El análisis DAFO, también conocido como análisis FODA o DOFA, es una herramienta de estudio de

la situación de una empresa o un proyecto, analizando sus características internas (Debilidades y

Fortalezas) y su situación externa (Amenazas y Oportunidades) en una matriz cuadrada. Proviene
de las siglas en inglés SWOT (Strengths, Weaknesses, Opportunities y Threats).1

Es una herramienta para conocer la situación real en que se encuentra una organización, empresa
o proyecto, y planear una estrategia de futuro.2

Este recurso fue creado a principios de la década de los setenta y produjo una revolución en el
campo de la estrategia empresarial. El objetivo del análisis DAFO es determinar las ventajas
competitivas de la empresa bajo análisis y la estrategia genérica a emplear por la misma que más
le convenga en función de sus características propias y de las del mercado en que se mueve.

El análisis consta de cuatro pasos:

Análisis Externo (también conocido como "Modelo de las cinco fuerzas de Porter")

Análisis Interno

Confección de la matriz DAFO

Determinación de la estrategia a emplear

Índice [ocultar]

1 Análisis externo

1.1 Oportunidades

1.2 Amenazas

2 Análisis interno

2.1 Fortalezas

2.2 Debilidades

3 Matriz DAFO

4 Importancia del análisis DAFO para la toma de decisiones en las organizaciones

5 Origen

6 DAFO

7 Explotar el análisis DAFO con CAME

8 Véase también
9 Referencias

10 Enlaces externos

Análisis externo[editar]

La organización no existe ni puede existir fuera de un entorno, fuera de ese entorno que le rodea;
así que el análisis externo permite fijar las oportunidades y amenazas que el contexto puede
presentarle a una organización.

El proceso para determinar esas oportunidades o amenazas se puede realizar de la siguiente

manera:

a- Estableciendo los principales hechos o acontecimientos del ambiente que tiene o podrían tener
alguna relación con la organización. Estos pueden ser:

De carácter político:

Estabilidad política del país.

Sistema de gobierno.

Relaciones internacionales.

Restricciones a la importación y exportación.

Interés de las instituciones públicas.

De carácter legal:

1. Tendencias fiscales

Impuestos sobre ciertos artículos o servicios.

Forma de pago de impuestos.

Impuestos sobre utilidades.

2. Legislación

Laboral.

Mantenimiento del entorno.

Descentralización de empresas en las zonas urbanas.

3. Económicas

Deuda pública.
Nivel de salarios.

Nivel de precios.

Inversión extranjera.

De carácter social:

Crecimiento y distribución demográfica.

Empleo y desempleo.

Sistema de salubridad e higiene.

De carácter tecnológico:

Rapidez de los avances tecnológicos.

Cambios en los sistemas.

b- Determinando cuáles de esos factores podrían tener influencia sobre la organización en

términos de facilitar o restringir el logro de objetivos. Es decir, hay circunstancias o hechos
presentes en el ambiente que a veces representan una buena OPORTUNIDAD que la organización
podría aprovechar, ya sea para desarrollarse aún más o para resolver un problema. También
puede haber situaciones que más bien representen AMENAZAS para la organización y que puedan
hacer más graves sus problemas.

Oportunidades[editar]

Las oportunidades son aquellos factores positivos que se generan en el entorno y que, una vez
identificados, pueden ser aprovechados.

Algunas de las preguntas que se pueden realizar y que contribuyen en el desarrollo son:

¿Qué circunstancias mejoran la situación de la empresa?

¿Qué tendencias del mercado pueden favorecernos?

¿Existe una coyuntura en la economía del país?

¿Qué cambios de tecnología se están presentando en el mercado?

¿Qué cambios en la normatividad legal y/o política se están presentando?

¿Qué cambios en los patrones sociales y de estilos de vida se están presentando?

Amenazas[editar]
Las amenazas son situaciones negativas, externas al programa o proyecto, que pueden atentar
contra éste, por lo que llegado al caso, puede ser necesario diseñar una estrategia adecuada para
poder sortearlas.

Algunas de las preguntas que se pueden realizar y que contribuyen en el desarrollo son:

¿Qué obstáculos se enfrentan a la empresa?

¿Qué están haciendo los competidores?

