auditoría superior de la ciudad de méxico - clxix. i a r c p c m e · 2019. 4. 30. · de la...

CLXIX. INFORME INDIVIDUAL DE AUDITORÍA,

DERIVADA DE LA REVISIÓN DE LA CUENTA PÚBLICA

DE LA CIUDAD DE MÉXICO CORRESPONDIENTE

AL EJERCICIO DE 2017

1

DEPENDENCIA

SECRETARÍA DE FINANZAS

(ACTUALMENTE SECRETARÍA DE ADMINISTRACIÓN Y FINANZAS)

AUDITORÍA DE CUMPLIMIENTO CON ENFOQUE EN TECNOLOGÍAS

DE LA INFORMACIÓN Y COMUNICACIONES

Sistema de Planeación de Recursos Gubernamentales

de la Secretaría de Finanzas

Auditoría ASCM/11/17

FUNDAMENTO LEGAL

La auditoría se llevó a cabo con fundamento en los artículos 122, apartado A, fracción II, sexto

y séptimo párrafos, en relación con el 74, fracción VI, de la Constitución Política de los

Estados Unidos Mexicanos; 42, fracción XIX; y 43 del Estatuto de Gobierno del Distrito

Federal; 10, fracción VI, de la Ley Orgánica de la Asamblea Legislativa del Distrito Federal;

1; 2, fracciones XIII y XLI, inciso a); 3; 8, fracciones I, II, IV, VI, IX y XXVI; 9; 10, incisos a)

y b); 14, fracciones I, VIII, XVII, XX y XXIV; 22; 24; 27; 28; 30; 32; 33; 34; 35; 36, primer

párrafo; 37, fracción II; 61; y 62 de la Ley de Fiscalización Superior de la Ciudad de México; y

1; 4; 5, fracción I, inciso b); 6, fracciones V y VII; y 30 del Reglamento Interior de la Auditoría

Superior de la Ciudad de México.

ANTECEDENTES

La Secretaría de Finanzas (SEFIN), actualmente Secretaría de Administración y Finanzas,

ocupó el séptimo lugar respecto del presupuesto ejercido en 2017 por las 22 dependencias

de la Ciudad de México (75,501,357.2 miles de pesos), con un monto de 5,621,607.7 miles de

pesos, de acuerdo con lo reportado en la Cuenta Pública de la Ciudad de México del mismo

año. Ese importe representó el 7.4% del total erogado por las dependencias y fue

superior en 77.6% (2,457,189.4 miles de pesos) al presupuesto asignado originalmente

(3,164,418.3 miles de pesos) e inferior en 12.0% (768,099.2 miles de pesos) al ejercido

2

en 2016 (6,389,706.9 miles de pesos); la dependencia presentó economías por 121,859.5 miles

de pesos.

CRITERIOS DE SELECCIÓN

Esta auditoría se propuso de conformidad con los siguientes criterios generales de selección,

contenidos en el Manual de Selección de Auditorías de esta entidad de fiscalización superior:

“Propuesta e Interés Ciudadano”: se consideró este rubro en virtud de que la automatización

en el servicio de consulta ofrecido a la ciudanía potencializa el desarrollo de manera

adecuada y eficiente de una ciudad abierta y transparente en su gestión pública, teniendo un

impacto social y económico de interés para los habitantes de la Ciudad de México.

“Presencia y Cobertura”: se consideró este rubro con la finalidad de garantizar que

eventualmente, se revisen todos los sujetos de fiscalización y los conceptos susceptibles

de ser auditados, por estar incluidos en la Cuenta Pública de la Ciudad de México. Asimismo,

la Auditoría Superior de la Ciudad de México (ASCM) no ha realizado auditoría con enfoque

en Tecnologías de la Información y Comunicaciones (TIC) respecto al rubro fiscalizado.

OBJETIVO

El objetivo de la revisión consistió en verificar que la información capturada y procesada en el

Sistema de Planeación de Recursos Gubernamentales (GRP-SAP) de la SEFIN sea íntegra,

confiable y confidencial y que se garantice la continuidad, eficacia y eficiencia en la gestión y

operación del sistema, dando cumplimiento a las Normas Generales que deberán observarse

en materia de seguridad de la información en la Administración Pública del Distrito Federal

y su alineación con estándares en TIC aplicables.

3

ALCANCE Y DETERMINACIÓN DE LA MUESTRA

En cuanto a los elementos que integran el objetivo de la auditoría, de manera enunciativa,

mas no limitativa, se revisó lo siguiente:

Seguridad de la Información

Se evaluaron los controles de seguridad de la información implementados en el GRP-SAP, en

cumplimiento de la normatividad de TIC y en alineación con las mejores prácticas de TIC

aplicables, que permitieran que la información gestionada fuera íntegra, confiable y disponible.

Operaciones de Tecnologías de la Información y Comunicaciones

Se evaluó que las adecuaciones al sistema permitieran la interconectividad por medio de

redes LAN (Red de Área Local, por sus siglas en inglés), WAN (Red de Área Amplia, por sus

siglas en inglés) y MAN (Red de Área Metropolitana, por sus siglas en inglés) con

las unidades responsables del gasto de la Administración Pública de la Ciudad de México,

con el fin de lograr la integración de la información referente a los registros programático-

presupuestales.

Continuidad del Servicio y Recuperación de Desastres

Se verificó que la SEFIN dispusiera de controles para asegurar que la infraestructura

tecnológica y el GRP-SAP dieran servicio ininterrumpido a las unidades responsables

del gasto.

Controles de Aplicación

Se evaluó que la información registrada, procesada y almacenada en las bases de datos con

las que opera el GRP-SAP fuera confidencial, confiable e integra, en cumplimiento de la

normatividad aplicable y en alineación con los estándares y buenas prácticas en materia de TIC.

4

Los criterios para revisar el GRP-SAP fueron los siguientes:

1. Seguridad de la Información:

a) Políticas de seguridad de la información suficientes y efectivas.

b) Controles suficientes y efectivos de seguridad física, lógica y de red en la infraestructura

tecnológica para la operación.

c) Controles de seguridad para alta, baja, modificación y uso de claves de usuario, a fin

de evaluar que sean suficientes y efectivos.

2. Operaciones de TIC:

a) Controles que permitan una gestión efectiva, eficaz y eficiente para la operación.

b) Enlaces de datos que aseguren la operación de TIC.

c) Evaluación de las encuestas del servicio a los usuarios finales del sistema.

3. Continuidad del servicio y recuperación de desastres:

a) Políticas de continuidad del servicio y recuperación de desastres suficientes y

efectivas.

b) Planes de mantenimiento correctivo y preventivo de la infraestructura de TIC.

c) Controles de accesos no autorizados y de seguridad en el centro de datos.

4. Controles de aplicación:

Controles que permitan que el sistema cumpla la normatividad relativa a la gestión de la

información (entrada, procesamiento y almacenamiento de datos) para asegurarse

de que ésta sea confidencial, disponible e íntegra.

5

Para determinar la muestra de auditoría, se consideró lo siguiente:

Una vez efectuada la revisión de los referidos criterios, se verificaron los procesos de

los documentos de gestión programático-presupuestarios de las Cuentas por Liquidar

Certificadas (CLC) y afectaciones programático presupuestales.

Mediante el programa MySQL (My Structured Query Language, por sus siglas en inglés,

Lenguaje de Consulta Estructurado) con la función rand, se seleccionaron de forma aleatoria

dos dependencias (Secretaría de Seguridad Pública y Secretaría de Protección Civil) y un

órgano desconcentrado (Centro de Comando, Control, Cómputo, Comunicaciones y Contacto

Ciudadano), unidades administrativas usuarias del GRP-SAP.

La muestra por auditar se determinó mediante un método de muestreo no estadístico con

fundamento en las Normas Internacionales de Auditoría (NIA) 530, “Muestreo de Auditoría”,

conjuntamente con las Normas Internacionales de las Entidades Fiscalizadoras Superiores

(ISSAI) 1530, “Muestreo de Auditoría”, emitida por el Comité de Normas Profesionales de la

Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI).

La auditoría se practicó en la Dirección General de Informática (encargada de la operación del

GRP-SAP) y demás áreas de la SEFIN que tuvieron relación con el mencionado sistema.

PROCEDIMIENTOS, RESULTADOS Y OBSERVACIONES

Evaluación del Control Interno

1. Resultado

A fin de evaluar el control interno implementado por la SEFIN y contar con una base para

determinar la naturaleza, extensión y oportunidad de las pruebas de auditoría, se analizaron

las atribuciones de la dependencia, el marco normativo y su manual administrativo, vigentes

en 2017; asimismo, se aplicó un cuestionario de control interno sobre el marco normativo de

gobernanza en TIC, en particular a los servidores públicos responsables de la administración

y de la gestión y gobernanza de TIC, en relación con los cinco componentes del control

6

interno (Ambiente de Control, Administración de Riesgos, Actividades de Control, Información

y Comunicación, y Supervisión).

