3º Ingeniería Informática · FIC UDC
Resumen de los conceptos fundamentales de la asignatura: normas ISO, modelos de madurez CMMI, evaluación SCAMPI, auditorías, métricas y gestión de la calidad en proyectos software.
Estos 12 conceptos aparecen en CASI TODOS los exámenes. Apréndelos de memoria:
Define los términos y conceptos del sistema de gestión de calidad. No contiene requisitos — solo vocabulario. Es la base terminológica para entender las demás normas de la familia.
La norma certificable. Establece los requisitos que debe cumplir un sistema de gestión de calidad. Las empresas se certifican en ISO 9001, no en ISO 9000.
Cláusula 9.1.2: medir la satisfacción del cliente es obligatorio.
Marco internacional para evaluar la madurez de procesos software. Define niveles de capacidad (0–5) por proceso. Base para CMMI y para la parte de proceso software de ITmark.
Entidades de certificación acreditadas (ej. AENOR, Bureau Veritas, Lloyd's…). AENOR es la única que además normaliza — el resto solo certifican.
No existe "certificado CMMI". El SEI autoriza Lead Appraisers que realizan la evaluación SCAMPI A y declaran el nivel obtenido.
ESI (European Software Institute) gestiona la certificación ITmark para PYMES TIC europeas.
Pregunta de examen: "¿Cuáles son los cambios principales de ISO 9001:2015?"
Reemplaza a las "acciones preventivas" de versiones anteriores. Ahora el riesgo es el eje central del PDCA (Plan-Do-Check-Act).
→ Obligatorio identificar y gestionar riesgos que puedan afectar al SGC.
Reemplaza a "documentos + registros". Ahora se llama "información documentada" y puede estar en cualquier formato (papel, digital, etc.).
→ Más flexible. No es obligatorio tener manual de calidad por escrito.
En ISO 9001:2000/2008 era obligatorio un "Representante de la Dirección". En 2015, la Alta Dirección decide cómo distribuir funciones.
→ Mayor flexibilidad en la estructura.
Base conceptual de todo SGC. Aunque sale poco en examen, estos 7 principios fundamentan ISO 9001:2015:
Comprender y satisfacer necesidades del cliente y partes interesadas.
Establecer dirección, propósito y cultura de la organización.
Las personas, competentes y comprometidas, son esenciales.
Resultados consistentes se logran entendiendo y gestionando procesos interrelacionados.
Las organizaciones deben mejorar continuamente su desempeño.
Decisiones efectivas basadas en análisis e evaluación de datos.
La organización gestiona sus relaciones con todas las partes interesadas (proveedores, clientes, comunidad).
Nota: En ISO 9001:2008 el apartado 8 era "Medición, análisis y mejora". En la versión 2015 este contenido pasó a los apartados 9 y 10, pero el examen pregunta por la versión 2008.
Planificar e implementar los procesos de seguimiento, medición, análisis y mejora necesarios para demostrar conformidad del producto, del SGC y mejorar continuamente su eficacia.
Identificar y controlar productos que no cumplen requisitos. Opciones: corrección, reproceso, aceptación bajo concesión, o rechazo. Toda NC debe quedar registrada.
Recopilar y analizar datos para evaluar: satisfacción del cliente, conformidad con requisitos del producto, características y tendencias de procesos, y desempeño de proveedores.
Mejorar la eficacia del SGC mediante política, objetivos, resultados de auditorías, análisis de datos y acciones correctivas/preventivas.
Eliminar la causa raíz de una no conformidad ya ocurrida. Investigar, actuar, verificar eficacia.
Eliminar la causa de una no conformidad potencial antes de que ocurra. Solo en ISO 9001:2008 — en 2015 se reemplaza por gestión de riesgos.
Criterio: sencillas de recopilar, alto impacto, bajo coste de implantación.
Encuesta simple post-entrega (1–5). Obligatoria por 8.2.1. Fácil de implementar.
NC detectadas / total entregas. Mide calidad del proceso interno.
(Fecha real − Fecha planificada) / días planificados. Detecta problemas de gestión.
Defectos / KLOC (o por entregable). Mide calidad del producto antes de entrega.
Por qué estas 4: cubren las 4 áreas del 8.4 (cliente, producto, proceso, proveedor) con mínimo esfuerzo de recogida de datos.
La norma ISO 9001 es genérica. ISO 90003 es la guía que explica cómo aplicar ISO 9001 al desarrollo de software. No añade ni modifica requisitos — interpreta cómo cumplirlos en contexto software.
