitorea actividades en línea con la dirección establecida por el órgano de gobierno para alcanzar los objetivos de la empresa (ISACA, 2019). Por ende, de acuerdo con los alcances indicados del gobierno y la gestión podemos manifestar que son procesos totalmente integrados, en donde desde el gobierno se evalúan, monitorean y se da la dirección de la estrategia, al mismo tiempo, la adquisición, planificación y las tareas de implementación son parte de la gestión. Integralmente, formarán el Gobierno Empresarial de Tecnologías de Información que permitirá traducir la misión y objetivos organizacionales en objetivos de TI y crear una alineación más fuerte. La adopción de forma correcta de un Gobierno de TI debe procurar obtener servicios y soluciones adecuadas, al resaltar la creación de valor para el negocio y descartando los que no estén generando valor. Entonces, se buscará la optimización del uso de los recursos disponibles y la administración adecuada de los riesgos propios de la implementación diferentes tecnologías. De acuerdo con Curtis: “El gobierno de TI eficaz empodera a las empresas y les proporciona herramientas para identificar el estado actual y el estado futuro” (Curtis, 15 The Value of IT Governance, 2020). Esta adopción satisfactoria depende además de la implementación de modelos establecidos y reconocidas a nivel internacional. 1.5. Marcos de referencia, buenas prácticas y estándares internacionales Se han dado en los últimos años muchos esfuerzos de organismos internacionales, tanto académicos, como consultores, agencias de investigación, entidades reguladoras u organizaciones que trabajan diferentes estándares con el fin de lograr alinear y encaminar los esfuerzos tecnológicos y basar la gestión tecnológica en buenas prácticas. Entre estas organizaciones se pueden mencionar las siguientes: Entidades especializadas: • ECGI (European Corporate Governance Institute). • ISACA (Information Systems Audit and Control Association). • IT GOVUK (IT Governance UK). • ITGI (IT Governance Institute). • ITSMF (IT Service Management Forum). Organizaciones desarrolladoras de estándares: • BSI (The British Standards Institution). • Electrotechnical Commission. • ISO/IEC (International Organization for Standardization / International). Informes de entidades reguladoras: • Código Olivencia de Buen Gobierno – El Gobierno de las Sociedades Cotizadas – (Olivencia, 1998). • El Company Law and Corporate Governance (European Commission, 2011). 16 • El Informe Winter – Report of the High Level Group of Company Experts on a Modern Regulatory Framework for Company Law in Europe– (Winter, 2002). • Enhancing Corporate Governance in Banking Organizations del Bank for International Settlements (Basel Committee on banking supervision, 2005 & 2006) . • Informe Aldama – Informe de la Comisión Especial para el fomento de la transparencia y seguridad en los mercados y en las sociedades cotizadas – (Aldama y Miñon, 2003). • Informe Cadbury – Report of the Committee on the Financial Aspects of Corporate Governance – (Cadbury, 1992), • Informe Coso – Internal Control – Integrated Framework – (Committee on Sponsoring Organizations of the Treadway Commission [COSO], 1992). • Informe Turnbull – Report of the Committee on the Financial Aspects of Corporate Governance – (The Financial Reporting Council [FRC], 2005). • Principios de la OCDE para el Gobierno de las sociedades (Organización para la Cooperación y el Desarrollo Económicos [OCDE], 1999). Estas entidades han producido modelos y buenas prácticas aceptadas internacionalmente para la gestión de diferentes procesos de Tecnologías de Información. Entre estas se pueden citar los siguientes ejemplos: • CMMI® (capability maturity model integration) en el campo de los proyectos de adquisición y desarrollo informático. • COBIT® (control objectives for information and related technology) como un marco de buen gobierno para la gestión de TI. • ISO/IEC 12207:2008 para gestionar el ciclo de vida de desarrollo de software. 17 • ISO/IEC 27001:2013 para la gestión de la seguridad de la información. • ITIL® (IT Infrastructure Library) e ISO 20000 en lo relativo a la entrega, el soporte y la gestión de servicios TI. • MOF (Microsoft Operation Framework), que es la visión particular de Microsoft para gestionar las mencionadas tecnologías. • MPC-TI® (modelo de procesos clave de TI) que recoge los procesos clave de la gestión de TI de una organización. • The Open Group Architecture Framework (TOGAF) (o Esquema de Arquitectura del Open Group, en español) es un esquema o marco de trabajo) de arquitectura empresarial. La adopción de dichos modelos depende del alcance y los procesos a implementar en cada organización. En función de proveer un marco que permita abarcar los procesos, tanto de gobierno como de gestión de TI, se utilizará el marco de referencia COBIT en la versión 2019. El criterio de selección, además, obedece a que este consiste en un marco dirigido a toda la empresa, permitiendo de esta forma impactar de forma positiva a la organización como un todo. El modelo COBIT, además es un marco integrador que está alineado y utiliza de modelos, estándares, diferentes regulaciones y buenas prácticas de amplia aceptación nacional e internacional, las cuales permitirán establecer una línea de trabajo para modelar los diferentes procesos que cubren a la organización mediante sus diferentes tecnologías e información. 