Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
222 VOLUMEN 1/8
I.3.3. AUDITORÍA DE CUMPLIMIENTO CON ENFOQUE EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
I.3.3.1. SISTEMA DE INFORMACIÓN GEOGRÁFICA DEL CENTRO DE INFORMACIÓN URBANA PARA EL DESARROLLO Y ADMINISTRACIÓN DE LA CIUDAD DE MÉXICO (SIG-CIUDADMX)
Auditoría ASCM/5/18
FUNDAMENTO LEGAL
La auditoría se llevó a cabo con fundamento en los artículos 122, apartado A, base II, sexto
y séptimo párrafos, de la Constitución Política de los Estados Unidos Mexicanos; 62 de la
Constitución Política de la Ciudad de México; 13, fracción CXI, de la Ley Orgánica del Congreso
de la Ciudad de México; 1; 2, fracciones XIV y XLII, inciso a); 3; 8, fracciones I, II, IV, VI, IX,
XXVI y XXXIII; 9; 10, incisos a) y b); 14, fracciones I, VIII, XVII, XX y XXIV; 22; 24; 27; 28;
30; 32; 33; 34; 35; 36, 37, 61; y 62 de la Ley de Fiscalización Superior de la Ciudad de México; y
1; 4; 5, fracción I, inciso b); 6, fracciones V, VIII y XXXV; y 30 del Reglamento Interior de la
Auditoría Superior de la Ciudad de México.
ANTECEDENTES
En el apartado 4.1.9, “Sistema de Información Geográfica”, de la glosa del Sexto Informe de
Gobierno de la Ciudad de México correspondiente al ejercicio de 2018, se reportó lo siguiente:
“El Sistema de Información Geográfica es una herramienta de consulta en línea del uso del
suelo del territorio de la Ciudad de México aprobada a través de las publicaciones de los
Programas Delegacionales de Desarrollo Urbano (PDDUs), así como los Programas Parciales
de Desarrollo Urbano (PPDUs); en donde estos instrumentos consideran los lineamientos de
normatividad del Programa General de Desarrollo Urbano (PGDU).
”Es por ello, que se realiza un proceso continuo de actualización de la cartografía base del
Sistema de Información Geográfica de la Ciudad de México (SIG).
223 VOLUMEN 1/8
”Se han actualizado las demarcaciones Álvaro Obregón, Azcapotzalco, Benito Juárez, Coyoacán,
Cuauhtémoc, Programa Parcial de Desarrollo Urbano de la Zona de Santa Fe que pertenece a
la Delegación Cuajimalpa, Iztacalco, Miguel Hidalgo, Venustiano Carranza, La Madalena
Contreras, Gustavo A. Madero, y el Programa Parcial de Desarrollo Urbano Campestre Estrella
que pertenece a la Delegación Iztapalapa, los cuales corresponden a 672 mil 721 predios,
lo que representa el 56.06 por ciento del total de 1.2 millones de predios de la Capital. Esta
Secretaría estima que en el último trimestre de este año se concluirá la actualización.”
CRITERIOS DE SELECCIÓN
Esta auditoría se propuso de conformidad con los siguientes criterios generales de selección,
contenidos en el Manual de Selección de Auditorías de esta entidad de fiscalización superior:
“Propuesta e Interés Ciudadano”. Se consideró que este rubro tiene un impacto social e
interés para la ciudadanía, debido a que proporciona información sobre el uso de suelo de
cada predio de la Ciudad de México; asimismo, se han recibido denuncias ciudadanas referentes
a interrupciones en el SIG-CIUDADMX.
“Presencia y Cobertura”. Se consideró el SIG-CIUDADMX para asegurarse de que eventualmente
se revisen todos los sujetos de fiscalización y conceptos susceptibles de ser auditados, por
estar incluidos en la Cuenta Pública de la Ciudad de México.
OBJETIVO
El objetivo de la revisión consistió en verificar que el Sistema de Información Geográfica del
Centro de Información Urbana para el Desarrollo y Administración de la Ciudad de México
(SIG-CIUDADMX), así como la infraestructura tecnológica (hardware, software y redes de
datos) y demás sistemas relacionados con la atención ciudadana en materia de servicios
públicos urbanos, operen de manera efectiva, eficaz y eficiente; y que éstos correspondan
a los objetivos para los que fueron adquiridos, de acuerdo con la normatividad en Tecnologías
de la Información y Comunicaciones (TIC) aplicable, y derivados del ejercicio de las funciones
y atribuciones de la dependencia.
224 VOLUMEN 1/8
ALCANCE Y DETERMINACIÓN DE LA MUESTRA
Se revisó, en cuanto a los elementos que integraron el objetivo de la auditoría, de manera
enunciativa, mas no limitativa, lo siguiente:
Operaciones de TIC
Se evaluó el funcionamiento de servidores, suministro de espacio en dispositivos de
almacenamiento, prestación del servicio y gestión de capacitación del SIG-CIUDADMX.
Gobernanza de TIC
Se evaluaron los controles relativos a la gestión y gobernanza de TIC implementados en el
SIG-CIUDADMX.
Seguridad de la Información
Se evaluaron los controles de seguridad implementados en el SIG-CIUDADMX y la
infraestructura tecnológica que le da soporte.
Continuidad del Servicio y Recuperación de Desastres
Se verificaron los controles de manejo de incidentes implementados para asegurar la continuidad
de las operaciones, así como las prácticas involucradas en la gestión del cambio, la infraestructura
tecnológica y el SIG-CIUDADMX para que den servicio ininterrumpido.
Desarrollo y adquisición de TIC
Se verificaron los controles implementados para el desarrollo y adquisición de TIC relacionados
con el SIG-CIUDADMX.
Mediante el programa MySQL (My Structured Query Language, por sus siglas en inglés,
Lenguaje de Consulta Estructurado) con la función rand, se seleccionaron de forma aleatoria
50 registros del padrón fiscal del Impuesto Predial para verificar si la información proporcionada
a la ciudadanía sobre el uso de suelo de los predios de la Ciudad de México es íntegra,
confiable y está disponible, como sigue:
225 VOLUMEN 1/8
(Por cientos)
Universo Muestra Cantidad % Cantidad % 2,315,036 100.0 50 0.002
Para determinar la muestra se consideró que el SIG-CIUDADMX cuenta con criterios para
consultar la información relacionada con las cartografías de los inmuebles como son: cuenta
catastral, entre calle, domicilio, denuncia PAOT (Procuraduría Ambiental y del Ordenamiento
Territorial), coordenadas y aproximación, por lo que se consideró tomar como base el total
de registros del padrón fiscal del Impuesto Predial (2,315,036 predios).
La muestra de cartografías del SIG-CIUDADMX por revisar se determinó mediante un
método de muestreo no estadístico con fundamento en la Norma Internacional de Auditoría
(NIA) 530, “Muestreo de Auditoría”, emitida por la Federación Internacional de Contadores
(IFAC); la Norma Internacional de las Entidades Fiscalizadoras Superiores (ISSAI) 1530,
“Muestreo de Auditoría”, emitida por el Comité de Normas Profesionales de la Organización
Internacional de Entidades Fiscalizadoras Superiores (INTOSAI); y en el Manual del Proceso
General de Fiscalización de la Auditoría Superior de la Ciudad de México.
Los trabajos de auditoría se efectuaron en la Dirección de Tecnologías de Información y
Comunicaciones (DTIC) de la Secretaría de Desarrollo Urbano y Vivienda (SEDUVI), por
ser la unidad administrativa encargada de administrar el SIG-CIUDADMX y de resguardar la
infraestructura tecnológica (hardware, software y redes de datos) y demás sistemas
relacionados con la atención ciudadana en materia de servicios urbanos, según las atribuciones
y funciones previstas en los manuales administrativos de esa dependencia vigentes en 2018.
PROCEDIMIENTOS, RESULTADOS Y OBSERVACIONES
Evaluación del Control Interno
1. Resultado
A fin de evaluar el diseño y la efectividad del control interno implementado por la SEDUVI
y contar con una base para determinar la naturaleza, extensión y oportunidad de las pruebas
226 VOLUMEN 1/8
de auditoría, en cuanto al diseño, se analizaron las atribuciones de la dependencia, el marco
normativo y su manual administrativo vigentes en 2018; se aplicó un cuestionario de control
interno, en particular a servidores públicos de la SEDUVI responsables de las operaciones
y gobernanza de TIC, de la seguridad de la información, de la continuidad del servicio y
recuperación de desastres y del desarrollo y adquisición del SIG-CIUDADMX, en relación
con los cinco componentes del control interno (Ambiente de Control, Administración de Riesgos,
Actividades de Control Interno, Información y Comunicación, y Supervisión y Mejora Continua);
se requisitó la cédula de evaluación del ambiente de control con base en las respuestas
obtenidas; y se elaboraron tres matrices: una de riesgos, para identificar los riesgos a que
están sujetas las operaciones del rubro en revisión; otra de control, para analizar la
probabilidad de ocurrencia e impacto de cada riesgo; y una de unidades administrativas,
para determinar la participación conforme a las funciones y atribuciones de cada una de las
áreas de la dependencia relacionadas con las operaciones del rubro auditado.
