i.4. secretarÍa de administraciÓn y finanzasen el formato “ar acciones realizadas para la...

315 VOLUMEN 1/14

I.4. SECRETARÍA DE ADMINISTRACIÓN Y FINANZAS

I.4.1. AUDITORÍA DE CUMPLIMIENTO CON ENFOQUE EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

I.4.1.1. SISTEMA DE CONTROL DE RECAUDACIÓN (SISCOR)

Auditoría ASCM/13/18

FUNDAMENTO LEGAL

La auditoría se llevó a cabo con fundamento en los artículos 122, apartado A, base II, sexto

y séptimo párrafos, de la Constitución Política de los Estados Unidos Mexicanos; 62 de la

Constitución Política de la Ciudad de México; 13, fracción CXI, de la Ley Orgánica del Congreso

de la Ciudad de México; 1; 2, fracciones XIV y XLII, inciso a); 3; 8, fracciones I, II, IV, VI, VIII, XXVI

y XXXIII; 9; 10, incisos a) y b); 14, fracciones I, VIII, XVII, XX y XXIV; 22; 24; 27; 28; 30; 32; 33; 34;

35; 36; 37; 61; y 62 de la Ley de Fiscalización Superior de la Ciudad de México; y 1; 4; 5,

fracción I, inciso b); 6, fracciones V, VIII y XXXV; y 30 del Reglamento Interior de la Auditoría

Superior de la Ciudad de México.

ANTECEDENTES

En el formato “AR Acciones Realizadas para la Consecución de Metas de las Actividades

Institucionales” del Informe de Cuenta Pública de 2018 de la Secretaría de Administración y

Finanzas (SAF), en particular de la actividad institucional 314 “Coordinación de la Administración

Tributaria”, se indicó que, entre las acciones efectuadas por la dependencia, se encuentra

la siguiente:

“Se realizaron operaciones referentes al pago de contribuciones recibidas en las Administraciones

Tributarias de la Tesorería, así como las operaciones realizadas por el pago de contribuciones

en instituciones bancarias y centros comerciales, los cuales son registrados en el Sistema

de Control de Recaudación de la Secretaría de Finanzas y se realizaron solicitudes para la

localización y validación de pagos.”

316 VOLUMEN 1/14

Asimismo, en el rubro Modernización Tributaria y Servicios al Contribuyente del inciso I.II.1.3,

“Ingresos del Sector Gobierno”, perteneciente al subapartado I.II.1, “Ingresos Presupuestarios”,

del apartado I.II, “Análisis de los Componentes de las Finanzas Públicas”, del Tomo I, “Resultados

Generales”, de la Cuenta Pública de la Ciudad de México de 2018, se informó lo siguiente:

“Al cierre de 2018, el GCDMX ofreció a la ciudadanía una red de 8,505 puntos de pago y

atención, la cual estuvo integrada por sucursales y portales bancarias, tiendas de autoservicio

y de conveniencia, portales institucionales, kioskos, auxiliares de la Tesorería, por mencionar

algunos, además de las tradicionales oficinas de la Tesorería (AT’s), lo que permite que los

contribuyentes de la CDMX cuenten con la red de pagos y atención más amplia y diversificada

del país los 365 días del año las 24 horas del día.”

CRITERIOS DE SELECCIÓN

Esta auditoría se propuso de conformidad con los siguientes criterios generales de selección

contenidos en el Manual de Selección de Auditorías de esta entidad de fiscalización superior:

“Propuesta e Interés Ciudadano”. Se consideró que este rubro tiene impacto social e interés

para la ciudadanía, debido a que los habitantes de la Ciudad de México consultan los pagos

registrados en el SISCOR.

“Presencia y Cobertura”. Con este criterio se asegura que eventualmente se revisen todos

los sujetos de fiscalización y conceptos susceptibles de ser auditados, por estar incluidos en la

Cuenta Pública de la Ciudad de México.

OBJETIVO

El objetivo de la revisión consistió en verificar que el Sistema de Control de Recaudación

(SISCOR), así como la infraestructura tecnológica (hardware, software y redes de datos) y

demás sistemas relacionados con la atención a los usuarios de la red administrativa, operen de

manera efectiva, eficaz y eficiente; y que éstos correspondan a los objetivos para los que

fueron adquiridos, de acuerdo con la normatividad de Tecnologías de la Información y

Comunicaciones (TIC) aplicable, y derivados del ejercicio de las funciones y atribuciones

de la dependencia.

317 VOLUMEN 1/14

ALCANCE Y DETERMINACIÓN DE LA MUESTRA

Se revisó, en cuanto a los elementos que integraron el objetivo de la auditoría, de manera

enunciativa, mas no limitativa, lo siguiente:

Operaciones de TIC

Se evaluó el funcionamiento de servidores, suministro de espacio en dispositivos de

almacenamiento, prestación del servicio y gestión de capacitación del SISCOR.

Gobernanza de TIC

Se evaluaron los controles relativos a la gestión y gobernanza de TIC implementados en el

SISCOR.

Seguridad de la Información

Se evaluaron los controles de seguridad implementados en el SISCOR y la infraestructura

tecnológica que le da soporte.

Continuidad del Servicio y Recuperación de Desastres

Se verificaron los controles de manejo de incidentes implementados para asegurar la continuidad

de las operaciones, así como las prácticas involucradas en la gestión del cambio, la infraestructura

tecnológica y en el SISCOR, para que den un servicio ininterrumpido.

Desarrollo y Adquisición

Se verificaron los controles implementados para el desarrollo y adquisición de TIC

relacionados con el SISCOR.

El SISCOR es un sistema concentrador de pagos donde los usuarios del sistema pueden

visualizar, verificar y consultar la captación en los puntos de recaudación de las contribuciones que

la SAF percibe, dicho sistema administra los diferentes padrones.

318 VOLUMEN 1/14

Derivado de los trabajos que se llevaron a cabo en la fase de planeación de la auditoría y

del estudio y evaluación del diseño del control interno, se determinó revisar 36 de las

25,745,376 operaciones realizadas en tres Administraciones Tributarias Locales y Auxiliares,

como se detalla a continuación:

Administración Tributaria Local y Auxiliar Cantidad de operaciones

Universo Muestra %

Xochimilco 130,647 12 0.009 Módulo Central 47,761 12 0.025 Acoxpa 5,106 12 0.235 Total 183,514 36 0.019

Para determinar la muestra sujeta a revisión, se consideraron los criterios siguientes:

1. Se integró el universo de las contribuciones captadas y registradas en el SISCOR y en

la base de datos de ingresos tributarios y no tributarios que la SAF proporcionó a esta

entidad de fiscalización.

2. El universo de 25,745,376 operaciones se estratificó por puntos de recaudación, como

se detalla a continuación:

Punto de recaudación Número de operaciones

Administraciones Tributarias Locales y Auxiliares 1,519,946 Bancos, Tiendas de Autoservicios y Departamentales, otros 20,628,279 Caja General 949 Registro Civil 309,850 Sistema de Aguas de la Ciudad de México 2,883,547 Secretaría del Medio Ambiente 3,906 Sistema de Recepción de Pagos (SIREP) 164,865 Secretaría de Seguridad Pública 234,034 Total 25,745,376

3. Se seleccionaron las operaciones de las 26 Administraciones Tributarias Locales y Auxiliares

porque dependen de la SAF y se identificaron las operaciones realizadas en cada una

de ellas y se enlistan a continuación:

319 VOLUMEN 1/14

Administraciones Tributarias Locales y Auxiliares

Número de operaciones %

Mina 153,548 10.102 Parque Lira 153,380 10.091 Tezontle 149,721 9.850 San Jerónimo 145,232 9.555 Xochimilco 130,647 8.596 Anáhuac 122,911 8.087 Coruña 116,068 7.636 Aragón 115,709 7.613 Tepeyac 110,412 7.264 Perisur 103,772 6.827 Módulo Central 47,761 3.142 Milpa Alta 46,684 3.071 Cuajimalpa 43,209 2.843 San Borja 22,020 1.449 Centro Médico 18,945 1.246 Bosques de las Lomas 7,026 0.462 Ferrería 6,409 0.422 Acoxpa 5,106 0.336 San Lázaro 4,601 0.303 Cien Metros 3,945 0.260 Taxqueña 2,975 0.196 Tezonco 2,263 0.149 Benito Juárez 2,191 0.144 Meyehualco 2,088 0.137 San Antonio 1,959 0.129 Centro Histórico 364 0.090 Total 1,519,946 100.000

4. De las 26 Administraciones Tributarias Locales y Auxiliares, mediante el programa de

Lenguaje de Consulta Estructurado MySQL (My Structured Query Language, por sus

siglas en inglés) con la función rand, se seleccionaron aleatoriamente las Administraciones

Tributarias Locales y Auxiliares Xochimilco, Módulo Central y Acoxpa; y de éstas se

eligieron las contribuciones que se enlazan con otros sistemas, que son Sistema de

Recepción de Pagos (SIREP), Sistema Integral de Gestión y Actualización del Predial

(SIGAPRED), SISCON (antes espectáculos públicos), Sistema de Citas y Beneficios

Fiscales del Impuesto Predial, Tesorería Móvil y sistema de Subastas Electrónicas

(Tesosubastas), de las cuales se revisaron dos operaciones por sistema en cada

Administración Tributaria Local y Auxiliar seleccionada.

320 VOLUMEN 1/14

El muestreo de auditoría permite al auditor obtener y evaluar la evidencia de auditoría sobre

una determinada característica de los elementos seleccionados con el fin de alcanzar,

o contribuir a alcanzar, una conclusión respecto a la población de la que se ha extraído la

muestra; y puede aplicarse con enfoques de muestreo estadístico o no estadístico. La muestra

del universo por auditar de las operaciones realizadas en las Administraciones Tributarias

Locales y Auxiliares, lo mismo que los expedientes para la aplicación de pruebas de auditoría, se

determinaron mediante un método de muestreo no estadístico, con fundamento en la Norma

Internacional de Auditoría (NIA) 530, “Muestreo de Auditoría”, emitida por la Federación

Internacional de Contadores (IFAC); la Norma Internacional de las Entidades Fiscalizadoras

Superiores (ISSAI) 1530, “Muestreo de Auditoría”, emitida por el Comité de Normas Profesionales

de la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI); y en el

Manual del Proceso General de Fiscalización de la Auditoría Superior de la Ciudad de México.