La evaluación se realizó tomando como parámetro de referencia el Marco Integrado de

Control Interno para el Sector Público (MICI), que es un documento de carácter técnico

que fue desarrollado por el Grupo de Trabajo de Control Interno del Sistema Nacional de

Fiscalización en su quinta reunión plenaria celebrada en 2014, cuyo objeto es la

implementación de un control interno efectivo como una herramienta fundamental para

aportar elementos que promuevan la consecución de los objetivos institucionales, minimicen

los riesgos, reducir la probabilidad de ocurrencia de actos de corrupción y fraudes, que

consideren la integración de las tecnologías de la información a los procesos institucionales,

respalden la integridad y el comportamiento ético de los servidores públicos y consoliden los

procesos de rendición de cuentas y de transparencia gubernamentales. Asimismo, está

diseñado como un modelo de control interno que puede ser adoptado y adaptado por las

instituciones, en los ámbitos federal, estatal y municipal, y que gozaría de mayor aceptación

e impacto sí los distintos niveles de gobierno, en el ámbito de sus atribuciones, expiden los

decretos correspondientes para su aprobación.

Ambiente de Control

Se identificaron las unidades administrativas de la dependencia que estuvieron relacionadas con

la seguridad de la información, operaciones de TIC, controles de aplicación, así como

continuidad del servicio y recuperación de desastres; las funciones, objetivos, actividades y

procedimientos aplicados; las normas, procesos y estructura orgánica que proporcionan la

base para llevar a cabo el control interno en el sujeto fiscalizado, al igual que la normatividad

que proporciona disciplina y estructura para apoyar al personal en la consecución de los

objetivos institucionales; y se verificó que la dependencia y la Dirección General de

Informática hayan establecido y mantenido un ambiente de control que implique una actitud

de respaldo hacia el control interno, como se indica a continuación:

Mediante el oficio núm. ACF-A/18/05670 del 21 de junio de 2018, se solicitó al sujeto

fiscalizado que proporcionara su estructura orgánica y manual administrativo, vigentes en

7

2017. Con el oficio núm. SFCDMX/SE/DGCYCP/DSIAE/0037/2018 del 3 de julio de 2018,

la dependencia entregó la información requerida.

1. En la revisión y análisis de los dictámenes de estructuras orgánicas, se tuvo conocimiento

de que en 2017 la SEFIN realizó sus funciones con base en las estructuras orgánicas y

organigramas correspondientes a los siguientes dictámenes:

a) Dictamen de estructura orgánica núm. 17/2013, vigente del 1o. diciembre de 2013 al

2 de mayo de 2017, autorizado por la Contraloría General (CG) mediante el oficio

núm. CGDF/1772/2013 del 20 de diciembre de 2013. En él se consideraron 587 plazas.

b) Dictamen núm. D-SEFIN-19/030517, vigente del 3 de mayo de 2017 al 31 de agosto de

2017, autorizado por la Oficialía Mayor (OM) por medio del oficio núm. OM/417/2017

del 30 de junio de 2017. En él se consideraron 1,269 plazas.

El incremento del número de plazas de la estructura orgánica se derivó de la

modificación al artículo 7, fracción VIII, inciso H), del Decreto por el que se reforman,

adicionan y derogan diversas disposiciones del Reglamento Interior de la Administración

Pública del Distrito Federal, publicado en la Gaceta Oficial de la Ciudad de México el

2 de mayo de 2017. En ese decreto se establece que las Direcciones Generales,

Ejecutivas o de Área Encargada de la Administración se adscribieron a la SEFIN, lo

cual no impactó en el rubro sujeto a revisión.

c) Dictamen núm. D-SEFIN-27/010917, vigente a partir del 1o. de septiembre de 2017,

autorizado por la OM mediante el oficio núm. OM/0616/2017 del 16 de octubre

de 2017. En él se consideraron 1,523 plazas.

2. En la revisión y análisis del manual administrativo, se tuvo conocimiento de lo siguiente:

a) Mediante el oficio núm. OM/CGMA/1393/2015 del 24 de julio de 2015, la

Coordinación General de Modernización Administrativa (CGMA) comunicó al sujeto

fiscalizado que registró con el núm. MA-25/240715-D-SF-17/2013 el manual

administrativo (apartados de organización y de procedimientos), elaborado conforme

8

al dictamen núm. 17/2013 y publicó el Aviso por el cual se da a conocer el Manual

Administrativo de la Secretaría de Finanzas, con Número de Registro MA-25/240715-

D-SF-17/2013 en la Gaceta Oficial del Distrito Federal núm. 166, Tomo I, el 31 de

agosto de 2015. El manual estuvo vigente a partir de la fecha de su publicación

e indica el marco jurídico de actuación, atribuciones, misión, visión, objetivos

institucionales, funciones de los puestos, los organigramas y procedimientos que

regulan los procesos de las unidades administrativas involucradas en el rubro sujeto

a revisión.

Con el oficio núm. SF/DEJ/0602/2015 del 3 de agosto de 2015, la Dirección Ejecutiva

Jurídica difundió el manual administrativo a la Subsecretaría de Egresos,

Subsecretaría de Planeación Financiera, Tesorería del Distrito Federal, Procuraduría

Fiscal del Distrito Federal, Dirección General de Informática y Unidad de Inteligencia

Financiera.

En el citado manual se identificaron 308 procedimientos vigentes en 2017; de éstos,

25 se relacionaron con los controles generales de TIC (operaciones de TIC,

continuidad del servicio y recuperación de desastres, y seguridad de la información)

y 16, con operaciones que se aplican al GRP-SAP.

b) El manual administrativo del sujeto fiscalizado estuvo disponible, en formato PDF, en

su página de internet y a disposición de los servidores públicos de las dependencias

para su consulta, de conformidad con lo dispuesto en el lineamiento Cuadragésimo

del Capítulo XI, “De la Normateca”, de los Lineamientos Generales para el Registro de

Manuales Administrativos y Específicos de Operación de la Administración Pública

del Distrito Federal, publicados en la Gaceta Oficial del Distrito Federal el 30 de

diciembre de 2014, vigentes en 2017.

c) Con el oficio núm. ACF-A/18/0569 del 22 de junio de 2018, se solicitó al titular de la

CGMA que proporcionara el manual administrativo del sujeto fiscalizado vigente

en 2017.

9

En respuesta, con el oficio núm. OM/CGMA/1513/2018 del 29 de junio de 2018, el

titular de la CGMA proporcionó en medio magnético el manual administrativo con

registro núm. MA-25/240715-D-SF-17/2013, el cual corresponde con el proporcionado

por el sujeto fiscalizado.

Con relación al manual administrativo elaborado conforme a los dictámenes de

estructura orgánica núms. D-SEFIN-19/030517, vigente a partir del 3 de mayo

de 2017; y D-SEFIN-27/010917, vigente a partir del 1o. de septiembre de 2017, el sujeto

fiscalizado no acreditó la presentación de su registro ni de las gestiones realizadas

para su actualización. Por tal motivo, mediante el oficio núm. ACF-A/DA-B/19/006 del

16 de enero de 2019, se solicitó a la dependencia que indicara las causas por las que

el manual administrativo de la SEFIN no se actualizó conforme a las mencionadas

estructuras orgánicas.

Con el oficio núm. SAF/SE/DGACyRC/0144/2019 del 23 de enero de 2019, el sujeto

fiscalizado proporcionó el oficio núm. SAF/DGAyF/DACH/0114/2019 de la misma

fecha, en el que manifestó lo siguiente:

“Los trabajos de actualización del Manual Administrativo de la Secretaría de Finanzas

iniciados durante el año 2017, fueron suspendidos derivado del sistema de

Dictaminación de Estructuras Orgánicas ʻSIDEOʼ, motivo por el que se solicitó

mediante oficio número SFCDMX/DGA/SOM/340/2018 del 10 de diciembre de 2018,

signado a la atención de la […] titular de la Coordinación General de Modernización

Administrativa (CGMA), atentamente informara quién sería la persona servidora

pública designada que fungiría como consultor por parte de la CGMA para dar

continuidad, seguimiento y asesoría a los trabajos ya desarrollados, sin que a la

fecha de emisión del presente se cuente con respuesta al respecto.”

En la reunión de confronta celebrada el 1o. de marzo de 2019, mediante el oficio

núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría de

Administración y Finanzas remitió el oficio núm. SAF/GFAyF/DACH/SDO/0041/2019

del 25 de febrero de 2019, en el que “se le informó a la Coordinadora General de

Evaluación, Modernización y Desarrollo Administrativo, que la actualización del Manual

10

[…] quedó inconclusa […] derivado al Cierre del […] SIDEO”; sin embargo, la

dependencia no presentó evidencia de las gestiones realizadas ni del envío del

proyecto de actualización del manual administrativo en el plazo de 30 días hábiles

contados a partir de la fecha de entrada en vigor del dictamen de estructura orgánica

a la instancia correspondiente, por lo que la observación prevalece.

