ROL DE UN AUDITOR SCAMPI-CMMI

JOHNNIER FELIPE CASTRO DIOSA

EDISON ARVEY SANTA ECHEVERRI

INSTITUCIÓN UNIVERSITARIA TECNOLOGICO DE ANTIOQUIA

FACULTAD DE INGENIERIA
Auditoria De Sistemas
MEDELLÍN
2021
 ¿CMMI?

Cuando una organización ah conseguido mejorar sus procesos e implantar los

correspondientes a un nivel de madurez CMMI, es común que decida que ha llegado el
momento de presentarse a una auditoría que corrobore dicha implantación por un tercero,
un auditor externo. Y es ahí cuando aparecen una serie de peculiaridades, tareas y términos
que suelen causar mucha confusión en el equipo de mejora.

¿Qué es SCAMPI?
Se denomina así a la evaluación o auditoría final de concesión oficial de un nivel de
madurez de CMMI. SCAMPI es el acrónimo de “Standard CMMI Appraisal Method for
Process Improvement”.

Este es un método sobre cómo evaluar los diferentes procesos de la organización,

definiendo el nivel de madurez. Se distinguen tres tipos de SCAMPI (A, B ó C) en función
de la formalidad y la dificultad de este. El más riguroso es el SCAMPI A y es el que
permite obtener el nivel de madurez oficial. Una vez superado el SCAMPI A, es común que
la organización reciba un diploma acreditativo que indica el nivel de madurez alcanzado.

El SCAMPI A debe ser realizado por una figura denominada Lead Appraiser. El Lead
Appraiser es una persona acreditada por el SEI (Software Engineering Institute,
organización propietaria del modelo CMMI) para realizar la evaluación CMMI.
Finalmente, es el Lead Appraiser quién emite lo que se conoce como “Appraisal Disclosure
Statement”, documento que muestra los resultados de la evaluación.

¿Quién respalda una auditoría CMMI?

Comúnmente se piensa que es el “Software Engineering Institute” (SEI), ya que es la

organización propietaria del modelo. Sin embargo, el SEI solamente acredita a los auditores
o Lead Appraiser para que puedan realizar evaluaciones CMMI.

No es el SEI quien emite un certificado, sino que son los auditores los que emiten un
diploma en el que se indican los datos y resultados de la auditoría.

Son estos auditores y las empresas partner del SEI en las que trabajan los que se
responsabilizan de los resultados de la evaluación. Tras la realización de un SCAMPI, el
Lead Appraiser envía una serie de documentos al SEI para que este realice chequeos y
controles de calidad del SCAMPI.

Una vez terminados estos chequeos, el SEI envía una comunicación al sponsor y al Lead
Appraiser del SCAMPI aprobándolo para uso público. Desde este momento, los resultados
se publican en el PARS (Published Appraisal Results) del SEI.

Por ello normalmente se utiliza el concepto evaluación en vez de certificación cuando nos
referimos a una auditoría CMMI.
¿Durante cuánto tiempo son válidos los resultados de la evaluación?

Los resultados de la evaluación son válidos durante un máximo de 3 años desde la fecha en
que se emite el Appraisal Disclosure Statement.

Guía Práctica en una auditoria CMMI

1. Las auditorías CMMI

2. Fases y duración de la auditoría
3. Los proyectos que serán auditados y la unidad organizacional
4. Los participantes en la auditoría
5. La fase “Readiness review”
6. Los indicadores de implementación de la práctica (PII) y la base de datos de
indicadores (PIIDB)
7. Empleo de PIIDB
8. El método de evaluación
9. Glosario de términos
10. Referencias

Auditorías en el modelo CMMI

es una revisión objetiva de un producto o conjunto de productos de trabajo contra criterios

establecidos. El uso del criterio le da objetividad a la actividad y es vital para el éxito de la
revisión.

En el modelo existe una práctica específica (SP 3.2) en el área de proceso de Gestión de la
Configuración (Configuration Management) que establece la necesidad de ejecutar
auditorías a la configuración para mantener la integridad de las líneas base de la
configuración.

