auditoría superior de la ciudad de méxico - clxix. i a r c p c m e · 2019. 4. 30. · de la...
TRANSCRIPT
CLXIX. INFORME INDIVIDUAL DE AUDITORÍA,
DERIVADA DE LA REVISIÓN DE LA CUENTA PÚBLICA
DE LA CIUDAD DE MÉXICO CORRESPONDIENTE
AL EJERCICIO DE 2017
1
DEPENDENCIA
SECRETARÍA DE FINANZAS
(ACTUALMENTE SECRETARÍA DE ADMINISTRACIÓN Y FINANZAS)
AUDITORÍA DE CUMPLIMIENTO CON ENFOQUE EN TECNOLOGÍAS
DE LA INFORMACIÓN Y COMUNICACIONES
Sistema de Planeación de Recursos Gubernamentales
de la Secretaría de Finanzas
Auditoría ASCM/11/17
FUNDAMENTO LEGAL
La auditoría se llevó a cabo con fundamento en los artículos 122, apartado A, fracción II, sexto
y séptimo párrafos, en relación con el 74, fracción VI, de la Constitución Política de los
Estados Unidos Mexicanos; 42, fracción XIX; y 43 del Estatuto de Gobierno del Distrito
Federal; 10, fracción VI, de la Ley Orgánica de la Asamblea Legislativa del Distrito Federal;
1; 2, fracciones XIII y XLI, inciso a); 3; 8, fracciones I, II, IV, VI, IX y XXVI; 9; 10, incisos a)
y b); 14, fracciones I, VIII, XVII, XX y XXIV; 22; 24; 27; 28; 30; 32; 33; 34; 35; 36, primer
párrafo; 37, fracción II; 61; y 62 de la Ley de Fiscalización Superior de la Ciudad de México; y
1; 4; 5, fracción I, inciso b); 6, fracciones V y VII; y 30 del Reglamento Interior de la Auditoría
Superior de la Ciudad de México.
ANTECEDENTES
La Secretaría de Finanzas (SEFIN), actualmente Secretaría de Administración y Finanzas,
ocupó el séptimo lugar respecto del presupuesto ejercido en 2017 por las 22 dependencias
de la Ciudad de México (75,501,357.2 miles de pesos), con un monto de 5,621,607.7 miles de
pesos, de acuerdo con lo reportado en la Cuenta Pública de la Ciudad de México del mismo
año. Ese importe representó el 7.4% del total erogado por las dependencias y fue
superior en 77.6% (2,457,189.4 miles de pesos) al presupuesto asignado originalmente
(3,164,418.3 miles de pesos) e inferior en 12.0% (768,099.2 miles de pesos) al ejercido
2
en 2016 (6,389,706.9 miles de pesos); la dependencia presentó economías por 121,859.5 miles
de pesos.
CRITERIOS DE SELECCIÓN
Esta auditoría se propuso de conformidad con los siguientes criterios generales de selección,
contenidos en el Manual de Selección de Auditorías de esta entidad de fiscalización superior:
“Propuesta e Interés Ciudadano”: se consideró este rubro en virtud de que la automatización
en el servicio de consulta ofrecido a la ciudanía potencializa el desarrollo de manera
adecuada y eficiente de una ciudad abierta y transparente en su gestión pública, teniendo un
impacto social y económico de interés para los habitantes de la Ciudad de México.
“Presencia y Cobertura”: se consideró este rubro con la finalidad de garantizar que
eventualmente, se revisen todos los sujetos de fiscalización y los conceptos susceptibles
de ser auditados, por estar incluidos en la Cuenta Pública de la Ciudad de México. Asimismo,
la Auditoría Superior de la Ciudad de México (ASCM) no ha realizado auditoría con enfoque
en Tecnologías de la Información y Comunicaciones (TIC) respecto al rubro fiscalizado.
OBJETIVO
El objetivo de la revisión consistió en verificar que la información capturada y procesada en el
Sistema de Planeación de Recursos Gubernamentales (GRP-SAP) de la SEFIN sea íntegra,
confiable y confidencial y que se garantice la continuidad, eficacia y eficiencia en la gestión y
operación del sistema, dando cumplimiento a las Normas Generales que deberán observarse
en materia de seguridad de la información en la Administración Pública del Distrito Federal
y su alineación con estándares en TIC aplicables.
3
ALCANCE Y DETERMINACIÓN DE LA MUESTRA
En cuanto a los elementos que integran el objetivo de la auditoría, de manera enunciativa,
mas no limitativa, se revisó lo siguiente:
Seguridad de la Información
Se evaluaron los controles de seguridad de la información implementados en el GRP-SAP, en
cumplimiento de la normatividad de TIC y en alineación con las mejores prácticas de TIC
aplicables, que permitieran que la información gestionada fuera íntegra, confiable y disponible.
Operaciones de Tecnologías de la Información y Comunicaciones
Se evaluó que las adecuaciones al sistema permitieran la interconectividad por medio de
redes LAN (Red de Área Local, por sus siglas en inglés), WAN (Red de Área Amplia, por sus
siglas en inglés) y MAN (Red de Área Metropolitana, por sus siglas en inglés) con
las unidades responsables del gasto de la Administración Pública de la Ciudad de México,
con el fin de lograr la integración de la información referente a los registros programático-
presupuestales.
Continuidad del Servicio y Recuperación de Desastres
Se verificó que la SEFIN dispusiera de controles para asegurar que la infraestructura
tecnológica y el GRP-SAP dieran servicio ininterrumpido a las unidades responsables
del gasto.
Controles de Aplicación
Se evaluó que la información registrada, procesada y almacenada en las bases de datos con
las que opera el GRP-SAP fuera confidencial, confiable e integra, en cumplimiento de la
normatividad aplicable y en alineación con los estándares y buenas prácticas en materia de TIC.
4
Los criterios para revisar el GRP-SAP fueron los siguientes:
1. Seguridad de la Información:
a) Políticas de seguridad de la información suficientes y efectivas.
b) Controles suficientes y efectivos de seguridad física, lógica y de red en la infraestructura
tecnológica para la operación.
c) Controles de seguridad para alta, baja, modificación y uso de claves de usuario, a fin
de evaluar que sean suficientes y efectivos.
2. Operaciones de TIC:
a) Controles que permitan una gestión efectiva, eficaz y eficiente para la operación.
b) Enlaces de datos que aseguren la operación de TIC.
c) Evaluación de las encuestas del servicio a los usuarios finales del sistema.
3. Continuidad del servicio y recuperación de desastres:
a) Políticas de continuidad del servicio y recuperación de desastres suficientes y
efectivas.
b) Planes de mantenimiento correctivo y preventivo de la infraestructura de TIC.
c) Controles de accesos no autorizados y de seguridad en el centro de datos.
4. Controles de aplicación:
Controles que permitan que el sistema cumpla la normatividad relativa a la gestión de la
información (entrada, procesamiento y almacenamiento de datos) para asegurarse
de que ésta sea confidencial, disponible e íntegra.
5
Para determinar la muestra de auditoría, se consideró lo siguiente:
Una vez efectuada la revisión de los referidos criterios, se verificaron los procesos de
los documentos de gestión programático-presupuestarios de las Cuentas por Liquidar
Certificadas (CLC) y afectaciones programático presupuestales.
Mediante el programa MySQL (My Structured Query Language, por sus siglas en inglés,
Lenguaje de Consulta Estructurado) con la función rand, se seleccionaron de forma aleatoria
dos dependencias (Secretaría de Seguridad Pública y Secretaría de Protección Civil) y un
órgano desconcentrado (Centro de Comando, Control, Cómputo, Comunicaciones y Contacto
Ciudadano), unidades administrativas usuarias del GRP-SAP.
La muestra por auditar se determinó mediante un método de muestreo no estadístico con
fundamento en las Normas Internacionales de Auditoría (NIA) 530, “Muestreo de Auditoría”,
conjuntamente con las Normas Internacionales de las Entidades Fiscalizadoras Superiores
(ISSAI) 1530, “Muestreo de Auditoría”, emitida por el Comité de Normas Profesionales de la
Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI).
La auditoría se practicó en la Dirección General de Informática (encargada de la operación del
GRP-SAP) y demás áreas de la SEFIN que tuvieron relación con el mencionado sistema.
PROCEDIMIENTOS, RESULTADOS Y OBSERVACIONES
Evaluación del Control Interno
1. Resultado
A fin de evaluar el control interno implementado por la SEFIN y contar con una base para
determinar la naturaleza, extensión y oportunidad de las pruebas de auditoría, se analizaron
las atribuciones de la dependencia, el marco normativo y su manual administrativo, vigentes
en 2017; asimismo, se aplicó un cuestionario de control interno sobre el marco normativo de
gobernanza en TIC, en particular a los servidores públicos responsables de la administración
y de la gestión y gobernanza de TIC, en relación con los cinco componentes del control
6
interno (Ambiente de Control, Administración de Riesgos, Actividades de Control, Información
y Comunicación, y Supervisión).