¿Se tienen problemas de recursos de capital?

¿Puede alguna de las amenazas impedir totalmente la actividad de la empresa?

Análisis interno[editar]

Los elementos internos que se deben analizar durante el análisis DAFO corresponden a las
fortalezas y debilidades que se tienen respecto a la disponibilidad de recursos de capital, personal,
activos, calidad de producto, estructura interna y de mercado, percepción de los consumidores,
entre otros.

El análisis interno permite fijar las fortalezas y debilidades de la organización, realizando un

estudio que permite conocer la cantidad y calidad de los recursos y procesos con que cuenta el
ente.

Para realizar el análisis interno de una corporación deben aplicarse diferentes técnicas que
permitan identificar dentro de la organización qué atributos le permiten generar una ventaja
competitiva sobre el resto de sus competidores.

Fortalezas[editar]

Locales amplios y cómodos.

Variedad de productos.

Atención personalizada con asesoramiento técnico.

Horarios de atención (de lunes a domingo).

Trato al cliente.

Debilidades[editar]

Las debilidades se refieren a todos aquellos elementos, recursos de energía, habilidades y

actitudes que la empresa ya tiene y que constituyen barreras para lograr la buena marcha de la
organización. También se pueden clasificar: aspectos del servicio que se brinda, aspectos
financieros, aspectos de mercado, aspectos organizativos, aspectos de control. Las debilidades son
problemas internos que, una vez identificados y desarrollando una adecuada estrategia, pueden y
deben eliminarse. Algunas de las preguntas que se pueden realizar y que contribuyen en el
desarrollo son:

¿Qué se puede evitar?

¿Que se debería mejorar?

¿Qué desventajas hay en la empresa?

¿Qué percibe la gente del mercado como una debilidad?

¿Qué factores reducen las ventas?

¿Qué haces mal?

Matriz DAFO[editar]

Fortalezas Debilidades

Análisis

Interno Capacidades distintas

Ventajas naturales

Recursos superiores Recursos y capacidades escasas

Resistencia al cambio

Problemas de motivación del personal

Oportunidades Amenazas

Análisis

ExternoNuevas tecnologías

Debilitamiento de competidores

Posicionamiento estratégico Altos riesgos - Cambios en el entorno

De la combinación de fortalezas con oportunidades surgen las potencialidades, las cuales señalan
las líneas de acción más prometedoras para la organización o empresa.

Las limitaciones, determinadas por una combinación de debilidades y amenazas, colocan una seria
advertencia.

Mientras que los riesgos (combinación de fortalezas y amenazas) y los desafíos (combinación de
debilidades y oportunidades), determinados por su correspondiente combinación de factores,
exigirán una cuidadosa consideración a la hora de marcar el rumbo que la organización deberá
asumir hacia el futuro deseable como sería el desarrollo de un nuevo producto.

Un análisis DAFO puede utilizarse para:

Explorar nuevas soluciones a los problemas.3

Identificar las barreras que limitarán objetivos.3

Decidir sobre la dirección más eficaz.3

Revelar las posibilidades y limitaciones para cambiar algo.3

Importancia del análisis DAFO para la toma de decisiones en las organizaciones[editar]

La toma de decisiones es un proceso cotidiano mediante el cual se realiza una elección entre
diferentes alternativas a los efectos de resolver las más variadas situaciones. En todo momento se
deben tomar decisiones. Para realizar una acertada toma de decisiones respecto a un tema, es
necesario conocerlo, comprenderlo y analizarlo, para así poder darle solución. Es importante
recordar que "sin problema no puede existir una solución". Por ello, las empresas deberían
analizar la situación teniendo en cuenta la realidad particular de lo que se está analizando, las
posibles alternativas a elegir y las consecuencias futuras de cada elección. Lo significativo y
preocupante, es que existe una gran cantidad de empresas que enfrentan sus problemas tomando
decisiones de forma automática e irracional (no estratégica), y no tienen en cuenta que el
resultado de una mala o buena elección puede tener consecuencias en el éxito o fracaso de la
empresa. Las organizaciones deberían realizar un proceso más estructurado que les pueda dar más
información y seguridad para la toma de decisiones y así reducir el riesgo de cometer errores. Aquí
es donde radica la importancia de la Matriz FODA como elemento necesario para conocer su
situación real. Su confección nos permite buscar y analizar, de forma proactiva y sistemática, todas
las variables que intervienen en el negocio, con el fin de tener más y mejor información al
momento de tomar decisiones. Si bien lo imprescindible para una empresa es el Plan De Negocios,
donde se plasma la misión, visión, metas, objetivos y estrategias, realizando correctamente el
análisis FODA, se pueden establecer las estrategias Ofensivas, Defensivas, de Supervivencia y de
Reordenamiento necesarias para cumplir con los objetivos empresariales planteados.