18 1.6. COBIT 2019 COBIT consiste en un marco para el gobierno y la gestión de las tecnologías de la información dirigido a toda la empresa. Trabaja el concepto de la Información y tecnología empresarial que significa: toda la tecnología y procesamiento de la información que la empresa utiliza para lograr sus objetivos, independientemente de dónde ocurra dentro de la empresa (ISACA, 2019). Con base en este enunciado, se indica que la abreviatura TI, se utilizará para efectos de este proceso investigativo como sinónimo de I&T, aunque el primero alude a Tecnologías de Información, refiriéndose a la Unidad de Tecnologías de Información o a diferentes tipos de tecnologías; mientras el segundo señala, como lo indica el modelo, la información y la tecnología de toda la organización que no se limitan solo a una unidad de TI. A partir de dicho modelo, el marco se desarrolló de acuerdo con dos tipos de principios. La primera serie o grupo está compuesto por 6 (seis) principios que describen los requisitos de un sistema de gobierno, estos se muestran en la figura N 2: Figura 2: Principios del Sistema de Gobierno. Fuente: (ISACA, 2019). 19 El primer principio se refiere a la necesidad de tener un sistema de gobierno para generar valor con las inversiones de TI, con la intensión de satisfacer las necesidades de las diferentes partes interesadas. El segundo principio alude al enfoque holístico, de acuerdo con el modelo, el gobierno de I&T está creado, a partir de varios componentes que se deben integrar y trabajar de forma conjunto como un todo. El tercer principio se relaciona con el Sistema de Gobierno Dinámico, este permite que el cambio en las necesidades de la organización se pueda reflejar en el sistema de gobierno, el enfoque apunta a que es un sistema de gobierno preparado para el futuro. El cuarto principio muestra la necesidad de distinguir entre las actividades de gobierno y las actividades de gestión de TI. El quinto principio se enfoca en que el sistema de gobierno debe responder a las necesidades de la empresa. El modelo COBIT basa su esquema de diseño en factores de diseño, los cuales permiten determinar las características de la organización para responder a ellas. El sexto principio se refiere a que el sistema de gobierno debe ser íntegro, de esta forma de acuerdo con el modelo, el sistema debe cubrir a la organización de principio a fin, dejando de centrarse solo en TI sino en todas la información y tecnologías de la empresa, sin importar dónde se realice el procesamiento de la información. Por otra parte, la segunda serie define a los principios para un Marco de Gobierno que pueda usarse para crear un sistema de gobierno. Estos se muestran en la figura N 3: 20 Figura 3: Principios del Marco de Gobierno. Fuente: (ISACA, 2019). En este caso, el primer principio de acuerdo con el modelo, busca maximizar la uniformidad y permitir la automatización al aplicar los diferentes procesos del modelo. El segundo principio pretende permitir que se agreguen o mejoren los diferentes componentes y que este abordaje de nuevos asuntos, asimismo, se pueda hacer de forma flexible. El tercer principio busca que el modelo esté alineado con las principales normativas. A nivel de estructura, el modelo COBIT 2019 contiene cuarenta objetivos de gobierno y gestión agrupados en cinco dominios. Los objetivos de gobierno se relacionan con procesos de gobierno. Los objetivos de gestión se relacionan con procesos de gestión. De acuerdo con el modelo, se identifican dominios que se expresan mediante verbos que manifiestan el propósito de estos. De esta forma, se encuentran los objetivos de gobierno que se agrupan en el dominio: 21 • Evaluar, Dirigir y Monitorizar (EDM). De acuerdo con este marco de referencia en este dominio: “El organismo de gobierno evalúa las opciones estratégicas, direcciona a la alta gerencia con respecto a las opciones estratégicas elegidas y monitoriza la consecución de la estrategia” (ISACA, 2019). Los objetivos de gestión se agrupan en cuatro dominios: • Alinear, Planificar y Organizar (APO) este aborda la organización general, estrategia y actividades de apoyo para I&T. • Construir, Adquirir e Implementar (BAI), se encarga de la definición, adquisición e implementación de soluciones de I&T y su integración en los procesos de negocio. • Entregar, dar Servicio y Soporte (DSS), aborda la ejecución operativa y el soporte de los servicios de I&T, incluida la seguridad. • Monitorizar Evaluar y Valorar (MEA), aborda la monitorización y la conformidad de I&T con los objetivos de desempeño interno, los objetivos de control interno y los requerimientos externos. 22 Se muestra el modelo Core o principal de COBIT 2019 con los cuarenta objetivos de gobierno y gestión en la figura N 4. Figura 4: Modelo Core de COBIT 2019. Fuente: (ISACA, 2019). Las organizaciones deben personalizar un sistema de gobierno, a partir de la priorización de los objetivos del modelo Core de COBIT. Al Implementar los objetivos, se deben desarrollar una serie de componentes que proporcionan la estructura de cada objetivo de gobierno y gestión. Estos componentes se pueden observar en la Figura N 5. 