La evaluación se realizó tomando como parámetro de referencia el Marco Integrado de
Control Interno para el Sector Público (MICI), que es un documento de carácter técnico
que fue desarrollado por el Grupo de Trabajo de Control Interno del Sistema Nacional de
Fiscalización en su quinta reunión plenaria celebrada en 2014, cuyo objeto es la
implementación de un control interno efectivo como una herramienta fundamental para
aportar elementos que promuevan la consecución de los objetivos institucionales, minimicen
los riesgos, reducir la probabilidad de ocurrencia de actos de corrupción y fraudes, que
consideren la integración de las tecnologías de la información a los procesos institucionales,
respalden la integridad y el comportamiento ético de los servidores públicos y consoliden los
procesos de rendición de cuentas y de transparencia gubernamentales. Asimismo, está
diseñado como un modelo de control interno que puede ser adoptado y adaptado por las
instituciones, en los ámbitos federal, estatal y municipal, y que gozaría de mayor aceptación
e impacto sí los distintos niveles de gobierno, en el ámbito de sus atribuciones, expiden los
decretos correspondientes para su aprobación.
Ambiente de Control
Se identificaron las unidades administrativas de la dependencia que estuvieron relacionadas con
la seguridad de la información, operaciones de TIC, controles de aplicación, así como
continuidad del servicio y recuperación de desastres; las funciones, objetivos, actividades y
procedimientos aplicados; las normas, procesos y estructura orgánica que proporcionan la
base para llevar a cabo el control interno en el sujeto fiscalizado, al igual que la normatividad
que proporciona disciplina y estructura para apoyar al personal en la consecución de los
objetivos institucionales; y se verificó que la dependencia y la Dirección General de
Informática hayan establecido y mantenido un ambiente de control que implique una actitud
de respaldo hacia el control interno, como se indica a continuación:
Mediante el oficio núm. ACF-A/18/05670 del 21 de junio de 2018, se solicitó al sujeto
fiscalizado que proporcionara su estructura orgánica y manual administrativo, vigentes en
7
2017. Con el oficio núm. SFCDMX/SE/DGCYCP/DSIAE/0037/2018 del 3 de julio de 2018,
la dependencia entregó la información requerida.
1. En la revisión y análisis de los dictámenes de estructuras orgánicas, se tuvo conocimiento
de que en 2017 la SEFIN realizó sus funciones con base en las estructuras orgánicas y
organigramas correspondientes a los siguientes dictámenes:
a) Dictamen de estructura orgánica núm. 17/2013, vigente del 1o. diciembre de 2013 al
2 de mayo de 2017, autorizado por la Contraloría General (CG) mediante el oficio
núm. CGDF/1772/2013 del 20 de diciembre de 2013. En él se consideraron 587 plazas.
b) Dictamen núm. D-SEFIN-19/030517, vigente del 3 de mayo de 2017 al 31 de agosto de
2017, autorizado por la Oficialía Mayor (OM) por medio del oficio núm. OM/417/2017
del 30 de junio de 2017. En él se consideraron 1,269 plazas.
El incremento del número de plazas de la estructura orgánica se derivó de la
modificación al artículo 7, fracción VIII, inciso H), del Decreto por el que se reforman,
adicionan y derogan diversas disposiciones del Reglamento Interior de la Administración
Pública del Distrito Federal, publicado en la Gaceta Oficial de la Ciudad de México el
2 de mayo de 2017. En ese decreto se establece que las Direcciones Generales,
Ejecutivas o de Área Encargada de la Administración se adscribieron a la SEFIN, lo
cual no impactó en el rubro sujeto a revisión.
c) Dictamen núm. D-SEFIN-27/010917, vigente a partir del 1o. de septiembre de 2017,
autorizado por la OM mediante el oficio núm. OM/0616/2017 del 16 de octubre
de 2017. En él se consideraron 1,523 plazas.
2. En la revisión y análisis del manual administrativo, se tuvo conocimiento de lo siguiente:
a) Mediante el oficio núm. OM/CGMA/1393/2015 del 24 de julio de 2015, la
Coordinación General de Modernización Administrativa (CGMA) comunicó al sujeto
fiscalizado que registró con el núm. MA-25/240715-D-SF-17/2013 el manual
administrativo (apartados de organización y de procedimientos), elaborado conforme
8
al dictamen núm. 17/2013 y publicó el Aviso por el cual se da a conocer el Manual
Administrativo de la Secretaría de Finanzas, con Número de Registro MA-25/240715-
D-SF-17/2013 en la Gaceta Oficial del Distrito Federal núm. 166, Tomo I, el 31 de
agosto de 2015. El manual estuvo vigente a partir de la fecha de su publicación
e indica el marco jurídico de actuación, atribuciones, misión, visión, objetivos
institucionales, funciones de los puestos, los organigramas y procedimientos que
regulan los procesos de las unidades administrativas involucradas en el rubro sujeto
a revisión.
Con el oficio núm. SF/DEJ/0602/2015 del 3 de agosto de 2015, la Dirección Ejecutiva
Jurídica difundió el manual administrativo a la Subsecretaría de Egresos,
Subsecretaría de Planeación Financiera, Tesorería del Distrito Federal, Procuraduría
Fiscal del Distrito Federal, Dirección General de Informática y Unidad de Inteligencia
Financiera.
En el citado manual se identificaron 308 procedimientos vigentes en 2017; de éstos,
25 se relacionaron con los controles generales de TIC (operaciones de TIC,
continuidad del servicio y recuperación de desastres, y seguridad de la información)
y 16, con operaciones que se aplican al GRP-SAP.
b) El manual administrativo del sujeto fiscalizado estuvo disponible, en formato PDF, en
su página de internet y a disposición de los servidores públicos de las dependencias
para su consulta, de conformidad con lo dispuesto en el lineamiento Cuadragésimo
del Capítulo XI, “De la Normateca”, de los Lineamientos Generales para el Registro de
Manuales Administrativos y Específicos de Operación de la Administración Pública
del Distrito Federal, publicados en la Gaceta Oficial del Distrito Federal el 30 de
diciembre de 2014, vigentes en 2017.
c) Con el oficio núm. ACF-A/18/0569 del 22 de junio de 2018, se solicitó al titular de la
CGMA que proporcionara el manual administrativo del sujeto fiscalizado vigente
en 2017.
9
En respuesta, con el oficio núm. OM/CGMA/1513/2018 del 29 de junio de 2018, el
titular de la CGMA proporcionó en medio magnético el manual administrativo con
registro núm. MA-25/240715-D-SF-17/2013, el cual corresponde con el proporcionado
por el sujeto fiscalizado.
Con relación al manual administrativo elaborado conforme a los dictámenes de
estructura orgánica núms. D-SEFIN-19/030517, vigente a partir del 3 de mayo
de 2017; y D-SEFIN-27/010917, vigente a partir del 1o. de septiembre de 2017, el sujeto
fiscalizado no acreditó la presentación de su registro ni de las gestiones realizadas
para su actualización. Por tal motivo, mediante el oficio núm. ACF-A/DA-B/19/006 del
16 de enero de 2019, se solicitó a la dependencia que indicara las causas por las que
el manual administrativo de la SEFIN no se actualizó conforme a las mencionadas
estructuras orgánicas.
Con el oficio núm. SAF/SE/DGACyRC/0144/2019 del 23 de enero de 2019, el sujeto
fiscalizado proporcionó el oficio núm. SAF/DGAyF/DACH/0114/2019 de la misma
fecha, en el que manifestó lo siguiente:
“Los trabajos de actualización del Manual Administrativo de la Secretaría de Finanzas
iniciados durante el año 2017, fueron suspendidos derivado del sistema de
Dictaminación de Estructuras Orgánicas ʻSIDEOʼ, motivo por el que se solicitó
mediante oficio número SFCDMX/DGA/SOM/340/2018 del 10 de diciembre de 2018,
signado a la atención de la […] titular de la Coordinación General de Modernización
Administrativa (CGMA), atentamente informara quién sería la persona servidora
pública designada que fungiría como consultor por parte de la CGMA para dar
continuidad, seguimiento y asesoría a los trabajos ya desarrollados, sin que a la
fecha de emisión del presente se cuente con respuesta al respecto.”
En la reunión de confronta celebrada el 1o. de marzo de 2019, mediante el oficio
núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría de
Administración y Finanzas remitió el oficio núm. SAF/GFAyF/DACH/SDO/0041/2019
del 25 de febrero de 2019, en el que “se le informó a la Coordinadora General de
Evaluación, Modernización y Desarrollo Administrativo, que la actualización del Manual
10
[…] quedó inconclusa […] derivado al Cierre del […] SIDEO”; sin embargo, la
dependencia no presentó evidencia de las gestiones realizadas ni del envío del
proyecto de actualización del manual administrativo en el plazo de 30 días hábiles
contados a partir de la fecha de entrada en vigor del dictamen de estructura orgánica
a la instancia correspondiente, por lo que la observación prevalece.
Por no haber enviado el proyecto de actualización del manual administrativo
conforme al último dictamen de estructura orgánica en el plazo establecido, la SEFIN
no atendió los lineamientos Quinto, fracción XIII, del capítulo I, “Disposiciones
Generales” y Vigésimo Tercero, fracción I, del capítulo VII, “De la Actualización de
los Manuales Administrativos y de los Específicos de Operación”, de los Lineamientos
Generales para el Registro de Manuales Administrativos y Específicos de Operación de
la Administración Pública del Distrito Federal, publicados en la Gaceta Oficial
del Distrito Federal núm. 2017 del 30 de diciembre de 2014; y Vigésimo Cuarto, del
capítulo VII “De la Actualización de los Manuales Administrativos y de los Específicos
de Operación” y su modificación publicada en la Gaceta Oficial de la Ciudad México
núm. 137 del 15 de agosto de 2016, vigentes en 2017, que señalan:
“QUINTO. Los Órganos de la Administración y los Órganos administrativos tendrán
respectivamente las siguientes obligaciones: […]
”XIII. Actualizar el Manual Administrativo y los Específicos de Operación en los casos
que establezcan los presentes Lineamientos. […]
”VIGÉSIMO TERCERO. Los Órganos de la Administración y los Órganos
Administrativos deberán actualizar sus Manuales cuando se presenten los supuestos
siguientes:
”I. Creación, modificación o cancelación de normas jurídicas o disposiciones
administrativas que incidan en sus funciones, atribuciones o procedimientos…”
“VIGÉSIMO CUARTO. Los Órganos de la Administración Pública o los Órganos
Administrativos deberán enviar, mediante oficio con firma autógrafa de su titular o
11
de quien preside, la solicitud de actualización fundada y motivada y el proyecto de
actualizaciones al Manual Administrativo o Específico de Operación, dentro del plazo
de 30 días hábiles posteriores a la fecha en que se presenten los supuestos
establecidos en las fracciones del lineamiento VIGÉSIMO TERCERO.