Origen[editar]

Se considera que esta técnica fue originalmente propuesta por Albert S. Humphrey durante los
años sesenta y setenta en los Estados Unidos durante una investigación del Instituto de
Investigaciones de Stanford que tenía como objetivo descubrir por qué fallaba la planificación
corporativa.

Existen referencias dafo Autores Autores Libro que identifican a Learned, Christensen, Andrews y
Guth como sus autores, en "Business policy, Text and cases" 1965, Homewood Il, Richard D. Irwin.
 Los cita también José María Carrillo de Albornoz y Serra en la página 49 de "Manual de
autodiagnóstico estratégico".

DAFO[editar]

Carnap (1993) presenta el FODA dinámico, que no compara factores internos y externos, sino que
relaciona experiencias del pasado con opciones de desarrollo del futuro. 4 Fortalezas se
interpretan como éxitos en el pasado - las Debilidades como errores en el pasado. Eliminar errores
habilita aprendizaje e innovación. Su aplicación en áreas críticas tiende a mediar conflictos,
incrementa la motivación entre todos los participantes y orienta a soluciones. Contiene principios
básicos de aprendizaje y genera procesos de innovación altamente participativos.

Explotar el análisis DAFO con CAME[editar]

A partir de los datos extraídos en un análisis DAFO, hay que establecer las estrategias a desarrollar.
Aparece un análisis complementario, el análisis CAME. Éste consiste en Corregir las debilidades,
Afrontar las amenazas, Mantener las fortalezas y Explotar las oportunidades. Con este análisis
deben extraerse las estrategias para cumplir objetivos, un sistema menos conocido que el DAFO
pero muy utilizado en el marketing empresarial.

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de

información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT,
usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y
monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT
desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas
(Control Objectives for Information Systems and related Technology). El modelo es el resultado de
una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and
Control Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los
profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT
consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los
profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y
las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto
de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.

Misión del COBIT

Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de
control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de
negocio y auditores.
BENEFICIOS COBIT
 Mejor alineación basado en una focalización sobre el negocio.
 Visión comprensible de TI para su administración.
 Clara definición de propiedad y responsabilidades.
 Aceptabilidad general con terceros y entes reguladores.
 Entendimiento compartido entre todos los interesados basados en un lenguaje común.
 Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de
Negocio COSO.

Estructura
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información,
como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de
 información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza
una evaluación sobre los procesos involucrados en la organización.
"La adecuada implementación de un modelo COBIT en una organización, provee una herramienta
automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y
controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al
logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado.

Dominios COBIT

El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de

referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en
cuatro "dominios" principales, a saber:
 PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las tácticas y se refiere a la
identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de
los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada
y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una
infraestructura tecnológica apropiadas.
 ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones de TI deben
ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del
negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
 SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los servicios
requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.
 MONITOREO: Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como
de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y
procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.

Usuarios
 La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las
mismas, analizar el costo beneficio del control.
 Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y el control de
los productos que adquieren interna y externamente.
 Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto
en la organización y determinar el control mínimo requerido.
 Los Responsables de TI: Para identificar los controles que requieren en sus áreas.
 También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en
su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.

Características
 Orientado al negocio.
 Alineado con estándares y regulaciones "de facto".
 Basado en una revisión crítica y analítica de las tareas y actividades en TI.
 Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).
PRINCIPIOS:
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los
procesos de negocio y considerando a la información como el resultado de la aplicación combinada de
recursos relacionados con las TI que deben ser administrados por procesos de TI.
 Requerimientos de la información del negocio: Para alcanzar los requerimientos de negocio, la
información necesita satisfacer ciertos CRITERIOS:
 Requerimientos de Calidad: Calidad, Costo y Entrega.
 Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes
financieros y Cumplimiento le leyes y regulaciones.

 Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
 Niveles COBIT
Se divide en 3 niveles, los cuales son los siguientes:
 Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
 Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
 Actividades: Acciones requeridas para lograr un resultado medible.
COMPONENTES COBIT
 Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes y la
estructura básica de COBIT Además, describe de manera general los procesos, los recursos y los criterios de
información, los cuales conforman la "Columna Vertebral" de COBIT.
 Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y
presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT
haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
 Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el
marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.
 PLANEAR Y ORGANIZAR
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administración de Calidad
 ADQUIRIR E IMPLANTAR
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
 MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI.
ME2 Monitorear y evaluar el control interno
 ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
 PRESTACIÓN Y SOPORTE
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.

Quiénes han adoptado el COBIT

Advirtiendo la necesidad de contar con un adecuado marco de referencia para el gobierno de los sistemas de
información y las tecnologías relacionadas, muchas organizaciones en el ámbito nacional e internacional ya
han adoptado el COBIT como una de las mejores prácticas. Sin intención de ser exhaustivo, sólo mencionaré
las que desde hace tiempo lo vienen haciendo: Gobierno de la Provincia de Mendoza; Superintendencia de
Administradoras de Fondos de Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y
Cambiarias; la Reserva Federal de los Estados Unidos de América; Daimler-Chrysler en Alemania y los
EE.UU., entre otras.

Conclusiones
Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite adaptarlo a cualquier tipo y
tamaño de empresa, realizando una implementación gradual y progresiva acorde a los recursos disponibles y
acompasando la estrategia empresarial.
Si bien aún no es requerido formalmente en forma regulatoria, es un estándar de facto en
toda Latinoamérica y es una fuerte recomendación en los ámbitos financieros.Es parte de la misión de ISACA,
la divulgación de COBIT y apoyo en la implementación como forma de promover la eficiencia y buena gestión
de los procesos de tecnología que nos permita compararnos y mejorar día a día en pos de la concreción de
los Objetivos de Negocio.En el futuro, continuaremos viendo el crecimiento de COBIT en sus facetas
de administración y dirección de los recursos de tecnología. Aparecerán nuevas herramientas de la familia de
productos COBIT y nuevos recursos con los cuales mejorar la administración. Se continuará refinando
el producto en sí, mejorando la calidad de sus referencias cruzadas, su relacionamiento con otros modelos,
estándares y normas. Se procurará institucionalizar y mejorar la calidad de las versiones en otras lenguasy,
sin duda, continuará el esfuerzo fundamental del ITGI en la difusión del uso de esta importante base de
dirección.

Para el nuevo modelo (CMMI), véase Capability Maturity Model Integration.

El Modelo de Madurez de Capacidades o CMM (Capability Maturity Model), es un modelo de

evaluación de los procesos de una organización. Fue desarrollado inicialmente para los
procesos relativos al desarrollo e implementación de software por la Universidad Carnegie-
Mellon para el Software Engineering Institute (SEI).
El SEI es un centro de investigación y desarrollo patrocinado por el Departamento de Defensa
de los Estados Unidos de América y gestionado por la Universidad Carnegie-Mellon. "CMM"
es una marca registrada del SEI.

Índice
  [ocultar] 

 1El modelo CMM

 2CMMI como evolución de CMM
 3Otros modelos
 4Otros modelos CMM
o 4.1SSE-CMM
o 4.2Incapability Immaturity Model
 5Crítica
 6Véase también
 7Referencias
 8Enlaces externos

El modelo CMM[editar]
A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de los Estados
Unidos de América (en particular del Departamento de Defensa, DoD), desarrolló una primera
definición de un modelo de madurez de procesos en el desarrollo de software, que se publicó
en septiembre de 1987. Este trabajo evolucionó al modelo CMM o SW-CMM (CMM for
Software), cuya última versión (v1.1) se publicó en febrero de 1993.
Este modelo establece un conjunto de prácticas o procesos clave agrupados en Áreas Clave
de Proceso (KPA - Key Process Area). Para cada área de proceso define un conjunto de
buenas prácticas que habrán de ser:

 Definidas en un procedimiento documentado

 Provistas (la organización) de los medios y formación necesarios
 Ejecutadas de un modo sistemático, universal y uniforme (institucionalizadas)
 Medidas
 Verificadas
A su vez estas Áreas de Proceso se agrupan en cinco "niveles de madurez", de modo que
una organización que tenga institucionalizadas todas las prácticas incluidas en un nivel y
sus inferiores, se considera que ha alcanzado ese nivel de madurez.