Los trabajos de auditoría se efectuaron en la Dirección General de Tecnologías y Comunicaciones

de la SAF, por ser la unidad administrativa encargada de administrar el SISCOR y de resguardar

la infraestructura tecnológica (hardware, software y redes de datos), así como los sistemas

relacionados con la atención ciudadana que brindan las Administración Tributarias Locales

y Auxiliares, y en la Dirección de Contabilidad y Control de Ingresos de la Subtesorería de

Administración Tributaria que concentra y administra los ingresos, según las atribuciones y

funciones previstas en el manual administrativo de esa dependencia vigente en 2018.

PROCEDIMIENTOS, RESULTADOS Y OBSERVACIONES

Evaluación del Control Interno

1. Resultado

A fin de evaluar el diseño y la efectividad del control interno implementado por la entonces

Secretaría de Finanzas (SEFIN, actualmente SAF), y disponer de una base para determinar

la naturaleza, extensión y oportunidad de las pruebas de auditoría, en cuanto al diseño, se

analizaron las atribuciones de la dependencia, el marco normativo y su manual administrativo,

vigentes en 2018, se aplicó un cuestionario de control interno, en particular, a servidores públicos

de la SAF responsables de las operaciones y gobernanza de TIC, de la seguridad de la

información, de la continuidad del servicio y recuperación de desastres y del desarrollo y

321 VOLUMEN 1/14

adquisición del SISCOR, en relación con los cinco componentes del control interno (Ambiente de

Control, Administración de Riesgos, Actividades de Control Interno, Información y Comunicación,

y Supervisión y Mejora Continua), se requisitó la cédula de evaluación del ambiente de

control con base en las respuestas obtenidas y se elaboraron tres matrices: una de riesgos,

para identificar los riesgos a que están sujetas las operaciones del rubro en revisión; otra

de control, para analizar la probabilidad de ocurrencia y el impacto de cada riesgo; y una de

unidades administrativas, para determinar la participación conforme a las funciones y atribuciones

de cada una de las áreas de la dependencia relacionadas con las operaciones del rubro en

revisión.

En cuanto a la efectividad del control interno, durante la etapa de ejecución de la auditoría,

se aplicaron pruebas de controles y procedimientos sustantivos, que incluyeron pruebas de

detalle y procedimientos analíticos sustantivos, para determinar la idoneidad, eficacia, eficiencia

en la aplicación del control interno en las unidades administrativas, así como en los procesos,

funciones y actividades de la dependencia.

La evaluación se realizó tomando como referencia la Ley de Auditoría y Control Interno de

la Administración Pública de la Ciudad de México publicada en la Gaceta Oficial de la

Ciudad de México núm. 146 Ter el 1o. de septiembre de 2017 y el Decreto por el que se

reforman, adicionan y derogan Diversas Disposiciones de la Ley de Auditoría y Control Interno

de la Administración Pública de la Ciudad de México, publicado en la Gaceta Oficial de la

Ciudad de México núm. 460 el 27 de noviembre de 2018; los Lineamientos de Control Interno

de la Administración Pública de la Ciudad de México, publicados en la Gaceta Oficial de la

Ciudad de México núm. 235 el 8 de enero de 2018; el Manual del Proceso General de

Fiscalización, en lo relativo a la evaluación del ambiente de control; y el Modelo de Evaluación

del Control Interno para la Fiscalización Superior de la Cuenta Pública de la Ciudad de

México de la Auditoría Superior de la Ciudad de México, elaborado con base en el Marco

Integrado de Control Interno para ser aplicado a los sujetos de fiscalización de la Ciudad

de México, con objeto de diagnosticar el estatus de su control interno establecido y proponer

acciones de mejora dirigidas a su fortalecimiento.

322 VOLUMEN 1/14

Ambiente de Control

Se identificaron las unidades administrativas de la SEFIN que estuvieron relacionadas con

las operaciones y gobernanza de TIC, la seguridad de la información, la continuidad del

servicio y recuperación de desastres y el desarrollo y adquisición del SISCOR; las funciones,

objetivos, actividades y procedimientos aplicados; las normas, procesos y estructura orgánica

que proporcionan la base para llevar a cabo el control interno en el sujeto fiscalizado, así como

la normatividad que proporciona disciplina y estructura para apoyar al personal en la

consecución de los objetivos institucionales; y se verificó si la dependencia estableció y mantuvo

un ambiente de control que implique una actitud de respaldo hacia el control interno, como

se indica a continuación:

1. En 2018, la SEFIN contó con dos estructuras orgánicas autorizadas por la entonces

Oficialía Mayor del Gobierno de la Ciudad de México (OM), con los dictámenes

núms. D-SEFIN-27/010917 y D-SEFIN-13/160618; la primera estuvo vigente del

1o. de septiembre de 2017 hasta el 15 de junio de 2018 y la segunda del 16 de junio

al 31 de diciembre de 2018. Dichas estructuras fueron notificadas al titular de la SEFIN

con los oficios núms. OM/0616/2017 del 16 de octubre de 2017 y OM/0431/2018 del

20 de julio de 2018.

En la estructura orgánica núm. D-SEFIN-27/010917 se previeron 1,523 plazas: 27 en

la Oficina del Secretario; 309 en la Tesorería de la Ciudad de México; 87 en la Procuraduría

Fiscal; 68 en la Subsecretaría de Administración y Capital Humano; 50 en la Subsecretaría

de Planeación Financiera; 167 en la Subsecretaría de Egresos; 113 en la Unidad de

Inteligencia Financiera de la Ciudad de México; 78 en la Dirección General de Informática;

10 en la Dirección General de Enlace, Coordinación Fiscal y Programas Federales; y

614 en las Direcciones Generales, Ejecutivas o área encargadas de la administración

en las dependencias de la Administración Pública Central.

En la estructura orgánica núm. D-SEFIN-13/160618 se consideraron 1,528 plazas en

la misma cantidad y unidades administrativas indicadas en el párrafo anterior, excepto

por las Direcciones Generales, Ejecutivas o área encargadas de la administración en

las dependencias de la Administración Pública Central, que pasaron de 614 a 619 plazas.

323 VOLUMEN 1/14

2. En 2018, la SEFIN dispuso de un manual administrativo elaborado conforme al dictamen de

estructura orgánica núm. 17/2013, registrado por la Coordinación General de Modernización

Administrativa (CGMA) con el núm. MA-25/240715-D-SF-17/2013, notificado al titular

de la SEFIN, con el oficio núm. OM/CGMA/1393/2015 del 24 de julio de 2015, publicado

en la Gaceta Oficial del Distrito Federal núm. 166, Tomo I, el 31 de agosto de 2015, con el

“Aviso por el cual se da a conocer el Manual Administrativo de la Secretaría de

Finanzas, con número de registro MA-25/240715-D-SF-17/2013”, en cuya consulta se

comprobó su existencia y vigencia a partir del día siguiente de su publicación.

En el portal de internet de la SAF se verificó que en la liga electrónica

https://data.finanzas.cdmx.gob.mx/normatividad/ogdf_manuales.html, se encuentra publicado

el manual administrativo de la SEFIN, con vigencia a partir del 1o. de septiembre

de 2015 al 31 de diciembre de 2018 para consulta de los servidores públicos.

El manual citado se integró por los apartados de marco jurídico de actuación; atribuciones;

misión, visión y objetivos institucionales; organigramas de la estructura básica; organización

y procedimientos; glosario y aprobación del manual administrativo.

Mediante el oficio núm. ACF-A/DA-B/19/059 del 8 de agosto de 2019, la ASCM solicitó

a la SAF, que indicara las causas por las que el manual administrativo de la SEFIN no

se actualizó conforme a su última estructura orgánica núm. D-SEFIN-13/160618 dictaminada.

En respuesta, mediante el oficio núm. SAF/SE/DGACyRC/3748/2019 del

14 de agosto de 2019, el sujeto fiscalizado proporcionó el oficio

núm. SAF/DGAyF/DACH/SDO/186/2019 de la misma fecha, en el que la SAF comunicó

lo siguiente:

“Le informo, que esta Subdirección de Desarrollo Organizacional, en referencia al Manual

de Organización en lo concerniente a 2018, se indica lo siguiente:

”Es importante enfatizar con respecto al Manual Administrativo vigente para el ejercicio

2018, éstos no llegaron a publicarse derivado al cierre definitivo del Sistema Institucional de

Dictaminación de Estructuras Orgánicas (SIDEO) el 06 de diciembre de 2018.

324 VOLUMEN 1/14

”Mediante oficio SAF/DGAyF/DACH/0114/2019, se reitera que la situación de los trabajos de

actualización del Manual de la Secretaría de Finanzas iniciados durante el año 2017,

fueron suspendidos, derivado del Cierre del Sistema Institucional de Dictaminación de

Estructuras Orgánicas ʻSIDEOʼ.

”Así mismo, mediante oficio SAF/DGAyF/DACH/139/2019, señala que quedó inconclusa con

respecto a los dictámenes de estructura orgánica números D-SEFIN-19/030517

y D-SEFIN-27/010917, lo anterior derivado del Cierre del Sistema Institucional de

Dictaminación de Estructuras Orgánicas (SIDEO), el cual detuvo la captura de información

desde el pasado 06 de diciembre de 2018, identificando éste como un proceso inconcluso, así

mismo, informó que se tiene un Dictamen de Estructura Orgánica D-SEAFIN-02/010119,

vigente a partir del 1o. de enero de 2019, del cual se efectúa la consecuente elaboración

del Manual Administrativo con la finalidad de sujetar las actualizaciones necesarias del

mismo.”

No obstante lo anterior, la referida deficiencia de control interno ya se encuentra

subsanada, toda vez que, en el portal de internet de la SAF, se verificó que en la liga

electrónica https://cdmxassets.s3.amazonaws.com/media/files-pdf/manual_admin/8_

DIRECCION_GENERAL_DE_LAS_TECNOLOGIAS_DE_LA_INFORMACION_Y_CO

MUNICACIONES.pdf, se encuentra publicado el manual administrativo de la Dirección

General de Tecnologías y Comunicaciones en la SAF, con registro

núm. MA-12/200919-D-SEAFIN-02/010119, de acuerdo con la estructura

orgánica núm. D-SEAFIN-02/010119; además, dicho manual administrativo fue publicado en

la Gaceta Oficial de la Ciudad de México núm. 193 el 7 de octubre de 2019, para consulta de

los servidores públicos, por lo que no se emite recomendación.