”En caso de que la Coordinación General considere que la actualización solicitada
requiere extender los trabajos, o bien que afecta en más de dos terceras partes
del contenido del manual previamente registrado, el plazo para iniciar el proceso de
registro podrá ampliarse 30 días hábiles más y lo notificará por escrito al Enlace.”
El sujeto fiscalizado careció en 2017 de un manual actualizado conforme al último dictamen
de estructura orgánica, el cual no impactó en las operaciones del rubro en revisión, por lo que
el componente Ambiente de Control se considera inapropiado.
Administración de Riesgos
Se identificó que la Dirección General de Informática de la SEFIN contó con una definición
formal de los objetivos y metas estratégicos respecto a la gestión y gobernanza en TIC, y que
éstos son conocidos por los responsables de su consecución, como condición previa para
evaluar los riesgos que pudieran impedir el cumplimento de éstos.
Los objetivos institucionales de la SEFIN están definidos con claridad y difundidos en su sitio
web, en el apartado “Acerca de”, de modo que coadyuvan en la identificación de los riesgos
potenciales asociados a éstos y en la determinación de cómo se gestionarán.
Se identificó que los riesgos con mayor probabilidad de ocurrencia e impacto en TIC respecto
al rubro sujeto a revisión fueron que el manual administrativo del sujeto fiscalizado,
específicamente el apartado que corresponde a la Dirección General de Informática, no
se encontró actualizado, registrado, publicado ni difundido entre el personal responsable de su
aplicación, conforme a la última estructura orgánica vigente en 2017; que no se realizaron
encuestas del servicio a los usuarios finales del sistema; y que no se contó con políticas
de continuidad y planes de mantenimiento a la infraestructura tecnológica, como exige la
normatividad aplicable.
12
Se elaboró un mapa de riesgos, en el que se determinó la probabilidad de ocurrencia y el
grado de impacto que afectó al GRP-SAP; se identificaron los elementos del control interno
establecidos y se evaluó que los mecanismos de control hicieron factible la administración de
los riesgos, mitigando las irregularidades e ineficiencias o disminuyendo las debilidades
detectadas.
El componente de Administración de Riesgos se considera “inapropiado”, dado que, aunque la
dependencia contó con procedimientos administrativos que establecieron actividades para
la administración de los riesgos, el manual administrativo no estuvo actualizado con el último
dictamen de estructura orgánica.
Actividades de Control
En el apartado de organización del manual administrativo de la SEFIN, se identificaron las
funciones o actividades de control preventivas y detectivas, necesarias para controlar
los riesgos relacionados con el logro de los objetivos, respecto al GRP-SAP.
En el apartado de procedimientos se identificaron 308 vigentes en 2017, así como los
objetivos, aspectos a considerar y las actividades para mitigar o reducir los riesgos; 25 de
los 308 procedimientos estuvieron relacionados con los controles generales de TIC
(operaciones de TIC, continuidad del servicio y recuperación de desastres, y seguridad de la
información) y 16 con actividades administrativas relacionadas con el GRP-SAP, los cuales
permitieron cumplir los objetivos de control y administrar los riesgos inherentes a la gestión de
TIC, así como garantizar razonablemente el cumplimiento de las leyes, reglamentos, normas,
políticas y otras disposiciones de observancia obligatoria. Los 25 procedimientos identificados
por rubros de TIC se alinean con lo dispuesto por el WGITA-IDI Handbook on IT Audit for
Supreme Audit Institutions (Manual del Grupo de Trabajo en Auditoría TIC de la Iniciativa de
Desarrollo de la INTOSAI, sobre Auditoría TIC para Instituciones Superiores de Auditoría)
de 2014 y la Norma ISSAI 5300, “Directrices sobre Auditoría de TIC”, ambas publicadas,
aprobadas y autorizadas por la INTOSAI de la siguiente manera:
13
Control general de TIC Nombre del procedimiento
Seguridad de la información
“Atención a las Solicitudes de Alta, Modificación, y/o Baja de Claves de Usuarios de los Sistemas Informáticos que se encuentran en Resguardo y Administración de la Dirección General de Informática”
“Instalación, Configuración y Respaldo de Servidores”
“Administración y Mantenimiento del Sistema de Energía Eléctrica Regulada, Respaldo y Emergencia”
“Creación de Ambientes Virtuales”
“Monitoreo para la Prevención y/o Notificación de Incidentes en los Equipos de Cómputo y Sistemas de Misión Crítica de la Dirección General de Informática”
Operaciones de TIC
“Elaboración del Plan de Trabajo de Proyectos Informáticos”
“Seguimiento y evaluación de Proyectos de Tecnologías de Información”
“Revisión, Integración de Expedientes y Elaboración de Solicitudes e Informes de Adquisiciones para Dictaminación Técnica de la Comisión de Gobierno Electrónico”
“Análisis y Diseño de Sistemas Informáticos”
“Desarrollo de Sistemas Informáticos”
“Implementación de Sistemas Informáticos”
“Liberación, Incorporación y/o Modificación de Funciones de Cobro en el Sistema de Cajas de las Administraciones Tributarias”
“Administración del Sitio WEB de la Secretaría de Finanzas”
“Análisis de Indicadores de Comportamiento del Sitio WEB de la Secretaría de Finanzas”
“Recepción y Gestión de Solicitudes de Servicios Informáticos”
“Atención de Solicitudes de Soporte Técnico a las Áreas de la Secretaría de Finanzas”
“Atención a las Solicitudes de Consumibles por Parte de las Unidades Administrativas de la Secretaría de Finanzas”
“Mantenimiento Preventivo a Equipos de Cómputo a través de un Proveedor o Compañía de Servicio”
“Administración de Bases de Datos y Bodega de Datos”
Continuidad del servicio y recuperación de desastres
“Atención a incidentes de Seguridad Informática (Procesos, Tecnologías, Personas)”
“Detección y Análisis de Vulnerabilidades”
“Atención a Solicitud de Conversión y Vinculación del Certificado Digital FIEL en el Sistema de Planeación de Recursos Gubernamentales”
“Atención a Solicitud de Copia de Mandantes en el Sistema de Planeación de Recursos Gubernamentales”
“Atención a las Solicitudes de Servicios de Red LAN y WAN”
“Administración de la Red de Comunicaciones”
Controles de aplicación
“Atención a las Soluciones de Incorporación de Claves Presupuestarias al [GRP-SAP]”
“Firma Electrónica de Pagado o Rechazado de Cuentas por Liquidar Certificadas en el GRP”
“Atención a las Solicitudes de Autorización Previa que Presentan las Unidades Responsables del Gasto”
“Atención de las Adecuaciones Presupuestarias Líquidas Solicitadas por las Unidades Responsables del Gasto”
“Revisión del Registro Contable de las Cuentas por Liquidar Certificadas Pagadas, Reportadas en la Cuenta Comprobada contra los Registros Contenidos en el Sistema Informático”
“Devolución de Pagos Indebidos y los que Procedan de Conformidad con el Código Fiscal del Distrito Federal y Demás Leyes Aplicables”
Continúa...
14
... Continuación
Control general de TIC Nombre del procedimiento
Controles de aplicación
“Registro, Control y Pago de las Cuentas por Liquidar Certificadas, que se Generan por la Devolución de Ingresos Percibidos Indebidamente y los que Procedan de Conformidad con el Código Fiscal del Distrito Federal y Demás Leyes Aplicables”
“Registro y Control de los Ingresos Obtenidos por el Gobierno del Distrito Federal”
“Registro Contable de la Compra y Venta de Valores y Depósitos en Cuentas Productivas en el GRP”
“Registro Contable de Productos Financieros del Sector Central de la Administración Pública del Distrito y d7e la Aplicación de Billetes de Depósito y Fianzas”
“Alta de Proveedores del Gobierno del Distrito Federal”
“Trámite a Pago de Cuentas por Liquidar Certificadas Presupuestales Vía Transferencia Electrónica”
“Pago de Cuentas por Liquidar Certificadas Vía Cheque”
“Pago en Ventanillas Bancarias de Cuentas por Liquidar Certificadas”
“Pago de Cuentas por Liquidar Certificadas Presupuestales Descontadas por Factoraje”
“Control de Fianzas Penales”
El componente de actividades de control se considera “apropiado”, en virtud de que el sujeto
fiscalizado contó con un manual administrativo, en el que se identificaron 25 procedimientos
de operaciones de TIC y 16 de actividades administrativas relacionadas con el GRP-SAP, que
permitieron prevenir, minimizar y responder a los riesgos que pudieran afectar el cumplimiento
y logro de sus objetivos en cuanto a la eficacia y eficiencia de las operaciones del rubro
sujeto a revisión.