Establecer plan de trabajo: ¿dónde está? ¿a dónde va?
Iniciar proyecto de mejora con formación y voluntad de toda la empresa
Manual de calidad: ¿qué entiende la empresa por calidad?
Manual de procesos: ¿cómo se desarrolla el trabajo?
Implantar el SGC progresivamente, via proyectos piloto
Recoger datos para mejorar el sistema y comprometer a todos
Mejorar el sistema en base a los datos recogidos
Obtener certificación (si se desea): reconocimiento externo e independiente
Difundir públicamente el reconocimiento obtenido
Seguir trabajando para mejorar continuamente
Documento que proporciona evidencia objetiva de actividades realizadas o resultados obtenidos. A diferencia de otros documentos, los registros no se modifican: son la "huella" inmutable del proceso.
Incumplimiento de un requisito. Puede ser de producto (el producto no cumple lo especificado) o de proceso (no se sigue el proceso definido).
Toda NC debe quedar registrada, tener un responsable, una acción correctiva y seguimiento hasta su cierre.
Estos porcentajes salen en examen. Apréndelos:
→ Solo 4% fue realmente útil. 77% fue un fracaso total.
Evolución de proyectos EXITOSOS:
⚠️ El doble en 12 años, pero sigue siendo bajo. Proyectos fallidos: 31% (1994) → 19% (2006). El ROI de mejorar con CMM: 5:1.
PROCESO. Verifica que el equipo sigue los procedimientos definidos. Se hace mediante auditorías internas.
¿Estamos haciendo las cosas como dijimos?
PRODUCTO. Verifica que el producto cumple requisitos. Revisiones técnicas, inspecciones, pruebas.
¿Lo que hemos hecho está bien?
Pregunta típica en examen: "Explica y da ejemplo de Aseguramiento (QA) y Control (QC) de Calidad"
Orientación: PROCESO (¿lo estamos haciendo bien?)
Método: AUDITORÍAS internas
Quién: Responsable de Calidad (auditor independiente)
Ejemplo: El RC audita un proyecto y verifica que se usan plantillas correctas, se realizan revisiones obligatorias de fase (requisitos, programación, pruebas), existe plan de calidad y se siguen los procedimientos del SGC.
Orientación: PRODUCTO (¿lo que hacemos cumple requisitos?)
Método: REVISIONES TÉCNICAS, inspecciones, pruebas
Quién: Testers, revisores técnicos
Ejemplo: Revisión técnica formal del código (peer review) donde se detectan defectos antes de las pruebas. O pruebas unitarias/integración/sistema/aceptación que verifican que el producto funciona.
La organización se audita a sí misma. El auditor debe ser independiente del área auditada (no puede auditar su propio trabajo).
El cliente audita a su proveedor para verificar que cumple los requisitos del contrato o de la norma exigida.
La única que puede otorgar un certificado. La realiza un organismo externo independiente, acreditado por la norma correspondiente.
No puede auditar su propio trabajo ni tener relación jerárquica con el auditado. Sin independencia, las conclusiones no son fiables.
Debe conocer el área o proceso que audita. No puede valorar conformidad sin entender qué se está haciendo.
Sus conclusiones deben basarse exclusivamente en evidencias, no en opiniones o relaciones personales.
Son los datos que soportan las conclusiones. Sin evidencia, no hay hallazgo. Se recogen en una base de datos de evidencias durante la evaluación.
Artefactos producidos por el proceso: documentos, código, actas, planes. Las más fuertes.
Indicadores de que el proceso ocurrió: referencias en otros documentos, registros de herramientas.
Declaraciones de personas durante entrevistas. Válidas pero necesitan respaldo de evidencias más sólidas.
Esta pregunta sale casi idéntica en cada examen. Debes saberla de memoria:
Un auditor debe poseer 3 características OBLIGATORIAS:
Cualquier definición que incluya estas 3 es correcta. A veces añaden: imparcialidad, ética, confidencialidad (pero las 3 obligatorias son siempre estas).
Modelo/guía del Departamento de Defensa de EE.UU. para definir e implementar métricas en proyectos software. Proporciona un proceso estructurado: necesidades de información → métricas → datos.
Alineado con CMMI (PA de Measurement and Analysis — MA).
