Los costes internos de una auditoría de certificación

El otro día, y no era la primera vez, arrancando un proyecto de mejora de procesos software con CMMI, mientras preparábamos el plan de implantación, sucedió lo siguiente:
– …además no debéis olvidar el esfuerzo que os llevará en la última parte del proyecto la propia auditoría de certificación – comentamos a los responsables de la empresa.
– OK, somos conscientes de ello, ya hemos pasado antes por otras auditorías.
– Ya, peroojo, que una auditoría [appraisal, assessment o como en cada tecnología se le denomine] CMMI no es una auditoría ISO 9001 o similar.
– ¿Qué quieres decir?
– Pues que normalmente una auditoría de este tipo requiere de unas 8 jornadas, en las que cuatro personas vuestras deben participar plenamente, todas ellas con un buen currículum, una de estas personas con al menos 6 años de experiencia en gestión de proyectos…
Y ya no os detallo más, porque a partir de aquí el responsable de la empresa montó en cólera argumentando que no entendía tal requerimiento, tanta dedicación de recursos internos, y que ese coste le suponía casi más que lo que le cobraba el auditor. Quejas que entiendo y comparto, pero una auditoría de certificación CMMI es así; así lo dice el SEI y su SCAMPI (documento que detalla la realización de evaluaciones CMMI).
Y esta situación aún es peor cuando de Pymes se trata.
Concretamente en si leemos el SCAMPI (Standard CMMI Appraisal Method for Process Improvement A), este nos comenta que la evaluación SCAMPI A debe ser realizada por un equipo evaluador formado por un evaluador líder y 4 integrantes (normalmente de la propia organización a evaluar), donde cada uno debe satisfacer los siguientes requisitos, que resumo y traduzco:
– Deberá haber asistido al curso oficial de SEI ‘Introduction to CMMI v1.2’ (o 1.3 cuando corresponda).
– Deberá tener una disponibilidad completa durante la evaluación, aproximadamente entre 8 y 12 días para los niveles de madurez 2 y 3.
– Deberán ser personas independientes de los proyectos evaluados.
– Deberán contar con experiencia comprobada.
– El equipo evaluador debe tener, como media de grupo, al menos 6 años de experiencia promedio en el campo de desarrollo software y al menos 25 años como experiencia total del grupo. Es recomendable que cada miembro del equipo tenga al menos 3 años de experiencia en cada una de las disciplinas que serán parte de la evaluación.
– Al menos un miembro del equipo de evaluación deberá tener al menos 6 años de experiencia en la gestión de proyectos software. El equipo evaluador en total deberá tener al menos 10 años de experiencia en dicha gestión.
– Es altamente recomendable que los miembros del equipo de evaluación puedan leer documentación técnica en inglés.
En resumen, una cantidad no trivial de requerimientos, a tener muy presentes a la hora de embarcarse en un proyecto de este tipo. Y es que, aunque muchas veces se pase por alto, costes internos en una auditoría haberlos, haylos.

jgarzas

Ph.D. en informática, Postdoctorado en la Carnegie Mellon (EE.UU) e Ingeniero en Informática.

Primera vez que me tocó hacer una gestión Ágil en una empresa... año 2001. Desde entonces he trabajado en, o para, más de 90. Y he formado a más de 2000 alumnos.

También soy profe de la Universidad Rey Juan Carlos.