Información y Comunicación
El sujeto fiscalizado contó con mecanismos de control impresos y de manera electrónica en el
sitio web, que le permitieron difundir información necesaria para que el personal cumpliera
sus responsabilidades en particular y en general, los objetivos institucionales y generó
información necesaria, oportuna, veraz y suficiente, por medio de su manual administrativo
registrado con el núm. MA-25/240715-D-SF-17/2013, el cual estuvo incorporado en su sitio web
en formato PDF y a disposición de los servidores públicos de la dependencia para su
consulta, de conformidad con el lineamiento Cuadragésimo, de los Lineamientos Generales
para el Registro de Manuales Administrativos y Específicos de Operación de la Administración
Pública del Distrito Federal. En el referido manual, se identificaron las unidades administrativas
que se encargaron de generar la información requerida para cumplir sus obligaciones en
materia de gestión y gobernanza en TIC.
15
También acreditó contar con los elementos necesarios de comunicación que le permitieran
informar sobre actos indebidos del personal de la SEFIN, así como por terceros.
El componente de la información y comunicación fue apropiado, en virtud de que la
dependencia acreditó contar con medios de comunicación escritos y electrónicos para
el cumplimiento de sus responsabilidades.
Supervisión
El sujeto fiscalizado contó con actividades de supervisión y revisión dentro de sus
procedimientos de las operaciones institucionales; sin embargo, en el cuestionario de control
interno, no presentó información de la evaluación de las mencionadas operaciones, ni de
cómo comunicó las deficiencias de control interno a los responsables; tampoco de haber
promovido la mejora de los controles internos de la dependencia porque no estaba obligado
normativamente, por lo que el componente de supervisión se considera “inapropiado”.
La ASCM no ha practicado ninguna auditoría al sistema GRP-SAP administrado por la
SEFIN; sin embargo, realizó una auditoría de cumplimiento con enfoque en TIC en el ejercicio
2014 al “Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas”,
cuyas recomendaciones a la fecha fueron atendidas en su totalidad.
Se concluye que, respecto al resultado del estudio y evaluación del control interno, el sujeto
fiscalizado contó con unidades administrativas estructuradas conforme el manual
administrativo, pero presentó deficiencias en los mecanismos y actividades de control
establecidos en los procedimientos para atender y mitigar los riesgos de registro y control de
las operaciones del GRP-SAP de la SEFIN. Asimismo, de las pruebas de auditoría aplicadas,
se determinó que existen riesgos en la ejecución de las operaciones y la consecución de
objetivos, por lo cual, se considera que en general es inapropiado.
En el informe de la auditoría con clave ASCM/9/17, practicada a la entonces SEFIN, resultado
núm. 1, recomendación ASCM-9-17-1-SEFIN, se considera el mecanismo para implementar
acciones dirigidas a asegurar la actualización y registro del manual administrativo (apartado
de organización y de procedimientos) de la SEFIN y su publicación en su normateca, por lo
16
que se dará tratamiento a dicha circunstancia como parte del seguimiento de la recomendación
citada.
Seguridad de la Información
2. Resultado
Con la finalidad de evaluar que la SEFIN haya contado con controles de seguridad de
la información implementados en el GRP-SAP, en cumplimiento de la normatividad de TIC
aplicable y asegurar que la información sea íntegra, confiable y disponible, la ASCM realizó
entrevistas, inspecciones y pruebas analíticas y sustantivas a este sistema.
En los procedimientos de auditoría, se observó lo siguiente:
1. Respecto a la elaboración de políticas de seguridad de la información (suficientes y
efectivas) en el GRP-SAP, de la respuesta al “Cuestionario de Control Interno TIC” de la
documentación remitida con los oficios núms. SFCDMX/DGI/556/2018 del 26 de octubre
de 2018 y SFCDMX/DGI/646/2018 del 11 de diciembre de 2018, se tuvo conocimiento de
que la dependencia contó con un documento denominado “Políticas de Seguridad de la
Información”, difundido mediante el oficio núm. SFCDMX/DGI/432/2017 del 27 de julio de
2017, de conformidad con el artículo 13, apartado 2, “Política de Seguridad”; inciso 2.1,
“Definición y documentación de la política de seguridad de la información”, de las Normas
Generales que deberán observarse en materia de Seguridad de la Información en la
Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito
Federal núm. 121 el 9 de julio de 2007, vigente en 2017.
2. Con relación a sí los controles fueron suficientes y efectivos para la seguridad física,
lógica y de red en la infraestructura tecnológica para la operación del GRP-SAP, se
observó lo siguiente:
a) De la inspección al centro de datos de la SEFIN, realizada por la ASCM el día 5 de
diciembre de 2018, se constató que la dependencia acreditó contar con energía
eléctrica polarizada y aterrizada para evitar que la infraestructura de TIC sufra daños
en caso de alguna situación adversa, en cumplimiento del artículo 13, norma 6,
17
“Seguridad Física y del Entorno”, Objetivo del apartado 6.2, “Seguridad del
Equipamiento”, de las Normas Generales que deberán observarse en materia
de Seguridad de la Información en la Administración Pública del Distrito Federal,
publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007,
vigentes en 2017 y se alineó con la norma BICSI (Building Industry Consulting
Service International, por sus siglas en inglés, Servicio de consultoría de la industria
de construcción internacional), en su apartado 9.9.1.
b) En la entrevista realizada por la ASCM el día 29 de noviembre de 2018 y de la
respuesta al “Cuestionario de Control Interno TIC” proporcionada con el oficio
núm. SFCDMX/DGI/556/2018 del 26 de octubre de 2018, se tuvo conocimiento de
que la SEFIN contó con el programa antivirus McAfee en sus equipos, el cual brindó
protección contra accesos inapropiados y códigos maliciosos, este software tuvo
licencia vigente, cuya renovación y mantenimiento se adquirió por medio del contrato
núm. CS-033/2017 del 9 de junio de 2017, denominado “Contrato abierto de
prestación del servicio de mantenimiento preventivo y correctivo de equipos McAfee y
renovación de licencias de antivirus McAfee, para la Secretaría de Finanzas de la
Ciudad de México”, en cumplimiento del artículo 13, en su apartado 7.3.1 “Controles
contra código malicioso” de las Normas Generales que deberán observarse en
materia de Seguridad de la Información en la Administración Pública del Distrito
Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de
2007, vigente en 2017.
c) En la entrevista realizada por la ASCM el 29 de noviembre de 2018 y en la inspección
al centro de datos de la SEFIN el día 5 de diciembre de 2018, se tuvo conocimiento
de que la dependencia monitoreó la red de datos por medio de la aplicación Nagios,
para verificar la disponibilidad de los servicios, el tráfico de la red, el uso de memoria
y procesadores de los servidores en los centros de datos, en cumplimiento del
artículo 13, en sus apartados 7.6, “Monitoreo de los sistemas”; y 7.6.2, “Monitoreo
de los sistemas y recursos en uso”, de las Normas Generales que deberán observarse
en materia de Seguridad de la Información en la Administración Pública del Distrito
Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de
2007, vigente en 2017.
18
3. En cuanto a la seguridad suficiente y efectiva para el Alta, Baja o Modificación de claves
de usuario en el GRP-SAP, la ASCM realizó entrevistas los días 29 y 30 de noviembre de
2018, inspeccionó este sistema el día 30 de noviembre de 2018 y solicitó información
mediante el oficio núm. ACF-A/DA-B/18/016 del 25 de enero de 2019, al que se dio
respuesta con el oficio núm. SAF/SE/DGACyRC/0239/2019 del 31 de enero de 2019.
Al respecto, se observó lo siguiente:
a) La SEFIN contó con el procedimiento “Atención a las Solicitudes de Alta, Modificación
y/o Baja de Claves de Usuarios de los Sistemas Informáticos que se Encuentran en
Resguardo y Administración de la Dirección General de Informática” integrado en su
manual administrativo, cuyo objetivo es garantizar la confiabilidad, seguridad y uso
adecuado de las claves de usuario por parte de los usuarios; y con políticas “De los
Usuarios y Contraseñas para Acceso a los Servidores y/o Aplicativos de la Secretaría
de Finanzas” y “De los Servidores de la Secretaría de Finanzas”, las cuales son de uso
interno y están integradas en el documento “Políticas de Seguridad de la Información”.
Cabe señalar que la Dirección General de Informática cuando genera un nuevo
usuario en el GRP-SAP da una contraseña genérica, la cual es entregada en sobre
cerrado con el documento denominado “Acta responsiva para alta de clave de acceso
a los sistemas resguardados por la Dirección General de Informática”, y hace de su
conocimiento al usuario las sanciones previstas en la normatividad aplicable vigente,
posteriormente, el GRP-SAP obliga al usuario a cambiar la contraseña al ingresar por
una personal.
Durante las inspecciones realizadas a los usuarios finales, se constató que la longitud
mínima de las contraseñas para ingresar al GRP-SAP es de 6 caracteres y pueden
formarse con letras mayúsculas, minúsculas, números y caracteres especiales, y no
de 7 caracteres como se establece en las “Políticas de Seguridad de la Información”.
En la reunión de confronta, celebrada el 1o. de marzo de 2019, la Secretaría de
Administración y Finanzas, mediante el oficio núm. SAF/SE/DGACyRC/0782/2019
del 28 de febrero de 2019, remitió el oficio núm. SAF/DGTC/080/2019 del 26 de
febrero de 2019, en el cual informó que “se actualizará la política interna para la
19
estructura y uso de las contraseñas para acceder [a] los recursos GRP-SAP…”, por
lo que la presente observación no se modifica.