Tipos de auditorías en Gestión de la configuración

• Auditorias funcionales (FCA) - permiten verificar que las funcionalidades que han sido
probadas de un componente de configuración han cubierto los requisitos especificados
en la línea base de documentación funcional y que la documentación para el apoyo y
operación es completa y satisfactoria.
• Auditorías físicas (PCA) - permiten verificar que los elementos de configuración
integrados cumplen con la especificación técnica que los define.
• Auditorías a la gestión de la configuración - permiten confirmar que los registros de
gestión de configuración y elementos de configuración son completos, consistentes y
precisos.
Para realizar la auditoría a la configuración se requiere evaluar la integridad de las líneas
base, confirmar que los registros de componentes de configuración corresponden
adecuadamente con los componentes que identifican, revisar la estructura e integridad de
los componentes en el sistema de gestión de la configuración, confirmar que son exactos y
completos y que cumplen con los estándares y procedimientos correspondientes.

Fases de una evaluación SCAMPI #CMMI

Fase 1: Preparación y planificación de la auditoría

Fase 2: Readiness-review

Ejecución de la auditoría y comunicación de resultados

 Actores y sus Roles

El desarrollo del sistema de auditoria realizó bajo el marco de trabajo scrum, es

fundamental dar claridad sobre los roles y responsabilidades que tenían los diferentes actores, para

con el proyecto. Normalmente en un equipo Scrum se reconocen tres (3) roles principales: el dueño

del producto, el scrum master y el equipo de desarrollo. Así pues, se presenta a continuación el

equipo scrum asociado al proyecto y los diferentes actores que tuvieron participación directa e

indirecta.

Nombre Johnnier Felipe Castro Diosa

Rol Desarrolladora Backend, administradora de base de datos, gerente de
producto
Responsabilidad Se encarga de administrar la base de datos, es el enlace entre el equipo de
desarrollo y el cliente. Administra y prioriza el backlog del producto.
Desarrolla el backend de la solución.

Nombre Edison Santa Echeverri

Rol Desarrollador frontend, devops, scrum master
Responsabilidad Es el responsable de gestionar los espacios para el equipo de desarrollo,
buscar alternativas de solución para los impedimentos, administrar los
repositorios y el paso a producción automátizado. Desarrolla frontend de la
solución.

Nombre Auditor Externo

Rol Administrador del sistema
Responsabilidad Administrar el sistema, usuarios cronogramas y generar reportes de las
auditorías.

Nombre Un solo Usuario

Rol Coordinador de auditores.
Responsabilidad Administrar los cronogramas de auditorías en el sistema, generar reportes
de auditorías.

Nombre Usuario de la compañía.

Rol Líder funcional
Responsabilidad Consultar el cronograma que le es asignado, registrar novedades
 Product backlog

Historias de Usuario Estimación Ejecución

Fecha
Hra
Hrs Hrs Hrs puesta
Id Spri Priori s Fecha Observa
Nombre HU Definici Desarr Prue en
HU nt dad tota Inicio ción
ón ollo bas producci
les
ón
Gestión sesiones de
01 usuario en el 01 1 2 7 1 10
sistema
Gestionar cuenta de
02 01 2 1 4 0.5 5.5
usuario
Gestión Usuarios
03 01 3 2 12 2 16
del Sistema
Gestión Permisos
04 01 4 2 10 1 13
de los Usuarios
Definición del tipo
05 de auditoria 02 1 2 8 3 13
SCAMPI (A,B,C)
Listado de
06 02 2 3 5 3 11
empresas Evaluadas
Creación de
07 Objetivos según la 02 3 2 5 3 10
empresa.
Crear área de
09 02 5 2 5 4 11
proceso a Evaluar
Creación ítems
10 niveles de madurez 02 6 4 10 4 18
CMMI
Creación de
usuarios
11 03 1 2 8 4 14
responsables de la
evaluación
Creación criterios a
12 03 2 3 10 4 17
evaluar del proceso
Ingresar evidencias
13 03 3 3 8 4 15
objetivas
Evaluación de
14 03 4 2 8 4 14
evidencias objetivas
Reporte final nivel
15 03 5 3 8 4 15
de madurez
Reporte final
16 evaluación 03 6 3 8 4 15
SCAMPI
 Gestión sesiones de usuario en el sistema
NOMBRE DE LA HISTORIA

01
ID HISTORIA

1
PUNTOS DE LA HISTORIA

Como: Usuario del sistema

Quiero: ingresar a través de un usuario y una contraseña

Para: operar el sistema conforme a mi rol.