Permiten comparar el avance real del proyecto con lo planificado. Ejemplos habituales:
Σ horas ACL / nº proyectos
nº defectos / KLOC
defectos revisión / total defectos
(real - planificado) / planificado
Pregunta típica: "Define los campos que debe tener una métrica"
Identificación descriptiva de la métrica.
¿Para qué sirve? ¿Qué queremos conocer?
La expresión matemática exacta.
Horas, %, KLOC, hombre-día, etc.
¿De dónde extraemos los datos?
¿Qué datos necesitamos recopilar?
¿Cada cuándo se mide? ¿Por proyecto?
¿Cuándo es "bueno", "malo" o "aceptable"?
Método estructurado para definir métricas partiendo de objetivos de negocio, no del revés. Evita recoger datos que nadie usa.
¿Qué queremos mejorar? Ej: "Reducir los defectos en entrega"
¿Qué debemos saber para medir ese objetivo? Ej: "¿Cuántos defectos se detectan en producción?"
Dato concreto que responde la pregunta. Ej: "Densidad de defectos en prod = defectos / KLOC"
Herramienta para integrar las métricas de calidad en 4 perspectivas que dan una visión global del estado del proceso y el producto.
| Perspectiva | ¿Qué mide? | Métricas ejemplo |
|---|---|---|
| Financiera | Coste de la calidad y ROI del esfuerzo en ACL | Coste de no conformidades, ROI de auditorías, % presupuesto en ACL |
| Cliente | Satisfacción del cliente y calidad percibida | Índice satisfacción cliente, defectos reportados post-entrega, reclamaciones |
| Procesos internos | Calidad del proceso de desarrollo | Densidad defectos, cobertura pruebas, eficacia de revisiones, NC cerradas/abiertas |
| Aprendizaje | Capacidad de mejora continua de la organización | Nivel CMMI alcanzado, % personal formado en calidad, lecciones aprendidas documentadas |
Lo más importante para el examen. Estos conceptos aparecen en todos los exámenes: niveles, PAs básicas, constelaciones, diferencia Staged/Continuous.
Resumen extenso de la asignatura. Detalles teóricos que complementan pero no son críticos para el examen.
Modelo desarrollado por el SEI (Software Engineering Institute) de la Carnegie Mellon University, financiado por el Departamento de Defensa de EE.UU. Proporciona un framework para mejorar procesos de desarrollo y mantenimiento de software, con potencial de 10-50% incremento de productividad y ROI 4:1.
CMMI no es una norma certificable como ISO 9001 — es un modelo de referencia. La evaluación de cumplimiento se realiza mediante SCAMPI.
CMMI tiene tres constelaciones originales, cada una enfocada a un contexto diferente:
Desarrollo de productos y servicios software. La más común.
Calidad en la adquisición/compra de productos y servicios (subcontratación).
Gestión de servicios a clientes (helpdesk, soporte, operaciones).
Propone 5 niveles de madurez sucesivos. Cada nivel se alcanza cuando se satisfacen todas las metas de sus PAs. No se puede saltarse niveles.
Se trabaja PA por PA, no por niveles. Cada PA tiene su propio Nivel de Capacidad (CL 0–5). La organización elige cuáles mejorar según sus objetivos.
| Nivel | Nombre | Áreas de proceso (PA) representativas | Qué caracteriza este nivel |
|---|---|---|---|
| Nivel 1 | Inicial | Ninguna definida | Procesos ad hoc. El éxito depende de las personas, no del proceso. Sin garantía de repetibilidad. |
| Nivel 2 | Gestionado |
REQM
PP
PMC
MA
PPQA
CM
SAM
|
Procesos planificados y gestionados a nivel de proyecto. Gestión de requisitos, planificación, seguimiento, QA y configuración. Repetibilidad a nivel proyecto. |
| Nivel 3 | Definido |
RD
TS
PI
VER
VAL
DAR
OPD
OT
|
Institucionalización. Procesos estándar de toda la organización, no solo proyectos individuales. Arquitectura, verificación, validación, formación organizacional. |
| Nivel 4 | Gestionado cuantitativamente |
QPM
OPP
|
Gestión estadística. Procesos controlados mediante técnicas cuantitativas y control estadístico. Predicción de calidad mediante datos. |
| Nivel 5 | En optimización |
CAR
OPM
|
Mejora continua cuantitativa. Prevención de defectos y gestión del cambio basadas en análisis de causas raíz e innovación. |
Process and Product Quality Assurance. El aseguramiento formal de calidad en CMMI. Audita que los procesos se siguen y que los productos cumplen los planes.
