Reporte de Auditoría
Enviado por elayil • 5 de Diciembre de 2012 • Tutorial • 1.080 Palabras (5 Páginas) • 430 Visitas
REPORTE DE AUDITORÍA
FECHA: Agosto 31 de 2011
ÁREA(S) AUDITADA(S): Departamento de Desarrollo
AUDITOR(ES): Alejandro Cárdenas, Andrés García, Juan Pablo
Montoya, Yensy Gómez
PERSONA(S) AUDITADA(S): Liliana Martínez, Juan Veloza, Pedro Pérez
CARGO: Jefe del Departamento, Ingeniero Desarrollador, Ingeniero Desarrollador
NO CONFORMIDAD DESCRIPCIÓN DE LAS NC Y OBS CAUSAS DE LA NC ACCIÓN A TOMAR C/P FECHA DE EJEC RESP SEGUIMIENTO
No NCM NCm O FECHA FIRMA
1
X No se evidencia el proceso de identificación y documentación de los riesgos para ningún proyecto en ejecución. Al momento de solicitar la documentación de los procesos, se observa que los riesgos no han sido identificados, lo cual incumple normatividad establecido en CMMI durante la gestión de proyectos de desarrollo de software, determinante para evitar caer en las mismas fallas en proyectos posteriores. Realizar el proceso de identificación y documentación de los riesgos en los proyectos en ejecución, determinando para cada uno su origen, área de proceso al que pertenece y consecuencias que puede traer para el proyecto.
2
X Al no existir identificación ni documentación de los riesgos, no se realizó el correspondiente estudio de impacto en los planes de proyecto. Como consecuencia de la no conformidad anterior, es imposible verificar el impacto que pueda traer un riesgo hallado durante el desarrollo de un proyecto. Por tal motivo, no es posible dar continuidad en los procesos subsiguientes que dependan de esta área de proceso. Una vez identificados y documentados los riesgos de cada uno de los proyectos en curso, es necesario, para cada uno de ellos, realizar el estudio del impacto que permitan dar las herramientas necesarias para evitar o minimizar el riesgo encontrado.
3
X Al no haber estudio de impacto de los riesgos, éstos no tienen asignados prioridad ni probabilidad de ocurrencia. Es evidente que sin estudio del impacto no es posible determinar su prioridad y probabilidad de ocurrencia que pueda llevar un riesgo posible, el cual puede ser encontrado en otro proyecto de características similares y, de ser detectado, es posible tomar las acciones correctivas correspondientes. Además, sin prioridad, se le daría el mismo trato a un riesgo menor que a uno mayor. Una vez se obtenga el estudio del impacto, asignar la prioridad a cada uno de ellos, y así mismo, determinar cuales de ellos son repetitivos al realizar un comparativo entre los proyectos en curso.
4
X No existe documentación de la lista maestra de datos gestionados en el plan de gestión de datos para ninguno de los proyectos en ejecución. Por no contar con una lista maestra de los proyectos gestionados, al momento de presentarse un problema que ya ha sido resulto, se deberá iniciar desde cero su solución. Este documento es de gran utilidad para la solución de dificultades similares en proyectos en curso. Por tal motivo, no hay cumplimiento en la norma CMMI para gestión de proyectos e incumplen la norma ISO 27001 en su anexo A 5.5.1. Para los proyectos que se encuentran en curso, se debe iniciar una registro de los datos gestionados e incluirlos en una lista maestra de datos gestionados para que sea tenida en cuenta para futuros proyectos.
5
X En el plan de gestión de datos no se especifica un procedimiento que garantice la seguridad de los datos de cada proyecto, a pesar de que si existe una política organizacional de seguridad de la información, Dentro de las políticas de seguridad de la información se contempla garantizar la seguridad de los datos,
...