3. En 2018, los servidores públicos de la Administración Pública de la Ciudad de México,

incluidos los de la SEFIN, dispusieron del Código de Ética de los Servidores Públicos

para el Distrito Federal, publicado en la Gaceta Oficial del Distrito Federal núm. 1896 el

9 de julio de 2014, vigente en 2018, y la dependencia no estaba obligada a contar con

un código de conducta, toda vez que de conformidad con el artículo segundo transitorio

del Código de Ética de las Administración Pública de la Ciudad de México, publicado

en la Gaceta Oficial de la Ciudad de México núm. 26 el 7 de febrero de 2019, lo debería

325 VOLUMEN 1/14

publicar a más tardar dentro de los 90 días naturales siguientes a su entrada en vigor

(8 de febrero de 2019). Asimismo, el sujeto fiscalizado contó con unidades administrativas

encargadas de cumplir las obligaciones en materia de transparencia y acceso a la información,

fiscalización, rendición de cuentas y armonización contable, y de administrar los recursos

humanos y financieros, para lo cual implementó procedimientos específicos que se

formalizaron con su registro ante la CGMA y se incorporaron a su manual administrativo,

así como con un programa de capacitación y mecanismos de difusión a través de

la página de transparencia para que, en el ejercicio de sus funciones, el personal de la

dependencia se ajustara al código de ética vigente.

Con base en lo anterior, se determinó que la SEFIN contó con una estructura orgánica y un

manual administrativo dictaminado por la CGMA y con unidades administrativas encargadas

de dar cumplimiento a las obligaciones en materia de transparencia y acceso a la información,

fiscalización, rendición de cuentas y armonización contable, así como con un código de

ética difundido entre los servidores públicos a través de su página de transparencia y un

programa de capacitación, por lo que ha establecido y mantenido un ambiente de control

que implica una actitud de respaldo hacia el control interno y estableció mecanismos para que

su personal en el ejercicio de sus funciones se ajustara al código de ética vigente en 2018;

no obstante, el Manual Administrativo de la SEFIN no se actualizó conforme al último dictamen

de estructura orgánica vigente en 2018.

Administración de Riesgos

Se revisó si la SEFIN dispuso de un Comité de Administración de Riesgos y Evaluación de

Control Interno (CARECI) que le haya permitido desarrollar respuestas al riesgo, así como

administrarlo y controlarlo; y con un Órgano Interno de Control que la vigile y, en su caso,

que hubiese practicado auditorías al rubro sujeto a revisión, como se indica a continuación:

1. La SEFIN contó con un CARECI, el cual fue constituido de conformidad con los

Lineamientos de Control Interno de la Administración Pública de la Ciudad de México,

publicados en la Gaceta Oficial de la Ciudad de México núm. 235 el 8 de enero de 2018,

con unidades administrativas encargadas de atender, dar seguimiento y cumplir las

obligaciones en materia de transparencia y acceso a la Información; con un portal de

326 VOLUMEN 1/14

transparencia en el enlace electrónico http://transparencia.finanzas.cdmx.gob.mx/ y de

ventanilla única en la liga web https://data.finanzas.cdmx.gob.mx/atencion_ciudadana/

de la dependencia; con un área de armonización contable; y con áreas para la

administración de recursos humanos y financieros.

En el CARECI participó el Órgano Interno de Control en la dependencia; tuvo un Programa de

Revisión de Control Interno, integrantes nombrados o ratificados y un manual de integración

y funcionamiento; y en su operación dio seguimiento a las observaciones determinadas

por el Órgano Interno de Control en las revisiones de control interno practicadas y en áreas

identificadas de alto riesgo, derivado de lo cual propició la implementación de controles

internos.

2. El Órgano Interno de Control en la SEFIN, adscrito a la Secretaría de la Contraloría

General de la Ciudad de México (SCGCDMX), contó con atribuciones para inspeccionar

y vigilar que la dependencia cumpliera las normas y disposiciones en materia de información,

estadística, organización, procedimientos, sistemas de registro y contabilidad, contratación y

pago de personal, contratación de servicios, obra pública, adquisiciones, arrendamientos,

conservación, uso, destino, afectación, enajenación y baja de bienes muebles e inmuebles,

almacenes y demás activos; y en su Programa de Auditoría no consideró auditorías a

la dependencia en el rubro sujeto a revisión por el ejercicio de 2018.

Asimismo, de la revisión al Programa Anual de Control Interno (PACI) de la SEFIN,

proporcionado por la SCGCDMX, no se observó la implementación de controles internos

relacionados con el rubro en revisión.

Con base en lo anterior, se determinó que la dependencia contó con el CARECI, que le permite

desarrollar respuestas al riesgo, así como administrarlo y controlarlo; con un Órgano Interno de

Control que la vigila, el cual no auditó el SISCOR en el ejercicio de 2018; y con un PACI,

en el que no se observó la implementación de controles internos relacionados con el rubro

sujeto a revisión.

327 VOLUMEN 1/14

Actividades de Control Interno

Se verificó si la SEFIN contó con procedimientos que le hayan permitido prevenir, minimizar

y responder a los riesgos que pudieran afectar el cumplimiento y logro de los objetivos del

rubro en revisión y asegurar la eficacia y eficiencia de las operaciones; y si dispuso de

actividades de control para asegurarse que los informes y reportes que genera fueran

presentados oportunamente y con información confiable, como se indica a continuación:

1. En 2018, la SEFIN dispuso de 308 procedimientos que se encuentran integrados en el

manual administrativo que la CGMA registró con el núm. MA-25/240715-D-SF-17/2013.

Del total de 308 procedimientos que estuvieron vigentes en 2018, 33 tienen relación

con las TIC y son los que se indican a continuación:

Elemento Procedimiento

Operaciones de TIC

“Recepción y Gestión de Solicitudes de Servicios Informáticos” “Atención a las Solicitudes de Consumibles por parte de las Unidades Administrativas de la Secretaría de Finanzas” “Administración del Sitio WEB de la Secretaría de Finanzas” “Análisis de Indicadores de Comportamiento del Sitio WEB de la Secretaría de Finanzas” “Administración de Bases de Datos y Bodega de Datos” “Liberación, Incorporación y/o Modificación de Funciones de Cobro en el Sistema de Cajas de las Administraciones Tributarias” “Atención a solicitud de Conversión y Vinculación del Certificado Digital FIEL en el Sistema de Planeación de Recursos Gubernamentales” “Atención a solicitud de Copia de mandantes en el Sistema de Planeación de Recursos Gubernamentales” “Análisis de Esquemas de Evasión Fiscal 1, 2 y 3” “Programación de Ordenes de Auditoría en materia de Impuestos Federales Coordinados” “Visitas Domiciliarias para Revisión de Contribuciones Locales” “Recuperación de los Cheques Devueltos por el Sistema Bancario” “Análisis y Atención a Solicitudes de Validación y Pagos respecto de Créditos Fiscales Controlados por la Dirección Ejecutiva de Cobranza en materia de Impuesto Predial” “Análisis y Atención a Solicitudes de Validación y Aclaración de Pagos respecto de Créditos Fiscales controlados por la Dirección Ejecutiva de Cobranza en materia de Impuesto Predial” “Análisis y Atención a Solicitudes de Información respecto de Créditos Fiscales controlados por la Dirección Ejecutiva de Cobranza”

Continúa…

328 VOLUMEN 1/14

… Continuación

Elemento Procedimiento Gobernanza de TIC

“Elaboración del Plan de Trabajo de Proyectos Informáticos” “Seguimiento y Evaluación de Proyectos de Tecnologías de Información” “Registro y Control de los Ingresos Obtenidos por el Gobierno del Distrito Federal”

Seguridad de la información

“Instalación, Configuración y Respaldo de Servidores” “Atención a las Solicitudes de Alta, Modificación y/o Baja de claves de usuarios de los Sistemas Informáticos que se encuentran en Resguardo y Administración de la Dirección General de Informática” “Creación de Ambientes Virtuales” “Monitoreo para la Prevención y/o Notificación de Incidentes en los Equipos de Cómputo y Sistemas de Misión Crítica de la Dirección General de Informática”

Continuidad del servicio y recuperación de desastres

“Atención a Incidentes de Seguridad Informática (Procesos, Tecnologías, Personas)” “Atención de Solicitudes de Soporte Técnico a las áreas de la Secretaría de Finanzas” “Administración de la Red de Comunicaciones” “Detección y Análisis de Vulnerabilidades” “Mantenimiento Preventivo a Equipos de Cómputo a través de un Proveedor o Compañía de Servicio” “Atención a las solicitudes de Servicios de Red LAN y WAN” “Administración y Mantenimiento del Sistema de Energía Eléctrica Regulada, Respaldo y Emergencia”

Desarrollo y adquisición

“Análisis y Diseño de Sistemas Informáticos” “Desarrollo de Sistemas Informáticos” “Implementación de Sistemas Informáticos” “Revisión, Integración de Expedientes y Elaboración de Solicitudes e Informes de Adquisiciones para Dictaminación Técnica de la Comisión de Gobierno Electrónico”

2. Para la operación y desarrollo de sus actividades sustantivas, administrativas y financieras,

la Subtesorería de Administración Tributaria de la SEFIN contó con el SISCOR, el

Sistema de Planeación de Recursos Gubernamentales (SAP-GRP), el Sistema de Atención

Ciudadana, el Sistema de Control de Gestión, el SIREP, el Sistema Integral de Concentración

y Control de Fondos, las Líneas de Captura en página de Finanzas, la aplicación de

Tesorería Móvil y la Página de Transparencia, cuyas políticas y lineamientos de seguridad

fueron establecidos por esa dependencia, como autoridad administradora de los sistemas.

3. De acuerdo con la respuesta al cuestionario de control interno y con la información y

documentación analizadas, la SEFIN dispuso de mecanismos de control para asegurarse de

que los informes y reportes que genera sean presentados oportunamente y con información

confiable a las diferentes instancias del Gobierno de la Ciudad de México.

329 VOLUMEN 1/14

Con base en lo anterior, se determinó que la SEFIN contó con mecanismos de control efectivos,

incluidos en sus procedimientos, que le permitieron prevenir, minimizar y responder a los

riesgos que pudieron afectar el cumplimiento y logro de los objetivos del rubro sujeto a revisión y

garantizar la eficacia y eficiencia de las operaciones; y dispuso de actividades de control

para asegurarse de que los informes y reportes que genera sean presentados oportunamente y

con información confiable a las diferentes instancias del Gobierno de la Ciudad de México.