23 Figura 5: Componentes del Sistema de Gobierno. Fuente: (ISACA, 2019). Para lograr un objetivo, se deben analizar estos siete componentes, los cuales trabajan de forma conjunta para formar lo que se denomina un sistema de gobierno y gestión de información y tecnologías. Ello permite cubrir, además, a toda la organización, ya que los mismos tienen impacto directo sobre la forma en que dichos procesos se gestionan a nivel organizacional. En la tabla N 1, se muestra la estructura de cada objetivo, así como la descripción respectiva de cada uno de los componentes. 24 Tabla 1: Estructura de cada objetivo de COBIT 2019. Fuente: Elaboración propia. Ítem Descripción Dominio Corresponde al dominio dentro del modelo Core de COBIT al que pertenece el objetivo. Área prioritaria Un área prioritaria se puede definir como un área específica o un tema que debe ser abordado por un grupo de objetivos de gobierno y gestión. Por ejemplo: Ciberseguridad, computación en la nube, etcétera. Descripción Describe de que se trata el objetivo de COBIT. Propósito El propósito de un objetivo indica qué va a ganar u obtener la organización al implementar dicho objetivo. Metas empresariales Indica las metas empresariales que se van a lograr al implementar el objetivo. Metas de alineamiento Indica las metas de alineamiento o metas relacionadas a TI que se van a lograr al implementar el objetivo. Métricas de empresariales y de alineamiento Marcan el seguimiento y supervisión. Son métricas que se pueden utilizar para el monitoreo y desempeño del objetivo. Componente proceso Establece todo lo correspondiente al componente proceso. Prácticas de gobierno o práctica de gestión El componente proceso divide al objetivo en varias prácticas de gobierno o varias prácticas de gestión dependiendo de si se 25 trata de un objetivo de gobierno o de gestión. Actividades Cada práctica a su vez se divide en una serie de actividades cuyo cumplimiento determina su nivel de capacidad. Nivel de capacidad El nivel de capacidad se refiere a la capacidad alcanzada por el componente proceso. Entre más actividades estén cubiertas se tiene mayor nivel de capacidad. Documentación relacionada - Referencia específica COBIT es un marco que no es restrictivo y es un marco integrador. Hace referencia en cada práctica a los estándares o marcos que pueden ser utilizados como referencia para abarcar las actividades de cada práctica. Estructuras organizativas Se componte de una matriz RACI que solo tiene los elementos de Responsable y Autoridad. Para este componente COBIT 2019 no recomienda a los elementos Consultado ni Informado debido a que estos niveles de responsabilidad son muy variables dentro de una organización. Durante una fase de implementación se tendría que completar y adaptar la matriz RACI de acuerdo con la organización. Documentación relacionada - Referencia específica De igual manera que con el componente anterior COBIT hace referencia a los estándares o marcos que pueden ser utilizados como referencia para el componente de estructuras organizativas. 26 Componente: Flujos y elementos de información COBIT muestra para este componente las entradas y salidas en cuanto a los flujos de información necesarios para cada práctica de gobierno. Documentación relacionada - Referencia específica De igual manera que con el componente anterior COBIT hace referencia a los estándares o marcos que pueden ser utilizados como referencia para el componente flujos y elementos de información. D. Componente: Personas, habilidades y competencias Se indican las habilidades o competencias que deben tener las personas para un proceso de implementación de gobierno Documentación relacionada - Referencia Especifica De igual manera que con el componente anterior COBIT hace referencia a los estándares o marcos que pueden ser utilizados como referencia para el componente personas, habilidades o competencias Componente: Políticas y procedimientos Se establece la Política relevante, la descripción de esta, la documentación relacionada y la referencia específica. Componente: Cultura, ética y comportamiento Se establecen los elementos culturales clave, la documentación relacionada y la referencia específica. Componente: Servicios, infraestructura y aplicaciones Sobre este componente, COBIT no presenta mucha información. Es importante indicar que COBIT es un marco general y no recomienda productos o marcas específicas. 27 Se detallan los objetivos de gobierno y gestión del modelo en la tabla N 2 con el correspondiente propósito con el fin de tener una visión general de cada uno. Tabla 2: Objetivos de gobierno y gestión del modelo COBIT 2019 Fuente: (ISACA, 2019) Referencia Nombre del Objetivo Propósito EDM01 Asegurar el establecimiento y el mantenimiento del Marco de Gobierno Proporcionar un enfoque uniforme, integrado y alineado con el enfoque de gobierno de la empresa. Las decisiones relacionadas con I&T deben hacerse en línea con las estrategias y objetivos de la empresa y el valor esperado es alcanzado. En este sentido, debe asegurarse de que los procesos relacionados con I&T se monitoricen de forma eficaz y transparente; que se cumpla con los requisitos legales, contractuales y regulatorios; y que se cumplan los requisitos de gobierno para los miembros del consejo de dirección. EDM02 Asegurar la entrega de beneficios Asegurar un valor óptimo de las iniciativas, servicios y activos