Por no haber enviado el proyecto de actualización del manual administrativo

conforme al último dictamen de estructura orgánica en el plazo establecido, la SEFIN

no atendió los lineamientos Quinto, fracción XIII, del capítulo I, “Disposiciones

Generales” y Vigésimo Tercero, fracción I, del capítulo VII, “De la Actualización de

los Manuales Administrativos y de los Específicos de Operación”, de los Lineamientos

Generales para el Registro de Manuales Administrativos y Específicos de Operación de

la Administración Pública del Distrito Federal, publicados en la Gaceta Oficial

del Distrito Federal núm. 2017 del 30 de diciembre de 2014; y Vigésimo Cuarto, del

capítulo VII “De la Actualización de los Manuales Administrativos y de los Específicos

de Operación” y su modificación publicada en la Gaceta Oficial de la Ciudad México

núm. 137 del 15 de agosto de 2016, vigentes en 2017, que señalan:

“QUINTO. Los Órganos de la Administración y los Órganos administrativos tendrán

respectivamente las siguientes obligaciones: […]

”XIII. Actualizar el Manual Administrativo y los Específicos de Operación en los casos

que establezcan los presentes Lineamientos. […]

”VIGÉSIMO TERCERO. Los Órganos de la Administración y los Órganos

Administrativos deberán actualizar sus Manuales cuando se presenten los supuestos

siguientes:

”I. Creación, modificación o cancelación de normas jurídicas o disposiciones

administrativas que incidan en sus funciones, atribuciones o procedimientos…”

“VIGÉSIMO CUARTO. Los Órganos de la Administración Pública o los Órganos

Administrativos deberán enviar, mediante oficio con firma autógrafa de su titular o

11

de quien preside, la solicitud de actualización fundada y motivada y el proyecto de

actualizaciones al Manual Administrativo o Específico de Operación, dentro del plazo

de 30 días hábiles posteriores a la fecha en que se presenten los supuestos

establecidos en las fracciones del lineamiento VIGÉSIMO TERCERO.

”En caso de que la Coordinación General considere que la actualización solicitada

requiere extender los trabajos, o bien que afecta en más de dos terceras partes

del contenido del manual previamente registrado, el plazo para iniciar el proceso de

registro podrá ampliarse 30 días hábiles más y lo notificará por escrito al Enlace.”

El sujeto fiscalizado careció en 2017 de un manual actualizado conforme al último dictamen

de estructura orgánica, el cual no impactó en las operaciones del rubro en revisión, por lo que

el componente Ambiente de Control se considera inapropiado.

Administración de Riesgos

Se identificó que la Dirección General de Informática de la SEFIN contó con una definición

formal de los objetivos y metas estratégicos respecto a la gestión y gobernanza en TIC, y que

éstos son conocidos por los responsables de su consecución, como condición previa para

evaluar los riesgos que pudieran impedir el cumplimento de éstos.

Los objetivos institucionales de la SEFIN están definidos con claridad y difundidos en su sitio

web, en el apartado “Acerca de”, de modo que coadyuvan en la identificación de los riesgos

potenciales asociados a éstos y en la determinación de cómo se gestionarán.

Se identificó que los riesgos con mayor probabilidad de ocurrencia e impacto en TIC respecto

al rubro sujeto a revisión fueron que el manual administrativo del sujeto fiscalizado,

específicamente el apartado que corresponde a la Dirección General de Informática, no

se encontró actualizado, registrado, publicado ni difundido entre el personal responsable de su

aplicación, conforme a la última estructura orgánica vigente en 2017; que no se realizaron

encuestas del servicio a los usuarios finales del sistema; y que no se contó con políticas

de continuidad y planes de mantenimiento a la infraestructura tecnológica, como exige la

normatividad aplicable.

12

Se elaboró un mapa de riesgos, en el que se determinó la probabilidad de ocurrencia y el

grado de impacto que afectó al GRP-SAP; se identificaron los elementos del control interno

establecidos y se evaluó que los mecanismos de control hicieron factible la administración de

los riesgos, mitigando las irregularidades e ineficiencias o disminuyendo las debilidades

detectadas.

El componente de Administración de Riesgos se considera “inapropiado”, dado que, aunque la

dependencia contó con procedimientos administrativos que establecieron actividades para

la administración de los riesgos, el manual administrativo no estuvo actualizado con el último

dictamen de estructura orgánica.

Actividades de Control

En el apartado de organización del manual administrativo de la SEFIN, se identificaron las

funciones o actividades de control preventivas y detectivas, necesarias para controlar

los riesgos relacionados con el logro de los objetivos, respecto al GRP-SAP.

En el apartado de procedimientos se identificaron 308 vigentes en 2017, así como los

objetivos, aspectos a considerar y las actividades para mitigar o reducir los riesgos; 25 de

los 308 procedimientos estuvieron relacionados con los controles generales de TIC

(operaciones de TIC, continuidad del servicio y recuperación de desastres, y seguridad de la

información) y 16 con actividades administrativas relacionadas con el GRP-SAP, los cuales

permitieron cumplir los objetivos de control y administrar los riesgos inherentes a la gestión de

TIC, así como garantizar razonablemente el cumplimiento de las leyes, reglamentos, normas,

políticas y otras disposiciones de observancia obligatoria. Los 25 procedimientos identificados

por rubros de TIC se alinean con lo dispuesto por el WGITA-IDI Handbook on IT Audit for

Supreme Audit Institutions (Manual del Grupo de Trabajo en Auditoría TIC de la Iniciativa de

Desarrollo de la INTOSAI, sobre Auditoría TIC para Instituciones Superiores de Auditoría)

de 2014 y la Norma ISSAI 5300, “Directrices sobre Auditoría de TIC”, ambas publicadas,

aprobadas y autorizadas por la INTOSAI de la siguiente manera:

13

Control general de TIC Nombre del procedimiento

Seguridad de la información

“Atención a las Solicitudes de Alta, Modificación, y/o Baja de Claves de Usuarios de los Sistemas Informáticos que se encuentran en Resguardo y Administración de la Dirección General de Informática”

“Instalación, Configuración y Respaldo de Servidores”

“Administración y Mantenimiento del Sistema de Energía Eléctrica Regulada, Respaldo y Emergencia”

“Creación de Ambientes Virtuales”

“Monitoreo para la Prevención y/o Notificación de Incidentes en los Equipos de Cómputo y Sistemas de Misión Crítica de la Dirección General de Informática”

Operaciones de TIC

“Elaboración del Plan de Trabajo de Proyectos Informáticos”

“Seguimiento y evaluación de Proyectos de Tecnologías de Información”

“Revisión, Integración de Expedientes y Elaboración de Solicitudes e Informes de Adquisiciones para Dictaminación Técnica de la Comisión de Gobierno Electrónico”

“Análisis y Diseño de Sistemas Informáticos”

“Desarrollo de Sistemas Informáticos”

“Implementación de Sistemas Informáticos”

“Liberación, Incorporación y/o Modificación de Funciones de Cobro en el Sistema de Cajas de las Administraciones Tributarias”

“Administración del Sitio WEB de la Secretaría de Finanzas”

“Análisis de Indicadores de Comportamiento del Sitio WEB de la Secretaría de Finanzas”

“Recepción y Gestión de Solicitudes de Servicios Informáticos”

“Atención de Solicitudes de Soporte Técnico a las Áreas de la Secretaría de Finanzas”

“Atención a las Solicitudes de Consumibles por Parte de las Unidades Administrativas de la Secretaría de Finanzas”

“Mantenimiento Preventivo a Equipos de Cómputo a través de un Proveedor o Compañía de Servicio”

“Administración de Bases de Datos y Bodega de Datos”

Continuidad del servicio y recuperación de desastres

“Atención a incidentes de Seguridad Informática (Procesos, Tecnologías, Personas)”

“Detección y Análisis de Vulnerabilidades”

“Atención a Solicitud de Conversión y Vinculación del Certificado Digital FIEL en el Sistema de Planeación de Recursos Gubernamentales”

“Atención a Solicitud de Copia de Mandantes en el Sistema de Planeación de Recursos Gubernamentales”

“Atención a las Solicitudes de Servicios de Red LAN y WAN”

“Administración de la Red de Comunicaciones”

Controles de aplicación

“Atención a las Soluciones de Incorporación de Claves Presupuestarias al [GRP-SAP]”

“Firma Electrónica de Pagado o Rechazado de Cuentas por Liquidar Certificadas en el GRP”

“Atención a las Solicitudes de Autorización Previa que Presentan las Unidades Responsables del Gasto”

“Atención de las Adecuaciones Presupuestarias Líquidas Solicitadas por las Unidades Responsables del Gasto”

“Revisión del Registro Contable de las Cuentas por Liquidar Certificadas Pagadas, Reportadas en la Cuenta Comprobada contra los Registros Contenidos en el Sistema Informático”

“Devolución de Pagos Indebidos y los que Procedan de Conformidad con el Código Fiscal del Distrito Federal y Demás Leyes Aplicables”

Continúa...

14

... Continuación

Control general de TIC Nombre del procedimiento

Controles de aplicación

“Registro, Control y Pago de las Cuentas por Liquidar Certificadas, que se Generan por la Devolución de Ingresos Percibidos Indebidamente y los que Procedan de Conformidad con el Código Fiscal del Distrito Federal y Demás Leyes Aplicables”

“Registro y Control de los Ingresos Obtenidos por el Gobierno del Distrito Federal”

“Registro Contable de la Compra y Venta de Valores y Depósitos en Cuentas Productivas en el GRP”

“Registro Contable de Productos Financieros del Sector Central de la Administración Pública del Distrito y d7e la Aplicación de Billetes de Depósito y Fianzas”

“Alta de Proveedores del Gobierno del Distrito Federal”

“Trámite a Pago de Cuentas por Liquidar Certificadas Presupuestales Vía Transferencia Electrónica”

“Pago de Cuentas por Liquidar Certificadas Vía Cheque”

“Pago en Ventanillas Bancarias de Cuentas por Liquidar Certificadas”

“Pago de Cuentas por Liquidar Certificadas Presupuestales Descontadas por Factoraje”

“Control de Fianzas Penales”

El componente de actividades de control se considera “apropiado”, en virtud de que el sujeto

fiscalizado contó con un manual administrativo, en el que se identificaron 25 procedimientos

de operaciones de TIC y 16 de actividades administrativas relacionadas con el GRP-SAP, que

permitieron prevenir, minimizar y responder a los riesgos que pudieran afectar el cumplimiento

y logro de sus objetivos en cuanto a la eficacia y eficiencia de las operaciones del rubro

sujeto a revisión.