1 - Inicial. Las organizaciones en este nivel no disponen de un ambiente estable para

el desarrollo y mantenimiento de software. Aunque se utilicen técnicas correctas de
ingeniería, los esfuerzos se ven minados por falta de planificación. El éxito de los
proyectos se basa la mayoría de las veces en el esfuerzo personal, aunque a menudo
se producen fracasos y casi siempre retrasos y sobrecostes. El resultado de los
proyectos es impredecible.
2 - Repetible. En este nivel las organizaciones disponen de unas prácticas
institucionalizadas de gestión de proyectos, existen unas métricas básicas y un
razonable seguimiento de la calidad. La relación con subcontratistas y clientes está
gestionada sistemáticamente.
3 - Definido. Además de una buena gestión de proyectos, a este nivel las
organizaciones disponen de correctos procedimientos de coordinación entre grupos,
formación del personal, técnicas de ingeniería más detalladas y un nivel más
avanzado de métricas en los procesos. Se implementan técnicas de revisión por
pares (peer reviews).
4 - Gestionado. Se caracteriza porque las organizaciones disponen de un conjunto de
métricas significativas de calidad y productividad, que se usan de modo sistemático
para la toma de decisiones y la gestión de riesgos. El software resultante es de alta
calidad.
5 - Optimizado. La organización completa está volcada en la mejora continua de los
procesos. Se hace uso intensivo de las métricas y se gestiona el proceso de
innovación.
Así es como el modelo CMM establece una medida del progreso,
conforme al avance en niveles de madurez. Cada nivel a su vez
cuenta con un número de áreas de proceso que deben lograrse. El
alcanzar estas áreas o estadios se detecta mediante la satisfacción o
insatisfacción de varias metas claras y cuantificables. Con la
excepción del primer nivel, cada uno de los restantes Niveles de
Madurez está compuesto por un cierto número de Áreas Claves de
Proceso, conocidas a través de la documentación del CMM por su
sigla inglesa: KPA.
Cada KPA identifica un conjunto de actividades y prácticas
interrelacionadas, las cuales cuando son realizadas en forma
colectiva permiten alcanzar las metas fundamentales del proceso.
Las KPAs pueden clasificarse en 3 tipos de proceso: Gestión,
Organizacional e Ingeniería.
Las prácticas que deben ser realizadas por cada Área Clave de
Proceso están organizadas en 5 Características Comunes, las cuales
constituyen propiedades que indican si la implementación y la
institucionalización de un proceso clave es efectivo, repetible y
duradero.
Estas 5 características son: i)Compromiso de la realización, ii) La
capacidad de realización, iii) Las actividades realizadas, iv) Las
mediciones y el análisis, v) La verificación de la implementación.
Las organizaciones que utilizan CMM para mejorar sus procesos
disponen de una guía útil para orientar sus esfuerzos. Además, el SEI
proporciona formación a evaluadores certificados (Lead Assesors)
capacitados para evaluar y certificar el nivel CMM en el que se
encuentra una organización. Esta certificación es requerida por el
Departamento de Defensa de los Estados Unidos, pero también es
utilizada por multitud de organizaciones de todo el mundo para
valorar a sus subcontratistas de software.
Se considera típico que una organización dedique unos 18 meses
para progresar un nivel, aunque algunas consiguen mejorarlo. En
cualquier caso requiere un amplio esfuerzo y un compromiso intenso
de la dirección.
Como consecuencia, muchas organizaciones que realizan funciones
de factoría de software o, en general, outsourcing de procesos de
software, adoptan el modelo CMM y se certifican en alguno de sus
niveles. Esto explica que uno de los países en el que más
organizaciones certificadas exista sea India, donde han florecido las
factorías de software que trabajan para clientes estadounidenses y
europeos.
CMMI como evolución de CMM[editar]
A partir de 2001, en que se presentó el modelo CMMI, el SEI ha
dejado de desarrollar el SW-CMM, cesando la formación de los
evaluadores en diciembre de 2003, quienes dispondrán hasta fin de
2005 para reciclarse al CMMI. Las organizaciones que sigan el
modelo SW-CMM podrán continuar haciéndolo, pero ya no podrán
ser certificadas a partir de fin de 2005.