habilitados por I&T; la entrega rentable de soluciones y servicios; y una imagen confiable y precisa de los costes y beneficios probables para que las necesidades empresariales se satisfagan de forma eficaz y eficiente. EDM03 Asegurar la optimización del riesgo Asegurarse de que el riesgo de negocio relacionado con I&T no exceda el apetito y tolerancia al riesgo de la empresa, que se identifique y gestione el impacto del riesgo de I&T 28 en el valor de negocio y que se minimicen los posibles fallos de cumplimiento. EDM04 Asegurar la optimización de recursos Asegurarse de que las necesidades de recursos de la empresa se satisfagan de manera óptima, que los costes de I&T se optimicen, y que exista una mayor probabilidad de obtener beneficios y buena disposición para cambios futuros. EDM05 Asegurar la participación de las partes interesadas Asegurarse de que las partes interesadas apoyen la estrategia y la hoja de ruta de I&T, que la comunicación con las partes interesadas sea eficaz y oportuna, y que se establezcan las bases para los informes con el fin de aumentar el desempeño. Identificar las áreas de mejora y confirmar que los objetivos y estrategias relacionados con I&T se ajusten a la estrategia de la empresa. APO01 Gestionar el marco de gestión de I&T Implementar un enfoque uniforme de gestión para permitir que se alcancen los requisitos de gobierno empresarial, con cobertura de componentes de gobierno, como los procesos de gestión, las estructuras organizativas, los roles y las responsabilidades, las actividades confiables y repetibles, los elementos de información, las políticas y procedimientos, las habilidades y las competencias, la cultura y el comportamiento, y los servicios, infraestructura y aplicaciones. APO02 Gestionar la estrategia Apoyar la estrategia de transformación digital de la organización y proporcionar el valor deseado a través de una hoja de ruta con cambios incrementales. Usar un enfoque holístico en cuanto a T&I, asegurando que cada iniciativa 29 esté claramente conectada con una estrategia global. Habilitar el cambio en todos los diversos aspectos de la organización, desde los canales y procesos a los datos, cultura, habilidades, modelo operativo e incentivos. APO03 Gestionar la arquitectura empresarial Representar los diferentes componentes que conforman la empresa y sus interrelaciones, así como los principios que guían su diseño y evolución a lo largo del tiempo, para posibilitar una prestación estándar, atenta y eficiente de los objetivos operativos y estratégicos. APO04 Gestionar la innovación Lograr ventajas competitivas, innovación empresarial, una mejor experiencia de cliente y una mayor eficacia y eficiencia operativa con el aprovechamiento de los desarrollos de I&T y las tecnologías emergentes. APO05 Gestionar el portafolio Optimizar el rendimiento del portafolio general de programas en respuesta al rendimiento individual de programas, productos y desempeño de servicios y a las cambiantes prioridades y demandas de la empresa. APO06 Gestionar el presupuesto y los costes Fomentar la asociación entre TI y las partes interesadas de la empresa para permitir el uso eficaz y eficiente de los recursos relacionados con I&T, y proporcionar transparencia y rendición de cuentas sobre el coste y el valor de soluciones y servicios para el negocio. Habilitar a la empresa para que tome decisiones informadas sobre el uso de soluciones y servicios de I&T. 30 APO07 Gestionar los recursos humanos Optimizar las capacidades de recursos humanos para satisfacer los objetivos de la empresa. APO08 Gestionar las relaciones Facilitar el conocimiento, habilidades y comportamientos correctos para generar mejores resultados, aumentar la credibilidad, la confianza mutua y el uso eficaz de los recursos para estimular una relación productiva con las partes interesadas de la empresa. APO09 Gestionar los acuerdos de servicio Asegurarse de que los productos, servicios y niveles de servicio de I&T satisfagan las necesidades actuales y futuras de la empresa. APO10 Gestionar los proveedores Optimizar las capacidades disponibles de I&T para apoyar la estrategia y la hoja de ruta de I&T, minimizar el riesgo asociado con proveedores que no rinden o cumplen con los requisitos y asegurar precios competitivos. APO11 Gestionar la calidad Asegurar la entrega consistente de soluciones y servicios tecnológicos para satisfacer los requisitos de calidad de la empresa y las necesidades de las partes interesadas. APO12 Gestionar riesgos Integrar la gestión del riesgo empresarial relacionado con la I&T con la gestión del riesgo empresarial global (ERM), y equilibrar los costes y beneficios de la gestión del riesgo empresarial relacionado con T&I. APO13 Gestionar la seguridad Mantener el impacto y la existencia de incidentes de seguridad de la información dentro de los niveles de apetito de riesgo de la empresa. APO14 Gestionar los datos Asegurar el uso eficaz de activos de datos críticos para lograr las metas y objetivos empresariales. 