PODERJUDICIALDE LA FEDERACIÓN COBU Ot JUSTICIA Ot LA NACIÓN ACUSE CONTRALORÍA OFICIO No. CSCJN/DGA/DAIA/553/2016 íríííSí! SBíl^ Ciudad de México, 23 de agosto de 2016 LIC. ENRIQUE GAMEROS HIGALDO MONROY DIRECTOR GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN DE LASUPREMA CORTE DE JUSTICIA DE LA NACIÓN PRESENTE En cumplimiento al Programa Anual de Control y Auditoría 2016, aprobado por el H. Comité de Gobierno y Administración de la SCJN, el 12 de enero de 2016 se emitió, a través del oficio CSCJN/DGA/DAIA/021/2016, la orden para practicar una auditoría a la Dirección General de Tecnologías de la Información (DGTI), relativa a la administración de los contratos, sustitución de equipos y mantenimiento, por el periodo del 1 de enero al 31 de diciembre de 2015. Con fundamento en el punto II.3, apartado "Informe de auditoría", numeral 2, último párrafo de la Guía General de Auditoría1, se presenta el informe número DAIA/2016/01. I. OBJETIVO Comprobar que la administración de los contratos, la sustitución y el mantenimiento de los bienes informáticos se lleven a cabo de acuerdo a lo programado y en cumplimiento a la normativa. Objetivos Específicos - Evaluar la confiabilidad de los controles establecidos, así como el apego a la normativa vigente de los procesos sujetos a revisión. - Comprobar que la sustitución de bienes informáticos se llevó a cabo de acuerdo a las necesidades de las áreas. - Constatar que la gestión de los mantenimientos preventivos y correctivos se hayan realizado conforme a las condiciones contractuales. - Determinar la oportunidad con que el área auditada realizó los trámites de sanciones a los prestadores de bienes y servicios por incumplimiento. II. ALCANCE Durante el periodo sujeto a revisión se adquirieron bienes informáticos por un monto de $67,129,869.04; se recibieron servicios de mantenimiento con un costo de $25,477,771.53 y se aplicaron sanciones por $983,605.48. Por lo anterior y tomando en consideración la importancia de las operaciones y la emisión de la información financiera, se aplicaron procedimientos de auditoría en las siguientes muestras: - 38% de los bienes informáticos adquiridos. - 59% del importe de los mantenimientos realizados. 30% del monto de las sanciones aplicadas. $M/MDIG/PYH/ACHC "7 arme presentado por la Dirección General de Auditoria será autorizado por el Contralor, quien lo enviará al superior jerárquico del órgano'¿uditado, al titular de dicho órgano y a las instancias queencadacasose requiera." A* liA
Transcript
PODERJUDICIALDE LA FEDERACIÓN
COBU Ot JUSTICIA Ot LA NACIÓN
ACUSECONTRALORÍA
OFICIO No. CSCJN/DGA/DAIA/553/2016
íríííSí!SBíl^ Ciudad de México, 23 de agosto de 2016LIC. ENRIQUE GAMEROS HIGALDO MONROYDIRECTOR GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓNDE LASUPREMA CORTE DE JUSTICIA DE LA NACIÓNPRESENTE
Encumplimiento al Programa Anual de Control yAuditoría 2016, aprobado por el H. Comité de Gobiernoy Administración de la SCJN, el 12 de enero de 2016 se emitió, a través del oficioCSCJN/DGA/DAIA/021/2016, la orden para practicar una auditoría a la Dirección General deTecnologías de la Información (DGTI), relativa a la administración de los contratos, sustitución deequipos y mantenimiento, por el periodo del 1 de enero al 31 de diciembre de 2015.
Con fundamento en el punto II.3, apartado "Informe de auditoría", numeral 2, último párrafo de la GuíaGeneral de Auditoría1, se presenta el informe número DAIA/2016/01.