Comprada por ISACA en 2018 y modernizada. Cambios principales:
Pasó de 16 a 25 PAs para cubrir nuevas dimensiones: datos, seguridad, personas, trabajo virtual.
Ahora todo es Continuous, con vistas predefinidas para comparación con versiones Staged antiguas.
DATA (gestión de datos), SAF (seguridad), VRT (trabajo virtual), PPL (personas).
Se redujeron de forma significativa para simplificar implementación.
Estos 8 dominios cubren todas las dimensiones de calidad en la organización:
Estas 16 PAs son transversales y aparecen en todos los dominios:
IMP con 22 prácticas es la PA más grande de CMMI 3.0. Cubre la implementación del proceso de mejora con 5 niveles de capacidad:
| Nivel | Qué hace IMP en ese nivel |
|---|---|
| N1 | Recopilar datos para identificar y abordar los problemas de rendimiento. |
| N2 | Objetivos de medición y rendimiento basados en necesidades del negocio. Definiciones operativas para las medidas. Recopilar, analizar y almacenar datos, tomando acciones correctivas. |
| N3 | Enfoque organizacional. Proceso de calidad de datos. Repositorio de mediciones actualizado y utilizado. Los datos se analizan para mejorar. Comunicación periódica de resultados de rendimiento. |
| N4 | Métodos estadísticos y cuantitativos. Seleccionar técnicas analíticas para gestionar el rendimiento y alcanzar las metas. Establecer modelos y parámetros de referencia de rendimiento. Predecir el logro de los objetivos. |
| N5 | Técnicas estadísticas y cuantitativas para optimizar el rendimiento. Analizar datos de rendimiento para identificar áreas de mejora. Seleccionar e implementar propuestas de mejora basadas en su impacto potencial. |
Las PAs más importantes para el examen, con lo que añade cada nivel:
| PA | Nivel 1 | Nivel 2 | Nivel 3 |
|---|---|---|---|
| RDM Requisitos |
Registrar requisitos | Recopilar necesidades, trazabilidad bidireccional, obtener compromisos | Escenarios operativos, requisitos de interfaz, validar requisitos |
| PLAN Planificación |
Lista de tareas + asignar personas | Presupuesto, cronograma, stakeholders, plan del proyecto | Procesos estándar org., activos organizacionales, repositorio mediciones |
| MC Seguimiento |
Registrar finalización de tareas, resolver problemas | Supervisar reales vs estimados, tomar medidas correctivas ante desviaciones | Procesos estándar org., gestionar dependencias críticas, resolver con stakeholders |
| PQA Calidad |
Identificar y abordar problemas de procesos/productos | Plan de QA con histórico, evaluar objetivamente, comunicar incumplimientos | Identificar y registrar oportunidades de mejora descubiertas en QA |
| CM Config. |
Control de versiones básico | Identificar EC, líneas base, gestionar cambios, auditorías de configuración | (CM solo tiene N1 y N2) |
| VV Verif./Valid. |
Realizar verificaciones y validaciones | Seleccionar componentes y métodos, desarrollar entorno V&V, registrar resultados | Criterios de V&V coherentes, analizar y comunicar resultados |
| PI Integración |
Ensamblar la solución y entregarla al cliente | Estrategia y entorno de integración, procedimientos y criterios, confirmar componentes | Revisar interfaces periódicamente, confirmar compatibilidad |
La profe pregunta: "esta actividad, ¿en qué PA entra y en qué nivel?"
Las marcadas con ★ CRÍTICA son las que más confunden y más se preguntan en examen.
Gestionar requisitos ya existentes: rastrear cambios, mantener trazabilidad entre requisitos y productos de trabajo, confirmar coherencia con el plan.
Confusión frecuente: REQM gestiona requisitos que ya existen. RD (N3) los crea.
Estimar tamaño y esfuerzo. Crear el plan de proyecto. Planificar recursos, calendario y riesgos iniciales. Obtener compromisos de los participantes.
Confusión frecuente: PP crea el plan. PMC hace el seguimiento del plan ya creado.
Seguimiento de hitos y progreso. Comparar avance real vs. plan. Tomar acciones correctivas cuando hay desviación. Revisar el estado del proyecto.
Clave: cualquier actividad de "comparar con el plan" o "acción correctiva" → PMC, no PP.
