315 VOLUMEN 1/14
I.4. SECRETARÍA DE ADMINISTRACIÓN Y FINANZAS
I.4.1. AUDITORÍA DE CUMPLIMIENTO CON ENFOQUE EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
I.4.1.1. SISTEMA DE CONTROL DE RECAUDACIÓN (SISCOR)
Auditoría ASCM/13/18
FUNDAMENTO LEGAL
La auditoría se llevó a cabo con fundamento en los artículos 122, apartado A, base II, sexto
y séptimo párrafos, de la Constitución Política de los Estados Unidos Mexicanos; 62 de la
Constitución Política de la Ciudad de México; 13, fracción CXI, de la Ley Orgánica del Congreso
de la Ciudad de México; 1; 2, fracciones XIV y XLII, inciso a); 3; 8, fracciones I, II, IV, VI, VIII, XXVI
y XXXIII; 9; 10, incisos a) y b); 14, fracciones I, VIII, XVII, XX y XXIV; 22; 24; 27; 28; 30; 32; 33; 34;
35; 36; 37; 61; y 62 de la Ley de Fiscalización Superior de la Ciudad de México; y 1; 4; 5,
fracción I, inciso b); 6, fracciones V, VIII y XXXV; y 30 del Reglamento Interior de la Auditoría
Superior de la Ciudad de México.
ANTECEDENTES
En el formato “AR Acciones Realizadas para la Consecución de Metas de las Actividades
Institucionales” del Informe de Cuenta Pública de 2018 de la Secretaría de Administración y
Finanzas (SAF), en particular de la actividad institucional 314 “Coordinación de la Administración
Tributaria”, se indicó que, entre las acciones efectuadas por la dependencia, se encuentra
la siguiente:
“Se realizaron operaciones referentes al pago de contribuciones recibidas en las Administraciones
Tributarias de la Tesorería, así como las operaciones realizadas por el pago de contribuciones
en instituciones bancarias y centros comerciales, los cuales son registrados en el Sistema
de Control de Recaudación de la Secretaría de Finanzas y se realizaron solicitudes para la
localización y validación de pagos.”
316 VOLUMEN 1/14
Asimismo, en el rubro Modernización Tributaria y Servicios al Contribuyente del inciso I.II.1.3,
“Ingresos del Sector Gobierno”, perteneciente al subapartado I.II.1, “Ingresos Presupuestarios”,
del apartado I.II, “Análisis de los Componentes de las Finanzas Públicas”, del Tomo I, “Resultados
Generales”, de la Cuenta Pública de la Ciudad de México de 2018, se informó lo siguiente:
“Al cierre de 2018, el GCDMX ofreció a la ciudadanía una red de 8,505 puntos de pago y
atención, la cual estuvo integrada por sucursales y portales bancarias, tiendas de autoservicio
y de conveniencia, portales institucionales, kioskos, auxiliares de la Tesorería, por mencionar
algunos, además de las tradicionales oficinas de la Tesorería (AT’s), lo que permite que los
contribuyentes de la CDMX cuenten con la red de pagos y atención más amplia y diversificada
del país los 365 días del año las 24 horas del día.”
CRITERIOS DE SELECCIÓN
Esta auditoría se propuso de conformidad con los siguientes criterios generales de selección
contenidos en el Manual de Selección de Auditorías de esta entidad de fiscalización superior:
“Propuesta e Interés Ciudadano”. Se consideró que este rubro tiene impacto social e interés
para la ciudadanía, debido a que los habitantes de la Ciudad de México consultan los pagos
registrados en el SISCOR.
“Presencia y Cobertura”. Con este criterio se asegura que eventualmente se revisen todos
los sujetos de fiscalización y conceptos susceptibles de ser auditados, por estar incluidos en la
Cuenta Pública de la Ciudad de México.
OBJETIVO
El objetivo de la revisión consistió en verificar que el Sistema de Control de Recaudación
(SISCOR), así como la infraestructura tecnológica (hardware, software y redes de datos) y
demás sistemas relacionados con la atención a los usuarios de la red administrativa, operen de
manera efectiva, eficaz y eficiente; y que éstos correspondan a los objetivos para los que
fueron adquiridos, de acuerdo con la normatividad de Tecnologías de la Información y
Comunicaciones (TIC) aplicable, y derivados del ejercicio de las funciones y atribuciones
de la dependencia.
317 VOLUMEN 1/14
ALCANCE Y DETERMINACIÓN DE LA MUESTRA
Se revisó, en cuanto a los elementos que integraron el objetivo de la auditoría, de manera
enunciativa, mas no limitativa, lo siguiente:
Operaciones de TIC
Se evaluó el funcionamiento de servidores, suministro de espacio en dispositivos de
almacenamiento, prestación del servicio y gestión de capacitación del SISCOR.
Gobernanza de TIC
Se evaluaron los controles relativos a la gestión y gobernanza de TIC implementados en el
SISCOR.
Seguridad de la Información
Se evaluaron los controles de seguridad implementados en el SISCOR y la infraestructura
tecnológica que le da soporte.
Continuidad del Servicio y Recuperación de Desastres
Se verificaron los controles de manejo de incidentes implementados para asegurar la continuidad
de las operaciones, así como las prácticas involucradas en la gestión del cambio, la infraestructura
tecnológica y en el SISCOR, para que den un servicio ininterrumpido.
Desarrollo y Adquisición
Se verificaron los controles implementados para el desarrollo y adquisición de TIC
relacionados con el SISCOR.
El SISCOR es un sistema concentrador de pagos donde los usuarios del sistema pueden
visualizar, verificar y consultar la captación en los puntos de recaudación de las contribuciones que
la SAF percibe, dicho sistema administra los diferentes padrones.
318 VOLUMEN 1/14
Derivado de los trabajos que se llevaron a cabo en la fase de planeación de la auditoría y
del estudio y evaluación del diseño del control interno, se determinó revisar 36 de las
25,745,376 operaciones realizadas en tres Administraciones Tributarias Locales y Auxiliares,
como se detalla a continuación:
Administración Tributaria Local y Auxiliar Cantidad de operaciones
Universo Muestra %
Xochimilco 130,647 12 0.009 Módulo Central 47,761 12 0.025 Acoxpa 5,106 12 0.235 Total 183,514 36 0.019
Para determinar la muestra sujeta a revisión, se consideraron los criterios siguientes:
1. Se integró el universo de las contribuciones captadas y registradas en el SISCOR y en
la base de datos de ingresos tributarios y no tributarios que la SAF proporcionó a esta
entidad de fiscalización.
2. El universo de 25,745,376 operaciones se estratificó por puntos de recaudación, como
se detalla a continuación:
Punto de recaudación Número de operaciones
Administraciones Tributarias Locales y Auxiliares 1,519,946 Bancos, Tiendas de Autoservicios y Departamentales, otros 20,628,279 Caja General 949 Registro Civil 309,850 Sistema de Aguas de la Ciudad de México 2,883,547 Secretaría del Medio Ambiente 3,906 Sistema de Recepción de Pagos (SIREP) 164,865 Secretaría de Seguridad Pública 234,034 Total 25,745,376
3. Se seleccionaron las operaciones de las 26 Administraciones Tributarias Locales y Auxiliares
porque dependen de la SAF y se identificaron las operaciones realizadas en cada una
de ellas y se enlistan a continuación:
319 VOLUMEN 1/14
Administraciones Tributarias Locales y Auxiliares
Número de operaciones %
Mina 153,548 10.102 Parque Lira 153,380 10.091 Tezontle 149,721 9.850 San Jerónimo 145,232 9.555 Xochimilco 130,647 8.596 Anáhuac 122,911 8.087 Coruña 116,068 7.636 Aragón 115,709 7.613 Tepeyac 110,412 7.264 Perisur 103,772 6.827 Módulo Central 47,761 3.142 Milpa Alta 46,684 3.071 Cuajimalpa 43,209 2.843 San Borja 22,020 1.449 Centro Médico 18,945 1.246 Bosques de las Lomas 7,026 0.462 Ferrería 6,409 0.422 Acoxpa 5,106 0.336 San Lázaro 4,601 0.303 Cien Metros 3,945 0.260 Taxqueña 2,975 0.196 Tezonco 2,263 0.149 Benito Juárez 2,191 0.144 Meyehualco 2,088 0.137 San Antonio 1,959 0.129 Centro Histórico 364 0.090 Total 1,519,946 100.000
4. De las 26 Administraciones Tributarias Locales y Auxiliares, mediante el programa de
Lenguaje de Consulta Estructurado MySQL (My Structured Query Language, por sus
siglas en inglés) con la función rand, se seleccionaron aleatoriamente las Administraciones
Tributarias Locales y Auxiliares Xochimilco, Módulo Central y Acoxpa; y de éstas se
eligieron las contribuciones que se enlazan con otros sistemas, que son Sistema de
Recepción de Pagos (SIREP), Sistema Integral de Gestión y Actualización del Predial
(SIGAPRED), SISCON (antes espectáculos públicos), Sistema de Citas y Beneficios
Fiscales del Impuesto Predial, Tesorería Móvil y sistema de Subastas Electrónicas
(Tesosubastas), de las cuales se revisaron dos operaciones por sistema en cada
Administración Tributaria Local y Auxiliar seleccionada.
320 VOLUMEN 1/14
El muestreo de auditoría permite al auditor obtener y evaluar la evidencia de auditoría sobre
una determinada característica de los elementos seleccionados con el fin de alcanzar,
o contribuir a alcanzar, una conclusión respecto a la población de la que se ha extraído la
muestra; y puede aplicarse con enfoques de muestreo estadístico o no estadístico. La muestra
del universo por auditar de las operaciones realizadas en las Administraciones Tributarias
Locales y Auxiliares, lo mismo que los expedientes para la aplicación de pruebas de auditoría, se
determinaron mediante un método de muestreo no estadístico, con fundamento en la Norma
Internacional de Auditoría (NIA) 530, “Muestreo de Auditoría”, emitida por la Federación
Internacional de Contadores (IFAC); la Norma Internacional de las Entidades Fiscalizadoras
Superiores (ISSAI) 1530, “Muestreo de Auditoría”, emitida por el Comité de Normas Profesionales
de la Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI); y en el
Manual del Proceso General de Fiscalización de la Auditoría Superior de la Ciudad de México.
Los trabajos de auditoría se efectuaron en la Dirección General de Tecnologías y Comunicaciones
de la SAF, por ser la unidad administrativa encargada de administrar el SISCOR y de resguardar
la infraestructura tecnológica (hardware, software y redes de datos), así como los sistemas
relacionados con la atención ciudadana que brindan las Administración Tributarias Locales
y Auxiliares, y en la Dirección de Contabilidad y Control de Ingresos de la Subtesorería de
Administración Tributaria que concentra y administra los ingresos, según las atribuciones y
funciones previstas en el manual administrativo de esa dependencia vigente en 2018.