Por no contar con las contraseñas para ingresar al GRP-SAP con una longitud de 7
caracteres, la Dirección General de Informática no se alineó a la política “De los
Usuarios y Contraseñas para acceso a los Servidores y/o aplicativos de la Secretaría
de Finanzas”, integrado en el documento “Políticas de Seguridad de la Información”,
que indica:
“… El Usuario deberá teclear una Contraseña de acceso de 7 caracteres
alfanuméricos como mínimo.
”La Contraseña debe contener únicamente los caracteres de la ʽaʼ a la ʽzʼ y del ʽ0ʼ al
ʽ9ʼ, sin diferenciar entre mayúsculas y minúsculas.”
También incumplió el artículo 13, norma 8, “Control de Acceso”; apartado 8.3.1, “Uso
de contraseña (password)”, de las Normas Generales que deberán observarse en
materia de Seguridad de la Información en la Administración Pública del Distrito
Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de
2007, vigente en 2017, que señala:
“Se debe establecer una política interna para la estructura y uso de las contraseñas
para acceder los recursos de TI, la cual deberán conocer y respetar los usuarios. A
todos los usuarios se les comunicarán las prácticas para su buen uso y manejo.”
b) La Subsecretaría de Egresos de la SEFIN es la unidad administrativa autorizada para
revisar el alta, baja o modificación de usuarios en el GRP-SAP. Asimismo, para
solicitar la baja de usuario, se requiere un oficio o por medio de correo electrónico y
para el alta de usuario, es obligatorio emitir un oficio de petición y formato de solicitud.
Sin embargo, se constató que para el alta y modificación de usuarios en el GRP-SAP
no se tienen documentados los roles y privilegios para cada tipo de perfil de usuario
del sistema.
20
En la reunión de confronta celebrada el 1o. de marzo de 2019, mediante el oficio
núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría de
Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26
de febrero de 2019, en el cual informó que “se documentarán los roles y privilegios
para cada tipo de perfil de usuario del sistema GRP-SAP”, por lo que la presente
observación no se modifica.
Por no contar con evidencia documental para las altas, bajas o modificaciones de
usuarios en el GRP-SAP, la Dirección General de Informática incumplió el artículo 13,
norma 8, “Control de Acceso”; apartado 8.2 “Administración de acceso a usuarios”;
subapartado 8.2.1, “Registro de usuarios y control de privilegios”, de las Normas
Generales que deberán observarse en materia de Seguridad de la Información en la
Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito
Federal núm. 121 el 9 de julio de 2007, vigente en 2017, que señala:
“Deben existir los procedimientos necesarios para registrar o crear usuarios,
modificarlos y darlos de baja respecto de sus aplicaciones y demás recursos de TI.
Para los usuarios registrados, se deben controlar los privilegios a los recursos de
acuerdo a la política y lineamientos definidos.”
Se concluye que, si bien la SEFIN contó con un documento referente a políticas de seguridad
de la información; con controles de seguridad física en su centro de datos al tener energía
eléctrica polarizada y aterrizada para evitar que la infraestructura de TIC sufra daños en caso
de alguna situación adversa; de seguridad lógica al contar con protección contra accesos no
autorizados, código malicioso mediante el uso de antivirus; de seguridad de red al utilizar una
herramienta de monitoreo de red para verificar la disponibilidad de los servicios, el tráfico de
la red, el uso de memoria y procesadores de los servidores en los centros de datos; y con un
procedimiento y una política de uso interno, referentes al alta, baja y modificación de claves
de usuarios que utilizan el GRP-SAP, la longitud de las contraseñas generadas por los
usuarios del GRP-SAP no se alinearon con la política interna establecida y para el alta y
modificación de usuarios no se cuenta con los roles documentados para cada tipo de perfil,
lo que implica un riesgo para el control de privilegios a los recursos mencionados.
21
Recomendación ASCM-11-17-1-SEFIN
Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos de
supervisión para asegurarse de que la estructura y uso de las contraseñas de los usuarios
para acceder al Sistema de Planeación de Recursos Gubernamentales se alineen con lo
establecido en las Políticas de Seguridad de la Información, de conformidad con las Normas
Generales que deberán observarse en materia de Seguridad de la Información en la
Administración Pública del Distrito Federal vigentes.
Recomendación ASCM-11-17-2-SEFIN
Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos
de control para asegurarse de que, para el alta y modificación de usuarios del Sistema de
Planeación de Recursos Gubernamentales, se documenten los roles y privilegios para cada
tipo de perfil de usuario en el sistema, de conformidad con las Normas Generales que deberán
observarse en materia de Seguridad de la Información en la Administración Pública del
Distrito Federal vigentes.
Operaciones de TIC
3. Resultado
Con el objetivo de evaluar que las adecuaciones al sistema permitan la interconectividad con
las unidades responsables del gasto de la Administración Pública de la Ciudad de México, y la
integración de la información referente a registros programático-presupuestales, la ASCM
realizó entrevistas, inspecciones y pruebas informáticas en las que se observó lo siguiente:
1. Referente a los controles que permitan una gestión efectiva, eficaz y eficiente para la
operación del GRP-SAP, la ASCM realizó una entrevista el día 29 de noviembre
e inspecciones los días 6, 7 y 11 de diciembre de 2018, y 21 de enero de 2019; además,
aplicó un “Cuestionario de Control Interno TIC” y solicitó documentación mediante los
oficios núms. ACF-A/DA-B/18/0109 y ACF-A/DA-B/18/0142 del 18 de octubre y 7 de
diciembre, ambos de 2018. En respuesta, la SEFIN remitió el cuestionario y
documentación con los oficios núms. SFCDMX/DGI/556/2018 del 26 de octubre de 2018
22
y SFCDMX/DGI/646/2018 del 11 de diciembre de 2018, de cuyo análisis se tuvo
conocimiento que la dependencia no contó con un programa de capacitación para la
operación del GRP-SAP, ya que la capacitación es solamente por solicitud del ente y esta
petición no siempre fue atendida.
En la reunión de confronta celebrada el 1o. de marzo de 2019, mediante el oficio
núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría de
Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26 de febrero
de 2019, en el cual informó que “se exigirá [al] consultor que prepare un programa anual de
capacitación […] a los usuarios en el uso correcto del sistema GRP-SAP”, por lo que la
presente observación no se modifica.
Por no contar con un programa de capacitación para la operación del GRP-SAP, la
Dirección General de Informática incumplió el artículo 19 de la Ley de Gobierno
Electrónico del Distrito Federal, publicado en la Gaceta Oficial del Distrito Federal
núm. 192 el 7 de octubre de 2015, vigente en 2017, que señala:
“Cada uno de los Órganos de la Administración Pública, en el ámbito de sus respectivas
competencias, propiciará la capacitación de los servidores públicos a su cargo en materia
de tecnologías de la información y comunicaciones.”
Tampoco observó el apartado 1, “Operación del sistema informático de planeación
de recursos gubernamentales (GRP-SAP)”, del Anexo Único del contrato
núm. CS-MA-008/2015 del 15 de septiembre de 2015 denominado “Contrato multianual
de prestación del servicio de consultoría y mantenimiento continuo para la operación del
sistema informático de planeación de recursos gubernamentales (GRP-SAP),
2015-2017”, vigente del 16 de septiembre de 2015 al 31 de diciembre de 2017, que
señala lo siguiente:
“… ʻel prestadorʼ debe generar, programar, preparar y ejecutar los programas de
capacitación pertinentes en coordinación con ʻel D.F.ʼ …”
23
Por lo anterior, el sujeto fiscalizado incumplió el artículo 13, norma 5, “Seguridad de la
Información y el Personal”; apartado 5.2, “Durante el empleo”; subapartado 5.2.1,
“Sensibilización, entrenamiento y educación de la seguridad de la información”, de las
Normas Generales que deberán observarse en materia de Seguridad de la Información
en la Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del
Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en 2017, que señala:
“Todos los usuarios de la Institución incluyendo empleados, consultores, contratistas y
terceros, deben recibir la sensibilización, entrenamiento o educación […] así como la
capacitación referida al uso correcto de los recursos de T.I.”
Adicionalmente, la SEFIN acreditó contar con una mesa de ayuda por medio de su
Centro de Atención a Usuarios (CAU), a fin de dar soporte a las incidencias que tengan
los usuarios respecto al GRP-SAP, que recibe entre 5 y 10 solicitudes en promedio por
día; y con la política “De la Mesa de Ayuda”, contenida en el apartado “Política de
Servicio” del documento “Políticas de Seguridad de la Información” referente a la
realización de reportes de incidencias por parte de los usuarios al CAU. Las mencionadas
acciones son supervisadas mediante informes mensuales en donde se describe el
incidente y la solución, por lo que la Dirección General de Informática cumplió lo
establecido en el artículo 13, norma 10, “Administración de Incidentes de la Seguridad de
la Información”; apartado 10.1, “Reporte de eventos de seguridad de la información”;
subapartado 10.1.1, “Reporte de eventos de seguridad de la información”, de las Normas
Generales que deberán observarse en materia de Seguridad de la Información en la
Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito
Federal núm. 121 el 9 de julio de 2007, vigentes en 2017.
La SEFIN acreditó contar con manuales de operación del GRP-SAP por transacción, los
cuales son enviados a las unidades administrativas usuarias del GRP-SAP y pueden ser
solicitados por los usuarios, así como una guía de navegación del sistema cuyo objetivo
es dar a conocer la herramienta, conceptos básicos de la navegación, íconos de uso
diario y la forma de iniciar sesión.