I. OBJETIVO
Comprobar que la administración de los contratos, la sustitución y el mantenimiento de los bienesinformáticos se lleven a cabo de acuerdo a lo programado y en cumplimiento a la normativa.
Objetivos Específicos
- Evaluar la confiabilidad de los controles establecidos, así como el apego a la normativa vigente de losprocesos sujetos a revisión.
- Comprobar que la sustitución de bienes informáticos se llevó a cabo de acuerdo a las necesidades delas áreas.
- Constatar que la gestión de los mantenimientos preventivos y correctivos se hayan realizado conformea las condiciones contractuales.
- Determinar la oportunidad con que el área auditada realizó los trámites de sanciones a los prestadoresde bienes y servicios por incumplimiento.
II. ALCANCE
Durante el periodo sujeto a revisión se adquirieron bienes informáticos por un monto de $67,129,869.04;se recibieron servicios de mantenimiento con un costo de $25,477,771.53 y se aplicaron sanciones por$983,605.48.
Por lo anterior y tomando en consideración la importancia de las operaciones y la emisión de lainformación financiera, se aplicaron procedimientos de auditoría en las siguientes muestras:
- 38% de los bienes informáticos adquiridos.- 59% del importe de los mantenimientos realizados.
30% del monto de las sanciones aplicadas.
$M/MDIG/PYH/ACHC "7arme presentado por la Dirección General de Auditoria será autorizado por el Contralor, quien lo enviará al superior jerárquico del
órgano'¿uditado, altitular de dicho órgano ya las instancias queen cadacasose requiera."
A*liA
III. OBSERVACIONES
EVALUACIÓN DE CONTROLES Y PROCEDIMIENTOS
Resultado No. 1
Del análisis a los procedimientos con números de código PO-TI-AI-01 "Procedimiento para el control ysuministro de bienes informáticos" autorizado el 1 de octubre de 2015 y PO-TI-AI-04 "Procedimiento demovimientos de bienes informáticos", con fecha 7 de octubre de 2014, se observó que éstos se vinculancon los procedimientos "PO-TI-AI-05", "PO-TI-AI-06" y "PO-TI-AI-08", los cuales no existen, lo queincumple con lo establecido en la fracción VI del artículo 9 del Reglamento Orgánico en Materia deAdministración (ROMA) de la Suprema Corte de Justicia de la Nación (SCJN) que dice:
Artículo 9 Los titulares de las áreas tendrán las siguientes atribuciones:
VI. Coordinar la elaboración y actualización de los manuales de organización yprocedimientos, asi como validar su contenido."
Causa:
El área validó los procedimientos sin verificar los cambios en las codificaciones de los mismos.
Efecto:
Falta de identificación, delimitación y claridad de las responsabilidades de las personas y puestos queintervienen en el proceso
Recomendación correctiva:
01. El titular de la DGTI gire instrucciones a quien corresponda para corregir los procedimientosautorizados y publicados para que éstos muestren el correcto flujo de actividades que realizan losservidores públicos adscritos al área auditada.
Resultado No. 2
La actividad 5 del PO-TI-AI-01 "Procedimiento para el control y suministro de bienes informáticos" indicaque el Director de Infraestructura y Seguridad recibe la solicitud de servidores y lo turna al personalresponsable de dar seguimiento, éste lo instala y configura en el Centro de Cómputo (CeCo) e informaal solicitante, observándose que el procedimiento no señala la emisión de un resguardo comodocumento generado, lo que incumple con el artículo 212 de Acuerdo General de Administración (AGA)VI/2008
'Articulo 212. OBLIGACIÓN DE CONSTITUIR UN RESGUARDO Los activos fijos seránasignados por cada seividor público usuario de los mismos; se formalizará ¡a entregamediante un documento de resguardo donde se establecerá la obligación del usuario deconservar el bien en su custodia y a utilizarlo en forma adecuada, en su caso, conforme aías instrucciones de uso de los fabricantes procurando en todo momento conservarlos encondiciones óptimas de operación
Causa:
No se consideró generar el resguardo en el que se responsabilice a un servidor público por los equiposinstalados.