Información y Comunicación

El sujeto fiscalizado contó con mecanismos de control impresos y de manera electrónica en el

sitio web, que le permitieron difundir información necesaria para que el personal cumpliera

sus responsabilidades en particular y en general, los objetivos institucionales y generó

información necesaria, oportuna, veraz y suficiente, por medio de su manual administrativo

registrado con el núm. MA-25/240715-D-SF-17/2013, el cual estuvo incorporado en su sitio web

en formato PDF y a disposición de los servidores públicos de la dependencia para su

consulta, de conformidad con el lineamiento Cuadragésimo, de los Lineamientos Generales

para el Registro de Manuales Administrativos y Específicos de Operación de la Administración

Pública del Distrito Federal. En el referido manual, se identificaron las unidades administrativas

que se encargaron de generar la información requerida para cumplir sus obligaciones en

materia de gestión y gobernanza en TIC.

15

También acreditó contar con los elementos necesarios de comunicación que le permitieran

informar sobre actos indebidos del personal de la SEFIN, así como por terceros.

El componente de la información y comunicación fue apropiado, en virtud de que la

dependencia acreditó contar con medios de comunicación escritos y electrónicos para

el cumplimiento de sus responsabilidades.

Supervisión

El sujeto fiscalizado contó con actividades de supervisión y revisión dentro de sus

procedimientos de las operaciones institucionales; sin embargo, en el cuestionario de control

interno, no presentó información de la evaluación de las mencionadas operaciones, ni de

cómo comunicó las deficiencias de control interno a los responsables; tampoco de haber

promovido la mejora de los controles internos de la dependencia porque no estaba obligado

normativamente, por lo que el componente de supervisión se considera “inapropiado”.

La ASCM no ha practicado ninguna auditoría al sistema GRP-SAP administrado por la

SEFIN; sin embargo, realizó una auditoría de cumplimiento con enfoque en TIC en el ejercicio

2014 al “Sistema Informático del Padrón de Contribuyentes del Impuesto sobre Nóminas”,

cuyas recomendaciones a la fecha fueron atendidas en su totalidad.

Se concluye que, respecto al resultado del estudio y evaluación del control interno, el sujeto

fiscalizado contó con unidades administrativas estructuradas conforme el manual

administrativo, pero presentó deficiencias en los mecanismos y actividades de control

establecidos en los procedimientos para atender y mitigar los riesgos de registro y control de

las operaciones del GRP-SAP de la SEFIN. Asimismo, de las pruebas de auditoría aplicadas,

se determinó que existen riesgos en la ejecución de las operaciones y la consecución de

objetivos, por lo cual, se considera que en general es inapropiado.

En el informe de la auditoría con clave ASCM/9/17, practicada a la entonces SEFIN, resultado

núm. 1, recomendación ASCM-9-17-1-SEFIN, se considera el mecanismo para implementar

acciones dirigidas a asegurar la actualización y registro del manual administrativo (apartado

de organización y de procedimientos) de la SEFIN y su publicación en su normateca, por lo

16

que se dará tratamiento a dicha circunstancia como parte del seguimiento de la recomendación

citada.

Seguridad de la Información

2. Resultado

Con la finalidad de evaluar que la SEFIN haya contado con controles de seguridad de

la información implementados en el GRP-SAP, en cumplimiento de la normatividad de TIC

aplicable y asegurar que la información sea íntegra, confiable y disponible, la ASCM realizó

entrevistas, inspecciones y pruebas analíticas y sustantivas a este sistema.

En los procedimientos de auditoría, se observó lo siguiente:

1. Respecto a la elaboración de políticas de seguridad de la información (suficientes y

efectivas) en el GRP-SAP, de la respuesta al “Cuestionario de Control Interno TIC” de la

documentación remitida con los oficios núms. SFCDMX/DGI/556/2018 del 26 de octubre

de 2018 y SFCDMX/DGI/646/2018 del 11 de diciembre de 2018, se tuvo conocimiento de

que la dependencia contó con un documento denominado “Políticas de Seguridad de la

Información”, difundido mediante el oficio núm. SFCDMX/DGI/432/2017 del 27 de julio de

2017, de conformidad con el artículo 13, apartado 2, “Política de Seguridad”; inciso 2.1,

“Definición y documentación de la política de seguridad de la información”, de las Normas

Generales que deberán observarse en materia de Seguridad de la Información en la

Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito

Federal núm. 121 el 9 de julio de 2007, vigente en 2017.

2. Con relación a sí los controles fueron suficientes y efectivos para la seguridad física,

lógica y de red en la infraestructura tecnológica para la operación del GRP-SAP, se

observó lo siguiente:

a) De la inspección al centro de datos de la SEFIN, realizada por la ASCM el día 5 de

diciembre de 2018, se constató que la dependencia acreditó contar con energía

eléctrica polarizada y aterrizada para evitar que la infraestructura de TIC sufra daños

en caso de alguna situación adversa, en cumplimiento del artículo 13, norma 6,

17

“Seguridad Física y del Entorno”, Objetivo del apartado 6.2, “Seguridad del

Equipamiento”, de las Normas Generales que deberán observarse en materia

de Seguridad de la Información en la Administración Pública del Distrito Federal,

publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007,

vigentes en 2017 y se alineó con la norma BICSI (Building Industry Consulting

Service International, por sus siglas en inglés, Servicio de consultoría de la industria

de construcción internacional), en su apartado 9.9.1.

b) En la entrevista realizada por la ASCM el día 29 de noviembre de 2018 y de la

respuesta al “Cuestionario de Control Interno TIC” proporcionada con el oficio

núm. SFCDMX/DGI/556/2018 del 26 de octubre de 2018, se tuvo conocimiento de

que la SEFIN contó con el programa antivirus McAfee en sus equipos, el cual brindó

protección contra accesos inapropiados y códigos maliciosos, este software tuvo

licencia vigente, cuya renovación y mantenimiento se adquirió por medio del contrato

núm. CS-033/2017 del 9 de junio de 2017, denominado “Contrato abierto de

prestación del servicio de mantenimiento preventivo y correctivo de equipos McAfee y

renovación de licencias de antivirus McAfee, para la Secretaría de Finanzas de la

Ciudad de México”, en cumplimiento del artículo 13, en su apartado 7.3.1 “Controles

contra código malicioso” de las Normas Generales que deberán observarse en

materia de Seguridad de la Información en la Administración Pública del Distrito

Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de

2007, vigente en 2017.

c) En la entrevista realizada por la ASCM el 29 de noviembre de 2018 y en la inspección

al centro de datos de la SEFIN el día 5 de diciembre de 2018, se tuvo conocimiento

de que la dependencia monitoreó la red de datos por medio de la aplicación Nagios,

para verificar la disponibilidad de los servicios, el tráfico de la red, el uso de memoria

y procesadores de los servidores en los centros de datos, en cumplimiento del

artículo 13, en sus apartados 7.6, “Monitoreo de los sistemas”; y 7.6.2, “Monitoreo

de los sistemas y recursos en uso”, de las Normas Generales que deberán observarse

en materia de Seguridad de la Información en la Administración Pública del Distrito


2007, vigente en 2017.

18

3. En cuanto a la seguridad suficiente y efectiva para el Alta, Baja o Modificación de claves

de usuario en el GRP-SAP, la ASCM realizó entrevistas los días 29 y 30 de noviembre de

2018, inspeccionó este sistema el día 30 de noviembre de 2018 y solicitó información

mediante el oficio núm. ACF-A/DA-B/18/016 del 25 de enero de 2019, al que se dio

respuesta con el oficio núm. SAF/SE/DGACyRC/0239/2019 del 31 de enero de 2019.

Al respecto, se observó lo siguiente:

a) La SEFIN contó con el procedimiento “Atención a las Solicitudes de Alta, Modificación

y/o Baja de Claves de Usuarios de los Sistemas Informáticos que se Encuentran en

Resguardo y Administración de la Dirección General de Informática” integrado en su

manual administrativo, cuyo objetivo es garantizar la confiabilidad, seguridad y uso

adecuado de las claves de usuario por parte de los usuarios; y con políticas “De los

Usuarios y Contraseñas para Acceso a los Servidores y/o Aplicativos de la Secretaría

de Finanzas” y “De los Servidores de la Secretaría de Finanzas”, las cuales son de uso

interno y están integradas en el documento “Políticas de Seguridad de la Información”.

Cabe señalar que la Dirección General de Informática cuando genera un nuevo

usuario en el GRP-SAP da una contraseña genérica, la cual es entregada en sobre

cerrado con el documento denominado “Acta responsiva para alta de clave de acceso

a los sistemas resguardados por la Dirección General de Informática”, y hace de su

conocimiento al usuario las sanciones previstas en la normatividad aplicable vigente,

posteriormente, el GRP-SAP obliga al usuario a cambiar la contraseña al ingresar por

una personal.

