COSO

Polticas y mecanismos de Control Interno Grupo Bancolombia. El Grupo Bancolombia ya contaba con polticas y procedimientos de control interno y riesgos mucho antes de que los escndalos financieros que dieron origen a la ley Sarbanes Oxley sucedieran. El Grupo adopt e implement un esquema de administracin de control interno para dar cumplimiento a esta ley, promulgada por el congreso de los Estados Unidos en 2002, con el fin de recuperar la confianza de los inversionistas, aumentar la credibilidad de los accionistas en las sociedades e incrementar la transparencia de los estados financieros y la informacin contable. Esta ley deben cumplirla todas las compaas listadas en la Bolsa de Nueva York a partir de 2006. El Grupo Bancolombia adopt los modelos de control interno COSO (Committe of Sponsoring Organizations of the Treadway Commisision) y COBIT (Control Objectives for Information and related Technology) para ser implementados en los procesos de las compaas que hacen parte del Grupo, con el propsito de aplicarlos en el diseo y valoracin del sistema de control interno. Modelo de Control Interno COSO La Ley Sarbanes Oxley exige a las entidades inscritas en la Bolsa de Valores de Nueva York (NYSE) el establecer, mantener y valorar la efectividad del Sistema de Control Interno para la presentacin de reportes financieros. De acuerdo a lo anterior, a partir del ao 2006, la Administracin del Grupo Bancolombia es responsable por establecer y mantener un adecuado Sistema de Control Interno y peridicamente evaluarlo para concluir sobre su efectividad. Conclusin que se revela en la forma 20-F la cual se registra ante la SEC para conocimiento de los interesados en invertir en el Grupo Bancolombia. Igualmente, la ley exige que un Auditor Independiente (Revisora Fiscal), realice la evaluacin del Sistema de Control Interno y emita una opinin sobre la efectividad del mismo. Teniendo en cuenta que la ley recomienda el uso del Modelo de Control Interno COSO y que el Grupo Bancolombia tom la decisin de adoptarlo, la evaluacin del Sistema de Control Interno se realiza considerando las actividades desarrolladas para el cumplimiento de cada uno de los cinco componentes: Ambiente de control, evaluacin de riesgos, actividades de control, informacin y comunicacin y monitoreo. Las anteriores actividades se pueden desarrollar a nivel de la Entidad (directrices de la alta gerencia y con alcance global para las entidades del Grupo Bancolombia que demarcan el tono de gobierno) y a nivel de las actividades (acciones realizadas en cada uno de los procesos).

Implementacin de COBIT en el Grupo Bancolombia Una de las mejores prcticas utilizadas por la industria de Tecnologas de la Informacin y que ha sido adoptada por el Grupo Bancolombia es COBIT. La sigla COBIT significa Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objectives for Information Systems and Related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association) que recoge mejores prcticas para la prestacin de servicios tecnolgicos, entre las cuales estn: ITIL (Information Technology Infrastructure Library), CMMI (Capacity Maturity Model Integration), PMI (Project Management Institute), entre otras. COBIT tiene dos objetivos principales: garantizar el cumplimiento regulatorio y mejorar el desempeo de los servicios. El primero hace referencia a la adherencia a la legislacin, polticas internas, requerimientos de auditoria, entre otros. El segundo se enfoca en la rentabilidad, eficiencia y efectividad de los servicios ofrecidos. El Grupo Bancolombia tom la decisin de adoptar COBIT como modelo de referencia basado en tres premisas: A nivel internacional COBIT es el modelo utilizado por los auditores para verificar la adhesin y cumplimiento de los modelos de control interno por parte de cada una de las entidades que son objetos de supervisin y control en trminos de los servicios de Tecnologa de Informacin. La implementacin de COBIT como modelo de referencia permite garantizar el cumpl imiento de la ley Sarbanes Oxley. Implementar COBIT es una accin proactiva, no slo en trminos de cumplir la legislacin sino de implementar acciones de mejoramiento de los procesos y/o servicios de las reas de tecnologa. Sistema Desempeo Institucional Modelo Estandar de Control Interno MECI El Estado colombiano se encuentra actualmente en un proceso de modernizacin al introducir nuevos modelos de gestin y de control en la Administracin Pblica, con lo cual busca incrementar su efectividad y cumplir de esta manera con los fines esenciales que le fueron definidos en la Constitucin Poltica de Colombia. Este proceso, que en esencia es de naturaleza tcnica, sin lugar a dudas tiene entre otros objetivos generar legitimacin poltica frente a la sociedad civil, de una parte, y de otra, mejorar la competitividad de los mercados al fortalecer la institucionalidad que los regula. En este contexto es que se ha buscado introducir en el sector pblico, de forma sistemtica, las Mejo-res Prcticas de Gestin , las cuales han sido probadas en el mbito mundial, en los sectores pblico y privado, demostrando sus enormes bondades. Cabe anotar que varias de las Mejores Prcticas estn basadas en el uso y aplicacin de estndares internacionales, los cuales han tenido cada vez mayor acogida por parte de las organizaciones y gobiernos, en la medida en que la globalizacin se va extendiendo y las economas e instituciones se van haciendo cada vez ms interdependientes, con el fin de crear escenarios en donde los mercados sean ms estables y predecibles, y en donde las reglas del juego sean conocidas y acatadas por todos los actores involucrados y las instituciones, polticas y administrativas tengan una efectiva capacidad de regulacin, lo cual se obtiene, entre otras formas, mediante la aplicacin de normas que homogenicen la forma gestionar y controlar a las orga-nizaciones. Dicho de otra forma, la globalizacin ha inducido al Estado a acelerar un proceso de fortalecimiento institucional de su gestin, en los planos tcnico y poltico, el cual se logra en buena medida al incor-porar Mejores Prcticas de Gestin que le permitan iniciar una transicin de un Estado premoderno en muchas de sus tcnicas y prcticas, hacia un Estado posmoderno, eficiente, gil, con capacidad de adaptacin a los cambios y capaz de responder adecuadamente a las demandas sociales.