31 BAI01 Gestionar los programas Obtener el valor de negocio deseado y reducir el riesgo de retrasos, costes y erosión de valor inesperados. Para ello, se deben mejorar las comunicaciones y la participación del negocio y de los usuarios finales, asegurar el valor y la calidad de los entregables de los programas y realizar un seguimiento de los proyectos dentro de los programas y maximizar la contribución del programa al portafolio de inversiones. BAI02 Gestionar la definición de requerimientos Crear soluciones óptimas que satisfagan las necesidades de la empresa, mientras se minimiza el riesgo. BAI03 Gestionar la identificación y construcción de soluciones Asegurar una entrega ágil y escalable de productos y servicios digitales. Establecer soluciones oportunas y rentables (tecnología, procesos de negocio y flujos de trabajo) capaces de apoyar los objetivos estratégicos y operativos de la empresa. BAI04 Gestionar la disponibilidad y capacidad Mantener la disponibilidad del servicio, la gestión eficiente de los recursos y la optimización del rendimiento del sistema a través de la predicción de los requisitos futuros de rendimiento y capacidad. BAI05 Gestionar los cambios organizativos Preparar y conseguir el compromiso a las partes interesadas para el cambio en el negocio y reducir el riesgo de fracaso. BAI06 Gestionar los cambios de TI Facilitar una ejecución de cambios rápida y confiable para el negocio. Mitigar el riesgo de afectar negativamente a la estabilidad o integridad del entorno que se ha modificado. 32 BAI07 Gestionar la aceptación y la transición de los cambios de TI Implementar soluciones seguras y conforme a las expectativas y resultados acordados. BAI08 Gestionar el conocimiento Proporcionar los conocimientos e información de gestión necesarios para apoyar a todo el personal en el gobierno y gestión de I&T de la empresa y permitir la toma de decisiones informadas. BAI09 Gestionar los activos Tener en cuenta todos los activos de I&T y optimizar el valor proporcionado por su uso. BAI10 Gestionar la configuración Proporcionar información suficiente sobre los activos del servicio para facilitar que el servicio se gestione de forma eficiente. Evaluar el impacto de los cambios y hacer frente a los incidentes del servicio. BAI11 Gestionar los proyectos Lograr los resultados definidos del proyecto y reducir el riesgo de retrasos inesperados, costes y erosión del valor mediante la mejora de las comunicaciones y la participación del negocio y de los usuarios finales. Asegurar el valor y la calidad de los entregables del proyecto y maximizar su contribución a los programas y al portafolio de inversión definidos. DSS01 Gestionar las operaciones Proporcionar los resultados de los productos y servicios operativos de I&T según lo planeado. DSS02 Gestionar las peticiones y los incidentes del servicio Lograr una mayor productividad y minimizar las interrupciones mediante la resolución rápida de consultas e incidentes de los usuarios. Evaluar el impacto de los cambios y hacer frente a los incidentes del servicio. Resolver las solicitudes 33 de los usuarios y restaurar el servicio como respuesta ante incidentes. DSS03 Gestionar los problemas Aumentar la disponibilidad, mejorar los niveles de servicio, reducir los costes y atender mejor las necesidades del cliente y lograr su satisfacción reduciendo el número de problemas operativos, e identificar las causas raíz como parte de la resolución de problemas. DSS04 Gestionar la continuidad Adaptarse rápidamente, continuar las operaciones del negocio y mantener la disponibilidad de los recursos y la información a un nivel aceptable para la empresa en caso de una interrupción significativa (como amenazas, oportunidades, demandas). DSS05 Gestionar los servicios de seguridad Minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad de la información. DSS06 Gestionar los controles de los procesos de negocio Mantener la integridad de la información y la seguridad de los activos de información manejados en los procesos de negocio, dentro de la empresa o su operación tercerizada. MEA01 Gestionar la monitorización del rendimiento y la conformidad Proporcionar transparencia en el desempeño y la conformidad e impulsar el logro de las metas. MEA02 Gestionar el sistema de control interno Dar información transparente a las partes interesadas, clave sobre la idoneidad del sistema de controles internos que permita proporcionar credibilidad en las operaciones, confianza en el logro de los objetivos de la empresa y una comprensión adecuada del riesgo residual. 34 MEA03 Gestionar el cumplimiento de los requerimientos externos Asegurarse de que la empresa cumpla con todos los requisitos externos aplicables. MEA04 Gestionar el aseguramiento Facilitar a la organización el diseño y desarrollo de iniciativas de aseguramiento eficaces y eficientes, proporcionando una guía sobre la planificación, alcance, ejecución y seguimiento de las revisiones de aseguramiento, usando una hoja de ruta basada en criterios de aseguramiento que sean bien acogidos. Para el diseño de un modelo de Gobierno y Gestión personalizado, COBIT 2019 ofrece una estructura de trabajo bajo diferentes factores de diseño que son los que modelan y permiten la priorización de los diferentes objetivos de gobierno y gestión. Esto hace que la dinámica de priorización se presente como un esquema ordenado y estructurado para que de forma objetiva se puedan establecer las prioridades respectivas. Dichos factores permiten personalizar el sistema de gobierno de tecnologías. Los factores de diseño pueden observarse en la figura 6: 35 Figura 6: Factores de Diseño COBIT 