24
Sin embargo, de las inspecciones realizadas por la ASCM los días 6, 7 y 11 de diciembre
de 2018, y 21 de enero de 2019, se tuvo conocimiento que los manuales de operación del
GRP-SAP de la SEFIN no se encontraron actualizados y en algunos casos no han sido
entregados al usuario final.
En la reunión de confronta celebrada el 1o. de marzo de 2019, mediante el oficio
núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría de
Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26 de febrero
de 2019, en el cual informó que “se realizará un programa de actualización de manuales
y guías de operación […] y se establecerá una coordinación con la Subsecretaría de
Egresos, para su entrega a […] los usuarios del GRP-SAP”, por lo que la presente
observación no se modifica.
Por no contar con manuales de operación del GRP-SAP actualizados ni haberlos
difundido, la Dirección General de Informática no vigiló el cumplimiento del apartado 1,
“Operación del sistema informático de planeación de recursos gubernamentales
(GRP-SAP)”, del Anexo Único del contrato núm. CS-MA-008/2015 del 15 de septiembre
de 2015 denominado “Contrato multianual de prestación del servicio de consultoría y
mantenimiento continuo para la operación del sistema informático de planeación de
recursos gubernamentales (GRP-SAP), 2015-2017”, vigente del 16 de septiembre
de 2015 al 31 de diciembre de 2017, que señala:
“… ‘el prestador’ […] debe generar, actualizar, proporcionar y conservar la información
documental (manuales de operación de sistema, entre otros) que sirva como base para
que el personal pueda auto-desarrollarse…”
Asimismo, la Dirección General de Informática incumplió el artículo 13, norma 7, “Seguridad
de las operaciones”; apartado 7.1, “Procedimientos operativos y responsabilidades”;
subapartado 7.1.1, “Documentación de los procedimientos operativos”, de las Normas
Generales que deberán observarse en materia de Seguridad de la Información en la
Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito
Federal núm. 121 el 9 de julio de 2007, vigentes en 2017, que señala:
25
“Los procedimientos de las operaciones se deben documentar, mantener y estar
disponibles para todos los usuarios que los necesiten…”
2. Con relación a la evaluación de los enlaces de datos utilizados por la SEFIN para brindar
soporte al GRP-SAP y que aseguren la operación de TIC, de la entrevista del 29 de
noviembre de 2018, de las inspecciones del 6, 7 y 11 de diciembre de 2018 y 21 de enero
de 2019; y de las respuestas al “Cuestionario de Control Interno TIC” remitido con el oficio
núm. SFCDMX/DGI/556/2018 del 26 de octubre de 2018, se tuvo conocimiento de que
la dependencia contó con un solo enlace de 150 MB, con crecimiento a 300 MB en
temporada de recaudación, en cumplimiento del artículo 35 de la Ley de Gobierno
Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal
núm. 192 el 7 de octubre de 2015, vigente en 2017.
3. Respecto a la realización de encuestas de satisfacción del servicio a los usuarios finales
del GRP-SAP, para mejorar los procesos de operación, de las entrevistas del 29 y 30 de
noviembre de 2018, de las inspecciones del 6, 7 y 11 de diciembre de 2018 y del 21
de enero de 2019; y de la respuesta al “Cuestionario de Control Interno TIC” remitido con
el oficio núm. SFCDMX/DGI/556/2018 del 26 de octubre de 2018, se tuvo conocimiento de
que la SEFIN no llevó a cabo encuestas del servicio del GRP-SAP a los usuarios finales.
En la reunión de confronta celebrada el día 1o. de marzo de 2019, mediante el oficio
núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría de
Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26 de febrero
de 2019, en el cual informó que “se establecerán los mecanismos que nos permitan
establecer las encuestas de satisfacción del servicio”, por lo que la presente observación no
se modifica.
Por no realizar encuestas de satisfacción del servicio a los usuarios finales del GRP-SAP,
la Dirección General de Informática incumplió el manual administrativo de la dependencia
con registro núm. MA-25/240715-D-SF-17/2013, que señala que la Jefatura de Unidad
Departamental de Operación de Sistemas Presupuestales, tiene como función “realizar
encuestas [del] servicio a los usuarios finales del Sistema de Planeación de Recursos
26
Gubernamentales ([GRP-SAP]), con el fin de conocer su opinión respecto al funcionamiento
y desempeño del sistema…”
Asimismo, incumplió el contrato núm. CS-MA-008/2015 del 15 de septiembre de 2015
denominado “Contrato multianual de prestación del servicio de consultoría y mantenimiento
continuo para la operación del sistema informático de planeación de recursos
gubernamentales (GRP-SAP), 2015-2017”, que especifica lo siguiente:
“La métrica de satisfacción del servicio se debe llevar a cabo mediante el uso de prácticas
aceptadas…”
La Dirección General de Informática también incumplió el artículo 31 de la Ley de
Gobierno Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito
Federal núm. 192 el 7 de octubre de 2015, vigente en 2017, que señala:
“Artículo 31. Los Órganos de la Administración Pública desarrollarán metodologías […]
que incluyan la evaluación y monitoreo, para generar estrategias de gestión como parte
del proceso de formación y mejora [continua]...”
Se concluye que la SEFIN contó con una mesa de ayuda, a fin de dar soporte a las
incidencias que tienen los usuarios respecto al GRP-SAP y con un enlace de datos que
asegura una óptima operación; sin embargo, no acreditó la realización de encuestas
de satisfacción del servicio a los usuarios finales del GRP-SAP como parte del proceso de
mejora continua, la presentación de un programa de capacitación para su operación, ni contar
con manuales de operación actualizados que aseguren la correcta operación del referido
sistema por parte de los usuarios.
Recomendación ASCM-11-17-3-SEFIN
Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos de
control y supervisión para asegurarse de que se cuente con un programa de capacitación
para que el Sistema de Planeación de Recursos Gubernamentales (GRP-SAP) sea operado
correctamente por sus usuarios, conforme a la normatividad aplicable.
27
Recomendación ASCM-11-17-4-SEFIN
Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos de
supervisión para asegurarse de que los manuales de operación del Sistema de Planeación
de Recursos Gubernamentales estén actualizados y sean difundidos a los usuarios finales, de
conformidad con las Normas Generales que deberán observarse en materia de Seguridad
de la Información en la Administración Pública del Distrito Federal y con los instrumentos
jurídicos celebrados, vigentes.
Recomendación ASCM-11-17-5-SEFIN
Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos
de control y supervisión para asegurarse de que se realicen encuestas de satisfacción del
servicio del Sistema de Planeación de Recursos Gubernamentales a los usuarios finales
como parte del proceso de mejora continua, de conformidad con la Ley de Gobierno Electrónico
del Distrito Federal, con las funciones del manual administrativo y con los instrumentos
jurídicos celebrados, vigentes.
Continuidad del Servicio y Recuperación de Desastres
4. Resultado
Con objeto de evaluar que la SEFIN haya dispuesto de controles que permitan que la
infraestructura tecnológica y el GRP-SAP den servicio ininterrumpido a las unidades
responsables del gasto, la ASCM realizó entrevistas, inspecciones físicas y pruebas
informáticas. Como resultados, se observó lo siguiente:
1. Referente a la elaboración de políticas de continuidad del servicio y de recuperación
de desastres que fueran suficientes, efectivas y brindaran un servicio de manera
ininterrumpida, de la entrevista del 29 de noviembre de 2018 y de la respuesta
al “Cuestionario de Control Interno TIC”, el cual fue respondido con el oficio
núm. SFCDMX/DGI/556/2018 del 26 de octubre de 2018, se tuvo conocimiento de que la
SEFIN emitió un documento de políticas de continuidad del servicio y recuperación de
desastres interno denominado “Disaster Recovery Plan DRP versión 3.3”, orientado a
28
asegurar la recuperación de la operación de los recursos tecnológicos críticos para la
operación del negocio, la implantación de metodologías y mejores prácticas para el DRP
(Disaster Recovery Plan, por sus siglas en inglés, Plan de Recuperación de Desastres), y la
entrega, soporte de servicios informáticos y desarrollo de sistemas de información en
la dependencia, con el objetivo de asegurar la confidencialidad, integridad y disponibilidad
de la información contenida en los sistemas; sin embargo, el DRP no estuvo actualizado.
En la reunión de confronta celebrada el 1o. de marzo de 2019, mediante el oficio
núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría de
Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26 de febrero
de 2019, en el que informó que “se realizará la actualización del DRP específico para el
GRP-SAP”, por lo que la presente observación no se modifica.
Por no actualizar el Plan de Recuperación de Desastres de acuerdo con los cambios del
GRP-SAP, la Dirección General de Informática no vigiló el cumplimento de lo señalado en
el punto 9 del apartado 3, “Atención a incidentes y solicitudes del sistema informático de
planeación de recursos gubernamentales (GRP-SAP)”, del Anexo Único, subapartado 4,
“Condiciones generales”, del contrato núm. CS-MA-008/2015 del 15 de septiembre
de 2015, denominado “Contrato multianual de prestación del servicio de consultoría y
mantenimiento continuo para la operación del sistema informático de planeación de
recursos gubernamentales (GRP-SAP), 2015-2017”, que estipula:
“9. ʻEl prestadorʼ debe actualizar el plan de recuperación ante desastres de acuerdo en
los cambios en los sistemas actuales […] este plan […] debe ser entregado a ʻel D.F.ʼ
cada que sufra algún cambio.”
