Caso Práctico: CBranxat Asignatura: Auditoría y Certificación de los Sistemas de Gestión ISO 9001 Nombre y Apellidos del Participante:
PREPARACIÓN Y RESOLUCIÓN DE UN CASO PRÁCTICO A través del Caso Práctico se pretende la resolución de una situación real de Empresa, para lo que es necesario utilizar todos los conocimientos adquiridos en un Módulo o temática relacionada. En otras ocasiones, se añade información complementaria sobre los contenidos de los que dispones en las Unidades de Competencia para que la interpretes o relaciones. La resolución de un Caso Práctico permite la adquisición de habilidades mediante la detección de situaciones relevantes, análisis de información complementaria, toma de decisiones y propuesta de soluciones. Se deberá analizar e interrelacionar la información facilitada en el Caso Práctico -CP con el Material del Módulo o temática relacionada, buscando y ampliando información a través de otras fuentes externas como pueden ser Internet, con el fin de tomar decisiones y proponer soluciones adecuadas en relación con la situación planteada. Una vez resuelto, se enviará la solución al Tutor. Se valorarán los conocimientos y la consistencia argumentativa y no la extensión de las respuestas. Los pasos a llevar a cabo para la preparación, resolución y formato de entrega del Caso Práctico se encuentran disponibles en la ventana principal, “Campus Virtual”, a través de Recursos > Documentación/ Documentación General.
FORMATO DE ENTREGA Los documentos de respuesta al Caso Práctico, deberán cumplir los siguientes requisitos formales:
1. Devolver el documento en este mismo archivo Word. 2. El nombre del fichero deberá tener la siguiente estructura: CP_ NombreCP_Apellido1_Apellido2.doc. Así por ej emplo el Alumno Julio Díaz García, con un CP llamado “La Gestión de las Relaciones” nombraría el fichero como: CP_GestionRelaciones CP_GestionRelaciones_Díaz_García.doc _Díaz_García.doc
3. Utilizar fuente Arial de 10 puntos. Las páginas del documento tienen que estar numeradas. 4. En la parte superior del documento se deberá cumplimentar el campo Nombre y Apellidos del Participante. El Caso Práctico que se presenta a continuación, es un ejemplo didáctico desarrollado con el único objetivo pedagógico de ayudar al aprendizaje de los alumnos. De la información que se presenta de cada empresa, sólo es real aquella que aparece en su Web. Los datos añadidos sólo pretenden plantear una situación que sirva como ejemplo para el alumno, sin prejuzgar la actuación de la empresa.
CBRANXAT A continuación, se describen una serie de incidentes que son observados por el auditor durante el transcurso de una auditoria externa desarrollada bajo la norma ISO 27001 en la empresa Branxat dedicada a la gestión y reciclaje de residuos. Las situaciones descritas pueden necesitar de un informe de no conformidad, y la posterior adopción de una acción correctiva. Los principales Incidentes ocurridos en la empresa Branxat durante el año 2015 han sido los siguientes:
Nota: Este CP se compone de varias partes. Lee con detalle cada una de ellas, y responde adecuadamente. Envía la respuesta al Tutor en este mismo archivo.
INCIDENTE 1 En la zona de producción, el auditor observa una destructora de papel, un ordenador portátil, y dos conjuntos de disquetes sin las adecuadas etiquetas. El auditor preguntó a cuatro de los ocho miembros del personal presentes en la sala de reuniones, pero éstos no son capaces a indicarle como etiquetaron los equipos. El procedimiento de actuación determinado en la empresa obliga a que el personal informe al director de seguridad sobre cualquier equipo no etiquetado adecuadamente.
CBranxat
2
INCIDENTE 2 El auditor se encuentra evaluando el proceso de gestión y tratamiento de la información en materia de residuos. La instrucción de procedimiento remitida por el director de IT se encuentra clavada en el tablón junto con las órdenes generales a desarrollar para el tratamiento de residuos. El auditor observa una reforma escrita a mano en la instrucción que ha sido firmada como “AGM” y que está fechada de hace dos semanas. En respuesta a la consulta del auditor, el encargado le dice que estas son las iniciales del capataz y encargado del sistema de producción. El auditor previamente había leído en el manual de seguridad de la empresa que “todos los cambios en los documentos deberán ser revisados y aprobados solamente por alguien con la misma función que llevó a cabo la evaluación original y su visto bueno.