PROCEDIMIENTOS, RESULTADOS Y OBSERVACIONES
Evaluación del Control Interno
1. Resultado
A fin de evaluar el diseño y la efectividad del control interno implementado por la entonces
Secretaría de Finanzas (SEFIN, actualmente SAF), y disponer de una base para determinar
la naturaleza, extensión y oportunidad de las pruebas de auditoría, en cuanto al diseño, se
analizaron las atribuciones de la dependencia, el marco normativo y su manual administrativo,
vigentes en 2018, se aplicó un cuestionario de control interno, en particular, a servidores públicos
de la SAF responsables de las operaciones y gobernanza de TIC, de la seguridad de la
información, de la continuidad del servicio y recuperación de desastres y del desarrollo y
321 VOLUMEN 1/14
adquisición del SISCOR, en relación con los cinco componentes del control interno (Ambiente de
Control, Administración de Riesgos, Actividades de Control Interno, Información y Comunicación,
y Supervisión y Mejora Continua), se requisitó la cédula de evaluación del ambiente de
control con base en las respuestas obtenidas y se elaboraron tres matrices: una de riesgos,
para identificar los riesgos a que están sujetas las operaciones del rubro en revisión; otra
de control, para analizar la probabilidad de ocurrencia y el impacto de cada riesgo; y una de
unidades administrativas, para determinar la participación conforme a las funciones y atribuciones
de cada una de las áreas de la dependencia relacionadas con las operaciones del rubro en
revisión.
En cuanto a la efectividad del control interno, durante la etapa de ejecución de la auditoría,
se aplicaron pruebas de controles y procedimientos sustantivos, que incluyeron pruebas de
detalle y procedimientos analíticos sustantivos, para determinar la idoneidad, eficacia, eficiencia
en la aplicación del control interno en las unidades administrativas, así como en los procesos,
funciones y actividades de la dependencia.
La evaluación se realizó tomando como referencia la Ley de Auditoría y Control Interno de
la Administración Pública de la Ciudad de México publicada en la Gaceta Oficial de la
Ciudad de México núm. 146 Ter el 1o. de septiembre de 2017 y el Decreto por el que se
reforman, adicionan y derogan Diversas Disposiciones de la Ley de Auditoría y Control Interno
de la Administración Pública de la Ciudad de México, publicado en la Gaceta Oficial de la
Ciudad de México núm. 460 el 27 de noviembre de 2018; los Lineamientos de Control Interno
de la Administración Pública de la Ciudad de México, publicados en la Gaceta Oficial de la
Ciudad de México núm. 235 el 8 de enero de 2018; el Manual del Proceso General de
Fiscalización, en lo relativo a la evaluación del ambiente de control; y el Modelo de Evaluación
del Control Interno para la Fiscalización Superior de la Cuenta Pública de la Ciudad de
México de la Auditoría Superior de la Ciudad de México, elaborado con base en el Marco
Integrado de Control Interno para ser aplicado a los sujetos de fiscalización de la Ciudad
de México, con objeto de diagnosticar el estatus de su control interno establecido y proponer
acciones de mejora dirigidas a su fortalecimiento.
322 VOLUMEN 1/14
Ambiente de Control
Se identificaron las unidades administrativas de la SEFIN que estuvieron relacionadas con
las operaciones y gobernanza de TIC, la seguridad de la información, la continuidad del
servicio y recuperación de desastres y el desarrollo y adquisición del SISCOR; las funciones,
objetivos, actividades y procedimientos aplicados; las normas, procesos y estructura orgánica
que proporcionan la base para llevar a cabo el control interno en el sujeto fiscalizado, así como
la normatividad que proporciona disciplina y estructura para apoyar al personal en la
consecución de los objetivos institucionales; y se verificó si la dependencia estableció y mantuvo
un ambiente de control que implique una actitud de respaldo hacia el control interno, como
se indica a continuación:
1. En 2018, la SEFIN contó con dos estructuras orgánicas autorizadas por la entonces
Oficialía Mayor del Gobierno de la Ciudad de México (OM), con los dictámenes
núms. D-SEFIN-27/010917 y D-SEFIN-13/160618; la primera estuvo vigente del
1o. de septiembre de 2017 hasta el 15 de junio de 2018 y la segunda del 16 de junio
al 31 de diciembre de 2018. Dichas estructuras fueron notificadas al titular de la SEFIN
con los oficios núms. OM/0616/2017 del 16 de octubre de 2017 y OM/0431/2018 del
20 de julio de 2018.
En la estructura orgánica núm. D-SEFIN-27/010917 se previeron 1,523 plazas: 27 en
la Oficina del Secretario; 309 en la Tesorería de la Ciudad de México; 87 en la Procuraduría
Fiscal; 68 en la Subsecretaría de Administración y Capital Humano; 50 en la Subsecretaría
de Planeación Financiera; 167 en la Subsecretaría de Egresos; 113 en la Unidad de
Inteligencia Financiera de la Ciudad de México; 78 en la Dirección General de Informática;
10 en la Dirección General de Enlace, Coordinación Fiscal y Programas Federales; y
614 en las Direcciones Generales, Ejecutivas o área encargadas de la administración
en las dependencias de la Administración Pública Central.
En la estructura orgánica núm. D-SEFIN-13/160618 se consideraron 1,528 plazas en
la misma cantidad y unidades administrativas indicadas en el párrafo anterior, excepto
por las Direcciones Generales, Ejecutivas o área encargadas de la administración en
las dependencias de la Administración Pública Central, que pasaron de 614 a 619 plazas.
323 VOLUMEN 1/14
2. En 2018, la SEFIN dispuso de un manual administrativo elaborado conforme al dictamen de
estructura orgánica núm. 17/2013, registrado por la Coordinación General de Modernización
Administrativa (CGMA) con el núm. MA-25/240715-D-SF-17/2013, notificado al titular
de la SEFIN, con el oficio núm. OM/CGMA/1393/2015 del 24 de julio de 2015, publicado
en la Gaceta Oficial del Distrito Federal núm. 166, Tomo I, el 31 de agosto de 2015, con el
“Aviso por el cual se da a conocer el Manual Administrativo de la Secretaría de
Finanzas, con número de registro MA-25/240715-D-SF-17/2013”, en cuya consulta se
comprobó su existencia y vigencia a partir del día siguiente de su publicación.
En el portal de internet de la SAF se verificó que en la liga electrónica
https://data.finanzas.cdmx.gob.mx/normatividad/ogdf_manuales.html, se encuentra publicado
el manual administrativo de la SEFIN, con vigencia a partir del 1o. de septiembre
de 2015 al 31 de diciembre de 2018 para consulta de los servidores públicos.
El manual citado se integró por los apartados de marco jurídico de actuación; atribuciones;
misión, visión y objetivos institucionales; organigramas de la estructura básica; organización
y procedimientos; glosario y aprobación del manual administrativo.
Mediante el oficio núm. ACF-A/DA-B/19/059 del 8 de agosto de 2019, la ASCM solicitó
a la SAF, que indicara las causas por las que el manual administrativo de la SEFIN no
se actualizó conforme a su última estructura orgánica núm. D-SEFIN-13/160618 dictaminada.
En respuesta, mediante el oficio núm. SAF/SE/DGACyRC/3748/2019 del
14 de agosto de 2019, el sujeto fiscalizado proporcionó el oficio
núm. SAF/DGAyF/DACH/SDO/186/2019 de la misma fecha, en el que la SAF comunicó
lo siguiente:
“Le informo, que esta Subdirección de Desarrollo Organizacional, en referencia al Manual
de Organización en lo concerniente a 2018, se indica lo siguiente:
”Es importante enfatizar con respecto al Manual Administrativo vigente para el ejercicio
2018, éstos no llegaron a publicarse derivado al cierre definitivo del Sistema Institucional de
Dictaminación de Estructuras Orgánicas (SIDEO) el 06 de diciembre de 2018.
324 VOLUMEN 1/14
”Mediante oficio SAF/DGAyF/DACH/0114/2019, se reitera que la situación de los trabajos de
actualización del Manual de la Secretaría de Finanzas iniciados durante el año 2017,
fueron suspendidos, derivado del Cierre del Sistema Institucional de Dictaminación de
Estructuras Orgánicas ʻSIDEOʼ.
”Así mismo, mediante oficio SAF/DGAyF/DACH/139/2019, señala que quedó inconclusa con
respecto a los dictámenes de estructura orgánica números D-SEFIN-19/030517
y D-SEFIN-27/010917, lo anterior derivado del Cierre del Sistema Institucional de
Dictaminación de Estructuras Orgánicas (SIDEO), el cual detuvo la captura de información
desde el pasado 06 de diciembre de 2018, identificando éste como un proceso inconcluso, así
mismo, informó que se tiene un Dictamen de Estructura Orgánica D-SEAFIN-02/010119,
vigente a partir del 1o. de enero de 2019, del cual se efectúa la consecuente elaboración
del Manual Administrativo con la finalidad de sujetar las actualizaciones necesarias del
mismo.”
No obstante lo anterior, la referida deficiencia de control interno ya se encuentra
subsanada, toda vez que, en el portal de internet de la SAF, se verificó que en la liga
electrónica https://cdmxassets.s3.amazonaws.com/media/files-pdf/manual_admin/8_
DIRECCION_GENERAL_DE_LAS_TECNOLOGIAS_DE_LA_INFORMACION_Y_CO
MUNICACIONES.pdf, se encuentra publicado el manual administrativo de la Dirección
General de Tecnologías y Comunicaciones en la SAF, con registro
núm. MA-12/200919-D-SEAFIN-02/010119, de acuerdo con la estructura
orgánica núm. D-SEAFIN-02/010119; además, dicho manual administrativo fue publicado en
la Gaceta Oficial de la Ciudad de México núm. 193 el 7 de octubre de 2019, para consulta de
los servidores públicos, por lo que no se emite recomendación.
3. En 2018, los servidores públicos de la Administración Pública de la Ciudad de México,
incluidos los de la SEFIN, dispusieron del Código de Ética de los Servidores Públicos
para el Distrito Federal, publicado en la Gaceta Oficial del Distrito Federal núm. 1896 el
9 de julio de 2014, vigente en 2018, y la dependencia no estaba obligada a contar con
un código de conducta, toda vez que de conformidad con el artículo segundo transitorio
del Código de Ética de las Administración Pública de la Ciudad de México, publicado
en la Gaceta Oficial de la Ciudad de México núm. 26 el 7 de febrero de 2019, lo debería
325 VOLUMEN 1/14
publicar a más tardar dentro de los 90 días naturales siguientes a su entrada en vigor
(8 de febrero de 2019). Asimismo, el sujeto fiscalizado contó con unidades administrativas
encargadas de cumplir las obligaciones en materia de transparencia y acceso a la información,
fiscalización, rendición de cuentas y armonización contable, y de administrar los recursos
humanos y financieros, para lo cual implementó procedimientos específicos que se
formalizaron con su registro ante la CGMA y se incorporaron a su manual administrativo,
así como con un programa de capacitación y mecanismos de difusión a través de
la página de transparencia para que, en el ejercicio de sus funciones, el personal de la
dependencia se ajustara al código de ética vigente.