Información y Comunicación

Se revisó si la SEFIN contó con líneas de comunicación e información reguladas entre los

mandos medios y superiores y las personas servidoras públicas a su cargo que le permitieron

comunicarles sus responsabilidades, así como los objetivos y metas institucionales; y si

generó información necesaria, oportuna, veraz y suficiente, al interior y al exterior, como se

indica a continuación:

1. De las respuestas a los cuestionarios de control interno, así como de la información y

documentación analizadas, se determinó que la SEFIN contó con líneas de comunicación

e información por medio de oficios y circulares, reguladas entre los mandos medios y

superiores y el personal a su cargo que le permitieron comunicarles sus responsabilidades,

así como los objetivos y metas institucionales.

2. La dependencia generó reportes o informes sobre la gestión de los recursos humanos

y financieros, así como en materia de transparencia y acceso a la información, fiscalización,

rendición de cuentas y contabilidad gubernamental.

3. La SEFIN contó con el SISCOR, el SAP-GRP, el Sistema de Atención Ciudadana, el

Sistema de Control de Gestión, el SIREP, el Sistema Integral de Concentración y Control

de Fondos, las Líneas de Captura en página de Finanzas, la aplicación Tesorería Móvil

y la página de transparencia, que le permitieron la comunicación interna y externa para

gestionar la información relativa a los registros presupuestales y contables de los

ingresos, y careció del Sistema de Armonización de Información y Control (SAIC) para

dar seguimiento a los controles internos verificados en las revisiones de la SCGCDMX.

330 VOLUMEN 1/14

En la reunión de confronta, celebrada el 3 de diciembre de 2019, la SAF no aportó

información adicional a la proporcionada durante la auditoría, por lo que la observación

prevalece.

Con base en lo anterior, se determinó que la SEFIN diseñó mecanismos de control orientados

a garantizar la generación de información necesaria, oportuna, veraz y suficiente, tanto al

interior como al exterior, pero no dispuso del SAIC para dar seguimiento a los controles

internos verificados en las revisiones de la SCGCDMX.

Supervisión y Mejora Continua

Se verificó si el manual administrativo de la SEFIN consideró actividades de supervisión, a

fin de confirmar si las operaciones institucionales relacionadas con el rubro en revisión se

ajustaron a las líneas de mando y actividades establecidas en el citado manual administrativo,

como se indica a continuación:

1. Con las respuestas al cuestionario de control interno, así como con la información

y documentación analizadas, se determinó que la SEFIN no promovió el seguimiento y

mejora de los controles internos ni supervisó que las operaciones relacionadas con el

rubro en revisión cumplieran sus objetivos para el ejercicio de 2018.

En la reunión de confronta, celebrada el 3 de diciembre de 2019, la SAF no presentó

evidencia de haber promovido el seguimiento y mejora de los controles internos, por lo

que la observación prevalece.

2. El CARECI de la dependencia contó con planes y programas para supervisar las

actividades de control interno y las operaciones del rubro en revisión; sin embargo, no

estableció controles para supervisar las actividades susceptibles de corrupción, no llevó

a cabo autoevaluaciones para el mejor desarrollo del control interno y cumplimiento de

metas y objetivos y no elaboró un programa de acciones para resolver las problemáticas

detectadas.

331 VOLUMEN 1/14


información adicional a la proporcionada durante la auditoría, por lo que la presente

observación prevalece.

3. La SEFIN emprendió acciones para que las actividades relacionadas con la operación

del rubro en revisión permitieran el cumplimiento de las funciones y atribuciones

encomendadas y de la normatividad aplicable; sin embargo, no supervisó periódicamente

las actividades de los servidores públicos, desde nivel operativo hasta mandos medios,

para garantizar que se ejecutaron conforme a la normatividad aplicable.


información adicional a la proporcionada durante la auditoría, por lo que la presente


4. La SEFIN no acreditó haber emprendido acciones de supervisión para el ejercicio

de 2018, y si bien el CARECI permitió que dispusiera de mecanismos que definieron

los tramos de responsabilidad y supervisión en las operaciones del rubro en revisión,

conforme a sus funciones y atribuciones, dichos mecanismos no resultaron efectivos,

ya que no permitieron a la dependencia supervisar que las operaciones relacionadas con el

rubro sujeto a revisión cumplieran sus objetivos establecidos para el ejercicio de 2018.

Con base en lo anterior, se identificó que la SEFIN, contó con planes y programas para

supervisar el control interno y ejecutar las actividades conforme a la normatividad aplicable;

asimismo, el CARECI, conforme a sus funciones y atribuciones, permitió que la dependencia

dispusiera de mecanismos que definieron los tramos de responsabilidad y supervisión en

las operaciones del rubro sujeto de revisión; sin embargo, dichos mecanismos no fueron

efectivos, ya que no hicieron factible a la SEFIN promover el seguimiento y mejora de los

controles internos y a su CARECI establecer controles para supervisar las actividades

susceptibles de corrupción, llevar a cabo autoevaluaciones para el mejor desarrollo del

control interno y cumplimiento de metas y objetivos ni elaborar un programa de acciones

para resolver las problemáticas detectadas. Además, la dependencia no supervisó que las

operaciones relacionadas con el rubro en revisión cumplieran sus objetivos para el ejercicio

de 2018, tampoco las actividades de los servidores públicos operativos y mandos medios.

332 VOLUMEN 1/14

Por lo expuesto, se determinó que el diseño del control interno de la SEFIN no es apropiado,

toda vez que, si bien el sujeto fiscalizado presentó principalmente riesgos controlados o de

seguimiento, se observaron deficiencias en el componente Ambiente de Control, pues la

dependencia no aportó evidencia documental de la actualización de su manual administrativo; en

el componente de Información y Comunicación, no contó con el SAIC para dar seguimiento

a los controles internos verificados en las reuniones de la SCGCDMX; y en el componente

Supervisión y Mejora Continua, su CARECI no supervisó las actividades susceptibles de

corrupción, no llevó a cabo autoevaluaciones para el mejor desarrollo del control interno y

cumplimiento de metas y objetivos, ni elaboró un programa de acciones para resolver las

problemáticas detectadas. Además, la dependencia no promovió el seguimiento y mejora

de los controles internos, ni supervisó que las operaciones relacionadas con el rubro en

revisión cumplieran sus objetivos ni las actividades de los servidores públicos, desde nivel

operativo hasta mandos medios.

El control interno de la SEFIN no fue apropiado en cuanto a su efectividad, ya que no vigiló

que se llevaran a cabo acciones de supervisión respecto a las actividades relacionadas a

las políticas de gobernanza y de seguridad de TIC y de continuidad en el servicio y

recuperación de desastres aplicadas al SISCOR, lo que implicó que se materializaran riesgos

con un impacto en los componentes Ambiente de Control, Actividades de Control Interno,

Información y Comunicación y Supervisión y Mejora Continua, como se detalla en los resultados

núms. 3, 4 y 5 del presente informe.

Como resultado del estudio y evaluación del control interno y con base en las herramientas

utilizadas, se determinó que el control interno del sujeto fiscalizado no es apropiado, pues

aunque su diseño contribuyó al cumplimiento de la normatividad, no se supervisaron las acciones

respecto a la gobernanza de TIC, la seguridad de la información y la continuidad en el servicio y

recuperación de desastre, lo cual impidió garantizar en forma razonable la ejecución de las

operaciones y la consecución de los objetivos de la dependencia.

En el informe de la auditoría ASCM/20/18, practicada a la SAF, resultado núm. 1,

recomendación ASCM-20-18-1-SAF, se consideraron los mecanismos para asegurarse de

que la dependencia promueva el seguimiento y mejora de los controles internos y se supervisen

sus operaciones y las actividades de los servidores públicos, a fin de fortalecer el control

333 VOLUMEN 1/14

interno, por lo que se dará tratamiento a dicha circunstancia como parte del seguimiento de

la recomendación citada.

En el informe de la auditoría ASCM/20/18, practicada a la SAF, resultado núm. 1,

recomendación ASCM-20-18-2-SAF, se consideraron los mecanismos que permitan a la

dependencia asegurarse de que su Comité de Administración de Riesgos y Evaluación de

Control Interno establezca controles para supervisar las actividades de control interno que realiza,

llevar a cabo autoevaluaciones para el mejor desarrollo del control interno, dar seguimiento

al cumplimiento de metas y objetivos y elaborar un programa de acciones para resolver las

problemáticas detectadas con objeto de fortalecer el control interno, por lo que se dará

tratamiento a dicha circunstancia como parte del seguimiento de la recomendación citada.

Recomendación ASCM-13-18-1-SAF

Es conveniente que la Secretaría de Administración y Finanzas implemente mecanismos

dirigidos a asegurar el seguimiento a los controles internos verificados en las revisiones

realizadas por la Secretaría de la Contraloría General de la Ciudad de México por medio

del Sistema de Armonización de Información y Control, a fin de fortalecer su control interno.

Operaciones de TIC

2. Resultado

Con el objetivo de verificar que los controles de la operación de TIC permitieran una gestión

efectiva, eficaz y eficiente del SISCOR, en cumplimiento de la normatividad relativa a la gestión

de la información (entrada, procesamiento y almacenamiento de datos) para asegurar su

confidencialidad, disponibilidad e integridad; que los enlaces de datos hayan dado soporte

al sistema para asegurar una adecuada operación de TIC, de acuerdo con la normatividad

aplicable; y que se hayan llevado a cabo encuestas de satisfacción con el servicio a los

usuarios finales, la ASCM realizó inspecciones, entrevistas y pruebas de auditoría. Al

respecto, se determinó lo siguiente:

1. Mediante el oficio núm. SAF/DGTC/463/2019 del 2 de octubre de 2019, la Dirección

General de Tecnologías y Comunicaciones de la SAF remitió el Manual General de

334 VOLUMEN 1/14

SISCOR, que contiene 32 puntos relacionados con la operación del sistema e incluye

acciones de administración, ingresos, contabilidad, generales y consulta, así como

ejemplos y capturas de pantalla, y está firmado por la Jefatura de Unidad Administrativa

de Planeación y Análisis Internos, adscrita a dicha Dirección General.

De las entrevistas realizadas a los servidores públicos encargados de la operación del

SISCOR en las Administraciones Tributarias Locales y Auxiliares de Acoxpa y Xochimilco

el 24 de octubre, al Módulo Central el 25 de octubre y a la Dirección de Contabilidad y

Control de Ingresos el 22 y 29 de octubre, todos de 2019, se tuvo conocimiento de que

las unidades administrativas no contaron con manuales de usuarios para la operación

de dicho sistema, ya que el Manual General de SISCOR no fue difundido a los usuarios.

