In a popular professional social network recently, an individual penned a post suggesting that considering COBIT 5 a “business framework” was nonsense. He challenged readers to provide an explanation to justify such a definition for ISACA’s model.

Here goes mine! In its early years, COBIT was more of an IT model. Nonetheless, its latest edition—COBIT 5—has actually evolved into a “business framework.” This needs clarification; otherwise it would be easy to make the mistake of thinking that we are talking about a model for traditional business processes, such as sales, engineering, marketing, etc.

Nothing could be further from the truth! This is clearly detailed by ISACA, which describes COBIT 5 as “a business framework for the governance and management of enterprise IT.” That means—as anyone who knows the model’s background can tell you—that the new version maintains a focus on IT but with a more pronounced business approach and emphasis. The stakeholders on the business side can benefit along with those on the IT side. In other words, driving and controlling (governing) the IT behavior within any organization goes beyond the CIO’s realm.

In this way, COBIT 5 becomes a framework for the corporate governance of IT. Previous editions—from the first COBIT, introduced in 1996, to 2007’s COBIT 4.1—focused more on practices to help the CIO better manage the IT shop.

Of course, the message of COBIT 5 is not a new one. This message emerged seven years ago, back in 2006 when Val IT was born. Val IT was the first of ISACA’s models that provided a business standpoint of IT and its related issues, highlighting that there are many IT-related activities that should be performed by the “business people,” not the IT team.

If you explore this idea through the RACI matrix, to model the number of accountabilities and responsibilities beyond the CIO’s, you see how COBIT 5 is a framework not exclusively designed for the IT team.

Since it is a collection of good practices to be adopted and adapted in the implementation of an overarching IT governance-and-management system, COBIT 5 can be—should be—referred to as a business framework for the governance and management of enterprise IT.

There is nothing nonsensical about that.

This article was originally released by ISACA's "Now" blog, on June, 12th, 2013.

La pregunta que intitula este primer artículo -de una serie con la que se ofrecerá opinión y análisis sobre el panorama tecnológico corporativo actual- era planteada, recientemente, en uno de los foros de discusión de una afamada red social de carácter profesional. El autor de la consulta parecía haberla formulado, no sin cierta intencionalidad, insinuando que tal cosa -hablar de “marco de referencia de negocio”-  sonaba poco menos que a disparate y retando a los lectores a que le pintasen una figura con la que pudiese quedar representado semejante concepto.

Sin ánimo de pretender corregir al citado individuo sirvan las siguientes reflexiones como aclaración a la duda por él planteada y, de paso, como brevísima introducción a algunos conceptos que subyacen a la aparición de COBIT 5[i], el modelo de buenas prácticas de ISACA[ii].

La cuestión de cabecera se origina por la nueva consideración que ISACA tuvo para su creación. Identificado tradicionalmente como un modelo de TI, en su última versión ha sido rebautizado como un “marco de referencia de negocio”. Ello requiere una matización pues de otro modo, resultaría fácil caer en el error de pensar que de lo que se está hablando es de un modelo para los procesos tradicionales del negocio, tales como la atención al cliente, el diseño e ingeniería de producto, el desarrollo de nuevos mercados, etcétera.

¡Nada más lejos de la realidad! Y para ello -de ahí la señalada intencionalidad del autor de la consulta original- no hace falta más que leer el título completo de la guía COBIT, que reza[iii] “A Business Framework for the Governance and Management of Enterprise IT”. Ello significa  -como cabría esperar por cualquiera que conozca los antecedentes del modelo- que esta nueva versión sigue hablando de las TI pero con un acento de negocio aún más marcado.

En definitiva el nuevo título sugiere que el lector de COBIT ha de leerlo desde una óptica de negocio. Quienes han de captar los mensajes de COBIT han de ser, mayoritariamente, aquellos que se ocupan del negocio de la organización (no de TI). Dicho de otro modo, dirigir y controlar el “comportamiento” de las TI, dentro de cualquier organización, trasciende el perímetro del CIO[iv].

De ese modo, COBIT 5 se convierte por primera vez en un verdadero marco de referencia para el gobierno corporativo de las TI. Las versiones precedentes -de la 1 (1996) a la 4.1 (2007)-  nunca pasaron de ser conjuntos de buenas prácticas para ayudar al CIO a gestionar mejor el departamento de TI.

El mensaje no es nuevo en absoluto; surgió por vez primera hace siete años, en 2006, con el nacimiento de Val IT. Este -del cuál COBIT 5 es heredero- sí fue el primer modelo de ISACA que ofreció una perspectiva de las TI y de sus problemáticas asociadas desde la óptica del negocio, con una clara indicación en el sentido de que hay un cúmulo de actividades relacionadas con las TI que deben ser ejecutadas por la “gente de negocio”, no por el grupo de TI.

Volviendo a COBIT 5, bastaría “asomarse” a las matrices RACI[v] que incorporan el modelo para comprobar las numerosas altas responsabilidades (A) y responsabilidades (R) asociadas a perfiles, más allá del propio de CIO. Definitivamente esto hace de COBIT 5 un marco de referencia dirigido no al equipo de TI  (o, al menos, no SOLO al equipo de TI), a diferencia de CobiT 4.1 y versiones anteriores.

En suma, siendo COBIT 5 una colección de buenas prácticas (que han de ser adoptadas y adaptadas) para poner en marcha un sistema de gobierno corporativo de TI (y también de gestión), no es extraño referirse a él como “marco de referencia de negocio (para el gobierno y la gestión de las TI de la empresa)".

PD. El documento "COBIT 5 Design Paper. Expore Draft" publicado por ISACA el 22 de marzo de 2010, brinda una representación gráfica muy clara de lo explicado más arriba. La figura 6, página 14, muestra de izquierda a derecha cómo la responsabilidad sobre los diferentes procesos COBIT varía desde TI (los situados más a la izquierda), hasta el negocio (los de la derecha), en función de su "sustancia". ¡Tal vez sea la figura que estaba buscando quien planteó la duda inicialmente!

This article was originally released by Mexican magazine "Magazcitum", on March, 6th, 2013.