En cuanto a la efectividad del control interno, durante la etapa de ejecución de la auditoría,
se aplicaron pruebas de controles y procedimientos sustantivos, que incluyeron pruebas de
detalle y procedimientos analíticos sustantivos, para determinar la idoneidad, eficacia, eficiencia
en la aplicación del control interno en las unidades administrativas, así como en los procesos,
funciones y actividades de la dependencia.
La evaluación se realizó tomando como referencia la Ley de Auditoría y Control Interno
de la Administración Pública de la Ciudad de México, publicada en la Gaceta Oficial de la
Ciudad de México núm. 146 Ter el 1o. de septiembre de 2017, y el Decreto por el que se
Reforman, Adicionan y Derogan, Diversas Disposiciones de la Ley de Auditoría y Control
Interno de la Administración Pública de la Ciudad de México, publicado en el mismo medio
el 27 de noviembre de 2018; los Lineamientos de Control Interno de la Administración Pública de
la Ciudad de México, publicados en la Gaceta Oficial de la Ciudad de México el 8 de enero
de 2018; el Manual del Proceso General de Fiscalización, en lo relativo a la evaluación del
ambiente de control; y el Modelo de Evaluación del Control Interno para la Fiscalización Superior
de la Cuenta Pública de la Ciudad de México de la Auditoría Superior de la Ciudad de México
(ASCM), elaborado con base en el Marco Integrado de Control Interno para ser aplicado a los
sujetos de fiscalización de la Ciudad de México, con objeto de diagnosticar el estatus de su
control interno establecido y proponer acciones de mejora dirigidas a su fortalecimiento.
227 VOLUMEN 1/8
Ambiente de Control
Se identificaron las unidades administrativas de la SEDUVI que estuvieron relacionadas
con las operaciones y gobernanza de TIC, la seguridad de la información, la continuidad
del servicio y recuperación de desastres y el desarrollo y adquisición del SIG-CIUDADMX;
las funciones, objetivos, actividades y procedimientos aplicados; las normas, procesos y estructura
orgánica que proporcionan la base para llevar a cabo el control interno en el sujeto fiscalizado,
así como la normatividad que proporciona disciplina y estructura para apoyar al personal
en la consecución de los objetivos institucionales; y se verificó si la dependencia estableció
y mantuvo un ambiente de control que implique una actitud de respaldo hacia el control
interno, como se indica a continuación:
1. En 2018, la SEDUVI contó con dos estructuras orgánicas autorizadas por la entonces
Oficialía Mayor del Gobierno de la Ciudad de México (OM) con los dictámenes
núms. D-SEDUVI-26/010916 y D-SEDUVI-10/010518. La primera estuvo vigente del
1o. de septiembre de 2016 al 30 de abril de 2018 y la segunda a partir del 1o. de mayo
al 31 de diciembre de 2018. Dichas estructuras orgánicas fueron notificadas al titular de
la SEDUVI con los oficios núms. OM/0464/2016 del 15 de agosto de 2016 y OM/0310/2018
del 30 de abril de 2018.
En la estructura orgánica núm. D-SEDUVI-26/010916 se previeron 105 plazas: 11 en
la oficina del Secretario, 61 en la Coordinación General de Desarrollo y Administración
Urbana, 17 en la Dirección General de Asuntos Jurídicos y 16 en la Dirección Ejecutiva
de Información y Sistemas.
En la estructura orgánica núm. D-SEDUVI-10/010518 se previeron 106 plazas, en la
misma cantidad y unidades administrativas indicadas en el párrafo anterior, excepto por
la oficina del Secretario, que pasó de 11 a 12 plazas en esta estructura.
2. En 2018, la SEDUVI contó con dos manuales administrativos. El primero fue
elaborado conforme al dictamen de estructura orgánica núm. 11/2010, registrado
por la Coordinación General de Modernización Administrativa (CGMA) con el
núm. MA-21/210715-D-SEDUVI-11/2010, notificado al titular de la dependencia mediante
228 VOLUMEN 1/8
el oficio núm. OM/CGMA/1350/2015 del 21 de julio de 2015, publicado en la Gaceta
Oficial del Distrito Federal núm. 154 el 13 de agosto de ese mismo año con el Aviso por
el cual se da a conocer el Manual Administrativo de la Secretaría de Desarrollo Urbano
y Vivienda, con número de registro MA-21/210715-D-SEDUVI-11/2010, difundido entre
el personal de la dependencia con 14 oficios del 13 de agosto de 2015 y vigente del
1o. de enero al 12 de noviembre de 2018.
El segundo manual administrativo fue elaborado conforme a la estructura orgánica
núm. D-SEDUVI-10/010518; registrado por la CGMA con el número de registro
MA-18/291018-D-SEDUVI-10/010518; notificado al titular de la dependencia mediante
el oficio núm. OM/CGMA/3045/2018 del 29 de octubre de 2018; publicado en la Gaceta
Oficial de la Ciudad de México núm. 451 el 13 de noviembre de 2018, con el Aviso por
el cual se da a conocer el enlace electrónico donde se puede consultar el Manual
Administrativo de la Secretaría de Desarrollo Urbano y Vivienda con número de registro
MA-18/291018-D-SEDUVI-10/010518, el cual es http://www.sideo.cdmx.gob.mx/
index.php/portal/portal_c/detalleEstructura/12; difundido entre el personal de la dependencia
mediante 15 oficios del 13 de noviembre de 2018; y vigente del 13 de noviembre de 2018
al 31 de diciembre de 2018.
Los manuales citados consideraron los objetivos, funciones, atribuciones y responsabilidades
de los servidores públicos adscritos a las unidades administrativas que conforman
la dependencia y se encuentran integrados por los apartados de marco jurídico de
actuación; atribuciones; misión, visión y objetivos institucionales; organigrama de la estructura
básica; organización, procesos y procedimientos; glosario; y aprobación del manual
administrativo.
3. La SEDUVI contó con un código de ética, publicado en la Gaceta Oficial del Distrito Federal
el 9 de julio de 2014 y, a partir de 2019, con un código de conducta publicado en la
Gaceta Oficial de la Ciudad de México el 28 de mayo de 2019, con unidades administrativas
encargadas de cumplir las obligaciones en materia de transparencia y acceso a la
información, fiscalización y rendición de cuentas y armonización contable, así como de
administrar los recursos humanos y financieros y los sistemas informáticos, para lo cual
implementó procedimientos específicos que se formalizaron con su registro en la CGMA
229 VOLUMEN 1/8
y se incorporaron a su manual administrativo; y con un programa de capacitación, no
obstante, careció de mecanismos de control efectivos para asegurarse de que, en el
ejercicio de sus funciones, su personal se ajustara al código de ética vigente en 2018.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia de que el personal de la dependencia se ajustara, en el ejercicio
de sus funciones, al código de ética vigente en 2018, por lo que la observación prevalece.
Con base en lo anterior, se determinó que la SEDUVI contó con una estructura orgánica,
un manual administrativo dictaminado por la CGMA y con unidades administrativas encargadas
de dar cumplimiento a las obligaciones en materia de transparencia y acceso a la información,
fiscalización y rendición de cuentas y armonización contable, así como con un programa de
capacitación, un código de ética y, a partir de 2019, con un código de conducta; por lo que
ha establecido y mantuvo un ambiente de control que implicó una actitud de respaldo hacia
el control interno; no obstante que aportó evidencia documental que acredita que estableció
mecanismos para que el personal de la dependencia, en el ejercicio de sus funciones se
sujetara al código de ética.
Administración de Riesgos
Se revisó si la SEDUVI contó con un Comité de Administración de Riesgos y Evaluación de
Control Interno (CARECI) que le haya permitido desarrollar respuestas al riesgo, así como
administrarlo y controlarlo; y con un Órgano Interno de Control que la vigile y, en su caso,
que hubiese practicado auditorías al rubro auditado, como se indica a continuación:
1. La SEDUVI contó con un CARECI, el cual fue constituido en enero de 2018; con unidades
administrativas encargadas de atender, dar seguimiento y cumplir las obligaciones en
materia de transparencia y acceso a la información; con un portal de transparencia y
ventanilla única en el sitio web de la dependencia; con un área de armonización contable;
y con un área para la administración de recursos humanos y financieros.
En el CARECI participó el OIC en la dependencia; tuvo un Programa de Revisión de Control
Interno, integrantes nombrados y ratificados, y un manual de integración y funcionamiento;
230 VOLUMEN 1/8
y en su operación dio seguimiento a las observaciones determinadas por el OIC en las
revisiones de control interno practicadas y en áreas identificadas de alto riesgo, derivado
de lo cual propició la implementación de controles internos.
2. El OIC en la SEDUVI, adscrito a la Secretaría de la Contraloría General de la Ciudad de
México (SCGCDMX), dispuso de atribuciones para inspeccionar y vigilar que la dependencia
cumpliera las normas y disposiciones en materia de información, estadística, organización,
procedimientos, sistemas de registro y contabilidad, contratación y pago de personal,
contratación de servicios, obra pública, adquisiciones, arrendamientos, conservación,
uso, destino, afectación, enajenación y baja de bienes muebles e inmuebles, almacenes y
demás activos; y en su Programa de Auditorías no consideró revisiones a la dependencia
relativas al SIG-CIUDADMX por el ejercicio de 2018, ni realizó auditorías de control interno.
Asimismo, en la revisión del Programa Anual de Control Interno (PACI) de la dependencia,
proporcionado por la SCGCDMX, se observó que no consideró revisiones de control
interno relacionadas con el rubro en revisión.