Gestionar contratos con proveedores externos. Seleccionar y evaluar subcontratistas. Revisar entregables de terceros. Acordar requisitos con proveedores.
Definir métricas del proyecto. Recolectar y almacenar datos de medición. Analizar resultados y reportarlos a la dirección.
Clave: todo lo que sea "métricas", "medir", "recolectar datos" en N2 → MA.
Auditar que los procesos se siguen correctamente. Revisar que los productos cumplen estándares. Reportar no-conformidades con objetividad e independencia.
Control de versiones de código y documentos. Gestionar baselines de configuración. Controlar solicitudes de cambio. Mantener integridad de la configuración.
CREAR requisitos: elicitar necesidades del cliente, analizar y elaborar requisitos, crear casos de uso, derivar requisitos del sistema y del software.
Confusión frecuente: RD crea requisitos nuevos. REQM (N2) gestiona los que ya existen.
Diseñar la arquitectura del sistema. Evaluar alternativas: Crear / Comprar / Reutilizar. Diseño detallado de componentes. Implementar el código.
Clave: "diseño de arquitectura", "crear/comprar/reutilizar" y "implementación" → siempre TS.
Integrar componentes de software. Gestionar interfaces entre componentes. Verificar que la integración produce el sistema deseado.
¿Lo construimos correctamente? Peer reviews (revisiones entre pares), inspecciones de código, pruebas técnicas internas. Verificación por el propio equipo.
Confusión frecuente: VER es interno (equipo). VAL es con el cliente.
¿Construimos lo correcto? Pruebas de aceptación con el cliente. Validar que el producto satisface necesidades reales. Demo al usuario final.
Confusión frecuente: VAL es con el cliente (externo). VER es el equipo revisando internamente.
Evaluar los procesos de la organización (ej. mediante SCAMPI). Planificar y coordinar mejoras de proceso. Aprender de evaluaciones y resultados.
Confusión frecuente: OPF planifica y coordina mejoras. OPD define y documenta el proceso estándar.
Crear y mantener la biblioteca de activos de proceso. Definir el proceso estándar de la organización. Gestionar activos de proceso reutilizables.
Confusión frecuente: OPD define el proceso estándar. OPF lo evalúa y mejora.
Identificar necesidades de formación organizacional. Crear plan de formación. Impartir cursos y certificaciones. Evaluar efectividad del entrenamiento.
Adaptar y usar el proceso estándar de la organización en el proyecto concreto. Coordinar con equipos y partes interesadas. Gestionar el entorno de trabajo.
Identificar y catalogar riesgos. Analizar probabilidad e impacto. Crear planes de mitigación. Monitorizar riesgos activamente durante el proyecto.
Toma de decisiones formal con criterios explícitos y documentados. Evaluar alternativas técnicas. Seleccionar herramientas o tecnologías con criterios objetivos.
Establecer baselines cuantitativas del rendimiento de procesos. Crear modelos estadísticos. Medir capacidad y variación de los procesos de la organización.
Gestionar el proyecto usando datos estadísticos. Seleccionar subprocesos para control cuantitativo. Controlar calidad y rendimiento con datos numéricos.
Seleccionar y desplegar innovaciones en procesos o tecnología. Medir impacto de mejoras implantadas. Difundir mejores prácticas en la organización.
Análisis de causas raíz de defectos. Prevención de defectos recurrentes. Retroalimentación sistemática para mejorar procesos de forma continua.
Clave: "causas raíz", "prevención de defectos", "análisis post-mortem" → siempre CAR (N5).
La profe dice explícitamente: "saber qué aspectos del ciclo de vida del software trata cada PA". Esta tabla es lo que debes memorizar.