As las cosas, los Sistemas de Gestin de la Calidad y el Modelo Estndar de Control Interno (MECI), son un par de ejemplos palpables de herramientas que persiguen modernizar la gestin y el control, respectivamente, de la Administracin Pblica, aunque se estn aplicando otras, que se comentarn ms adelante. De esta forma, tanto el MECI como los Sistemas de Gestin de la Calidad, ya sean el sistema general (NTCGP 1000:2004 como los sistemas especficos para el sector salud), se basan en los estndares internacionales ? Modelo de Control COSO y normas ISO, respectivamente. El objetivo del MECI est definido en el Decreto 1599 de 2005, en los siguientes trminos: ?El Modelo Estndar de Control Interno que se establece para las entidades del Estado proporciona una estructu-ra para el control a la estrategia, la gestin y la evaluacin en las entidades del Estado, cuyo propsito es orientarlas hacia el cumplimiento de sus objetivos institucionales y la contribucin de estos a los fines esenciales del Estado. Este Modelo se ha formulado con el propsito de que las entidades del Estado obligadas puedan mejorar su desempeo institucional mediante el fortalecimiento del Control y de los procesos de evaluacin que deben llevar a cabo las Oficinas de Control Interno, Unidades de Auditora Interna o quien haga sus veces?. En palabras sencillas, el MECI consiste en una adaptacin que ha hecho el Estado Colombiano del modelo de control COSO para su aplicacin en los organismos y en las entidades pblicas colombia-nas, como medio para fortalecer sus sistemas de control interno. A su vez, al MECI puede integrarse con otros estndares internacionales de gestin que han sido probados con xito en diversos tipos de organizaciones en el mundo, siendo totalmente compatibles entre s. De esta forma, la Administracin Pblica colombiana est entrando en el esquema de los Sistemas Integrados de Gestin, tendencia mundial en la cual los modelos de control y de gestin se integran conceptual y operativamente, con una compatibilidad total. Para el caso colombiano, el MECI de hecho se integra con la Norma Tcnica de Calidad NTC-GP 1000, fundamentada en las Normas ISO para la gestin de la calidad; con el Estndar australiano y neocelands AS/NZS 4360:2004 para la Gestin de Riesgos (NTC 5254:2004 ICONTEC); con las Normas Internacionales para el Ejercicio Profesional de la Auditora Interna del Instituto de Auditores Internos Global; con el modelo COBIT para lo relacionado con la gestin y el control de la Tecnologa de la Informacin (IT Governance), y para el caso de las entidades pertenecientes al Sistema General de Seguridad Social en Salud, es totalmente compatible con el Sistema Obligatorio de Garanta de la Calidad en Salud (Decreto 1011 de 2006), en sus componentes de Habilitacin, Sistemas de Informacin, Auditora para la Calidad, y Acreditacin, las cuales se inspiran a su vez en estndares internacionales, y en otros modelos de control y de gestin. El MECI desarrolla a travs de los tres subsistemas, nueve componentes y veintinueve elementos que todos conocemos, los elementos interrelacionados del modelo COSO

indicados en el cubo, y le apunta al logro de los tres grandes objetivos de control: La efectividad y eficiencia de las operaciones, la confiabilidad de la informacin financiera y operacional, y el cumplimiento de las leyes y regulaciones aplicables. En la siguiente tabla se puede apreciar la equivalencia del modelo COSO con el MECI: COMPONENTE SUBSISTEMA COMPONENTES ELEMENTOS No. MODELO COSO MECI MECI MECI Control 1 Ambiente Control Evaluacin Riesgos de Control Estratgico Estratgico 2 de Control Estratgico Acuerdos, compromisos o protocolos ticos; Desarrollo del Talento Humano; Estilos de Direccin; Planes y Programas; Modelo de Operacin por Procesos, Estructura Organizacional. Contexto Estratgico; Identificacin, Anlisis y Evaluacin de Riesgos; Polticas de Administracin

del Riesgo Actividades Control Informacin Comunicacin de Control Gestin y Control Gestin de

de Riesgos. Polticas de Operacin; Procedimientos; Controles; Indicadores; Manual de Procedimientos. Informacin Primaria; Informacin Secundaria; Sistemas de Informacin; Comunicacin Organizacional; Comunicacin Informativa; Medios de Comunicacin.

Control Informacin

de Pblica

Monitoreo

Control Evaluacin

de Independiente Mejoramiento

Autoevaluacin del Control; Autoevaluacin de Gestin; Evaluacin Independiente al Sistema de Control Interno; Auditora Interna; Planes de Mejoramiento (Institucional, por proceso, Individual).

En la siguiente grfica podemos ver que el MECI contiene en esencia los mismos elementos que estn incluidos en el modelo COSO.

Por todo lo antes dicho es que la Direccin General del Instituto Nacional de Cancerologa ESE cre un grupo de trabajo denominado Sistema de Desempeo Institucional, en el cual participan las Subdirecciones Mdica, de Investigaciones y Administrativa, y las Oficinas de Planeacin, Calidad y Control Interno, con el fin de orientar desde la perspectiva tcnica, la implementacin de los modelos de gestin y control MECI-Sistema de Gestin de la Calidad- Sistema Obligatorio de Garanta de la Calidad en Salud, y los dems modelos que sean ordenados por el marco normativo legal vigente o que sean adoptados voluntariamente, tal como podra ocurrir con los relacionados con la gestin am-biental, responsabilidad social, salud ocupacional, planes de continuidad del negocio y recuperacin del desastre, entre otros, generando sinergias y esfuerzos articulados que propendan por el mejoramiento de la gestin y el control del Instituto, siguiendo las modernas tendencias de la administracin en el mundo que buscan, finalmente, satisfacer las necesidades y expectativas de las partes interesadas. 1. Las Mejores Prcticas (Best Practices) son simplemente la mejor manera de realizar un proceso de negocio.

Son el medio con el cual las principales empresas lderes alcanzan la excelencia en el desempeo, y se configuran como el objetivo a alcanzar para otras compaas que se esfuerzan por la excelencia. Mediante la adaptacin de las mejores prcticas a sus necesidades especficas, las empresas pueden afectar dramticamente el rendimiento, que ahorra tiempo, mejora la calidad de sus productos, reduce los costos y aumenta los ingresos, entre otros beneficios?. (Price Waterhouse Coopers www.globalbestpractices.com) 2. El Committee of Sponsoring Organizations of the Treadway Commission (COSO) se form en 1985 para patrocinar a la Comisin Nacional Contra los Reportes Financieros Fraudulentos, organismo independiente proveniente de carcter privado que tena como finalidad el estudi de los factores causales que pueden dar lugar a la presentacin de informes financieros fraudulentos. Tambin se elaboraron recomendaciones para las empresas pblicas y sus auditores independientes, para la SEC y otros reguladores, y de las instituciones educativas?(www.coso.org).