Con base en lo anterior, se determinó que la dependencia contó con mecanismos efectivos
que le permitieron controlar sus operaciones consistentes en un CARECI que propició el
desarrollo de respuestas al riesgo, así como su administración y control; con un OIC que la
vigiló, el cual no auditó al rubro examinado en el ejercicio de 2018 ni realizó auditorías de control
interno a la dependencia; y con un PACI en el que se implementaron tres programas de
control interno que no guardan relación con el SIG-CIUDADMX.
Actividades de Control Interno
Se verificó si la SEDUVI contó con procedimientos que le hayan permitido prevenir, minimizar
y responder a los riesgos que pudieran afectar el cumplimiento y logro de los objetivos del
rubro en revisión y asegurarse de la eficacia y eficiencia de las operaciones; y si contó con
actividades de control para cerciorarse de que los informes y reportes que genera el sujeto
fiscalizado sean presentados oportunamente y con información confiable, como se indica a
continuación:
231 VOLUMEN 1/8
1. En 2018, la SEDUVI incluyó 68 procedimientos en el manual administrativo con número
de registro MA-21/210715-D-SEDUVI-11/2010; y 91 procedimientos integrados en el
manual administrativo con número de registro MA-18/291018-D-SEDUVI-10/010518.
Del total de 159 procedimientos que estuvieron vigentes en el ejercicio auditado, 17
tienen relación con las operaciones del rubro sujeto a revisión y son los que se describen
a continuación:
La SEDUVI no contó con procedimientos establecidos en su manual administrativo que
regularan la seguridad de la información.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia de las gestiones realizadas para la elaboración de procedimientos que
regulen la seguridad de la información, por lo que la observación prevalece.
Control general de TIC Nombre del procedimiento
Operaciones de TIC “Desarrollo e Implementación de Sistemas Informáticos” “Desarrollo de Sistemas Informáticos” “Atención de Servicios Específicos de Sistemas” “Atención de Servicios Informáticos Específicos de Prospección Tecnológica”
Gobernanza de TIC “Administración de Inventario de Equipo de Cómputo” Continuidad del servicio y recuperación de desastres
“Mantenimiento Correctivo y Perfectivo de Sistemas” “Actualización del Sistema de Información Geográfica CIUDADMX en materia de Normatividad de Uso de Suelo” “Actualización del Sistema de Información Geográfica CIUDADMX en Información Catastral y Cartográfica” “Atención de Solicitudes de Soporte Técnico y Telefonía” “Actualización del Sistema CIUDADMX en materia de Normatividad de Uso de Suelo” “Actualización del Sistema de Información para la Evaluación del Desarrollo Urbano (SIEDU)” “Actualización del Sistema de Información Geográfica (SIG) CIUDADMX” “Mantenimiento de Sistemas Informáticos” “Atención de Solicitudes de Soporte Técnico, Redes y Telefonía”
Desarrollo y adquisición de TIC
“Solicitud de Dictamen Técnico” “Plan de Desarrollo en Tecnologías de la Información” “Plan Estratégico de Tecnologías de la Información y Comunicaciones”
232 VOLUMEN 1/8
Por no contar con procedimientos establecidos en su manual administrativo que regularan
las actividades relacionadas con la seguridad de la información ni delimitaran las
responsabilidades de los servidores públicos que las llevarían a cabo, la SEDUVI incumplió
el lineamiento Quinto, fracción II, de los Lineamientos Generales para el Registro
de Manuales Administrativos y Específicos de Operación de la Administración Pública de
la Ciudad de México, publicados en la Gaceta Oficial de la Ciudad de México núm. 334
el 1o. de junio de 2018, en relación con el numeral 7.4.1, “Procedimientos”, primer y tercer
párrafos, del apartado 7, “Organización, Procesos y Procedimientos”, del capítulo III,
“Elaboración e Integración del Manual Administrativo y Específico de Operación”, de la
Guía Técnica y Metodológica para la Elaboración e Integración de los Manuales
Administrativos y Específicos de Operación de la Administración Pública de la Ciudad de
México publicada en la Gaceta Oficial de la Ciudad de México núm. 17 el 28 de febrero
de 2017, ambos vigentes en 2018.
El lineamiento Quinto, fracción II, de los Lineamientos Generales para el Registro de
Manuales Administrativos y Específicos de Operación de la Administración Pública
de la Ciudad de México, vigentes en 2018, establece lo siguiente:
“Quinto. Los Órganos de la Administración Pública y los Órganos Administrativos tendrán
las siguientes obligaciones, según corresponda: [...]
”II. Cumplir con los criterios, requisitos, plazos, mecanismos y formalidades del proceso
de registro, establecidos en los presentes Lineamientos, la Guía Técnica y Metodológica
y demás instrumentos técnicos, tecnológicos, jurídicos o administrativos que emitan la
Oficialía o la Coordinación General.”
El numeral 7.4.1, “Procedimientos”, primer y tercer párrafos, del apartado 7, “Organización,
Procesos y Procedimientos”, del capítulo III, “Elaboración e Integración del Manual
Administrativo y Específico de Operación”, de la Guía Técnica y Metodológica para la
Elaboración e Integración de los Manuales Administrativos y Específicos de Operación
de la Administración Pública de la Ciudad de México, vigente en 2018, establece:
“7. Organización, Procesos y Procedimientos
233 VOLUMEN 1/8
”El apartado de organización, procesos y procedimientos refleja la parte medular del
manual administrativo, el ¿qué hace? y ¿cómo lo hace?, y para su desarrollo se
considerarán los siguientes elementos: [...]
”7.4.1 Procedimientos
”Un procedimiento es un curso de actividades secuenciales, precisas y vinculadas entre
sí que describen la forma de realizar algo. Los procedimientos en el contexto de los
Manuales [Administrativos] son la base de las operaciones que derivan de los procesos
institucionales de los Órganos de la Administración Pública […]
”Es importante señalar que los procedimientos norman el funcionamiento interno de la
organización, por lo que únicamente aplican para delimitar las responsabilidades de las
personas servidoras públicas que participan en su desarrollo.”
2. La SEDUVI contó con el SIG-CIUDADMX para consulta en línea del uso del suelo del
territorio de la Ciudad de México.
3. De acuerdo con las respuestas al cuestionario de control interno y con la información y
documentación analizadas, la SEDUVI dispuso de actividades de control para asegurarse
de que los informes y reportes que genera fueran presentados oportunamente y con
información confiable a las diferentes instancias del Gobierno de la Ciudad de México.
Con base en lo anterior, se determinó que la SEDUVI contó con mecanismos de control
efectivos incluidos en sus procedimientos que le permitieron prevenir, minimizar y responder a
los riesgos que pudieran afectar el cumplimiento y logro de sus objetivos del rubro sujeto
a revisión y asegurarse de la eficacia y eficiencia de la operación y gobernanza de TIC, así
como de la continuidad del servicio y recuperación de desastres y el desarrollo y adquisición
de TIC para la administración y uso del SIG-CIUDADMX, también asegurarse de que los
informes y reportes que generó el sujeto fiscalizado fueran presentados oportunamente y
con información confiable; sin embargo, no reguló las actividades a realizar en relación con
la seguridad de la información ni delimitó las responsabilidades de los servidores públicos
que llevarían a cabo esas actividades, por no contar con procedimientos en su manual
234 VOLUMEN 1/8
administrativo, lo cual ocasionó la probabilidad de fallas en salvaguardar, preservar y mantener
la integridad, disponibilidad, confidencialidad, autenticidad de la información, como se detalla
en el resultado núm. 4 del presente informe.
Información y Comunicación
Se revisó si la SEDUVI contó con líneas de comunicación e información reguladas entre los
mandos medios y superiores con las personas servidoras públicas a su cargo que le permitieron
comunicarles sus responsabilidades, así como los objetivos y metas institucionales; y si
generó información necesaria, oportuna, veraz y suficiente, tanto al interior como al exterior
de la dependencia, como se indica a continuación:
1. De acuerdo con las respuestas al cuestionario de control interno y con la información y
documentación analizadas, la SEDUVI contó con líneas de comunicación e información
reguladas entre los mandos medios y superiores con el personal a su cargo que le permitieron
comunicarles sus responsabilidades, así como los objetivos y metas institucionales.
2. El sujeto fiscalizado generó reportes e informes sobre la gestión de los recursos humanos
y financieros, así como en materia de transparencia y acceso a la información, fiscalización,
rendición de cuentas y contabilidad gubernamental, y de los sistemas informáticos.
3. La dependencia informó que no contó con el Sistema de Armonización de Información
y Control (SAIC) para dar seguimiento a los controles internos verificados en las revisiones
de la SCGCDMX.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia de haber dado seguimiento a los controles internos verificados
en las revisiones de la SCGCDMX por medio del SAIC, por lo que la observación prevalece.
Con base en lo anterior, si bien la dependencia indicó que no dispuso del SAIC, si contó
con mecanismos que le permitieron asegurarse de la generación de información necesaria,
oportuna, veraz y suficiente tanto al interior como al exterior; y derivado de la aplicación de
pruebas de controles y procedimientos sustantivos en la fase de ejecución de la auditoría,
235 VOLUMEN 1/8
se confirmó la efectividad de dichos mecanismos, ya que la SEDUVI no presentó deficiencias
en la generación y presentación de informes al exterior.