Con base en lo anterior, se determinó que la SEFIN contó con una estructura orgánica y un
manual administrativo dictaminado por la CGMA y con unidades administrativas encargadas
de dar cumplimiento a las obligaciones en materia de transparencia y acceso a la información,
fiscalización, rendición de cuentas y armonización contable, así como con un código de
ética difundido entre los servidores públicos a través de su página de transparencia y un
programa de capacitación, por lo que ha establecido y mantenido un ambiente de control
que implica una actitud de respaldo hacia el control interno y estableció mecanismos para que
su personal en el ejercicio de sus funciones se ajustara al código de ética vigente en 2018;
no obstante, el Manual Administrativo de la SEFIN no se actualizó conforme al último dictamen
de estructura orgánica vigente en 2018.
Administración de Riesgos
Se revisó si la SEFIN dispuso de un Comité de Administración de Riesgos y Evaluación de
Control Interno (CARECI) que le haya permitido desarrollar respuestas al riesgo, así como
administrarlo y controlarlo; y con un Órgano Interno de Control que la vigile y, en su caso,
que hubiese practicado auditorías al rubro sujeto a revisión, como se indica a continuación:
1. La SEFIN contó con un CARECI, el cual fue constituido de conformidad con los
Lineamientos de Control Interno de la Administración Pública de la Ciudad de México,
publicados en la Gaceta Oficial de la Ciudad de México núm. 235 el 8 de enero de 2018,
con unidades administrativas encargadas de atender, dar seguimiento y cumplir las
obligaciones en materia de transparencia y acceso a la Información; con un portal de
326 VOLUMEN 1/14
transparencia en el enlace electrónico http://transparencia.finanzas.cdmx.gob.mx/ y de
ventanilla única en la liga web https://data.finanzas.cdmx.gob.mx/atencion_ciudadana/
de la dependencia; con un área de armonización contable; y con áreas para la
administración de recursos humanos y financieros.
En el CARECI participó el Órgano Interno de Control en la dependencia; tuvo un Programa de
Revisión de Control Interno, integrantes nombrados o ratificados y un manual de integración
y funcionamiento; y en su operación dio seguimiento a las observaciones determinadas
por el Órgano Interno de Control en las revisiones de control interno practicadas y en áreas
identificadas de alto riesgo, derivado de lo cual propició la implementación de controles
internos.
2. El Órgano Interno de Control en la SEFIN, adscrito a la Secretaría de la Contraloría
General de la Ciudad de México (SCGCDMX), contó con atribuciones para inspeccionar
y vigilar que la dependencia cumpliera las normas y disposiciones en materia de información,
estadística, organización, procedimientos, sistemas de registro y contabilidad, contratación y
pago de personal, contratación de servicios, obra pública, adquisiciones, arrendamientos,
conservación, uso, destino, afectación, enajenación y baja de bienes muebles e inmuebles,
almacenes y demás activos; y en su Programa de Auditoría no consideró auditorías a
la dependencia en el rubro sujeto a revisión por el ejercicio de 2018.
Asimismo, de la revisión al Programa Anual de Control Interno (PACI) de la SEFIN,
proporcionado por la SCGCDMX, no se observó la implementación de controles internos
relacionados con el rubro en revisión.
Con base en lo anterior, se determinó que la dependencia contó con el CARECI, que le permite
desarrollar respuestas al riesgo, así como administrarlo y controlarlo; con un Órgano Interno de
Control que la vigila, el cual no auditó el SISCOR en el ejercicio de 2018; y con un PACI,
en el que no se observó la implementación de controles internos relacionados con el rubro
sujeto a revisión.
327 VOLUMEN 1/14
Actividades de Control Interno
Se verificó si la SEFIN contó con procedimientos que le hayan permitido prevenir, minimizar
y responder a los riesgos que pudieran afectar el cumplimiento y logro de los objetivos del
rubro en revisión y asegurar la eficacia y eficiencia de las operaciones; y si dispuso de
actividades de control para asegurarse que los informes y reportes que genera fueran
presentados oportunamente y con información confiable, como se indica a continuación:
1. En 2018, la SEFIN dispuso de 308 procedimientos que se encuentran integrados en el
manual administrativo que la CGMA registró con el núm. MA-25/240715-D-SF-17/2013.
Del total de 308 procedimientos que estuvieron vigentes en 2018, 33 tienen relación
con las TIC y son los que se indican a continuación:
Elemento Procedimiento
Operaciones de TIC
“Recepción y Gestión de Solicitudes de Servicios Informáticos” “Atención a las Solicitudes de Consumibles por parte de las Unidades Administrativas de la Secretaría de Finanzas” “Administración del Sitio WEB de la Secretaría de Finanzas” “Análisis de Indicadores de Comportamiento del Sitio WEB de la Secretaría de Finanzas” “Administración de Bases de Datos y Bodega de Datos” “Liberación, Incorporación y/o Modificación de Funciones de Cobro en el Sistema de Cajas de las Administraciones Tributarias” “Atención a solicitud de Conversión y Vinculación del Certificado Digital FIEL en el Sistema de Planeación de Recursos Gubernamentales” “Atención a solicitud de Copia de mandantes en el Sistema de Planeación de Recursos Gubernamentales” “Análisis de Esquemas de Evasión Fiscal 1, 2 y 3” “Programación de Ordenes de Auditoría en materia de Impuestos Federales Coordinados” “Visitas Domiciliarias para Revisión de Contribuciones Locales” “Recuperación de los Cheques Devueltos por el Sistema Bancario” “Análisis y Atención a Solicitudes de Validación y Pagos respecto de Créditos Fiscales Controlados por la Dirección Ejecutiva de Cobranza en materia de Impuesto Predial” “Análisis y Atención a Solicitudes de Validación y Aclaración de Pagos respecto de Créditos Fiscales controlados por la Dirección Ejecutiva de Cobranza en materia de Impuesto Predial” “Análisis y Atención a Solicitudes de Información respecto de Créditos Fiscales controlados por la Dirección Ejecutiva de Cobranza”
Continúa…
328 VOLUMEN 1/14
… Continuación
Elemento Procedimiento Gobernanza de TIC
“Elaboración del Plan de Trabajo de Proyectos Informáticos” “Seguimiento y Evaluación de Proyectos de Tecnologías de Información” “Registro y Control de los Ingresos Obtenidos por el Gobierno del Distrito Federal”
Seguridad de la información
“Instalación, Configuración y Respaldo de Servidores” “Atención a las Solicitudes de Alta, Modificación y/o Baja de claves de usuarios de los Sistemas Informáticos que se encuentran en Resguardo y Administración de la Dirección General de Informática” “Creación de Ambientes Virtuales” “Monitoreo para la Prevención y/o Notificación de Incidentes en los Equipos de Cómputo y Sistemas de Misión Crítica de la Dirección General de Informática”
Continuidad del servicio y recuperación de desastres
“Atención a Incidentes de Seguridad Informática (Procesos, Tecnologías, Personas)” “Atención de Solicitudes de Soporte Técnico a las áreas de la Secretaría de Finanzas” “Administración de la Red de Comunicaciones” “Detección y Análisis de Vulnerabilidades” “Mantenimiento Preventivo a Equipos de Cómputo a través de un Proveedor o Compañía de Servicio” “Atención a las solicitudes de Servicios de Red LAN y WAN” “Administración y Mantenimiento del Sistema de Energía Eléctrica Regulada, Respaldo y Emergencia”
Desarrollo y adquisición
“Análisis y Diseño de Sistemas Informáticos” “Desarrollo de Sistemas Informáticos” “Implementación de Sistemas Informáticos” “Revisión, Integración de Expedientes y Elaboración de Solicitudes e Informes de Adquisiciones para Dictaminación Técnica de la Comisión de Gobierno Electrónico”
2. Para la operación y desarrollo de sus actividades sustantivas, administrativas y financieras,
la Subtesorería de Administración Tributaria de la SEFIN contó con el SISCOR, el
Sistema de Planeación de Recursos Gubernamentales (SAP-GRP), el Sistema de Atención
Ciudadana, el Sistema de Control de Gestión, el SIREP, el Sistema Integral de Concentración
y Control de Fondos, las Líneas de Captura en página de Finanzas, la aplicación de
Tesorería Móvil y la Página de Transparencia, cuyas políticas y lineamientos de seguridad
fueron establecidos por esa dependencia, como autoridad administradora de los sistemas.
3. De acuerdo con la respuesta al cuestionario de control interno y con la información y
documentación analizadas, la SEFIN dispuso de mecanismos de control para asegurarse de
que los informes y reportes que genera sean presentados oportunamente y con información
confiable a las diferentes instancias del Gobierno de la Ciudad de México.
329 VOLUMEN 1/14
Con base en lo anterior, se determinó que la SEFIN contó con mecanismos de control efectivos,
incluidos en sus procedimientos, que le permitieron prevenir, minimizar y responder a los
riesgos que pudieron afectar el cumplimiento y logro de los objetivos del rubro sujeto a revisión y
garantizar la eficacia y eficiencia de las operaciones; y dispuso de actividades de control
para asegurarse de que los informes y reportes que genera sean presentados oportunamente y
con información confiable a las diferentes instancias del Gobierno de la Ciudad de México.
Información y Comunicación
Se revisó si la SEFIN contó con líneas de comunicación e información reguladas entre los
mandos medios y superiores y las personas servidoras públicas a su cargo que le permitieron
comunicarles sus responsabilidades, así como los objetivos y metas institucionales; y si
generó información necesaria, oportuna, veraz y suficiente, al interior y al exterior, como se
indica a continuación:
1. De las respuestas a los cuestionarios de control interno, así como de la información y
documentación analizadas, se determinó que la SEFIN contó con líneas de comunicación
e información por medio de oficios y circulares, reguladas entre los mandos medios y
superiores y el personal a su cargo que le permitieron comunicarles sus responsabilidades,
así como los objetivos y metas institucionales.
2. La dependencia generó reportes o informes sobre la gestión de los recursos humanos
y financieros, así como en materia de transparencia y acceso a la información, fiscalización,
rendición de cuentas y contabilidad gubernamental.
3. La SEFIN contó con el SISCOR, el SAP-GRP, el Sistema de Atención Ciudadana, el
Sistema de Control de Gestión, el SIREP, el Sistema Integral de Concentración y Control
de Fondos, las Líneas de Captura en página de Finanzas, la aplicación Tesorería Móvil
y la página de transparencia, que le permitieron la comunicación interna y externa para
gestionar la información relativa a los registros presupuestales y contables de los
ingresos, y careció del Sistema de Armonización de Información y Control (SAIC) para
dar seguimiento a los controles internos verificados en las revisiones de la SCGCDMX.
330 VOLUMEN 1/14
En la reunión de confronta, celebrada el 3 de diciembre de 2019, la SAF no aportó
información adicional a la proporcionada durante la auditoría, por lo que la observación
prevalece.