Durante las inspecciones realizadas a los usuarios finales, se constató que la longitud

mínima de las contraseñas para ingresar al GRP-SAP es de 6 caracteres y pueden

formarse con letras mayúsculas, minúsculas, números y caracteres especiales, y no

de 7 caracteres como se establece en las “Políticas de Seguridad de la Información”.

En la reunión de confronta, celebrada el 1o. de marzo de 2019, la Secretaría de

Administración y Finanzas, mediante el oficio núm. SAF/SE/DGACyRC/0782/2019

del 28 de febrero de 2019, remitió el oficio núm. SAF/DGTC/080/2019 del 26 de

febrero de 2019, en el cual informó que “se actualizará la política interna para la

19

estructura y uso de las contraseñas para acceder [a] los recursos GRP-SAP…”, por

lo que la presente observación no se modifica.

Por no contar con las contraseñas para ingresar al GRP-SAP con una longitud de 7

caracteres, la Dirección General de Informática no se alineó a la política “De los

Usuarios y Contraseñas para acceso a los Servidores y/o aplicativos de la Secretaría

de Finanzas”, integrado en el documento “Políticas de Seguridad de la Información”,

que indica:

“… El Usuario deberá teclear una Contraseña de acceso de 7 caracteres

alfanuméricos como mínimo.

”La Contraseña debe contener únicamente los caracteres de la ʽaʼ a la ʽzʼ y del ʽ0ʼ al

ʽ9ʼ, sin diferenciar entre mayúsculas y minúsculas.”

También incumplió el artículo 13, norma 8, “Control de Acceso”; apartado 8.3.1, “Uso

de contraseña (password)”, de las Normas Generales que deberán observarse en

materia de Seguridad de la Información en la Administración Pública del Distrito


2007, vigente en 2017, que señala:

“Se debe establecer una política interna para la estructura y uso de las contraseñas

para acceder los recursos de TI, la cual deberán conocer y respetar los usuarios. A

todos los usuarios se les comunicarán las prácticas para su buen uso y manejo.”

b) La Subsecretaría de Egresos de la SEFIN es la unidad administrativa autorizada para

revisar el alta, baja o modificación de usuarios en el GRP-SAP. Asimismo, para

solicitar la baja de usuario, se requiere un oficio o por medio de correo electrónico y

para el alta de usuario, es obligatorio emitir un oficio de petición y formato de solicitud.

Sin embargo, se constató que para el alta y modificación de usuarios en el GRP-SAP

no se tienen documentados los roles y privilegios para cada tipo de perfil de usuario

del sistema.

20



Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26

de febrero de 2019, en el cual informó que “se documentarán los roles y privilegios

para cada tipo de perfil de usuario del sistema GRP-SAP”, por lo que la presente

observación no se modifica.

Por no contar con evidencia documental para las altas, bajas o modificaciones de

usuarios en el GRP-SAP, la Dirección General de Informática incumplió el artículo 13,

norma 8, “Control de Acceso”; apartado 8.2 “Administración de acceso a usuarios”;

subapartado 8.2.1, “Registro de usuarios y control de privilegios”, de las Normas



Federal núm. 121 el 9 de julio de 2007, vigente en 2017, que señala:

“Deben existir los procedimientos necesarios para registrar o crear usuarios,

modificarlos y darlos de baja respecto de sus aplicaciones y demás recursos de TI.

Para los usuarios registrados, se deben controlar los privilegios a los recursos de

acuerdo a la política y lineamientos definidos.”

Se concluye que, si bien la SEFIN contó con un documento referente a políticas de seguridad

de la información; con controles de seguridad física en su centro de datos al tener energía

eléctrica polarizada y aterrizada para evitar que la infraestructura de TIC sufra daños en caso

de alguna situación adversa; de seguridad lógica al contar con protección contra accesos no

autorizados, código malicioso mediante el uso de antivirus; de seguridad de red al utilizar una

herramienta de monitoreo de red para verificar la disponibilidad de los servicios, el tráfico de

la red, el uso de memoria y procesadores de los servidores en los centros de datos; y con un

procedimiento y una política de uso interno, referentes al alta, baja y modificación de claves

de usuarios que utilizan el GRP-SAP, la longitud de las contraseñas generadas por los

usuarios del GRP-SAP no se alinearon con la política interna establecida y para el alta y

modificación de usuarios no se cuenta con los roles documentados para cada tipo de perfil,

lo que implica un riesgo para el control de privilegios a los recursos mencionados.

21

Recomendación ASCM-11-17-1-SEFIN

Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos de

supervisión para asegurarse de que la estructura y uso de las contraseñas de los usuarios

para acceder al Sistema de Planeación de Recursos Gubernamentales se alineen con lo

establecido en las Políticas de Seguridad de la Información, de conformidad con las Normas


Administración Pública del Distrito Federal vigentes.


Es necesario que la Secretaría de Administración y Finanzas implemente mecanismos

de control para asegurarse de que, para el alta y modificación de usuarios del Sistema de

Planeación de Recursos Gubernamentales, se documenten los roles y privilegios para cada

tipo de perfil de usuario en el sistema, de conformidad con las Normas Generales que deberán

observarse en materia de Seguridad de la Información en la Administración Pública del

Distrito Federal vigentes.

Operaciones de TIC

3. Resultado

Con el objetivo de evaluar que las adecuaciones al sistema permitan la interconectividad con

las unidades responsables del gasto de la Administración Pública de la Ciudad de México, y la

integración de la información referente a registros programático-presupuestales, la ASCM

realizó entrevistas, inspecciones y pruebas informáticas en las que se observó lo siguiente:

1. Referente a los controles que permitan una gestión efectiva, eficaz y eficiente para la

operación del GRP-SAP, la ASCM realizó una entrevista el día 29 de noviembre

e inspecciones los días 6, 7 y 11 de diciembre de 2018, y 21 de enero de 2019; además,

aplicó un “Cuestionario de Control Interno TIC” y solicitó documentación mediante los

oficios núms. ACF-A/DA-B/18/0109 y ACF-A/DA-B/18/0142 del 18 de octubre y 7 de

diciembre, ambos de 2018. En respuesta, la SEFIN remitió el cuestionario y

documentación con los oficios núms. SFCDMX/DGI/556/2018 del 26 de octubre de 2018

22

y SFCDMX/DGI/646/2018 del 11 de diciembre de 2018, de cuyo análisis se tuvo

conocimiento que la dependencia no contó con un programa de capacitación para la

operación del GRP-SAP, ya que la capacitación es solamente por solicitud del ente y esta

petición no siempre fue atendida.



Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26 de febrero

de 2019, en el cual informó que “se exigirá [al] consultor que prepare un programa anual de

capacitación […] a los usuarios en el uso correcto del sistema GRP-SAP”, por lo que la

presente observación no se modifica.

Por no contar con un programa de capacitación para la operación del GRP-SAP, la

Dirección General de Informática incumplió el artículo 19 de la Ley de Gobierno

Electrónico del Distrito Federal, publicado en la Gaceta Oficial del Distrito Federal

núm. 192 el 7 de octubre de 2015, vigente en 2017, que señala:

“Cada uno de los Órganos de la Administración Pública, en el ámbito de sus respectivas

competencias, propiciará la capacitación de los servidores públicos a su cargo en materia

de tecnologías de la información y comunicaciones.”

Tampoco observó el apartado 1, “Operación del sistema informático de planeación

de recursos gubernamentales (GRP-SAP)”, del Anexo Único del contrato

núm. CS-MA-008/2015 del 15 de septiembre de 2015 denominado “Contrato multianual

de prestación del servicio de consultoría y mantenimiento continuo para la operación del

sistema informático de planeación de recursos gubernamentales (GRP-SAP),

2015-2017”, vigente del 16 de septiembre de 2015 al 31 de diciembre de 2017, que

señala lo siguiente:

“… ʻel prestadorʼ debe generar, programar, preparar y ejecutar los programas de

capacitación pertinentes en coordinación con ʻel D.F.ʼ …”

23

Por lo anterior, el sujeto fiscalizado incumplió el artículo 13, norma 5, “Seguridad de la

Información y el Personal”; apartado 5.2, “Durante el empleo”; subapartado 5.2.1,

“Sensibilización, entrenamiento y educación de la seguridad de la información”, de las

Normas Generales que deberán observarse en materia de Seguridad de la Información

en la Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del

Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en 2017, que señala:

“Todos los usuarios de la Institución incluyendo empleados, consultores, contratistas y

terceros, deben recibir la sensibilización, entrenamiento o educación […] así como la

capacitación referida al uso correcto de los recursos de T.I.”

Adicionalmente, la SEFIN acreditó contar con una mesa de ayuda por medio de su

Centro de Atención a Usuarios (CAU), a fin de dar soporte a las incidencias que tengan

los usuarios respecto al GRP-SAP, que recibe entre 5 y 10 solicitudes en promedio por

día; y con la política “De la Mesa de Ayuda”, contenida en el apartado “Política de

Servicio” del documento “Políticas de Seguridad de la Información” referente a la

realización de reportes de incidencias por parte de los usuarios al CAU. Las mencionadas

acciones son supervisadas mediante informes mensuales en donde se describe el

incidente y la solución, por lo que la Dirección General de Informática cumplió lo

establecido en el artículo 13, norma 10, “Administración de Incidentes de la Seguridad de

la Información”; apartado 10.1, “Reporte de eventos de seguridad de la información”;

subapartado 10.1.1, “Reporte de eventos de seguridad de la información”, de las Normas



Federal núm. 121 el 9 de julio de 2007, vigentes en 2017.