| Fase SW lifecycle | PA en V1.3 | PA en V2.0 | Qué hace |
|---|---|---|---|
| Requisitos | REQM (N2) + RD (N3) | RDM | REQM gestiona requisitos ya existentes · RD los crea (elicitación, casos de uso, derivación) |
| Planificación | PP (N2) | PLAN + EST | Estimar tamaño/esfuerzo · crear plan de proyecto · planificar recursos y calendario |
| Seguimiento y control | PMC (N2) + IPM (N3) | MC | Comparar avance real vs. plan · tomar acciones correctivas · detectar desviaciones |
| Gestión de riesgos | RSKM (N3) | RSK | Identificar · analizar probabilidad/impacto · planes de mitigación · monitorizar |
| Diseño e implementación | TS (N3) | TS | Diseño arquitectura · análisis Crear/Comprar/Reutilizar · diseño detallado · codificación |
| Integración y entrega | PI (N3) | PI | Ensamblar componentes · estrategia de integración · confirmar que cumplen requisitos · entregar |
| Verificación (pruebas SW) | VER (N3) | VV | Verificar que los requisitos están correctamente implementados · pruebas de integración y sistema |
| Validación (con cliente) | VAL (N3) | VV | Confirmar que la solución funciona en el entorno de destino · pruebas de aceptación |
| Revisiones entre pares | VER (N3) | PR | Revisiones de código o documentos por compañeros para detectar defectos temprano |
| Medición y análisis | MA (N2) | MPM / IMP | Definir métricas · recolectar y analizar datos · reportar resultados a dirección |
| Calidad proceso y producto | PPQA (N2) | PQA | Auditar que se siguen los procesos · revisar productos · reportar NCs con independencia |
| Gestión configuración | CM (N2) | CM | Control de versiones · gestionar baselines · controlar solicitudes de cambio |
| Proveedores | SAM (N2) | SAM | Gestionar contratos con proveedores · seleccionar subcontratistas · revisar entregables |
| Toma de decisiones | DAR (N3) | DAR | Decisiones técnicas formales con criterios objetivos · evaluar alternativas documentadas |
| Procesos org. — definición | OPD (N3) | PAD | Crear y mantener el proceso estándar de la organización · biblioteca de activos de proceso |
| Procesos org. — mejora | OPF (N3) | PCM | Evaluar procesos (SCAMPI) · planificar y coordinar mejoras · aprender de evaluaciones |
| Formación | OT (N3) | OT | Identificar necesidades de formación · crear plan · impartir cursos · evaluar efectividad |
| Control cuantitativo org. | OPP (N4) | MPM | Baselines estadísticas del rendimiento de procesos · modelos cuantitativos organizacionales |
| Gestión cuantitativa proy. | QPM (N4) | MPM | Gestionar el proyecto con datos estadísticos · control cuantitativo de subprocesos |
| Análisis causal / mejora | CAR (N5) | CAR | Análisis causas raíz de defectos · prevención de defectos recurrentes · retroalimentación |
Respuestas clave para examen (2019 pidió exactamente esto):
Patrones típicos de pregunta de examen:
El jefe de proyecto clasifica el proyecto al inicio según su complejidad. Esta clasificación determina qué actividades se ejecutan:
Se prescinde del diseño. El desarrollo incluye el propio diseño (existe ERS pero no documentación de diseño separada).
Incluye diseño de alto nivel sobre plantilla de empresa. Revisión entre diseñadores y director técnico.
Diseño de alto nivel + diseño de bajo nivel. Mayor documentación y control.
Entrada: errores de pruebas de sistema y aceptación solamente. No se registran errores de pruebas unitarias ni integración.
Acceso: cliente, desarrollador/tester, responsable de calidad.
Gestión: Jefe de Proyecto supervisa. Empleado redacta. JP asigna y supervisa la corrección.
Salida: Informe de estado, inspección y ensayo + Tabla de métricas (nº errores sistema/aceptación).
| Métrica | Fórmula | Unidad | Encargado |
|---|---|---|---|
| % desviación en tiempo | ((TR − TE) / TE) × 100 |
% | Jefe de Proyecto |
| % desviación en coste | ((CR − CE) / CE) × 100 |
% | Jefe de Proyecto |
| Nº errores en pruebas de sistema | Σ errores |
Entero | Jefe de Proyecto |
| Nº errores en pruebas de aceptación | Σ errores |
Entero | Jefe de Proyecto |
| Nº errores notificados por cliente | Σ errores post-entrega |
Entero | Director Técnico + RC (no recomendado) |
Nota: En ISO 9001:2015 desaparecen y se sustituyen por gestión de riesgos.
Definidas en el Plan de Proyecto. El RC designa el Auditor de fase (personal capacitado ajeno al proyecto).
4 fases: Planificación → Ejecución (revisa PP, anota NCs, entrevista equipo) → Evaluación → Cierre
NCs Graves: bloquean el proyecto hasta corrección. NCs No graves: Plan de Acciones Correctivas (PAC) con responsable + fecha límite + modo de corrección. RC firma el cierre.