Con base en lo anterior, se determinó que la SEFIN diseñó mecanismos de control orientados
a garantizar la generación de información necesaria, oportuna, veraz y suficiente, tanto al
interior como al exterior, pero no dispuso del SAIC para dar seguimiento a los controles
internos verificados en las revisiones de la SCGCDMX.
Supervisión y Mejora Continua
Se verificó si el manual administrativo de la SEFIN consideró actividades de supervisión, a
fin de confirmar si las operaciones institucionales relacionadas con el rubro en revisión se
ajustaron a las líneas de mando y actividades establecidas en el citado manual administrativo,
como se indica a continuación:
1. Con las respuestas al cuestionario de control interno, así como con la información
y documentación analizadas, se determinó que la SEFIN no promovió el seguimiento y
mejora de los controles internos ni supervisó que las operaciones relacionadas con el
rubro en revisión cumplieran sus objetivos para el ejercicio de 2018.
En la reunión de confronta, celebrada el 3 de diciembre de 2019, la SAF no presentó
evidencia de haber promovido el seguimiento y mejora de los controles internos, por lo
que la observación prevalece.
2. El CARECI de la dependencia contó con planes y programas para supervisar las
actividades de control interno y las operaciones del rubro en revisión; sin embargo, no
estableció controles para supervisar las actividades susceptibles de corrupción, no llevó
a cabo autoevaluaciones para el mejor desarrollo del control interno y cumplimiento de
metas y objetivos y no elaboró un programa de acciones para resolver las problemáticas
detectadas.
331 VOLUMEN 1/14
En la reunión de confronta, celebrada el 3 de diciembre de 2019, la SAF no aportó
información adicional a la proporcionada durante la auditoría, por lo que la presente
observación prevalece.
3. La SEFIN emprendió acciones para que las actividades relacionadas con la operación
del rubro en revisión permitieran el cumplimiento de las funciones y atribuciones
encomendadas y de la normatividad aplicable; sin embargo, no supervisó periódicamente
las actividades de los servidores públicos, desde nivel operativo hasta mandos medios,
para garantizar que se ejecutaron conforme a la normatividad aplicable.
En la reunión de confronta, celebrada el 3 de diciembre de 2019, la SAF no aportó
información adicional a la proporcionada durante la auditoría, por lo que la presente
observación prevalece.
4. La SEFIN no acreditó haber emprendido acciones de supervisión para el ejercicio
de 2018, y si bien el CARECI permitió que dispusiera de mecanismos que definieron
los tramos de responsabilidad y supervisión en las operaciones del rubro en revisión,
conforme a sus funciones y atribuciones, dichos mecanismos no resultaron efectivos,
ya que no permitieron a la dependencia supervisar que las operaciones relacionadas con el
rubro sujeto a revisión cumplieran sus objetivos establecidos para el ejercicio de 2018.
Con base en lo anterior, se identificó que la SEFIN, contó con planes y programas para
supervisar el control interno y ejecutar las actividades conforme a la normatividad aplicable;
asimismo, el CARECI, conforme a sus funciones y atribuciones, permitió que la dependencia
dispusiera de mecanismos que definieron los tramos de responsabilidad y supervisión en
las operaciones del rubro sujeto de revisión; sin embargo, dichos mecanismos no fueron
efectivos, ya que no hicieron factible a la SEFIN promover el seguimiento y mejora de los
controles internos y a su CARECI establecer controles para supervisar las actividades
susceptibles de corrupción, llevar a cabo autoevaluaciones para el mejor desarrollo del
control interno y cumplimiento de metas y objetivos ni elaborar un programa de acciones
para resolver las problemáticas detectadas. Además, la dependencia no supervisó que las
operaciones relacionadas con el rubro en revisión cumplieran sus objetivos para el ejercicio
de 2018, tampoco las actividades de los servidores públicos operativos y mandos medios.
332 VOLUMEN 1/14
Por lo expuesto, se determinó que el diseño del control interno de la SEFIN no es apropiado,
toda vez que, si bien el sujeto fiscalizado presentó principalmente riesgos controlados o de
seguimiento, se observaron deficiencias en el componente Ambiente de Control, pues la
dependencia no aportó evidencia documental de la actualización de su manual administrativo; en
el componente de Información y Comunicación, no contó con el SAIC para dar seguimiento
a los controles internos verificados en las reuniones de la SCGCDMX; y en el componente
Supervisión y Mejora Continua, su CARECI no supervisó las actividades susceptibles de
corrupción, no llevó a cabo autoevaluaciones para el mejor desarrollo del control interno y
cumplimiento de metas y objetivos, ni elaboró un programa de acciones para resolver las
problemáticas detectadas. Además, la dependencia no promovió el seguimiento y mejora
de los controles internos, ni supervisó que las operaciones relacionadas con el rubro en
revisión cumplieran sus objetivos ni las actividades de los servidores públicos, desde nivel
operativo hasta mandos medios.
El control interno de la SEFIN no fue apropiado en cuanto a su efectividad, ya que no vigiló
que se llevaran a cabo acciones de supervisión respecto a las actividades relacionadas a
las políticas de gobernanza y de seguridad de TIC y de continuidad en el servicio y
recuperación de desastres aplicadas al SISCOR, lo que implicó que se materializaran riesgos
con un impacto en los componentes Ambiente de Control, Actividades de Control Interno,
Información y Comunicación y Supervisión y Mejora Continua, como se detalla en los resultados
núms. 3, 4 y 5 del presente informe.
Como resultado del estudio y evaluación del control interno y con base en las herramientas
utilizadas, se determinó que el control interno del sujeto fiscalizado no es apropiado, pues
aunque su diseño contribuyó al cumplimiento de la normatividad, no se supervisaron las acciones
respecto a la gobernanza de TIC, la seguridad de la información y la continuidad en el servicio y
recuperación de desastre, lo cual impidió garantizar en forma razonable la ejecución de las
operaciones y la consecución de los objetivos de la dependencia.
En el informe de la auditoría ASCM/20/18, practicada a la SAF, resultado núm. 1,
recomendación ASCM-20-18-1-SAF, se consideraron los mecanismos para asegurarse de
que la dependencia promueva el seguimiento y mejora de los controles internos y se supervisen
sus operaciones y las actividades de los servidores públicos, a fin de fortalecer el control
333 VOLUMEN 1/14
interno, por lo que se dará tratamiento a dicha circunstancia como parte del seguimiento de
la recomendación citada.
En el informe de la auditoría ASCM/20/18, practicada a la SAF, resultado núm. 1,
recomendación ASCM-20-18-2-SAF, se consideraron los mecanismos que permitan a la
dependencia asegurarse de que su Comité de Administración de Riesgos y Evaluación de
Control Interno establezca controles para supervisar las actividades de control interno que realiza,
llevar a cabo autoevaluaciones para el mejor desarrollo del control interno, dar seguimiento
al cumplimiento de metas y objetivos y elaborar un programa de acciones para resolver las
problemáticas detectadas con objeto de fortalecer el control interno, por lo que se dará
tratamiento a dicha circunstancia como parte del seguimiento de la recomendación citada.
Recomendación ASCM-13-18-1-SAF
Es conveniente que la Secretaría de Administración y Finanzas implemente mecanismos
dirigidos a asegurar el seguimiento a los controles internos verificados en las revisiones
realizadas por la Secretaría de la Contraloría General de la Ciudad de México por medio
del Sistema de Armonización de Información y Control, a fin de fortalecer su control interno.
Operaciones de TIC
2. Resultado
Con el objetivo de verificar que los controles de la operación de TIC permitieran una gestión
efectiva, eficaz y eficiente del SISCOR, en cumplimiento de la normatividad relativa a la gestión
de la información (entrada, procesamiento y almacenamiento de datos) para asegurar su
confidencialidad, disponibilidad e integridad; que los enlaces de datos hayan dado soporte
al sistema para asegurar una adecuada operación de TIC, de acuerdo con la normatividad
aplicable; y que se hayan llevado a cabo encuestas de satisfacción con el servicio a los
usuarios finales, la ASCM realizó inspecciones, entrevistas y pruebas de auditoría. Al
respecto, se determinó lo siguiente:
1. Mediante el oficio núm. SAF/DGTC/463/2019 del 2 de octubre de 2019, la Dirección
General de Tecnologías y Comunicaciones de la SAF remitió el Manual General de
334 VOLUMEN 1/14
SISCOR, que contiene 32 puntos relacionados con la operación del sistema e incluye
acciones de administración, ingresos, contabilidad, generales y consulta, así como
ejemplos y capturas de pantalla, y está firmado por la Jefatura de Unidad Administrativa
de Planeación y Análisis Internos, adscrita a dicha Dirección General.
De las entrevistas realizadas a los servidores públicos encargados de la operación del
SISCOR en las Administraciones Tributarias Locales y Auxiliares de Acoxpa y Xochimilco
el 24 de octubre, al Módulo Central el 25 de octubre y a la Dirección de Contabilidad y
Control de Ingresos el 22 y 29 de octubre, todos de 2019, se tuvo conocimiento de que
las unidades administrativas no contaron con manuales de usuarios para la operación
de dicho sistema, ya que el Manual General de SISCOR no fue difundido a los usuarios.
En la reunión de confronta, celebrada el 3 de diciembre de 2019, con el oficio
núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, el Director General
de Armonización Contable y Rendición de Cuentas, en representación de la SAF,
proporcionó copia del oficio núm. SAF/DGTC/570/2019 del 28 de noviembre de 2019,
en el que la Dirección General de Tecnologías y Comunicaciones informó a la Dirección
General de Armonización Contable y Rendición de Cuentas lo siguiente:
“… el Manual General de Operación del SISCOR se ha integrado en el menú principal
al ingresar al sistema, con la finalidad de que el usuario lo pueda consultar o descargar
cada vez que lo requiera.”
Adjuntó al oficio una imagen dentro de un sistema de edición (Paint) con la acción
implementada; sin embargo, la dependencia no presentó evidencia de haber difundido
a las áreas operativas del SISCOR las tareas realizadas ni de la modificación implementada
en el programa, por lo que la observación prevalece.
Por no difundir el Manual General de SISCOR a las unidades administrativas encargadas de
la operación del sistema, la SEFIN incumplió en el artículo 13, norma 7, “Seguridad de las
Operaciones”; apartado 7.1, “Procedimientos operativos y responsabilidades”; subapartado
7.1.1, “Documentación de los procedimientos operativos”, de las Normas Generales que
deberán Observarse en materia de Seguridad de la Información en la Administración
335 VOLUMEN 1/14
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121
el 9 de julio de 2007, vigentes en 2018, que señala:
“Artículo 13. Para los efectos de los presentes acuerdos, las Normas Generales para la
Seguridad de la Información, son las siguientes. […]
”7. Seguridad de las Operaciones […]
”7.1 Procedimientos operativos y responsabilidades […]
”7.1.1 Documentación de los procedimientos operativos.