Efecto:
Que no exista delimitación de responsabilidades.
Í/PY^/ACRC
Recomendación correctiva:
01. El Titular de la DGTI gire instrucciones para incluir dentro del procedimiento establecido, lageneración de resguardos cuando se suministren e instalen equipos en los centros de datos.
SUSTITUCIÓN DE BIENES INFORMÁTICOS
Resultado No. 3
Con el fin de contar con un documentoque ayude a la planeación y determinación del tiempo en que losbienes informáticos deben renovarse, el 16 de junio de 2015, la DGTI elaboró el documento denominadoVida Útil". En dicho documento, el área establece que los equipos de cómputo tienen una utilidad de 5
años: los escáneres e impresoras 7 y hasta 10 años para equipos de alto rendimiento; servidores 8 añosyequipos de telecomunicaciones entre 6 y 8 años dependiendo de la tecnología instalada. De loanterior,se observó que el documento no se encuentra aprobado por la instancia superior correspondiente,además no cuenta con un análisis documentado de los criterios utilizados para sustentar los años deutilidad de los equipos de cómputo, escáneres e impresoras, servidores y equipos detelecomunicaciones, incumpliendo con la fracción V del artículo 27 del ROMA, que dice:
"Artículo 27. El Director General de Tecnologías de la Información tendrá las siguientesatribuciones:
(...)V. Proponer al Oficial Mayor los lineamientos en materia de tecnología de la información ycomunicación, a fin de mantener a la vanguardia la infraestructura informática y de redesde comunicaciones de la Suprema Corte
Causa:
El documento se estableció por medio de la experiencia u opinión de los diferentes directores del áreasin documentar los criterios aplicados.
Efecto:
Que no existan criterios aprobados para fundamentar un programa de sustitución de bienes informáticos.
Recomendación correctiva:
01. La DGTI realice un estudio para determinar la vida útil de los bienes informáticos considerando, entreotros, los criterios establecidos en el apartado 6 "Depreciación, Deterioro y Amortización, del Ejercicio yAcumulada de Bienes" del Acuerdo por el que se emiten las reglas específicas del registro y valoracióndel patrimonio emitido por el Consejo Nacional de Armonización Contable (COÑAC) y someta dichodocumento a la aprobación del superior jerárquico.
COÑAC: Para determinar la vida útil, deben tenerse en cuenta, entre otros, lo siguiente:
a. El uso que el ente público espera realizar del activo. El uso se estima por referencia a lacapacidad o rendimiento físico esperado del activo.
b. El deterioro natural esperado, que depende de factores operativos tales como el numerode turnos de trabajo en los que será usado el bien, el programa de reparaciones ymantenimiento del ente, asi como el nivel de cuidado y mantenimiento mientras el aciivono está siendo dedicado a tareas productivas.
M/jfapfó/PYH/ACRC
c. La obsolescencia técnica derivada de los cambios y mejoras en la producción, o bien delos cambios en la demanda del mercado de los productos o servicios que se obtienen conel activo: y
d. Los límites legales o restricciones similares sobre el uso del activo, tales como las fechasde caducidad de los contratos de servicio relacionados con el bien.
