REPORTE DE AUDITORA

FECHA: Agosto 31 de 2011

REA(S) AUDITADA(S): Departamento de Desarrollo

PERSONA(S) AUDITADA(S): Liliana Martnez, Juan Veloza, Pedro Prez

AUDITOR(ES): Alejandro Crdenas, Andrs Garca, Juan Pablo Montoya, Yensy Gmez

CARGO: Jefe del Departamento, Ingeniero Desarrollador, Ingeniero Desarrollador

No 1

NO CONFORMIDAD NCM NCm O X

DESCRIPCIN DE LAS NC Y OBS No se evidencia el proceso de identificacin y documentacin de los riesgos para ningn proyecto en ejecucin.

CAUSAS DE LA NC Al momento de solicitar la documentacin de los procesos, se observa que los riesgos no han sido identificados, lo cual incumple normatividad establecido en CMMI durante la gestin de proyectos de desarrollo de software, determinante para evitar caer en las mismas fallas en proyectos posteriores. Como consecuencia de la no conformidad anterior, es imposible verificar el impacto que pueda traer un riesgo hallado durante el desarrollo de un proyecto. Por tal motivo, no es posible dar continuidad en los procesos subsiguientes que dependan de esta rea de proceso. Es evidente que sin estudio del impacto no es posible determinar su prioridad y probabilidad de ocurrencia que pueda llevar un riesgo posible, el cual puede ser encontrado en otro proyecto de caractersticas similares y, de ser detectado, es posible tomar las acciones correctivas correspondientes. Adems, sin prioridad, se le dara el mismo trato a un riesgo menor que a uno mayor. Por no contar con una lista maestra de los proyectos gestionados, al momento de presentarse un problema que ya ha sido resulto, se deber iniciar desde cero su solucin. Este documento es de gran utilidad para la solucin de dificultades similares en proyectos en curso. Por tal motivo, no hay cumplimiento en la norma CMMI para gestin de proyectos e incumplen la norma ISO 27001 en su anexo A 5.5.1. Dentro de las polticas de seguridad de la informacin se contempla garantizar la seguridad de los datos, usando para ello varios procedimientos, como los backups. Sin embargo, la empresa tampoco realiza algn procedimiento que vigile y controle la seguridad de la informacin en los proyectos realizados y que se estn realizando en la empresa. En la medida en que pueda identificarse

ACCIN A TOMAR C/P Realizar el proceso de identificacin y documentacin de los riesgos en los proyectos en ejecucin, determinando para cada uno su origen, rea de proceso al que pertenece y consecuencias que puede traer para el proyecto.

FECHA DE EJEC

RESP

SEGUIMIENTO FECHA FIRMA

Al no existir identificacin ni documentacin de los riesgos, no se realiz el correspondiente estudio de impacto en los planes de proyecto.

Una vez identificados y documentados los riesgos de cada uno de los proyectos en curso, es necesario, para cada uno de ellos, realizar el estudio del impacto que permitan dar las herramientas necesarias para evitar o minimizar el riesgo encontrado. Una vez se obtenga el estudio del impacto, asignar la prioridad a cada uno de ellos, y as mismo, determinar cuales de ellos son repetitivos al realizar un comparativo entre los proyectos en curso.

Al no haber estudio de impacto de los riesgos, stos no tienen asignados prioridad ni probabilidad de ocurrencia.

No existe documentacin de la lista maestra de datos gestionados en el plan de gestin de datos para ninguno de los proyectos en ejecucin.

Para los proyectos que se encuentran en curso, se debe iniciar una registro de los datos gestionados e incluirlos en una lista maestra de datos gestionados para que sea tenida en cuenta para futuros proyectos.

En el plan de gestin de datos no se especifica un procedimiento que garantice la seguridad de los datos de cada proyecto, a pesar de que si existe una poltica organizacional de seguridad de la informacin,

Incluir dentro del plan de gestin de datos un procedimiento que garantice completamente la seguridad de los datos de los proyectos en curso.

La documentacin de los datos de cada

Se

debe

crear

un

procedimiento

de

proyecto no tiene ningn nmero o cdigo de identificacin.

No existe ningn proceso documentado que especifique los procedimientos para realizar copias de seguridad de los datos de cada proyecto, a pesar de que las copias si se realizaron,

fcilmente un proceso dentro de un proyecto, as mismo se podr hacer un seguimiento adecuado del mismo. Por lo cual, la empresa no cuenta con un procedimiento para asignar un nmero de identificacin a los proyectos que desarrollados o los que se encuentran en curso, haciendo ms difcil diferenciar uno de otro. No contar con este procedimiento, evita garantizar que los backups de los datos de cada proyecto se estn realizando en la hora, da y lugar de trabajo propicio y verificar de esa manera que se cuenta con el soporte fsico de la labor realizada. No contar con un cronograma de actividades detallado durante el desarrollo de un proyecto, se incurre en incumplimiento de entregas de avances y totalidad de un proyecto.

asignacin de cdigo o nmero de identificacin a cada uno de los proyectos que se estn desarrollando. De ser posible, aplicar tambin el procedimiento a los proyectos ya desarrollados por la empresa.

En el plan de gestin de datos no se evidencia la existencia de un calendario para la recoleccin de datos de los proyectos.

Se debe incluir dentro de las polticas de gestin de proyectos un procedimiento que especifique la manera en que se debe realizar la copia de seguridad de los datos de los proyectos que se encuentran en curso, as mismo la hora, da de la semana y dependencia en la cual se debe realizar. Se debe disear un procedimiento donde se especifiquen los da que deben ser destinados para la recoleccin de los datos del proyecto, el cual ser incluido en el respectivo cronograma de actividades del proyecto.

10 11 12

X X X

13

14

15

16

A pesar de que se definen las dependencias y encargos de cada actividad del proyecto, no se cumple con la estructura de la WBS. No se evidencia la existencia de los paquetes de trabajo para la WBS de cada proyecto. Al no existir paquetes de trabajo, stos no se encuentran debidamente identificados. No se encuentran definidos los diccionarios de tareas, en los que se especifiquen los procedimientos a seguir para cada paquete de trabajo de la WBS de casa proyecto. La no existencia de la WBS de cada proyecto hace que no sea posible determinar claramente los requerimientos de personal. Existen flujos de trabajo para casa proceso, pero al no estar definida la WBS no se puede determinar la concordancia con la misma. No se justifican de manera clara las razones por las cuales se involucran a las partes interesadas en el proceso de planeacin del primer proyecto en ejecucin. No se evidencia la existencia de un calendario para la interaccin entre las partes interesadas de los proyectos dentro del plan para involucrar a las partes interesadas.

FIRMA AUDITORES: ________________________________________________________