”Los procedimientos de las operaciones se deben documentar, mantener y estar disponibles
para todos los usuarios que los necesiten. Se deben especificar las instrucciones
detalladas para la ejecución paso a paso de cada trabajo, incluyendo: información para
el procesamiento y manejo de información, especificaciones para la realización
de respaldos, horarios e interdependencias con otros sistemas, instrucciones para el manejo de
errores, procedimientos para el reinicio y recuperación en caso de fallas en los sistemas
y dispositivos, el manejo de las bitácoras y pistas de auditoría, entre otras actividades.”
2. Para constatar la operatividad del SISCOR, se revisaron cuatro operaciones de contribuciones
en cada una de las tres Administraciones Tributarias Locales y Auxiliares usuarias del
sistema que fueron seleccionadas como muestra. Las operaciones revisadas se enlazan
con el SIREP (12), con el SIGAPRED (12) y con el Sistema de Citas y Beneficios Fiscales
del Impuesto Predial (12), toda vez que en las entrevistas e inspecciones realizadas en
las Administraciones Tributarias Locales y Auxiliares seleccionadas, se tuvo conocimiento de
que los sistemas SISCON (antes espectáculos), de Tesorería Móvil y de Subastas
Electrónicas (Tesosubastas) no se operaron en 2018, por lo que las pruebas de auditoría se
ampliaron en los otros sistemas descritos.
En cuanto a las 36 operaciones capturadas en el SIREP (12), en el SIGAPRED (12) y
en el Sistema de Citas y Beneficios Fiscales del Impuesto Predial (12), se constató que
los datos capturados en 2018 coincidieron completamente con los registrados en el
SISCOR, lo que aseguró que la gestión de la información (entrada, procesamiento
y almacenamiento de datos) fuera confidencial, disponible e íntegra, en cumplimiento
336 VOLUMEN 1/14
del artículo 14 de la Ley de Gobierno Electrónico del Distrito Federal, publicada en la
Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de 2015 y el artículo 8 de
las Normas Generales que deberán observarse en materia de Seguridad de la Información
en la Administración Pública del Distrito Federal, publicadas en el mismo medio de
difusión el 9 de julio de 2007, vigentes en 2018.
3. Derivado de las entrevistas realizadas a los servidores públicos de la Dirección General
de Tecnologías y Comunicaciones el 21 de octubre, de las Administraciones Tributarias
Locales y Auxiliares de Acoxpa y Xochimilco el 24 de octubre, del Módulo Central
el 25 de octubre y de la Dirección de Contabilidad y Control de Ingresos el 22 y 29 de octubre,
todos de 2019, se conoció que la SEFIN no llevó a cabo sesiones de capacitación al
personal encargado de la operación y gestión del SISCOR en 2018.
En la reunión de confronta, celebrada el 3 de diciembre de 2019, con el oficio
núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, el Director General
de Armonización Contable y Rendición de Cuentas, en representación de la SAF, proporcionó
copia del oficio núm. SAF/DGTC/570/2019 del 28 de noviembre de 2019, en el que la
Dirección General de Tecnologías y Comunicaciones envió a la Dirección General de
Armonización Contable y Rendición de Cuentas “la propuesta de un plan de capacitación que
aún se encuentra pendiente de consensuar, para realizarse en coordinación con las
Administraciones Tributarias, [las Subtesorerías de] Política Fiscal [y de] Fiscalización,
[la] Subtesorería de Administración Tributaria y la misma Dirección de Tecnologías y
Comunicaciones”. Lo anterior denota que se han iniciado acciones para llevar a cabo
sesiones de capacitación para los servidores públicos encargados de la operación y gestión
del SISCOR; sin embargo, aún no están materializadas, por lo que la observación prevalece.
Por no llevar a cabo sesiones de capacitación a los servidores públicos encargados de
la operación y gestión del SISCOR, la SEFIN incumplió el artículo 19 de la Ley de Gobierno
Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal núm. 192
el 7 de octubre de 2015, vigente en 2018, que señala:
“Artículo 19. Cada uno de los Órganos de la Administración Pública, en el ámbito de
sus respectivas competencias, propiciará la capacitación de los servidores públicos
a su cargo en materia de tecnologías de la información y comunicaciones.”
337 VOLUMEN 1/14
4. En las inspecciones realizadas al centro de datos Perisur el 25 de octubre de 2019, se
constató que el SISCOR se encuentra hospedado en un servidor con sistema operativo
GNU SUSE Enterprise Server versión 10 y utiliza el sistema de gestión de base de
datos PostgreSQL versión 8.4.7 dentro de un sistema operativo virtualizado con el sistema
operativo OpenSUSE versión 12.3, lo que asegura un servicio eficiente y efectivo de
los sistemas y de las aplicaciones alojadas en los servidores que operan bajo esas
plataformas, en cumplimiento del artículo 14 de la Ley de Gobierno Electrónico del Distrito
Federal, publicada en la Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de
2015, vigente en 2018.
5. En la inspección realizada a la operación del SISCOR el 5 de agosto de 2019, se observó
que la base de datos del sistema cuenta con reglas que evitan la redundancia de los
datos, lo que asegura la integridad de la información para el proceso de actualización de la
base de datos, en cumplimiento del artículo 8, fracción III, de las Normas Generales
que deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121
el 9 de julio de 2007, vigentes en 2018.
6. Mediante el oficio núm. SAF/SE/DGACyRC/5105/2019 del 25 de octubre de 2019, la
Dirección General de Armonización Contable y Rendición de Cuentas de la SAF remitió
información referente a la contratación del servicio de internet, en cuyo análisis
se constató que la dependencia adquirió el servicio de internet mediante el contrato
núm. DAT-02-2018 del 31 de diciembre de 2017, cuyo objeto fue la “contratación consolidada
del servicio de acceso a internet, redes y procesamiento de información, que requieren las
unidades administrativas adheridas del Gobierno de la Ciudad de México para el período del
01 de enero al 31 de enero de 2018”.
En la entrevista e inspección realizadas el 1o. de noviembre de 2019 al área encargada
de administrar la seguridad en las redes de datos, se constató que la dependencia
cuenta con un servicio de 100 Mb, para establecer comunicación directa con el servidor
en donde se encuentra alojado el SISCOR, en cumplimiento del artículo 35 de la Ley
de Gobierno Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito
Federal núm. 192 el 7 de octubre de 2015, vigente en 2018.
338 VOLUMEN 1/14
3. De acuerdo con las entrevistas realizadas a servidores públicos de la Dirección General
de Tecnologías y Comunicaciones, de las Administraciones Tributarias Locales y
Auxiliares de Acoxpa y Xochimilco, del Módulo Central y de la Dirección de Contabilidad
y Control de Ingresos, la dependencia no realizó encuestas de satisfacción a los usuarios
finales del SISCOR.
En la reunión de confronta, celebrada el 3 de diciembre de 2019, el Director General de
Armonización Contable y Rendición de Cuentas, en representación de la SAF, con el
oficio núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, proporcionó
copia del oficio núm. SAF/DGTC/570/2019 del 28 de noviembre de 2019, mediante el
cual la Dirección General de Tecnologías y Comunicaciones informó a la Dirección
General de Armonización Contable y Rendición de Cuentas lo siguiente:
“… cada vez que se atienda una solicitud de servicio se encuentra en la siguiente
dirección electrónica https://www.onlineencuesta.com/s/72a35b4, la encuesta que permitirá
evaluar la satisfacción del usuario.”
Sin embargo, la dependencia no presentó evidencia de haber comunicado a las áreas
operativas del SISCOR que la encuesta de satisfacción a los usuarios finales se encontraba
en esa dirección electrónica, lo que denota una falta de seguimiento en la evaluación
y monitoreo para generar estrategias de gestión como parte del proceso de formación y
mejora continua en el SISCOR, por lo que la observación prevalece.
Por no realizar encuestas de satisfacción a los usuarios finales del SISCOR, la SAF incumplió
el artículo 31 de la Ley de Gobierno Electrónico del Distrito Federal, publicada en la
Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de 2015, vigente en 2018,
que señala:
“Artículo 31. Los Órganos de la Administración Pública desarrollarán metodologías […]
que incluyan la evaluación y monitoreo, para generar estrategias de gestión como parte
del proceso de formación y mejora.”
Se concluye que la SEFIN contó con un enlace de datos o servicio de internet de 100 Mb
para la operación y administración del SISCOR; el servidor en donde se hospeda el sistema
339 VOLUMEN 1/14
se encuentra actualizado en los sistemas operativo y de gestión de base de datos, la cual
contó con reglas que evitan la redundancia de éstos, lo que asegura la integridad de la
información contenida en la base de datos; sin embargo, no dispuso de un manual de usuario
para la operación del SISCOR o con la difusión del Manual General de SISCOR ni se
realizaron sesiones de capacitación para su operación; tampoco se efectuaron encuestas
de satisfacción del servicio a los usuarios finales de dicho sistema.
Recomendación ASCM-13-18-2-SAF
Es necesario que la Secretaría de Administración y Finanzas, por conducto de la Dirección
General de Tecnologías y Comunicaciones, implemente mecanismos de control y supervisión
para asegurarse de que los manuales de usuarios sean difundidos a las áreas que operan
los sistemas, como el caso del Sistema de Control de Recaudación, en cumplimiento de las
Normas Generales que deberán observarse en materia de Seguridad de la Información en
la Administración Pública del Distrito Federal.
Recomendación ASCM-13-18-3-SAF
Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos de
control y supervisión para asegurarse de que se capacite al personal encargado de la gestión y
operación del Sistema de Control de Recaudación, en cumplimiento de la Ley de Gobierno
Electrónico del Distrito Federal.
Recomendación ASCM-13-18-4-SAF
Es necesario que la Secretaría de Administración y Finanzas, por conducto de la Dirección
General de Tecnologías y Comunicaciones, implemente mecanismos de control y supervisión
para asegurarse de que, como parte del proceso de mejora continua, se realicen encuestas
de satisfacción del servicio a los usuarios finales del Sistema de Control de Recaudación,
en cumplimiento de la Ley de Gobierno Electrónico del Distrito Federal.
340 VOLUMEN 1/14
Gobernanza de TIC
3. Resultado
Con el objetivo de evaluar si los controles relativos a la gobernanza de TIC se ajustaran a
las normas y buenas prácticas; y si se contó con procedimientos que permitieran el adecuado
desempeño del SISCOR y con un área responsable de administrarlo, la ASCM realizó entrevistas,
inspecciones y pruebas informáticas. Como resultado, se determinó lo siguiente:
1. Mediante el oficio núm. SAF/SE/DGACyRC/5105/2019 del 25 de octubre de 2019, la
Dirección General de Armonización Contable y Rendición de Cuentas de la SAF remitió
las Políticas de Gobernanza de las Tecnologías de la Información y Comunicaciones para la
Secretaría de Finanzas del Gobierno del Distrito Federal, de cuyo análisis se desprende
que las políticas, su contenido y estructura se encuentran fundamentadas en las Normas
Generales que deberán observarse en materia de Seguridad de la Información en la
Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito
Federal núm. 121 el 9 de julio de 2007, vigentes en 2018.