2019. Fuente: ISACA. Aplicando los factores de diseño, se pueden priorizar los objetivos de gobierno y gestión, incluso, algunos de estos componentes podrían no ser tomados en cuenta de acuerdo con las necesidades de la organización. COBIT 2019 permite elaborar un diseño personalizado totalmente de acuerdo con las necesidades de la organización. Para ilustrar este aspecto que es una de las características más importantes del modelo, se cita un ejemplo: Al priorizar sobre el factor de diseño N 3 referente al Perfil de Riesgo, la organización valorará el impacto y probabilidad para cada riesgo prototipo del factor. El resultado de esta valoración permite que, mediante las herramientas propias del modelo, se pueda establecer la relación establecida entre estos riesgos y cada uno de los objetivos de gobierno y gestión. De tal modo, los objetivos priorizados como más importantes, permitirán mitigar los riesgos identificados con mayores valores, lo cual permite cubrir la necesidad de la organización. En este caso, la personalización del modelo permite establecer lo que la organización realmente necesita. 36 De acuerdo con lo mostrado en la figura N 7, se puede observar que se elabora un sistema de gobierno personalizado mediante la utilización de factores de diseño para priorizar los objetivos de gobierno y gestión y los niveles de capacidad que se han planteado como objetivo. Además, permite que la organización pueda enfocarse en áreas prioritarias que determinarán el conjunto de objetivos de gobierno y gestión a implementar, es posible asimismo realizar variaciones de componentes específicos dentro del modelo. Figura 7: Impacto de los Factores de Diseño COBIT 2019. Fuente: ISACA. 37 Siguiendo las prácticas del modelo, se establece un proceso de diseño que se muestra en la figura N 8. Dicho proceso permite definir el sistema de gobierno y gestión de TI, siguiendo una serie de pasos establecidos. Figura 8: Proceso de Diseño de Gobierno de TI COBIT 2019. Fuente: ISACA. La priorización de los factores de diseño en cada una de las etapas, requiere de la aplicación de criterios específicos de acuerdo con el conocimiento del negocio y el contexto de la organización del personal o equipo de trabajo definido para este fin. Otro de los aspectos que se definen o ajustan de acuerdo con las necesidades de la organización es la capacidad de los diferentes componentes. En relación con el modelo COBIT, el desempeño es una parte esencial en el sistema de gobierno. “Expresa hasta qué punto funciona bien el sistema de gobierno y gestión y todos los componentes de una empresa, y cómo pueden mejorarse para alcanzar el nivel 38 requerido. Incluye conceptos y métodos como niveles de capacidad y niveles de madurez” (ISACA, 2019). El modelo COBIT 2019 se respalda en la Integración del Modelo de Madurez de la Capacidad (CMMI): “El nivel de capacidad es una medida de lo bien que un proceso se ha implementado y funciona”. (ISACA, 2019). La figura N 9 muestra la visión general de gestión del desempeño de COBIT que tiene un enfoque en cuanto a capacidad y a madurez. Figura 9: Niveles de capacidad de COBIT 2019. Fuente: (ISACA, 2019). Como se puede observar en la figura N 9, la versión anterior de COBIT 2019 (COBIT 5), permitía evaluar solamente el nivel de capacidad de los procesos. El CMMI 2.0 determina el nivel de capacidad de los procesos y el nivel de madurez de un conjunto de procesos. De acuerdo con el modelo: “Los niveles de madurez están asociados con áreas prioritarias (por ejemplo. una colección de objetivos de gobierno y gestión y los componentes subyacentes) y un cierto nivel de madurez se alcanzará si todos los procesos incluidos en el área prioritaria alcanzan ese nivel de capacidad específico” (ISACA, 2019). En el caso 39 del CMMI 2.0, no se permite determinar el nivel de capacidad o madurez de otro tipo de componentes distintos al componente proceso. En el modelo de COBIT 2019 se amplía el concepto, de esta forma se permite determinar el nivel de capacidad de los procesos y el nivel de capacidad de los otros tipos de componentes que conforman cada objetivo. Además, permite determinar el nivel de madurez de un conjunto de procesos o de otros componentes dentro de un área prioritaria. Al momento de realizar la investigación, no se han publicado las guías para determinar el nivel de capacidad de otros componentes diferentes al componente procesos, sin embargo, si se establecen algunos criterios bases para la gestión del desempeño de las estructuras organizativas, elementos de información y de la cultura y el comportamiento. En la figura N 10 se muestra los niveles de capacidad para los procesos: Figura 10: Niveles de capacidad de los procesos de COBIT 2019. Fuente: (ISACA, 2019). 