EFFECTIVE AND EFFICIENT

3.2.1. ANÁLISIS DE DOCUMENTOS

El análisis de documentos es la técnica de investigación donde los analistas de sistemas y diseñadores deben tratar de encontrar la información necesaria para comenzar las investigaciones. En los documentos se puede encontrar la historia de una entidad, características, comportamientos, estados y descripción de la misma. (Dulzaides Iglesias & Molina Gómez, 2004)

Un documento, es un soporte en papel o un elemento electrónico donde, existe una serie de datos incluidos en un orden determinado, sobre un tema específico, estos datos tienen un sentido simbólico, el cual puede ser extraído de ellos. Los documentos pueden tener un contenido expresivo (lo que dice) y un contenido instrumental (lo que motiva). (EA, 2015)

Fase 1: Planeación

Fase 2:

Familiarización Fase 3: Análisis

Fase 4: Ejecución

Fase 5: Evaluación

44

3.2.2. ENTREVISTAS

Una entrevista es un intercambio de ideas, opiniones mediante una conversación que se da entre una, dos o más personas donde un entrevistador es el designado para preguntar, todos aquellos presentes en la charla dialogan en pos de una cuestión determinada planteada por el profesional.

Una entrevista es recíproca, donde el entrevistado utiliza una técnica de recolección mediante una interrogación estructurada o una conversación totalmente libre; en ambos casos se utiliza un formulario o esquema con preguntas o cuestiones para enfocar la charla que sirven como guía. Es por esto, que siempre encontraremos dos roles claros, el del entrevistador y el del entrevistado (o receptor). (A., 2017)

3.2.2.1.ANÁLISIS CUALITATIVO.

La investigación cualitativa trata de identificar la naturaleza profunda de las realidades, su sistema de relaciones, su estructura dinámica; mientras que la investigación cuantitativa trata de determinar la fuerza de asociación o correlación entre variables, la generalización y objetivación de los resultados a través de una muestra para hacer inferencia a una población de la cual toda muestra procede. Tras el estudio de la asociación o correlación pretende, a su vez, hacer inferencia causal que explique por qué las cosas suceden o no de una forma determinada. (Pita Fernández & Pértegas Díaz, 2002)

El empleo de ambos procedimientos cuantitativos y cualitativos en una investigación probablemente podría ayudar a corregir los sesgos propios de cada método, pero el hecho de que la metodología cuantitativa se la más empleada no es producto del azar sino de la evolución de método científico a lo largo de los años. Creemos en ese sentido que la

45 cuantificación incrementa y facilita la compresión del universo que nos rodea y ya mucho antes de los positivistas lógicos o neopositivistas Galileo Galilei afirmaba en este sentido "mide lo que sea medible y haz medible lo que no lo sea". (Pita Fernández & Pértegas Díaz, 2002)

Diferencias entre investigación cualitativa y cuantitativa

Investigación cualitativa Investigación cuantitativa

Centrada en la fenomenología y comprensión

Basada en la inducción probabilística del positivismo lógico

Observación naturista sin control Medición penetrante y controlada

Subjetiva Objetiva

Inferencias de sus datos Inferencias más allá de los datos Exploratoria, inductiva y

descriptiva

Confirmatoria, inferencial, deductiva Orientada al proceso Orientada al resultado

Datos "ricos y profundos" Datos "sólidos y repetibles"

No generalizable Generalizable

Holista Particularista

Realidad dinámica Realidad estática

Tabla 3: Investigación Cualitativa vs Cuantitativa (Pita Fernández & Pértegas Díaz, 2002)

3.2.3. EJECUCIÓN DE PROCEDIMIENTOS DE AUDITORIA

La ejecución de procedimientos de auditoria consistió en la utilización de herramientas automatizadas y métodos de toma de evidencias, para documentar el archivo permanente, el cual sirve como punto de partida documentado, del proceso de evaluación del modelo de control interno.

Este procedimiento de auditoria se construyó a partir de las buenas prácticas propuestas por la guía OWASP, donde indica que, en cada una de las fases de construcción

46 y mantenimiento de un aplicativo y en cada uno de los artefactos involucrados en el despliegue, se debe procurar por establecer controles de seguridad, al funcionamiento de los sistemas, estos solicitados a partir de la evaluación de riesgos tecnológicos del proceso automatizado.

3.2.3.1.PROCEDIMIENTO

Inicialmente se realiza un levantamiento de información de la documentación técnica y funcional, que se encuentra disponible, en la base de conocimientos del área de tecnología, con la revisión de esta documentación, se realiza una identificación de las áreas y los responsables donde se lleva a cabo la aplicación de la entrevista, posterior a esto, se solicita hacer una contextualización básica, del objetivo de la aplicación a auditar, esta contextualización aplica de igual forma para todas las áreas entrevistadas, cabe aclarar que en marco del proyecto, las entrevistas se aplicaron de forma personal e independiente, es por esto que se diseña un cuestionario único, para cada responsable dentro del área de tecnología del ministerio y las áreas funcionales que inter actúan con la aplicación.

Después de efectuadas las entrevistas a cada responsable, por cada área, se procede a analizar la información recolectada, se agrupan las opiniones y se procede con el análisis de cada uno de los puntos en cuanto a la eficacia, eficiencia, fortalezas y debilidades de cada uno de los controles y disposiciones evaluadas para nuestro proyecto.

Una vez analizados e identificados los controles propuestos, se realiza la ejecución de las pruebas de auditoria, todas estas realizadas bajo la metodología OQASP, estas pruebas se

47 realizan por componente con la ejecución de las mismas, se certifica la existencia y estado de los controles propuestos, se documentan las evidencias, para ser anexadas al archivo de auditoria.

Después de ejecutar y documentar las pruebas y estas ser anexadas al archivo de auditoria, se procede a realizar el informe, en el cual se plasman los resultados de las pruebas y se da una conclusión acerca de las conformidades o no conformidades evidenciadas en los controles, para de esta manera finalizar con el caso de estudio propuesto.

Consiste en utilizar herramientas automatizadas y métodos de toma de evidencias, para documentar el archivo permanente, el cual sirve como punto de partida documentado, del proceso de evaluación del modelo de control interno.

48