2. En el manual administrativo con registro núm. MA-25/240715-D-SF-17/2013, se incluyó
el procedimiento “Registro y Control de los Ingresos Obtenidos por el Gobierno del Distrito
Federal”, que incluyen las actividades extraer, capturar y validar las cifras diarias de
control de recaudación y reportar los resultados a la Dirección General de Informática para
que, en caso de error, inicie el reproceso de los archivos, ingrese nuevamente las cifras
al SISCOR y realice la corrección, en cumplimiento del artículo 13, norma 7, “Seguridad
de las Operaciones”; apartado 7.4, “Manejo de Dispositivos y Documentos”; subapartado
7.4.2, “Procedimientos para el manejo de la información”, de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal el
9 de julio de 2007, vigentes en 2018.
En las entrevistas e inspecciones realizadas en las Administraciones Tributarias Locales y
Auxiliares de Acoxpa y Xochimilco, el Módulo Central y la Dirección de Contabilidad
y Control de Ingresos, se verificó que dichas unidades administrativas desconocían
341 VOLUMEN 1/14
las políticas de gobernanza de TIC desarrolladas por la entonces Dirección General de
Informática de la SEFIN.
En la reunión de confronta, celebrada el 3 de diciembre de 2019, con el oficio
núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, el Director General
de Armonización Contable y Rendición de Cuentas, en representación de la SAF,
proporcionó copia del oficio núm. SAF/DGTC/570/2019 del 28 de noviembre de 2019,
en el que la Dirección General de Tecnologías y Comunicaciones informó a la Dirección
General de Armonización Contable y Rendición de Cuentas lo siguiente:
“… se tiene proyectado realizar una actualización de las ‘Políticas de Gobernanza en
Tecnologías de la Información y Comunicaciones para la Secretaría de Administración
y Finanzas’ […] Los trabajos de actualización se realizan posterior al período de
recaudación 2020…”
Ello denota que las políticas de gobernanza de TIC no han sido difundidas a las unidades
administrativas encargadas de la operación del SISCOR, debido a que dicho documento
está en proceso de elaboración, por lo que la observación prevalece.
Por no difundir las políticas de gobernanza de TIC a las unidades administrativas encargadas
de la operación del SISCOR, la SEFIN incumplió el artículo 13, norma 7, “Seguridad de
las Operaciones”; apartado 7.4, “Manejo de dispositivos y documentos”; subapartado 7.4.2,
“Procedimientos para el manejo de la información”, de las Normas Generales que deberán
observarse en materia de Seguridad de la Información en la Administración Pública del
Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121
el 9 de julio de 2007, vigentes en 2018, que señala:
“Artículo 13. Para los efectos de los presentes acuerdos, las Normas Generales para la
Seguridad de la Información, son las siguientes. […]
”7. Seguridad de las Operaciones […]
”7.4 Manejo de dispositivos y documentos […]
342 VOLUMEN 1/14
”7.4.2 Procedimientos para el manejo de la información
”Definir, implementar y difundir procedimientos para el manejo y almacenamiento de todo
tipo de información sensible, para protegerla contra usos o divulgación no autorizada y
abusos.”
3. En las entrevistas realizadas al personal de la SAF el 21 y 24 de octubre de 2019, se
constató que en 2018 el área encargada de administrar el SISCOR fue la Dirección
General de Tecnologías y Comunicaciones, de conformidad con el artículo 32 de la Ley
de Gobierno Electrónico del Distrito Federal publicada en la Gaceta Oficial del Distrito
Federal núm. 192 el 7 de octubre de 2015, vigente en 2018.
Se concluye que la SEFIN dispuso de un documento referente a políticas de gobernanza
de TIC; de un procedimiento que tiene como actividades extraer, capturar y validar las cifras
diarias de control de recaudación y reportar al área correspondiente en caso de algún error;
y de la Dirección General de Tecnologías y Comunicaciones como área encargada de
administrar el SISCOR; sin embargo, las unidades administrativas que operaron el SISCOR
desconocieron las políticas de gobernanza de TIC, lo que podría obstaculizar la calidad de
las TIC y la realización de una evaluación periódica de los recursos que se utilizan para el
cumplimiento de los objetivos de la dependencia.
Recomendación ASCM-13-18-5-SAF
Es necesario que la Secretaría de Administración y Finanzas, por conducto de la Dirección
General de Tecnologías y Comunicaciones, implemente mecanismos de control y supervisión
para asegurarse de que las políticas de gobernanza de Tecnologías de la Información y
Comunicaciones sean difundidas a las áreas operativas del Sistema de Control de Recaudación,
en cumplimiento de las Normas Generales que deberán observarse en materia de Seguridad de
la Información en la Administración Pública del Distrito Federal.
343 VOLUMEN 1/14
Seguridad de la Información
4. Resultado
Con la finalidad de verificar que se haya contado con políticas y controles de seguridad
suficientes y efectivos para la operación del SISCOR; y con accesos lógicos y físicos, se
realizaron entrevistas a servidores públicos de la Dirección General de Tecnologías
y Comunicaciones e inspecciones físicas y pruebas informáticas al centro de datos el
24 de octubre de 2019. Como resultado, se determinó lo siguiente:
1. Mediante el oficio núm. SAF/SE/DGACyRC/5105/2019 del 25 de octubre de 2019, la
Dirección General de Armonización Contable y Rendición de Cuentas de la SAF remitió
las Políticas de Seguridad de la Información, de cuyo análisis se desprende que se
desarrollaron usando como antecedente la Norma Técnica de Seguridad de la Dirección
General de Informática adscrita a la SEFIN y los documentos oficiales en materia
de informática emitidos por el entonces Gobierno del Distrito Federal, con la finalidad de
homogeneizar el uso de la infraestructura de cómputo y garantizar el buen funcionamiento
que además permita el flujo adecuado de información entre todas las áreas de la Dirección
General de Informática; y las políticas se clasificaron en Personal, Hardware, Software,
Datos, Telecomunicaciones, Servicio e Instalaciones Físicas.
Asimismo, en el manual administrativo con registro núm. MA-25/240715-D-SF-17/2013,
se incluyeron dos procedimientos; el primero, “Instalación, Configuración y Respaldo
de Servidores”, tiene como objetivo “configurar o realizar respaldo de servidores con el
sistema operativo, las aplicaciones y los servicios que se requieran en la plataforma
informática, a fin de brindar servicios informáticos de calidad…”; y el segundo, “Atención
a las Solicitudes de Alta, Modificación y/o Bajas de Claves de Usuarios de los Sistemas
Informáticos que se encuentran en Resguardo y Administración de la Dirección General
de Informática”, se dirige a “atender las solicitudes de Alta, Modificación y/o Baja de
claves de usuarios de los Sistemas Informáticos que se encuentran en resguardo y
administración de la Dirección General de Informática, del personal de la Secretaría de
Finanzas del Gobierno del Distrito Federal, a fin de garantizar la confiabilidad, seguridad
y uso adecuado de las claves de usuario por parte de los usuarios”. Lo anterior, en
344 VOLUMEN 1/14
cumplimiento del artículo 13, norma 2, “Política de Seguridad”; apartado 2.1, “Definición
y documentación de la política de seguridad de la información”, de las Normas Generales
que deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121
el 9 de julio de 2007, vigentes en 2018.
En las entrevistas e inspecciones realizadas en las Administraciones Tributarias Locales y
Auxiliares de Acoxpa y Xochimilco, el Módulo Central y la Dirección de Contabilidad
y Control de Ingresos, se verificó que los servidores públicos de dichas unidades
administrativas desconocían las políticas de seguridad de TIC desarrolladas por la
entonces Dirección General de Informática de la SEFIN.
En la reunión de confronta, celebrada el 3 de diciembre de 2019, con el oficio
núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, el Director General
de Armonización Contable y Rendición de Cuentas, en representación de la SAF,
proporcionó copia del oficio núm. SAF/DGTC/570/2019 del 28 de noviembre de 2019,
en el que la Dirección General de Tecnologías y Comunicaciones informó a la Dirección
General de Armonización Contable y Rendición de Cuentas lo siguiente:
“… se encuentran en proceso de revisión las políticas, prácticas, medidas y procedimientos
existentes, en materia de Seguridad de la Información […] Los trabajos de actualización
se realizan posterior al período de recaudación 2020…”
Lo anterior denota que las políticas de seguridad de TIC no han sido difundidas a las
unidades administrativas encargadas de la operación del SISCOR, debido a que dicho
documento está en proceso de revisión, por lo que la observación prevalece.
Por no difundir las políticas de seguridad de TIC a las unidades administrativas encargadas
de la operación del SISCOR, la SEFIN incumplió el artículo 13, norma 5, “Seguridad de
la Información y el Personal”; apartado 5.2, “Durante el empleo”; subapartado 5.2.2,
“Acciones disciplinarias”, de las Normas Generales que deberán observarse en materia
de Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas
345 VOLUMEN 1/14
en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigente en 2018,
que señala:
“Artículo 13. Para los efectos de los presentes acuerdos, las Normas Generales para la
Seguridad de la Información, son las siguientes […]
”5. Seguridad de la Información y el Personal […]
”5.2 Durante el empleo […]
”5.2.2 Acciones disciplinarias.
”Se deben definir, publicar y difundir las acciones disciplinarias o disuasivas que deberán
aplicarse a empleados que no cumplan con la política de seguridad de la información o
hagan mal uso de los recursos de TI. La Administración en las dependencias […] deberá
incluir este tópico como parte del proceso de sensibilización que realice al personal de
la Institución.”
2. Con relación a si los controles fueron suficientes y efectivos para la seguridad física, lógica y
de red en la infraestructura tecnológica para la operación del SISCOR, se observó lo
siguiente:
a) De la inspección realizada el 24 de octubre de 2019 al centro de datos que hospeda
a los servidores con los que opera el SISCOR, se conoció que la dependencia contó
con energía eléctrica polarizada y aterrizada para evitar que la infraestructura de
las TIC sufra daños en caso de alguna situación adversa, en cumplimiento del
artículo 13, norma 6 “Seguridad Física y del Entorno”, objetivo del apartado 6.2
“Seguridad del Equipamiento”, de las Normas Generales que deberán Observarse
en materia de Seguridad de la Información en la Administración Pública del Distrito
Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio
de 2007, vigentes en 2018; y alienado con el estándar internacional ISO/IEC 27002
(Organización Internacional de Normalización y la Comisión Electrotécnica Internacional,
346 VOLUMEN 1/14
International Organization for Standardization and International Electrotechnical
Commission, por sus siglas en inglés) en su apartado 11.2.2.