Supervisión y Mejora Continua
Se verificó si los manuales administrativos de la SEDUVI consideraron actividades de supervisión
a fin de verificar si las operaciones institucionales relacionadas con el rubro en revisión se
ajustaron a las líneas de mando y actividades establecidas en los citados manuales
administrativos, como se indica a continuación:
1. Según las respuestas al cuestionario de control interno y la información y documentación
analizadas, la dependencia no promovió el seguimiento y mejora de los controles internos, y
no supervisó que las operaciones relacionadas con el rubro en revisión cumplieran sus
objetivos para el ejercicio de 2018.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia de haber promovido el seguimiento y mejora de los controles
internos ni de la supervisión de que las operaciones relacionadas con el rubro en revisión
cumplieran sus objetivos para el ejercicio de 2018, por lo que la observación prevalece.
2. El CARECI de la SEDUVI contó con planes y programas para supervisar las actividades
de control interno; sin embargo, no estableció controles para supervisar las actividades del
rubro en revisión o aquéllas susceptibles de corrupción, no llevó a cabo autoevaluaciones
para el mejor desarrollo del control interno y cumplimiento de metas y objetivos, ni elaboró
un programa de acciones para resolver las problemáticas detectadas.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia de haber establecido controles para supervisar las actividades del
rubro en revisión o aquéllas susceptibles de corrupción, de haber llevado a cabo
autoevaluaciones para el desarrollo del control interno y cumplimiento de metas y
objetivos ni de haber elaborado un programa de acciones para resolver las problemáticas
detectadas, por lo que la observación prevalece.
236 VOLUMEN 1/8
3. La SEDUVI emprendió acciones para que las actividades relacionadas con la operación
del rubro auditado permitieran el cumplimiento de las funciones y atribuciones encomendadas
y de la normatividad aplicable.
4. La SEDUVI supervisó periódicamente las actividades de los servidores públicos, desde
nivel operativo hasta mandos medios, con el fin de cerciorarse de que las actividades
del rubro en revisión se ejecutaran conforme a la normatividad aplicable.
Con base en lo anterior, se identificó que la SEDUVI diseñó mecanismos de control orientados
a asegurar el seguimiento y mejora de los controles internos, contó con planes y programas
para supervisar las actividades de control interno y ejecutar las actividades conforme a la
normatividad aplicable; asimismo, el CARECI, conforme a sus funciones y atribuciones, permitió
que la dependencia contara con mecanismos que definieron los tramos de responsabilidad;
sin embargo, dichos mecanismos no son efectivos, ya que no se promovió el seguimiento y
mejora de los controles internos, y la supervisión de las operaciones del rubro en revisión ni llevó
a cabo autoevaluaciones para el desarrollo del control interno y cumplimiento de metas y objetivos.
Por lo expuesto, se determinó que el diseño del control interno de la SEDUVI no es apropiado,
toda vez que el sujeto fiscalizado cuenta principalmente con riesgos controlados y de
seguimiento, no obstante que se observaron deficiencias en el componente Ambiente de Control,
pues no aportó evidencia documental de que estableció mecanismos para que personal de
la dependencia, en el ejercicio de sus funciones, se ajustara al código de conducta; en el
componente Actividades de Control Interno, ya que no contó con procedimientos establecidos
en el manual de administrativo que regularan la seguridad de la información; en el
componente Información y Comunicación, toda vez que no contó con el SAIC; y en el componente
Supervisión y Mejora Continua, pues la dependencia no promovió el seguimiento y mejora
de los controles internos, no estableció controles para supervisar las actividades susceptibles de
corrupción y no llevó a cabo autoevaluaciones para el desarrollo del control interno y el
cumplimiento de metas y objetivos.
En cuanto a su efectividad, el control interno de la SEDUVI no es apropiado, ya que la
dependencia careció de procedimientos en su manual administrativo que regularan la seguridad de
237 VOLUMEN 1/8
la información, lo que implicó que se materializaran riesgos con un impacto en el componente
Actividades de Control Interno, como se detalla en el resultado núm. 4 del presente informe.
Como resultado del estudio y evaluación del control interno y con base en las herramientas
utilizadas, se determinó que el control interno del sujeto fiscalizado no es apropiado, pues aunque
en su diseño propició el cumplimiento de la normatividad, por no contar con procedimientos en su
manual administrativo para regular la seguridad de la información, existe un riesgo en la
protección de la información contenida en el SIG-CIUDADMX ante la pérdida de confidencialidad,
integridad y disponibilidad a un nivel aceptable, que impacta en el logro de los objetivos de
la SEDUVI.
En el informe de la auditoría ASCM/3/18 practicada a la SEDUVI, resultado núm. 1,
recomendación ASCM-3-18-1-SEDUVI, se considera el mecanismo para asegurar que el
personal de la dependencia en el ejercicio de sus funciones se apegue al código de ética
vigente, por lo que se dará tratamiento a dicha circunstancia como parte del seguimiento de la
recomendación citada.
En el informe de la auditoría ASCM/3/18 practicada a la SEDUVI, resultado núm. 1,
recomendación ASCM-3-18-3-SEDUVI, se considera el mecanismo para asegurar que la
dependencia promueva el seguimiento y mejora de los controles internos y la supervisión de las
operaciones, por lo que se dará tratamiento a dicha circunstancia como parte del seguimiento de
la recomendación citada.
En el informe de la auditoría ASCM/3/18 practicada a la SEDUVI, resultado núm. 1,
recomendación ASCM-3-18-4-SEDUVI, se considera el mecanismo para asegurar que su
CARECI establezca controles para supervisar las actividades de control interno que realiza;
lleve a cabo autoevaluaciones para el mejor desarrollo del control interno; dé seguimiento
al cumplimiento de metas y objetivos; y elabore un programa de acciones para resolver las
problemáticas detectadas, a fin de fortalecer su control interno, por lo que se dará tratamiento a
dicha circunstancia como parte del seguimiento de la recomendación citada.
238 VOLUMEN 1/8
Recomendación ASCM-5-18-1-SEDUVI
Es necesario que la Secretaría de Desarrollo Urbano y Vivienda establezca mecanismos
de control y supervisión para asegurarse de que se implementen procedimientos que regulen
las actividades relacionadas con la seguridad de la información y delimiten las responsabilidades
de los servidores públicos que las llevarán a cabo en el Sistema de Información Geográfica del
Centro de Información Urbana para el Desarrollo y Administración de la Ciudad de México,
en cumplimiento de la normatividad aplicable.
Recomendación ASCM-5-18-2-SEDUVI
Es conveniente que la Secretaría de Desarrollo Urbano y Vivienda implemente mecanismos
para asegurar el seguimiento de los controles internos verificados en las revisiones realizadas
por la Secretaría de la Contraloría General por medio del Sistema de Armonización de
Información y Control.
Operaciones de TIC
2. Resultado
Con objeto de verificar que los controles permitieran una gestión efectiva, eficaz y eficiente
para la operación del SIG-CIUDADMX, en cumplimiento de la normatividad relativa a la gestión
de la información (entrada, procesamiento y almacenamiento de datos) para asegurarse de
que sea confidencial, disponible e íntegra; que los enlaces de datos hayan brindado soporte
al sistema para asegurar una adecuada operación de TIC, así como haber llevado a cabo
encuestas de satisfacción en servicio a los usuarios finales, la ASCM llevó a cabo inspecciones,
entrevistas y pruebas de auditoría. Al respecto, se determinó lo siguiente:
1. Con el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la Dirección
General de Administración y Finanzas en la SEDUVI adjuntó lo siguiente:
a) El Acuerdo de Niveles de Servicio (SLA, Service Level Agreement, por sus siglas
en inglés), que indica: “… los servicios informáticos, de infraestructura y comunicaciones
[serán proporcionados por] la Secretaría de Finanzas (SEFIN) a través de la Dirección
239 VOLUMEN 1/8
General de Informática (DGI) a la Secretaría de Desarrollo Urbano y Vivienda (SEDUVI)
por medio de la Dirección de Tecnologías de Información y Comunicaciones (DTIC)”.
Al respecto, el 6 de agosto de 2019 se realizó una inspección al centro de datos de
la Secretaría de Administración y Finanzas (SAF), antes Secretaría de Finanzas,
donde se alojan los servidores de la SEDUVI, y se observó que éstos se encuentran
instalados en el suelo y el personal de la Subdirección de Sistemas de Información
de la SEDUVI puede acceder al servidor mediante escritorio remoto; y que en ocasiones
hay problemas con la conexión remota y no es posible acceder al servidor, por lo que es
necesaria la intervención del personal de la SAF, para restablecer el servicio, lo que
representa un riesgo en la efectividad y eficacia de la operación del SIG-CIUDADMX.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la
SEDUVI no presentó evidencia documental de contar con una conexión de acceso
remoto al servidor que asegure una operación efectiva y eficaz del SIG-CIUDADMX,
por lo que la observación prevalece.
Por presentar problemas en la conexión de escritorio remoto, la SEDUVI incumplió
el artículo 14 de la Ley de Gobierno Electrónico del Distrito Federal, publicada en
la Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de 2015, vigente en 2018,
que señala:
“Artículo 14. Los instrumentos para operar el Gobierno Electrónico deberán responder
a los criterios de efectividad, eficiencia, confidencialidad, integridad, disponibilidad
y accesibilidad.”
b) El manual interno “Guía de Usuario de Sistema Información Geográfica de la Ciudad
de México SIG-CIUDADMX”, tiene como objetivo describir “paso a paso las funciones
que le ayudarán a explotar al máximo las potencialidades del sistema, que son
herramientas útiles para obtener de manera oportuna resultados para la toma de
decisiones”, e incluye los apartados Introducción, Entorno gráfico de sistema SIG-
CIUDADMX y Control de cambios para aplicaciones.
