7 Puntos Claves en la Revisión de un Modelo de Madurez

Los procesos de negocio hablan y al realizar una evaluación eficaz de los mismos podemos identificar oportunidades de mejora y crear nuevas realidades para nuestras organizaciones. Una de las cosas más fascinantes de la profesión de auditoría interna es la búsqueda constante de nuevas herramientas y técnicas para el análisis de las operaciones. Es por esta razón que el IIA Global en su nueva Guía Práctica Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements, nos trae una metodología antigua pero poderosa, esta es el Modelo de Madurez.

El Modelo de Madurez de Capacidades o CMM (Capability Maturity Model), es un modelo de evaluación de los procesos de una organización. Fue desarrollado inicialmente para los procesos relativos al desarrollo e implementación de software por la Universidad Carnegie-Mellon  para el SEI.

Este modelo establece un conjunto de prácticas o procesos clave agrupados en Áreas Clave de Proceso (KPA - Key Process Area). Para cada área de proceso define un conjunto de buenas prácticas que habrán de ser:

·         Definidas en un procedimiento documentado

·         Provistas (la organización) de los medios y formación necesarios

·         Ejecutadas de un modo sistemático, universal y uniforme (institucionalizadas)

·         Medidas

·         Verificadas

A su vez estas Áreas de Proceso se agrupan en cinco "niveles de madurez", de modo que una organización que tenga institucionalizadas todas las prácticas incluidas en un nivel y sus inferiores, se considera que ha alcanzado ese nivel de madurez.

Los niveles son:

1 - Inicial. Las organizaciones en este nivel no disponen de un ambiente estable para el desarrollo y mantenimiento de software. Aunque se utilicen técnicas correctas de ingeniería, los esfuerzos se ven minados por falta de planificación. El éxito de los proyectos se basa la mayoría de las veces en el esfuerzo personal, aunque a menudo se producen fracasos y casi siempre retrasos y sobrecostes. El resultado de los proyectos es impredecible.

2 - Repetible. En este nivel las organizaciones disponen de unas prácticas institucionalizadas de gestión de proyectos, existen unas métricas básicas y un razonable seguimiento de la calidad. La relación con subcontratistas y clientes está gestionada sistemáticamente.

3 - Definido. Buena gestión de proyectos, a este nivel las organizaciones disponen de correctos procedimientos de coordinación entre grupos, formación del personal, técnicas de ingeniería más detalladas y un nivel más avanzado de métricas en los procesos. Se implementan técnicas  de revisión  de pares (peer reviews).

4 - Gestionado. Se caracteriza porque las organizaciones disponen de un conjunto de métricas de calidad y productividad, que se usan de modo sistemático para la toma de decisiones y gestión riesgos. El resultado del proceso es de alta calidad.

5 - Optimizado. Nivel de mejora continúa de los procesos. Se hace uso intensivo de las métricas y se gestiona el proceso de innovación.

Algunas formas de como puede ser aplicado este tipo de modelo son las siguientes:

Nivel Capacidad Proceso

Nivel 1 – Reactivo

Nivel 2 – Repetición

Nivel 3 – Definido y Manejado

Nivel 4 – Sustancial

Nivel 5 – Optimizado

Cumplimiento Programa Ética

I - Inicial

II - Repetición

III - Definido  

IV - Maduro

V - Clase Mundial

Implementación Cobit 5.0

0 – No existe

1 – Inicial o Ad Hoc

2 – Repetición

3 – Proceso Definido

4 – Proceso Manejado y Medible

5 – Proceso Optimizado

Departamento Auditoría Interna

Etapa 1 - Inicial

Etapa 2 - Infraestructura

Etapa 3 - Integrado

Etapa 4 - Manejado

Etapa 5 - Optimizado

Es vital que los auditores internos entienda y usen los modelos de madurez, las Normas para la Práctica profesional de la auditoría interna establecen que: Se requieren criterios adecuados para evaluar los controles. Los auditores internos debe cerciorarse del alcance hasta el cual la dirección ha establecido criterios adecuados para determinar si sus objetivos y metas han sido cumplidos. Si fuera apropiado, los auditores internos deben utilizar dichos criterios en su evaluación. Si no fuera apropiado los auditores internos deben trabajar con la dirección para desarrollar criterios de evaluación adecuados.

A continuación presentamos 7 puntos claves que un auditor interno debe tener presente en la revisión de un modelo de madurez de acuerdo con la Guía Práctica Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements emitida por el IIA Global en Julio del 2013:

1.    Si un auditor planifica usar un modelo de madurez en un trabajo de aseguramiento debe primero considerar si el modelo se ajusta a su propósito.

2.    Los modelos de madurez envuelven cierto nivel de subjetividad; por lo tanto, debemos tener precaución cuando brindemos aseguramiento a la gerencia respecto a si un proceso está adecuadamente controlado basados en una evaluación dirigida por un modelo de madurez.

3.    El auditor debe revelar en su informe las fuentes de elaboración del modelo, cómo fue construido y quienes participaron en su desarrollo.

4.    Los auditores debe ponderar de forma clara el nivel de predicción que esperan del modelo.

5.    El auditor no debe de asumir que la gerencia desea alcanzar el nivel superior del modelo en todos los componentes del proceso bajo evaluación.

6.    Debe ejercerse debido cuidado profesional, para no usar el modelo como una simple lista de verificación. Los auditores deben siempre realizar su trabajo de tal forma que les permita identificar los riesgos significativos que pueden afectar los objetivos de la empresa.

7.    Luego de la implementación del modelo, el auditor puede desear revisitar periódicamente  cada componente  del modelo, con la finalidad de evaluar si los resultados deseados están siendo obtenidos.

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!