La SEFIN acreditó contar con manuales de operación del GRP-SAP por transacción, los

cuales son enviados a las unidades administrativas usuarias del GRP-SAP y pueden ser

solicitados por los usuarios, así como una guía de navegación del sistema cuyo objetivo

es dar a conocer la herramienta, conceptos básicos de la navegación, íconos de uso

diario y la forma de iniciar sesión.

24

Sin embargo, de las inspecciones realizadas por la ASCM los días 6, 7 y 11 de diciembre

de 2018, y 21 de enero de 2019, se tuvo conocimiento que los manuales de operación del

GRP-SAP de la SEFIN no se encontraron actualizados y en algunos casos no han sido

entregados al usuario final.




de 2019, en el cual informó que “se realizará un programa de actualización de manuales

y guías de operación […] y se establecerá una coordinación con la Subsecretaría de

Egresos, para su entrega a […] los usuarios del GRP-SAP”, por lo que la presente


Por no contar con manuales de operación del GRP-SAP actualizados ni haberlos

difundido, la Dirección General de Informática no vigiló el cumplimiento del apartado 1,

“Operación del sistema informático de planeación de recursos gubernamentales

(GRP-SAP)”, del Anexo Único del contrato núm. CS-MA-008/2015 del 15 de septiembre

de 2015 denominado “Contrato multianual de prestación del servicio de consultoría y

mantenimiento continuo para la operación del sistema informático de planeación de

recursos gubernamentales (GRP-SAP), 2015-2017”, vigente del 16 de septiembre

de 2015 al 31 de diciembre de 2017, que señala:

“… ‘el prestador’ […] debe generar, actualizar, proporcionar y conservar la información

documental (manuales de operación de sistema, entre otros) que sirva como base para

que el personal pueda auto-desarrollarse…”

Asimismo, la Dirección General de Informática incumplió el artículo 13, norma 7, “Seguridad

de las operaciones”; apartado 7.1, “Procedimientos operativos y responsabilidades”;

subapartado 7.1.1, “Documentación de los procedimientos operativos”, de las Normas



Federal núm. 121 el 9 de julio de 2007, vigentes en 2017, que señala:

25

“Los procedimientos de las operaciones se deben documentar, mantener y estar

disponibles para todos los usuarios que los necesiten…”

2. Con relación a la evaluación de los enlaces de datos utilizados por la SEFIN para brindar

soporte al GRP-SAP y que aseguren la operación de TIC, de la entrevista del 29 de

noviembre de 2018, de las inspecciones del 6, 7 y 11 de diciembre de 2018 y 21 de enero

de 2019; y de las respuestas al “Cuestionario de Control Interno TIC” remitido con el oficio

núm. SFCDMX/DGI/556/2018 del 26 de octubre de 2018, se tuvo conocimiento de que

la dependencia contó con un solo enlace de 150 MB, con crecimiento a 300 MB en

temporada de recaudación, en cumplimiento del artículo 35 de la Ley de Gobierno

Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal

núm. 192 el 7 de octubre de 2015, vigente en 2017.

3. Respecto a la realización de encuestas de satisfacción del servicio a los usuarios finales

del GRP-SAP, para mejorar los procesos de operación, de las entrevistas del 29 y 30 de

noviembre de 2018, de las inspecciones del 6, 7 y 11 de diciembre de 2018 y del 21

de enero de 2019; y de la respuesta al “Cuestionario de Control Interno TIC” remitido con

el oficio núm. SFCDMX/DGI/556/2018 del 26 de octubre de 2018, se tuvo conocimiento de

que la SEFIN no llevó a cabo encuestas del servicio del GRP-SAP a los usuarios finales.

En la reunión de confronta celebrada el día 1o. de marzo de 2019, mediante el oficio



de 2019, en el cual informó que “se establecerán los mecanismos que nos permitan

establecer las encuestas de satisfacción del servicio”, por lo que la presente observación no

se modifica.

Por no realizar encuestas de satisfacción del servicio a los usuarios finales del GRP-SAP,

la Dirección General de Informática incumplió el manual administrativo de la dependencia

con registro núm. MA-25/240715-D-SF-17/2013, que señala que la Jefatura de Unidad

Departamental de Operación de Sistemas Presupuestales, tiene como función “realizar

encuestas [del] servicio a los usuarios finales del Sistema de Planeación de Recursos

26

Gubernamentales ([GRP-SAP]), con el fin de conocer su opinión respecto al funcionamiento

y desempeño del sistema…”

Asimismo, incumplió el contrato núm. CS-MA-008/2015 del 15 de septiembre de 2015

denominado “Contrato multianual de prestación del servicio de consultoría y mantenimiento

continuo para la operación del sistema informático de planeación de recursos

gubernamentales (GRP-SAP), 2015-2017”, que especifica lo siguiente:

“La métrica de satisfacción del servicio se debe llevar a cabo mediante el uso de prácticas

aceptadas…”

La Dirección General de Informática también incumplió el artículo 31 de la Ley de

Gobierno Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito

Federal núm. 192 el 7 de octubre de 2015, vigente en 2017, que señala:

“Artículo 31. Los Órganos de la Administración Pública desarrollarán metodologías […]

que incluyan la evaluación y monitoreo, para generar estrategias de gestión como parte

del proceso de formación y mejora [continua]...”

Se concluye que la SEFIN contó con una mesa de ayuda, a fin de dar soporte a las

incidencias que tienen los usuarios respecto al GRP-SAP y con un enlace de datos que

asegura una óptima operación; sin embargo, no acreditó la realización de encuestas

de satisfacción del servicio a los usuarios finales del GRP-SAP como parte del proceso de

mejora continua, la presentación de un programa de capacitación para su operación, ni contar

con manuales de operación actualizados que aseguren la correcta operación del referido

sistema por parte de los usuarios.



control y supervisión para asegurarse de que se cuente con un programa de capacitación

para que el Sistema de Planeación de Recursos Gubernamentales (GRP-SAP) sea operado

correctamente por sus usuarios, conforme a la normatividad aplicable.

27



supervisión para asegurarse de que los manuales de operación del Sistema de Planeación

de Recursos Gubernamentales estén actualizados y sean difundidos a los usuarios finales, de

conformidad con las Normas Generales que deberán observarse en materia de Seguridad

de la Información en la Administración Pública del Distrito Federal y con los instrumentos

jurídicos celebrados, vigentes.



de control y supervisión para asegurarse de que se realicen encuestas de satisfacción del

servicio del Sistema de Planeación de Recursos Gubernamentales a los usuarios finales

como parte del proceso de mejora continua, de conformidad con la Ley de Gobierno Electrónico

del Distrito Federal, con las funciones del manual administrativo y con los instrumentos

jurídicos celebrados, vigentes.

Continuidad del Servicio y Recuperación de Desastres

4. Resultado

Con objeto de evaluar que la SEFIN haya dispuesto de controles que permitan que la

infraestructura tecnológica y el GRP-SAP den servicio ininterrumpido a las unidades

responsables del gasto, la ASCM realizó entrevistas, inspecciones físicas y pruebas

informáticas. Como resultados, se observó lo siguiente:

1. Referente a la elaboración de políticas de continuidad del servicio y de recuperación

de desastres que fueran suficientes, efectivas y brindaran un servicio de manera

ininterrumpida, de la entrevista del 29 de noviembre de 2018 y de la respuesta

al “Cuestionario de Control Interno TIC”, el cual fue respondido con el oficio

núm. SFCDMX/DGI/556/2018 del 26 de octubre de 2018, se tuvo conocimiento de que la

SEFIN emitió un documento de políticas de continuidad del servicio y recuperación de

desastres interno denominado “Disaster Recovery Plan DRP versión 3.3”, orientado a

28

asegurar la recuperación de la operación de los recursos tecnológicos críticos para la

operación del negocio, la implantación de metodologías y mejores prácticas para el DRP

(Disaster Recovery Plan, por sus siglas en inglés, Plan de Recuperación de Desastres), y la

entrega, soporte de servicios informáticos y desarrollo de sistemas de información en

la dependencia, con el objetivo de asegurar la confidencialidad, integridad y disponibilidad

de la información contenida en los sistemas; sin embargo, el DRP no estuvo actualizado.




de 2019, en el que informó que “se realizará la actualización del DRP específico para el

GRP-SAP”, por lo que la presente observación no se modifica.

Por no actualizar el Plan de Recuperación de Desastres de acuerdo con los cambios del

GRP-SAP, la Dirección General de Informática no vigiló el cumplimento de lo señalado en

el punto 9 del apartado 3, “Atención a incidentes y solicitudes del sistema informático de

planeación de recursos gubernamentales (GRP-SAP)”, del Anexo Único, subapartado 4,

“Condiciones generales”, del contrato núm. CS-MA-008/2015 del 15 de septiembre

de 2015, denominado “Contrato multianual de prestación del servicio de consultoría y


recursos gubernamentales (GRP-SAP), 2015-2017”, que estipula:

“9. ʻEl prestadorʼ debe actualizar el plan de recuperación ante desastres de acuerdo en

los cambios en los sistemas actuales […] este plan […] debe ser entregado a ʻel D.F.ʼ

cada que sufra algún cambio.”