Otros modelos[editar]
CMMI
Integración de modelos (CMM-SW, SE-CMM, IPD-CMM)
SE-CMM
El Modelo de Madurez de Capacidades en la Ingeniería de
Sistemas fue publicado por el SEI en noviembre de 1995. Está
dedicado a las actividades de ingeniería de sistemas.
Define 18 áreas de proceso divididas en tres grupos:

 Ingeniería (7)
 Proyectos (5)
 Organizativas (6)

No utiliza niveles de madurez generales sino que en cada área de

proceso una organización puede alcanzar un determinado nivel de
madurez.
Al igual que el SW-CMM, ha sido integrado en el CMMI.
IPD-CMM
El Modelo de Madurez de Capacidades para el Desarrollo
Integrado de Productos fue propuesto como un borrador por el SEI
en 1997, pero quedó integrado en el CMMI al publicarse este en el
año 2000.
P-CMM
Modelo de Madurez de Capacidades para Recursos Humanos
SA-CMM
Modelo de Madurez de Capacidades para la Adquisición de
Software
S3M
Modelo de Madurez de Capacidades para el mantenimiento del
software

Otros modelos CMM[editar]

SSE-CMM[editar]
El System Security Engineering Capability Maturity Model o
Modelo de Madurez de Capacidades en la Ingeniería de Seguridad
de Sistemas es un modelo derivado del CMM y que describe las
características esenciales de los procesos que deben existir en una
organización para asegurar una buena seguridad de sistemas.
Ha sido desarrollado por la "International Systems Security
Engineering Association (ISSEA)", organización sin ánimo de lucro
patrocinada por un buen número de compañías dedicadas a la
seguridad de sistemas.
Nació a partir de 1993 bajo los auspicios de la Agencia Nacional de
Seguridad (NSA) de los E.U.A., con la participación de numerosas
compañías de los sectores de tecnologías de la información,
seguridad y defensa. La primera versión data de 1997 y la actual
(v3.0) fue publicada en junio de 2003.
Pretende servir como:

 Herramienta para que las organizaciones evalúen las prácticas

de ingeniería de seguridad y definan mejoras a las mismas.
 Mecanismo estándar para que los clientes puedan evaluar la
capacidad de los proveedores de ingeniería de seguridad.
 Base para la organización de un mecanismo de evaluación y
certificación.
A diferencia del CMM original, las áreas de proceso no están
agrupadas en función de los niveles de madurez, sino que define 22
áreas para cada una de las cuales se puede alcanzar un nivel en
función del cumplimiento de unas "características comunes".
Existen 11 áreas de procesos de ingeniería y otras 11 dedicadas a la
gestión de proyectos y organización.
El método de evaluación se denomina SSAM (SSE-CMM Appraisal
Method).

Incapability Immaturity Model[editar]

Con mucho sentido del humor, y bastante conocimiento de causa,
Anthony Finkelstein describió que hay organizaciones que no han
alcanzado siquiera el nivel 1 de CMM (en el que aunque sea de modo
heroico se llega a producir software), proponiendo que existen niveles
negativos o de inmadurez. Este «Modelo de Incapacidad e
Inmadurez», que fue refinado posteriormente por Tom Schorsch,
incluye tres niveles de idiotez:

 0 -Organizaciones negligentes. Impiden cualquier desarrollo de

software con éxito. Su gran preocupación es la reutilización del
software.
 -1 -Organizaciones obstructivas. Imponen procesos contra-
productivos para impedir cualquier avance. Se concentran en
desarrollar entornos de desarrollo y repositorios.
  -2 -Organizaciones desdeñosas. Desprecian cualquier
institucionalización de buenas prácticas. Su gran objetivo es la
programación automática.