Nuestro Modelo de Control Interno En Abengoa se entiende que un sistema de control interno adecuado ha de asegurar que toda la informacin financiera relevante sea fiable y conocida por la Direccin. De esta forma, se considera que el modelo desarrollado y adecuado a SOXcomplementa y completa los Sistemas Comunes de Gestin, cuyo objetivo principal es el control y la mitigacin de los riesgos de negocio. Se ha tomado como marco conceptual de referencia el modelo COSO, por ser el que ms se aproxima al enfoque requerido por SOX. En este modelo, el control interno se define como el proceso realizado con objeto de proporcionar un grado de seguridad razonable para la consecucin de unos objetivos, tales como el cumplimiento de las leyes y normas, fiabilidad de la informacin financiera y la eficacia y eficiencia de las operaciones. Sistemas informticos de validacin de SOx y el cumplimiento normativo Importancia de los Sistemas de Informacin de Auditora y validacin Tecnologa de la informacin se ha convertido en un catalizador esencial de los procesos de negocio dentro de las organizaciones de hoy en da. Como resultado, las empresas estn obligadas a auditar y validar sus sistemas informticos pertinentes para garantizar que sus procesos de negocio y los registros correspondientes cumplen con las normas, como la Ley Sarbanes-Oxley de 2002 o Salud Portabilidad y Responsabilidad (HIPAA) o 21 CFR Parte 11 (FDA). Este documento define un marco de "fcil de poner en prctica" para la auditora y validacin de los sistemas de TI para el cumplimiento normativo. Tambin se seala una buena prctica que exige a las organizaciones y proveedores de software para auditar de manera proactiva su desarrollo de software y procesos de implementacin de manera continua para

identificar y corregir los problemas sistmicos para reducir el costo del cumplimiento. La Ley Sarbanes-Oxley toma el gobierno corporativo, la divulgacin y la contabilidad financiera a nuevas alturas. Se centra en asegurar la exactitud, la coherencia, la transparencia y oportunidad de los resultados financieros y las revelaciones - El quid de la legislacin - dirigidas directamente a las empresas pblicas. Establecer y mantener una estructura de control interno adecuado y los procedimientos de presentacin de informes financieros es la base del cumplimiento de la seccin 404 de la Ley Sarbanes-Oxley de. Sin embargo, existe un fuerte vnculo entre los controles internos mejorados que demanda el acto y los sistemas de informacin que manejan datos, implementar flujos de trabajo y automatizar los procesos de negocio. De hecho, la exactitud y oportunidad de la informacin financiera depende en gran medida de un entorno de TI bien controlado. PCAOB Auditing Standard No. 2 se analiza la importancia de las TIC en el contexto del control interno. En particular, se afirma: "La naturaleza y caractersticas de uso de una empresa de tecnologa de la informacin en su sistema de informacin afectan el control interno sobre la informacin financiera de la empresa." Muchas empresas estn utilizando el marco COSO de control interno - donde la importancia de los controles de TI est integrada en el marco. Estas empresas estn a continuacin, aplicar el modelo C OBIT de Gobierno de TI para asegurar que el nivel adecuado de controles de TI se aplican (vase el grfico 1). Cumplimiento de la Ley Sarbanes-Oxley requiere que con los sistemas financieros utilizados en la preparacin de los estados financieros requeridos ser controlados y validados para demostrar la exactitud y actualidad de ciertos datos financieros. Figura 1: Sarbanes-Oxley: Componentes de Control Interno Fuente: Objetivos de Control de TI para Sarbanes Oxley, ISACA Por favor, haga clic en la imagen para la versin mejorada) HIPAA (Portabilidad del Seguro de Salud y la Ley de Rendicin de Cuentas, aprobada en 1996) presenta la industria del cuidado de la salud con amplias regulaciones que afectan significativamente los aspectos tcnicos y operativos de los sistemas de informacin de salud y sistemas de salud integrados. Incluye normas para el intercambio electrnico de transacciones de salud administrativas y financieras entre los proveedores de salud y las aseguradoras e incluye reglas de privacidad para proteger la confidencialidad y seguridad de los datos de salud que se estn transmitiendo. Las empresas se han apresurado a hacer los cambios apropiados a su software para cumplir con la regulacin. Sin embargo, el reto ahora es asegurar que la infraestructura de los sistemas sigue siendo validados en forma permanente para seguir cumpliendo con los requisitos de la HIPAA. 21 CFR Parte 11 se llev a cabo en 1997 para que la FDA acepta registros y firmas electrnicas en lugar de documentos en papel y firmas manuscritas para su cumplimiento. El reglamento describe los controles para asegurarse de que los registros electrnicos y las firmas son dignos de confianza, fiable y compatible con los procedimientos de la FDA y como podr comprobarse y seguimiento, como sus contrapartes de papel. Por lo tanto, 21 CFR Parte 11 tambin especifica una serie de requisitos para los sistemas de software para permitir a los registros y firmas electrnicas fiables y confiables vea la Figura 2. Estos requisitos de software deben cumplirse para que los registros electrnicos resultantes para cumplir con FDA orden Buenas Prcticas de Manufactura actuales (cGMP). Si una organizacin emplea los

registros y firmas electrnicas, pero no cumple con estos requisitos del sistema, la FDA va a citar a la empresa por violar la regulacin subyacente. El impacto potencial podra incluir FDA retiro solicitado, FDA orden retirada, carta de advertencia, embargo, orden judicial, el enjuiciamiento, penas civiles y la detencin. IT Validacin del sistema es un requisito clave 21 CFR Part 11 - su principal beneficio es para asegurar la calidad y el rendimiento de los sistemas implementados para administrar cualquier proceso de cGMP. Estados evidencia emprica de que si un proceso especfico es administrado por un sistema informtico validado, se producir consistentemente un producto que satisfaga sus especificaciones predeterminadas y requisitos de calidad. Figura 2: mbito de 21 CFR Part 11 Requisitos Fuente: CGE & Y (Haga clic en la imagen para la versin mejorada) Qu es la validacin del sistema? IT validacin del sistema es el proceso de verificacin de todas las funciones del sistema de escritura y asegurar que el desempeo de esas funciones cumple con las especificaciones del sistema y la integridad de los datos. Para gestionar con xito el cumplimiento, cada sistema regulado debe ser probado para funcionar de acuerdo con su uso y diseo previsto, y en ciertas organizaciones, como los regulados por la FDA, toda la documentacin que la evidencia debe estar en una forma aceptable para el organismo regulador sobre la auditora. El alcance de los sistemas que necesita ser validado se basa en el rgano regulador. Por ejemplo, en un entorno de la FDA, cualquier software utilizado para automatizar el diseo del dispositivo, las pruebas, la aceptacin de componentes, de fabricacin, etiquetado, envasado, distribucin, tratamiento de las reclamaciones, o para automatizar cualquier otro aspecto del sistema de calidad est en el mbito de los requisitos de validacin. Adems, los sistemas informticos utilizados para crear, modificar y mantener los registros electrnicos o sistemas que mantengan ciertos registros de capacitacin del personal tambin estn sujetos a los requisitos de validacin de la FDA. Tales sistemas informticos deben ser validados para asegurar la precisin, fiabilidad, prestaciones que se esperan consistente, y la capacidad de discernir registros invlidos o alterados. Del mismo modo, el cumplimiento de la Seccin 404 de la Ley Sarbanes-Oxley requiere que los sistemas financieros utilizados en la preparacin de informes financieros requeridos y declaraciones ser controladas y validadas para demostrar la exactitud y actualidad de ciertos datos financieros. Marco para la Validacin del sistema Mientras que varias empresas de consultora han creado sus propias metodologas para la validacin de los sistemas, nuestra experiencia muestra el siguiente marco sea integral y aplicable tanto a las soluciones de software que crecen fuera de la plataforma y el hogar. Este marco se asegura de que el software que est siendo desplegado cumple con los requisitos reglamentarios y continuar ser compatible con el tiempo. Los elementos clave de este marco son:

El cumplimiento de los requisitos reglamentarios bsicos: Este elemento requiere que el software es auditado para cumplir con los requisitos esenciales de la regulacin. Por ejemplo, en las industrias regulados por la FDA, el software debe cumplir con los siguientes requisitos de 21 CFR Parte 11:

Cualquier cambio a cualquier registro es capturado en la pista de auditora y las entradas son tiempo estampado con informacin adicional como el nombre del operador y por qu el registro fue cambiado. System proporciona una seguridad adecuada para evitar la modificacin no autorizada, garantizando el acceso basado en roles y los usuarios de la prevencin de la actualizacin de la base de datos directamente. Software emplea la firma electrnica para cualquier transaccin en el sistema

Del mismo modo, HIPAA requiere que los sistemas de informacin que mantienen electrnicos Informacin de Salud Protegida permitir el acceso slo a aquellas personas o programas de software que se han concedido derechos de acceso segn las especificaciones.

Auditora y validacin para el uso previsto: Este elemento requiere que las especificaciones de requisitos se han desarrollado para el uso previsto del sistema. En primer lugar, la documentacin del sistema es auditado con las especificaciones de uso previsto para identificar cualquier problema. A continuacin, el propio sistema IT es auditado mediante la especificacin uso previsto para identificar cualquier problema.Deben ser corregidos por el mtodo de control de cambios de ciclo cerrado (ver metodologa de ciclo de vida ms adelante) y el sistema que se debe repetir la prueba antes de que pueda ser certificado para ser validado como listo para el uso previsto cuestiones importantes. Ciclo de vida Metodologa: Este elemento se asegura de que el proveedor de software (o de la organizacin de desarrollo de TI) que se desarrolla el programa y la organizacin de TI que implementa el software sigue una metodologa de ciclo de vida del software definido y documentado para asegurar la buena calidad y evitar los defectos de software que hacen que no cumplimiento. Los componentes del ciclo de vida incluyen:
o

o o o

Todos los requisitos del sistema deben estar claramente definidos antes de cualquier diseo o codificacin comienza esfuerzo. Todas las funciones del sistema deben ser identificados en esta etapa. Especificaciones de diseo del sistema debe estar claramente documentado y revisiones de diseo se debe hacer para evaluar la capacidad del diseo para cumplir con los requisitos del sistema e identificar cualquier problema. Los planes de prueba, procedimientos de prueba y casos de prueba deben desarrollarse lo antes posible en el ciclo de vida de desarrollo posible. Normas de codificacin deben estar bien documentados y revisiones de cdigo se debe hacer para asegurar que se cumplan estas normas. Metodologa de anlisis multinivel incluyendo pruebas unitarias, pruebas funcionales, pruebas de integracin y pruebas del sistema se debe seguir.Adems de las pruebas de estrs y pruebas de recuperacin de desastres se deben realizar para garantizar que se cumplen los requisitos de rendimiento del sistema.

Control de cambio de circuito cerrado: Este elemento asegura que el cambio adecuado control de la documentacin, aprobacin y procedimientos de ensayo se aplicar a cualesquiera cambios, entre ellos, la correccin de defectos de software o la adicin de nuevas capacidades para una nueva versin del software o hacer cambios a la configuracin del software. Procedimientos de control de cambios deben ser escritos y bien entendidos por los desarrolladores a travs de una formacin adecuada, para garantizar el cumplimiento. Los cambios no autorizados a un sistema validado, incluso durante el proceso de implementacin, pueden tener un efecto perjudicial sobre la integridad del sistema. Figura 3: Mapeo de COSO y COBIT para el sistema de ciclo de vida Fuente: IT Objetivos de Control para la Sarbanes Oxley, ISACA (Haga clic en la imagen para la versin mejorada)

Instalacin: Este elemento requiere que las instalaciones de los proveedores, as como, la organizacin de TI sern auditados para asegurar que emplean controles de seguridad adecuados para impedir el acceso no autorizado a software, salas de informtica y salas de almacenamiento de medios de copia de seguridad. Organizacin: Este elemento se asegura de que los desarrolladores de software, diseadores, ingenieros de control de calidad y gerentes de proyecto estn capacitados para llevar a cabo los aspectos tcnicos de su trabajo y la empresa cuenta con polticas de formacin para asegurarse de que siguen teniendo los conocimientos adecuados sobre una base continua para hacer su trabajo . Este requisito se especifica en la normativa FDA y en el marco COSO.

Las organizaciones que implementan este marco resulta ms fcil mantener su sistema validado de forma permanente. El uso de un sistema QMS para agilizar el proceso de auditora y validacin de TI En un mundo donde las prcticas de la tecnologa y los negocios son dinmicos y no estticos, las metodologas de validacin de reactivos proporcionan un valor cuestionable. Las mejores prcticas requieren las organizaciones de TI y proveedores de software para auditar de manera proactiva su desarrollo de software y procesos de implementacin de manera continua con el marco definido arriba y para identificar y corregir los problemas sistmicos derivados de la auditora. Con el fin de simplificar y automatizar toda la auditora de TI y