La Dirección General de Informática también incumplió el artículo 13, norma 11,

“Continuidad de las Operaciones”; apartado 11.1, “Plan de Continuidad de las

Operaciones”; subapartado 11.1.1, “Planeación de la continuidad de las operaciones”,

segundo párrafo, de las Normas Generales que deberán observarse en materia de

Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas

en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007 vigentes en 2017,

que señala:

29

“Al planear la continuidad de las operaciones, se deben identificar y especificar desde un

inicio los requerimientos y controles de seguridad de la información; así como asegurar la

coordinación con el personal de la Institución y los contactos externos que participarán

en las estrategias de planificación de contingencias, asignando funciones para cada

actividad definida.

”Se debe definir, desarrollar e implementar un plan para mantener o restaurar las

operaciones, que asegure la disponibilidad de la información en el nivel y escala de

tiempo requeridos por la Institución. Dicho plan debe incluir al menos las siguientes

etapas:

”a) Notificación/Activación: Consistente en la detección y determinación del daño y la

activación del plan.

”b) Reanudación: Consistente en la restauración temporal de las operaciones y

recuperación del daño producido al sistema original.

”c) Recuperación: Consistente en la restauración de las capacidades de proceso del

sistema a las condiciones de operación normales.”

2. Con relación a los planes de mantenimiento correctivo y preventivo a la infraestructura de

TIC, para la continuidad del servicio del GRP-SAP, como resultado de la entrevista

realizada por la ASCM el día 29 de noviembre de 2018, de las respuestas al

“Cuestionario de Control Interno TIC” y de la documentación remitida por la SEFIN,

con los oficios núms. SFCDMX/DGI/556/2018 del 26 de octubre de 2018 y

SFCDMX/DGI/646/2018 del 11 de diciembre de 2018, se tuvo conocimiento de que

la dependencia realizó mantenimiento preventivo y correctivo de conformidad con el

contrato multianual núm. CS-MA-008/2015 del 29 de diciembre de 2017, denominado

“Convenio modificatorio al contrato multianual de prestación del servicio de consultoría y

mantenimiento continuo para la operación del Sistema Informático de Planeación de

Recursos Gubernamentales (GRP-SAP) 2015-2017”; con el contrato núm. CS-037/2017

del 14 de julio de 2017, denominado “Contrato abierto de prestación del servicio de

mantenimiento preventivo y correctivo a IBM DS6800 TOTAL STORAGE, IBM XIV e IBM

30

ESERVER BLADE CENTER 2017 para la Secretaría de Finanzas de la Ciudad de

México”; el contrato núm. CS-028/2017 del 22 de mayo del 2017, denominado “Contrato

abierto de prestación del servicio de mantenimiento preventivo y correctivo a

servidores 2017, de la Secretaría de Finanzas de la Ciudad de México”; y el contrato

núm. CS-021/2017 del 12 de abril de 2017, denominado “Contrato abierto de prestación

del servicio de mantenimiento preventivo y correctivo a plantas de emergencia, sistemas de

energía ininterrumpible y acondicionadores de línea de la Secretaría de Finanzas de la

Ciudad de México”.

Sin embargo, el sujeto fiscalizado no acreditó contar con un plan de mantenimiento

preventivo y correctivo o documento de acciones específicas para realizar el

mantenimiento a la infraestructura tecnológica, con el fin de asegurar la disponibilidad,

fiabilidad y larga vida útil de ésta.




de 2019, en el que informó que “se elaborará un plan de mantenimiento preventivo y

correctivo o documento de acciones específicas para realizar el mantenimiento tanto

a la infraestructura tecnológica, como al sistema informático”, por lo que la presente


Por no contar con un plan de mantenimiento preventivo y correctivo, la Dirección

General de Informática no vigiló el cumplimento del apartado 2, “Mantenimiento continuo

del sistema informático de planeación de recursos gubernamentales (GRP-SAP)” del

Anexo Único del contrato núm. CS-MA-008/2015 del 15 de septiembre de 2015

denominado “Contrato multianual de prestación del servicio de consultoría y


recursos gubernamentales (GRP-SAP), 2015-2017”, que señala:

“El prestador debe preparar un plan de mantenimiento de software SAP que establezca

prácticas específicas para dicha actividad, así como recursos y secuencias relevantes de

actividades…”

31

La Dirección General de Informática incumplió también el objetivo establecido en el

artículo 13, norma 11, “Continuidad de las operaciones”, de las Normas Generales que

deberán observarse en materia de Seguridad de la Información en la Administración

Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121

el 9 de julio de 2007, que señala:

“Artículo 13.- Para los efectos de los presentes acuerdos, las Normas Generales para la

Seguridad de la Información, son las siguientes […]

”11. Continuidad de las Operaciones.

”Objetivo. Minimizar los efectos de las posibles interrupciones de las actividades normales

de la Institución (sean éstas resultado de desastres naturales, accidentes, fallas en el

equipamiento, acciones deliberadas u otros hechos) y proteger los procesos críticos

mediante una combinación de controles preventivos y acciones de recuperación.

”Analizar las consecuencias de la interrupción del servicio y tomar las medidas

correspondientes para la prevención de hechos similares en el futuro.”

3. Respecto de los controles de accesos no autorizados y de seguridad en el centro de

datos, para salvaguardar los equipos de misión crítica y la infraestructura tecnológica y

asegurar el servicio continuo en el GRP-SAP, se observó lo siguiente:

a) De acuerdo con la inspección realizada por la ASCM el 5 de diciembre de 2018, el

centro de datos de la SEFIN, contó con lo siguiente:

● Un dispositivo de control de acceso electrónico, así como cámaras de seguridad,

en cumplimiento del artículo 13, norma 6, “Seguridad física y del entorno”;

apartado 6.1, “Áreas seguras”; subapartado 6.1.2, “Perímetro de seguridad

físico”, de las Normas Generales que deberán observarse en materia de

Seguridad de la Información en la Administración Pública del Distrito Federal,

publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de

2007, vigentes en 2017.

32

● Bitácoras de registro de acceso, de conformidad con el artículo 13, norma 8,

“Control de Acceso”; apartado 8.1, “Requerimientos para el control de acceso”;

subapartado 8.1.1, “Política de control de acceso”, de las Normas Generales

que deberán observarse en materia de Seguridad de la Información en la

Administración Pública del Distrito Federal publicadas en la Gaceta Oficial del

Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en 2017.

● Un sistema de alarmas contra incendios, extintores repartidos en diferentes

puntos y un dispositivo de alerta sísmica, de acuerdo con el artículo 13, norma 6,

“Seguridad física y del entorno”; apartado 6.1, “Seguridad física y del entorno”;

subapartado 6.1.1, “Protección contra amenazas internas y externas”, de

las Normas Generales que deberán observarse en materia de Seguridad de la

Información en la Administración Pública del Distrito Federal, publicadas en

la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en

2017.

● Un techo tipo plafón con bloques dañados o removidos y escombros, cajas de

cartón y equipos desconectados dentro del centro de datos.


núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019, la Secretaría

de Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26 de

febrero de 2019, en el que informó que “en relación a la caja de cartón y los

‘escombros’ […] correspondía a un Core […] y […] herramientas […] A la Fecha ya

no existen estos objetos en el Centro de Datos”; sin embrago, la dependencia no

presentó evidencia de las acciones realizadas, por lo que la presente observación

no se modifica.

Por no mantener el centro de datos en condiciones limpias y seguras, ya que contó

con plafones dañados o removidos, escombros y equipos desconectados en

el centro de datos, la Dirección General de Informática incumplió el artículo 13, Objetivo

de la norma 7, “Seguridad de las operaciones”, de las Normas Generales que deberán

observarse en materia de Seguridad de la Información en la Administración Pública

33

del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el

9 de julio de 2007, vigentes en 2017, que señala:

“Artículo 13.- Para los efectos de los presentes acuerdos, las Normas Generales para

la Seguridad de la Información, son las siguientes. […]

”Objetivo. Garantizar el funcionamiento correcto y seguro de las instalaciones de

procesamiento de la información y comunicaciones.”

La dependencia no se alineó con las mejores prácticas de COBIT 5 en su control

DSS01.04 “Gestionar el entorno”, inciso 8, que señala:

“Mantener en todo momento a los sitios de TI y las salas de servidores limpias y

en una condición segura (es decir, sin desorden, sin papel ni cajas de cartón, sin

papeleras llenas, sin productos químicos o materiales inflamables).”

b) Según la entrevista realizada por la ASCM el 29 de noviembre de 2018 y la

inspección llevada a cabo el día 5 de diciembre del mismo año en el centro de datos

de la SEFIN, la dependencia contó con bitácoras de mantenimiento, en cumplimiento

del artículo 13, norma 7, “Seguridad de las operaciones”; apartado 7.6, “Monitoreo de

sistemas”; subapartado 7.6.1, “Bitácoras de Auditoría”, de las Normas Generales que

deberán observarse en materia de Seguridad de la Información en la Administración

Pública del Distrito Federal publicadas en la Gaceta Oficial del Distrito Federal

núm. 121 el 9 de julio de 2007, vigentes en 2017.