Crítica[editar]
Frecuentemente se critica al modelo CMM por no ser más específico
en la definición de los procesos. Para guiar a las organizaciones a
definir y mejorar sus procesos indica qué actividades han de realizar,
pero nada sobre cómo hacerlo. Esto es así tanto en lo referente a la
ingeniería como a las herramientas o técnicas de gestión, aunque
hace una curiosa excepción en las revisiones por pares (peer
reviews).
Del mismo modo, aunque insiste continuamente en la necesidad de
las métricas, no da ninguna guía concreta del tipo de métricas que
son aceptables para una correcta práctica profesional.
Los técnicos se quejan a menudo de la enorme carga de "papeleo"
que impone el modelo, viéndolo más como un mecanismo de control
por la dirección que una herramienta que les ayude en su trabajo.
También resulta muy complejo, más todavía el CMMI, lo que hace
que durante algún tiempo resulte para mucha gente algo esotérico.

La norma internacional de auditoria 530 trata del uso del muestreo de auditoria
estadístico y no estadístico cuando el auditor ha decidido usar muestreo de auditoria.
Esto implica el diseño y selección de la muestra de auditoria, desarrollando pruebas de
control y pruebas de detalle, evaluando los resultados de la muestra.

Objetivo

Cuando el auditor decide usar muestreo de auditoria, su objetivo es proporcionar una

base razonable para extraer conclusiones sobre la población de la que se selecciona la
muestra.

Requisitos

Diseño de la muestra, tamaño y selección de partidas para prueba: El auditor debe

establecer el propósito del procedimiento de auditoria cuando diseña una muestra de
auditoria, teniendo en cuenta las características de la población, y el uso de enfoques
estadísticos y no estadísticos. Igualmente el auditor debe determinar el tamaño de la
muestra, reduciendo el riesgo de muestreo a un nivel aceptable bajo; y seleccionar las
partidas que le permitan representar la población entera; entre menor sea el riesgo que el
auditor determine aceptar, mayor debe ser el tamaño de la muestra. El auditor puede
determinar apropiado la estratificación de la población de acuerdo a las características de
la misma.
 Existen varios métodos que el auditor puede utilizar para la selección de la muestra,
como son:

 Selección aleatoria: Selección mediante generadores de números aleatorios.

 Selección sistemática: El número de unidades de muestreo en la población se
divide entre el tamaño de la muestra para dar un intervalo de muestreo.
 Muestreo por unidad monetaria: Selección por valor ponderado, en la cual el
tamaño de la muestra, selección y evaluación den como resultado una conclusión en
montos monetarios.
 Selección fortuita o casual: El auditor selecciona una muestra sin seguir una
técnica estructurada.
 Selección en bloque: Selección de uno o más bloques de partidas contiguas de la
población.

Desarrollo de procedimientos de auditoria: Los procedimientos de auditoria deben

estar acordes al propósito sobre cada partida seleccionada. Cuando estos no son
apropiados, el auditor deberá desarrollar el procedimiento en una partida de remplazo. Y
si esto no es posible, el auditor deberá determinar dicha partida como una desviación del
control establecido o un error.

Naturaleza y causa de desviación y errores: Cuando el auditor ha identificado cualquier

desviación o error, debe investigar su naturaleza y evaluar su efecto en el propósito del
procedimiento de auditoria y en la auditoria en conjunto. Así mismo en el caso en que el
auditor establece que el error o desviación es una anomalía, el auditor debe obtener un
alto grado de certeza de que esto no es representativa de la población, a través de
procedimientos adicionales que le permitan obtener apropiada y suficiente evidencia de
que no se afecta al resto de la población.

Proyección de errores: El auditor debe proyectar los errores encontrados en la muestra

a la población, para obtener una visión amplia de la escala de los errores.

Evaluación de resultados del muestreo de auditoria: El auditor debe evaluar los

resultados de la muestra, y si esto proporcionan una base razonable para establecer
conclusiones sobre la población. Además esta información ayuda al auditor a evaluar el
riesgo de que errores reales excedan al error tolerable. En el caso en que el auditor
determine que los resultados obtenidos no proporcionan una base razonable para
conclusiones sobre la población, el auditor puede solicitar a la administración que
investigue los errores identificados y que se realicen los ajustes necesarios. También, el
auditor puede ajustar los procedimientos para lograr la seguridad requerida.