La autoridad competente que autorice la vida útil estimada del bien o grupo de bienes deberácontar con un dictamen técnico, peritaje obtenido o estudio realizado que considere segúncorresponda, los elementos anteriormente enunciados
MANTENIMIENTO PREVENTIVO Y CORRECTIVO
Resultado No. 4
- En el contrato número SCJN/DGRM/DABI-121/12/2014 celebrado con la empresa EMC ComputerSystems, S. A. de C. V., para la compra venta de bienes informáticos, prestación de servicios para elcrecimiento de los centros de datos para el almacenamiento de información, se incluyó elmantenimiento y garantía a la infraestructura ya instalada por doce meses, observándose que 42reportes fueron cerrados en un promedio de 21 días naturales fuera del plazo establecido en lacláusula décima segunda del contrato que establece:
- Esta misma situación se presentó con el contrato número SCJN/DGRM/DABI-037/08/2012, celebradocon la empresa IT21 S. A. de C. V., para los servicios de mantenimiento de red inalámbrica, ya quese observó que 5 servicios se atendieron en un promedio de 75 horas fuera del tiempo establecidoen la cláusula décima primera del contrato que indica:
/PYH/ACRC
¥is
Causa:
La DGTI no cuenta con un control que demuestre que los servicios de mantenimiento preventivo ycorrectivo se programan y realizan en horarios fuera de los días y horas hábiles, para no afectar laoperación diaria.
Efecto:
Que los servicios no se presten de acuerdo a los términos contratados
Recomendación preventiva.
01. La DGTI implemente en los PO-TI-OP-01 "Procedimiento para mantenimiento de servidores" y PO-TI-OP-02 "Procedimiento para la Administración y Operación de Equipo de Comunicaciones", undocumento de control con el cual se comprueben las actividades relativas a la apertura de un reporte,diagnóstico del problema, programación, inicio y término del servicio, responsables de la supervisión ycierre del reporte, por los servicios de mantenimiento recibido, con el objeto de acreditar el cumplimientoa los tiempos estipulados en los contratos.
Resultado No. 5
Del análisis a los bienes a los cuales se les prestó servicios de mantenimiento preventivo y correctivo,se observó lo siguiente:
- Se registró en la partida presupuestal 51501 "Bienes Informáticos" la compra de 240 cables con unimporte total de $539,155.84 adquiridos en el contrato SCJN/DGRM/DABI-121/12/2014 celebradocon la empresa EMC Computer Systems, S. A. de C. V.
- Se registró en la partida presupuestal 51501 "Bienes Informáticos" la compra de 8 licencias, 62cables, insumos y materiales para la óptima implementación con un importe de $615,686.61,$107,413.99 y $780,006.07, respectivamente adquiridos en los contratos númerosSCJN/DGRM/DABI-102/11/2013 y SCJN/DGRM/DABI-086/08/2014 celebrados con Tecnologías enTelecomunicaciones, S. A. de C. V.
- Se registró en la partida presupuestal 51501 "Bienes Informáticos" la compra de 70 nodos, 3 cables,1 licencia y accesorios, con un importe total de $413,352.76, $110,719.49, $475,208.80 y$406,724.65 respectivamente, adquiridos con la empresa IT21, S. A. de C. V., a través del contratoSCJN/DGRM/DABI-037/08/2012.
De acuerdo al Clasificador por objeto de gasto 2015, la partida 51501 "Bienes Informáticos" son las"asignaciones destinadas a la adquisición de equipos y aparatos de uso informático, para elprocesamiento electrónico de datos y para el uso de redes, tales como: servidores computadoras,lectoras, terminales procesadores, tableros de control, equipos de conectividad, unidades dealmacenamiento, impresoras, lectores ópticos y magnéticos, monitores, no break y componenteselectrónicos, como tarjetas simples o cargadas; circuitos, módem para computadora, fax, teléfono yarneses, multifuncional, equipo de videoconferencias, agenda electrónica, entre otros."