240 VOLUMEN 1/8
c) El manual técnico “Documentación Técnico de Sistema Información Geográfica de
la Ciudad de México SIG-CIUDADMX”, incluye los apartados Introducción, Objetivo,
Requerimientos del Sistema, Diccionario de Datos (Repositorio de Metadatos),
Ubicación del Sistema SIG-CIUDADMX, Arquitectura General de SIG-CIUDADMX
y Control de Cambios para Aplicaciones.
d) Un video tutorial publicado en el sitio web del sistema sobre el uso y navegación de
éste.
La normatividad proporcionada cumplió lo establecido en el artículo 13; inciso 7.1.1,
“Documentación de los procedimientos operativos”; apartado 7, “Seguridad de las
operaciones”, de las Normas Generales que deberán observarse en materia de Seguridad
de la Información en la Administración Pública del Distrito Federal, publicadas en la
Gaceta Oficial del Distrito Federal núm. 121 el 9 de julio de 2007, vigentes en 2018.
2. De acuerdo con la entrevista realizada el 5 de agosto de 2019 a la Dirección de Sistemas
de Geomática Urbana y la Subdirección de Desarrollo Geomático, la dependencia no llevó
a cabo sesiones de capacitación para la operación y gestión del SIG-CIUDADMX.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia de haber llevado a cabo sesiones de capacitación, en el ámbito
de su respectiva competencia, para la operación y gestión del SIG-CIUDADMX, por lo
que la observación prevalece.
Por no capacitar a los servidores públicos encargados de la operación y gestión del
SIG-CIUDADMX, la SEDUVI incumplió el artículo 19 de la Ley de Gobierno Electrónico
del Distrito Federal, publicada en la Gaceta Oficial del Distrito Federal núm. 192 el
7 de octubre de 2015, vigente en 2018, que señala:
“Artículo 19. Cada uno de los Órganos de la Administración Pública, en el ámbito de
sus respectivas competencias, propiciará la capacitación de los servidores públicos a su
cargo en materia de tecnologías de la información y comunicaciones.”
3. En las inspecciones realizadas el 5 y 6 de agosto de 2019 a la Dirección de Sistemas
de Geomática Urbana y la Subdirección de Sistemas de Información, se observó que
241 VOLUMEN 1/8
el SIG-CIUDADMX se encuentra hospedado en un servidor con sistema operativo Windows
Server versión 2003 R2 Standard x64 Edition, y utiliza el sistema de gestión de base
de datos SQL Server versión 2005; y que de acuerdo con el sitio
https://www.microsoft.com/. Dichas versiones dejaron de recibir soporte y actualizaciones por
parte del desarrollador, para el caso del sistema operativo los servicios finalizaron el
14 de julio de 2015 y para el sistema manejador de bases de datos, el 9 de julio de 2019.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia de haber gestionado las acciones necesarias para la actualización del
soporte técnico y garantizar un servicio efectivo, eficaz y eficiente en el funcionamiento de
los sistemas y de las aplicaciones alojadas en el servidor, por lo que la observación
prevalece.
Por no actualizar el soporte técnico que garantice un servicio efectivo, eficaz y eficiente
en el funcionamiento de los sistemas y de las aplicaciones que se encuentren alojadas en
los servidores que operan bajo estas plataformas, la SEDUVI incumplió el artículo 14
de la Ley de Gobierno Electrónico del Distrito Federal, publicada en la Gaceta Oficial
del Distrito Federal núm. 192 el 7 de octubre de 2015, vigente en 2018.
4. Se constató la operatividad y actualización de los registros de la base de datos del SIG-
CIUDADMX, mediante el uso del DBMS (Data Base Management System, por sus siglas
en inglés, Sistema Manejador de Base de Datos) MySQL, mediante la función rand,
al encontrar en el buscador del sistema las cartografías de las 50 cuentas prediales
seleccionadas de forma aleatoria como muestra del padrón de contribuyentes del Impuesto
Predial, integrado por 2,315,036 cuentas.
5. En la entrevista realizada el 9 de agosto de 2019 al titular de la Dirección General
de Control y Administración Urbana, se proporcionó el oficio
núm. SEDUVI/DGCAU/SCRRT/3525/2019 del 8 de julio de 2019, con el cual la Subdirección
de Control de Reserva y Registro Territorial solicitó a la Dirección de Sistemas de Geomática
Urbana, ambas de la SEDUVI, la actualización de la información de un predio con la
cuenta catastral 035-538-01.
242 VOLUMEN 1/8
Al respecto, con el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019,
la Dirección General de Administración y Finanzas en la SEDUVI remitió el oficio
núm. SEDUVI/CGDAU/DPCU/2443/2018 del 22 de junio de 2018, con el cual la Dirección de
Patrimonio Cultural Urbano solicitó a la Subdirección de Prospección Tecnológica, ambas
de la SEDUVI, la actualización de la información patrimonial de un inmueble en el
sistema SIG-CIUDADMX, de cuyo análisis se constató la actualización del predio por
medio de la visualización de la información en el SIG-CIUDADMX.
6. En la inspección realizada el 5 de agosto de 2019 a la operación del sistema, se observó
que la base de datos del SIG-CIUDADMX no está normalizada, es decir, no cuenta con
reglas que eviten la redundancia de los datos, lo que representa un riesgo de integridad
de la información para el proceso de actualización de la base de datos.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia documental de las reglas que eviten la redundancia de los datos
en las bases de datos con las que opera el SIG-CIUDADMX, por lo que la observación
prevalece.
Por no contar, en la base de datos, con reglas que eviten la redundancia de los datos,
la SEDUVI incumplió el artículo 8, fracción III, de las Normas Generales que deberán
observarse en materia de Seguridad de la Información en la Administración Pública
del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal núm. 121
el 9 de julio de 2007, vigente en 2018, que señala:
“Artículo 8. Los titulares de las dependencias […] de la Administración Pública del Distrito
Federal deberán asegurarse del correcto tratamiento de la información, cerciorándose
de la confiabilidad y pertinencia de la misma con el propósito, de establecer: […]
”III. Protección contra modificaciones no autorizadas, errores e inexactitudes (integridad).”
7. Mediante el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la Dirección
General de Administración y Finanzas en la SEDUVI remitió la información referente a
la contratación del servicio de internet, en cuyo análisis se identificó que la dependencia
adquirió el servicio de internet mediante el contrato núm. DAT-02-2018 del 31 de diciembre
243 VOLUMEN 1/8
de 2017, cuyo objeto fue la “Contratación consolidada del servicio de acceso a internet,
redes y procesamiento de información, que requieren las unidades administrativas
adheridas del gobierno de la Ciudad de México para el período del 01 de enero al
31 de enero de 2018”.
En la entrevista efectuada en la Subdirección de Sistemas de Información y en la inspección
al enlace de datos que da servicio al SIG-CIUDADMX, ambas con fecha 5 de agosto
de 2019, la dependencia acreditó contar con un servicio de 20 Mb utilizado como red
virtual privada (VPN, por sus siglas en inglés, Virtual Private Network), para establecer
comunicación directa con el servidor donde se encuentra alojado el SIG-CIUDADMX,
en cumplimiento del artículo 35 de la Ley de Gobierno Electrónico del Distrito Federal,
publicada en la Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de 2015,
vigente en 2018.
8. En la entrevista realizada el 5 de agosto de 2019 al titular de la Dirección de Sistemas
de Geomática Urbana y la Subdirección de Desarrollo Geomático, así como en la inspección
al sitio web http://ciudadmx.cdmx.gob.mx:8080/seduvi/ llevada a cabo el día 8 de agosto
de 2019, donde se encuentra hospedado el SIG-CIUDADMX, se verificó que el sitio web
no cuenta con un apartado o sección de encuestas de satisfacción a usuarios finales.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia documental de haber realizado encuestas de satisfacción a los
usuarios finales del SIG-CIUDADMX, por lo que la observación prevalece.
Por no realizar encuestas de satisfacción a los usuarios finales del SIG-CIUDADMX, la
SEDUVI incumplió el artículo 31 de la Ley de Gobierno Electrónico del Distrito Federal,
publicada en la Gaceta Oficial del Distrito Federal núm. 192 el 7 de octubre de 2015,
vigente en 2018, que señala:
“Artículo 31. Los Órganos de la Administración Pública desarrollarán metodologías […]
que incluyan la evaluación y monitoreo, para generar estrategias de gestión como parte
del proceso de formación y mejora [continua]”.