En la reunión de confronta, celebrada el 3 de diciembre de 2019, con el oficio

núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, el Director General

de Armonización Contable y Rendición de Cuentas, en representación de la SAF,

proporcionó copia del oficio núm. SAF/DGTC/570/2019 del 28 de noviembre de 2019,

en el que la Dirección General de Tecnologías y Comunicaciones informó a la Dirección

General de Armonización Contable y Rendición de Cuentas lo siguiente:

“… el Manual General de Operación del SISCOR se ha integrado en el menú principal

al ingresar al sistema, con la finalidad de que el usuario lo pueda consultar o descargar

cada vez que lo requiera.”

Adjuntó al oficio una imagen dentro de un sistema de edición (Paint) con la acción

implementada; sin embargo, la dependencia no presentó evidencia de haber difundido

a las áreas operativas del SISCOR las tareas realizadas ni de la modificación implementada

en el programa, por lo que la observación prevalece.

Por no difundir el Manual General de SISCOR a las unidades administrativas encargadas de

la operación del sistema, la SEFIN incumplió en el artículo 13, norma 7, “Seguridad de las

Operaciones”; apartado 7.1, “Procedimientos operativos y responsabilidades”; subapartado

7.1.1, “Documentación de los procedimientos operativos”, de las Normas Generales que

deberán Observarse en materia de Seguridad de la Información en la Administración

335 VOLUMEN 1/14

Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121

el 9 de julio de 2007, vigentes en 2018, que señala:

“Artículo 13. Para los efectos de los presentes acuerdos, las Normas Generales para la

Seguridad de la Información, son las siguientes. […]

”7. Seguridad de las Operaciones […]

”7.1 Procedimientos operativos y responsabilidades […]

”7.1.1 Documentación de los procedimientos operativos.

”Los procedimientos de las operaciones se deben documentar, mantener y estar disponibles

para todos los usuarios que los necesiten. Se deben especificar las instrucciones

detalladas para la ejecución paso a paso de cada trabajo, incluyendo: información para

el procesamiento y manejo de información, especificaciones para la realización

de respaldos, horarios e interdependencias con otros sistemas, instrucciones para el manejo de

errores, procedimientos para el reinicio y recuperación en caso de fallas en los sistemas

y dispositivos, el manejo de las bitácoras y pistas de auditoría, entre otras actividades.”

2. Para constatar la operatividad del SISCOR, se revisaron cuatro operaciones de contribuciones

en cada una de las tres Administraciones Tributarias Locales y Auxiliares usuarias del

sistema que fueron seleccionadas como muestra. Las operaciones revisadas se enlazan

con el SIREP (12), con el SIGAPRED (12) y con el Sistema de Citas y Beneficios Fiscales

del Impuesto Predial (12), toda vez que en las entrevistas e inspecciones realizadas en

las Administraciones Tributarias Locales y Auxiliares seleccionadas, se tuvo conocimiento de

que los sistemas SISCON (antes espectáculos), de Tesorería Móvil y de Subastas

Electrónicas (Tesosubastas) no se operaron en 2018, por lo que las pruebas de auditoría se

ampliaron en los otros sistemas descritos.

En cuanto a las 36 operaciones capturadas en el SIREP (12), en el SIGAPRED (12) y

en el Sistema de Citas y Beneficios Fiscales del Impuesto Predial (12), se constató que

los datos capturados en 2018 coincidieron completamente con los registrados en el

SISCOR, lo que aseguró que la gestión de la información (entrada, procesamiento

y almacenamiento de datos) fuera confidencial, disponible e íntegra, en cumplimiento

336 VOLUMEN 1/14

del artículo 14 de la Ley de Gobierno Electrónico del Distrito Federal, publicada en la

Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de 2015 y el artículo 8 de

las Normas Generales que deberán observarse en materia de Seguridad de la Información

en la Administración Pública del Distrito Federal, publicadas en el mismo medio de

difusión el 9 de julio de 2007, vigentes en 2018.

3. Derivado de las entrevistas realizadas a los servidores públicos de la Dirección General

de Tecnologías y Comunicaciones el 21 de octubre, de las Administraciones Tributarias

Locales y Auxiliares de Acoxpa y Xochimilco el 24 de octubre, del Módulo Central

el 25 de octubre y de la Dirección de Contabilidad y Control de Ingresos el 22 y 29 de octubre,

todos de 2019, se conoció que la SEFIN no llevó a cabo sesiones de capacitación al

personal encargado de la operación y gestión del SISCOR en 2018.



de Armonización Contable y Rendición de Cuentas, en representación de la SAF, proporcionó

copia del oficio núm. SAF/DGTC/570/2019 del 28 de noviembre de 2019, en el que la

Dirección General de Tecnologías y Comunicaciones envió a la Dirección General de

Armonización Contable y Rendición de Cuentas “la propuesta de un plan de capacitación que

aún se encuentra pendiente de consensuar, para realizarse en coordinación con las

Administraciones Tributarias, [las Subtesorerías de] Política Fiscal [y de] Fiscalización,

[la] Subtesorería de Administración Tributaria y la misma Dirección de Tecnologías y

Comunicaciones”. Lo anterior denota que se han iniciado acciones para llevar a cabo

sesiones de capacitación para los servidores públicos encargados de la operación y gestión

del SISCOR; sin embargo, aún no están materializadas, por lo que la observación prevalece.

Por no llevar a cabo sesiones de capacitación a los servidores públicos encargados de

la operación y gestión del SISCOR, la SEFIN incumplió el artículo 19 de la Ley de Gobierno

Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal núm. 192

el 7 de octubre de 2015, vigente en 2018, que señala:

“Artículo 19. Cada uno de los Órganos de la Administración Pública, en el ámbito de

sus respectivas competencias, propiciará la capacitación de los servidores públicos

a su cargo en materia de tecnologías de la información y comunicaciones.”

337 VOLUMEN 1/14

4. En las inspecciones realizadas al centro de datos Perisur el 25 de octubre de 2019, se

constató que el SISCOR se encuentra hospedado en un servidor con sistema operativo

GNU SUSE Enterprise Server versión 10 y utiliza el sistema de gestión de base de

datos PostgreSQL versión 8.4.7 dentro de un sistema operativo virtualizado con el sistema

operativo OpenSUSE versión 12.3, lo que asegura un servicio eficiente y efectivo de

los sistemas y de las aplicaciones alojadas en los servidores que operan bajo esas

plataformas, en cumplimiento del artículo 14 de la Ley de Gobierno Electrónico del Distrito

Federal, publicada en la Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de

2015, vigente en 2018.

5. En la inspección realizada a la operación del SISCOR el 5 de agosto de 2019, se observó

que la base de datos del sistema cuenta con reglas que evitan la redundancia de los

datos, lo que asegura la integridad de la información para el proceso de actualización de la

base de datos, en cumplimiento del artículo 8, fracción III, de las Normas Generales

que deberán observarse en materia de Seguridad de la Información en la Administración


el 9 de julio de 2007, vigentes en 2018.

6. Mediante el oficio núm. SAF/SE/DGACyRC/5105/2019 del 25 de octubre de 2019, la

Dirección General de Armonización Contable y Rendición de Cuentas de la SAF remitió

información referente a la contratación del servicio de internet, en cuyo análisis

se constató que la dependencia adquirió el servicio de internet mediante el contrato

núm. DAT-02-2018 del 31 de diciembre de 2017, cuyo objeto fue la “contratación consolidada

del servicio de acceso a internet, redes y procesamiento de información, que requieren las

unidades administrativas adheridas del Gobierno de la Ciudad de México para el período del

01 de enero al 31 de enero de 2018”.

En la entrevista e inspección realizadas el 1o. de noviembre de 2019 al área encargada

de administrar la seguridad en las redes de datos, se constató que la dependencia

cuenta con un servicio de 100 Mb, para establecer comunicación directa con el servidor

en donde se encuentra alojado el SISCOR, en cumplimiento del artículo 35 de la Ley

de Gobierno Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito

Federal núm. 192 el 7 de octubre de 2015, vigente en 2018.

338 VOLUMEN 1/14

3. De acuerdo con las entrevistas realizadas a servidores públicos de la Dirección General

de Tecnologías y Comunicaciones, de las Administraciones Tributarias Locales y

Auxiliares de Acoxpa y Xochimilco, del Módulo Central y de la Dirección de Contabilidad

y Control de Ingresos, la dependencia no realizó encuestas de satisfacción a los usuarios

finales del SISCOR.

En la reunión de confronta, celebrada el 3 de diciembre de 2019, el Director General de

Armonización Contable y Rendición de Cuentas, en representación de la SAF, con el

oficio núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, proporcionó

copia del oficio núm. SAF/DGTC/570/2019 del 28 de noviembre de 2019, mediante el

cual la Dirección General de Tecnologías y Comunicaciones informó a la Dirección


“… cada vez que se atienda una solicitud de servicio se encuentra en la siguiente

dirección electrónica https://www.onlineencuesta.com/s/72a35b4, la encuesta que permitirá

evaluar la satisfacción del usuario.”

Sin embargo, la dependencia no presentó evidencia de haber comunicado a las áreas

operativas del SISCOR que la encuesta de satisfacción a los usuarios finales se encontraba

en esa dirección electrónica, lo que denota una falta de seguimiento en la evaluación

y monitoreo para generar estrategias de gestión como parte del proceso de formación y

mejora continua en el SISCOR, por lo que la observación prevalece.

Por no realizar encuestas de satisfacción a los usuarios finales del SISCOR, la SAF incumplió

el artículo 31 de la Ley de Gobierno Electrónico del Distrito Federal, publicada en la

Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de 2015, vigente en 2018,

que señala:

“Artículo 31. Los Órganos de la Administración Pública desarrollarán metodologías […]

que incluyan la evaluación y monitoreo, para generar estrategias de gestión como parte

del proceso de formación y mejora.”

Se concluye que la SEFIN contó con un enlace de datos o servicio de internet de 100 Mb

para la operación y administración del SISCOR; el servidor en donde se hospeda el sistema

339 VOLUMEN 1/14

se encuentra actualizado en los sistemas operativo y de gestión de base de datos, la cual

contó con reglas que evitan la redundancia de éstos, lo que asegura la integridad de la

información contenida en la base de datos; sin embargo, no dispuso de un manual de usuario

para la operación del SISCOR o con la difusión del Manual General de SISCOR ni se

realizaron sesiones de capacitación para su operación; tampoco se efectuaron encuestas

de satisfacción del servicio a los usuarios finales de dicho sistema.