Causa:
El área auditada programó el crecimiento a la infraestructura de los centros de datos para elalmacenamiento de información, los equipos de comunicaciones para las redes LAN y la red inalámbricacomo soluciones integrales dentro de la partida 51501 "Bienes Informáticos", ya que no pudo determinarel detalle de los componentes al momento de elaborar el PAN
XWvW
Efecto:
Falta de control de los activos que maneja la DGTI y presentación de información incorrecta en losestados financieros
Recomendación preventiva:
01. Convocar a una reunión de trabajo con su homólogo de la Dirección General de RecursosMateriales, con el fin de elaborar un procedimiento que incluya las actividades a realizaren el procesode recepción de los bienes informáticos adquiridos, en el cuai tanto la DGTI como la DGRM validen laclasificación contable-presupuestal de los bienes y de ser necesario, procedan a la reclasificación deacuerdo a su naturaleza y al Clasificador por Objeto del Gasto.
Resultado No. 6
Del análisis a los bienes informáticos a los que se les realizaron mantenimientos preventivos ycorrectivos durante el 2015, se observó que 746 bienes informáticos, registrados en la partida 51501 nocuentan con el número de inventario y resguardo respectivo, y 839 bienes cuentan con número deinventario, pero no con resguardo.
De acuerdo con los "Lincamientos dirigidos a asegurar que el sistema de contabilidad gubernamentalfacilite el registro y control de los inventarios de los bienes muebles e inmuebles de los entes públicos"emitidos por la COÑAC, los bienes registrados en la partida presupuestal 51501 son consideradossujetos a un control de inventario y por lo tanto, a la emisión de su respectivo resguardo. Lo anteriorincumple con lo establecido con la fracción XIV del articulo 27 del ROMA y con los artículos 205, 208 y212 del Acuerdo General de Administración VI/2008.
Artículo 27 El Director General de Tecnologías de la Información tendrá las siguientesatribuciones:
(...)XIV. Llevar el inventarío de bienes y sistemas informáticos y de comunicación, así comoemitirlos resguardos respectivos".
Articulo 205. ÓRGANOS RESPONSABLES DE LA ADMINISTRACIÓN DE LOSBIENES Adquisiciones y Servicios será responsable de la administración del mobiliario yequipo de oficina, e Informática de los equipos informáticos y de comunicaciones. Para talefecto deberán proponer a la Oficialía Mayorlos lineamientos que establezcan el sistemao sistemas de control necesarios que aseguren la salvaguarda y delimitenresponsabilidades sobre su uso y custodia.
Artículo 208. REGISTRO DE BIENES (. .)Además del número de activo registrado en el SIA. los bienes estarán identificados ycontrolados a través de un número de inventarío, los cuales se asignarán con seriesdistintas según el género a que correspondan, registrándose en orden consecutivoconforme son dados de alta en el patrimonio. Posteriormente, por cada bien de activo fijose dará seguimiento individual para lo cual se registrará cuando menos: el usuario que lotenga en resguardo, la baja y cualquier otra infonvación representativa que tenga o genereel uso del bien".
Artículo 212. OBLIGACIÓN DE CONSTITUIR UN RESGUARDO Los activos fijos seránasignados por cada servidor público usuario de los mismos; se formalizará la entregamediante un documento de resguardo donde se establecerá la obligación del usuario deconservar el bien en su custodia y a utilizarlo en forma adecuada, en su caso, conforme a
las instrucciones de uso de los fabricantes procurando en todo momento conservarlos encondiciones óptimas de operación"
Con el oficio número DGTI/DAPTI-2052-2016 entregado a esta Dirección General el día 17 de agostodel presente año, se recibieron copia de los resguardos de 834 bienes informáticos que ya contabancon número de inventario.
Causa:
Los equipos informáticos adquiridos, por su naturaleza, se recibieron en sitio, no así en las instalacionesdel Almacén y, en la recepción de dichos bienes no intervino la DGRM, situación que dificultó la emisióndel número de inventario.
Efecto:
Falta de control de los activos y riesgo de sustracción de los mismos.
Recomendación correctiva:
01. El titular de la DGTI gestione ante la DGRM los números y etiquetas de inventario, para proceder asu adhesión y emisión de resguardos.