40 Como se puede observar en la figura N 10, se establecen seis (6) niveles de capacidad que permiten hacer una evaluación del grado de cumplimiento de este componente. “El modelo Core de COBIT asigna niveles de capacidad a todas las actividades del proceso, permitiendo una clara definición de los procesos y las actividades requeridas para alcanzar los distintos niveles de capacidad” (ISACA, 2019). Para la gestión del desempeño, de acuerdo con (Yrigoyen & M, 2021), si se quiere determinar el nivel de capacidad del componente procesos ya sea que se esté evaluando el nivel de capacidad actual o el nivel de capacidad objetivo se debe determinar el nivel de cumplimiento a nivel de las prácticas y actividades del proceso. Uno de los métodos planteados por el modelo consiste en asignar una calificación de acuerdo con los siguientes niveles: • Completamente: El nivel de capacidad se alcanza para más del 85 por ciento. • Largamente: El nivel de capacidad se alcanza para entre el 50 por ciento y el 85 por ciento. • Parcialmente: El nivel de capacidad se alcanza para entre el 15 por ciento y el 50 por ciento. • No: El nivel de capacidad se alcanza para menos del 15 por ciento. (ISACA, 2019, pág. 39). Esta calificación se realiza para cada una de las actividades del proceso en comparación con las actividades que se realizan en la organización. Al realizar el proceso de diseño del sistema de gobierno y gestión se determina el nivel de capacidad objetivo para cada uno de los objetivos priorizados. Las herramientas del mismo modelo recomiendan estos niveles de capacidad para los procesos de acuerdo con la 41 priorización que se obtiene en cada objetivo de gobierno y gestión. Entre mayor valor obtiene un objetivo mayor es el nivel de capacidad sugerido. Finalmente, el diseño del modelo permitirá determinar el conjunto de objetivos de gobierno y gestión priorizados de acuerdo con la aplicación de los factores de diseño y un nivel de capacidad objetivo-recomendada para el componente procesos. En la propuesta de solución se describe y aplica el paso a paso del modelo de diseño de gobierno y gestión de TI de acuerdo con COBIT 2019, con los correspondientes métodos, técnicas y los detalles de cada uno de los factores de diseño. 42 Capítulo II. Descripción de la organización y su entorno En el capítulo II se desarrolla la descripción del entorno organizacional. Se exponen las actividades que realiza la organización, la misión, visión, valores y su estructura organizacional. 2.1. Descripción de la organización El Instituto Costarricense del Deporte y la Recreación (ICODER) tiene un origen muy reciente, ya que por la Ley 7.800 nace el 1° de agosto de 1998, como una institución semi autónoma del Estado, con personería jurídica propia e independencia administrativa. De acuerdo con el artículo 1° de la Ley N° 7800, es el responsable de “la promoción, el apoyo y el estímulo de la práctica individual y colectiva del deporte y la recreación, tanto convencional como adaptado, de las personas habitantes de la República, actividad considerada de interés público por estar comprometida la salud integral de la población” (Ley 7800, 1998). El fin primordial del ICODER consiste en la promoción, el apoyo y el estímulo de la práctica individual y colectiva del deporte y la recreación de los habitantes de la República, componente fundamental para la salud integral de la población. Por esta razón, y considerando la importancia que tiene el deporte para prevenir varios tipos de enfermedades y aumentar el nivel de vida saludable de las personas. 2.2. Actividades que realiza • Juegos Deportivos Nacionales. • Apoyo a federaciones y asociaciones deportivas y recreativas. 43 • Iniciación deportiva, desarrollo de talentos, selecciones nacionales y promoción del alto rendimiento en conjunto con las asociaciones y federaciones. • Galería Costarricense del Deporte. • Promoción recreativa y deportiva. • Juegos Deportivos Estudiantiles, en coordinación con el Ministerio de Educación • Juegos Deportivos Estudiantiles Centroamericanos, como parte del Consejo del Istmo Centroamericano de Deporte y Recreación. • Juegos Dorados, dirigidos a adultos mayores, junto con la Caja Costarricense del Seguro Social y la Universidad Nacional. • Juegos Comunales, en alianza con los comités cantonales de deporte y recreación. • Festivales de las Oportunidades, dirigidos a personas con discapacidad. • Capacitación a dirigentes, entrenadores, deportistas y árbitros. • Campamentos formativos para jóvenes. • Capacitación internacional a través de los convenios de cooperación. • Implementación de la Red Nacional de Actividad Física, con el apoyo del Ministerio de Salud, IFAM, Municipalidades y Comités Cantonales. • Apoyo a dirigentes cantonales y comunales del deporte y la recreación por medio de capacitación y formación de líderes. 2.3. Misión y visión 2.3.1. Misión “Promover el deporte, la recreación y la actividad física, con el fin de contribuir al desarrollo y bienestar integral de la población de la República.” 44 2.3.2. Visión “Ser la institución líder en el deporte, la recreación y la actividad física a nivel nacional y un referente en el ámbito internacional.” 2.4. Valores La organización se rige bajo los siguientes valores: • Responsabilidad en el seguimiento del deporte y la recreación como un medio integral de la vida. • Compromiso en la entrega de actividades relacionadas al deporte y recreación. • Inclusión de la población desde la niñez hasta la vida de adulto mayor. 2.5. Estructura Organizacional El ICODER está formado por el Consejo Nacional del Deporte y la Recreación, la Dirección Nacional, áreas de gestión especializadas y direcciones departamentales; las cuales, en conjunto con las Áreas de Deporte y Recreación, Administrativa Financiera y Gestión de Instalaciones, emiten las directrices que permiten desarrollar técnicamente la estructura del ICODER, procurando una utilización eficiente de los recursos y una mayor cobertura de este sector a nivel nacional. El Departamento de Tecnologías de Información (TI) del ICODER, depende jerárquicamente de la Dirección Superior (Dirección Nacional) de acuerdo con la última modificación realizada en enero del 2021. El organigrama del ICODER se puede observar en la figura N 11. 