244 VOLUMEN 1/8
Se concluye que la SEDUVI contó con un manual de usuario, un manual técnico y un video
tutorial, en los que se describen el uso, navegación y características del SIG-CIUDADMX y
con un enlace de datos dentro de una red tipo VPN para la operación y administración de
éste; sin embargo, en ocasiones el sistema presenta problemas de conexión remota con el
servidor, por lo que ha sido necesaria la intervención de personal de la SAF, para restablecer
el servicio y los servidores de la SEDUVI instalados en el centro de datos de la SAF que se
encuentran en el suelo; no se realizaron sesiones de capacitación para la operación y gestión del
SIG-CIUDADMX; el servidor en donde se hospeda el sistema ha dejado de recibir soporte y
actualizaciones en el sistema operativo y de gestión de base de datos; la base de datos del
SIG-CIUDADMX no contó con reglas que eviten la redundancia de los datos, lo que
representa posibles fallas en la integridad de la información contenida en la base de datos; y
no se realizaron encuestas de satisfacción del servicio a los usuarios finales de dicho sistema.
Recomendación ASCM-5-18-3-SEDUVI
Es necesario que la Secretaría de Desarrollo Urbano y Vivienda implemente mecanismos
de control y supervisión para asegurarse de que los instrumentos (conexión remota, sistema
operativo y de gestión de base de datos del servidor) del Sistema de Información Geográfica
del Centro de Información Urbana para el Desarrollo y Administración de la Ciudad de
México sean efectivos, eficientes y estén actualizados, con objeto de minimizar la probabilidad
de ocurrencia de fallas en la seguridad de las aplicaciones y operaciones del sistema,
conforme a la normatividad aplicable.
Recomendación ASCM-5-18-4-SEDUVI
Es necesario que la Secretaría de Desarrollo Urbano y Vivienda implemente mecanismos
de control y supervisión para asegurarse de que, en el ámbito de su respectiva competencia,
se cuente con un programa de capacitación para la gestión y operación del Sistema de
Información Geográfica del Centro de Información Urbana para el Desarrollo y Administración
de la Ciudad de México, en cumplimiento de la Ley de Gobierno Electrónico del Distrito Federal.
245 VOLUMEN 1/8
Recomendación ASCM-5-18-5-SEDUVI
Es necesario que la Secretaría de Desarrollo Urbano y Vivienda implemente mecanismos
de control y supervisión para asegurarse de que las bases de datos con las que opera el
Sistema de Información Geográfica del Centro de Información Urbana para el Desarrollo y
Administración de la Ciudad de México cuenten con reglas para evitar la redundancia de
los datos, en cumplimiento de las Normas Generales que deberán observarse en materia
de Seguridad de la Información en la Administración Pública del Distrito Federal.
Recomendación ASCM-5-18-6-SEDUVI
Es necesario que la Secretaría de Desarrollo Urbano y Vivienda implemente mecanismos
de control y supervisión para asegurarse de que, como parte del proceso de mejora continua,
se realicen encuestas de satisfacción del servicio a los usuarios finales del Sistema de Información
Geográfica del Centro de Información Urbana para el Desarrollo y Administración de la
Ciudad de México, en cumplimiento de la Ley de Gobierno Electrónico del Distrito Federal.
Gobernanza de TIC
3. Resultado
Con objeto de evaluar si los controles relativos a gobernanza de las TIC están ajustados a
las normas y buenas prácticas, y que se cuente con procedimientos que permitan el adecuado
desempeño del SIG-CIUDADMX y con un área responsable de administrarlo, la ASCM
realizó entrevistas, inspecciones y pruebas informáticas. En ellas, se determinó lo siguiente:
1. Mediante el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la Dirección
General de Administración y Finanzas en la SEDUVI remitió el Manual de Política de
Seguridad de la Información de la Secretaría de Desarrollo Urbano y Vivienda, en cuyo
análisis se constató que indica las políticas de seguridad de la información y que su
contenido y estructura fue conforme a los artículos 2 y 13 de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal
núm. 121 el 9 de julio de 2007, vigentes en 2018.
246 VOLUMEN 1/8
2. Con el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la Dirección
General de Administración y Finanzas en la SEDUVI proporcionó la documentación
relativa a la existencia de procedimientos que permitan el adecuado desempeño del
SIG-CIUDADMX, de cuyo análisis se tuvo conocimiento de que su manual administrativo
contó con el procedimiento “Actualización del Sistema de Información Geográfica (SIG)
CIUDADMX”, cuyo objetivo es “mantener optimizado y actualizado el Sistema de
Información Geográfica, mediante la actualización del registro de predios de la Ciudad
de México en el sistema CIUDADMX”; y con el documento “Diseño conceptual del DRP-
SEDUVI”, donde se establecieron procedimientos para la realización de respaldos y
restauración de las bases de datos, en cumplimiento del artículo 13, objetivo de la
norma 7.4.2, “Procedimientos para el manejo de información”, de las Normas Generales
que deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal el
9 de julio de 2007, vigente en 2018.
3. Mediante el oficio núm. ACF-A/19/0505 del 21 de junio de 2019, la ASCM solicitó el
manual administrativo vigente en 2018 y realizó entrevistas en la Dirección de Sistemas
de Geomática Urbana y en la Subdirección de Sistemas de Información el 5 de agosto de
2019 en relación con el manual administrativo. En respuesta, con el oficio
núm. SEDUVI/DGAF/1512/2019 del 8 de julio de 2019, la Dirección General de Administración
y Finanzas en la SEDUVI remitió la información, de cuyo análisis se observó que en
2018 el área encargada de administrar el SIG-CIUDADMX fue la DTIC, en cumplimiento
del artículo 32 de la Ley de Gobierno Electrónico del Distrito Federal publicada en la
Gaceta Oficial del Distrito Federal el 7 de octubre de 2015, vigente en 2018.
Se concluye que la SEDUVI acreditó contar con un documento referente a políticas de
seguridad de información, con base en el artículo 13 de las Normas Generales que deberán
observarse en materia de Seguridad de la Información en la Administración Pública del
Distrito Federal; con procedimientos para actualizar el sistema y para la realización de respaldos
y restauración de las bases de datos; y con la DTIC como área encargada de administrar
el SIG-CIUDADMX.
247 VOLUMEN 1/8
Seguridad de la Información
4. Resultado
Con la finalidad de verificar que se haya contado con políticas y controles de seguridad
suficientes y efectivas para la operación del SIG-CIUDADMX; y con accesos lógicos y físicos,
se realizaron entrevistas a la Dirección de Sistemas de Geomática Urbana y la Subdirección
de Sistemas de Información el 5 de agosto de 2019, así como inspecciones físicas y pruebas
informáticas a los centros de datos el 5 y 6 de agosto de 2019. Al respecto, se determinó lo
siguiente:
1. Mediante el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la Dirección
General de Administración y Finanzas en la SEDUVI remitió el documento que contiene
las políticas de seguridad de la información en el SIG-CIUDADMX. En su análisis, se
identificó que la dependencia no contó en su manual administrativo con procedimientos
relativos a la seguridad de la información, pero acreditó contar con un documento de
políticas de seguridad de la información denominado Manual de Política de Seguridad
de la Información de la Secretaría de Desarrollo Urbano y Vivienda, cuyo objetivo es “definir
y establecer las normas técnicas y administrativas, controles, procedimientos y documentos
necesarios para garantizar la seguridad de la información de la Secretaría así como de
sus SISTEMAS…”. Éste fue difundido a las Coordinaciones Generales, Direcciones
Generales, Direcciones Ejecutivas, Direcciones de Área, Subdirecciones y Jefaturas
de Unidad Departamental de la SEDUVI, mediante correo electrónico y con el oficio
núm. SEDUVI/DEIS/DTIC/060/2018 del 1o. de junio de 2018 por medio de la DTIC, en
cumplimiento del artículo 13, apartado 2, “Política de Seguridad”; inciso 2.1, “Definición
y documentación de la política de seguridad de la información”, de las Normas Generales
que deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal el
9 de julio de 2007, vigente en 2018.
2. Con relación a si los controles fueron suficientes y efectivos para la seguridad física,
lógica y de red en la infraestructura tecnológica para la operación del SIG-CIUDADMX,
se observó lo siguiente:
248 VOLUMEN 1/8
a) La dependencia acreditó contar con energía eléctrica polarizada y aterrizada para
evitar que la infraestructura de TIC sufra daños en caso de alguna situación adversa,
en cumplimiento del artículo 13, objetivo del apartado 6.2, “Seguridad del Equipamiento”,
de las Normas Generales que deberán observarse en materia de Seguridad de la
Información en la Administración Pública del Distrito Federal, publicadas en la Gaceta
Oficial del Distrito Federal el 9 de julio de 2007, vigentes en 2018; y que se alineó
con el estándar internacional ISO/IEC 27002 (International Organization for Standardization
and International Electrotechnical Commission, por sus siglas en inglés, Organización
Internacional de Normalización y la Comisión Electrotécnica Internacional), en su
apartado 11.2.2, que señala:
“11. Seguridad física y ambiental […]
”11.2.2. Instalaciones de suministro. El equipo debe estar protegido de fallas de
energía y otras interrupciones causadas por fallas en los servicios auxiliares.”
Sin embargo, en el centro de datos se observaron rastros de humedad, cajas de
cartón y equipo ajeno a su infraestructura.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia de que el centro de datos se encuentre en condiciones
limpias y seguras, por lo que la observación prevalece.
Por contar con rastros de humedad, cajas de cartón y equipo ajeno a su infraestructura en
el centro de datos, la SEDUVI incumplió el artículo 13, objetivo del apartado 7, “Seguridad
de las operaciones”, de las Normas Generales que deberán observarse en materia de
Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas
en la Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigentes en 2018, que
señala:
“Artículo 13.- Para los efectos de los siguientes acuerdos, las Normas Generales para la
Seguridad de la Información, son las siguientes: […]
”7. Seguridad de las operaciones.