Recomendaciones preventivas
01. En las próximas entrega-recepción de bienes informáticos en sitio, la DGTI solicite la presencia dela DGRM en cumplimiento a lo establecido en los párrafos cuarto y quinto del artículo 172 de! AcuerdoGeneral de Administración VI/2008.
Cuando los bienes a adquirir o a usar, requieran ser entregados en tas instalaciones delas Áreas Usuarias de la Suprema Corte, ya sea porque se hubiese contratado el serviciode instalación de dichos bienes, se evite con ello gastos de transportación y fíeleadicionales o se requierancon urgencia por necesidades del servicio, se podrá pactar quelos bienes sean entregados en lugar distinto al almacén general. Adquisiciones y Serviciosdesignará a personal a su cargo para que efectúe la recepción de los bienes y registrodocumental y electrónico en el SIA.
En casos justificables en los que se requiera de conocimientos técnicos para la recepciónde bienes y/o servicios. Adquisiciones y Servicios podrá solicitar apoyo a Obras yMantenimiento e Informática, para que ésta verifique la entrega, instalación y/o armado oensamble, o cualquier otro requerimiento técnico, y cumplimiento de los proveedores,prestadores de servicio o contratistas, con base en los términos establecidos en el contrato.En este caso Obras y Mantenimiento o Informática elaborarán acta circunstanciadarespecto a la verificación del cumplimiento de lo contratado".
02. En lo subsecuente, indicar en la cláusula "Proceso de recepción y verificación de los bienes yservicios" de los contratos que el proceso de recepción estará a cargo de las Direcciones Generales deRecursos Materiales y de Tecnologías de la Información.
Resultado No. 7
Con el contrato número SCJN/DGRM/DABI-121/12/2014 celebrado con EMC Computer Systems, S. A.de C. V. se gestionaron los servicios de crecimiento a la infraestructura de los centros de datos para elalmacenamiento de información, de lo anterior, se observó que dos discos duros modelo VX-VS07-020Ucon un costo total de $17,453.44 no se instalaron debido a que se tienen como repuestos para solventaruna eventual urgencia
/PYH/ACRC T
Causa:
Falta de planeación en las necesidades de compra.
Efecto:
Riesgos de sustracción y pérdida de vigencia tecnológica en los bienes
Recomendación preventiva:
01. El titular de la DGTI instruya a los encargados de la elaboración del PAN, que los requerimientosestén debidamente justificados de acuerdo a las necesidades, evitando programar bienes para stock.
SANCIONES A PROVEEDORES
De las sanciones aplicadas por un importe de $297,452.08, se comprobó que se realizaron de acuerdoa las cláusulas de "pena convencional y sanción económica" establecidas en los contratos respectivos,sin determinar observación alguna.
IV. CONCLUSIÓNComo resultado de la auditoría integral realizada a la Dirección General de Tecnologías de laInformación, este órgano interno de control concluye que el área auditada presentó las siguientesinconsistencias:
1 El documento de "vida útil" noestá sustentadocon un estudio formal de criterios paraestablecerla duración de los bienes informáticos, ni cuenta con la autorización de la instancia superiorcorrespondiente.
2. Falta de control en la administración de los servicios de mantenimiento preventivo y correctivo
3. Se detectaron dos discos duros con un valor total de $17,453.44, que no se encuentraninstalados en la solución para la infraestructura de almacenamiento de información.
Wtt JUBICIAL 1E u\ KKMCIONkUmBE JBSTtaik Ku •*«•«
Lie. Manuel Díaz Infante Gómez
Director General de Auditoría
Lie. Jua Jaudio •Bfádo Ortiz MenairiTralor
L. C. Pedro Yoval Huesca
Director de Auditoría Integral "A"
JCDOM/MDIG/PYH/ACRC 8Esta hoja corresponde al lnfornie)de Auditoria número DAIA/2016/01, relativo a la Dirección General deTecnologías de la Información, por elperíodo de enero a diciembre de 2015.