45 Figura 11: Organigrama del ICODER. Fuente: Elaboración propia a partir de organigrama de ICODER 2021. 46 Capítulo III. Marco Metodológico En el capítulo III se muestran las técnicas que se emplearon para realizar el proyecto de investigación aplicada. Se indica el proceso metodológico seguido, el diseño de la investigación con el tipo, método y enfoque de la investigación. Se determina además la población de estudio e información a recolectar con las fuentes, técnicas, instrumentos y planes de muestreo de la investigación. 3.1. Proceso Metodológico Para efectos del presente TFIA, se diseñó un modelo de gobierno y gestión de TI basado en el marco de referencia COBIT 2019 para el ICODER, a fin de encontrar la solución a la problemática estudiada. El proceso metodológico de la investigación se muestra en la figura N 12 Figura 12: Proceso Metodológico de la Investigación. Fuente: Elaboración propia. Aplicación de métodos de recolección de información para conocer el contexto organizacional Estructuración, Análisis e interpretación de resultados Diseño de Propuesta de solución de acuerdo al modelo COBIT 2019 47 3.2. Diseño de investigación 3.2.1. Tipo de investigación De acuerdo con los objetivos planteados en el TFIA, el mismo se considera como una investigación cualitativa. Según Hernández, Fernández, & Baptista, (2014): “El enfoque cualitativo es seleccionado cuando el propósito es examinar la forma en que los grupos perciben y experimentan las situaciones vividas en el ambiente, por lo que la investigación cualitativa permitirá profundizar en el campo de estudio con el fin de descubrir problemáticas o fenómenos que afecten a la población determinada” (p. 261). Para Marshall & Rossman (1989), la investigación cualitativa busca descubrir las perspectivas de los investigados en sus mundos; por lo tanto, el investigador requiere de la inmersión en la vida cotidiana del objeto de su estudio. Para los efectos del TFIA, este es la estructura base sobre la cual se realizará la investigación. 3.2.2. Método de Investigación Para el presente TFIA el diseño de la investigación se define como investigación-acción. Parafraseando a Bell (1998), este constituye un método idóneo para emprender cambios en las organizaciones, es utilizada cuando se identifica un problema en el lugar de trabajo y el estudio podría contribuir a la mejora. 3.2.3. Enfoque de Investigación Dentro de la investigación-acción podemos enforcarnos en las siguientes características de la investigación acción práctica, según Creswell (2005): 48 • Implementa un plan acción (para resolver el problema, introducir la mejora o generar el cambio). • Se centra en el desarrollo y aprendizaje de los participantes. • El liderazgo lo ejercen conjuntamente el investigador y uno o varios miembros del grupo o comunidad. • Estudia prácticas locales (del grupo o comunidad). De acuerdo con las características supracitadas, se puede enmarcar este proyecto dentro de la investigación acción práctica, debido a que se buscará un diseño de un modelo de gobierno de TI introduciendo una propuesta de solución para generar un cambio significativo en la gestión tecnológica en conjunto con la comunidad, partiendo del estudio del estado y prácticas actuales de gestión. 3.3. Población de estudio e información a recolectar 3.3.1. Población de estudio La población para el desarrollo de la TFIA está compuesta por funcionarios del ICODER ubicados en las instalaciones del Estadio Nacional de Costa Rica. Esta población de usuarios debe cumplir con las siguientes características: • Personal que tiene algún nivel de mando, dirección o coordinación de procesos. • Personal con roles de planificación, supervisión o control y evaluación. • Personal especialista en los procesos de Tecnologías de Información. En la Tabla N 3, se muestran los grupos de usuarios: 49 Tabla 3: Grupos de población de estudio. Fuente: Elaboración propia. Población Descripción Cantidad de Personas Alta Dirección Personal de la Dirección Superior de la Institución. 2 Directores de Área Persona con rol de Jefatura de Dirección de Departamentos. 3 Planificación Personal del área de Planificación Institucional que administra los procesos ligados a estrategia, objetivos empresariales y control interno. 3 Tecnologías de Información Personal de área de Tecnologías de Información que está a cargo de los diferentes procesos del área de Tecnologías. 4 3.3.2. Información por recolectar 3.3.2.1. Fuentes de información 3.3.2.1.1. Fuentes primarias Para el desarrollo del TFIA, se utilizaron las siguientes fuentes primarias: • Opinión de expertos. • Entrevistas. 50 3.3.2.1.2. Fuentes secundarias Las fuentes secundarias utilizadas para la realización de este proyecto fueron las siguientes: • Directrices de la Contraloría General de la República. • Directrices del Ministerio de Ciencia, Tecnología y Telecomunicaciones. • Documentación técnica de Tecnologías de Información del ICODER. • COBIT 2019,