procesos de accin correctiva, lderes de la industria estn implantando Sistemas de Gestin de Calidad (SGC) en sus organizaciones de TI / desarrollo. El sistema QMS sirve como un sistema de registro para el proyecto de validacin de los sistemas de TI. Todos los documentos, incluyendo los requisitos funcionales, especificaciones del sistema y los planes de prueba se almacenan en el repositorio. Las capacidades de auditora del SGC se utilizan para crear y seguir una lista de comprobacin y sus resultados.Una vez que los problemas han sido identificados a travs del proceso de auditora interna, el primer paso es iniciar una investigacin e identificar correctamente la causa raz del problema.Despus de la causa ha sido identificada, se crean elementos de Acciones Correctivas (CAPA).Cuando estn aprobados acciones correctivas, los cambios apropiados se implementan en el medio ambiente a travs de un proceso de control de cambios y a continuacin, la CAPA est cerrado hacia fuera. Estos cambios pueden incluir modificaciones de un procedimiento / SOP documentos o la creacin de un nuevo procedimiento documentado / SOP cuando a uno le falta, o la colocacin de controles para asegurar que el proceso documentado es seguido, o actualizar el conjunto de habilidades de un empleado a travs de un proceso de capacitacin y certificacin . Su tablero de instrumentos proporciona TI y ejecutivos de cumplimiento normativo una vista en curso sobre el estado del proceso de validacin. Mediante el uso de QMS, las empresas aseguran que la auditora continua y proactiva y proceso de accin correctiva es sistematizada y proporciona la base para reducir el costo de cumplimiento. En resumen, la validacin del sistema no es un proyecto de una sola vez - es un proceso continuo. A travs de una combinacin de una buena implementacin del sistema de desarrollo del ciclo de vida, la auditora proactiva del desarrollo de software y el proceso de implementacin y automatizacin del proceso de auditora y acciones correctivas, las empresas pueden cumplir fcilmente con los requisitos para la validacin del sistema de regulaciones como 21 CFR parte 11, Sarbanes- Oxley y HIPAA, etc, a un costo ms bajo de cumplimiento. COSO Nuevo marco 2012 participativo! Estimados La organizacin COSO con la colaboracin de PWC, ha liberado el 19 de diciembre de 2011, una versin para comentarios pblicos del Marco Integrado de Control Interno - COSO I, cuyo plazo mximo para hacer los aportes es el 31 de marzo 2012, y que posteriormente en base a esos aportes, la organizacin publicar la versin definitiva a finales del 2012. COSO incorpora los conceptos de mayor importancia en los ltimos aos para la profesin contable en el campo del control interno en las organizaciones y por lo tanto, debera tener impactos relevantes en las leyes de control interno, normas de los reguladores y

colegios profesionales, formacin acadmica y procedimientos de trabajo de los profesionales de la contabilidad, auditoria y riesgos. El material oficial del Marco para su revisin y discusin (drafts), as como las preguntas para el feedback correspondiente, las pueden encontrar en la pagina web de COSO y tambin en nuestra pestaa de "Documentos" para descargar siguientes :: R137, R138, R139 de la seccin "Auditoria" Equipo SAMS 2000

Marco COSO Septiembre 18,2007 COSO, la Co mmittee

de S ponsoring O rganizaciones

de

la

Comisin

Treadway

COSO es una organizacin voluntaria del sector privado dedicada a mejorar la calidad de la informacin financiera a travs de la tica empresarial, controles internos eficaces, y el gobierno corporativo. COSO se form originalmente en 1985 para patrocinar la Comisin Nacional sobre la informacin financiera fraudulenta. La Comisin Nacional fue patrocinado conjuntamente por las cinco principales asociaciones profesionales financieros en Estados Unidos, la American Accounting Association, el Instituto Americano de Contadores Pblicos Certificados, los ejecutivos financieros Instituto, el Instituto de Auditores Internos, y la Asociacin Nacional de Contadores (ahora el Institute of Management Accountants). La Comisin era totalmente independiente de cada una de las organizaciones patrocinadoras, y contena los representantes de la industria, contabilidad pblica, empresas de inversin, y la Bolsa de Nueva York. El Presidente de la Comisin Nacional fue James C. Treadway, Jr., Vicepresidente y Ejecutivo Consejero General, Paine Webber Incorporated y ex Comisionado de los EE.UU. Securities and Exchange Commission. (De ah el nombre popular "Treadway Commission"). s COSO tambin experiment el cambio de un Marco Jurdico de control interno integrado a un marco de gestin de riesgos en toda la empresa (ERM), y dichos cambios haban tenido lugar en los ltimos 20 aos. DEFINICIN ERM por COSO:

- gestin de riesgos corporativos es un proceso efectuado por el directorio de la entidad de administracin, de gestin y otro personal, aplicado en el establecimiento de la estrategia y en toda la empresa, diseado para identificar eventos potenciales que puedan afectar a la entidad, y gestionar los riesgos de estar dentro . su apetito por el riesgo, para proporcionar una seguridad razonable sobre el logro de los objetivos de la entidad El marco histrico COSO incluye los siguientes componentes:

Despus de las prcticas de casi 20 aos, el marco COSO fue cambiado a lo siguiente en 2004 :

Objetivos y elementos del marco de GRI: Estratgico -. relativos a objetivos de alto nivel, alineados con y el apoyo a la misin / visin de la entidad de operaciones - en relacin a la eficacia y eficiencia de las operaciones de la entidad, incluyendo objetivos de rendimiento y rentabilidad. Varan en base a decisiones de gestin sobre la estructura y funcionamiento. Informes - en relacin con la eficacia de los informes de la entidad. Incluyen informes internos y externos y pueden implicar la informacin financiera y no financiera. Cumplimiento - en relacin con el cumplimiento de la entidad con las leyes y reglamentos aplicables. La relacin entre objetivos y componentes del MTC: - Existe una relacin directa entre los objetivos, que son los que una entidad se esfuerza por lograr, y los componentes de gestin de riesgo empresarial, que representan lo que se necesita para alcanzarlos. - Las cuatro categoras de objetivos - estratgica, operaciones, informacin y cumplimiento - estn representados por las columnas verticales. - Los ocho componentes estn representados por filas horizontales. - La entidad y sus unidades organizativas se representan por la tercera dimensin de la matriz.

Definicin

de

control

interno

de

COSO:

El control interno es un proceso efectuado por el directorio de la entidad de administracin, de gestin y otro personal, diseado para proporcionar una seguridad razonable en cuanto al logro de los objetivos en las siguientes categoras: Eficacia y eficiencia de las operaciones Confiabilidad de recursos financieros reportando Cumplimiento de las leyes y reglamentos aplicables

Mientras

tanto,

El control interno es un proceso. Es un medio para un fin, no un fin en s mismo. El control interno se lleva a cabo por las personas. No es meramente manuales y formularios de poltica, pero la gente en todos los niveles de una organizacin. El control interno se puede esperar que slo proporcionan una seguridad razonable, y no absoluta seguridad, a la administracin y la junta directiva de una entidad. El control interno est orientado a la consecucin de los objetivos en una o ms categoras separadas pero superpuestas. Mientras que el control interno es un proceso, su eficacia es un estado o condicin del proceso en uno o ms puntos en el tiempo.