249 VOLUMEN 1/8
”Objetivo.
”Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento
de la información y comunicaciones.”
La SEDUVI tampoco se alineó con las mejores prácticas de COBIT 5 en su control
DSS01.04 “Gestionar el entorno”, inciso 8, que señala:
“DSS01.04 Gestionar el entorno […]
”8. Mantener en todo momento a los sitios de TI y las salas de servidores limpias y
en una condición segura (es decir, sin desorden, sin papel ni cajas de cartón, sin
papeleras llenas, sin productos químicos o materiales inflamables).”
b) La SEDUVI acreditó contar con un firewall con el objetivo de filtrar accesos no
autorizados y protección contra códigos maliciosos, en cumplimiento del artículo 13,
en su apartado 7.3.1, “Controles contra código malicioso”, de las Normas Generales
que deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal el
9 de julio de 2007, vigente en 2018.
c) La SEDUVI monitorea la red de datos por medio de la aplicación Nagios, para verificar
la disponibilidad de los servicios, el tráfico de la red, el uso de memoria y procesadores
de los servidores en los centros de datos, en cumplimiento del artículo 13, apartados 7.6,
“Monitoreo de los sistemas”; y 7.6.2, “Monitoreo de los Sistemas y recursos en uso”,
de las Normas Generales que deberán observarse en materia de Seguridad de
la Información en la Administración Pública del Distrito Federal, publicadas en la
Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigentes en 2018.
d) El SIG-CIUDADMX se instaló en un servidor con sistema operativo Windows Server
versión 2003 R2 Standard x64 Edition y SQL Server versión 2005 como sistema
de gestión de base de datos; sin embargo, dichas versiones dejaron de recibir
actualizaciones de seguridad por parte del desarrollador, lo que maximiza la probabilidad
de ocurrencia de fallas en la seguridad de las operaciones del sistema y de las
250 VOLUMEN 1/8
aplicaciones que se encuentren alojadas en los servidores que operan bajo estas
plataformas.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la
SEDUVI no presentó evidencia de haber gestionado las acciones necesarias para
mantener actualizado el sistema operativo y de gestión de base de datos del
servidor del SIG-CIUDADMX, por lo que la observación prevalece.
Por no recibir actualizaciones de seguridad por parte del desarrollador en el sistema
operativo y de gestión de la base de datos del servidor en donde se aloja el
SIG-CIUDADMX, la SEDUVI incumplió el artículo 13, objetivo del apartado 7.2, “Pruebas
de aceptación”, de las Normas Generales que deberán Observarse en materia de
Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas
en la Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigente en 2018, que señala:
“Artículo 13.- Para los efectos de los siguientes acuerdos, las Normas Generales
para la Seguridad de la Información, son las siguientes: […]
”7. Seguridad de las operaciones […]
”7.2 Pruebas de aceptación
”Objetivo. Minimizar el riesgo de fallas en los sistemas. Previo al desarrollo de un nuevo
sistema o al mantenimiento a uno existente, se deben definir y documentar los
requerimientos de seguridad.
”Se deben definir, documentar y probar los requerimientos operativos y de seguridad de
nuevos sistemas o mantenimientos a los existentes, antes de su aprobación y uso.”
Se concluye que la SEDUVI contó con un documento referente a políticas de seguridad que
fue difundido a las diversas áreas de la dependencia, con energía eléctrica polarizada y
aterrizada para evitar que la infraestructura de TIC sufra daños en caso de alguna situación
adversa y con un firewall para filtrar accesos inapropiados y códigos maliciosos; además,
monitorea la red para verificar la disponibilidad de los servicios, el tráfico de la red, el uso
de memoria y procesadores de los servidores en los centros de datos. Sin embargo, se observó
251 VOLUMEN 1/8
que en los centros de datos hay rastros de humedad y equipo ajeno a su infraestructura, lo que
representa un riesgo para garantizar el adecuado y seguro funcionamiento de las instalaciones,
y que el servidor donde se aloja el SIG-CIUDADMX ha dejado de recibir soporte y actualizaciones
para el sistema operativo y de gestión de base de datos, lo que maximiza el riesgo de fallas
en la seguridad.
En el resultado núm. 2, recomendación ASCM-5-18-3-SEDUVI, del presente informe, se
considera el mecanismo para prevenir el incumplimiento consistente en la falta de actualización
del sistema operativo y de gestión de base de datos del servidor del SIG-CIUDADMX que
maximiza la probabilidad de ocurrencia de fallas en la seguridad de las aplicaciones y
operaciones del sistema, por lo que se dará tratamiento a dicha circunstancia como parte
del seguimiento de la recomendación citada.
Recomendación ASCM-5-18-7-SEDUVI
Es necesario que la Secretaría de Desarrollo Urbano y Vivienda implemente mecanismos
de control y supervisión para asegurarse de que el centro de datos donde se aloja el Sistema de
Información Geográfica del Centro de Información Urbana para el Desarrollo y Administración
de la Ciudad de México se encuentre en condiciones limpias y seguras, conforme a la normatividad
aplicable.
Continuidad del Servicio y Recuperación de Desastres
5. Resultado
Con objeto de evaluar si las políticas de continuidad del servicio y recuperación de desastres,
el plan de mantenimiento correctivo y preventivo a la infraestructura de TIC y los controles de
accesos autorizados y de seguridad en el centro de datos que salvaguarden los equipos
de misión crítica e infraestructura tecnológica para que el SIG-CIUDADMX brinde un servicio de
manera ininterrumpida, la ASCM realizó entrevistas en la Dirección de Sistemas de Geomática
Urbana y en la Subdirección de Desarrollo Geomático el 5 de agosto de 2019, así como
inspecciones físicas y pruebas informáticas a los centros de datos el 5 y 6 de agosto de 2019. Al
respecto se determinó lo siguiente:
252 VOLUMEN 1/8
1. Mediante el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la dependencia
remitió las políticas de continuidad del servicio y recuperación de desastres para brindar
un servicio de manera ininterrumpida, de cuyo análisis se identificó que contó con los
documentos Procedimiento para la activación del Plan de Recuperación en Caso de
Desastre, “Diseño Conceptual DRP-SEDUVI”, “Identificación de Aplicaciones y Servicios
Críticos DRP-SEDUVI” y “Aplicaciones Críticas URL”; y el Plan de Recuperación de Desastres
y Contingencia, que tiene como objetivo “asegurar la recuperación de la operación de
los recursos tecnológicos y de los servicios críticos que representan la esencia de la
Secretaría para operar en caso de desastres”, en cumplimiento del artículo 13, norma 11,
apartado 11.1, subapartado 11.1.1, “Planeación de la continuidad de las operaciones”,
segundo párrafo, de las Normas Generales que deberán observarse en materia de
Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas
en la Gaceta Oficial del Distrito Federal el 9 de julio de 2007 vigentes en 2018.
2. Con el oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la dependencia
proporcionó el procedimiento “Mantenimiento de Sistemas Informáticos”, cuyo objetivo es
“mejorar y corregir el funcionamiento de los sistemas informáticos, a partir del mantenimiento
y actualización de los sistemas y las bases de datos”; y una “Bitácora de monitoreo y
operación”, en la cual se registran las modificaciones a los registros de la base de datos
del SIG-CIUDADMX; sin embargo, el sujeto fiscalizado no acreditó contar con un plan de
mantenimiento preventivo y correctivo o un documento de acciones específicas para
realizar el mantenimiento a la infraestructura tecnológica con el fin de asegurar disponibilidad,
fiabilidad y una larga vida útil a ésta.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI no
presentó evidencia de haber contado con un plan de mantenimiento preventivo y correctivo
o un documento de acciones específicas para realizar el mantenimiento a la infraestructura
tecnológica, por tanto, la observación prevalece.
Por no contar con un plan de mantenimiento preventivo y correctivo para la infraestructura
tecnológica, la SEDUVI incumplió el artículo 13, objetivo de la norma 11, “Continuidad
de las operaciones”, de las Normas Generales que deberán observarse en materia de
Seguridad de la Información en la Administración Pública del Distrito Federal, publicadas
en la Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigentes en 2018, que señala:
253 VOLUMEN 1/8
“Artículo 13.- Para los efectos de los presentes acuerdos, las Normas Generales para
la Seguridad de la Información, son las siguientes: […]
”11 Continuidad de las operaciones.
”Objetivo.
”Minimizar los efectos de las posibles interrupciones de las actividades normales de la
Institución (sean éstas resultado de desastres naturales, accidentes, fallas en el equipamiento,
acciones deliberadas u otros hechos) y proteger los procesos críticos mediante una
combinación de controles preventivos y acciones de recuperación.”
3. La dependencia no contó con bitácoras de mantenimiento al SIG-CIUDADMX.
En la reunión de confronta, celebrada el 18 de septiembre de 2019, la titular de la SEDUVI
no presentó evidencia de haber contado con bitácoras de mantenimiento al SIG-CIUDADMX;
por tanto, la observación prevalece.