CRITERIOS DE ACEPTACIÓN:

Cuando: Abra la aplicación

Visualizar un formulario con los campos para ingresar usuario, contraseña y un botón
Espero: para ingresar

Cuando: El usuario y la contraseña no se hayan digitado y presione clic en el botón ingresar

Espero: Visualizar el mensaje "Usuario y contraseña requeridos".

Cuando: No se tenga conexión con el servidor

Espero: Visualizar el mensaje "¡No se ha podido establecer conexión, intente más tarde!"

Cuando: De clic sobre la opción “olvidó su contraseña”

Espero: Tener un formulario para ingresar mis datos y recuperar la contraseña.

Cuando: Haya ingresado al sistema se deberá tener un botón para cerrar la sesión

Espero: Que el sistema finalice la sesión y muestre la vista para iniciar sesión nuevamente.
 Gestionar cuenta de usuario
NOMBRE DE LA HISTORIA

02
ID HISTORIA

2
PUNTOS DE LA HISTORIA

Como: Usuario del sistema

visualizar mi información y realizar el cambio de la contraseña cuando lo considere

Quiero: necesario.

Para: gestionar correctamente el ingreso a la aplicación.

CRITERIOS DE ACEPTACIÓN:
Cuando: Me autentique en la aplicación

Espero: Visualizar un botón que se llame “Mi Perfil”

Cuando: De clic sobre el botón “Mi Perfil

Visualizar los siguientes datos básicos del perfil: Tipo de documento, Número de
Espero:
documento, Nombres, Apellidos, Ocupación, Correo Electrónico, Estado, Ciudades.

Cuando: De clic sobre el botón “Cambiar contraseña”

Visualizar una ventana emergente donde se soliciten los siguientes datos: Contraseña
Espero:
Actual, Nueva Contraseña, Confirmar nueva contraseña y un botón para guardar.

Cuando: Digite la contraseña actual, la nueva y la confirme

Espero: Que el sistema ponga una máscara en el texto digitado.

Cuando: La contraseña nueva y la confirmación no coincidan.

Espero: Visualizar el siguiente mensaje "Las contraseñas no coinciden"

Cuando: La contraseña nueva y la confirmación coincidan.

Que la contraseña se actualice en la base de datos y reciba un mensaje de

Espero:
confirmación.
NOMBRE DE LA Gestión Usuarios del Sistema
HISTORIA
ID HISTORIA 27

PUNTOS DE LA HISTORIA 3

Como: administrador del sistema

Quiero: tener un módulo que me permita crear nuevos usuarios en el sistema
realizar la configuración de acceso a los funcionarios que deben interactuar con la
Para: aplicación
CRITERIOS DE ACEPTACIÓN:
Cuando: Ingrese al sistema con mi usuario y clave
Espero: Visualizar un módulo llamado “Usuarios del sistema”
Cuando: Presione clic sobre el módulo “Usuarios del sistema”
Se visualicen los usuarios creados en el sistema, con un botón para editar y otro
Espero: para eliminar. Así como también un botón para agregar uno nuevo.
Cuando: De clic en el botón “agregar nuevo”

Visualizar una ventana emergente en donde pueda crear un nuevo usuario

ingresando los siguientes datos: tipo de documento, número, nombres, apellidos,
ocupación, rol, email, estado, y las ciudades donde trabajará. Un botón para
guardar, otro para limpiar y otro para cerrar la ventana emergente.
Espero:
Cuando: Presione clic con el botón para guardar.

Se almacene el usuario en la base de datos y se muestre un mensaje de

confirmación.
Espero:
De clic sobre el botón editar
Cuando:
Visualizar una ventana emergente con toda la información del usuario en la base de
datos, los campos deben estar habilitados para modificarlos. Un botón para
guardar, otro para limpiar y otro para cerrar la ventana
Espero:
De clic sobre el botón “Eliminar”
Cuando:
Que el registro sea borrado de la base de datos y se muestre un mensaje de
Espero: confirmación.
NOMBRE DE LA HISTORIA Gestión Permisos de los Usuarios
ID HISTORIA 03
PUNTOS DE LA HISTORIA 4