Se acuerdan con al menos 15 días de antelación.
| Tipo | ¿Genera nivel CMMI oficial? | Evidencias que usa | Para qué se usa |
|---|---|---|---|
| A | Sí — único que lo hace | Directas + Indirectas + Afirmaciones | Evaluación oficial. Requiere Lead Appraiser autorizado por el SEI. Alta preparación y coste. |
| B | No | Directas + Afirmaciones | Evaluación interna o de preparación. Identifica gaps antes de un SCAMPI A. |
| C | No | Solo Afirmaciones | Gap analysis rápido. Encuestas y cuestionarios. El más ligero y económico. |
Pregunta típica: "¿Cuáles son los tipos de SCAMPI y en qué parte del proceso de mejora se aplican?"
La empresa elige qué Process Areas y Practice Groups evaluar. No tiene que evaluar todos.
Qué parte de la organización se evalúa: departamento, conjunto de departamentos, empresa completa...
Proyectos representativos de la unidad organizacional. Al menos 1 proyecto objetivo.
Proporciona evidencia para TODAS las PAs a evaluar. No importa si ha terminado o no.
Aporta evidencia de alguna PA concreta. Sirve de apoyo.
Todas sus prácticas son FI o LI. Si la mayoría tienen debilidades → PG no satisfecho.
Tipos de evidencias objetivas (lo que analiza el auditor):
Se busca: Artefacto AND Afirmación (positiva)
Se evalúa práctica a práctica. Cada práctica tiene un rating:
Aplicación de los principios del TQM (Total Quality Management) al desarrollo de software. El TQM surgió en los años 60 como evolución del control estadístico: "todos los departamentos, no solo el de calidad, tienen responsabilidad en alcanzar la calidad". SwTQM traslada eso al contexto software.
Modelo europeo de mejora del proceso software, también conocido como Bootstrap. Fue la respuesta europea al CMM americano, alineado con la norma ISO 9000.
ITmark es una certificación diseñada específicamente para PYMES del sector TIC europeas. Evalúa tres dimensiones simultáneamente en una única auditoría, lo que reduce costes respecto a certificarse en cada norma por separado.
Basado en ISO/IEC 15504 (SPICE). Evalúa la madurez de los procesos de desarrollo.
Basado en ISO/IEC 27001. Evalúa controles de seguridad y gestión de riesgos.
Incluye siempre encuestas de satisfacción de empleados y clientes.
Nivel de entrada. Sin requisito de nivel CMMI previo. Para empresas que inician su proceso de mejora.
Nivel intermedio. Procesos más maduros en las tres dimensiones. Mayor rigor en la evaluación.
Nivel máximo. Requiere haber alcanzado CMMI nivel 2 en proceso software.
Elaborar el Plan de Calidad: qué se va a verificar, con qué criterios, quién es responsable, qué métricas se recogerán y cuáles son los criterios de aceptación por fase.
Revisiones técnicas e inspecciones del producto intermedio al final de cada fase (con criterios de entrada y salida definidos).
Auditorías de proceso periódicas (PPQA): verificar que el equipo sigue el proceso definido, no solo que el producto tenga buen aspecto.
Registrar toda no conformidad con responsable y fecha límite. Seguimiento hasta cierre. Sin seguimiento, la NC no sirve de nada.
Recoger métricas de calidad del proyecto (densidad de defectos, cobertura de pruebas, esfuerzo ACL) y documentar lecciones aprendidas para mejora continua.
Definir plan de calidad, criterios de aceptación, métricas a recoger y responsables.
Auditorías de conformidad con el proceso: ¿se está siguiendo lo definido?
Revisiones técnicas, walkthroughs, pruebas. ¿El producto cumple los requisitos?
Documentar evidencias, no conformidades y acciones correctivas con seguimiento.
Recoger métricas definidas, analizar tendencias, comparar con los objetivos del plan.
Usar los datos y lecciones aprendidas para mejorar el proceso en futuros proyectos.
ISO 9001 requiere controlar los productos y servicios suministrados externamente que afectan al producto final. Esto incluye:
Librerías, componentes, frameworks de pago.
Aunque no hay pago, hay adquisición. Si afecta al producto final, entra en el SGC.
Deben verificarse, registrarse y protegerse. Se añade registro de recepción y estado.
El enunciado siempre parte de una PYME con un ciclo de vida establecido: Análisis → Diseño → Implementación → Pruebas. Tu respuesta debe ser específica: qué actividades, quién las realiza, con qué herramientas y cuándo.