Por no contar con bitácoras de mantenimiento al SIG-CIUDADMX, la SEDUVI incumplió
el artículo 13, norma 7, “Seguridad de las operaciones”; apartado 7.6, “Monitoreo de
sistemas”; subapartado 7.6.1, “Bitácoras de Auditoría”, de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal el
9 de julio de 2007, vigentes en 2018, que señala lo siguiente:
“Artículo 13.- Para los efectos de los presentes acuerdos, las Normas Generales para
la Seguridad de la Información, son las siguientes: […]
”7. Seguridad de las operaciones […]
”7.6 Monitoreo de sistemas […]
”7.6.1 Bitácoras de auditoría
”Se deben definir e implementar bitácoras o logs de auditoría para los sistemas y equipos
críticos, para registrar las actividades de usuarios y los eventos…”
254 VOLUMEN 1/8
4. El SIG-CIUDADMX contó con lo siguiente:
a) Un dispositivo de control de acceso electrónico, así como cámaras de seguridad,
en cumplimiento de lo establecido en el artículo 13, norma 6, “Seguridad física y del
entorno”; apartado 6.1, “Áreas seguras”; subapartado 6.1.2, “Perímetro de seguridad
físico”, de las Normas Generales que deberán observarse en materia de Seguridad
de la Información en la Administración Pública del Distrito Federal, publicadas en
la Gaceta Oficial del Distrito Federal el 9 de julio de 2007, vigentes en 2018.
b) Bitácoras de registro de acceso, de conformidad con lo establecido en el artículo 13,
norma 8, “Control de Acceso”; apartado 8.1, “Requerimientos para el Control de Acceso”;
subapartado 8.1.1, “Política de control de acceso”, de las Normas Generales que
deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal, publicadas en la Gaceta Oficial del Distrito Federal el
9 de julio de 2007, vigentes en 2018.
c) Un sistema de alarmas contra incendios, extintores repartidos en diferentes puntos
y un dispositivo de alerta sísmica, de acuerdo con lo establecido en el artículo 13,
norma 6, “Seguridad física y del entorno”; apartado 6.1, “Seguridad física y del entorno”;
subapartado 6.1.1, “Protección contra amenazas internas y externas”, de las Normas
Generales que deberán observarse en materia de Seguridad de la Información en
la Administración Pública del Distrito Federal, publicadas en la Gaceta Oficial del
Distrito Federal el 9 de julio de 2007, vigentes en 2018.
Se concluye que la SEDUVI acreditó disponer de un documento relativo a la recuperación
de desastres para asegurar la continuidad de la operación de los recursos tecnológicos y
servicios críticos y en los centros de datos con dispositivos de control de acceso electrónico
y cámaras de seguridad, bitácoras de registro de acceso y sistema de alarmas contra
incendios; sin embargo, no contó con un plan de mantenimiento preventivo y correctivo o
un documento de acciones específicas para realizar el mantenimiento a la infraestructura
tecnológica ni con bitácoras de los mantenimientos realizados a la infraestructura del
SIG-CIUDADMX.
255 VOLUMEN 1/8
Recomendación ASCM-5-18-8-SEDUVI
Es necesario que la Secretaría de Desarrollo Urbano y Vivienda implemente mecanismos de
control y supervisión para asegurarse de que se cuente con un plan de mantenimiento preventivo
y correctivo a la infraestructura tecnológica y con bitácoras del mantenimiento realizado que
garanticen su disponibilidad, fiabilidad y larga vida útil, en cumplimiento de las Normas Generales
que deberán observarse en materia de Seguridad de la Información en la Administración
Pública del Distrito Federal.
Desarrollo y Adquisición de TIC
6. Resultado
Con objeto de evaluar los controles implementados para el desarrollo y adquisición de TIC
relacionados con el SIG-CIUDADMX, alineados a las mejores prácticas de TIC y con las
solicitudes de los dictámenes técnicos para celebrar contratos y adquisiciones, mediante el
oficio núm. SEDUVI/DGAF/1820/2019 del 12 de agosto de 2019, la dependencia proporcionó
el Plan Estratégico de Tecnologías de la Información y Comunicaciones (PETIC), en cuyo
análisis se determinó lo siguiente:
1. La SEDUVI contó con el procedimiento “Plan Estratégico de Tecnologías de la Información
y Comunicaciones”, cuyo objetivo es “elaborar el Plan Estratégico de Tecnologías de la
Información y Comunicaciones (PETIC), a través del análisis y planeación de los
requerimientos informáticos y evolución de la Secretaría”, y con evidencia de haber
remitido el PETIC a la Dirección General de Gobernabilidad de Tecnologías de la Información
y Comunicaciones (DGGTIC) de la OM, en cumplimiento del apartado 10.3, “De la Estrategia
de Gobierno Electrónico y Tecnologías de Información y Comunicaciones”, numerales 10.3.3
y 10.3.4, de la Normatividad en materia de Administración de Recursos para las Dependencias,
Unidades Administrativas, Unidades Administrativas de Apoyo Técnico Operativo, Órganos
Desconcentrados y Entidades de la Administración Pública del Distrito Federal (Circular Uno),
publicada en la Gaceta Oficial del Distrito Federal núm. 179 tomo I, el 18 de septiembre
de 2015, vigente en 2018.
256 VOLUMEN 1/8
2. En 2018, la dependencia no realizó solicitudes de dictamen técnico para la adquisición
y desarrollo de TIC ante la DGGTIC del SIG-CIUDADMX, debido a que no adquirió software ni
hardware en ese año.
Se concluye que la SEDUVI envió el PETIC a la DGTIC de la OM y no solicitó dictámenes
técnicos respecto al SIG-CIUDADMX, debido a que no adquirió software ni hardware en 2018.
RESUMEN DE OBSERVACIONES Y ACCIONES
Se determinaron seis resultados; de éstos, cuatro resultados generaron 14 observaciones,
las cuales corresponden a ocho recomendaciones.
Del total de observaciones identificadas y mencionadas en el párrafo anterior, a cuatro
observaciones se les dará tratamiento mediante la implementación de mecanismos que eviten su
recurrencia, como parte del seguimiento de las recomendaciones ASCM-3-18-1-SEDUVI,
ASCM-3-18-3-SEDUVI, ASCM-3-18-4-SEDUVI y ASCM-5-18-8-SEDUVI; y a dos observaciones
con la recomendación ASCM-5-18-3-SEDUVI.
La información contenida en el presente apartado refleja las acciones derivadas de la auditoría que
hasta el momento se han detectado por la práctica de pruebas y procedimientos de auditoría; sin
embargo, podrían sumarse observaciones y acciones adicionales a las señaladas, producto
de los procesos institucionales, de la recepción de denuncias y del ejercicio de las funciones de
investigación y sustanciación a cargo de esta entidad de fiscalización superior.
JUSTIFICACIONES Y ACLARACIONES
El sujeto fiscalizado no proporcionó documentación ni información para aclarar o justificar
los resultados y observaciones incorporados por la Auditoría Superior de la Ciudad de México en
el Informe de Resultados de Auditoría para Confronta que se plasman en el presente Informe
Individual, que forma parte del Informe General Ejecutivo del Resultado de la Fiscalización
Superior de la Cuenta Pública de la Ciudad de México, por lo que los resultados núms. 1,
2, 4 y 5 se consideran no desvirtuados.
257 VOLUMEN 1/8
DICTAMEN
La auditoría se realizó con base en las guías de auditoría, manuales, reglas y lineamientos
de la Auditoría Superior de la Ciudad de México; las Normas Profesionales del Sistema de
Fiscalización; las Normas Internacionales de las Entidades Fiscalizadoras Superiores, emitidas por
la Organización Internacional de Entidades Fiscalizadoras Superiores; y demás disposiciones
de orden e interés públicos aplicables a la práctica de la auditoría.
Este dictamen se emite el 14 de octubre de 2019, una vez concluidos los trabajos de la auditoría,
la cual se practicó sobre la información proporcionada por el sujeto fiscalizado, que es
responsable de su veracidad. Con base en los resultados obtenidos en la auditoría, cuyo objetivo
fue verificar que el Sistema de Información Geográfica del Centro de Información Urbana para el
Desarrollo y Administración de la Ciudad de México (SIG-CIUDADMX), así como la infraestructura
tecnológica (hardware, software y redes de datos) y demás sistemas relacionados con la
atención ciudadana en materia de servicios públicos urbanos, operen de manera efectiva,
eficaz y eficiente; y que éstos correspondan con los objetivos para los que fueron adquiridos,
de acuerdo con la normatividad en TIC aplicable, y derivados del ejercicio de las funciones
y atribuciones de la dependencia, y específicamente respecto de la muestra revisada que
se establece en el apartado relativo al alcance y determinación de la muestra, se concluye
que, en términos generales, el sujeto fiscalizado cumplió parcialmente las disposiciones legales
y normativas aplicables en la materia.
PERSONAS SERVIDORAS PÚBLICAS A CARGO DE REALIZAR LA AUDITORÍA
En cumplimiento del artículo 36, párrafo decimotercero, de la Ley de Fiscalización Superior
de la Ciudad de México, se enlistan los nombres y cargos de las personas servidoras públicas de
la Auditoría Superior de la Ciudad de México involucradas en la realización de la auditoría:
Persona servidora pública Cargo
L.C. María Guadalupe Xolalpa García Directora General
Mtra. Gloria Hernández Hernández Directora de Auditoría “B”
Mtro. Jesús López Juárez Subdirector de Auditoría
Mtro. Daniel Jesús Zepeda Madrigal Auditor Fiscalizador TIC “C”
C. Ramsés Durán Benavidez Auditor Fiscalizador “A”