INCIDENTE 3 En el despacho del director de seguridad, el auditor revisa los informes de auditoría interna y encuentra las siguientes notas: Fecha 6 de Enero de 2009 Informe 03 muestra dos acciones correctivas pendientes (hace 10 meses) Informe 05 muestra 1 acción correctiva pendiente (hace 6 meses) Informe 07 muestra 1 acción correctiva pendiente (hace 4 meses) No hay evidencia del seguimiento de las acciones. En ese mismo despacho del director de seguridad, el auditor revisa los términos y condiciones de los contratos firmados con la empresa DOCHT, responsable de la provisión, operación y mantenimiento de las redes. Del estudio del contrato se comprueba que no se estipuló ninguna condición de acceso a las instalaciones de proceso de datos.
INCIDENTE 4 Todos los usuarios de la red de la empresa usan un nombre del usuario y una contraseña para acceder al directorio preasignado. Al preguntar sobre ese tema, al auditor le dijeron que la información de ese directorio no incluía nada de valor para la empresa, y los usuarios accedían al directorio para almacenar sus ficheros personales.
INCIDENTE 5 En el departamento de Calidad, el auditor revisó la lista de cinco riesgos de seguridad de la información identificados por el departamento. El auditor preguntó si los métodos para el tratamiento de estos riesgos habían sido documentados. El director de Calidad respondió que tales documentos no se habían preparado, ya que él creía que esto suprimía la creatividad
CBranxat
3
PREGUNTAS DEL TUTOR Con los datos facilitados en el CP y los que necesites extraer de las Unidades de Competencia, se solicita que una vez leído el Caso Práctico, y siguiendo las pautas de redacción de notas de desviación, analizar cada uno de los incidentes existentes descritos, identificando si existe alguna desviación, y en ese caso el incumplimiento observado así como el posible punto de la norma incumplido (Consultar el pdf “Puntos de la Norma UNE ISO 27001” que tenéis a vuestra disposición en el apartado Recursos/Documentación/Documentación General). En cada una de los incidentes descritos, pueden existir pruebas objetivas suficientes de un informe de no conformidad y clasificarlo como mayor o menor.
■
Si se considera que existe suficiente evidencia objetiva de no conformidad, complete un formulario de no conformidad y asigne la categoría de “mayor” o “menor”. INCIDENTE Nº 1:
Incidente Número 1
INFORME DE NO CONFORMIDAD Compañía Auditada:
Nota Número:
Área bajo revisión: Categoría:
No conformidad
ISO 9001 Cláusula Número: Desviación
Deficiencia
Auditor:
CBranxat
4
Observación
Si crees que no hay suficiente evidencia de no conformidad, explica las razones de tu decisión e indica también qué otras acciones debería tomar el auditor.
■
Si se considera que existe suficiente evidencia objetiva de no conformidad, complete un formulario de no conformidad y asigne la categoría de “mayor” o “menor”.
INCIDENTE Nº 2:
Incidente Número 2
INFORME DE NO CONFORMIDAD Compañía Auditada:
Nota Número:
Área bajo revisión: Categoría:
No conformidad
ISO 9001 Cláusula Número: Desviación
Deficiencia
Auditor:
CBranxat
5
Observación
Si crees que no hay suficiente evidencia de no conformidad, explica las razones de tu decisión e indica también qué otras acciones debería tomar el auditor.
■ Si se considera que existe suficiente evidencia objetiva de no conformidad, complete un formulario de no conformidad y asigne la categoría de “mayor” o “menor”.
INCIDENTE Nº 3:
Incidente Número 3
INFORME DE NO CONFORMIDAD Compañía Auditada:
Nota Número:
Área bajo revisión: Categoría:
No conformidad
ISO 9001 Cláusula Número: Desviación
Observación
Deficiencia
Auditor:
Si crees que no hay suficiente evidencia de no conformidad, explica las razones de tu decisión e indica también qué otras acciones debería tomar el auditor.
Envía la respuesta al Tutor en este mismo archivo
CBranxat
6
NOTAS
CBranxat
7
902 350 077
[email protected]
www.bureauveritasformacion.com
Cbranxat Bureau Veritas Formación, S.A. Unipersonal Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier medio o procedimiento sin autorización previa.