La Dirección General de Informática también incumplió el artículo 13, norma 11,
“Continuidad de las Operaciones”; apartado 11.1, “Plan de Continuidad de las
Operaciones”; subapartado 11.1.1, “Planeación de la continuidad de las operaciones”,
segundo párrafo, de las Normas Generales que deberán observarse en materia de
Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas
en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007 vigentes en 2017,
que señala:
29
“Al planear la continuidad de las operaciones, se deben identificar y especificar desde un
inicio los requerimientos y controles de seguridad de la información; así como asegurar la
coordinación con el personal de la Institución y los contactos externos que participarán
en las estrategias de planificación de contingencias, asignando funciones para cada
actividad definida.
”Se debe definir, desarrollar e implementar un plan para mantener o restaurar las
operaciones, que asegure la disponibilidad de la información en el nivel y escala de
tiempo requeridos por la Institución. Dicho plan debe incluir al menos las siguientes
etapas:
”a) Notificación/Activación: Consistente en la detección y determinación del daño y la
activación del plan.
”b) Reanudación: Consistente en la restauración temporal de las operaciones y
recuperación del daño producido al sistema original.
”c) Recuperación: Consistente en la restauración de las capacidades de proceso del
sistema a las condiciones de operación normales.”
2. Con relación a los planes de mantenimiento correctivo y preventivo a la infraestructura de
TIC, para la continuidad del servicio del GRP-SAP, como resultado de la entrevista
realizada por la ASCM el día 29 de noviembre de 2018, de las respuestas al
“Cuestionario de Control Interno TIC” y de la documentación remitida por la SEFIN,
con los oficios núms. SFCDMX/DGI/556/2018 del 26 de octubre de 2018 y
SFCDMX/DGI/646/2018 del 11 de diciembre de 2018, se tuvo conocimiento de que
la dependencia realizó mantenimiento preventivo y correctivo de conformidad con el
contrato multianual núm. CS-MA-008/2015 del 29 de diciembre de 2017, denominado
“Convenio modificatorio al contrato multianual de prestación del servicio de consultoría y
mantenimiento continuo para la operación del Sistema Informático de Planeación de
Recursos Gubernamentales (GRP-SAP) 2015-2017”; con el contrato núm. CS-037/2017
del 14 de julio de 2017, denominado “Contrato abierto de prestación del servicio de
mantenimiento preventivo y correctivo a IBM DS6800 TOTAL STORAGE, IBM XIV e IBM
30
ESERVER BLADE CENTER 2017 para la Secretaría de Finanzas de la Ciudad de
México”; el contrato núm. CS-028/2017 del 22 de mayo del 2017, denominado “Contrato
abierto de prestación del servicio de mantenimiento preventivo y correctivo a
servidores 2017, de la Secretaría de Finanzas de la Ciudad de México”; y el contrato
núm. CS-021/2017 del 12 de abril de 2017, denominado “Contrato abierto de prestación
del servicio de mantenimiento preventivo y correctivo a plantas de emergencia, sistemas de
energía ininterrumpible y acondicionadores de línea de la Secretaría de Finanzas de la
Ciudad de México”.
Sin embargo, el sujeto fiscalizado no acreditó contar con un plan de mantenimiento
preventivo y correctivo o documento de acciones específicas para realizar el
mantenimiento a la infraestructura tecnológica, con el fin de asegurar la disponibilidad,
fiabilidad y larga vida útil de ésta.
En la reunión de confronta celebrada el 1o. de marzo de 2019, mediante el oficio
núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría de
Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26 de febrero
de 2019, en el que informó que “se elaborará un plan de mantenimiento preventivo y
correctivo o documento de acciones específicas para realizar el mantenimiento tanto
a la infraestructura tecnológica, como al sistema informático”, por lo que la presente
observación no se modifica.
Por no contar con un plan de mantenimiento preventivo y correctivo, la Dirección
General de Informática no vigiló el cumplimento del apartado 2, “Mantenimiento continuo
del sistema informático de planeación de recursos gubernamentales (GRP-SAP)” del
Anexo Único del contrato núm. CS-MA-008/2015 del 15 de septiembre de 2015
denominado “Contrato multianual de prestación del servicio de consultoría y
mantenimiento continuo para la operación del sistema informático de planeación de
recursos gubernamentales (GRP-SAP), 2015-2017”, que señala:
“El prestador debe preparar un plan de mantenimiento de software SAP que establezca
prácticas específicas para dicha actividad, así como recursos y secuencias relevantes de
actividades…”
31
La Dirección General de Informática incumplió también el objetivo establecido en el
artículo 13, norma 11, “Continuidad de las operaciones”, de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121
el 9 de julio de 2007, que señala:
“Artículo 13.- Para los efectos de los presentes acuerdos, las Normas Generales para la
Seguridad de la Información, son las siguientes […]
”11. Continuidad de las Operaciones.
”Objetivo. Minimizar los efectos de las posibles interrupciones de las actividades normales
de la Institución (sean éstas resultado de desastres naturales, accidentes, fallas en el
equipamiento, acciones deliberadas u otros hechos) y proteger los procesos críticos
mediante una combinación de controles preventivos y acciones de recuperación.
”Analizar las consecuencias de la interrupción del servicio y tomar las medidas
correspondientes para la prevención de hechos similares en el futuro.”
3. Respecto de los controles de accesos no autorizados y de seguridad en el centro de
datos, para salvaguardar los equipos de misión crítica y la infraestructura tecnológica y
asegurar el servicio continuo en el GRP-SAP, se observó lo siguiente:
a) De acuerdo con la inspección realizada por la ASCM el 5 de diciembre de 2018, el
centro de datos de la SEFIN, contó con lo siguiente:
● Un dispositivo de control de acceso electrónico, así como cámaras de seguridad,
en cumplimiento del artículo 13, norma 6, “Seguridad física y del entorno”;
apartado 6.1, “Áreas seguras”; subapartado 6.1.2, “Perímetro de seguridad
físico”, de las Normas Generales que deberán observarse en materia de
Seguridad de la Información en la Administración Pública del Distrito Federal,
publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de
2007, vigentes en 2017.
32
● Bitácoras de registro de acceso, de conformidad con el artículo 13, norma 8,
“Control de Acceso”; apartado 8.1, “Requerimientos para el control de acceso”;
subapartado 8.1.1, “Política de control de acceso”, de las Normas Generales
que deberán observarse en materia de Seguridad de la Información en la
Administración Pública del Distrito Federal publicadas en la Gaceta Oficial del
Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en 2017.
● Un sistema de alarmas contra incendios, extintores repartidos en diferentes
puntos y un dispositivo de alerta sísmica, de acuerdo con el artículo 13, norma 6,
“Seguridad física y del entorno”; apartado 6.1, “Seguridad física y del entorno”;
subapartado 6.1.1, “Protección contra amenazas internas y externas”, de
las Normas Generales que deberán observarse en materia de Seguridad de la
Información en la Administración Pública del Distrito Federal, publicadas en
la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en
2017.
● Un techo tipo plafón con bloques dañados o removidos y escombros, cajas de
cartón y equipos desconectados dentro del centro de datos.
En la reunión de confronta celebrada el 1o. de marzo de 2019, mediante el oficio
núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría
de Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26 de
febrero de 2019, en el que informó que “en relación a la caja de cartón y los
‘escombros’ […] correspondía a un Core […] y […] herramientas […] A la Fecha ya
no existen estos objetos en el Centro de Datos”; sin embrago, la dependencia no
presentó evidencia de las acciones realizadas, por lo que la presente observación
no se modifica.
Por no mantener el centro de datos en condiciones limpias y seguras, ya que contó
con plafones dañados o removidos, escombros y equipos desconectados en
el centro de datos, la Dirección General de Informática incumplió el artículo 13, Objetivo
de la norma 7, “Seguridad de las operaciones”, de las Normas Generales que deberán
observarse en materia de Seguridad de la Información en la Administración Pública
33
del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el
9 de julio de 2007, vigentes en 2017, que señala:
“Artículo 13.- Para los efectos de los presentes acuerdos, las Normas Generales para
la Seguridad de la Información, son las siguientes. […]
”Objetivo. Garantizar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de la información y comunicaciones.”
La dependencia no se alineó con las mejores prácticas de COBIT 5 en su control
DSS01.04 “Gestionar el entorno”, inciso 8, que señala:
“Mantener en todo momento a los sitios de TI y las salas de servidores limpias y
en una condición segura (es decir, sin desorden, sin papel ni cajas de cartón, sin
papeleras llenas, sin productos químicos o materiales inflamables).”
b) Según la entrevista realizada por la ASCM el 29 de noviembre de 2018 y la
inspección llevada a cabo el día 5 de diciembre del mismo año en el centro de datos
de la SEFIN, la dependencia contó con bitácoras de mantenimiento, en cumplimiento
del artículo 13, norma 7, “Seguridad de las operaciones”; apartado 7.6, “Monitoreo de
sistemas”; subapartado 7.6.1, “Bitácoras de Auditoría”, de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal publicadas en la Gaceta Oficial del Distrito Federal
núm. 121 el 9 de julio de 2007, vigentes en 2017.
Se concluye que la SEFIN contó en su centro de datos con un dispositivo electrónico de
acceso, bitácoras de acceso y de mantenimiento y un sistema contra incendio de conformidad
con las Normas Generales que deberán observarse en materia de Seguridad de la
Información en la Administración Pública del Distrito Federal; sin embargo, en el mencionado
centro se observaron escombros y no se acreditó haber emitido un plan de recuperación
de desastres actualizado de acuerdo con los cambios en el GRP-SAP ni un plan de
mantenimiento correctivo y preventivo que contenga las acciones específicas para realizar el
34
mantenimiento a la infraestructura tecnológica, con el fin de asegurar la disponibilidad,
fiabilidad y larga vida útil de ésta.