Se concluye que la SEFIN contó en su centro de datos con un dispositivo electrónico de

acceso, bitácoras de acceso y de mantenimiento y un sistema contra incendio de conformidad

con las Normas Generales que deberán observarse en materia de Seguridad de la

Información en la Administración Pública del Distrito Federal; sin embargo, en el mencionado

centro se observaron escombros y no se acreditó haber emitido un plan de recuperación

de desastres actualizado de acuerdo con los cambios en el GRP-SAP ni un plan de

mantenimiento correctivo y preventivo que contenga las acciones específicas para realizar el

34

mantenimiento a la infraestructura tecnológica, con el fin de asegurar la disponibilidad,

fiabilidad y larga vida útil de ésta.



de control y supervisión para asegurarse de que se cuente con un Plan de Recuperación de

Desastres actualizado de acuerdo con los cambios en el Sistema de Planeación de Recursos

Gubernamentales, de conformidad con las Normas Generales que deberán observarse en

materia de Seguridad de la Información en la Administración Pública del Distrito Federal y

con los instrumentos jurídicos celebrados, vigentes.



control y supervisión para asegurarse de que se cuente con un plan de mantenimiento

preventivo y correctivo a la infraestructura tecnológica que garantice su disponibilidad,

fiabilidad y larga vida útil, de conformidad con las Normas Generales que deberán observarse

en materia de Seguridad de la Información en la Administración Pública del Distrito Federal y

con los instrumentos jurídicos celebrados, vigentes.



control y supervisión para asegurarse de que el centro de datos se encuentre en condiciones

limpias y seguras, de conformidad con las Normas Generales que deberán observarse en

materia de Seguridad de la Información en la Administración Pública del Distrito Federal y

en alienación con las mejores prácticas COBIT 5, vigentes.

35

Controles de Aplicación

5. Resultado

Con la finalidad de verificar que la SEFIN haya tenido con controles que permitan que el GRP-

SAP cumpla la normatividad relativa a la gestión de la información (entrada, procesamiento y

almacenamiento de datos), para asegurarse de que sea confidencial, disponible e íntegra, la

ASCM realizó entrevistas, inspecciones y pruebas sustantivas en la operatividad en

los procesos de revisión a los documentos de gestión programático presupuestarios de las

Afectaciones Presupuestarias y de las CLC en algunos entes que utilizan dicho sistema.

De las inspecciones realizadas por la ASCM los días 6, 7 y 11 de diciembre de 2018, en la

Secretaría de Seguridad Pública, la Secretaría de Protección Civil y el Centro de Comando,

Control, Cómputo, Comunicaciones y Contacto Ciudadano, respectivamente, se verificó

que los datos capturados por esos entes en el GRP-SAP, en los documentos digitales

(afectaciones presupuestarias y CLC), coincidieron completamente con los documentos

registrados y constatados el 21 de enero de 2019 en la Subsecretaría de Egresos. Ello

aseguró que la gestión de la información (entrada, procesamiento y almacenamiento de

datos) fuera confidencial, disponible e íntegra, en cumplimiento de los artículos 14 de la Ley

de Gobierno Electrónico del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal

núm. 192 el 7 de octubre de 2015; y 8 de las Normas Generales que deberán observarse en

materia de Seguridad de la Información en la Administración Pública del Distrito Federal,

publicadas en la Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigentes

en 2017.

De acuerdo con las entrevistas realizadas por la ASCM los días 29 y 30 de noviembre de

2018 y con las respuestas al “Cuestionario de Control Interno TIC” remitido a la SEFIN con el

oficio núm. SFCDMX/DGI/556/2018 del 26 de octubre de 2018, la dependencia no acreditó

contar con un documento con acciones específicas referente a la realización de respaldos del

GRP-SAP, que permita recuperar la información en caso de algún incidente y que ésta pueda

estar disponible e íntegra cuando se requiera.

En la reunión de confronta celebrada el día 1o. de marzo de 2019, mediante el oficio


36

Administración y Finanzas remitió el oficio núm. SAF/DGTC/080/2019 del 26 de febrero de

2019, en el cual informó que “se está realizando una revisión de todos los [procedimientos],

manuales y guías aplicables”, por lo que la presente observación no se modifica.

Por no contar con un documento con acciones específicas referente a la realización

de respaldos del GRP-SAP, la Dirección General de Informática incumplió el artículo 13,

norma 7, “Seguridad de las operaciones”; apartado 7.1, “Procedimientos operativos y

responsabilidades”; subapartado 7.1.1, “Documentación de los procedimientos operativos”, de

las Normas Generales que deberán observarse en materia de Seguridad de la Información

en la Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito

Federal núm. 121 el 9 de julio de 2007, vigentes en 2017, que señala:

“Los procedimientos de las operaciones se deben documentar, mantener y estar disponibles

para todos los usuarios que los necesiten. Se deben especificar las instrucciones detalladas para

la ejecución paso a paso de cada trabajo, incluyendo: información para el procesamiento

y manejo de información, especificaciones para la realización de respaldos, horarios e

interdependencias con otros sistemas, instrucciones para el manejo de errores, procedimientos

para el reinicio y recuperación en caso de fallas en los sistemas y dispositivos, el manejo de

las bitácoras y pistas de auditoría, entre otras actividades.”

Se concluye que la SEFIN aseguró que la gestión de la información (entrada, procesamiento

y almacenamiento de datos) fuera confidencial, disponible e íntegra, de conformidad con la

Ley de Gobierno Electrónico del Distrito Federal y con las Normas Generales que deberán


Distrito Federal; sin embargo, no contó con acciones específicas referentes a la realización

de respaldos del GRP-SAP, que permitan recuperar la información en caso de algún incidente

y que ésta pueda estar disponible e íntegra cuando se requiera.



control y supervisión para asegurarse de contar con un documento que prevea la realización

de respaldos del Sistema de Planeación de Recursos Gubernamentales (GRP-SAP), a fin de

37

que sea posible recuperar la información en caso de algún incidente y que esté disponible

e íntegra cuando se requiera, de conformidad con las Normas Generales que deberán


Distrito Federal, vigentes.

RESUMEN DE OBSERVACIONES Y ACCIONES

Se determinaron 5 resultados que generaron 10 observaciones, las cuales corresponden a 10

recomendaciones, de las cuales a una se le dará tratamiento como parte del seguimiento

de la recomendación ASCM-9-17-1-SEFIN.

La información contenida en el presente apartado refleja las acciones derivadas de las

auditorías que hasta el momento se han detectado por la práctica de pruebas y

procedimientos de auditoría; sin embargo, podrían sumarse observaciones y acciones

adicionales a las señaladas, producto de los procesos institucionales, de la recepción

de denuncias, y de las funciones de investigación y sustanciación a cargo de esta entidad de

fiscalización superior de la Ciudad de México.

JUSTIFICACIONES Y ACLARACIONES

La documentación proporcionada a esta entidad de fiscalización de la Ciudad de México por

el sujeto fiscalizado en la reunión de confronta fue analizada con el fin de determinar la

procedencia de desvirtuar o modificar las observaciones incorporadas por la Auditoría

Superior de la Ciudad de México en el Informe de Resultados de Auditoría para Confronta,

cuyo resultado se plasma en el presente Informe Individual, que forma parte del Informe

General Ejecutivo del Resultado de la Fiscalización Superior de la Cuenta Pública de la

Ciudad de México.

En atención a las observaciones señaladas, el sujeto de fiscalizado remitió el oficio

núm. SAF/SE/DGACyRC/0782/2019 del 28 de febrero de 2019 y un disco compacto,

mediante los cuales presentó información y documentación con el propósito de atender lo

observado; no obstante derivado del análisis efectuado por la unidad administrativa de

38

auditoría a la información y documentación proporcionadas por el sujeto fiscalizado, se

advierte que los resultados núms.1, 2, 3, 4 y 5 se consideran no desvirtuados.

PERSONAS SERVIDORAS PÚBLICAS A CARGO DE REALIZAR LA AUDITORÍA

En cumplimiento del artículo 36, párrafo decimotercero, de la Ley de Fiscalización Superior de

la Ciudad de México, se enlistan los nombres y cargos de las personas servidoras públicas

de la Auditoría Superior de la Ciudad de México involucradas en la realización de la auditoría:

Persona servidora pública Cargo

Fase de planeación

C.P. Lucelia Cuevas Rasgado Encargada del Despacho de la Dirección General de Auditoría de Cumplimiento “A”

Fases de planeación y ejecución

Mtra. Gloria Hernández Hernández Encargada del Despacho de la Dirección de Auditoría “B” y Directora de Auditoría “B”

Mtro. Jorge Rodrigo Rodríguez Calderas Auditor Fiscalizador TIC “C”

Mtro. Daniel Jesús Zepeda Madrigal Auditor Fiscalizador TIC “C”

Lic. Ramsés Gutiérrez Zepeda Auditor Fiscalizador TIC “C”

C. Ramsés Durán Benavidez Auditor Fiscalizador TIC “A”

Fases de ejecución y elaboración de informes

L.C. María Guadalupe Xolalpa García Directora General de Auditoría de Cumplimiento Financiero “A”

Mtra. Gloria Hernández Hernández Directora de Auditoría “B”

Mtro. Jesús López Juárez Subdirector de Auditoría

Mtro. Jorge Rodrigo Rodríguez Calderas Auditor Fiscalizador TIC “C”

Mtro. Daniel Jesús Zepeda Madrigal Auditor Fiscalizador TIC “C”

Lic. Ramsés Gutiérrez Zepeda Auditor Fiscalizador TIC “C”

C. Ramsés Durán Benavidez Auditor Fiscalizador TIC “A”

auditoría superior de la ciudad de méxico - clxix. i a r c p c m e · 2019. 4. 30. · de la...

Documents