Es necesario que la Secretaría de Administración y Finanzas, por conducto de la Dirección

General de Tecnologías y Comunicaciones, implemente mecanismos de control y supervisión

para asegurarse de que los manuales de usuarios sean difundidos a las áreas que operan

los sistemas, como el caso del Sistema de Control de Recaudación, en cumplimiento de las

Normas Generales que deberán observarse en materia de Seguridad de la Información en

la Administración Pública del Distrito Federal.


Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos de

control y supervisión para asegurarse de que se capacite al personal encargado de la gestión y

operación del Sistema de Control de Recaudación, en cumplimiento de la Ley de Gobierno

Electrónico del Distrito Federal.




para asegurarse de que, como parte del proceso de mejora continua, se realicen encuestas

de satisfacción del servicio a los usuarios finales del Sistema de Control de Recaudación,

en cumplimiento de la Ley de Gobierno Electrónico del Distrito Federal.

340 VOLUMEN 1/14

Gobernanza de TIC

3. Resultado

Con el objetivo de evaluar si los controles relativos a la gobernanza de TIC se ajustaran a

las normas y buenas prácticas; y si se contó con procedimientos que permitieran el adecuado

desempeño del SISCOR y con un área responsable de administrarlo, la ASCM realizó entrevistas,

inspecciones y pruebas informáticas. Como resultado, se determinó lo siguiente:



las Políticas de Gobernanza de las Tecnologías de la Información y Comunicaciones para la

Secretaría de Finanzas del Gobierno del Distrito Federal, de cuyo análisis se desprende

que las políticas, su contenido y estructura se encuentran fundamentadas en las Normas

Generales que deberán observarse en materia de Seguridad de la Información en la

Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito

Federal núm. 121 el 9 de julio de 2007, vigentes en 2018.

2. En el manual administrativo con registro núm. MA-25/240715-D-SF-17/2013, se incluyó

el procedimiento “Registro y Control de los Ingresos Obtenidos por el Gobierno del Distrito

Federal”, que incluyen las actividades extraer, capturar y validar las cifras diarias de

control de recaudación y reportar los resultados a la Dirección General de Informática para

que, en caso de error, inicie el reproceso de los archivos, ingrese nuevamente las cifras

al SISCOR y realice la corrección, en cumplimiento del artículo 13, norma 7, “Seguridad

de las Operaciones”; apartado 7.4, “Manejo de Dispositivos y Documentos”; subapartado

7.4.2, “Procedimientos para el manejo de la información”, de las Normas Generales que

deberán observarse en materia de Seguridad de la Información en la Administración

Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal el

9 de julio de 2007, vigentes en 2018.

En las entrevistas e inspecciones realizadas en las Administraciones Tributarias Locales y

Auxiliares de Acoxpa y Xochimilco, el Módulo Central y la Dirección de Contabilidad

y Control de Ingresos, se verificó que dichas unidades administrativas desconocían

341 VOLUMEN 1/14

las políticas de gobernanza de TIC desarrolladas por la entonces Dirección General de

Informática de la SEFIN.







“… se tiene proyectado realizar una actualización de las ‘Políticas de Gobernanza en

Tecnologías de la Información y Comunicaciones para la Secretaría de Administración

y Finanzas’ […] Los trabajos de actualización se realizan posterior al período de

recaudación 2020…”

Ello denota que las políticas de gobernanza de TIC no han sido difundidas a las unidades

administrativas encargadas de la operación del SISCOR, debido a que dicho documento

está en proceso de elaboración, por lo que la observación prevalece.

Por no difundir las políticas de gobernanza de TIC a las unidades administrativas encargadas

de la operación del SISCOR, la SEFIN incumplió el artículo 13, norma 7, “Seguridad de

las Operaciones”; apartado 7.4, “Manejo de dispositivos y documentos”; subapartado 7.4.2,

“Procedimientos para el manejo de la información”, de las Normas Generales que deberán

observarse en materia de Seguridad de la Información en la Administración Pública del

Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121



Seguridad de la Información, son las siguientes. […]

”7. Seguridad de las Operaciones […]

”7.4 Manejo de dispositivos y documentos […]

342 VOLUMEN 1/14

”7.4.2 Procedimientos para el manejo de la información

”Definir, implementar y difundir procedimientos para el manejo y almacenamiento de todo

tipo de información sensible, para protegerla contra usos o divulgación no autorizada y

abusos.”

3. En las entrevistas realizadas al personal de la SAF el 21 y 24 de octubre de 2019, se

constató que en 2018 el área encargada de administrar el SISCOR fue la Dirección

General de Tecnologías y Comunicaciones, de conformidad con el artículo 32 de la Ley

de Gobierno Electrónico del Distrito Federal publicada en la Gaceta Oficial del Distrito

Federal núm. 192 el 7 de octubre de 2015, vigente en 2018.

Se concluye que la SEFIN dispuso de un documento referente a políticas de gobernanza

de TIC; de un procedimiento que tiene como actividades extraer, capturar y validar las cifras

diarias de control de recaudación y reportar al área correspondiente en caso de algún error;

y de la Dirección General de Tecnologías y Comunicaciones como área encargada de

administrar el SISCOR; sin embargo, las unidades administrativas que operaron el SISCOR

desconocieron las políticas de gobernanza de TIC, lo que podría obstaculizar la calidad de

las TIC y la realización de una evaluación periódica de los recursos que se utilizan para el

cumplimiento de los objetivos de la dependencia.




para asegurarse de que las políticas de gobernanza de Tecnologías de la Información y

Comunicaciones sean difundidas a las áreas operativas del Sistema de Control de Recaudación,

en cumplimiento de las Normas Generales que deberán observarse en materia de Seguridad de

la Información en la Administración Pública del Distrito Federal.

343 VOLUMEN 1/14

Seguridad de la Información

4. Resultado

Con la finalidad de verificar que se haya contado con políticas y controles de seguridad

suficientes y efectivos para la operación del SISCOR; y con accesos lógicos y físicos, se

realizaron entrevistas a servidores públicos de la Dirección General de Tecnologías

y Comunicaciones e inspecciones físicas y pruebas informáticas al centro de datos el

24 de octubre de 2019. Como resultado, se determinó lo siguiente:



las Políticas de Seguridad de la Información, de cuyo análisis se desprende que se

desarrollaron usando como antecedente la Norma Técnica de Seguridad de la Dirección

General de Informática adscrita a la SEFIN y los documentos oficiales en materia

de informática emitidos por el entonces Gobierno del Distrito Federal, con la finalidad de

homogeneizar el uso de la infraestructura de cómputo y garantizar el buen funcionamiento

que además permita el flujo adecuado de información entre todas las áreas de la Dirección

General de Informática; y las políticas se clasificaron en Personal, Hardware, Software,

Datos, Telecomunicaciones, Servicio e Instalaciones Físicas.

Asimismo, en el manual administrativo con registro núm. MA-25/240715-D-SF-17/2013,

se incluyeron dos procedimientos; el primero, “Instalación, Configuración y Respaldo

de Servidores”, tiene como objetivo “configurar o realizar respaldo de servidores con el

sistema operativo, las aplicaciones y los servicios que se requieran en la plataforma

informática, a fin de brindar servicios informáticos de calidad…”; y el segundo, “Atención

a las Solicitudes de Alta, Modificación y/o Bajas de Claves de Usuarios de los Sistemas

Informáticos que se encuentran en Resguardo y Administración de la Dirección General

de Informática”, se dirige a “atender las solicitudes de Alta, Modificación y/o Baja de

claves de usuarios de los Sistemas Informáticos que se encuentran en resguardo y

administración de la Dirección General de Informática, del personal de la Secretaría de

Finanzas del Gobierno del Distrito Federal, a fin de garantizar la confiabilidad, seguridad

y uso adecuado de las claves de usuario por parte de los usuarios”. Lo anterior, en

344 VOLUMEN 1/14

cumplimiento del artículo 13, norma 2, “Política de Seguridad”; apartado 2.1, “Definición

y documentación de la política de seguridad de la información”, de las Normas Generales



el 9 de julio de 2007, vigentes en 2018.

En las entrevistas e inspecciones realizadas en las Administraciones Tributarias Locales y

Auxiliares de Acoxpa y Xochimilco, el Módulo Central y la Dirección de Contabilidad

y Control de Ingresos, se verificó que los servidores públicos de dichas unidades

administrativas desconocían las políticas de seguridad de TIC desarrolladas por la

entonces Dirección General de Informática de la SEFIN.







“… se encuentran en proceso de revisión las políticas, prácticas, medidas y procedimientos

existentes, en materia de Seguridad de la Información […] Los trabajos de actualización

se realizan posterior al período de recaudación 2020…”

Lo anterior denota que las políticas de seguridad de TIC no han sido difundidas a las

unidades administrativas encargadas de la operación del SISCOR, debido a que dicho

documento está en proceso de revisión, por lo que la observación prevalece.

Por no difundir las políticas de seguridad de TIC a las unidades administrativas encargadas

de la operación del SISCOR, la SEFIN incumplió el artículo 13, norma 5, “Seguridad de

la Información y el Personal”; apartado 5.2, “Durante el empleo”; subapartado 5.2.2,

“Acciones disciplinarias”, de las Normas Generales que deberán observarse en materia

de Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas

345 VOLUMEN 1/14

en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigente en 2018,

que señala:


Seguridad de la Información, son las siguientes […]

”5. Seguridad de la Información y el Personal […]

”5.2 Durante el empleo […]

”5.2.2 Acciones disciplinarias.

”Se deben definir, publicar y difundir las acciones disciplinarias o disuasivas que deberán

aplicarse a empleados que no cumplan con la política de seguridad de la información o

hagan mal uso de los recursos de TI. La Administración en las dependencias […] deberá

incluir este tópico como parte del proceso de sensibilización que realice al personal de

la Institución.”