Recomendación ASCM-11-17-6-SEFIN
Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos
de control y supervisión para asegurarse de que se cuente con un Plan de Recuperación de
Desastres actualizado de acuerdo con los cambios en el Sistema de Planeación de Recursos
Gubernamentales, de conformidad con las Normas Generales que deberán observarse en
materia de Seguridad de la Información en la Administración Pública del Distrito Federal y
con los instrumentos jurídicos celebrados, vigentes.
Recomendación ASCM-11-17-7-SEFIN
Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos de
control y supervisión para asegurarse de que se cuente con un plan de mantenimiento
preventivo y correctivo a la infraestructura tecnológica que garantice su disponibilidad,
fiabilidad y larga vida útil, de conformidad con las Normas Generales que deberán observarse
en materia de Seguridad de la Información en la Administración Pública del Distrito Federal y
con los instrumentos jurídicos celebrados, vigentes.
Recomendación ASCM-11-17-8-SEFIN
Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos de
control y supervisión para asegurarse de que el centro de datos se encuentre en condiciones
limpias y seguras, de conformidad con las Normas Generales que deberán observarse en
materia de Seguridad de la Información en la Administración Pública del Distrito Federal y
en alienación con las mejores prácticas COBIT 5, vigentes.
35
Controles de Aplicación
5. Resultado
Con la finalidad de verificar que la SEFIN haya tenido con controles que permitan que el GRP-
SAP cumpla la normatividad relativa a la gestión de la información (entrada, procesamiento y
almacenamiento de datos), para asegurarse de que sea confidencial, disponible e íntegra, la
ASCM realizó entrevistas, inspecciones y pruebas sustantivas en la operatividad en
los procesos de revisión a los documentos de gestión programático presupuestarios de las
Afectaciones Presupuestarias y de las CLC en algunos entes que utilizan dicho sistema.
De las inspecciones realizadas por la ASCM los días 6, 7 y 11 de diciembre de 2018, en la
Secretaría de Seguridad Pública, la Secretaría de Protección Civil y el Centro de Comando,
Control, Cómputo, Comunicaciones y Contacto Ciudadano, respectivamente, se verificó
que los datos capturados por esos entes en el GRP-SAP, en los documentos digitales
(afectaciones presupuestarias y CLC), coincidieron completamente con los documentos
registrados y constatados el 21 de enero de 2019 en la Subsecretaría de Egresos. Ello
aseguró que la gestión de la información (entrada, procesamiento y almacenamiento de
datos) fuera confidencial, disponible e íntegra, en cumplimiento de los artículos 14 de la Ley
de Gobierno Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal
núm. 192 el 7 de octubre de 2015; y 8 de las Normas Generales que deberán observarse en
materia de Seguridad de la Información en la Administración Pública del Distrito Federal,
publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigentes
en 2017.
De acuerdo con las entrevistas realizadas por la ASCM los días 29 y 30 de noviembre de
2018 y con las respuestas al “Cuestionario de Control Interno TIC” remitido a la SEFIN con el
oficio núm. SFCDMX/DGI/556/2018 del 26 de octubre de 2018, la dependencia no acreditó
contar con un documento con acciones específicas referente a la realización de respaldos del
GRP-SAP, que permita recuperar la información en caso de algún incidente y que ésta pueda
estar disponible e íntegra cuando se requiera.
En la reunión de confronta celebrada el día 1o. de marzo de 2019, mediante el oficio
núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría de
36
Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26 de febrero de
2019, en el cual informó que “se está realizando una revisión de todos los [procedimientos],
manuales y guías aplicables”, por lo que la presente observación no se modifica.
Por no contar con un documento con acciones específicas referente a la realización
de respaldos del GRP-SAP, la Dirección General de Informática incumplió el artículo 13,
norma 7, “Seguridad de las operaciones”; apartado 7.1, “Procedimientos operativos y
responsabilidades”; subapartado 7.1.1, “Documentación de los procedimientos operativos”, de
las Normas Generales que deberán observarse en materia de Seguridad de la Información
en la Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito
Federal núm. 121 el 9 de julio de 2007, vigentes en 2017, que señala:
“Los procedimientos de las operaciones se deben documentar, mantener y estar disponibles
para todos los usuarios que los necesiten. Se deben especificar las instrucciones detalladas para
la ejecución paso a paso de cada trabajo, incluyendo: información para el procesamiento
y manejo de información, especificaciones para la realización de respaldos, horarios e
interdependencias con otros sistemas, instrucciones para el manejo de errores, procedimientos
para el reinicio y recuperación en caso de fallas en los sistemas y dispositivos, el manejo de
las bitácoras y pistas de auditoría, entre otras actividades.”
Se concluye que la SEFIN aseguró que la gestión de la información (entrada, procesamiento
y almacenamiento de datos) fuera confidencial, disponible e íntegra, de conformidad con la
Ley de Gobierno Electrónico del Distrito Federal y con las Normas Generales que deberán
observarse en materia de Seguridad de la Información en la Administración Pública del
Distrito Federal; sin embargo, no contó con acciones específicas referentes a la realización
de respaldos del GRP-SAP, que permitan recuperar la información en caso de algún incidente
y que ésta pueda estar disponible e íntegra cuando se requiera.
Recomendación ASCM-11-17-9-SEFIN
Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos de
control y supervisión para asegurarse de contar con un documento que prevea la realización
de respaldos del Sistema de Planeación de Recursos Gubernamentales (GRP-SAP), a fin de
37
que sea posible recuperar la información en caso de algún incidente y que esté disponible
e íntegra cuando se requiera, de conformidad con las Normas Generales que deberán
observarse en materia de Seguridad de la Información en la Administración Pública del
Distrito Federal, vigentes.
RESUMEN DE OBSERVACIONES Y ACCIONES
Se determinaron 5 resultados que generaron 10 observaciones, las cuales corresponden a 10
recomendaciones, de las cuales a una se le dará tratamiento como parte del seguimiento
de la recomendación ASCM-9-17-1-SEFIN.
La información contenida en el presente apartado refleja las acciones derivadas de las
auditorías que hasta el momento se han detectado por la práctica de pruebas y
procedimientos de auditoría; sin embargo, podrían sumarse observaciones y acciones
adicionales a las señaladas, producto de los procesos institucionales, de la recepción
de denuncias, y de las funciones de investigación y sustanciación a cargo de esta entidad de
fiscalización superior de la Ciudad de México.
JUSTIFICACIONES Y ACLARACIONES
La documentación proporcionada a esta entidad de fiscalización de la Ciudad de México por
el sujeto fiscalizado en la reunión de confronta fue analizada con el fin de determinar la
procedencia de desvirtuar o modificar las observaciones incorporadas por la Auditoría
Superior de la Ciudad de México en el Informe de Resultados de Auditoría para Confronta,
cuyo resultado se plasma en el presente Informe Individual, que forma parte del Informe
General Ejecutivo del Resultado de la Fiscalización Superior de la Cuenta Pública de la
Ciudad de México.
En atención a las observaciones señaladas, el sujeto de fiscalizado remitió el oficio
núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019 y un disco compacto,
mediante los cuales presentó información y documentación con el propósito de atender lo
observado; no obstante derivado del análisis efectuado por la unidad administrativa de
38
auditoría a la información y documentación proporcionadas por el sujeto fiscalizado, se
advierte que los resultados núms.1, 2, 3, 4 y 5 se consideran no desvirtuados.
PERSONAS SERVIDORAS PÚBLICAS A CARGO DE REALIZAR LA AUDITORÍA
En cumplimiento del artículo 36, párrafo decimotercero, de la Ley de Fiscalización Superior de
la Ciudad de México, se enlistan los nombres y cargos de las personas servidoras públicas
de la Auditoría Superior de la Ciudad de México involucradas en la realización de la auditoría:
Persona servidora pública Cargo
Fase de planeación
C.P. Lucelia Cuevas Rasgado Encargada del Despacho de la Dirección General de Auditoría de Cumplimiento “A”
Fases de planeación y ejecución
Mtra. Gloria Hernández Hernández Encargada del Despacho de la Dirección de Auditoría “B” y Directora de Auditoría “B”
Mtro. Jorge Rodrigo Rodríguez Calderas Auditor Fiscalizador TIC “C”
Mtro. Daniel Jesús Zepeda Madrigal Auditor Fiscalizador TIC “C”
Lic. Ramsés Gutiérrez Zepeda Auditor Fiscalizador TIC “C”
C. Ramsés Durán Benavidez Auditor Fiscalizador TIC “A”
Fases de ejecución y elaboración de informes
L.C. María Guadalupe Xolalpa García Directora General de Auditoría de Cumplimiento Financiero “A”
Mtra. Gloria Hernández Hernández Directora de Auditoría “B”
Mtro. Jesús López Juárez Subdirector de Auditoría
Mtro. Jorge Rodrigo Rodríguez Calderas Auditor Fiscalizador TIC “C”
Mtro. Daniel Jesús Zepeda Madrigal Auditor Fiscalizador TIC “C”
Lic. Ramsés Gutiérrez Zepeda Auditor Fiscalizador TIC “C”
C. Ramsés Durán Benavidez Auditor Fiscalizador TIC “A”