Asimismo, el centro de datos se encontró en adecuadas condiciones de operación
y se observó la realización de tareas de mantenimiento a la infraestructura, en
cumplimiento del artículo 13, objetivo de la norma 7 “Seguridad de las Operaciones”,
de las Normas Generales que deberán Observarse en materia de Seguridad de
la Información en la Administración Pública del Distrito Federal, publicadas en la
Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en 2018.
b) En la entrevista e inspección realizada el 1o. de noviembre de 2019 al área encargada
de administrar la seguridad en las redes de datos, se constató que la dependencia
cuenta con un dispositivo electrónico cortafuegos o firewall físico de la marca Check
Point, modelo 5800, cuyo objetivo es filtrar accesos no autorizados y proteger contra
códigos maliciosos, en cumplimiento del artículo 13, norma 7, “Seguridad de las
Operaciones”; apartado 7.3, “Protección contra código malicioso”; subapartado 7.3.1,
“Controles contra código malicioso”, de las Normas Generales que deberán Observarse
en materia de Seguridad de la Información en la Administración Pública del Distrito
Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio
de 2007, vigente en 2018.
Asimismo, se comprobó que la dependencia monitorea la red de datos por medio
de la aplicación Thruk, para verificar la disponibilidad de los servicios y supervisar
el tráfico de la red y el uso de memoria y procesadores de los servidores en los centros
de datos, en cumplimiento del artículo 13, norma 7, “Seguridad de las Operaciones”;
apartado 7.6, “Monitoreo de los sistemas”; subapartado 7.6.2, “Monitoreo de los
Sistemas y recursos en uso”, de las Normas Generales que deberán Observarse
en materia de Seguridad de la Información en la Administración Pública del Distrito
Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio
de 2007, vigentes en 2018.
c) El SISCOR se instaló en un servidor con sistema operativo GNU SUSE Enterprise
Server, versión 10, y utiliza el sistema de gestión de base de datos PostgreSQL
347 VOLUMEN 1/14
versión 8.4.7 dentro de un sistema operativo virtualizado con el sistema operativo
OpenSUSE versión 12.3. Dicho software opera adecuadamente, lo que minimiza la
probabilidad de ocurrencia de fallas en la seguridad de las operaciones de los sistemas
y de las aplicaciones que se encuentren alojadas en los servidores que operan en
estas plataformas, en cumplimiento del artículo 13, norma 7, “Seguridad de las
Operaciones”; objetivo del apartado 7.2, “Pruebas de aceptación”, de las Normas
Generales que deberán observarse en materia de Seguridad de la Información en
la Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del
Distrito Federal núm. 121 el 9 de julio de 2007, vigente en 2018.
Se concluye que la SEFIN contó con procedimientos para el respaldo de servidores y atención
de solicitudes de altas, modificaciones o bajas de claves de usuarios, con energía eléctrica
polarizada y aterrizada para evitar que la infraestructura de TIC sufra daños en caso de
alguna situación adversa y con un firewall para filtrar accesos inapropiados y códigos maliciosos.
Además, la dependencia monitorea la red para verificar la disponibilidad de los servicios, el
tráfico de la red, el uso de memoria y procesadores de los servidores en los centros de datos, los
cuales operan adecuadamente para asegurar el funcionamiento de las instalaciones; y el servidor
donde se aloja el SISCOR se encuentra operando apropiadamente, lo que minimiza el riesgo
de fallas en la seguridad. A pesar de tener un documento referente a políticas de seguridad de
TIC, éste no fue difundido a las diversas áreas de la dependencia que operan el SISCOR.
Recomendación ASCM-13-18-6-SAF
Es necesario que la Secretaría de Administración y Finanzas, por conducto de la Dirección
General de Tecnologías y Comunicaciones, implemente mecanismos de control y supervisión
para asegurarse de que las políticas de seguridad de Tecnologías de la Información y
Comunicaciones sean difundidas a las áreas operativas del Sistema de Control de Recaudación,
en cumplimiento de las Normas Generales que deberán observarse en materia de Seguridad de
la Información en la Administración Pública del Distrito Federal.
348 VOLUMEN 1/14
Continuidad del Servicio y Recuperación de Desastres
5. Resultado
Con objeto de evaluar si las políticas de continuidad del servicio y recuperación de desastres,
el plan de mantenimiento correctivo y preventivo a la infraestructura de TIC y los controles
de accesos no autorizados y de seguridad en el centro de datos salvaguardaron los equipos de
misión crítica e infraestructura tecnológica para que el SISCOR proporcione un servicio
de manera ininterrumpida, la ASCM realizó entrevistas a servidores públicos de la Dirección
General de Tecnologías y Comunicaciones el 21 de octubre de 2019, así como inspecciones
físicas y pruebas informáticas en el centro de datos el 24 de octubre de 2019. Como resultado,
se determinó lo siguiente:
1. La dependencia no acreditó contar con controles relacionados con las políticas de continuidad
del servicio y recuperación de desastres para que el SISCOR preste un servicio de manera
ininterrumpida.
En la entrevista realizada el 21 de octubre de 2019 en la Dirección General de Tecnologías
y Comunicaciones, se tuvo conocimiento de que la dependencia tiene un Plan de
Recuperación de Desastres (que no es específico para el SISCOR) y el aseguramiento
de la continuidad de sus operaciones.
En la reunión de confronta, celebrada el 3 de diciembre de 2019, con el oficio
núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, el Director General
de Armonización Contable y Rendición de Cuentas, en representación de la SAF,
proporcionó copia del oficio núm. SAF/DGTC/570/2019 del 28 de noviembre de 2019,
en el que la Dirección General de Tecnologías y Comunicaciones envió a la Dirección
General de Armonización Contable y Rendición de Cuentas “el índice de contenido del
nuevo DRP [Plan de Recuperación de Desastres, Disaster Recovery Plan, por sus
siglas en inglés] el cual contempla un apartado específico para el […] SISCOR, que […]
por la naturaleza del documento, no puede ser anexado”. Esto último imposibilitó
realizar un análisis del contenido del documento para comprobar que incluye políticas
349 VOLUMEN 1/14
de continuidad del servicio del SISCOR y recuperación de desastres, por lo que la
observación prevalece.
Por no acreditar que contaba con políticas de continuidad del servicio del SISCOR y
recuperación de desastres, la SEFIN incumplió el artículo 13, norma 11, “Continuidad de las
Operaciones”; apartado 11.1, “Plan de continuidad de las Operaciones”; subapartado
11.1.1, “Planeación de la continuidad de las operaciones”, segundo párrafo, de las Normas
Generales que deberán observarse en materia de Seguridad de la Información en la
Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito
Federal núm. 121 el 9 de julio de 2007, vigentes en 2018.
“Artículo 13. Para los efectos de los presentes acuerdos, las Normas Generales para la
Seguridad de la Información, son las siguientes […]
”11. Continuidad de las Operaciones […]
”11.1. Plan de continuidad de las operaciones […]
”11.1.1. Planeación de la continuidad de las operaciones […]
”Se debe definir, desarrollar e implementar un plan para mantener o restaurar las operaciones,
que asegure la disponibilidad de la información en el nivel y escala de tiempo requeridos
por la Institución.”
2. En las inspecciones y entrevistas realizadas en la Dirección General de Tecnologías y
Comunicaciones, las Administraciones Tributarias Locales y Auxiliares de Xochimilco,
el Módulo Central y la Dirección de Contabilidad y Control de Ingresos, se conoció que
si bien la SEFIN subscribió el Contrato abierto de prestación del servicio de mantenimiento
preventivo y correctivo a IBM System Storage TS3500 Tape Library, IBM XIV e IBM Eserver
Blade Center para Secretaría de Finanzas de la Ciudad de México, núm. CS-061/2018,
el 14 de junio de 2018, con vigencia del 13 de noviembre al 31 de diciembre de 2018,
y contó con dos bitácoras de mantenimiento a servidores realizado el 21, 28 y 29 de noviembre
de 2018, el equipo de cómputo con que opera el SISCOR no recibió mantenimiento
350 VOLUMEN 1/14
preventivo ni correctivo en 2018 para asegurar su disponibilidad, fiabilidad y larga vida
útil. Por consiguiente, la SEFIN no dispuso de bitácoras de mantenimiento al equipo de
cómputo con que opera el SISCOR.
En la reunión de confronta, celebrada el 3 de diciembre de 2019, con el oficio
núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, el Director General
de Armonización Contable y Rendición de Cuentas, en representación de la SAF,
proporcionó copia del oficio núm. SAF/DGTC/570/2019 del 28 de noviembre de 2019,
en el que la Dirección General de Tecnologías y Comunicaciones informó a la Dirección
General de Armonización Contable y Rendición de Cuentas que “se realizó mantenimiento
preventivo y correctivo de los servidores que alojan los procesos críticos” y adjuntó los
reportes de las tareas de mantenimiento preventivo y correctivo realizadas a los servidores
alojados en el centro de datos de la dependencia. Sin embargo, la dependencia no
presentó evidencia de haber efectuado mantenimiento preventivo y correctivo al equipo
de cómputo de las áreas operativas del SISCOR, por lo que la observación prevalece.
Por no realizar acciones de mantenimiento preventivo y correctivo al equipo de cómputo
para operar el SISCOR en las unidades administrativas, la SEFIN incumplió el artículo 13,
objetivo de la norma 11, “Continuidad de las Operaciones”, de las Normas Generales
que deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121
el 9 de julio de 2007, vigentes en 2018, que señala:
“Artículo 13. Para los efectos de los presentes acuerdos, las Normas Generales para la
Seguridad de la Información, son las siguientes […]
”11 Continuidad de las Operaciones.
”Objetivo.
”Minimizar los efectos de las posibles interrupciones de las actividades normales de la
Institución (sean éstas resultado de desastres naturales, accidentes, fallas en el equipamiento,
351 VOLUMEN 1/14
acciones deliberadas u otros hechos) y proteger los procesos críticos mediante una
combinación de controles preventivos y acciones de recuperación.”
3. El centro de datos donde se encuentran hospedados los servidores del SISCOR contó
con lo siguiente:
a) Dispositivo de control de acceso electrónico y cámaras de seguridad, en cumplimiento
del artículo 13, norma 6, “Seguridad Física y del Entorno”; apartado 6.1, “Áreas seguras”;
subapartado 6.1.2, “Perímetro de seguridad físico”, de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal
núm. 121 el 9 de julio de 2007, vigentes en 2018.
b) Bitácoras de registro de acceso, en cumplimiento del artículo 13, norma 8, “Control
de Acceso”; apartado 8.1, “Requerimientos para el control de acceso”; subapartado
8.1.1, “Política de control de acceso”, de las Normas Generales que deberán observarse
en materia de Seguridad de la Información en la Administración Pública del Distrito
Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio
de 2007, vigentes en 2018.
c) Sistema de alarmas contra incendios, extintores repartidos en diferentes puntos y
un dispositivo de alerta sísmica, en cumplimiento del artículo 13, norma 6, “Seguridad
Física y del Entorno”; apartado 6.1, “Áreas seguras”; subapartado 6.1.1, “Protección
contra amenazas internas y externas”, de las Normas Generales que deberán observarse
en materia de Seguridad de la Información en la Administración Pública del Distrito
Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio
de 2007, vigentes en 2018.