2. Con relación a si los controles fueron suficientes y efectivos para la seguridad física, lógica y

de red en la infraestructura tecnológica para la operación del SISCOR, se observó lo

siguiente:

a) De la inspección realizada el 24 de octubre de 2019 al centro de datos que hospeda

a los servidores con los que opera el SISCOR, se conoció que la dependencia contó

con energía eléctrica polarizada y aterrizada para evitar que la infraestructura de

las TIC sufra daños en caso de alguna situación adversa, en cumplimiento del

artículo 13, norma 6 “Seguridad Física y del Entorno”, objetivo del apartado 6.2

“Seguridad del Equipamiento”, de las Normas Generales que deberán Observarse

en materia de Seguridad de la Información en la Administración Pública del Distrito

Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio

de 2007, vigentes en 2018; y alienado con el estándar internacional ISO/IEC 27002

(Organización Internacional de Normalización y la Comisión Electrotécnica Internacional,

346 VOLUMEN 1/14

International Organization for Standardization and International Electrotechnical

Commission, por sus siglas en inglés) en su apartado 11.2.2.

Asimismo, el centro de datos se encontró en adecuadas condiciones de operación

y se observó la realización de tareas de mantenimiento a la infraestructura, en

cumplimiento del artículo 13, objetivo de la norma 7 “Seguridad de las Operaciones”,

de las Normas Generales que deberán Observarse en materia de Seguridad de

la Información en la Administración Pública del Distrito Federal, publicadas en la

Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en 2018.

b) En la entrevista e inspección realizada el 1o. de noviembre de 2019 al área encargada

de administrar la seguridad en las redes de datos, se constató que la dependencia

cuenta con un dispositivo electrónico cortafuegos o firewall físico de la marca Check

Point, modelo 5800, cuyo objetivo es filtrar accesos no autorizados y proteger contra

códigos maliciosos, en cumplimiento del artículo 13, norma 7, “Seguridad de las

Operaciones”; apartado 7.3, “Protección contra código malicioso”; subapartado 7.3.1,

“Controles contra código malicioso”, de las Normas Generales que deberán Observarse



de 2007, vigente en 2018.

Asimismo, se comprobó que la dependencia monitorea la red de datos por medio

de la aplicación Thruk, para verificar la disponibilidad de los servicios y supervisar

el tráfico de la red y el uso de memoria y procesadores de los servidores en los centros

de datos, en cumplimiento del artículo 13, norma 7, “Seguridad de las Operaciones”;

apartado 7.6, “Monitoreo de los sistemas”; subapartado 7.6.2, “Monitoreo de los

Sistemas y recursos en uso”, de las Normas Generales que deberán Observarse



de 2007, vigentes en 2018.

c) El SISCOR se instaló en un servidor con sistema operativo GNU SUSE Enterprise

Server, versión 10, y utiliza el sistema de gestión de base de datos PostgreSQL

347 VOLUMEN 1/14

versión 8.4.7 dentro de un sistema operativo virtualizado con el sistema operativo

OpenSUSE versión 12.3. Dicho software opera adecuadamente, lo que minimiza la

probabilidad de ocurrencia de fallas en la seguridad de las operaciones de los sistemas

y de las aplicaciones que se encuentren alojadas en los servidores que operan en

estas plataformas, en cumplimiento del artículo 13, norma 7, “Seguridad de las

Operaciones”; objetivo del apartado 7.2, “Pruebas de aceptación”, de las Normas

Generales que deberán observarse en materia de Seguridad de la Información en

la Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del

Distrito Federal núm. 121 el 9 de julio de 2007, vigente en 2018.

Se concluye que la SEFIN contó con procedimientos para el respaldo de servidores y atención

de solicitudes de altas, modificaciones o bajas de claves de usuarios, con energía eléctrica

polarizada y aterrizada para evitar que la infraestructura de TIC sufra daños en caso de

alguna situación adversa y con un firewall para filtrar accesos inapropiados y códigos maliciosos.

Además, la dependencia monitorea la red para verificar la disponibilidad de los servicios, el

tráfico de la red, el uso de memoria y procesadores de los servidores en los centros de datos, los

cuales operan adecuadamente para asegurar el funcionamiento de las instalaciones; y el servidor

donde se aloja el SISCOR se encuentra operando apropiadamente, lo que minimiza el riesgo

de fallas en la seguridad. A pesar de tener un documento referente a políticas de seguridad de

TIC, éste no fue difundido a las diversas áreas de la dependencia que operan el SISCOR.




para asegurarse de que las políticas de seguridad de Tecnologías de la Información y

Comunicaciones sean difundidas a las áreas operativas del Sistema de Control de Recaudación,

en cumplimiento de las Normas Generales que deberán observarse en materia de Seguridad de

la Información en la Administración Pública del Distrito Federal.

348 VOLUMEN 1/14

Continuidad del Servicio y Recuperación de Desastres

5. Resultado

Con objeto de evaluar si las políticas de continuidad del servicio y recuperación de desastres,

el plan de mantenimiento correctivo y preventivo a la infraestructura de TIC y los controles

de accesos no autorizados y de seguridad en el centro de datos salvaguardaron los equipos de

misión crítica e infraestructura tecnológica para que el SISCOR proporcione un servicio

de manera ininterrumpida, la ASCM realizó entrevistas a servidores públicos de la Dirección

General de Tecnologías y Comunicaciones el 21 de octubre de 2019, así como inspecciones

físicas y pruebas informáticas en el centro de datos el 24 de octubre de 2019. Como resultado,

se determinó lo siguiente:

1. La dependencia no acreditó contar con controles relacionados con las políticas de continuidad

del servicio y recuperación de desastres para que el SISCOR preste un servicio de manera

ininterrumpida.

En la entrevista realizada el 21 de octubre de 2019 en la Dirección General de Tecnologías

y Comunicaciones, se tuvo conocimiento de que la dependencia tiene un Plan de

Recuperación de Desastres (que no es específico para el SISCOR) y el aseguramiento

de la continuidad de sus operaciones.





en el que la Dirección General de Tecnologías y Comunicaciones envió a la Dirección

General de Armonización Contable y Rendición de Cuentas “el índice de contenido del

nuevo DRP [Plan de Recuperación de Desastres, Disaster Recovery Plan, por sus

siglas en inglés] el cual contempla un apartado específico para el […] SISCOR, que […]

por la naturaleza del documento, no puede ser anexado”. Esto último imposibilitó

realizar un análisis del contenido del documento para comprobar que incluye políticas

349 VOLUMEN 1/14

de continuidad del servicio del SISCOR y recuperación de desastres, por lo que la


Por no acreditar que contaba con políticas de continuidad del servicio del SISCOR y

recuperación de desastres, la SEFIN incumplió el artículo 13, norma 11, “Continuidad de las

Operaciones”; apartado 11.1, “Plan de continuidad de las Operaciones”; subapartado

11.1.1, “Planeación de la continuidad de las operaciones”, segundo párrafo, de las Normas

Generales que deberán observarse en materia de Seguridad de la Información en la

Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito

Federal núm. 121 el 9 de julio de 2007, vigentes en 2018.



”11. Continuidad de las Operaciones […]

”11.1. Plan de continuidad de las operaciones […]

”11.1.1. Planeación de la continuidad de las operaciones […]

”Se debe definir, desarrollar e implementar un plan para mantener o restaurar las operaciones,

que asegure la disponibilidad de la información en el nivel y escala de tiempo requeridos

por la Institución.”

2. En las inspecciones y entrevistas realizadas en la Dirección General de Tecnologías y

Comunicaciones, las Administraciones Tributarias Locales y Auxiliares de Xochimilco,

el Módulo Central y la Dirección de Contabilidad y Control de Ingresos, se conoció que

si bien la SEFIN subscribió el Contrato abierto de prestación del servicio de mantenimiento

preventivo y correctivo a IBM System Storage TS3500 Tape Library, IBM XIV e IBM Eserver

Blade Center para Secretaría de Finanzas de la Ciudad de México, núm. CS-061/2018,

el 14 de junio de 2018, con vigencia del 13 de noviembre al 31 de diciembre de 2018,

y contó con dos bitácoras de mantenimiento a servidores realizado el 21, 28 y 29 de noviembre

de 2018, el equipo de cómputo con que opera el SISCOR no recibió mantenimiento

350 VOLUMEN 1/14

preventivo ni correctivo en 2018 para asegurar su disponibilidad, fiabilidad y larga vida

útil. Por consiguiente, la SEFIN no dispuso de bitácoras de mantenimiento al equipo de

cómputo con que opera el SISCOR.






General de Armonización Contable y Rendición de Cuentas que “se realizó mantenimiento

preventivo y correctivo de los servidores que alojan los procesos críticos” y adjuntó los

reportes de las tareas de mantenimiento preventivo y correctivo realizadas a los servidores

alojados en el centro de datos de la dependencia. Sin embargo, la dependencia no

presentó evidencia de haber efectuado mantenimiento preventivo y correctivo al equipo

de cómputo de las áreas operativas del SISCOR, por lo que la observación prevalece.

Por no realizar acciones de mantenimiento preventivo y correctivo al equipo de cómputo

para operar el SISCOR en las unidades administrativas, la SEFIN incumplió el artículo 13,

objetivo de la norma 11, “Continuidad de las Operaciones”, de las Normas Generales






”11 Continuidad de las Operaciones.

”Objetivo.

”Minimizar los efectos de las posibles interrupciones de las actividades normales de la

Institución (sean éstas resultado de desastres naturales, accidentes, fallas en el equipamiento,

351 VOLUMEN 1/14

acciones deliberadas u otros hechos) y proteger los procesos críticos mediante una

combinación de controles preventivos y acciones de recuperación.”

3. El centro de datos donde se encuentran hospedados los servidores del SISCOR contó

con lo siguiente:

a) Dispositivo de control de acceso electrónico y cámaras de seguridad, en cumplimiento

del artículo 13, norma 6, “Seguridad Física y del Entorno”; apartado 6.1, “Áreas seguras”;

subapartado 6.1.2, “Perímetro de seguridad físico”, de las Normas Generales que

deberán observarse en materia de Seguridad de la Información en la Administración

Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal

núm. 121 el 9 de julio de 2007, vigentes en 2018.

b) Bitácoras de registro de acceso, en cumplimiento del artículo 13, norma 8, “Control

de Acceso”; apartado 8.1, “Requerimientos para el control de acceso”; subapartado

8.1.1, “Política de control de acceso”, de las Normas Generales que deberán observarse




c) Sistema de alarmas contra incendios, extintores repartidos en diferentes puntos y

un dispositivo de alerta sísmica, en cumplimiento del artículo 13, norma 6, “Seguridad

Física y del Entorno”; apartado 6.1, “Áreas seguras”; subapartado 6.1.1, “Protección

contra amenazas internas y externas”, de las Normas Generales que deberán observarse




Se concluye que la SEFIN contó con dispositivos de control de acceso electrónico y cámaras de

seguridad, bitácoras de registro de acceso y sistema de alarmas contra incendios en el

centro de datos donde se encuentran los servidores que hospedan el SISCOR; con un contrato

de mantenimiento correctivo y preventivo de dichos servidores y a la base de datos; sin

embargo, no dispuso de un documento relativo a la recuperación de desastres para asegurar

352 VOLUMEN 1/14

la continuidad de la operación de los recursos tecnológicos y servicios críticos ni acreditó

que el SISCOR recibiera mantenimiento preventivo y correctivo, ya que careció de bitácoras

con registros de los mantenimientos realizados a los equipos de cómputo con que opera el

sistema.




para asegurarse de que se cuente con un Plan de Recuperación de Desastres que considere

el Sistema de Control de Recaudación y dé continuidad a sus operaciones, de conformidad

con las Normas Generales que deberán observarse en materia de Seguridad de la Información

en la Administración Pública del Distrito Federal.




para asegurarse de que se cuente con un plan de mantenimiento preventivo y correctivo a

la infraestructura tecnológica y con bitácoras del mantenimiento realizado que garanticen

su disponibilidad, fiabilidad y larga vida útil, en cumplimiento de las Normas Generales que

deberán observarse en materia de Seguridad de la Información en la Administración Pública del

Distrito Federal.