Como: Administrador del sistema

Asignar y eliminar permisos sobre las opciones a las que puede acceder cada usuario
Quiero: en la aplicación
Para: Seguridad y control de acceso a las opciones del sistema
CRITERIOS DE ACEPTACIÓN:
Cuando: Se cree un usuario en el sistema
Visualice este usuario en la ventana Permisos de Usuario en una tabla donde están
listados todos los usuarios, con su identificación, nombre y apellido, ocupación,
Espero: correo electrónico y los botones Asignar Permisos y Eliminar Permisos
Cuando: Presione el botón Asignar permisos sobre un usuario específico.
Espero: Ver el nombre del usuario, el cargo y todos los módulos del sistema

Cuando: De clic sobre cada módulo del sistema

Espero: Se me despliegue una lista con todos los submódulos pertenecientes a ese módulo, y
sobre cada submódulo las respectivas acciones (crear, editar, eliminar) con un boton
para activar o desactivar el permiso del usuario sobre esa acción de ese submódulo.
Tenga desplegado la lista de submódulos de un módulo, si doy clic nuevamente sobre
Cuando: el módulo

Espero: Se cierre la lista de submódulos

Cuando: Presione el botón Guardar
Los permisos asignados al usuario queden guardados en la base de datos y se muestre
Espero: un mensaje de confirmación

Cuando: Presione el botón Eliminar permisos sobre un usuario específico

Espero: Se muestre un mensaje de confirmación para eliminar los permisos de ese usuario

Cuando: De clic sobre el botón Si del mensaje de confirmación para eliminar los permisos
Los permisos de ese usuario queden eliminados en la base de datos y se muestre un
Espero: mensaje de confirmación indicando que los permisos fueron eliminados
Cuando: De clic sobre el botón No del mensaje de confirmación
Se cierre el mensaje de confirmación y no haya cambios en la base de datos sobre los
Espero: permisos de ese usuario
NOMBRE DE LA HISTORIA Definición del tipo de auditoria SCAMPI (A,B,C)

ID HISTORIA 05

PUNTOS DE LA HISTORIA 5

Como: Auditor externo Avalado por Software Engineering Institute o (SEI)

Quiero: Ser realizado por una figura denominada Lead Appraiser

Para: permitir obtener el nivel de madurez oficial. (Para ser aprobado para el uso publico)
CRITERIOS DE ACEPTACIÓN:
Dentro de las evaluaciones SCAMPI se diferencian tres tipos: A, B y C. El tipo de evaluación A es el
método oficial de evaluación por parte de un profesional certificado por el SEI y es consecuente
de una nota final y oficial sobre los procesos de software. El tipo B, que se escogió para este
proyecto, no proporciona una nota pero da una idea aproximada de cómo se están llevando a
cabo los procesos software de acuerdo a CMMIDEV en la empresa. El tipo C es similar al tipo B
pero es mucho menos estricto y requiere de menos medios para realizarlo.

NOMBRE DE LA HISTORIA Listado de empresas evaluadas

ID HISTORIA 06

PUNTOS DE LA HISTORIA 5

Como: Empresa
Disminuir los márgenes de error y administración de riesgo, generar confiabilidad y
Quiero: mayor satisfacción de los clientes.
Lograr un importante reconocimiento con la industria del software nacional y tener la
Para: mejor valoración posible de madurez
CRITERIOS DE ACEPTACIÓN:
Mejorar los procesos continuos, y cumplir con los requerimientos de los compradores
internacionales, entre otros.
NOMBRE DE LA HISTORIA Creación de objetivos según SCAMPI

ID HISTORIA 07

PUNTOS DE LA HISTORIA 5

Como: Empresa
Proveer un método de certificación común e integrado capaz de soportar
certificaciones en el contexto de mejoras de procesos internos, selección de
Quiero: proveedores y monitoreo de procesos.

Para: poder cumplir con el método de evaluación SCAMPI

CRITERIOS DE ACEPTACIÓN:
El trabajo se debe organizar
en tres fases.
1. Planificar y preparar la certificación: lleva de 3 a 5 meses
2. Conducir la certificación: ejecución de la evaluación y reportes los resultados
preeliminares
3. Reportar los resultados de la certificación: reportes de los resultados finales.