Se concluye que la SEFIN contó con dispositivos de control de acceso electrónico y cámaras de
seguridad, bitácoras de registro de acceso y sistema de alarmas contra incendios en el
centro de datos donde se encuentran los servidores que hospedan el SISCOR; con un contrato
de mantenimiento correctivo y preventivo de dichos servidores y a la base de datos; sin
embargo, no dispuso de un documento relativo a la recuperación de desastres para asegurar
352 VOLUMEN 1/14
la continuidad de la operación de los recursos tecnológicos y servicios críticos ni acreditó
que el SISCOR recibiera mantenimiento preventivo y correctivo, ya que careció de bitácoras
con registros de los mantenimientos realizados a los equipos de cómputo con que opera el
sistema.
Recomendación ASCM-13-18-7-SAF
Es necesario que la Secretaría de Administración y Finanzas, por conducto de la Dirección
General de Tecnologías y Comunicaciones, implemente mecanismos de control y supervisión
para asegurarse de que se cuente con un Plan de Recuperación de Desastres que considere
el Sistema de Control de Recaudación y dé continuidad a sus operaciones, de conformidad
con las Normas Generales que deberán observarse en materia de Seguridad de la Información
en la Administración Pública del Distrito Federal.
Recomendación ASCM-13-18-8-SAF
Es necesario que la Secretaría de Administración y Finanzas, por conducto de la Dirección
General de Tecnologías y Comunicaciones, implemente mecanismos de control y supervisión
para asegurarse de que se cuente con un plan de mantenimiento preventivo y correctivo a
la infraestructura tecnológica y con bitácoras del mantenimiento realizado que garanticen
su disponibilidad, fiabilidad y larga vida útil, en cumplimiento de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración Pública del
Distrito Federal.
Desarrollo y adquisición de TIC
6. Resultado
Con objeto de evaluar los controles implementados para el desarrollo y adquisición de TIC
relacionados con el SISCOR, alineados a las mejores prácticas de TIC y con la solicitud de
dictámenes técnicos para realizar adquisiciones y celebrar contratos, la ASCM llevó a cabo
inspecciones, entrevistas y pruebas de auditoría. Del análisis a la información y documentación
proporcionadas por la dependencia, se determinó lo siguiente:
353 VOLUMEN 1/14
1. La SAF no envió información que acreditó disponer de controles para el desarrollo y
adquisición de TIC.
Según la entrevista realizada el 21 de octubre de 2019 a servidores públicos de la Dirección
General de Tecnologías y Comunicaciones, se cuenta con políticas de desarrollo o
adquisición acordes con las de la entonces Dirección General de Gobernabilidad de
Tecnologías de la Información y Comunicaciones de la extinta OM.
Asimismo, en el manual administrativo con registro núm. MA-25/240715-D-SF-17/2013,
se incluyeron los procedimientos “Análisis y Diseño de Sistemas Informáticos”, “Desarrollo
de Sistemas Informáticos” e “Implementación de Sistemas Informáticos”, para apoyar
la creación de sistemas una vez realizado el análisis, diseño e implementación a fin de
identificar la arquitectura, componentes e implicaciones que tendrá a nivel tecnológico
y del área para su desarrollo y la realización de pruebas para asegurar un funcionamiento
adecuado para su liberación y puesta en marcha en un ambiente de producción, en
cumplimiento del artículo 13, objetivo de la norma 9, “Adquisición, Desarrollo y Mantenimiento
de Sistemas”, de las Normas Generales que deberán observarse en materia de
Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas en la
Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en 2018,
alineado al inciso 2) del control BAI02, “Prácticas, Entradas/Salidas y Actividades del
Proceso”, de las mejores prácticas del COBIT 5, publicadas por la Asociación de Auditoría
y Control en Sistemas de Información en julio de 2012, ambos vigentes en 2018.
2. Mediante el oficio núm. SAF/SE/DGACyRC/3214/2019 del 25 de junio de 2019, la
Dirección General de Armonización Contable y Rendición de Cuentas de la SAF envió
copia del oficio núm. SFCDMX/DGI/068/2019 del 7 de febrero de 2018, con el que la
Dirección General de Informática de la SEFIN comunicó el Plan Estratégico de Tecnologías
de la Información y Comunicaciones (PETIC) a la entonces Dirección General de
Gobernabilidad de Tecnologías de la Información y Comunicaciones de la extinta OM,
en cumplimiento del apartado 10.3, “De la estrategia de gobierno electrónico y tecnologías
de información y comunicaciones”, numerales 10.3.3 y 10.3.4, de la Normatividad en
materia de Administración de Recursos para las Dependencias, Unidades Administrativas,
Unidades Administrativas de Apoyo Técnico Operativo, Órganos Desconcentrados y
354 VOLUMEN 1/14
Entidades de la Administración Pública del Distrito Federal (Circular Uno), publicada en
la Gaceta Oficial del Distrito Federal núm. 179, tomo I, el 18 de septiembre de 2015,
vigentes en 2018.
3. Mediante el oficio núm. SAF/SE/DGACyRC/5105/2019 del 25 de octubre de 2019,
la SAF envió el oficio núm. SFCDMX/DGI/009/2018 del 4 de enero de 2018, con el que la
Dirección General de Informática de la SEFIN requisitó a la entonces Dirección General
de Gobernabilidad de Tecnologías de la Información y Comunicaciones de la extinta
OM la solicitud del dictamen técnico para el “Arrendamiento de la Infraestructura
Informática instalada en el Centro de Datos de la Secretaría de Finanzas 2018”, en
cumplimiento del apartado 10.4, “De las solicitudes de dictamen técnico”, de la Normatividad
en materia de Administración de Recursos para las Dependencias, Unidades Administrativas,
Unidades Administrativas de Apoyo Técnico Operativo, Órganos Desconcentrados y
Entidades de la Administración Pública del Distrito Federal (Circular Uno), publicada en
la Gaceta Oficial del Distrito Federal núm. 179, Tomo I, el 18 de septiembre de 2015,
vigente en 2018.
Se concluye que la SEFIN contó con procedimientos en su manual administrativo para el
desarrollo de sistemas, envió el PETIC a la entonces Dirección General de Gobernabilidad de
Tecnologías de la Información y Comunicaciones de la extinta OM y solicitó el dictamen
técnico para el Arrendamiento de la Infraestructura Informática instalada en el Centro de Datos,
en cumplimiento de la Normatividad en materia de Administración de Recursos para las
Dependencias, Unidades Administrativas, Unidades Administrativas de Apoyo Técnico Operativo,
Órganos Desconcentrados y Entidades de la Administración Pública del Distrito Federal
(Circular Uno), vigente en 2018.
RESUMEN DE OBSERVACIONES Y ACCIONES
Se determinaron 6 resultados; de éstos, 5 resultados generaron 12 observaciones, las cuales
corresponden a 8 recomendaciones.
Del total de observaciones identificadas y mencionadas en el párrafo anterior, de una observación
no se emitirá recomendación debido a que la deficiencia de control interno ya fue subsanada; y a
355 VOLUMEN 1/14
tres se les dará tratamiento mediante la implementación de mecanismos que eviten su recurrencia,
como parte del seguimiento de las recomendaciones ASCM-20-18-1-SAF y ASCM-20-18-2-SAF.
La información contenida en el presente apartado refleja las acciones derivadas de la
auditoría que hasta el momento se han detectado por la práctica de pruebas y procedimientos de
auditoría; sin embargo, podrían sumarse observaciones y acciones adicionales a las señaladas,
producto de los procesos institucionales, de la recepción de denuncias y del ejercicio de las
funciones de investigación y sustanciación a cargo de esta entidad de fiscalización superior.
JUSTIFICACIONES Y ACLARACIONES
La documentación proporcionada a esta entidad de fiscalización superior de la Ciudad de
México por el sujeto fiscalizado con motivo de la reunión de confronta fue analizada con el
fin de determinar la procedencia de desvirtuar o modificar las observaciones incorporadas por la
Auditoría Superior de la Ciudad de México en el Informe de Resultados de Auditoría para
Confronta, cuyo resultado se plasma en el presente Informe Individual, que forma parte del
Informe General Ejecutivo del Resultado de la Fiscalización Superior de la Cuenta Pública
de la Ciudad de México.
En atención a las observaciones señaladas, el sujeto fiscalizado remitió el oficio
núm. SAF/SE/DGACyRC/5560/2019 del 29 de noviembre de 2019, mediante el cual presentó
información y documentación con el propósito de atender lo observado; no obstante, derivado del
análisis efectuado por la unidad administrativa de auditoría a la información y documentación
proporcionadas por el sujeto fiscalizado, se advierte que los resultados núms. 1, 2, 3, 4 y 5
se consideran no desvirtuados.
DICTAMEN
La auditoría se realizó con base en las guías de auditoría, manuales, reglas y lineamientos
de la Auditoría Superior de la Ciudad de México; las Normas Profesionales del Sistema de
Fiscalización; las Normas Internacionales de las Entidades Fiscalizadoras Superiores, emitidas
por la Organización Internacional de Entidades Fiscalizadoras Superiores; y demás disposiciones
de orden e interés públicos aplicables a la práctica de la auditoría.
356 VOLUMEN 1/14
Este dictamen se emite el 8 de enero de 2020, una vez concluidos los trabajos de la
auditoría, la cual se practicó sobre la información proporcionada por el sujeto fiscalizado,
que es responsable de su veracidad. Con base en los resultados obtenidos en la auditoría,
cuyo objetivo fue verificar que el SISCOR, así como la infraestructura tecnológica
(hardware, software y redes de datos) y demás sistemas relacionados con la atención a los
usuarios de la red administrativa, operen de manera efectiva, eficaz y eficiente; y que éstos
correspondan a los objetivos para los que fueron adquiridos, de acuerdo con la normatividad
de TIC aplicable, y derivados del ejercicio de las funciones y atribuciones de la dependencia,
y específicamente respecto de la muestra revisada que se establece en el apartado
relativo al alcance y determinación de la muestra, se concluye que, en términos generales,
el sujeto fiscalizado cumplió parcialmente las disposiciones legales y normativas aplicables
en la materia.
PERSONAS SERVIDORAS PÚBLICAS A CARGO DE REALIZAR LA AUDITORÍA
En cumplimiento del artículo 36, párrafo decimotercero, de la Ley de Fiscalización Superior
de la Ciudad de México, se enlistan los nombres y cargos de las personas servidoras públicas de
la Auditoría Superior de la Ciudad de México involucradas en la realización de la auditoría:
Persona servidora pública Cargo
L.C. María Guadalupe Xolalpa García Directora General
Mtra. Gloria Hernández Hernández Directora de Auditoría “B”
Mtro. Jesús López Juárez Subdirector de Área
Mtro. Jorge Rodrigo Rodríguez Calderas Auditor Fiscalizador TIC “C”
Lic. Ramsés Gutiérrez Zepeda Auditor Fiscalizador TIC “C”