Desarrollo y adquisición de TIC

6. Resultado

Con objeto de evaluar los controles implementados para el desarrollo y adquisición de TIC

relacionados con el SISCOR, alineados a las mejores prácticas de TIC y con la solicitud de

dictámenes técnicos para realizar adquisiciones y celebrar contratos, la ASCM llevó a cabo

inspecciones, entrevistas y pruebas de auditoría. Del análisis a la información y documentación

proporcionadas por la dependencia, se determinó lo siguiente:

353 VOLUMEN 1/14

1. La SAF no envió información que acreditó disponer de controles para el desarrollo y

adquisición de TIC.

Según la entrevista realizada el 21 de octubre de 2019 a servidores públicos de la Dirección

General de Tecnologías y Comunicaciones, se cuenta con políticas de desarrollo o

adquisición acordes con las de la entonces Dirección General de Gobernabilidad de

Tecnologías de la Información y Comunicaciones de la extinta OM.

Asimismo, en el manual administrativo con registro núm. MA-25/240715-D-SF-17/2013,

se incluyeron los procedimientos “Análisis y Diseño de Sistemas Informáticos”, “Desarrollo

de Sistemas Informáticos” e “Implementación de Sistemas Informáticos”, para apoyar

la creación de sistemas una vez realizado el análisis, diseño e implementación a fin de

identificar la arquitectura, componentes e implicaciones que tendrá a nivel tecnológico

y del área para su desarrollo y la realización de pruebas para asegurar un funcionamiento

adecuado para su liberación y puesta en marcha en un ambiente de producción, en

cumplimiento del artículo 13, objetivo de la norma 9, “Adquisición, Desarrollo y Mantenimiento

de Sistemas”, de las Normas Generales que deberán observarse en materia de

Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas en la

Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en 2018,

alineado al inciso 2) del control BAI02, “Prácticas, Entradas/Salidas y Actividades del

Proceso”, de las mejores prácticas del COBIT 5, publicadas por la Asociación de Auditoría

y Control en Sistemas de Información en julio de 2012, ambos vigentes en 2018.

2. Mediante el oficio núm. SAF/SE/DGACyRC/3214/2019 del 25 de junio de 2019, la

Dirección General de Armonización Contable y Rendición de Cuentas de la SAF envió

copia del oficio núm. SFCDMX/DGI/068/2019 del 7 de febrero de 2018, con el que la

Dirección General de Informática de la SEFIN comunicó el Plan Estratégico de Tecnologías

de la Información y Comunicaciones (PETIC) a la entonces Dirección General de

Gobernabilidad de Tecnologías de la Información y Comunicaciones de la extinta OM,

en cumplimiento del apartado 10.3, “De la estrategia de gobierno electrónico y tecnologías

de información y comunicaciones”, numerales 10.3.3 y 10.3.4, de la Normatividad en

materia de Administración de Recursos para las Dependencias, Unidades Administrativas,

Unidades Administrativas de Apoyo Técnico Operativo, Órganos Desconcentrados y

354 VOLUMEN 1/14

Entidades de la Administración Pública del Distrito Federal (Circular Uno), publicada en

la Gaceta Oficial del Distrito Federal núm. 179, tomo I, el 18 de septiembre de 2015,

vigentes en 2018.

3. Mediante el oficio núm. SAF/SE/DGACyRC/5105/2019 del 25 de octubre de 2019,

la SAF envió el oficio núm. SFCDMX/DGI/009/2018 del 4 de enero de 2018, con el que la

Dirección General de Informática de la SEFIN requisitó a la entonces Dirección General

de Gobernabilidad de Tecnologías de la Información y Comunicaciones de la extinta

OM la solicitud del dictamen técnico para el “Arrendamiento de la Infraestructura

Informática instalada en el Centro de Datos de la Secretaría de Finanzas 2018”, en

cumplimiento del apartado 10.4, “De las solicitudes de dictamen técnico”, de la Normatividad

en materia de Administración de Recursos para las Dependencias, Unidades Administrativas,

Unidades Administrativas de Apoyo Técnico Operativo, Órganos Desconcentrados y

Entidades de la Administración Pública del Distrito Federal (Circular Uno), publicada en

la Gaceta Oficial del Distrito Federal núm. 179, Tomo I, el 18 de septiembre de 2015,

vigente en 2018.

Se concluye que la SEFIN contó con procedimientos en su manual administrativo para el

desarrollo de sistemas, envió el PETIC a la entonces Dirección General de Gobernabilidad de

Tecnologías de la Información y Comunicaciones de la extinta OM y solicitó el dictamen

técnico para el Arrendamiento de la Infraestructura Informática instalada en el Centro de Datos,

en cumplimiento de la Normatividad en materia de Administración de Recursos para las

Dependencias, Unidades Administrativas, Unidades Administrativas de Apoyo Técnico Operativo,

Órganos Desconcentrados y Entidades de la Administración Pública del Distrito Federal

(Circular Uno), vigente en 2018.

RESUMEN DE OBSERVACIONES Y ACCIONES

Se determinaron 6 resultados; de éstos, 5 resultados generaron 12 observaciones, las cuales

corresponden a 8 recomendaciones.

Del total de observaciones identificadas y mencionadas en el párrafo anterior, de una observación

no se emitirá recomendación debido a que la deficiencia de control interno ya fue subsanada; y a

355 VOLUMEN 1/14

tres se les dará tratamiento mediante la implementación de mecanismos que eviten su recurrencia,

como parte del seguimiento de las recomendaciones ASCM-20-18-1-SAF y ASCM-20-18-2-SAF.

La información contenida en el presente apartado refleja las acciones derivadas de la

auditoría que hasta el momento se han detectado por la práctica de pruebas y procedimientos de

auditoría; sin embargo, podrían sumarse observaciones y acciones adicionales a las señaladas,

producto de los procesos institucionales, de la recepción de denuncias y del ejercicio de las

funciones de investigación y sustanciación a cargo de esta entidad de fiscalización superior.

JUSTIFICACIONES Y ACLARACIONES

La documentación proporcionada a esta entidad de fiscalización superior de la Ciudad de

México por el sujeto fiscalizado con motivo de la reunión de confronta fue analizada con el

fin de determinar la procedencia de desvirtuar o modificar las observaciones incorporadas por la

Auditoría Superior de la Ciudad de México en el Informe de Resultados de Auditoría para

Confronta, cuyo resultado se plasma en el presente Informe Individual, que forma parte del

Informe General Ejecutivo del Resultado de la Fiscalización Superior de la Cuenta Pública

de la Ciudad de México.

En atención a las observaciones señaladas, el sujeto fiscalizado remitió el oficio

núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, mediante el cual presentó

información y documentación con el propósito de atender lo observado; no obstante, derivado del

análisis efectuado por la unidad administrativa de auditoría a la información y documentación

proporcionadas por el sujeto fiscalizado, se advierte que los resultados núms. 1, 2, 3, 4 y 5

se consideran no desvirtuados.

DICTAMEN

La auditoría se realizó con base en las guías de auditoría, manuales, reglas y lineamientos

de la Auditoría Superior de la Ciudad de México; las Normas Profesionales del Sistema de

Fiscalización; las Normas Internacionales de las Entidades Fiscalizadoras Superiores, emitidas

por la Organización Internacional de Entidades Fiscalizadoras Superiores; y demás disposiciones

de orden e interés públicos aplicables a la práctica de la auditoría.

356 VOLUMEN 1/14

Este dictamen se emite el 8 de enero de 2020, una vez concluidos los trabajos de la

auditoría, la cual se practicó sobre la información proporcionada por el sujeto fiscalizado,

que es responsable de su veracidad. Con base en los resultados obtenidos en la auditoría,

cuyo objetivo fue verificar que el SISCOR, así como la infraestructura tecnológica

(hardware, software y redes de datos) y demás sistemas relacionados con la atención a los

usuarios de la red administrativa, operen de manera efectiva, eficaz y eficiente; y que éstos

correspondan a los objetivos para los que fueron adquiridos, de acuerdo con la normatividad

de TIC aplicable, y derivados del ejercicio de las funciones y atribuciones de la dependencia,

y específicamente respecto de la muestra revisada que se establece en el apartado

relativo al alcance y determinación de la muestra, se concluye que, en términos generales,

el sujeto fiscalizado cumplió parcialmente las disposiciones legales y normativas aplicables

en la materia.

PERSONAS SERVIDORAS PÚBLICAS A CARGO DE REALIZAR LA AUDITORÍA

En cumplimiento del artículo 36, párrafo decimotercero, de la Ley de Fiscalización Superior

de la Ciudad de México, se enlistan los nombres y cargos de las personas servidoras públicas de

la Auditoría Superior de la Ciudad de México involucradas en la realización de la auditoría:

Persona servidora pública Cargo

L.C. María Guadalupe Xolalpa García Directora General

Mtra. Gloria Hernández Hernández Directora de Auditoría “B”

Mtro. Jesús López Juárez Subdirector de Área

Mtro. Jorge Rodrigo Rodríguez Calderas Auditor Fiscalizador TIC “C”

Lic. Ramsés Gutiérrez Zepeda Auditor Fiscalizador TIC “C”

i.4. secretarÍa de administraciÓn y finanzasen el formato “ar acciones realizadas para la...

Documents