Pregunta tipo: "¿Cómo implementarías el aseguramiento de calidad? / ¿Qué pasos son necesarios para realizar el aseguramiento de calidad?"
Cuando una VF o auditoría detecta NCs: se registran, se asigna responsable y plazo, se verifican en la siguiente revisión. Las preventivas se aplican antes de que ocurra el problema, basándose en datos de métricas.
RESUMEN PASOS QA (para preguntas tipo "qué pasos son necesarios"):
Pregunta tipo: "¿Cómo implementarías el control de calidad? / ¿Qué pasos son necesarios para realizar el control de calidad?"
| Fase prueba | Quién la ejecuta | Herramientas | Cuándo | Registro |
|---|---|---|---|---|
| Unitarias | Ingeniero SW + Process Owner | JUnit, SonarQube | Al terminar cada módulo (Implementación) | No usa SIE |
| Integración | Dev Backend + Arquitecto SW | REST Assured | Al integrar componentes | No usa SIE |
| Sistema | Analista + Jefe de Pruebas | Herramientas E2E | Antes de entregar al cliente | SIE (obligatorio) |
| Aceptación | Ingeniero SW + Cliente | — | Con el cliente presente | SIE + firma acta |
Solo se usa en pruebas de sistema y aceptación. NO en unitarias ni integración. Registra: defecto encontrado, severidad, responsable de corrección, estado (abierto/cerrado), fecha cierre.
RESUMEN PASOS QC (para preguntas tipo "qué pasos son necesarios"):
Pregunta tipo: "¿Cómo implementarías la gestión de la configuración en este proyecto? / Describe los ECS y las líneas base."
Todo elemento que se identifica, versiona y controla dentro del sistema de gestión de configuración.
Una línea base es una versión aprobada formalmente de un ECS. A partir de ahí cualquier cambio requiere pasar por GCC.
Se establece cuando la ERS es aprobada formalmente. A partir de aquí los requisitos solo cambian por GCC.
Se establece cuando las pruebas de sistema son superadas. El software ya está listo para aceptación.
RESUMEN PASOS GCS:
Pregunta tipo: "¿Cómo gestionarías los cambios en este proyecto? / Describe el proceso de gestión de cambios."
Pregunta tipo: "Según el apt. 8 de ISO 9000: i) qué se hace con medición, análisis y mejora ii) campos de una métrica iii) métricas para una PYME"
Planificar e implementar los procesos de seguimiento, medición, análisis y mejora necesarios para demostrar la conformidad del producto, del SGC, y mejorarlo continuamente.
Identificar, documentar y controlar el producto que no cumple los requisitos. Opciones: corregir, aceptar con autorización, o rechazar.
Recopilar y analizar datos para evaluar: satisfacción del cliente, conformidad con requisitos del producto, características de los procesos, proveedores.
Identificador único de la métrica
Para qué sirve, qué mide y por qué
Cálculo matemático de la métrica
Horas, %, días, defectos...
De dónde vienen los datos (registros, herramientas...)
Qué datos concretos se necesitan para calcularla
Con qué frecuencia se mide (semanal, por sprint, por fase...)
Valores umbral — qué es aceptable, qué dispara alarma
| Nombre | Tiempo medio en revisiones de progreso |
| Objetivo | Controlar el tiempo dedicado a revisiones de progreso para detectar desviaciones respecto a lo planificado |
| Fórmula | Σ(tiempo real en revisiones) / nº de revisiones realizadas |
| Unidad | Horas |
| Origen | Actas de reunión y registros de asistencia |
| Datos de entrada | Hora inicio y hora fin de cada revisión de progreso |
| Periodo | Por cada revisión de progreso (quincenal) |
| Criterios de análisis | < 2h: aceptable · 2-3h: revisar causas · > 3h: alarma, tomar acción correctiva |
| Métrica | Qué mide | Tipo |
|---|---|---|
| Cumplimiento de hitos | % de hitos entregados en fecha respecto a los planificados | Proyecto |
| Densidad de defectos | Nº defectos encontrados / tamaño del módulo (KLOC o puntos función) | Producto |
| Tiempo de resolución de NCs | Días entre detección de NC y cierre de la acción correctiva | Proceso |
| Satisfacción del cliente | Puntuación media obtenida en encuestas o valoraciones del cliente | Cliente |
| Tiempo medio en revisiones de progreso | Horas medias invertidas por revisión de progreso del proyecto | Proyecto |