La

evolucin

la

historia

de

COSO:

Trminos

utilizados

con

frecuencia:

- nivel de las Entidades de nivel ms alto (s) dentro de la organizacin que dictan los controles, a veces conocido como las unidades de control. Es en este nivel donde se lleva a cabo la evaluacin a nivel de entidad COSO. Proceso o nivel de actividad Los distintos ciclos econmicos a travs del cual se realizan los procedimientos para ejecutar las operaciones que con el tiempo afectan los estados financieros - Riesgo El "lo que podra ir mal" dentro de un proceso de . La inversa de riesgo que comnmente se conoce como el "objetivo de control" - Aseveraciones objetivos

de

la

informacin

financiera

- Controles clave Los controles en los que se coloca la mayor dependencia con respecto a la mitigacin de riesgos. No todo el control es un control clave y requiere pruebas.

COSO afirmaciones: Existencia Los activos, pasivos y participaciones existir como un punto en el tiempo

de ocurrencias - transacciones registradas representan eventos econmicos que en realidad ocurrieron durante un perodo de tiempo determinado Integridad - Todas las transacciones y otros sucesos y circunstancias ocurridos durante un perodo determinado, y debera haber sido reconocida en ese perodo, tienen, de hecho, ha grabado. Por lo tanto, no hay activos, pasivos o transacciones y no revelaciones omitidas

Derechos y Obligaciones - Los activos y pasivos registrados en el balance general son de buena fe los derechos y obligaciones de la entidad a partir de ese punto en el tiempo

de valoracin o asignacin - Los activos, pasivos, Los ingresos y gastos se registran por sus valores apropiados de acuerdo con los principios de contabilidad pertinente Presentacin y revelacin - partidas de los estados estn bien descritos y clasificados, as como una presentacin equitativa

Modelo de Capacidad y Madurez Para el nuevo modelo (CMMI), vase Capability Maturity Model Integration. El Modelo de Madurez de Capacidades o CMM (Capability Maturity Model), es un modelo de evaluacin de los procesos de una organizacin. Fue desarrollado inicialmente para los procesos relativos al desarrollo e implementacin de software por la Universidad Carnegie-Mellon para el SEI (Software Engineering Institute). El SEI es un centro de investigacin y desarrollo patrocinado por el Departamento de Defensa de los Estados Unidos de Amrica y gestionado por la Universidad Carnegie-Mellon. "CMM" es una marca registrada del SEI. El modelo CMM A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de los Estados Unidos de Amrica (en particular del Departamento de Defensa, DoD), desarroll una primera definicin de un modelo de madurez de procesos en el desarrollo de software, que se public en septiembre de 1987. Este trabajo evolucion al modelo CMM o SW-CMM (CMM for Software), cuya ltima versin (v1.1) se public en febrero de 1993. Este modelo establece un conjunto de prcticas o procesos clave agrupados en reas Clave de Proceso (KPA Key Process Area). Para cada rea de proceso define un conjunto de buenas prcticas que habrn de ser:

Definidas en un procedimiento documentado Provistas (la organizacin) de los medios y formacin necesarios Ejecutadas de un modo sistemtico, universal y uniforme (institucionalizadas) Medidas Verificadas

A su vez estas reas de Proceso se agrupan en cinco "niveles de madurez", de modo que una organizacin que tenga institucionalizadas todas las prcticas incluidas en un nivel y sus inferiores, se considera que ha alcanzado ese nivel de madurez. Los niveles son: 1 - Inicial. Las organizaciones en este nivel no disponen de un ambiente estable para el desarrollo y mantenimiento de software. Aunque se utilicen tcnicas correctas de ingeniera, los esfuerzos se ven minados por falta de planificacin. El xito de los proyectos se basa la mayora de las veces en el esfuerzo personal, aunque a menudo se producen fracasos y casi siempre retrasos y sobrecostes. El resultado de los proyectos es impredecible. 2 - Repetible. En este nivel las organizaciones disponen de unas prcticas institucionalizadas de gestin de proyectos, existen unas mtricas bsicas y un razonable seguimiento de la calidad. La relacin con subcontratistas y clientes est gestionada sistemticamente. 3 - Definido. Adems de una buena gestin de proyectos, a este nivel las organizaciones disponen de correctos procedimientos de coordinacin entre grupos, formacin del personal, tcnicas de ingeniera ms detalladas y un nivel ms avanzado de mtricas en los procesos. Se implementan tcnicas de revisin por pares (peer reviews). 4 - Gestionado. Se caracteriza porque las organizaciones disponen de un conjunto de mtricas significativas de calidad y productividad, que se usan de modo sistemtico para la toma de decisiones y la gestin de riesgos. El software resultante es de alta calidad.

5 - Optimizado. La organizacin completa est volcada en la mejora continua de los procesos. Se hace uso intensivo de las mtricas y se gestiona el proceso de innovacin. As es como el modelo CMM establece una medida del progreso, conforme al avance en niveles de madurez. Cada nivel a su vez cuenta con un nmero de reas de proceso que deben lograrse. El alcanzar estas reas o estadios se detecta mediante la satisfaccin o insatisfaccin de varias metas claras y cuantificables. Con la excepcin del primer nivel, cada uno de los restantes Niveles de Madurez est compuesto por un cierto nmero de reas Claves de Proceso, conocidas a travs de la documentacin del CMM por su sigla inglesa: KPA. Cada KPA identifica un conjunto de actividades y prcticas interrelacionadas, las cuales cuando son realizadas en forma colectiva permiten alcanzar las metas fundamentales del proceso. Las KPAs pueden clasificarse en 3 tipos de proceso: Gestin, Organizacional e Ingeniera. Las prcticas que deben ser realizadas por cada rea Clave de Proceso estn organizadas en 5 Caractersticas Comunes, las cuales constituyen propiedades que indican si la implementacin y la institucionalizacin de un proceso clave es efectivo, repetible y duradero. Estas 5 caractersticas son: i) Compromiso de la realizacin, ii) La capacidad de realizacin, iii) Las actividades realizadas, iv) Las mediciones y el anlisis, v) La verificacin de la implementacin. Las organizaciones que utilizan CMM para mejorar sus procesos disponen de una gua til para orientar sus esfuerzos. Adems, el SEI proporciona formacin a evaluadores certificados ( Lead Assesors) capacitados para evaluar y certificar el nivel CMM en el que se encuentra una organizacin. Esta certificacin es requerida por el Departamento de Defensa de los Estados Unidos, pero tambin es utilizada por multitud de organizaciones de todo el mundo para valorar a sus subcontratistas de software. Se considera tpico que una organizacin dedique unos 18 meses para progresar un nivel, aunque algunas consiguen mejorarlo. En cualquier caso requiere un amplio esfuerzo y un compromiso intenso de la direccin. Como consecuencia, muchas organizaciones que realizan funciones de factora de software o, en general, outsourcing de procesos de software, adoptan el modelo CMM y se certifican en alguno de sus niveles. Esto explica que uno de los pases en el que ms organizaciones certificadas existan sea India, donde han florecido las factoras de software que trabajan para clientes estadounidenses y europeos. CMMI como evolucin de CMM A partir de 2001, en que se present el modelo CMMI, el SEI ha dejado de desarrollar el SW-CMM, cesando la formacin de los evaluadores en diciembre de 2003, quienes dispondrn hasta fin de 2005 para reciclarse al CMMI. Las organizaciones que sigan el modelo SW-CMM podrn continuar hacindolo, pero ya no podrn ser certificadas a partir de fin de 2005. Otros modelos CMMI Integracin de modelos (CMM-SW, SE-CMM, IPD-CMM) SE-CMM El Modelo de Madurez de Capacidades en la Ingeniera de Sistemas fue publicado por el SEI en noviembre de 1995. Est dedicado a las actividades de ingeniera de sistemas. Define 18 reas de proceso divididas en tres grupos:

Ingeniera (7) Proyectos (5) Organizativas (6)

No utiliza niveles de madurez generales sino que en cada rea de proceso una organizacin puede alcanzar un determinado nivel de madurez.

Al igual que el SW-CMM, ha sido integrado en el CMMI. IPD-CMM El Modelo de Madurez de Capacidades para el Desarrollo Integrado de Productos fue propuesto como un borrador por el SEI en 1997, pero qued integrado en el CMMI al publicarse este en el ao 2000. P-CMM Modelo de Madurez de Capacidades para Recursos Humanos SA-CMM Modelo de Madurez de Capacidades para la Adquisicin de Software S3M Modelo de Madurez de Capacidades para el mantenimiento del software Otros modelos CMM SSE-CMM El System Security Engineering Capability Maturity Model o Modelo de Madurez de Capacidades en la Ingeniera de Seguridad de Sistemas es un modelo derivado del CMM y que describe las caractersticas esenciales de los procesos que deben existir en una organizacin para asegurar una buena seguridad de sistemas. Ha sido desarrollado por la "International Systems Security Engineering Association (ISSEA)", organizacin sin nimo de lucro patrocinada por un buen nmero de compaas dedicadas a la seguridad de sistemas. Naci a partir de 1993 bajo los auspicios de la Agencia Nacional de Seguridad (NSA) de los E.U.A., con la participacin de numerosas compaas de los sectores de tecnologas de la informacin, seguridad y defensa. La primera versin data de 1997 y la actual (v3.0) fue publicada en junio de 2003. Pretende servir como: Herramienta para que las organizaciones evalen las prcticas de ingeniera de seguridad y definan mejoras a las mismas. Mecanismo estndar para que los clientes puedan evaluar la capacidad de los proveedores de ingeniera de seguridad. Base para la organizacin de un mecanismo de evaluacin y certificacin. A diferencia del CMM original, las reas de proceso no estn agrupadas en funcin de los niveles de madurez, sino que define 22 reas para cada una de las cuales se puede alcanzar un nivel en funcin del cumplimiento de unas "caractersticas comunes". Existen 11 reas de procesos de ingeniera y otras 11 dedicadas a la gestin de proyectos y organizacin. El mtodo de evaluacin se denomina SSAM (SSE-CMM Appraisal Method). Incapability Immaturity Model Con mucho sentido del humor, y bastante conocimiento de causa, Anthony Finkelstein describi que hay organizaciones que no han alcanzado siquiera el nivel 1 de CMM (en el que aunque sea de modo heroico se llega a producir software), proponiendo que existen niveles negativos o de inmadurez. Este Modelo de Incapacidad e Inmadurez, que fue refinado posteriormente por Tom Schorsch, incluye tres niveles de idiotez:

0 -Organizaciones negligentes. Impiden cualquier desarrollo de software con xito. Su gran preocupacin es la reutilizacin del software. -1 -Organizaciones obstructivas. Imponen procesos contra-productivos para impedir cualquier avance. Se concentran en desarrollar entornos de desarrollo y repositorios. -2 -Organizaciones desdeosas. Desprecian cualquier institucionalizacin de buenas prcticas. Su gran objetivo es la programacin automtica.

Crtica Frecuentemente se critica al modelo CMM por no ser ms especfico en la definicin de los procesos. Para guiar a las organizaciones a definir y mejorar sus procesos indica qu actividades han de realizar, pero nada sobre cmo hacerlo. Esto es as tanto en lo referente a la ingeniera como a las herramientas o tcnicas de gestin, aunque hace una curiosa excepcin en las revisiones por pares (peer reviews). Del mismo modo, aunque insiste continuamente en la necesidad de las mtricas, no da ninguna gua concreta del tipo de mtricas que son aceptables para una correcta prctica profesional. Los tcnicos se quejan a menudo de la enorme carga de "papeleo" que impone el modelo, vindolo ms como un mecanismo de control por la direccin que una herramienta que les ayude en su trabajo. Tambin resulta muy complejo, ms todava el CMMI, lo que hace que durante algn tiempo resulte para mucha gente algo esotrico. SW-CMM El Modelo de Madurez de la Capacidad para el desarrollo de Software (Capability Maturity Model for Software, SW-CMM) es un modelo de procesos para el desarrollo y mantenimiento de sistemas de software, diseado sobre los criterios: La calidad de un producto o sistema es consecuencia directa de los procesos empleados en su desarrollo. Las organizaciones que desarrollan software presentan un atributo denominado madurez, cuya medida es proporcional a los niveles de capacidad e institucionalizacin de los procesos que emplean en su trabajo. Origen Fue diseado a finales de los ochenta por Software Engineering Institute (SEI) a instancias del Congreso Norteamericano, como medio para evaluar a las empresas suministradoras de software para el Departamento de Defensa Norteamericano. CMM (como se le denomina abreviadamente) define 5 niveles de madurez para las organizaciones, en funcin de cules son los procesos que emplean en el desarrollo y mantenimiento de software y los grados de capacidad e institucionalizacin de cada uno; y puede emplearse con dos finalidades: Criterio para la evaluacin de la madurez de la organizacin. Gua para la mejora de sus procesos. Evolucin Tras su creacin en 1984 SEI comenz la investigacin para desarrollar un marco de mejora y evaluacin de la previsibilidad y calidad de las empresas y el resultado se denomin "Capability Maturity Model for Software" SW-CMM o abreviadamente CMM, cuya versin 1.0 se public en agosto de 1991. Posteriormente se publicaron las revisiones 1.1 en 1993 y 1.2 en 1997. Hoy es un modelo obsoleto, que SEI ya no mantiene desde que en 2000 fue relevado e integrado en el nuevo CMMI. Niveles de madurez definidos en SW-CMM Nivel 1: Inicial Los resultados de calidad obtenidos son consecuencia de las personas y de las herramientas que emplean. No de los procesos, porque o no los hay o no se emplean. Nivel 2: Repetible Se considera un Nivel 2 de madurez cuando se llevan a cabo prcticas bsicas de gestin de proyectos, de gestin de requisitos, control de versiones y de los trabajos realizados por subcontratistas. Los equipos de los proyectos pueden aprovechar las prcticas realizadas para aplicarlas en nuevos proyectos. Se le llama Repetible ya que se pueden repetir xitos anteriores aplicando la disciplina necesaria.

Nivel 3: Definido Los procesos comunes para desarrollo y mantenimiento del software estn documentados de manera suficiente en una biblioteca accesible a los equipos de desarrollo. Las personas han recibido la formacin necesaria para comprender los procesos. Para cada proyecto en particular, se adaptan los procesos estndar segn las necesidades del caso, es consistente la base de procesos. Nivel 4: Gestionado La organizacin mide la calidad del producto y del proceso de forma cuantitativa con base a mtricas establecidas La capacidad de los procesos empleados es previsible, y el sistema de medicin permite detectar si las variaciones de capacidad exceden los rangos aceptables para adoptar medidas correctivas. Nivel 5: Optimizado La mejora continua de los procesos afecta a toda la organizacin, que cuenta con medios para identificar las debilidades y reforzar la prevencin de defectos. Se analizan de forma sistemtica datos relativos a la eficacia de los procesos de software para analizar el coste y el beneficio de las adaptaciones y las mejoras. Se analizan los defectos de los proyectos para determinar las causas, y su mapeado sobre los procesos. Es el nivel ms alto de CMM por el momento. Capability Maturity Model Integration Integracin de modelos de madurez de capacidades o Capability maturity model integration (CMMI) es un modelo para la mejora y evaluacin de procesos para el desarrollo, mantenimiento y operacin de sistemas de software. Modelos CMMI Las mejores prcticas CMMI se publican en los documentos llamados modelos. En la actualidad hay tres reas de inters cubiertas por los modelos de CMMI: Desarrollo, Adquisicin y Servicios. La versin actual de CMMI es la versin 1.3 la cual corresponde a CMMI-SVC, liberada el 1 de noviembre de 2010. Hay tres constelaciones de la versin 1.2 disponible:

CMMI para el Desarrollo (CMMI-DEV o CMMI for Development), Versin 1.2 fue liberado en agosto de 2006. En l se tratan procesos de desarrollo de productos y servicios. CMMI para la adquisicin (CMMI-ACQ o CMMI for Acquisition), Versin 1.2 fue liberado en noviembre de 2007. En l se tratan la gestin de la cadena de suministro, adquisicin y contratacin externa en los procesos del gobierno y la industria. CMMI para servicios (CMMI-SVC o CMMI for Services), est diseado para cubrir todas las actividades que requieren gestionar, establecer y entregar Servicios.

Dentro de la constelacin CMMI-DEV, existen dos modelos:

CMMI-DEV CMMI-DEV + IPPD (Integrated Product and Process Development)

Independientemente de la constelacin\modelo que opta una organizacin, las prcticas CMMI deben adaptarse a cada organizacin en funcin de sus objetivos de negocio. Las organizaciones no pueden ser certificadas CMMI. Por el contrario, una organizacin es evaluada (por ejemplo, usando un mtodo de evaluacin como SCAMPI y recibe una calificacin de nivel 1-5 si sigue los niveles de Madurez (si bien se comienza con el nivel 2). En caso de que quiera la organizacin, puede coger reas de proceso y en vez de por niveles de madurez puede obtener los niveles de capacidad en cada una de las reas de Proceso, obteniendo el "Perfil de Capacidad" de la Organizacin.

Evaluacin (Appraisal) Muchas organizaciones valoran el medir su progreso llevando a cabo una evaluacin (appraisal) y ganando una clasificacin del nivel de madurez o de un nivel de capacidad de logro. Este tipo de evaluaciones son realizadas normalmente por una o ms de las siguientes razones:

Para determinar que tan bien los procesos de la organizacin se comparan con las mejores prcticas CMMI y determinar qu mejoras se pueden hacer. Para informar a los clientes externos y proveedores acerca de que tan bien los procesos de la organizacin se comparan con las mejores prcticas CMMI. Para cumplir los requisitos contractuales de uno o ms clientes.

Las valoraciones de las organizaciones utilizando un modelo CMMI deben ajustarse a los requisitos definidos en el documento "Appraisal Requirements for CMMI" (ARC). La evaluacin se enfoca en identificar oportunidades de mejora, y comparar los procesos de la organizacin con las mejores prcticas CMMI. Los equipos de evaluacin usan el modelo CMMI y un mtodo conforme a ARC para guiar su evaluacin y reporte de conclusiones. Los resultados de la evaluacin son usados para planear mejoras en la organizacin. Hay tres clases de evaluacin: Clase A,B,C. El Standard CMMI Appraisal Method for Process Improvement (SCAMPI) es un Mtodo de evaluacin que cumple todos los requerimientos ARC. Una evaluacin de clase A es ms formal y es la nica que puede resultar en una clasificacin de nivel. El Standard CMMI Appraisal Method for Process Improvement (SCAMPI) es el mtodo oficial SEI para proveer puntos de referencia de sistemas de calificacin en relacin con los modelos CMMI. SCAMPI se usa para identificar fortalezas y debilidades de los procesos, revelar riesgos de desarrollo/adquisicin, y determinar niveles de capacidad y madurez. Se utilizan ya sea como parte de un proceso o programa de mejoramiento, o para la calificacin de posibles proveedores. El mtodo define el proceso de evaluacin constando de preparacin; las actividades sobre el terreno; observaciones preliminares, conclusiones y valoraciones; presentacin de informes y actividades de seguimiento.