NOMBRE DE LA HISTORIA Crear áreas de proceso a evaluar

ID HISTORIA 09

PUNTOS DE LA HISTORIA 5

Como: Como Empresa y Según mi nivel de madurez

Efectuar una autoevaluación o evaluación interna, de manera de facilitar el camino
Quiero: para una futura acreditación formal

Para: Que el evaluador Asigne un “Satisfecho” como valoración sugerida

CRITERIOS DE ACEPTACIÓN:
El sistema pone la marca de aprobación en el de proceso
NOMBRE DE LA HISTORIA Creación ítems Niveles de madurez CMMI

ID HISTORIA 10

PUNTOS DE LA HISTORIA 5

Como: Organización
Tener un nivel de madurez mediante los cuales se mide el avance de los procesos de
Quiero: esta
Para tener un camino evolutivo para el mejoramiento en los diferentes procesos que
Para: se utilizan en la elaboración de los productos o servicios
CRITERIOS DE ACEPTACIÓN:
El modelo define 5 niveles de madurez. Estados (1. Inicial, 2. Administrado, 3. Definido, 4.
Administrado cuantitativamente, 5. Optimizado

NOMBRE DE LA HISTORIA Ingresar evidencias objetivas

ID HISTORIA 13

PUNTOS DE LA HISTORIA 5

Como: Usuario del sistema

Evidencias:
La validez de artefactos directos, indirectos y afirmaciones (Ej. Documentos,
actas de reunión, declaraciones).
Quiero:
Confirmar que cada proyecto implementa dichas prácticas. Para prácticas a nivel
organizacional, el equipo debe observar implementación a nivel organizacional así
Para: como implementación de estas en las actividades del proyecto.
CRITERIOS DE ACEPTACIÓN:
Los artefactos directos, corroborados por los indirectos y que las afirmaciones
verifiquen la implementación de cada práctica de CMMI necesaria.
Que cada práctica del modelo dentro del alcance de la evaluación pueda ser
demostrada, al menos 50% de las prácticas de la organización deben
implementar las metas específicas y genéricas CMMI
NOMBRE DE LA HISTORIA Evaluación de evidencias objetivas

ID HISTORIA 14

PUNTOS DE LA HISTORIA 5

Como: Usuario del sistema u organización

proporciona un conjunto de evidencias objetivas de prácticas
Quiero: que satisfacen los objetivos del CMMI al inicio de la evaluación
verificar la evidencia
Para: objetiva.
CRITERIOS DE ACEPTACIÓN:

NOMBRE DE LA HISTORIA Reporte Final nivel de madurez

ID HISTORIA 15

PUNTOS DE LA HISTORIA 5

Como: Organización

Quiero: conocer el grado de madurez total que posee la organización

Para: Alcanzar el nivel de madurez deseado y así mejorar el rendimiento de la organización

CRITERIOS DE ACEPTACIÓN:
Una organización alcanza un nivel de madurez determinado cuando ha puesto en práctica todas y
cada una de las áreas de proceso aplicables a ese nivel y a los niveles inferiores, una organización
alcanza un nivel de madurez determinado cuando ha puesto en práctica todas y cada una de las
áreas de proceso aplicables a ese nivel y a los niveles inferiores
NOMBRE DE LA HISTORIA Reporte final evaluación SCAMPI y CMMI

ID HISTORIA 16

PUNTOS DE LA HISTORIA 5

Como: Supervisores de evaluación externos con la autorización del SEI

Completar con éxito el proceso de selección, acreditando los conocimientos mínimos
Quiero: requeridos.
los datos y registros importantes resultantes de la evaluación, almacenándolos de
manera apropiada.
A una posibilidad de almacenar y recuperar las evaluaciones en archivos permite
trabajar incrementalmente en la evaluación de una organización.
Para:
CRITERIOS DE ACEPTACIÓN:
Se exige haber formado parte de un equipo de evaluación SCAMPI en al menos dos evaluaciones
en los dos años inmediatamente anteriores a la solicitud. Las guías online ayudan al usuario a
posicionarse en los elementos que debe
tener en cuenta para efectuar la evaluación, evitándole tener que recurrir a la
especificación del modelo reiteradamente.
De esta manera, el usuario nunca pierde de vista la completitud de su evaluación