0 comentarios en “Los costes internos de una auditoría de certificación”

  1. Interesantísima la reflexión sobre no ya el comportamiento de algunos responsables de liderar los procesos de mejora en cualquier ámbito, sino el hecho de plantearse esto como un conjunto de esfuerzos y gastos dentro de los cuales algunos son «opcionales». Todos damos por sentado que para poner un nuevo proyecto en marcha se precisa de comprar equipamiento informático, licencias, analizar el retorno de la inversión, formar y concienciar…. y que eso nos traerá excelentes frutos a nuestras organizaciones. PERO por algún motivo seguimos viendo las certificaciones y las mejoras de procesos como una cosa con un objetivo único, que es conseguir un papelito que poder enmarcar, en cuyo camino podemos «prescindir» de elementos críticos como la formación, la concienciación, el apoyo indiscutible de la dirección para liderar la implantación… Y todo esto, a pesar de lo sobradamente demostrado que está la mejora directa que supone este esfuerzo.
    No conozco otro ámbito dentro de los posibles proyectos y desafíos transversales a cualquier actividad dentro de las organizaciones que insista más en medir, analizar las mejoras, y seguir midiendo y mejorando que la implantación de buenas prácticas. Y aun así, mucha gente sigue pensando que esto es un coste, y no una inversión.
    Soy optimista, quienes piensan así, se verán desbordados por una parte del mercado, de los equipos de desarrollo, de los líderes de estas áreas… que se presentan en el mercado con procesos claros, alineados con buenas prácticas, y que son así percibidos por sus Clientes. El mercado – y el tiempo – pondrán a cada uno en su sitio. 🙂
    Un saludo.

  2. Rogelio:
    Sin lugar a dudas tienes toda la razón.
    De forma complementaria a lo que describes hay dos corolarios:
    1.- El SCAMPI A está diseñado así en la época en que no había reevaluación a los 3 años. Por tanto, había que asegurarse de que la Mejora Continua no moría inmediatamente, por lo que el SCAMPI está diseñado para asegurarse de que en la propia organización queda un grupo de personas perfectamente formado, con experiencia hasta en la propia evaluación, etc., con la esperanza de que mantuvieran el sistema en marcha.
    Por cierto que no todos tienen que ser de plantilla de la organización, aunque sí es más que aconsejable que al menos 2 lo sean.
    2.- el valor de mercado de la evaluación reside ahí. Es una evaluación Muy Seria, sobre todo si la comparamos con otras; sé de casos en que se han evaluado hasta 20 procesos «según SPICE» a juzgar por el certificado, en 1 día y medio. Y encima en bastantes han salido en Nivel de capacidad 3 … Si esto no mejora, CMMI va a quedar como única norma.

  3. Mikel,
    Respecto a lo que comentas de las auditorías ISO/IEC 15504 SPICE no estoy de acuerdo, en concreto nosotros hemos participado en las auditorías de AENOR realizadas en base a esta norma.
    Por dar un dato, la duración de estas auditorías fueron de 6 jornadas por empresa. Y alguno de los que comentan este post puedan dar fe de ello 😉
    Saludos

  4. @mcarmen: Me alegro mucho, porque lo contrario me parecería una lástima. Sin embargo yo también doy fé de lo que digo, me alegra que no ocurra siempre y mejor si hubiera sido una anécdota (o dos …)

  5. «Vive Dios que nosotros sudamos en la auditoría realizada por AENOR de la 15504!!!!», Carmen. 😉
    Pero estoy de acuerdo con lo que comenta Mikel, no tanto como un problema actual – hablo en carne propia, no he visto casos de otras empresas -, pero sí como un aviso a navegantes. Rigurosidad en las auditorías (que no ir a matar, simplemente revisar que se cumple) ayudará a mantener unos niveles de seriedad muy altos en los que las propias empresas certificadas en 15504 debemos de ser los principales interesados. Y no caer en las «facilidades excesivas», que no son tanto responsabilidad de la norma, como de ciertas marcas auditoras que espero que no sigan por ese camino de pan para hoy y hambre para mañana. Desde luego, yo no confiaría en una empresa certificada por la firma auditora «Paga que te sello, SA»… y ojo, que no cito a nadie, pero no niego que pueda estar pasando con ISOs más generalistas.
    Nosotros sudamos con la 15504… y ojito, que llevábamos más de 5 años caminando por el mundo del CMMI… y seguimos, obviamente, no es para nada incompatible.
    Un saludo a los dos.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *