AUDITORÍA GENERAL DE LA REPÚBLICA DIRECCIÓN DE CONTROL FISCAL INFORME DE LA AUDITORÍA ESPECIAL A LA CONTRATACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRÓNICO DE EXPEDIENTE (SAE) CONTRALORÍA GENERAL DE LA REPÚBLICA Bogotá D.C., Junio 2015 1 LAURA EMILSE MARULANDA TOBÓN Auditora General de la República JOSÉ LUIS FRANCO LAVERDE Auditor Delegado para la Vigilancia de la Gestión Fiscal JORGE LUIS RESTREPO GÓMEZ Director de Control Fiscal ROSA LIBIA FERNÁNDEZ MENDOZA Coordinadora NADIA GONZALEZ MEBARACK RICARDO RODRÍGUEZ CÁRDENAS DARLEY OCAMPO GARCÍA ROSA LIBIA FERNÁNDEZ MENDOZA Auditores 2 TABLA DE CONTENIDO 1 INTRODUCCCIÓN 2 RESULTADOS DE LA AUDITORIA 2.1 MUESTRA AUDITADA 2.2 HALLAZGOS 2.2.1 ETAPA PRECONTRACTUAL 2.2.2 ETAPA CONTRACTUAL 3 ANÁLISIS A LA RESPUESTA DADA POR LA CGR A LA CARTA DE OBSERVACIONES 4 RESUMEN DE HALLAZGOS 5 ANEXO 1- INFORME TÉCNICO 3 1 2 2 4 4 11 14 78 79 1 INTRODUCCCIÓN La Auditoría General de la República, a través de la Dirección de Control Fiscal, en cumplimiento del artículo 274 de la Constitución Política, del Decreto Ley 272 de 2000, y en cumplimiento del Plan General de Auditorías PGA- 2015, programó la realización de auditoría especial a la contratación del Sistema de Aseguramiento Electrónico de Expediente (SAE) de la Contraloría General de la República (CGR). El ejercicio auditor se desarrolló siguiendo los lineamientos del Manual del Proceso Auditor de la Auditoría General de la República (AGR) – MPA versión 6.0, las políticas definidas en el Plan General de Auditorias - PGA 2015, y los procedimientos, sistemas y principios establecidos en la Constitución y las normas de auditoría de general aceptación. La carta de observaciones a la Auditoría Especial a la Contratación del Sistema de Aseguramiento del Electrónico de Expediente (SAE) fue comunicada por la AGR el 7 de mayo de 2015, con radicado 20152110016941, con el fin de que la CGR ejerciera el derecho a la contradicción. La respuesta dada a dicha Carta de Observaciones fue radicada el 20 de mayo de 2015, con No. 2015-233-002444-2, la cual fue objeto de análisis por parte del grupo auditor y posteriormente se procedió a la elaboración del presente informe de auditoría. 1 2 RESULTADOS DE LA AUDITORIA 2.1 MUESTRA AUDITADA En el formato F-13 de la rendición de la cuenta correspondiente a las vigencias 2013 y 2014 la CGR reportó 1696 contratos sumando las dos vigencias, 1078 se reportaron en el 2013 y 618 en el 2014 que corresponde a la suma de $ 280.516 millones de conformidad con la siguiente tabla: Tabla 2-1. Contratos reportados (Millones de pesos) Vigencia 2013 2014 Total Total 1078 618 1696 Cuantía 144.550 135.966 280.516 Fuente: Rendición cuenta SIREL. Vigencia 2013 - 2014. Como muestra de auditoría se escogieron 11 contratos que en su objeto tenían algún tipo de relación con el Sistema de Aseguramiento Electrónico (SAE) de la Contraloría General de la República, de los cuales uno (1) fue celebrado en el 2012; cuatro (4) en el 2013 y seis (6) en el 2014 y representan una cuantía de $ 16.355 millones que corresponden al 5.8% del total de la cuantía reportada en 2013 y 2014 como se muestra en la siguiente tabla: Tabla 2-2. Contratos objeto de auditoría (Millones de pesos) CONTRATISTA No. CONTRATO OBJETO 387-12 ADQUISICION DE UN SISTEMA DE SEGURIDAD INTEGRAL DE INFORMACION, QUE INCLUYA EL LICENCIAMIENTO CORPORATIVO SCISO, MAVERIC, PRESEA Y REMEDY; DISEÑO E IMPLEMENTACION DEL SOCK; ENTREGA DEL ESTUDIO DE CORRELACION Y RECOMENDACIONES Y LA TRANSFERENCIA DE CONOCIMIENTO DE TODO AL SISTEMA; IMPLEMENTACION DE LAS METODOLOGIS Y PRODUCTOS INTEGRADOS PARA LA OPERACION Y MONITOREO DE INCIDENTES DE SEGURIDAD. 199 -13 CONTRATAR EL DISEÑO MODELAMIENTO Y LA IMPLEMENTACION DE LA GUIA DE RESPONSABILÑIDAD FISCAL EDISION FEBRERO 2013 EN LA PLATAFORMA PROCESA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRONICO EN AL CGR. VALOR $ 2 MNEMO 5.364 MNEMO 690 No. CONTRATO CONTRATISTA OBJETO $ MNEMO 289 - 13 CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS; ANALISIS DE VULNERABILIDADES EXPERTO; SUMINISTROS DE LICENCIAS POR UN AÑO DE HERRAMIENTAS PRESEA Y REMEDY; SUMINISTRO 4600 TOKENS CON LAS LICENCIAS SAFENET CLIENT PARA EL USO DE LOS DISPOSITIVOS CRIPTOGRAFICOS Y 4400 LICENCIAS PARA LA EXPEDICION DE CERTIFICADOS DIGITALES PARA EL USO DE LOS FUNCIONARIOS EN LA CGR; IMPLEMENTACION DE LA FIRMA ELECTRONICA PARA LAS APLICACIONES MISIONALES SICA; SIPAR Y CORREO ELECTRONICO; INTEGRACION SICA, SIGEDOC, SIPAR Y SAE CON EL SOFTWARE PROCESA. 544 – 13 CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR 396 - 14 PRESTACIÓN DE SERVICIOS PROFESIONALES PARA CAPACITACIÓN EN EL ÁMBITO DEL "SISTEMA DE ASEGURAMIENTO ELECTRÓNICO DE EXPEDIENTES (SAE)" DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA. CONTRATAR LA PRESTACIÓN DE SERVICIOS DE IMPLEMENTACIÓN DEL PROCESO DE JURISDICCIÓN COACTIVA INTEGRADO AL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO (SAE) MNEMO 398 - 14 MNEMO 400 - 14 CONTRATAR EL SOPORTE, MANTENIMIENTO DEL HARDWARE Y ACTUALIZACIÓN DEL SOFWARE DE LA INFRAESTRUCTURA DEL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO DESPLEGADO EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS. CONTRATAR LA INTEGRACIÓN DEL SOFWARE DE SALAS DE AUDIENCIA AL SAE Y EL DISEÑO, MODELAMIENTO, IMPLEMENTACIÓN Y PUESTA EN MARCHA DE LOS MODULOS DEL PROCESO DISCIPLINARIO (ORDINARIO Y VERBAL), PROCESO ADMINISTRATIVO SANCIONATORIO EN LA PLATAFORMA PROCESA DE ASURAMIENTO DEL EXPEDIENTE ELECTRÓNICO EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA. CONTRATAR LA PRESTACIÓN DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS Y EL ANÁLISIS DE VULNERABILIDAD EXPERTO PARA LAS APLICACIONES DE LA CGR. MNEMO 402 - 14 405 - 14 CGR 291-13 VALOR PRESTACION DE SERVICIOS PROFESIONALES, PARA EL DESARROLLO DEL ANALISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TECNICO, AL PROCESO DE IMPLEMENTACION DEL SISTEMA DE ASEGURAMIENTO ELECTRONICO - SAE-EN LA CGR, ANIVEL CENTRAL (SEDE BOGOTA). 2.257 MNEMO 31 MNEMO 422 291 368 3.830 MNEMO 1.907 OPORTUNIDAD ESTRATEGICA LTDA PRESTACIÓN DE SERVICIOS PROFESIONALES PARA EL DESARROLLO OPORTUNIDAD DEL ANÁLISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TÉCNICO, DEL ESTRATEGICA LTDA CGR 371-14 PROCESO DE IMPLEMENTACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRÓNICO ¿SAE- EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA. TOTAL 529 665 16.355 Fuente: Rendición cuenta SIREL. Vigencia 2013 - 2014. Con relación al contrato No. 402-14 el equipo auditor una vez realizada la respectiva verificación del mismo, evidencia que ha sido objeto de modificaciones contractuales, lo cual generó que el contrato no se encontrara concluido a la fecha 3 de ejecución del trabajo de campo, por tanto con la finalidad de realizar un eficiente control fiscal a plenitud, es decir de gestión, financiera y de resultados se considera pertinente determinar que este contrato se incluya como muestra en la auditoría regular a la CGR correspondiente al periodo 2014. Así mismo, se aclara que con relación al contrato 396-14 en desarrollo del proceso auditor se encontraron variables que deben ser tenidas en cuenta además de ser sujetas de contradicción por parte de la CGR, por lo tanto se acudió a lo establecido en el Manual del Proceso Auditor versión 6.0, numeral 5, “Tratamiento de situaciones especiales” en la cual el Auditor Delegado para la Vigilancia de la Gestión Fiscal y el Auditor Auxiliar indicaron el procedimiento a seguir, el cual consistirá en realizar un proceso auditor por separado respecto del contrato 39614. De las labores adelantadas en el trabajo de campo y del análisis de los antecedentes contenidos en la información de las cuentas rendidas por la CGR correspondientes a las vigencias 2013 y 2014 relacionados con el proyecto SAE, y de la respuesta dada por la CGR a la Carta de Observaciones se presentan los siguientes hallazgos. 2.2 HALLAZGOS 2.2.1 Etapa precontractual La etapa que precede a cualquier proceso de contratación es la que determina el éxito o fracaso de los procesos de selección o de los contratos que se suscriban, es en esta en donde el principio de planeación tiene un papel decisivo, por lo tanto es que la entidad en esta etapa debe prestar mayor atención para lograr las metas y objetivos propuestos y la optimización de los recursos públicos invertidos. Hallazgo No. 01 - Falta de verificación de alguno de los requisitos habilitantes relacionados con la capacidad jurídica del contratista Connotación: (A) En la carpeta del contrato No. 387-12, por valor de $ 3.800 millones no se encontró autorización de la Asamblea de Accionistas al representante legal de la sociedad para contratar por el monto del contrato, ya que excede la suma de 1000 S.M.M.L.V. como consta en el certificado de existencia y representación legal de la empresa. Lo anterior, toda vez que el representante legal es quien suscribe el contrato, sin hallarse soporte alguno que acredite su autorización por parte de la Asamblea de 4 socios, excediendo las facultades otorgadas, situación que podría afectar la validez del contrato de conformidad con lo establecido en los artículos 1502 del C.C.; 190 y 196 del C. de Co. Es importante precisar que en la verificación realizada por el equipo auditor solo se encontró soporte de autorización al suplente para presentar propuesta y suscribir el contrato, y este no es quien firma el contrato. Hallazgo No. 02 - Irregularidades en la publicación de los documentos contractuales en el SECOP Connotación (A): Aplica para los contratos 199-13, 405-14 y 371-14 Connotación (A) (D): Aplica para el contrato 387-12 En los contratos relacionados en la tabla No. 2.3, no se acataron las normas de publicación consagradas en el art. 2.2.5 y 3.4.1.1 del Decreto 734 de 2012, art. 19 del Decreto 1510 de 2013 y el Tutorial del Sistema Electrónico para la Contratación Pública. Con respecto a los contratos 199-13, 405-14 y 371-14 se precisa que los documentos fueron publicados de manera extemporánea sin tener en cuenta el término establecido en el parágrafo 2, artículo 2.2.5 del Decreto 734 de 2012, lo cual no está específicamente establecido como una vulneración de los deberes funcionales. En cuanto al contrato 387-12, constituye una connotación disciplinaria por cuanto no fue publicado el acto administrativo de justificación de la contratación directa, como lo exige el inciso 2º, parágrafo 3 del artículo 2.2.5 de la Decreto 734 de 2012. El incumplimiento de esta exigencia constituye una presunta vulneración de los deberes funcionales de los responsables como lo establece el parágrafo 1 del mencionado artículo. Tabla 2-3. Irregularidades en la publicación de los documentos contractuales No. contrato 387-12 Contratista Observación MNEMO Al hacer un análisis del objeto del contrato 387-12 se observa que existe un componente de adquisición de bienes de características técnicas y uniformes, dentro de la misma prestación de servicios profesionales, es decir, de manera evidente existe una desnaturalización de la figura del contrato de prestación de servicios profesionales, toda vez que no se desarrolló de forma determinada y exclusiva a un saber intelectivo cualificado, en razón a que esta causal de la contratación directa versa sobre conocimientos profesionales o especializados, y no sobre la adquisición de bienes. En este sentido se considera que desnaturaliza el tipo de contrato ya que no se puede considerar que sea exclusivamente de prestación de servicios profesionales y por lo tanto, a través de este argumento es que se encuentra justificable la exigencia de la publicación en el SECOP del acto administrativo de justificación de la contratación directa. La adición de este contrato se celebró el 28-12-12, sin embargo se publicó en el SECOP 5 No. contrato Contratista 199-13 MNEMO 405 - 14 MNEMO CGR 37114 OPORTUNIDAD ESTRATEGICA LTDA Observación el 17-01-13. El acta de liquidación fue expedida el 28-03-14 y se publicó en el SECOP el 10-04-14, es decir se publicó 10 días después de su expedición. El contrato se celebró el 24-01-14, se publicó en el SECOP el 29-01-14 y los estudios previos se publicaron el 24-02-14 es decir después de la publicación del contrato El contrato se celebró el 24-01-14, se publicó en el SECOP el 27-01-14 y los estudios previos se publicaron el 08-09-14 es decir después de la publicación del contrato Fuente: SECOP Hallazgo No. 03 – Contratos con deficiencias en los estudios previos Connotación (A) (D): Connotación (A) (D) (F) (P): Connotación (A) (D) (P): Aplica para los contratos, 398-14 Aplica para el contrato 371-14 Aplica para los contratos 387-12, 199-13, 289-13, 291-13; 396-14; 400-14; 405-14 Tabla 2-4 Contratos con deficiencias en los estudios previos NO. CONTRATO CONTRATISTA OBSERVACIÓN VALOR $ MNEMO 387-12 5.364 MNEMO 199 -13 690 MNEMO 289 - 13 2.257 291-13 371-14 OPORTUNIDAD ESTRATEGICA LTDA OPORTUNIDAD ESTRATEGICA LTDA 529 665 Deficiencias en la descripción de la necesidad del contrato por falta de análisis de las opciones que existen para resolver dicha necesidad. Deficiencia en las especificaciones del servicio a contratar establecidas en la descripción del objeto. Indebida justificación en la escogencia de la modalidad de selección. Deficiencia en el análisis que soporta el valor estimado del contrato. Deficiencias en la descripción de la necesidad del contrato por falta de análisis de las opciones que existen para resolver dicha necesidad Deficiencia en las especificaciones del servicio a contratar establecidas en la descripción del objeto Indebida justificación en la escogencia de la modalidad de selección Deficiencias en la descripción de la necesidad del contrato por falta de análisis de las opciones que existen para resolver dicha necesidad. Deficiencia en las especificaciones del servicio a contratar establecidas en la descripción del objeto. Indebida justificación en la escogencia de la modalidad de selección. Deficiencia en el análisis que soporta el valor estimado del contrato. Indebida justificación en la escogencia de la modalidad de selección Deficiencias en la descripción de la necesidad del contrato por falta de análisis de las opciones que existen para resolver dicha necesidad Deficiencia en las especificaciones del servicio a contratar establecidas en la descripción del objeto. 6 NO. CONTRATO CONTRATISTA OBSERVACIÓN VALOR $ MNEMO 396 - 14 422 MNEMO 398 - 14 291 MNEMO 400 - 14 368 MNEMO 405 - 14 1.907 Deficiencia en las especificaciones del servicio a contratar establecidas en la descripción del objeto. Deficiencia en el análisis que soporta el valor estimado del contrato. Deficiencia en las especificaciones del servicio a contratar establecidas en la descripción del objeto Deficiencias en la descripción de la necesidad del contrato por falta de análisis de las opciones que existen para resolver dicha necesidad. Indebida justificación en la escogencia de la modalidad de selección. Deficiencia en el análisis que soporta el valor estimado del contrato. Deficiencias en la descripción de la necesidad del contrato por falta de análisis de las opciones que existen para resolver dicha necesidad. Indebida justificación en la escogencia de la modalidad de selección Fuente: documentos soportes del contrato-CGR Deficiencias en la descripción de la necesidad del contrato por falta de análisis de las opciones que existen para resolver dicha necesidad. Según lo señalado en el Anexo1-Informe Técnico respecto de los contratos: 387-12 numerales 1.1.; 1.2.; 1.3; 1.4; 1.5 289-13 numerales 2.1; 2.2 199-13 numeral 3.1 400-14 numeral 5.1; 5.3 405-14 numeral 7.1 371-14 numeral 8.1 La CGR no cumplió a cabalidad con lo establecido en el numeral 1 del artículo 2.1.1. del Decreto 734 de 2012 o con el numeral 2 del artículo 20 del Decreto 1510 de 2013, en el Manual de Contratación versión 2.0 de la CGR y en los postulados fijados por parte de la Procuraduría General de la Nación respecto al principio de planeación y la elaboración de los estudios y documentos previos, teniendo en cuenta que la descripción de la necesidad a satisfacer no está debidamente justificada, toda vez que no se hizo un análisis de las diferentes opciones por parte de la CGR frente a los costos, beneficios y desventajas de cada una de ellas para determinar la más favorable desde el punto de vista técnico, jurídico y económico. Así mismo, es importante precisar que en cuanto al contrato Nro. 289-13 la CGR no hizo un análisis en donde se tuviera en cuenta que la necesidad 7 descrita ya había sido incluida en el estudio previo del contrato Nro. 199-13 tal como se explica en el numeral 2.3 del Anexo 1 - Informe Técnico. Deficiencia en las especificaciones del establecidas en la descripción del objeto servicio a contratar Tal como se expone en el Anexo 1-Informe Técnico, para los contratos: 387-12 numeral 1.3 contrato 289-13 numerales 2.3.; 2.4 contrato 199-13 numeral 3.2 contrato 398-14 numeral 4.1 contrato 396-14 numeral 6.1 contrato 371-14 numeral 8.2 La CGR no cumplió a cabalidad con lo establecido en el numeral 2 del artículo 2.1.1 del Decreto 734 de 2012 o el numeral 2, del artículo 20 del Decreto 1510 de 2013, en el Manual de Contratación versión 2.0 de la CGR y en los postulados fijados por parte de la Procuraduría General de la Nación, respecto al cumplimiento del principio de planeación y la elaboración de los estudios y documentos previos. Indebida justificación en la escogencia de la modalidad de selección De acuerdo a lo expuesto en el Anexo 1-Informe Técnico, respecto de los contratos: 378-12 numerales 1.1.; 1.2.; 1.3; 1.5 289-13 numeral 2.1 199-13 numeral 3.1 400-14 numeral 5.1 405-14 numeral 7.1 Se observó que MNEMO no es el único proveedor en el mercado de las soluciones requeridas por la CGR para el aseguramiento de la infraestructura y del expediente electrónico. Sobre todo porque dichas soluciones las podían ofrecer otros proveedores en el mercado con características técnicas similares por lo que se debió realizar un adecuado análisis para determinar cuál era el proceso de selección que garantizara una escogencia más objetiva y transparente del contratista, con la finalidad de que resolviera la necesidad planteada en los estudios previos. Es importante precisar que con relación al contrato 291-13 no se evidencia suficiente justificación jurídica con relación a la modalidad de selección 8 aplicada en el proceso contractual, esto en el sentido de precisar que no es razonable la definición del procedimiento de selección aplicado, de acuerdo con la naturaleza, cuantía y condiciones especiales de la contratación. Así mismo, en el contrato 291-13, se incluyeron costos adicionales que de acuerdo con las características particulares del contrato no daban lugar a su inclusión, específicamente los gastos por concepto de administración, desplazamiento y papelería, los cuales no son aplicables a los contratos de prestación de servicios profesionales y de apoyo a la gestión. De acuerdo a lo anterior, la CGR en relación a la modalidad de contratación no cumplió a cabalidad con lo establecido en el numeral 3 del artículo 2.1.1. del Decreto 734 de 2012 o el numeral 3 del artículo 20 del Decreto 1510 de 2013, en el Manual de Contratación versión 2.0 de la CGR, en los postulados fijados por parte de la Procuraduría General de la Nación respecto al principio de planeación y la elaboración de los estudios y documentos previos y en especial en lo establecido por el Consejo de Estado, Sala de lo Contencioso Administrativo, Sección Tercera, en sentencia de 31 de agosto de 2006, con Radicado R- 7664, donde se refirió al principio de planeación en la contratación estatal, planteando en uno de sus apartes lo siguiente: “…Al respecto conviene reiterar que en materia contractual las entidades oficiales están obligadas a respetar y a cumplir el principio de planeación en virtud del cual resulta indispensable la elaboración previa de estudios y análisis suficientemente serios y completos, antes de iniciar un procedimiento de selección, encaminados a determinar, entre muchos otros aspectos relevantes: (…) ii) Las opciones o modalidades existentes para satisfacer esa necesidad y las razones que justifiquen la preferencia por la modalidad o tipo contractual que se escoja.”. Deficiencia en el análisis que soporta el valor estimado del contrato. En el Anexo 1- Informe Técnico se hizo un análisis detallado en cuanto a los contratos: 387-12 numeral 1.2 y su adición numerales 1.3. y 1.6 289-13 numeral 2.1. 400-14 numeral 5.2. 396-14 numeral 6.1 Se observó que no se realizó un adecuado análisis del mercado en relación a los bienes y los servicios contratados, situación que genera que no se 9 evidencie en los estudios previos conocimientos de precios, posibles oferentes, rangos de producción, etc. Todo esto teniendo en cuenta que la CGR no soportó mecanismos de análisis del mercado como solicitud de cotizaciones, análisis de precios históricos u otras consultas en bases de datos especializadas. Es decir que en el análisis que soporta el valor estimado de los contratos la CGR no cumplió a cabalidad con lo establecido en el numeral 4 del artículo 2.1.1. del Decreto 734 de 2012 o el numeral 4 del artículo 20 del Decreto 1510 de 2013, en el Manual de Contratación versión 2.0 de la CGR, en los postulados fijados por parte de la Procuraduría General de la Nación respecto al principio de planeación y la elaboración de los estudios y documentos previos y en especial en lo establecido por el Consejo de Estado, Sala de lo Contencioso Administrativo, Sección Tercera, en sentencia de 31 de agosto de 2006, con Radicado R- 7664, donde se refirió al principio de planeación en la contratación estatal, planteando en uno de sus apartes lo siguiente: “…Al respecto conviene reiterar que en materia contractual las entidades oficiales están obligadas a respetar y a cumplir el principio de planeación en virtud del cual resulta indispensable la elaboración previa de estudios y análisis suficientemente serios y completos, antes de iniciar un procedimiento de selección, encaminados a determinar, entre muchos otros aspectos relevantes: (…) iv) Los costos, valores y alternativas que, a precios de mercado reales, podría demandar la celebración y ejecución de esa clase de contrato, consultando las cantidades, especificaciones, cantidades de los bienes, obras, servicios, etc., que se pretende y requiere contratar, así como la modalidad u opciones escogidas o contempladas para el efecto.” En conclusión la CGR presuntamente vulnera lo señalado en el numeral 31, artículo 48 de la Ley 734 de 2002, en relación con los contratos 398-14, 371-14, 387-12, 199-13, 289-13, 291-13,396-14, 400-14, 405-14. En cuanto al contrato 371-14 presuntamente se configura un daño patrimonial al Estado de conformidad con lo establecido en el artículo 6º de la Ley 610 de 2000. Por otra parte también se estaría presuntamente vulnerando el artículo 410 del código penal en los contratos 387-12, 199-13, 289-13, 291-13, 371-14, 396-14, 400-14, 405-14. 10 2.2.2 Etapa contractual Hallazgo No. 04 - Irregularidades en la supervisión del contrato Connotación (A) (D) En el contrato 405 de 2014 se evidenció que el supervisor certificó el cumplimiento a satisfacción en lo relacionado con las obligaciones establecidas en las actividades de los meses de agosto, septiembre, octubre y noviembre de 2014, sin tener en cuenta los respectivos ajustes acordados en las actas de seguimiento números 7, 8, 10 y 11 correspondientes al cumplimiento mensual de dichas actividades como lo muestra la siguiente tabla. Tabla 2-5. Irregularidades en la supervisión del contrato Fecha y No. Seguimiento de Acta de Acta No. 7 de fecha 23 de septiembre de 2014, cuyo fin era hacer seguimiento a las actividades del mes de agosto. Para lo cual la líder del proyecto de Mnemo acordó entregar los ajustes el día 25 de septiembre de 2014. Fls. 296-298 carpeta No. 2 Acta No. 8 de fecha 21 de octubre, cuyo fin era hacer seguimiento a las actividades del mes de septiembre. Para lo cual la líder del proyecto de Mnemo acordó entregar los ajustes el día 27 de octubre de 2014. Fl 314 cuaderno No. 2. Acta No. 10 de fecha 24 de noviembre de 2014, cuyo fin era hacer seguimiento a las actividades del mes de octubre. Para lo cual la líder del proyecto de Mnemo acordó entregar los ajustes el día 26 de noviembre de 2014. Fls. 330-331 cuadernos No. 2. Acta No. 11 de fecha 11 de diciembre de 2014, cuyo fin era hacer seguimiento a las Oficio enviado por el profesional universitario adscrito a la Dirección Oficina de Sistemas e Informática El 10 de octubre de 2014 envía oficio al Director de la Oficina de Sistemas e Informática acusando el recibo de los ajustes correspondientes al mes de agosto de 2014 por parte de la líder del proyecto de la empresa contratista Mnemo. Certificación supervisor El 30 de octubre de 2014 envía oficio al Director de la Oficina de Sistemas e Informática acusando el recibo de los ajustes correspondientes al mes de septiembre de 2014 por parte de la líder del proyecto de la empresa contratista Mnemo. Fls. 316- 317 cuaderno No. 2 El 5 de diciembre de 2014 envía oficio al Director de la Oficina de Sistemas e Informática acusando el recibo de los ajustes correspondientes al mes de octubre de 2014 por parte de la líder del proyecto de la empresa contratista Mnemo. Fls. 332-333 cuaderno No. 2 El 19 de diciembre de 2014 envía oficio al Director de la Oficina de Sistemas e Certifica el 27 de octubre de 2014 el periodo comprendido entre el 1 de septiembre al 30 de septiembre de 2014. Fl 303 cuaderno No. 2. 11 del Certifica el 26 de septiembre de 2014 el periodo comprendido entre el 1 de agosto al 31 de agosto de 2014. Fl. 300 carpeta No. 2 Certifica el 26 de noviembre de 2014 el periodo comprendido entre el 1 de octubre al 31 de octubre de 2014. Fl 318 cuaderno No. 2. Certifica el 16 de diciembre de 2014 el periodo comprendido entre Fecha y No. Seguimiento de Acta de actividades del mes de noviembre. Para lo cual la líder del proyecto de Mnemo acordó entregar los ajustes el día 15 de diciembre de 2014. Fls. 361-363, cuaderno No. 2. Oficio enviado por el profesional universitario adscrito a la Dirección Oficina de Sistemas e Informática Informática acusando el recibo de los ajustes correspondientes al mes de noviembre de 2014 por parte de la líder del proyecto de la empresa contratista Mnemo. Fls. 363-364 cuaderno No. 2 Certificación supervisor del el 1 de noviembre al 31 de noviembre de 2014. Fl 335 cuaderno No. 2. Adicionalmente en los contratos Nos. 387-12; 199-13, 289-13 y 405-14 se evidenciaron irregularidades en la supervisión, toda vez que no se acredita un adecuado seguimiento técnico, administrativo, financiero, contable y jurídico, en razón de que se indica el cumplimiento de actividades las cuales no son soportables tal como se explica en el Anexo 1-Informe Técnico (numerales 1.8; 2.5; 2.6; 3.4 y 7.3). Lo anterior evidencia incumplimiento de lo establecido en el artículo 83 de la Ley 1474 de 2011, y presuntamente vulnera lo señalado en el numeral 31, artículo 48 de la Ley 734 de 2002. Hallazgo No. 05 - Irregularidades en las modificaciones contractuales Connotación: (A) (D) (P) Con base en lo expuesto en el Anexo 1-Informe Técnico (numerales 1.3; 7.2 ) las siguientes adiciones no tienen relación con el objeto del contrato inicial, lo que nos lleva a concluir que se trata de contratos con un objeto diferente al alcance de los objetos iniciales y por lo tanto, se debió establecer una adecuada planeación que determinara claramente el procedimiento a seguir conforme a lo establecido en la Ley contractual y el Manual de contratación versión 2.0, vigente para el momento de la celebración de las respectivas adiciones. El 28 de diciembre de 2012 se celebró la modificación y adición 1 al contrato No. 387-12 por medio de la cual se modificó la cláusula séptima del contrato correspondiente a plazo y lugar de ejecución, estableciendo en el parágrafo 3 que no podrá exceder del 31 de diciembre de 2012 y se adicionó el valor en $ 1.563.730.370. El 01 de agosto de 2014 se celebró adición al contrato No. 405-14 por medio de la cual se adicionó el valor del contrato en $ 653.000.000. Lo anteriormente expuesto presuntamente vulnera lo señalado en el numeral 31, artículo 48 de la Ley 734 de 2002 y el artículo 410 del código penal. 12 Hallazgo No. 06 - Cumplimiento del objeto contractual Connotación (A) (D): Aplica para el contrato 405-14 numeral 7.3 del Anexo 1-Informe Técnico. Connotación fiscal (A) (D) (F) (P): Aplica para los contratos 387 de 2012, 289 de 2013, 199 de 2013, numerales del Anexo –Informe Técnico (numerales 1.7, 2.5, 3.4). De acuerdo con lo establecido en el Anexo 1- Informe Técnico contratos 387-12 numeral 1.7, 289-13 numeral 2.5, 199-13 numeral 3.4 y el 405-14 numeral 7.3 se observó que presuntamente se pagaron obligaciones contractuales sin que estas fueran cumplidas a plenitud, esto en razón de que se presentó incumplimiento de algunas actividades establecidas en los contratos; lo cual podría llevar una posible lesión al patrimonio de la entidad. Lo anteriormente expuesto presuntamente vulnera lo señalado en el numeral 34, artículo 48 de la Ley 734 de 2002, presuntamente se configura un daño patrimonial al Estado de conformidad con lo establecido en el artículo 6º de la Ley 610 de 2000 y presunta vulneración al artículo 410 del código penal. 13 3 ANÁLISIS A LA RESPUESTA DADA POR LA CGR A LA CARTA DE OBSERVACIONES A continuación se presenta el resultado del análisis realizado por la AGR a la respuesta dada por la CGR a la carta de observaciones: OBSERVACIÓN AGR Observación No. 01 - Falta de verificación de alguno de los requisitos habilitantes relacionados con la capacidad jurídica del contratista. En la carpeta del contrato No. 387-12, por valor de $ 3.800 millones no se encontró autorización de la Asamblea de Accionistas al representante legal de la sociedad para contratar por el monto del contrato, ya que excede la suma de 1000 S.M.M.L.V. como consta en el certificado de existencia y representación legal de la empresa. Lo anterior, toda vez que el representante legal es quien suscribe el contrato, sin hallarse soporte alguno que acredite su autorización por parte de la Asamblea de socios, excediendo las facultades otorgadas, situación que podría afectar la validez del contrato de conformidad con lo establecido en los artículos 1502 del C.C.; 190 y 196 del C. de Co. Es importante precisar que de la verificación realizada por el equipo auditor solo se encontró soporte de autorización al suplente para presentar propuesta y suscribir el contrato, y este no es quien firma el contrato. RESPUESTA CGR Analizada la observación, se encontró que a folios 229 y 230 del expediente contractual obra el acta de fecha 23 de marzo de 2012, mediante la cual la Asamblea General de Accionistas de la sociedad MNEMO COLOMBIA SAS autorizó al representante legal para presentar oferta y suscribir el contrato con la Contraloría General de la República, hasta por la suma de $3.800.000.000. Si bien dicha autorización se encuentra identificando una persona diferente a quien suscribió el contrato, esta fue dada respecto de su calidad de suplente del Gerente, es decir, fue otorgada en función del cargo (suplente del representante legal) y no de la persona, por lo tanto se entiende que cobija igualmente a los Gerentes, dado que tal como se encuentra contenido en el certificado de existencia y representación, el suplente actúa en caso de ausencia absoluta o temporal del principal y, por ende, al estar autorizado quien suplía el cargo principal con mayor razón se encontraban autorizados quienes ejercían la titularidad del cargo de Representante Legal. Es preciso indicar que bajo esta premisa actuó la administración, amparada en el principio de la buena fe, entendiendo que dicha autorización de la Asamblea aplicó y cobijó a los representantes legales, indistintamente de si eran titulares o suplentes. 14 CONCLUSION AGR Se mantiene lo observado. Los argumentos expresados por la CGR no contradicen lo observado y por el contrario aceptan que la autorización dada por la Asamblea fue para el Suplente del gerente y no para el representante legal principal, quien fue el que suscribió el contrato sin tener la autorización de la Asamblea. OBSERVACIÓN AGR Observación No. 02 - Falta de inclusión de algunos contratos en el Plan de adquisiciones publicado en el SECOP. Los servicios objeto de los contratos 289-13; 291-13 no se encuentran incluidos en el documento correspondiente al “Plan de Adquisición de bienes, servicios y obra pública vigencia 2013” que aparece publicado en el SECOP como lo establecen los artículos 3 y 4 del Decreto 1510 de 2013 lo que afecta el principio de planeación. RESPUESTA CGR Respecto a la presente observación, vale la pena resaltar que los contratos precitados fueron suscritos en las siguientes fechas: contrato 289 el 10 de julio de 2013 y el contrato 291 el 11 de julio de 2013, fechas para las cuales no se había expedido el Decreto 1510 de 17 de julio de 2013, por lo tanto dicha norma no aplicaba para el trámite y suscripción de los mismos. CONCLUSIÓN AGR Se retira lo observado. Se aceptan los argumentos expresados por la CGR teniendo en cuenta que se verificó la publicación del plan de compras en la página WEB como lo establece el artículo 74 de la Ley 1474 de 2011. Ahora bien, dichos contratos se encontraban regidos por el Decreto 734 de 2012, los cuales estaban soportados bajo el proyecto de inversión C-213-1000-2 “Adquisición e integración de tecnologías de información y comunicaciones para la Contraloría General de la Republica, acorde con las políticas de estado TIC´s nacional”, proyecto que a su vez estaba inmerso en el programa: “Adquisición, Producción y Mantenimiento de la Dotación propia del Sector”, programa que es posible verificar se incluyó dentro del plan de adquisiciones de la vigencia de 2013. Para la verificación de lo anterior, se anexa la impresión del plan de adquisición de bienes, servicios y obra pública, vigencia 2013. OBSERVACIÓN AGR Observación No. 03 - Irregularidades en la publicación de los documentos contractuales en el SECOP En los contratos relacionados en la tabla No. 2.1, no se acataron las normas de publicación consagradas en el art. 2.2.5 y 3.4.1.1 del Decreto 734 de 2012, art. 19 del Decreto 1510 de 2013 y el Tutorial del Sistema Electrónico para la Contratación Pública. Tabla 2-1. Irregularidades en la publicación de los documentos contractuales No. contrato Contratista Observación MNEMO No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP. La adición de este contrato se celebró el 28-12-12, sin embargo se publicó en el SECOP el 17-01-13. MNEMO No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP. El acta de liquidación fue expedida el 28-03-14 y se publicó en el SECOP el 10-04-14, es decir se publicó 10 días después de su expedición. Objeto 387-12 ADQUISICION DE UN SISTEMA DE SEGURIDAD INTEGRAL DE INFORMACION, QUE INCLUYA EL LICENCIAMIENTO CORPORATIVO SCISO, MAVERIC, PRESEA Y REMEDY; DISEÑO E IMPLEMENTACION DEL SOCK; ENTREGA DEL ESTUDIO DE CORRELACION Y RECOMENDACIONES Y LA TRANSFERENCIA DE CONOCIMIENTO DE TODO AL SISTEMA; IMPLEMENTACION DE LAS METODOLOGIS Y PRODUCTOS INTEGRADOS PARA LA OPERACION Y MONITOREO DE INCIDENTES DE SEGURIDAD. 199-13 CONTRATAR EL DISEÑO MODELAMIENTO Y LA IMPLEMENTACION DE LA GUIA DE RESPONSABILÑIDAD FISCAL EDISION FEBRERO 2013 EN LA PLATAFORMA PROCESA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRONICO EN AL CGR. 15 289-13 CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS; ANALISIS DE VULNERABILIDADES EXPERTO; SUMINISTROS DE LICENCIAS POR UN AÑO DE HERRAMIENTAS PRESEA Y REMEDY; SUMINISTRO 4600 TOKENS CON LAS LICENCIAS SAFENET CLIENT PARA EL USO DE LOS DISPOSITIVOS CRIPTOGRAFICOS Y 4400 LICENCIAS PARA LA EXPEDICION DE CERTIFICADOS DIGITALES PARA EL USO DE LOS FUNCIONARIOS EN LA CGR; IMPLEMENTACION DE LA FIRMA ELECTRONICA PARA LAS APLICACIONES MISIONALES SICA; SIPAR Y CORREO ELECTRONICO; INTEGRACION SICA, SIGEDOC, SIPAR Y SAE CON EL SOFTWARE PROCESA. MNEMO No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP. 291-13 PRESTACION DE SERVICIOS PROFESIONALES, PARA EL DESARROLLO DEL ANALISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TECNICO, AL PROCESO DE IMPLEMENTACION DEL SISTEMA DE ASEGURAMIENTO ELECTRONICO - SAE-EN LA CGR, ANIVEL CENTRAL (SEDE BOGOTA). OPORTUNIDAD ESTRATEGICA LTDA No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP 398-13 CONTRATAR LA PRESTACIÓN DE SERVICIOS DE IMPLEMENTACIÓN DEL PROCESO DE JURISDICCIÓN COACTIVA INTEGRADO AL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO (SAE) 544-13 MNEMO MNEMO CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR 405 - 14 CONTRATAR LA PRESTACIÓN DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS Y EL ANÁLISIS DE VULNERABILIDAD EXPERTO PARA LAS APLICACIONES DE LA CGR. MNEMO El contrato se celebró el 24-01-14, se publicó en el SECOP el 2901-14 y los estudios previos se publicaron el 24-02-14 es decir después de la publicación del contrato CGR 371-14 PRESTACIÓN DE SERVICIOS PROFESIONALES PARA EL DESARROLLO DEL ANÁLISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TÉCNICO, DEL PROCESO DE IMPLEMENTACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRÓNICO ¿SAE- EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA. OPORTUNIDAD ESTRATEGICA LTDA El contrato se celebró el 24-01-14, se publicó en el SECOP el 2701-14 y los estudios previos se publicaron el 08-09-14 es decir después de la publicación del contrato Fuente: SECOP RESPUESTA CGR No. contrat o 387-12 Objeto Contratista Observación ADQUISICION DE UN SISTEMA DE SEGURIDAD INTEGRAL DE INFORMACION, QUE INCLUYA EL LICENCIAMIENTO CORPORATIVO SCISO, MAVERIC, PRESEA Y REMEDY, DISEÑO E IMPLEMENTACIÓN DEL SOCK, ENTREGA DEL ESTUDIO DE CORRELACIÓN Y RECOMENDACIONES Y LA TRANSFERENCIA DE CONOCIMIENTO DE TODO AL SISTEMA; IMPLEMENTACI´N DE LAS METODOLOGIASS Y PRODUCTOS INTEGRADOS PARA LA OPERACIÓN Y MONITOREO DE INCIDENTES DE SEGURIDAD MNEMO No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP. La adición de este contrato se celebró el 28-12-12, sin embargo se publicó en el SECOP el 17-01-13 CONCLUSIÓN AGR Se modifica lo observado. En cuanto al acto administrativo de justificación de la contratación directa señalado en el capítulo IV, Sección I “De las disposiciones generales aplicables a la Contratación Directa”, artículo 3.4.1.1 del Decreto 734 de 2012, aclaramos que éste no aplica para los contratos de prestación de servicios profesionales y de apoyo a la gestión, o para la ejecución de trabajos artísticos que solo pueden encomendarse a determinadas personas naturales, descritos en el artículo 3.4.2.5.1 ibídem. Frente a este tópico precisamos que no es necesario la expedición de acto administrativo de justificación de la contratación directa para los contratos de prestación de servicios, conforme lo dispone el parágrafo 2 del artículo 3.4.1.1 del precitado decreto: “Parágrafo 2°. En 16 Al hacer un análisis del objeto del contrato 387-12 se observa que existe un componente de adquisición de bienes de características técnicas y uniformes, dentro de la misma prestación de servicios profesionales, es decir, de manera evidente existe una desnaturalización de la figura del contrato de prestación de servicios profesionales, toda vez que no se desarrolló de forma determinada y exclusiva a un saber intelectivo cualificado, en razón a que esta causal de la contratación directa versa sobre conocimientos profesionales o especializados, y no sobre la adquisición de bienes. En este sentido se considera que desnaturaliza el tipo de contrato ya que no se puede considerar que sea exclusivamente de prestación de servicios profesionales y por lo tanto, a través de este argumento es que se encuentra justificable la exigencia de la publicación en el SECOP del acto administrativo de justificación de la contratación directa. tratándose de los contratos a los que se refiere el 1 artículo 3.4.2.5.1 del presente decreto no será necesario el acto administrativo a que se refiere el presente artículo.” (SUBRAYADO FUERA DE TEXTO). Esta misma excepción fue consagrada en el Capítulo IV de “Contratación Directa”, artículo 73 del Decreto 1510 de 2013. Que al tenor literal dispone: “Artículo 73. Acto administrativo de justificación de la contratación directa. La entidad estatal debe señalar en un acto administrativo la justificación para contratar bajo la modalidad de contratación directa, el cual debe contener: 1. La causal que invoca para contratar directamente. 2. El objeto del contrato. 3. El presupuesto para la contratación y las condiciones que exigirá al contratista. 4. El lugar en el cual los interesados pueden consultar los estudios y documentos previos. Este acto administrativo no es necesario cuando el contrato a celebrar es de prestación de servicios profesionales y de apoyo a la gestión, y para los contratos de que tratan los literales a), b) y c) del artículo 75 del presente decreto.” (SUBRAYADO FUERA DE TEXTO). Respecto de la falta de publicación de los estudios previos del contrato N° 387 de 2012 en el SECOP, es preciso indicar que la norma vigente al momento de la celebración del contrato, esto es, el artículo 2.2.5 del Decreto 734 de 2012, no exigía la publicación de los estudios previos en materia de contratación directa, el Se retira lo observado. Se retira la observación relacionada con la publicación de los estudios previos en el SECOP, teniendo en cuenta que el Decreto vigente para la fecha de la suscripción del contrato 387-12 no determinó de forma clara la exigencia de su publicación. 1 Subsección V. De los Contratos de Prestación de Servicios Profesionales y de Apoyo a la Gestión, Decreto 734 de 2012. Artículo 3.4.2.5.1. Contratos de prestación de servicios profesionales y de apoyo a la gestión, o para la ejecución de trabajos artísticos que solo pueden encomendarse a determinadas personas naturales. Para la prestación de servicios profesionales y de apoyo a la gestión la entidad estatal podrá contratar directamente con la persona natural o jurídica que esté en capacidad de ejecutar el objeto del contrato y que haya demostrado la idoneidad y experiencia directamente relacionada con el área de que se trate, sin que sea necesario que haya obtenido previamente varias ofertas, de lo cual el ordenador del gasto deberá dejar constancia escrita. Los servicios profesionales y de apoyo a la gestión corresponden a aquellos de naturaleza intelectual diferentes a los de consultoría que se derivan del cumplimiento de las funciones de la entidad; así como los relacionados con actividades operativas, logísticas, o asistenciales. Para la contratación de trabajos artísticos que solo pueden encomendarse a determinadas personas naturales, la entidad justificará dicha situación en el acto administrativo de que trata el artículo 3.4.1.1 del presente decreto. 17 cual señalaba: “En tratándose de la contratación directa señalada en el numeral 4 del artículo 2° de la Ley 1150 de 2007 sólo se publicará el acto a que se refiere el artículo 3.4.1.1 del presente decreto cuando el mismo se requiera, así como la información señalada en los numerales 18 y 19 del presente artículo”, es decir, no se tenía la obligación de publicar los estudios previos. Respecto a la extemporaneidad en la publicación de la adición, es importante resaltar que lo que sancionaba disciplinariamente el artículo 2.2.5 del Decreto 734 de 2012 era la falta de publicación de los actos que se originaran dentro del proceso de contratación y no la extemporaneidad de los mismos dentro de los 3 días siguientes a su suscripción; razón por la cual, la simple extemporaneidad en la publicación de los documentos no puede dar lugar a reproche alguno, toda vez que en los casos particulares efectivamente se dio cumplimiento al principio de publicidad de la contratación, no se afectó el deber funcional y no se causó ningún daño al interés general, ni se vulneraron los principios de transparencia y objetividad de la contratación. Se mantiene lo observado. Se mantiene la observación referente a la extemporaneidad en la publicación de la adición del contrato 387 de 2012 teniendo en cuenta que el numeral 18 del artículo 2.2.5 del Decreto 734 de 2012, establece la obligación de publicarla y el parágrafo 2º del mismo artículo, señala: “La publicación electrónica de los actos y documentos a que se refiere el presente artículo deberá hacerse en la fecha de su expedición, o, a más tardar dentro de los tres (3) días hábiles siguientes.” Se mantiene lo observado. Objeto No. contrat o Contratist a Observación CONTRATAR EL DISEÑO, MODELAMIENTO Y LA IMPLEMENTACIÓN DE LA GUIA DE RESPONSABILIDAD FISCAL EDISION FEBRERO 2013 EN LA PLATAFORMA PROCESA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRONICO EN LA CGR 199-13 MNEMO No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP. El acta de liquidación fue expedida el 28-03-14 y se publicó en el SECOP el 10-04-14, es decir se publicó 10 días después de su expedición. En lo que atañe a la observación referente a la publicación del acta de liquidación del anterior contrato, es preciso explicar la razón por que fue publicada 10 días después de la fecha que registra el acta. En efecto, el acta fue fechada el 28 de marzo de 2014, momento en el cual fue suscrita por el ordenador del gasto y remitida al supervisor del contrato para su revisión y los respectivos trámites de suscripción. Ahora bien, mientras se surtió dicho procedimiento de revisión por parte del supervisor y de obtención de las firmas respectivas se presentó un pequeño lapso de tiempo, lo que conllevó a que la fecha en que finalmente fue publicada en el SECOP no coincidiera con el momento en que fue fechada. En el expediente del contrato a folio 180 obra el oficio con radicado 2014IE0057731 de 08 de abril de 2014, mediante el cual el Director de la Oficina de Sistemas e Informática, en su condición de supervisor, devolvió el acta de liquidación debidamente suscrita por él y el contratista, razón por la cual el acta se publicó 18 Se mantiene la observación referente a la extemporaneidad en la publicación del acta de liquidación del contrato 199 de 2013, teniendo en cuenta que los numeral 19 del artículo 2.2.5 del Decreto 734 de 2012, establece la obligación de publicarla y el parágrafo 2º del mismo artículo, señala: “La publicación electrónica de los actos y documentos a que se refiere el presente artículo deberá hacerse en la fecha de su expedición, o, a más tardar dentro de los tres (3) días hábiles siguientes.” hasta el día 10 de abril de 2014, dado que no era posible publicarla sin la suscripción de las partes que intervinieron en ella. Se retira lo observado. No. contrat o 289-13 Objeto Contratist a Observación CONTRATAR LA PRESENTACIÓN DE SERVICIOS DE SEGURIDAD GESTIONADA PARA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS; ANALISIS… MNEMO No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP. 291-13 PRESTACION DE SERVICIOS PROFESIONALES, PARA EL DESARROLLO DEL ANALISIS, ACOMPAÑAMIENOT Y SEGUIMIENTO TECNICO, AL PROCESO DE IMPLEMENTACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRONICO – SAE EN LA CGR NIVEL CENRAL (SEDE BOGOTA) OPORTU NIDAD ESTRAT EGICA No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP. 398-13 CONTRATAR LA PRSTAIÓN DE SERVICIOS DE IMPLEMENTACION DEL PROCESO DE JURISDICCION ACTIVA INTEGRADO AL SISTEMA DE ASEGURAIENTO DEL EXPEDIENTE ELECTRONICO (SAE) MNEMO 398-14 CONTRATAR LA PRESTACIÓN DE SERVICIOS DE IMPLEMENTACION DEL PROCESO DE JURISDICCION COACTIVA INTEGRADO AL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRONICO (SAE) MNEMO No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP. No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP. 544-13 CONTRATAR LA PRESTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR MNEMO No se publicó el Acto administrativo de justificación de la contratación directa que debe incluir la indicación del lugar en donde se podrán consultar los estudios y documentos previos los cuales tampoco fueron publicados en el SECOP. En cuanto a la no publicación del acto administrativo de justificación de la contratación directa para los contratos de prestación de servicios, remitimos a los argumentos jurídicos esbozados al comienzo de esta respuesta. Sin embargo, respecto de los contratos N° 199, 289 y 544 de 2013 y 398 de 2014 no es correcto afirmar que la Contraloría hubiera omitido la publicación en el SECOP del acto administrativo mediante el cual se justifica la necesidad de la contratación, dado que dichos actos se encuentran publicados a continuación de cada contrato. Por tanto, solicitamos se revise nuevamente la consulta en la página de SECOP frente a cada uno de los contratos, ver archivo en PDF rotulado como contrato contiene varios folios, dentro de los cuales se evidencia la publicación del acto administrativo de justificación de cada uno de los contratos anteriormente citados. Vale la pena aclarar que una vez revisadas las bases de datos de los contratos suscritos durante las vigencias 19 Una vez realizado el análisis se observa que el objeto de los contratos 289-13, 291-13, 398-14 y 544-13 es de prestación de servicios profesionales y apoyo a la gestión y por lo tanto no requería del acto administrativo de la justificación de la contratación directa. 2013 y 2014, el contrato 398 de 2013 al que se hace alusión en la observación de la auditoria corresponde a un contrato de prestación de servicios suscrito con la señora Clara Maria Rodríguez. No obstante lo anterior, cabe destacar que el contrato 398 de 2014 si está suscrito con la firma Mnemo, razón por la cual la respuesta se dirige a este contrato. Respecto de la falta de publicación de los estudios previos de los contratos celebrados en el año 2013, como son el 199, 289, 291 y 544, es preciso indicar que la norma vigente al momento de la celebración del contrato, esto es, el artículo 2.2.5 Decreto 734 de 2012 no exigía la publicación de los estudios previos en materia de contratación directa, el cual señalaba: “En tratándose de la contratación directa señalada en el numeral 4 del artículo 2° de la Ley 1150 de 2007 sólo se publicará el acto a que se refiere el artículo 3.4.1.1 del presente decreto cuando el mismo se requiera, así como la información señalada en los numerales 18 y 19 del presente artículo”, es decir no se tenía la obligación de publicar los estudios previos. Se retira lo observado. Una vez analizada la respuesta dada por la CGR se concluye que no tenían la obligación de publicar los estudios previos en el SECOP de acuerdo a las disposiciones vigentes para la fecha de suscripción de los contratos, en esta caso era el Decreto 734 de 2012. Se mantiene lo observado. No. contrato CGR 37114 Objeto 405-14 CONTRATAR LA PRESTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS Y EL ANALISIS DE VULNERABILIDAD EXPERTO PARA LAS APLICACIONES DE LA CGR PRESTACION DE SERVICIOS PROFESIONALES PARA EL DESARROLLO DEL ANALISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TECNICO, DEL PROCESO DE IMPLEMENTACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRONICO SAE – EN LA CONTRALORIA GENERAL DELA REPUBLICA Contrati sta OPOR TUNID AD ESTRA TEGIC A Observación MNEM O El contrato se celebró el 24-01-14, se publicó en el SECOP el 29 -01-14 y los estudios previos se publicaron el 24-02-14 es decir después de la publicación del contrato El contrato se celebró el 24-01-14, se publicó en el SECOP el 27-01-14 y los estudios previos se publicaron el 08-09- 14 es decir después de la publicación del contrato. En cuanto a la extemporaneidad en la publicación de los estudios previos de los anteriores contratos, es necesario resaltar que lo que sancionaba disciplinariamente el artículo 2.2.5 del Decreto 734 de 2012 era la falta de publicación de los actos que se originaran dentro del proceso de contratación y no la extemporaneidad de los mismos dentro de los 3 días siguientes a su suscripción; razón por la cual, la simple extemporaneidad en la publicación de los documentos no puede dar lugar a un reproche disciplinario, toda vez que en los casos particulares efectivamente se dio cumplimiento al principio de publicidad de la contratación, no se afectó el deber funcional y no se causó ningún daño al interés general, ni se vulneraron los principios de transparencia y objetividad de la contratación. 20 Teniendo en cuenta que el artículo 19 del Decreto 1510 de 2013 señala: “La Entidad Estatal está obligada a publicar en el SECOP los Documentos del Proceso y los actos administrativos del Proceso de Contratación, dentro de los tres (3) días siguientes a su expedición” y el tutorial del sistema electrónico para la contratación pública establece que en la contratación directa se debe publicar los estudios y documentos previos. OBSERVACIÓN AGR Observación No. 04 - Deficiencias en la descripción de la necesidad del contrato por falta de análisis de las opciones que existen para resolver dicha necesidad. Una vez analizados los estudios previos objeto de auditoria que dieron origen a los contratos que se relacionan en la tabla Nro. 2.2, se observó que la CGR no cumplió a cabalidad con lo establecido en el numeral 1 del artículo 2.1.1. del Decreto 734 de 2012, en el Manual de Contratación versión 2.0 de la CGR y en los postulados fijados por parte de la Procuraduría General de la Nación respecto al principio de planeación y la elaboración de los estudios y documentos previos, teniendo en cuenta que la descripción de la necesidad a satisfacer no está debidamente justificada, toda vez que no se hizo un análisis de las diferentes opciones por parte de la CGR frente a los costos, beneficios y desventajas de cada una de ellas para determinar la más favorable desde el punto de vista técnico, jurídico y económico. Tabla 2-2. Deficiencias en la descripción de la necesidad (Millones de pesos) CONTRATISTA NO. CONTRATO TIPO DE CONTRATO OBJETO VALOR $ MNEMO 387-12 CV y/o SM ADQUISICION DE UN SISTEMA DE SEGURIDAD INTEGRAL DE INFORMACION, QUE INCLUYA EL LICENCIAMIENTO CORPORATIVO SCISO, MAVERIC, PRESEA Y REMEDY; DISEÑO E IMPLEMENTACION DEL SOCK; ENTREGA DEL ESTUDIO DE CORRELACION Y RECOMENDACIONES Y LA TRANSFERENCIA DE CONOCIMIENTO DE TODO AL SISTEMA; IMPLEMENTACION DE LAS METODOLOGIS Y PRODUCTOS INTEGRADOS PARA LA OPERACION Y MONITOREO DE INCIDENTES DE SEGURIDAD. 199 -13 PS CONTRATAR EL DISEÑO MODELAMIENTO Y LA IMPLEMENTACION DE LA GUIA DE RESPONSABILÑIDAD FISCAL EDISION FEBRERO 2013 EN LA PLATAFORMA PROCESA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRONICO EN AL CGR. MNEMO 289 - 13 PS CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS; ANALISIS DE VULNERABILIDADES EXPERTO; SUMINISTROS DE LICENCIAS POR UN AÑO DE HERRAMIENTAS PRESEA Y REMEDY; SUMINISTRO 4600 TOKENS CON LAS LICENCIAS SAFENET CLIENT PARA EL USO DE LOS DISPOSITIVOS CRIPTOGRAFICOS Y 4400 LICENCIAS PARA LA EXPEDICION DE CERTIFICADOS DIGITALES PARA EL USO DE LOS FUNCIONARIOS EN LA CGR; IMPLEMENTACION DE LA FIRMA ELECTRONICA PARA LAS APLICACIONES MISIONALES SICA; SIPAR Y CORREO ELECTRONICO; INTEGRACION SICA, SIGEDOC, SIPAR Y SAE CON EL SOFTWARE PROCESA. 371-14 PS PRESTACIÓN DE SERVICIOS PROFESIONALES PARA EL DESARROLLO DEL ANÁLISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TÉCNICO, DEL PROCESO DE IMPLEMENTACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRÓNICO ¿SAE- EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA. OPORTUNIDA D ESTRATEGICA LTDA SM CONTRATAR EL SOPORTE, MANTENIMIENTO DEL HARDWARE Y ACTUALIZACIÓN DEL SOFWARE DE LA INFRAESTRUCTURA DEL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO DESPLEGADO EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS. MNEMO 400 - 14 PS CONTRATAR LA PRESTACIÓN DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS Y EL ANÁLISIS DE VULNERABILIDAD EXPERTO PARA LAS APLICACIONES DE LA CGR. 5.364 MNEMO 405 - 14 690 2.257 665 368 MNEMO TOTAL 1.907 11.251 Fuente: contratos Lo anterior de acuerdo con lo señalado en el Anexo1- Informe Técnico (nums. 1.1.; 1.2.; 1.3; 1.4; 1.5; 2.1; 2.2; 3.1; 5.1; 5.3; 7.1 y 8.1.). Así mismo, es importante precisar que en cuanto al contrato Nro. 289-13 no se hizo un análisis en donde se tuviera en cuenta que la necesidad descrita ya había sido incluida en el estudio previo del contrato Nro. 199-13 tal como se explica en el numeral 2.3. del Anexo 1 - Informe Técnico RESPUESTA CGR CONCLUSIÓN AGR Se difiere de la observación que concluye una presunta falta de planeación por indebida justificación de la necesidad a satisfacer y falta de análisis de diferentes opciones por parte de la CGR frente a los costos, beneficios y desventajas de cada uno de ellos para determinar la más favorable desde el punto de vista técnico, jurídico y económico, primero porque para la modalidad de contratación directa, el legislador no previó la obligatoriedad de contar y Se mantiene lo observado. En los contratos 387-12, 199-13, 291-13, 371-14, 400-14 y 405-14 se observó que los estudios y documentos previos que soportan la necesidad a contratar se definió claramente la necesidad a satisfacer con la contratación, sin embargo no se evidenció que se hubiera realizado un análisis sobre otras alternativas de solución existentes en el mercado. 21 comparar varias ofertas; segundo porque el ofrecimiento más favorable a la Entidad, consagrado en el artículo 2.2.9 del Decreto 734 de 2012 no resulta aplicable para las contrataciones cuestionadas, por cuanto estaba estipulado únicamente para las modalidades de selección: licitación pública, selección abreviada (para adquisición de bienes y servicios con características técnicas uniformes y contratación de menor cuantía) y concurso de méritos y no para la contratación directa. Sin embargo, y como se expondrá más adelante en la citación que sobre la naturaleza jurídica de esta última modalidad de selección ha realizado el H. Consejo de Estado, la CGR en aras de garantizar el principio de selección objetiva, adelantó todos los análisis pertinentes, entre ellos los relacionados con la debida justificación de la necesidad a contratar, en cumplimiento de lo dispuesto en el numeral 1 del artículo 2.1.1 ibídem. Para la celebración del contrato N° 387 de 2012, suscrito con la firma MNEMO cuyo objeto consistió en la: “Adquisición de un sistema de seguridad integral de información, que incluya el licenciamiento corporativo SCISO, MAVERIC, PRESEA Y REMEDY; diseño e implementación del sock; entrega del estudio de correlación y recomendaciones y la transferencia de conocimiento de todo al sistema; implementación de las metodología y productos integrados para la operación y monitoreo de incidentes de seguridad.”, la Entidad realizó estudios con el fin de contar con herramientas de informática modernas y justificó su necesidad de contratar así: Transcribimos la justificación de la necesidad a contratar de dicho contrato: 1.- DESCRIPCIÓN DE LA NECESIDAD QUE SE PRETENDE SATISFACER.- La Contraloría General de la República (CGR) es el máximo órgano de control fiscal del Estado. Como tal, tiene la misión de procurar el buen uso de los recursos y bienes públicos y contribuir a la modernización del Estado, mediante acciones de mejoramiento continuo en las distintas entidades públicas. La Constitución Política de 1991, en su artículo 267, establece que: " El control fiscal es una función pública que ejercerá la Contraloría General de la República, la cual vigila la gestión fiscal de la administración y de los particulares o entidades que manejan fondos o bienes de la Nación". Ahora bien, si bien es cierto que el artículo 2.2.9 del Decreto 734 de 2012 no exige en la modalidad de contratación directa contar con varias ofertas para la selección del contratista en el momento de la suscripción del contrato, el numeral 1 del artículo 2.1.1 del decreto 734 de 2012, el Manual de Contratación versión 2.0 de la CGR y los postulados de la Procuraduría General de la Nación establecen la obligación de realizar un análisis de las diferentes opciones que existen para resolver dicha necesidad en el mercado y a su vez escoger la opción más favorable para resolver la necesidad frente a los costos, beneficios y desventajas de cada uno de ellos para determinar la más ventajosa desde el punto de vista técnico, jurídico y económico. De otra parte, en el oficio suscrito por la Procuradora Delegada para la Vigilancia Preventiva de la Función Pública, con radicado No. 2012ER73038 del 30 de julio de 2012, dirigido a la excontralora Sandra Morelli Rico, que en uno de sus apartes hace referencia a la sentencia de la Sección Tercera, del Consejo de Estado, con C. P: GERMÁN RODRÍGUEZ VILLAMIZAR, Radicación N° 1900123-31-000-2002-01577-01(AP) precisó: <<"En efecto, en la contratación, ya sea de manera directa o a través de licitación o concurso públicos, la administración está obligada a respetar principios que rigen la contratación estatal y, especialmente, ciertos criterios de selección objetiva a la hora de escoger el contratista al que se le adjudicará el contrato. Respecto a la contratación directa, en interpretación de la norma precitada, la Sala observa que con anterioridad a la suscripción del contrato, es deber de la administración hacer un análisis previo a la suscripción del contrato, análisis en el cual se deberán examinar factores tales como experiencia, equipos, capacidad económica, precios, entre otros, con el fin de determinar si la propuesta presentada resulta ser la más ventajosa para la entidad que contrata”. De lo expuesto se concluye que en la etapa de elaboración de estudios previos deberá efectuarse un examen profundo sobre la procedencia de acudir a esta modalidad de selección con el fin de garantizar el respeto de los postulados superiores aludidos>>. En relación con el contrato 289-13 se observa que en los estudios previos la CGR no tuvo en cuenta que la necesidad descrita ya había sido satisfecha con la ejecución del contrato Nro. 199-13, adicionalmente en la respuesta a la carta de observaciones la CGR no controvirtió lo observado respecto a este contrato. En la Carta Política, el control fiscal a la gestión pública pasó de ser previo y perceptivo, a posterior y selectivo. No obstante, el nuevo enfoque del control permite la aplicación de un control de 22 advertencia o de prevención, para que el administrador público conozca en tiempo real las inconsistencias detectadas por la Contraloría y, mediante la aplicación de un control de corrección, proceda a subsanarlas, con lo cual lograremos entidades más eficientes y eficaces, cumpliendo con el fin último del control que es el mejoramiento continuo de las entidades públicas. En cumplimiento del artículo 119 de la Constitución Nacional, la Contraloría General de la República ejerce, en representación de la comunidad, la vigilancia de la gestión fiscal y de los particulares o entidades que manejan fondos o bienes de la Nación; Evalúa los resultados obtenidos por las diferentes organizaciones y entidades del Estado, al determinar si adquieren, manejan y/o usan los recursos públicos dentro del marco legal; sujetos a los principios de economía, eficiencia, eficacia, equidad y sostenibilidad ambiental; Examina la razonabilidad de los estados financieros de los sujetos de control fiscal y determina en qué medida logran sus objetivos y cumplen sus planes, programas y proyectos; Tiene a su cargo establecer la responsabilidad fiscal de los servidores públicos y de los particulares que causen, por acción o por omisión y en forma dolosa o culposa, un daño al patrimonio del Estado; Impone las sanciones pecuniarias que correspondan y las demás acciones derivadas del ejercicio de la vigilancia fiscal; Procura, igualmente, el resarcimiento del patrimonio público; En ejercicio de la denominada jurisdicción coactiva, intenta recuperar los recursos y bienes públicos que han sido objeto de deterioro como resultado de su mala administración o que han sido apropiados en forma indebida por los funcionarios o por los particulares; Adicionalmente, la Contraloría General de la República genera una cultura de control del patrimonio del Estado y de la gestión pública; El organismo fiscalizador promueve la transparencia en el uso de los recursos públicos, mediante un proceso estratégico y focalizado en aquellas entidades y/o áreas de alto riesgo previamente identificadas. Para el cumplimiento de las funciones inherentes a la Entidad la Señora Contralora General de la República, se encuentra inmersa en un proceso de modernización que involucra el fortalecimiento de la institución en su infraestructura tecnológica que permita de manera transversal, tener mecanismos de seguridad de la información donde se minimicen los riesgos de pérdida, fuga e intrusión mal intencionada o no autorizada y se garantice la integridad, continuidad, disponibilidad y 23 confidencialidad de la información. La Contraloría General de la República (CGR), busca incorporar las mejores prácticas y estándares internacionales sobre servicios de seguridad gestionada y análisis de vulnerabilidades, con el objetivo de integrar herramientas tecnológicas que soporten la seguridad de la información. Para tal fin, la Contraloría General de la República, en los últimos doce (12) meses, ha venido adelantando un proceso de identificación de las herramientas y aplicaciones existentes en la entidad, determinando sus bondades y debilidades. Como resultado de lo anterior, la Unidad de Aseguramiento Informático y la Oficina de Sistemas de la CGR, presentaron al Despacho de la Doctora Sandra Morelli Rico, un informe relacionado con el estado de la seguridad de la información de la Entidad, que en sus apartes precisa: (..,) Con el Estatuto anticorrupción provisto por la Ley 1474 del 12 de julio de 2011, en el artículo 128, se creó la unidad de Seguridad y Aseguramiento Tecnológico que presta apoyo profesional y técnico para la formulación y ejecución de las políticas y programas de seguridad de los servidores públicos, de los bienes y de la información de la entidad. En cuanto a la coordinación de la seguridad de la información no existe en este sentido un esquema de trabajo orientado por políticas o lineamientos centralizados. Las responsabilidades de seguridad de la información no están unificadas y no responden a una definición clara y formal de las mismas. Cada área es responsable del cuidado, custodia y protección de la información que produce, hasta que es remitida al archivo central de la Dirección de Imprenta, Archivo y Correspondencia, excepto la que se almacena en Bases de datos del Centro de Cómputo cuya custodia y protección es responsabilidad de la Oficina de Sistemas e Informática, que como oficina de apoyo misional, cuenta con una solución de seguridad perimetral e infraestructura adquirida para apoyar este aspecto. Las funciones de seguridad sobre la información producida por cada dependencia son definidas al interior de las mismas y la información en computadores y documentos físicos es responsabilidad del usuario que las tiene a cargo; sustentado esto en la Ley 734 de 2002 o Código Disciplinario Único, que involucra disposiciones de las cuales se derivan deberes, prohibiciones, responsabilidades y consecuencias para el servidor público con relación al uso de la información y de los bienes informáticos y telemáticos del Estado que en su artículo 34 reza entre otros, que es deber 24 de todo servidor público "Custodiar y cuidar la documentación e información que por razón de su empleo, cargo o función conserve bajo su cuidado o a la cual tenga acceso, e impedir o evitar la sustracción, destrucción, ocultamiento o utilización indebidos." Como producto de la consultoría con EDS se entregó el documento Identificación diagnóstico y recomendaciones sobre las limitaciones y deficiencias jurídicas en contratos acuerdos y documentos administrativos de la CGR para proteger la información y propiedad intelectual, con recomendaciones jurídicas de protección a la información y a la propiedad intelectual, Acuerdos de Confidencialidad El establecimiento de pactos de confidencialidad con los empleados y terceras partes para proteger la información confidencial, estableciendo expresamente las obligaciones y limites que se han de tener en cuenta en su tratamiento, no se encuentran formalmente definidos, aunque fueron recomendaciones de los documentos de la consultoría de Seguridad. Cada área define niveles de seguridad propios. A nivel general, existe la resolución. Reglamentaria para el correo electrónico, que reglamenta la generación, envío, recepción, almacenamiento y comunicación de los mensajes de datos en la Contraloría General de lo República. En cuanto a las revisiones independientes de seguridad de la información: no se han realizado formalmente desde la consultoría mencionada en el año 2003; se han realizado algunos análisis de vulnerabilidades en forma aislada por parte de proveedores que ofrecen algunos productos a manera de muestra para la Oficina de Sistemas e Informática, pero no en forma integral. Con la consultoría dentro de los procedimientos de Administración y Prácticas de Seguridad Informática se definieron procedimientos para la Seguridad frente al acceso por parte de terceros, Registro de ingreso y egreso de personas, Identificación de riesgos por acceso de terceros, Requerimientos de seguridad en contratos con terceros. Actualmente, se siguen los procedimientos de autorización de ingreso para los proveedores y visitantes registrando su acceso a la CGR, registro de portátiles y el acompañamiento al área de trabajo. En tanto, en la Seguridad de los servicios de red, no hay una definición formal de los requerimientos de seguridad de los servicios de red. No existe un sistema de gestión de vulnerabilidades, aunque hubo una iniciativa para su adquisición esta no tuvo curso, los servicios de red son protegidos por el FireWall y el IDS/IPS hacia el medio exterior. Para el tráfico interno el control existente son las VLANs 25 que mantienen una segmentación por dependencias, pero no existen mecanismos de seguridad de red como Firewall, IDS, IPS y NAC. Por último la Política de Control de Acceso; no está definida formalmente, cada administrador de aplicación opera independientemente. Existe una definición de perfiles con los privilegios sobre las aplicaciones. De igual forma, consideran los funcionarios que presentaron el informe que: La Gestión de acceso a usuarios: los procedimientos formales para la revisión y actualización de los privilegios de acceso sobre las aplicaciones no están establecidos formalmente y no todos los sistemas cuentan con políticas para el uso de contraseñas fuertes. No hay una política para la revisión de los registros de acceso a las aplicaciones. Todos los usuarios son administradores de sus equipos, con lo cual tienen los privilegios totales para instalar, desinstalar y cambiar la configuración sin una autorización. Responsabilidad de los usuarios: Los mecanismos para responsabilizar a los usuarios frente al mal uso de contraseñas, equipo desatendido y el incumplimiento de la política de escritorio limpio no se han establecido formalmente más allá de lo establecido en la Ley 734 de 2002 o Código Disciplinario Único, que involucra disposiciones sobre deberes, prohibiciones, responsabilidades y consecuencias para el servidor público con relación al uso de la información y de los bienes informáticos y telemáticos. De acceso a la red: Se inició una labor de mejoramiento en la implementación del Directorio Activo y se empezó a aplicar para los usuarios nuevos, pero no se ha logrado generalizar. No hay un sistema de control unificado, tal como un Single Sign On. Algunos usuarios hacen uso de módems GPRS para acceder a Internet desde los equipos corporativos y así poder hacer uso de aplicado, como las redes sociales que se encuentran restringidas para el uso de Internet. Control de acceso a los sistemas operativos: el acceso a los sistemas operativos, se manejan independientemente con base en la gestión de cada administrador; pero aplicaciones para las cuales no hay políticas de contraseñas. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE APLICACIONES: Requerimientos de seguridad de los sistemas de información: Como producto de la Consultoría se entregó la definición del procedimiento A. 10.2.0.0.RO Seguridad en sistemas de aplicación y en el documento A. 8.1.0.0. D. 0 Procedimientos de Administración y Prácticas de Seguridad 26 Informática se definieron algunos perfiles de responsabilidad de la Gestión de Seguridad Informática, Sin embargo, actualmente no están explícitamente determinados los requerimientos de seguridad de los sistemas de información, sino que las personas que tienen asignado el perfil de responsabilidad actúan según su propio conocimiento, responsabilidad y destreza o de acuerdo con las recomendaciones y mejores prácticas del mercado. Procesamiento Correcto en las aplicaciones: no se han definido controles relacionados con seguridad para la validación de la captura, integridad de los datos, verificación del procesamiento de datos, ni verificación de los datos de salida. No hay un procedimiento para el análisis de vulnerabilidades de los aplicativos utilizados por la CGR, con el fin de verificar si ellos son vulnerables a inyección de código SQL, XSS u otros tipos de ataque. Controles criptográficos: no se cuenta con una definición formal de los controles criptográficos que se puedan requerir y en general, no existen mecanismos para implementar cifrado de datos. Seguridad de los sistemas de archivos: no se han definido formalmente. Gestión de Vulnerabilidades: no existe un sistema definido para la gestión de vulnerabilidades, se tuvo una iniciativa para su adquisición pero no tuvo curso. La aplicación de parches se realiza siguiendo la recomendación de los fabricantes, sin que existan procedimientos para validaciones locales frente a los sistemas de información que se van a afectar. GESTIÓN DE INCIDENTES. Reporte de eventos de seguridad de la información y vulnerabilidades.' no están definidos los procedimientos para el reporte de incidentes de seguridad, ni de vulnerabilidades. No se ha creado la sensibilización del tema para los usuarios, El Grupo de Mesa de Ayuda de la Oficina de Sistemas e Informática recibe algunos reportes de eventos de seguridad que son gestionados directamente o remitidos a los encargados según sea el tema. Gestión de incidentes de seguridad y su mejoramiento: no están definidas formalmente las acciones para el manejo de incidentes, ni tampoco hay una clasificación de los mismos, se puede decir que se manejan sin que se siga un procedimiento formal. No hay un sistema definido para el manejo y/o control de las evidencias relacionadas con eventos de seguridad. Actualmente se cuenta con un sistema de mesa de ayuda, que cubre todas las incidencias inclusive las de seguridad, pero se limita al manejo técnico de las situaciones que se pueden resolver en los computadores de escritorio o portátiles.” 27 Adicionalmente, en el marco del Convenio Interadministrativo N° 307 de 9 de mayo de 2012, se realizó un trabajo conjunto con la Policía Nacional de Colombia tendiente a determinar las necesidades tecnológicas de la Contraloría General de la República, para lo cual a través de la Oficina de Telemática se entregó un informe técnico sobre la realidad tecnológica de la CGR y las correspondientes recomendaciones de mejora. Previo a la entrega del informe anterior, se realizó visita de trabajo conjunta (CGR - Policía Nacional) a la Dirección General de la Policía de España durante los días 27 al 31 de marzo de 2012, liderada por el Vicecontralor de la época, cuyo propósito fue asistir y participar en las presentaciones de aplicaciones relacionadas con el sistema de seguridad informática, con el objeto de conocer alternativas de solución al problema de seguridad informática que tenía la Entidad. Se anexa soporte digital. Se determinaron y priorizaron como necesidades tecnológicas las siguientes: Seguridad Gestionada, Digitalización de los documentos, expedientes, laboratorio Forense avanzado, seguridad del documento o certificado mediante marca de agua, reconocimiento facial, Ciberseguridad y seguridad aplicada a las bases de datos. El 7 de mayo de 2012, el Teniente Coronel Jairo Gordillo Rojas, Jefe de la Oficina de Telemática de la Policía Nacional, envío concepto sobre el uso de la metodología SCISO y MAVERIC, el cual transcribimos a continuación: “(…) En atención a la solicitud de concepto solicitado por la Contraloría General de la República con relación a la metodología SCISO y MAVERIC, me permito presentar las siguientes observaciones: 1. Se visitaron las instalaciones del proveedor de las metodologías en la ciudad de Madrid (España) durante los días 30 y 31 de marzo de 2012, donde se adelantaron reuniones con los expertos de la metodología, quienes la explicaron y presentaron casos reales de despliegue y aplicación de la misma. También se visitó el SOC o centro de operaciones de seguridad, donde se logro observar la dimensión de supervisión, el conjunto de herramientas aplicadas y fa interacción con otros SOC de la misma compañía. 2. Se determinó que la herramienta llamada SCISO, está fundamentada en el conjunto de políticas o recomendaciones de ITIL. 3. La metodología se lleva a fa práctica mediante una herramienta que cumple fas funciones de mesa de ayuda propiedad de la 28 misma compañía y a la cual denominan 'REMEDY, la cual por ser propietaria se encuentra totalmente alineada con las demás herramientas, garantizando de esta manera la interoperabilidad de aplicaciones. 4. Se encontró otra herramienta utilizada como framework denominada PRESEA, este les permite encapsular el establecimiento de auditorías de vulnerabilidades con lo que adelantan la seguridad preventiva y proactiva. 5. La metodología les permite integrar diferentes tecnologías aplicadas a la detección y eliminación de riesgos y amenazas sobre las bases de datos y aplicaciones, facilitando no solo detectar los que vienen del exterior de las organizaciones sino que también los que son realizados al interior de la misma. 6. El contar con interoperación con otros SOC y que ellos se encuentren en América y Europa les permite monitorear de manera amplia la dinámica de los riesgos. 7. La metodología fue desarrollada de manera nativa en español, lo cual facilita la implementación en un país como Colombia. 8. Como es natural los SOC adelantan su trabajo las 24 horas del día, los 365 días del año, garantizando de esta manera un monitoreo permanente, igualmente los directivos manifestaron los procesos rigurosos de seguridad que se adelantan a fin de realizar la contratación de las personas que allí laboran. Por lo anteriormente descrito, me permito conceptuar a ese despacho que la metodología SCISO y MAVERIC están alineadas a estándares internacionales como ISO 27001 e ITIL, integrándose a diferentes componentes de hardware y software que asociados pueden adelantar los procesos de seguridad de la información que una organización como la Contraloría General de la Republica quiera implementar.(…)” En consecuencia, la Contraloría General de la República, haciendo los análisis de las metodologías y herramientas que requiere, mediante los presentes estudios, inicia el trámite contractual que garantice la adquisición de un sistema integrado de seguridad informático a) Simultáneamente, en aras de obtener dicho propósito y del principio de planeación, se realizó 29 un diagnóstico de la situación de seguridad física y de la información, suscrito por el Jefe de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático y un asesor del Despacho del Señor Vicecontralor de la época, el cual fue entregado a la señora Contralora el 18 de mayo de 2012, en el que se plasman las debilidades en la seguridad física y de la información en la Entidad y se realizaron las respectivas recomendaciones. Para concluir, estos informes anteriores, analizaban el conjunto de medidas y reactivas de la Entidad, los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, disponibilidad e integralidad de la misma b) Adicionalmente, en la justificación contenida en los estudios previos se hace referencia al proceso de modernización de la CGR, que involucra el fortalecimiento de la infraestructura tecnológica que permitiera de manera transversal, contar con mecanismos de seguridad de la información minimizando los riesgos de pérdida, fuga e intrusión mal intencionada o no autorizada y garantizando su integridad, continuidad, disponibilidad y confidencialidad de la información. E igualmente, contempló la incorporación de las mejores prácticas y estándares internacionales sobre servicios de seguridad gestionada y análisis de vulnerabilidades, con el objeto de integrar herramientas tecnológicas que soporten la seguridad de la información. Para la celebración del contrato N° 199 de 2013, suscrito con la firma MNEMO. Objeto: “Contratar el diseño, modelamiento y la implementación de la guía de responsabilidad fiscal edición febrero 2013 en la plataforma procesa© de aseguramiento del expediente electrónico en la Contraloría General de la República", se contó con la siguiente justificación de la necesidad a contratar: Observamos en el estudio previo, que esta contratación forma parte de la estrategia tecnológica de modernización, resaltando que se han implementado soluciones, tales como: “(…) la adquisición de servidores computadores, escáner, impresoras, servicios de Correo en la 30 Nube, sistemas de almacenamiento entre otros, que permiten que cada uno de los funcionarios de la Entidad cuenten con las herramientas informáticas idóneas que les ayuden y faciliten el cumplimiento de las actividades encomendadas.” Dando continuación a la citada estrategia atenderán otro frente de acción que complementa el fortalecimiento y la modernización tecnológica: “(…) se implementa la plataforma de seguridad de la información, que está compuesta por equipos de monitoreo y correlación de eventos, metodología para la operación del SOC (Centro de operaciones de Seguridad) y la metodología MAVERIC que permite la realización de Auditorías de Seguridad a los activos de información de la Contraloría General de la República. “(…) en el momento que se produzca un ataque se pueda reaccionar e impedir el daño y la fuga de información, así mismo minimizar la explotación de las vulnerabilidades que día a día cambian y afectan los sistemas de información con la acciones preventivas y el análisis de los sistemas de información y de comunicaciones, logrando que los servicios que presta la Entidad no se vean afectados y perturben el cumplimiento de la función establecida en la Constitución Política de Colombia. Dicha plataforma permite asegurar la información desde el momento de su incorporación con técnicas de encriptado, firma electrónica y sellado de tiempo consecuente con los flujos de información que se maneja en la CGR, siendo una solución aplicable a cada uno de los procesos que se llevan a cabo dentro de la Entidad.” Finalmente, para la celebración del contrato N° 371 de 2013, suscrito con la firma OPORTUNIDAD ESTRATÉGICA LTDA., cuyo objeto consistió en la: “Prestación de servicios profesionales para el desarrollo del análisis, acompañamiento y seguimiento técnico, del proceso de implementación del sistema de aseguramiento electrónico SAE en la Contraloría General de la República.”, tenemos como argumentos de la justificación de la necesidad a contratar, los esbozados en la ficha BPIM, en la cual se plasmó la exigencia de estandarizar la infraestructura tecnológica, integrando todos los procesos y procedimientos, cimentados en los objetivos institucionales, y con base en el Plan Estratégico 2010-2014 "Por un control fiscal oportuno y efectivo", se vio la necesidad de adoptar instrumentos, existentes en el marco ofrecido por las 31 Tecnologías de la Información y las comunicaciones que permitan a la CGR actuar de manera oportuna sobre una orientación de acompañamiento y que advierta, prevenga o corrija situaciones que deriven en detrimento patrimonial, cuyos derroteros se enmarcan -pero no se limitan- en el objetivo corporativo IV - Modernizar la estructura tecnológica de la CGR acorde con la política de Estado TIC, toda vez que los asuntos tecnológicos son transversales a todas las áreas de nuestra Institución. De igual forma en el Plan Estratégico 2010 – 2014, “POR UN CONTROL FISCAL Y EFECTIVO”, encontramos: “(…) Ante el rezago tecnológico identificado durante el presente ejercicio de la planeación estratégica y considerando que: la producción del sistema de Cuentas Fiscales y las actividades de control fiscal micro y macro y de rendición de cuentas son los ejes o sustentos de los procesos de fiscalización, de evaluación y de seguimiento a los resultados de la gestión pública y la sostenibilidad de sus finanzas, se adoptarán instrumentos existentes en el marco ofrecido por las Tecnologías de Información – TIC’s. Estos permitirán a la CGR actuar de manera oportuna sobre una orientación de acompañamiento, que advierta, prevenga o corrija situaciones que deriven en detrimento patrimonial. “En consecuencia, la CGR promocionará y apoyará el uso de las soluciones TIC’s como uno de los mecanismos primordiales en la modernización del Estado, con la convicción que debe apoyarse “la fuente primaria de información” para afianzar la transparencia en la gestión de los recursos y bienes públicos, facilitando la participación ciudadana en el control de la administración pública y el suministro e intercambio de información confiable, oportuna y fidedigna” (…). De otra parte, la estrategia tecnológica de modernización en la CGR, se caracteriza por estar fundamentada en tres objetivos que atinan a la estandarización del procesamiento electrónico de datos, por un control fiscal oportuno y efectivo, a saber: Cimentar: Establecer los criterios mínimos para la aplicabilidad de las mejores prácticas en el uso de las TIC, lo cual implica: Conectividad, Servidor de Dominio, Monitoreo de la Red, Servidores, Almacenamiento y Redes LAN en las Gerencias, Correlacionador de Eventos, 32 Software para Inventario, Encripción, Centro de Datos Alterno, Correo en la Nube, Recuperación de Desastre, Tecnología para salas de Audiencia, Computadores (Portátiles y Escritorio). Integrar: Crear una única fuente de información que articule todos los sistemas computacionales, aplicaciones y herramientas informáticas que utiliza la CGR, para asegurar la interoperabilidad entre las diferentes áreas de trabajo, lo cual comprende: Estandarizar Aplicaciones, Video Conferencia, Comunicaciones Unificadas, Mantenimiento de Aplicaciones, Licenciamiento de Software, Digitalización, Gobierno en Línea, Cero Papel, Ley Anti trámites, WorkFlow, Información en NAS y Nuevas Bases de Datos. Accionar: Examinar la información existente en una plataforma tecnológica cimentada, estandarizada e integrada, que garantice el expedito desarrollo de las funciones, facultades y actividades del control fiscal para lograr un alto desarrollo del nivel técnico en el ejercicio de las mismas, con lo cual tenemos: Inteligencia de Negocios, Tableros de Control, Indicadores Individuales, Minería de Datos y Movilidad de la Información. Tal como se evidenció en los documentos contentivos de cada uno de los contratos observados por la AGR, se observa que se cumplió con el principio de la planeación. Por lo antes expuesto, evidenciamos que la CGR si contó con los estudios y documentos que soportan a necesidad de contratar con la firma MNEMO COLOMBIA S.A.S. los contratos N° 387 de 2012, 199 de 2013, 289 de 2013, 400 de 2014 y 405 de 2014, la adquisición de la solución de seguridad de la información (SOC) y el sistema de aseguramiento electrónico de expedientes que garantice la seguridad de la información generada en el cumplimiento de la actividades misionales (SAE); y con la firma OPORTUNIDAD ESTRATÉGICA LTDA, los contratos N° 291 de 2013 y 371 de 2014, el análisis, acompañamiento y seguimiento técnico al proceso de implementación del sistema de aseguramiento electrónico SAE. Por ende, existió una adecuada planeación, para los procesos contractuales cuestionados. Observación No. 05 - Deficiencia en las especificaciones del servicio a contratar establecidas en la descripción del objeto En cuanto a las especificaciones del servicio a contratar establecidas en la descripción del objeto en los contratos relacionados en la Tabla No. 2.3 no se cumplió a cabalidad con lo establecido en el numeral 2 del artículo 2.1.1. del 33 Decreto 734 de 2012, en el Manual de Contratación versión 2.0 de la CGR y en los postulados fijados por parte de la Procuraduría General de la Nación respecto al principio de planeación y la elaboración de los estudios y documentos previos como se especifica en el Anexo 1-Informe Técnico ( numerales 1.3; 2.3.; 2.4; 3.2;4.1; 6.1 y 8.2). Tabla 2-3. Contratos con deficiencia en el análisis que soporta el valor estimado del contrato. (Millones de pesos) NO. CONTRATO 387-12 OBJETO ADQUISICION DE UN SISTEMA DE SEGURIDAD INTEGRAL DE INFORMACION, QUE INCLUYA EL LICENCIAMIENTO CORPORATIVO SCISO, MAVERIC, PRESEA Y REMEDY; DISEÑO E IMPLEMENTACION DEL SOCK; ENTREGA DEL ESTUDIO DE CORRELACION Y RECOMENDACIONES Y LA TRANSFERENCIA DE CONOCIMIENTO DE TODO AL SISTEMA; IMPLEMENTACION DE LAS METODOLOGIS Y PRODUCTOS INTEGRADOS PARA LA OPERACION Y MONITOREO DE INCIDENTES DE SEGURIDAD. CONTRATISTA VALOR $ MENMO 5.363 371-14 PRESTACIÓN DE SERVICIOS PROFESIONALES PARA EL DESARROLLO DEL ANÁLISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TÉCNICO, DEL PROCESO DE IMPLEMENTACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRÓNICO ¿SAE- EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA. OPORTUNIDAD ESTRATEGICA LTDA 665 199 -13 CONTRATAR EL DISEÑO MODELAMIENTO Y LA IMPLEMENT ACION DE LA GUIA DE RESPONSABILÑIDAD FISCAL EDISION FEBRERO 2013 EN LA PLATAFORMA PROCESA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRONICO EN AL CGR. MNEMO 690 289 - 13 CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS; ANALISIS DE VULNERABILIDADES EXPERTO; SUMINISTROS DE LICENCIAS POR UN AÑO DE HERRAMIENTAS PRESEA Y REMEDY; SUMINISTRO 4600 TOKENS CON LAS LICENCIAS SAFENET CLIENT PARA EL USO DE LOS DISPOSITIVOS CRIPTOGRAFICOS Y 4400 LICENCIAS PARA LA EXPEDICION DE CERTIFICADOS DIGITALES PARA EL USO DE LOS FUNCIONARIOS EN LA CGR; IMPLEMENTACION DE LA FIRMA ELECTRONICA PARA LAS APLICACIONES MISIONALES SICA; SIPAR Y CORREO ELECTRONICO; INTEGRACION SICA, SIGEDOC, SIPAR Y SAE CON EL SOFTWARE PROCESA. MNEMO 2.257 396 - 14 PRESTACIÓN DE SERVICIOS PROFESIONALES PARA CAPACITACIÓN EN EL ÁMBITO DEL "SISTEMA DE ASEGURAMIENTO ELECTRÓNICO DE EXPEDIENTES (SAE)" DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA. 398 - 14 CONTRATAR LA PRESTACIÓN DE SERVICIOS DE IMPLEMENTACIÓN DEL PROCESO DE JURISDICCIÓN COACTIVA INTEGRADO AL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO (SAE). MNEMO 422 MNEMO 291 Fuente: contratos RESPUESTA CGR CONCLUSION AGR En primer lugar es necesario aclarar que para el momento de elaboración de los estudios y documentos previos del Contrato N° 396 de 2014, el Decreto 734 de 2012 se encontraba derogado por el Decreto 1510 de 17 de julio de 2013 en su artículo 163 y la aplicación transitoria del Decreto 734 de 2012 estaba autorizada hasta el 31 de diciembre de 2013. Con el Decreto 1510 de 2013 se reglamentó el sistema de compras y contratación pública, de obligatoria aplicabilidad y cumplimiento a partir del 1º de enero de 2014. Además, en los estudios y documentos previos se cita como fundamento jurídico el numeral 3) del artículo 81 del Decreto 1510 de 2013. Dentro del principio de planeación enmarcamos el objeto contractual, que aunque de manera general se define como de prestación de servicios, esta contratación abarca otras condiciones técnicas, descritas en el alcance del objeto (numeral 2.2), en donde se detallan actividades de capacitación, tales como: actividades de planificación, de elaboración de contenidos, de ejecución de las acciones formativas, de coordinación del equipo de formadores y de soporte, que conlleva la gestión logística y evaluación de encuestas. 34 Se modifica lo observado. Si bien es cierto, para los contratos 371-14, 396-14, 39814, 400-14 y 405-14, no aplica el numeral 2 del artículo 2.1.1. del Decreto 734 de 2012, es importante aclarar que si deben cumplir con lo establecido en el numeral 2, del artículo 20 del Decreto 1510 de 2013, el cual también establece como elemento de los estudios previos el objeto a contratar, con sus especificaciones, las autorizaciones, permisos y licencias requeridos para su ejecución. De otra parte para los contratos 387-12, 289-13, 199-13 si les aplica el numeral 2 del artículo 2.1.1. del Decreto 734 de 2012. En relación a lo mencionado en su respuesta a la carta de observaciones referente al numeral 3(sic) del artículo 81 del Decreto 1510 de 2013, no se encuentra ninguna relación con esta observación. A continuación realizamos las siguientes precisiones en relación con las observaciones formuladas y contenidas en el Anexo 1 – Informe Técnico, así: 1. Contrato N° 387 de 2012: Numeral 1.1. “Falta de estudio y comparación de otras alternativas para la solución”. Citados en las observaciones N° 04 y 06. Con respecto a la selección de las metodologías MAVERIC y SCISO para el proceso de contratación, tal como se esbozó en la respuesta a la observación N° 04, se realizaron las siguientes actividades y análisis previos: - DIAGNÓSTICO PRELIMINAR DE LA SITUACIÓN ACTUAL DE LA SEGURIDAD DE LA INFORMACIÓN DE LA CONTRALORIA GENERAL DE LA REPÚBLICA. Documento conjunto Contraloría General de la República – Policía Nacional de Colombia. Abril de 2012. (Anexo). Este documento presenta el estado de la seguridad de la información en la Entidad, evidenciando necesidades puntuales que fueron atacadas con la contratación realizada como: Asignación de responsabilidades de seguridad de la Información, Revisiones independientes de seguridad de la información, Segregación de funciones, Protección contra código malicioso, Controles de la Red, Servicios de Monitoreo, Gestión de acceso a usuarios, Control de acceso a las aplicaciones, Computación móvil y teletrabajo, Procesamiento Correcto en las aplicaciones, Controles criptográficos, Seguridad de los sistemas de archivos, Gestión de Vulnerabilidades, Reporte de eventos de seguridad de la información y vulnerabilidades, Gestión de incidentes de seguridad y su mejoramiento y Cumplimiento con políticas de seguridad, estándares técnicos. - DIAGNÓSTICO PRELIMINAR DE LA PLATAFORMA TECNOLÓGICA Y ESTADO GENERAL DE LA SEGURIDAD DE LA INFORMACION EN LA RED DE DATOS DE LA CONTRALORIA GENERAL DELA REPUBLICA. Oficio No. 125873 OFITE-JEFAT-29 del 16 de mayo de2012, Oficina de Telemática de la Policía Nacional de Colombia. (Anexo). Este documento presenta el estado de la seguridad de la información en la Entidad, evidenciando necesidades puntuales que fueron atacadas con la contratación realizada como: Protección contra código malicioso, Seguridad de los servicios de red, Servicios de 35 En cuanto al numeral 1.1 y 1.2 del Anexo 1-Informe Técnico, la AGR no los mencionó en la Observación 05, por lo tanto no tiene relación con lo expuesto por la CGR en dicha observación. El análisis realizado sobre los numeral 1.1 y 1.2 del Anexo1-Informe Técnico se hizo en la respuesta dada a la observación 04. Monitoreo, Responsabilidad de los usuarios, Computación móvil y teletrabajo, Procesamiento Correcto en las aplicaciones, Controles Criptográficos, Gestión de Incidentes y Gestión de Continuidad. El documento presenta recomendaciones puntuales a la Entidad como: - - “Realizar o actualizar el inventario de activos de información donde se contemple para cada uno de ellos los riesgos e identificando las amenazas y vulnerabilidades y controles existentes con el fin de obtener el nivel de riesgo si es deseable para lograr los objetivos de la contraloría general de la nación o si se requiere un plan de tratamiento de riesgos.” “Se debe crear un procedimiento y un grupo para la oportuna gestión de incidentes de seguridad de la información.” “Implementar mecanismos de seguridad fuerte para acceder a los sistemas de información.” - COMISIÓN MADRID, ESPAÑA Del 27 al 31 de Marzo de 2012. Sistema de Seguridad Informática. Prestación de soluciones. Informe de Comisión. Documento elaborado por funcionarios de la Contraloría General de la República. (Anexo). Este documento fue el resultado de “reuniones de trabajo en la Dirección General de la Policía de España, con la Unidad Central de inteligencia y la Unidad de Investigaciones, durante los días 27 al 31 de Marzo de 2012, liderada por el Vicecontralor, cuyo propósito fue asistir y participar en las presentaciones de aplicaciones relacionadas con el sistema de seguridad informática, con el objeto de conocer alternativas de solución al problema de seguridad informática que tiene la Entidad.”, analizando a fondo en su numeral 1.1. el alcance y características de un Centro de Operaciones de Seguridad SOC (Security Operation Center). - Concepto de la Policía Nacional Oficina de Telemática del 07 de mayo de 2012 (Anexo), sobre metodologías SCISO y MAVERIC suscrita por el Jefe de la Oficina de Telemática de la Policía Nacional. Como consta en el documento el Jefe de la Oficina de Telemática, Cr. Jairo Gordillo Rojas dirigido al Jefe de la Unidad de Seguridad y Aseguramiento Tecnológico e Informático USATI, emite el siguiente concepto para la Entidad: “me permito conceptuar a ese despacho que la metodología SCISO y MAVERIC están alineadas a estándares internacionales como ISO 27001 e ITIL, integrándose a diferentes componentes de hardware y software que asociados pueden adelantar los procesos de seguridad de la información que una organización como la Contraloría General de la Republica quiera implementar.” 36 - Acuerdo de Cooperación Interinstitucional No. 307 de 9 de mayo de 2012, con el objeto de: “El objeto del presente ACUERDO en el marco de las competencia de LA CONTRALORIA GENERAL DE LA REPUBLICA Y LA POLICIA NACIONAL, aunar esfuerzos tendientes a garantizar con moralidad, eficacia, economía, eficiencia y transparencia el desarrollo y ejecución del Proyecto "Modernización de la infraestructura Tecnológica”; Aseguramiento Tecnológico y de la Seguridad en General de los Bienes y de las personas de la CONTRALORIA GENERAL DE LA REPUBLICA, que se encuentren en situación de riesgos y en consecuencia optimizar el uso racional de los recursos que garanticen la ejecución de los mismos, que se requieran, bajo los criterios técnicos, definidos por la Policía Nacional.”, dicho convenio interadministrativo, contempla en las obligaciones adquiridas por la Policía Nacional, lo siguiente: “ACCIONES A CARGO DE LA POLICÍA A TRAVES DE LA DIRECCION DE PROTECCION YSERVICIOS ESPECIALES Y LA UNIDAD DE TELEMATICA:1.1.Realizar el acompañamiento en la definición de las necesidades y en los términos de referencia, la evaluación, que responda a las necesidades de la CGR, relacionadas con la seguridad informática integral: 1.2.-Definir los criterios técnicos suficiente requeridos para el desarrollo del programa de seguridad y de aseguramiento tecnológico y de la seguridad de los bienes muebles e inmuebles de la Contraloría General de la República. 1.3.- Diseñar el Plan de Necesidades para la ejecución del Programa de Seguridad de la entidad de sus bienes inmuebles, muebles y de Aseguramiento tecnológico. 1.4.Efectuar la supervisión integral de los contratos que resulte entre la policía nacional y el proveedor seleccionado. 1.5.- Emitir Conceptos Técnicos sobre las medidas de protección de carácter tecnológico de la CGR. …” De acuerdo a los párrafos anteriores, la selección de las metodologías SCISO y MAVERIC para la implementación de los servicios de seguridad integral de la información del contrato 387/2012, de acuerdo a lo contenido en los expedientes consultados, obedecieron a una necesidad de la Entidad enmarcada en el Plan de Modernización Tecnológica de la CGR, que fue documentada, analizada y estudiada por un equipo interdisciplinario de la CGR y la Policía Nacional, además, fueron investigadas alternativas de solución en comisión realizada al exterior con la Policía Nacional de España por funcionarios de la CGR. La elección de la metodologías fue respaldada en un concepto técnico a la Oficina de Telemática de la Policía Nacional, quien es experto técnico en seguridad de la información, lo 37 anterior aunado, a que el apoyo técnico en este tipo de temas por parte de la Policía Nacional se encuentra soportado en suscripción de un Acuerdo de Cooperación Interinstitucional No. 307 con la Policía Nacional, quien entre sus obligaciones se comprometió a “1.5.- Emitir Conceptos Técnicos sobre las medidas de protección de carácter tecnológico de la CGR”. En cuanto a las metodologías SCISO – MAVERIC, es importante anotar el documento de inscripción ante la Cámara de Comercio de Bogotá, realizado el 24 de enero de 2012, bajo el número 0019590 del Libro XII a nombre de MNEMO COLOMBIA SAS, se acredita: Contrato de agencia comercial otorgado por MNEMO EVOLUTIONS E INTEGRATION SERVICES S.A., Empresa constituida por tiempo indefinido en escritura otorgada ante el Notario de Madrid, el 29 de marzo de 2001 con MNEMO COLOMBIA SAS, compañía subsidiaria indirecta de MNEMO EVOLUTION E INTEGRATION SERVICES S.A. en el territorio de Colombia y la cual está autorizada directa o indirectamente para distribuir todos los productos y servicios en el territorio de Colombia por ser el único socio comercial que distribuye y suministra soporte para los productos MAVERIC, SCISO y PRESEA. Sobre el software Remedy, no se encuentran referencias en los documentos y estudios previos, ni en la propuesta del contratista donde se afirme que es un producto exclusivo de MNEMO. Numeral 1.2. “Adquisición de elementos sin estudio de mercado”. Citados en las observaciones N° 04, 06 y 07. Es importante aclarar que los equipos Imperva, Fortinet, AlientVault, Dell y un rack HP, forman parte del Sistema Integral de Seguridad de Información como una solución interoperable basada en las metodologías SCISO y MAVERIC, con un Framework de seguridad PRESEA, por lo tanto fueron adquiridos como parte de la solución y no de manera independiente, en consecuencia, no se requirieron con condiciones o especificaciones particulares, de acuerdo a lo que se evidencia en el estudio previo y la propuesta del oferente. (Anexo) Numeral 1.3. “La adición al contrato 387-12 no tiene relación con el objeto del contrato inicial y no se evidencia estudio técnico y funcional, ni estudio de mercado que determine el valor de $ 1.563.730.370”. Citados en las observaciones N° 04, 05, 06, 07 y 09. Encontramos que mediante comunicación N° 38 Se mantiene lo observado. Una vez revisada la contradicción se observa que no allegaron el anexo a que hace referencia la CGR en su respuesta, sin embargo, en trabajo de campo fue analizada dicha comunicación evidenciándose simplemente una lista de elementos sin que se haya realizado una adecuada descripción de la necesidad a 2012IE0080773 de 28 de diciembre de 2012 (Anexo), el supervisor del contrato solicita a la Gerente Administrativa y Financiera considere la posibilidad de adicionar el mismo, adquiriendo la con la implementación de una plataforma de aseguramiento de la información electrónica, detallando además los componentes de Hardware y Software que componen, el valor de la propuesta y la fecha límite para su entrega. El 28 de diciembre de 2012 se suscribió documento de modificación y Adición N° 1 al contrato 0387 de 2012 satisfacer con la adición al contrato, tampoco se observa una justificación debidamente sustentada desde el punto de vista técnico, funcional, jurídico y económico. La justificación de la adición que hace la CGR se sustenta en la importancia de garantizar que la información almacenada electrónicamente en cada una de las audiencias verbales y ordinarias sea salvaguardada de tal manera que se pueda asegurar la confidencialidad, disponibilidad e integridad de dicha información, sin embargo vale la pena precisar que para esa época la CGR no contaba con dicha información almacenada, adicionalmente no detalla la forma en que se llegaría a satisfacer esa necesidad con la adquisición de los elementos listados en la solicitud de la adición. De otra parte, en el oficio mencionado no se evidencia la relación entre el objeto inicial del contrato y lo adicionado, es decir que el objeto inicial se podía cumplir a cabalidad sin que se hubiese adicionado. Así mismo, esta adición debió ser objeto de un contrato diferente pues no dependía de la ejecución del contrato inicial. Otro aspecto importante que no se evidencia en el oficio de solicitud de la adición del contrato es que se haya hecho un estudio de mercado que permitiera comparar los precios con otras opciones, teniendo en cuenta que Mnemo no es proveedor exclusivo de los bienes objeto de adquisición que tienen unas características técnicas similares. De acuerdo a lo expuesto anteriormente la AGR mantiene lo observado referente a las deficiencias en las especificaciones de los servicios a contratar. Numeral 1.4. “Riesgos en la validez de los certificados digitales emitidos por parte de la CGR”. Citado en la observación N° 04. Se allega en medio magnético el concepto expedido por la Oficina Jurídica de la Entidad, relacionado con los certificados digitales emitidos por la CGR. Se mantiene lo observado. Lo contenido en el numeral 1.4 no tiene ninguna relación con la observación 05 y una vez analizada la respuesta de la CGR de la observación 04, no se evidenció en ninguno de sus apartes que se refiriera a lo señalado en el numeral 1.4 del Anexo-Informe Técnico. No obstante lo anterior se hace análisis respecto de la respuesta dada. Es importante precisar que la observación 04, hace referencia a las deficiencias en la descripción de la necesidad por falta de análisis de las opciones que existen para resolver dicha necesidad En cuanto a la respuesta de este numeral la CGR no desvirtúo lo relacionado con el análisis de las opciones más favorables para satisfacer la necesidad planteada respecto de la expedición de los certificados digitales. Debido a lo anterior se evidenció el riesgo en que está inmersa la CGR al expedir certificados digitales sin haberse constituido como entidad certificadora. Esto se reafirma con lo contenido del concepto de la 39 Oficina Jurídica de la CGR que allegaron con su respuesta, que en uno de sus apartes dice: “De conformidad con el artículo 30 de la Ley 527 de 1999, modificado por el artículo 161 del Decreto ley 019 de 2012, las entidades de certificación, sean abiertas o cerradas, deben estar acreditadas ante el Organismo Nacional de Acreditación de Colombia, para efectos de expedir certificados en relación con las firmas electrónicas o digitales”. Y posteriormente dice: “En cuanto a lo establecido en la Resolución Reglamentaria 0277 de 2014, la cual en su artículo 3°, literal i., faculta a la Oficina de Sistemas e Informática para certificar la autenticidad de las firmas digitales. Al respecto se indica que en efecto, dicha actuación no se ha surtido, en razón a que de conformidad con el Decreto 333 de 2014, dicha actuación debe adelantarse ante el Organismo Nacional de Certificación, ONAC, Entidad que a la fecha, no ha establecido el procedimiento para tales efectos”. Numeral 1.5. “Adquisición de la plataforma PROCESA sin análisis de otras alternativas”. Citado en la observación N° 04. Mediante comunicación N° 2012IE0080773 de fecha 28 de diciembre de 2012, se elaboró la justificación por parte del supervisor del contrato, para solicitar la respectiva adición. Se adjunta medio magnético para los fines pertinentes. Se mantiene la observación. Lo contenido en el numeral 1.5 no tiene ninguna relación con la observación 05 y una vez analizada la respuesta de la CGR de la observación 04, no se evidenció en ninguno de sus apartes que se refiriera a lo señalado en el numeral 1.5 del Anexo-Informe Técnico. No obstante lo anterior se hace el análisis respecto de la respuesta dada. El oficio mencionado por la CGR no desvirtúa lo observado por la AGR, debido a que no sustenta debidamente las razones técnicas, jurídicas y económicas que llevaron a aceptar la propuesta presentada por Mnemo referente a la plataforma PROCESA, para el aseguramiento del expediente electrónico. Igualmente tampoco se evidenció que hubiera analizado otras alternativas de solución. Vale la pena mencionar que este oficio ya fue objeto de análisis en la respuesta al punto 1.3. 40 Numeral 1.6. “No se consultaron precios de mercado”. Citado en la observación N° 07. Para este caso nos remitimos a la respuesta dada a la observación N° 07 de este documento. La observación se mantiene. Lo contenido en el numeral 1.6 no tiene ninguna relación con la observación 05. No obstante lo anterior hacemos el análisis a la respuesta dada. Una vez analizada la respuesta dada a la observación 07 que hace referencia al análisis que soporta el valor estimado de unos contratos concluimos que aplica lo expuesto por la AGR en la respuesta a la observación 04 del presente documento. En relación a la respuesta que hace referencia a la “tecnología de PROCESA”, no se acepta teniendo en cuenta que la CGR debía realizar un análisis de mercado con el fin de verificar la existencia de otros proveedores que pudieran ofrecer diversas soluciones para satisfacer la necesidad de la entidad respecto del aseguramiento del expediente electrónico, independientemente de la plataforma de desarrollo utilizada por el proveedor. De otra parte la CGR no controvierte lo observado referente a que los precios no fueron desagregados por productos y/o servicios. Numeral 1.7. “Incumplimiento de obligaciones contratadas”. Citado en la observación N° 10. En principio nos remitimos a la respuesta dada a la observación N° 10 de este documento. En cuanto a lo relacionado con las licencias de uso, adjuntamos las actas entregadas por el contratista donde se formalizaron las respectivas entregas. o De SCISO, se adjunta acta de entrega de la licencia firmada e impresión de la licencia de uso (Carpeta Licenciamiento) o De Remedy, se adjuntan archivos oficio de cuadro general de licencias y Licencias varias Contrato 289 de 2013 (Carpeta Licenciamiento) o De Presea, se adjunta la licencia de uso recibida del contratista (Carpeta Licenciamiento) Se mantiene lo observado. Lo contenido en el numeral 1.7 no tiene ninguna relación con la observación 05. No obstante lo anterior hacemos el análisis a la respuesta dada. Una vez analizada la respuesta a la observación 10, concluimos que no tiene relación con lo observado en este numeral ya que hace referencia al contrato 371-14 y la observación corresponde al contrato 387-12. En relación con lo observado respecto de las licencias SCISO, REMEDY y PRESEA no fue desvirtuado por la CGR teniendo en cuenta que dentro de la información que se adjunta como soporte de la contradicción no incluye documento que acredite que el fabricante de los productos mencionados otorgue licencia a nombre de la CGR o autorice a Mnemo para hacerlo. Respecto a transferencia de conocimiento de este contrato se adjuntan en medio magnético los documentos que contienen manuales de uso y funcionalidad. Con respecto a la transferencia del conocimiento no adjuntaron certificación donde conste que la transferencia del conocimiento fue realizada a los funcionario de la CGR, adicionalmente los manuales del usuario no garantizan pos si mismos el cumplimiento de dicha obligación contractual. Finalmente, en lo relacionado con el inciso 3 de este numeral, manifestamos que no lo comprendemos, ya que el numeral 2 de la cláusula 9 del contrato 387-12 estipula otro tema: “Hacer entrega de todos y cada uno de los productos que se incluyen en el anexo 01 del presente contrato, en las etapas acordadas y con el cronograma presentado en la propuesta del En lo que respecta a la respuesta referente al inciso 3, se aclara que por error de transcripción se escribió numeral 2 y realmente era 12, de la misma clausula 9 enunciada en la carta de observaciones, siendo lo realmente relevante el cumplimiento de la obligación la cual fue transcrita literalmente del contrato sin que allegaran evidencia de su cumplimiento. 41 CONTRATISTA. Se mantiene lo observado. Contrato N° 289 de 2013 Numeral 2.1. “No se hizo estudio de mercado”. Citados en las observaciones N° 04, 06 y 07. Ver respuesta a la observación N° 07 de este documento. Lo contenido en el numeral 2.1 no tiene ninguna relación con la observación 05. No obstante lo anterior hacemos el análisis a la respuesta dada. Numeral 2.2. “Deficiencias en la descripción de la necesidad del contrato por falta de justificación para la adquisición.”. Citado en la observación N° 04. Una vez analizada la respuesta dada al numeral 2.1, en la observación 07, concluimos que aplica lo expuesto por la AGR en la respuesta a la observación 04 del presente documento. Lo contenido en el numeral 2.2 no tiene ninguna relación con la observación 05. No obstante lo anterior hacemos el análisis a la respuesta dada ++++7Ver respuesta a la observación N° 04 de este documento. Una vez analizada la respuesta dada al numeral 2.2, concluimos que aplica lo expuesto por la AGR en la respuesta a la observación 04 del presente documento. Numerales 2.4 y 2.5. “Se hicieron pagos sin que se hubiera cumplido con la integración de las aplicaciones por valor de $ 522.000.000.”. Citados en las observaciones N° 08 y 10. Se mantiene lo observado. Respecto a esta observación, tal como consta en el informe entregado por el supervisor del contrato relacionado con las actividades ejecutadas durante los meses de enero a abril de 2014 (Anexo), manifiesta que: Lo contenido en el numeral 2.5 no tiene ninguna relación con la observación 05. No obstante lo anterior hacemos el análisis a la respuesta dada al numeral 2.5. De acuerdo con los documentos recibidos existentes en la carpeta del presente contrato y con base en los informes de los anteriores supervisores, doy alcance a los siguientes puntos de la ejecución del contrato. 1. Implementación de la firma electrónica para las aplicaciones misionales SICA, SIPAR y Correo Electrónico En primer lugar el único proceso que se encuentra protocolizado respecto a entrega de tokens (dispositivos criptográficos), es el relacionado con el aplicativo SAE El contrato contempla una etapa de análisis y diseño de las integraciones de los sistemas de información de la entidad con Procesa, la cual se surtió y de la cual existe un entregable Como resultado de ese análisis y diseño se generó para la entidad una necesidad de ajustes y preparación de las aplicaciones la cual requiere de tiempo para la ejecución exitosa de la misma Luego de una primera prórroga solicitada en el mes de diciembre de 2013, fue necesario 42 Analizando la respuesta dada por la CGR no encontramos que se haya hecho pronunciamiento sobre lo observado en el numeral 2.4. Una vez analizada la respuesta de la CGR y el informe del supervisor que anexan, se concluye que no desvirtúa lo observado por la AGR en el numeral 2.5 del Anexo – Informe Técnico, teniendo en cuenta lo siguiente: En relación con la respuesta dada en el numeral 1 respecto de la firma electrónica para las aplicaciones misionales SICA, SIPAR y correo electrónico, concluimos que no desvirtúa lo observado referente a la implementación de la firma electrónica. Respecto del numeral 2 relacionado con la integración de las aplicaciones SICA con SIGEDOC, SIPAR con SIGEDOC, SIPAR con SICA, SICA con SAE, SIPAR con SAE, INTRANET con SAE, SICA y SIPAR. Utilizando la suite PROCESA, la CGR manifiesta que los Webservices de las aplicaciones SICA, SIPAR y SIGEDOC deben ser contratados por parte de la entidad, con lo cual están reafirmando lo observado por la AGR que no se dio cumplimiento con las integraciones establecidas en el contrato. proceder con una nueva prórroga de acuerdo con lo manifestado por la firma contratista en comunicación recibida en esta oficina, ya que no era posible realizar el cierre del proyecto con el cumplimiento de las obligaciones contenidas en el contrato a la fecha prevista en la Modificación y Prorroga 1 al mismo (28 de febrero de 2014), situación debida a eventos técnicos que afectaron la estabilidad de la plataforma SAE impidiendo la realización de actividades como la instalación del ambiente de preproducción, implementación de la firma electrónica para aplicaciones misionales SICA-SIPAR y Correo Electrónico, así como la integración de SICA, SIGEDOC, SIPAR, SAE y completar la capacitación de funcionarios, razón por la cual fue necesario conceder este plazo hasta el 30 de abril de 2014. Debido a que el contrato 289 de 2013 se firmó en el mes de julio del mismo año, de acuerdo con documentación recibida, a este tiempo ya se encontraba ejecutado un gran porcentaje del presupuesto de la oficina de sistemas e informática por lo que los desarrollos requeridos en las aplicaciones a integrarse debieron de haberse contemplado en el plan presupuestal del 2014. No obstante para el año en curso no se encuentra un rubro claro asignado para las actividades aquí mencionadas Se ha iniciado con la realización de unos pilotos los cuales persiguen alcanzar resultados exitosos en el tiempo más cercano posible. Esta actividad se refleja en el plan de acción y en el plan GEL para la actual vigencia. Finalmente vale aclarar que el contratista entregó los plug-in, documentación así como llevó a cabo la transferencia de conocimiento respecto a la firma electrónica 2. Integración SICA, SIGEDOC, SIPAR Y SAE con el software Procesa: La integración de las aplicaciones SICA, SIPAR, SIGEDOC y SAE con el software Procesa se requiere con el fin de intercambiar información entre las aplicaciones en mención. Al respecto, el proveedor lleva a cabo el desarrollo de webservices entre SAE y Procesa que son los software sobre los que el mismo debe realizar desarrollos o parametrizaciones nuevas. Respecto a los webservices de las aplicaciones SICA, SIPAR y SIGEDOC, estos deben ser contratados por parte de la entidad y debido a que no han sido tenidos en cuenta para el año en curso, estos deben quedar incluidos dentro del presupuesto del 2015 una vez sean autorizados por 43 parte de la nueva administración, para quedar completos en el transcurso del primer semestre de la vigencia en mención. Cabe anotar que tanto los webservices como la respectiva documentación ha sido entregada por parte de la firma contratista y serán utilizados una vez se cuente con los desarrollos necesarios en las otras aplicaciones.” El anterior informe, junto con los documentos y CDs recibidos de parte del contratista donde se formaliza la entrega de los desarrollos y la documentación, se adjuntan a esta respuesta (Carpeta Documentos Contrato 289-13). Esto muestra que las mencionadas actividades se cumplieron por parte del contratista ya que este entregó tanto los desarrollos de software (Webservices y Plug-ins), como su respectiva documentación de acuerdo con lo contratado (Ver CD con los archivos adjuntos) e incluso los Webservices se encuentran expuestos .n la plataforma Procesa para ser utilizados, lo que se demuestra con las pruebas efectuadas a la fecha, solo estando pendiente por terminar las pruebas de parte de la CGR (para el caso SIPAR) y desplegar en producción (para el caso de SICA), como para el caso de las aplicaciones de terceros (SIGEDOC, INTRANET), en el caso de las primeras y al no contar durante el año 2014 con los recursos para contratar estos desarrollos, como es descrito en el informe en mención, esta actividad se procedió a ejecutar con funcionarios de la CGR, a pesar de una situación relacionada con el traslado de dos (2) funcionarios desarrolladores de software en el periodo de enero a abril de 2014 lo que disminuyo la cantidad de funcionarios con este perfil en la Oficina de Sistemas e Informática (Ver documentos de traslados en el CD adjunto, carpeta “Otros documentos”), y actualmente se encuentra en fase de ajustes finales y pruebas para ser liberado a los usuarios finales y respecto a la integración con aplicaciones de terceros, estas se encuentran en proceso de contratación para que sean terminadas en el segundo semestre del año 2015 por parte de los terceros. Es de aclarar que en cuanto a la implementación de la firma digital, el plug-in desarrollado y entregado por el contratista en el cliente Microsoft Outlook ya ha sido probado y estará disponible a los usuarios auditores una vez finalice la instalación del nuevo firewall de la entidad, el cual cuenta con las licencias de VPN (cliente para red 44 privada virtual), necesarias para dar acceso seguro a los mencionados funcionarios. Numeral 2.7. “No se evidenció el contrato de licenciamiento por valor de $172.021.371”. Citado en la observación N° 10. Se adjuntan impresiones actualizadas de la página web del centro de licenciamiento de SafeNet donde se aprecia la información solicitada. 3. Contrato N° 199 de 2013 Se retira lo observado. Lo contenido en el numeral 2.7 no tiene ninguna relación con la observación 05 y nos remitimos a la respuesta a la observación 10 y no encontramos ningún soporte al respecto. No obstante lo anterior y teniendo en cuenta que la CGR adjuntó el soporte de las licencias adquiridas con SAFENET, se retira lo observado. Se mantiene lo observado. Numeral 3.1. “Ausencia de estudio de mercado de la solución independientemente de la plataforma empleada”. Citados en las observaciones N° 04 y 05. Lo contenido en el numeral 3.1 no tiene ninguna relación con la observación 05, pero si fue objeto de pronunciamiento en la observación 04. El objeto del contrato 199/2013 fue “CONTRATAR EL DISEÑO, MODELAMIENTO Y LA IMPLEMENTACIOINDE LA GUIA DE RESPONSABILIDAD FISCAL EDICIÓN FEBRERO 2013 EN LAPLATAFORMA PROCESA© DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICOEN LA CONTRALORIA GENERAL DE LA REPÚBLICA,”, revisados los documentos y estudios previos contenidos en el expediente del Contrato que dieron origen a la suscripción del mismo, se encuentra el documento “ESTUDIOS PREVIOS Y DOCUMENTOS PARA "CONTRATAR EL DISEÑO,MODELAMIENTO Y LA IMPLEMENTACIÓN DE LA GUIA DE RESPONSABILIDADFISCAL EDICIÓN FEBRERO 2013 EN LA PLATAFORMA PROCESA© DEASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO EN LA CONTRALORIAGENERAL DE LA REPÚBLICA".”, el cual en su numeral “1. ANTECEDENTES, JUSTIFICACIÓN Y DESCRIPCIÓN DE LA NECESIDAD.” (Anexo),describe y soporta la necesidad que se pretende satisfacer con la contratación, basándose en el avance en la estrategia tecnológica de modernización de la Entidad, la adquisición previa de una plataforma de seguridad de la información y una plataforma tecnológica que permite el aseguramiento electrónico de los expedientes de la entidad con firma digital, estampado de tiempo y el licenciamiento pertinente, concluyendo con la presentación de la necesidad expresa de continuar con “… con el proceso de aseguramiento de expedientes electrónicos de la Entidad, se debe diseñar, modelar e implementar en la Plataforma Procesa© el flujo del proceso de responsabilidad fiscal de carácter ordinario y verbal, cumpliendo con las disposiciones de la ley 610 de La respuesta no desvirtúa lo observado, teniendo en cuenta que la CGR la fundamenta en la necesidad de adquirir la plataforma PROCESA de propiedad de Mnemo, cuando la necesidad real consistía obtener una solución para el modelamiento e implementación del proceso de Responsabilidad Fiscal de carácter ordinario y verbal, sin que se evidencie que se haya hecho un estudio tendiente a establecer si no habían otras opciones en el mercado. 45 Adicionalmente se precisa que aplica lo expuesto por la AGR en la respuesta a la observación 04 del presente documento. 2000 y la ley 1474 de 2011, así como, con las de la Guía del Proceso de Responsabilidad Fiscal, emitida por la CGR en el mes de febrero de 2013.”, en el mismo sentido, se evidencia el estudio de mercado en el numeral 4.1., bajo la siguiente justificación “Evaluando el mercado actual de empresas que pueden ofertar los servicios requeridos, se evidenció que los únicos legalmente autorizados para ofrecer el servicio en Colombia de diseño, modelamiento e implementación de la guía de responsabilidad fiscal en la plataforma PROCESA© de aseguramiento del expediente electrónico, es la compañía MNEMO COLOMBIA S.A.S. …”, como soporte de lo anterior se evidencia en los documentos de la etapa precontractual la “Certificación expedida por el fabricante MNEMO EVOLUTION INTEGRATION SERVICES, S.A., de ser el único desarrollador y fabricante de la familia productos denominados PROCESA©, compuesta por productos PROCESA Gestión Electrónica de Expedientes y PROCESA Mobile — en todo el mundo. Y que para el objeto de la compra y/o explotación de la citada familia de productos por parte de cualquier institución, compañía u organización en el país de Colombia, sin limitación temporal alguna, la compañía MNEMO COLOMBIA S.A.S. es el único socio comercial.”, documento que a su vez se encuentra registrado en la Cámara de Comercio de la empresa desde el “EL DIA 12 DE ABRIL DE 2013 BAJO EL NUMERO 00020356 DELLIBRO XII A NOMBRE DE: MNEMO COLOMBIA SAS.”. Numeral 3.2. “Ausencia de especificaciones requeridas que forman parte del equipo de trabajo y precio ofertado” Citado en la observación N° 05. El objeto del contrato N° 199 de 2013 fue “CONTRATAR EL DISEÑO, MODELAMIENTO Y LA IMPLEMENTACIOIN DE LA GUIA DE RESPONSABILIDAD FISCAL EDICIÓN FEBRERO 2013 EN LA PLATAFORMA PROCESA© DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO EN LA CONTRALORIA GENERAL DE LA REPÚBLICA,”, revisados los documentos y estudios previos contenidos en el expediente del Contrato que dieron origen a la suscripción del mismo, se encuentra el documento “ESTUDIOS PREVIOS Y DOCUMENTOS PARA "CONTRATAR EL DISEÑO, MODELAMIENTO Y LA IMPLEMENTACIÓN DE LA GUIA DE RESPONSABILIDAD FISCAL EDICIÓN FEBRERO 2013 EN LA PLATAFORMA PROCESA© DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO EN LA CONTRALORIA GENERAL DE LA REPÚBLICA". ”, el cual en su numeral “1. ANTECEDENTES, JUSTIFICACIÓN Y DESCRIPCIÓN DE LA NECESIDAD.”, describe la justificación de la necesidad de la contratación y en su numeral 2.2 46 Se mantiene lo observado Una vez analizada la respuesta dada por la CGR al numeral 3.2 de la observación 05, se concluye que la respuesta no desvirtúa lo expuesto por la AGR, teniendo en cuenta que solo basan la contradicción en que establecieron en el contrato que se debía disponer del recurso humano sin que se especificara el número de profesionales, el perfil, la disponibilidad de tiempo de dichos profesionales que garantizara la calidad en el desarrollo de la solución y permitiera a su vez analizar si el precio ofertado se ajustaba a los precios del mercado. ESPECIFICACIONES TÉCNICAS O ALCANCE DEL CONTRATO, específica “Los requerimientos a atender para satisfacer las necesidades están asociados con la ejecución de tareas y/u obtención de los productos”, en el mismo sentido dichas especificaciones técnicas fueron incluidas en la minuta del contrato en su CLÁUSULA OCTAVA.- OBLIGACIONES DEL CONTRATISTA, donde además, se evidencian los siguientes numerales con requerimientos de obligatorio cumplimiento referentes a disponibilidad de personal para la ejecución del contrato “20) Asignar a un profesional para que en su rol de Director de Proyecto coordine la planificación, diseño y ejecución de las tareas requeridas para atender los requerimientos planteados. Dicho profesional tendrá un interlocutor directo asignado por parte de la Oficina de Sistemas de la CGR; 21) Disponer del recurso humano en número y calidad de formación y experiencia profesional en cada uno de los equipos y software que se utiliza en el proyecto, para atender los requerimientos respecto de las actividades mencionadas, bajo las condiciones de tiempo, alcance que se definan”, por consiguiente es importante aclarar para este punto, que de acuerdo a lo expuesto en los documentos y estudios previos el contratista tenía la obligación de cumplimiento de producto y entregables para lo cual debía disponer de todos los recursos humanos a que hubiese lugar, lo anterior se soporta en la calidad de experto en la herramienta Procesa de acuerdo a “Certificación expedida por el fabricante MNEMO EVOLUTION INTEGRATION SERVICES, S.A., de ser el único desarrollador y fabricante de la familia productos denominados PROCESA©, compuesta por productos PROCESA Gestión Electrónica de Expedientes y PROCESA Mobile — en todo el mundo. Y que para el objeto de la compra y/o explotación de la citada familia de productos por parte de cualquier institución, compañía u organización en el país de Colombia, sin limitación temporal alguna, la compañía MNEMO COLOMBIA S.A.S. es el único socio comercial.”, documento que a su vez se encuentra registrado en la Cámara de Comercio de la empresa desde el “EL DIA 12 DE ABRIL DE 2013 BAJO EL NUMERO 00020356 DEL LIBRO XII A NOMBRE DE: MNEMO COLOMBIA SAS.”. 4. Contrato N° 398 de 2014 Numeral 4.1. “No se especificó el número de profesionales que intervendrían así como tampoco se desagregó el precio”. Citado en las observación N° 05. Se anota que en el informe especial se contextualiza en su totalidad de manera exclusiva a supuestos omisiones bajo el sustento del Decreto 734 de 2.012, el cual fue derogado en su totalidad a través del Decreto 1510 de 2.013, desconociéndose que la estructuración de los contratos en gran parte objeto de este informe fueron estructurados a partir del 01 de enero de 2.014, por lo que dichos fundamentos así como su estructura, son 47 Se aclara lo observado. Si bien es cierto, para el contrato 398-14, no aplica el numeral 2 del artículo 2.1.1. del Decreto 734 de 2012, es importante aclarar que si debe cumplir con lo establecido en el numeral 2, del artículo 20 del Decreto 1510 de 2013, el cual también dispone como elemento de los estudios previos el objeto a contratar, con sus especificaciones, las autorizaciones, permisos y licencias requeridos para su ejecución. En la respuesta la CGR manifiesta que el contratista tenía la obligación de cumplimiento de producto y entregables para lo cual debía disponer de todos los recursos humanos a que hubiese lugar, sin embargo la CGR en el estudio previo ha debido especificar el diametralmente ajenos a la normatividad aplicada a este tipo de contratos. El objeto contrato fue el de “CONTRATAR LA PRESTACIÓN DE SERVICIOS DE IMPLEMENTACION DEL PROCESO DE JURISDICCIÓN COACTIVA INTEGRADO AL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO (SAE)”. De acuerdo a esta específica connotación, se estructuró en la etapa correspondiente el alcance y las especificaciones de esos SERVICIOS, para obtener con ellos los módulos e hitos que satisficieran las necesidades de seguridad e integración del sistema SAE en su totalidad, sin que los procesos de cobro coactivo fueran la excepción. Por consiguiente es importante aclarar, que de acuerdo a lo expuesto en los documentos y estudios previos el contratista tenía la obligación de cumplimiento de producto y entregables para lo cual debía disponer de todos los recursos humanos a que hubiese lugar, lo anterior se soporta en la calidad de experto en la herramienta Procesa de acuerdo a “Certificación expedida por el fabricante MNEMO EVOLUTION INTEGRATION SERVICES, S.A., de ser el único desarrollador y fabricante de la familia productos denominados PROCESA©, compuesta por productos PROCESA Gestión Electrónica de Expedientes y PROCESA Mobile - en todo el mundo. Y que para el objeto de la compra y/o explotación de la citada familia de productos por parte de cualquier institución, compañía u organización en el país de Colombia, sin limitación temporal alguna, la compañía MNEMO COLOMBIA S.A.S. es el único socio comercial.”, documento que a su vez se encuentra registrado en la Cámara de Comercio de la empresa desde el “EL DIA 12 DE ABRIL DE 2013 BAJO EL NUMERO 00020356 DEL LIBRO XII A NOMBRE DE: MNEMO COLOMBIA SAS.” Si el propósito de la CGR fuera el de la contratación de un equipo de trabajo específico para que prestaran sus servicios y fueron subordinados por las oficinas técnicas de la Entidad, la estructuración de la etapa precontractual, las especificaciones técnicas y el alcance del objeto hubiese sido otro igual o similar al que pareciera exigir el grupo auditor a partir de la observación que nos ocupa. Como puede observarse en el alcance del contrato, conforme a las necesidades de la Entidad, se requería “(…) el desarrollo, la implementación y la puesta en producción del proceso de Cobros Coactivos 48 número de profesionales, el perfil, la disponibilidad de tiempo, el número de horas de desarrollo que se requería para que el proveedor pudiera garantizar la calidad de la solución. integrados al SAE” y para tal efecto el objeto del alcance no debería ser como se quiere enrostrar con la observación, de manera exclusiva contratar un grupo de profesionales para desarrollar el servicio requerido, sino en especial obtener el desarrollo, la implementación y puesta en producción del SAE para este tipo de procesos de ahí que el alcance del objeto estaba alineado no a requerir un equipo de trabajo como lo está exigiendo el grupo auditor, sino a los MÓDULOS necesarios para de manera eficiente, alcanzar el objeto del contrato: “El proceso de Cobros coactivos integrado al SAE debe contener los siguientes módulos: 2.1. Módulos de evaluación de título ejecutivo Fiscales (el mantenimiento contempla inserción, eliminación, actualización y consulta). Hace referencia al estudio realizado por el funcionario de jurisdicción coactiva a cada TE registrado en el sistema. El proceso se debe detallar con un funcionario del área experto del negocio. 2.2. Módulo de mantenimientos de títulos ejecutivos Fiscales (el mantenimiento contempla inserción, eliminación, actualización y consulta). Este módulo hace referencia a la gestión de títulos (TE) que no provienen de un fallo de responsabilidad fiscal que no proviene de SAE-PRF. El proceso se debe detallar con un funcionario del área experto del negocio. 2.3. Módulo Mantenimiento Responsables Fiscales (El mantenimiento contempla inserción, eliminación, actualización y consulta). Este módulo permite ingresar los datos de las personas naturales, jurídicas y terceros civilmente responsables. El proceso se debe detallar con un funcionario del área experto del negocio. 2.4. Módulo de Solidarios. (El mantenimiento contempla inserción, eliminación, actualización y consulta). Hace referencia a las personas que El proceso se debe detallar con un funcionario del área experto del negocio. 2.5. Módulo de Mantenimiento de Providencias (el mantenimiento contempla inserción, eliminación, actualización y consulta). El proceso se debe detallar con un funcionario del área experto del negocio. 2.6. Módulo de consulta de antecedentes del Proceso. Se define un formulario de consulta que muestre los datos relevantes del PRF. Estos datos se deben definir por un funcionario del área experto del negocio. 2.7. Módulo de Consultas de Cuantías. El proceso se debe detallar con un funcionario del área experto del negocio. 2.8. Módulo de mantenimiento de Bienes (el mantenimiento contempla inserción, eliminación, actualización y consulta). Se define como la 2.9 totalidad de Bienes existentes para un determinado Ejecutado. El proceso se debe detallar con un 49 funcionario del área experto del negocio. 2.9. Módulo de Mantenimiento de Medidas cautelares (el mantenimiento contempla inserción, eliminación, actualización y consulta). 2.10. Módulo de Mantenimiento de Embargos (el mantenimiento contempla inserción, eliminación, actualización y consulta). Es la medida cautelar decretada y que recae en el bien o Bienes del Ejecutado. El proceso se debe detallar con un funcionario del área experto del negocio. 2.11. Módulo de Mantenimiento de Embargos (el mantenimiento contempla inserción, eliminación, actualización y consulta). Es la medida cautelar decretada y que recae en el bien o Bienes del Ejecutado. El proceso se debe detallar con un funcionario del área experto del negocio. 2.12. Módulo de Mantenimiento de Secuestros (el mantenimiento contempla inserción, eliminación, actualización y consulta). Es la medida por la cual se designa a un auxiliar de la justicia para la administración de los bienes objeto de medida cautelar. El proceso se debe detallar con un funcionario del área experto del negocio. 2.13. Módulo de Mantenimiento de Medidas remanentes (el mantenimiento contempla inserción, eliminación, actualización y consulta). El proceso se debe detallar con un funcionario del área experto del negocio. 2.14. Módulo de Mantenimiento de Avalúos y Remates (el mantenimiento contempla inserción, eliminación, actualización y consulta). Es el estudio hecho por un auxiliar de la justicia con el fin de valorar económicamente un bien objeto de medida cautelar para su posterior remate. El proceso se debe detallar con un funcionario del área experto del negocio. 2.15. Módulo de Mantenimiento de Búsqueda de bienes (el mantenimiento contempla inserción, eliminación, actualización y consulta). Contempla la totalidad de acciones desarrolladas para encontrar bienes de propiedad del ejecutado o ejecutados. El proceso se debe detallar con un funcionario del área experto del negocio. Módulo de Mantenimiento de Sustanciadores (el mantenimiento contempla inserción, eliminación, actualización y consulta). Se refiere a los funcionarios asignados que conocieron el proceso de Cobro Coactivo durante su trámite. El proceso se debe detallar con un funcionario del área experto en el negocio”. 2.16. Módulo de Mantenimiento de Sustanciadores (el mantenimiento contempla inserción, eliminación, actualización y consulta). Se refiere a los funcionarios asignados que conocieron el proceso de Cobro Coactivo durante su trámite. El proceso se debe detallar con un funcionario del área experto del negocio. 2.17. Módulo de títulos de depósito judicial. Permite gestionar los títulos de depósito judicial que reposan en las dependencias de jurisdicción coactiva que se 50 encuentran en custodia; así mismo tener una relación de los títulos de depósito judicial con las obligaciones. El proceso se debe detallar con un funcionario del área experto del negocio. 2.18. Módulo de Cartera. Este módulo contempla el mantenimiento de: - Pagos. - Acuerdos de Pagos. Liquidaciones.- Reliquidaciones. - Revocatorias de Acuerdos de Pagos. Pagos Anticipados. Liquidaciones Solidarias. - Mantenimiento variables que afecten la liquidación (Histórico de tasas de Interés corriente bancario, histórico de IPC (índice de precios al consumidor),y las demás que estén contempladas por la ley). El modulo se define como la funcionalidad que permite llevar el registro y control de las actividades de recaudos del proceso de cobro coactivo realizados por la entidad. El proceso se debe detallar con un funcionario del área experto del negocio”. De manera puntual como pareciera ser inadvertido en la observación que nos ocupa, el reglamento vigente para ese entonces determina con precisión el contenido de los estudios y documentos previos así: “1. La descripción de la necesidad que la Entidad Estatal pretende satisfacer con el Proceso de Contratación. 2. El objeto a contratar, con sus especificaciones, las autorizaciones, permisos y licencias requeridos para su ejecución, y cuando el contrato incluye diseño y construcción, los documentos técnicos para el desarrollo del proyecto. 3. La modalidad de selección del contratista y su justificación, incluyendo los fundamentos jurídicos. 4. El valor estimado del contrato y la justificación del mismo. Cuando el valor del contrato esté determinado por precios unitarios, la Entidad Estatal debe incluir la forma como los calculó y soportar sus cálculos de presupuesto en la estimación de aquellos. La Entidad Estatal no debe publicar las variables utilizadas para calcular el valor estimado del contrato cuando la modalidad de selección del contratista sea en concurso de méritos. Si el contrato es de concesión, la Entidad Estatal no debe publicar el modelo financiero utilizado en su estructuración. 5. Los criterios para seleccionar la oferta más favorable. 6. El análisis de riesgo y la forma de mitigarlo. 7. Las garantías que la Entidad Estatal contempla exigir en el Proceso de Contratación. 8. La indicación de si el Proceso de Contratación está 2 cobijado por un Acuerdo Comercial” . Cada uno de estos ítem se encuentran satisfechos bajo los principios aplicables a la contratación estatal y 2 Artículo 20 del Decreto 1510 de 2.013. 51 la función administrativa en la etapa previa o precontractual como se evidencia de los estudios previos y la planeación estructural del proyecto de implementación SAE en la entidad, al punto que no obstante la complejidad de la nueva exigencia de este Decreto – Estudios del Sector – ésta entidad como una de las entidades pioneras y previa a la guía que en su momento expidió la Agencia de Contratación Eficiente, ocupó gran parte de su planeación en este análisis, al margen que prácticamente estábamos exentos de tal exigencia por estar ante un contrato de prestación de servicios como el suscrito y por tanto reducía el campo de análisis y las respectivas conclusiones. Numeral 4.2. “No se exigió la aplicación de una metodología idónea para el desarrollo del software”. Se debe tener especial consideración en esta observación que la metodología “idónea” para desarrollar el software per se no implica garantizar la calidad del producto. El objeto del contrato no está relacionado de manera exclusiva con el – desarrollo de un software- sino que además se requirió la INTEGRACIÓN y PUESTA EN MARCHA de estos módulos en el SAE para los procesos de Cobro Coactivo. Para lo anterior, se evidencia en la propuesta presentada por el contratista a páginas 17 a la 25, el apartado “Fases y Procesos”, donde se describió la metodología a utilizar para la ejecución del proyecto, definida por procesos y subprocesos así: PROCESO DE ADMINISTRACIÓN DE PROYECTOS o Subproceso de Administración de riesgos (RSKM) o Proceso Integrado de Planificación y Monitorización del Proyecto (IPM) PROCESO DE INGENIERÍA o Subproceso de desarrollo y administración de requisitos (RDM) o Subproceso de Solución Técnica (TS) o Subproceso de Verificación, Validación e Integración de Productos (VVIP) PROCESOS DE SOPORTE o Proceso para la Administración de la Documentación (CM) o Proceso de Identificación de Solución (DAR) o Proceso de aseguramiento de Calidad de Proceso y de Producto (PPQA) En efecto, el auditado, procedió en la etapa de planeación a identificar la metodología que de acuerdo a las circunstancias de ese entonces, los supuestos y 52 Se mantiene lo observado. A pesar de que en la observación 05 no se citó el numeral 4.2 este si tiene relación con las deficiencias en las especificaciones del objeto a contratar se mantiene lo observado, teniendo en cuenta que la CGR no desvirtúa con su respuesta lo observado por la AGR. Lo anterior debido a que en las especificaciones del servicio a contratar no se exigió la aplicación de una metodología idónea, la cual es la base para obtener una solución de calidad y es esencial tanto para la planeación como para la ejecución del proyecto, lo que se ve reflejado en el sustento de la solicitud de prórroga por parte del contratista, en el que propone el cambio de metodología que se venía desarrollando por etapas para hacerla por ciclos, de tal forma que permitiera el desarrollo de actividades paralelas, la optimización de los tiempos y recursos de implementación del proyecto, demostrando con esto que la que se venía ejecutando no era la más idónea. variables a tener en cuenta, resultaban los más beneficiosos para la Entidad y así satisfacer la necesidad identificada, que no implicaban en exclusiva el desarrollo de un software, sino la integración y puesta en marcha de la misma en el SAE. De otra parte, la modificación del contrato no obedeció como quiere dar a entender la observación a una deficiente planeación por parte de la Entidad en el momento de estructurar la solución práctica para los procesos de cobro coactivo, sino a unas determinadas circunstancias sobrevinientes y ajenas a la Entidad e incluso, al mismo contratista, que en tal sentido ni siquiera fueron valoradas por el grupo auditor, y que por lo tanto se invita de manera respetuosa a constatar una vez analizadas estas contradicciones, a pesar de que en ellas existe un análisis juicioso de oportunidad y conveniencia de tal modificación, que en últimas solo pretendían la satisfacción de la necesidad de la Entidad. La prórroga realizada al Contrato 398/2014 obedeció a situaciones imprevisibles en la etapa de planeación del contrato, por cuanto el mismo contemplaba una fase de levantamiento de requerimientos y diseño de la solución contratada. Lo anterior fue expresado por el representante legal del CONTRATISTA., quien solicitó la prorroga al contrato mediante oficio del 27 de mayo de 2014 (Anexo) dirigido a los supervisores, donde manifestó lo siguiente: “(…) de acuerdo con los requerimientos técnicos funcionales solicitados por la Contraloría General de la República de Colombia, sin embargo, durante el levantamiento de especificaciones técnicas funcionales que componen el desarrollo de todos los componentes solicitados, se encontró que se requiere un nivel de profundización en el diseño de cada uno de los módulos así como el diseño de algunas funcionalidades complementarias cuya especificación y desarrollo implica tiempos adicionales a los establecidos al momento del contrato. Estas funcionalidades complementarias y necesarias para el correcto funcionamiento del Proceso de Jurisdicción Coactiva, imprevisibles por ambas partes al momento del establecimiento del contrato en referencia, han requerido de un tiempo adicional en las siguientes actividades: • La etapa de levantamiento de especificaciones. • El desarrollo de las funciones y subprocesos complementarios. • Realización de pruebas de funcionamiento por parte del grupo de desarrollo y de los usuarios finales del sistema. Estos aspectos mencionados implicaron la modificación de la metodología de desarrollo del proyecto en la cual se 53 plantea un desarrollo por ciclos y no por etapas como se definió inicialmente, esta nueva metodología permitió el desarrollo de actividades paralelas y la optimización de los tiempos y recursos de implementación del proyecto, de tal manera que a la fecha ya se finalizó todo el levantamiento y aprobación de especificaciones, el desarrollo de los tres ciclos establecidos se ha venido ejecutando en paralelo, se está elaborando la documentación formal del desarrollo y se están diseñando los conjuntos de pruebas de usuario final. En este orden de ideas solicitamos una prórroga en la ejecución del contrato hasta el 11 de julio de 2014, esta prórroga no implica costos adicionales para la Contraloría General de la República y busca simplemente incluir todas las necesidades que la implementación sobre el sistema SAE del proceso de Jurisdicción Coactiva requiere para un adecuado funcionamiento, finalizar todas las actividades mencionadas en el párrafo anterior y realizar todas las pruebas requeridas sobre el sistema implementado. Lo anterior redundará para la Contraloría en la reducción del tiempo de estabilización y la mitigación del número de incidencias sobre el ambiente de producción del sistema desarrollado. En el mismo sentido, se debe dar claridad al ajuste que se realizó a la metodología de ejecución del contrato, que en ningún momento prescindió de las actividades y fases programadas inicialmente, por el contrario, planteó la ejecución de dichas actividades y fases de manera paralela buscando como lo menciona el contratista en su comunicación, la optimización de los tiempos y recursos, para conjurar las situaciones imprevistas detectadas en la etapa de levantamiento de requerimientos y diseño de la solución contratada. Así lo ha sostenido la H. Corte Constitucional, en Sentencia C-300 de 2012 cuando determina la procedencia de las modificaciones contractuales para lograr la finalidad con que fueron perfeccionados en razón a lo siguiente: "Por regla general, los contratos estatales pueden ser modificados cuando sea necesario para lograr su finalidad y en aras de la realización de los fines del Estado, a los cuales sirve el contrato. Así lo prevén por ejemplo los artículos 14 y 16 de la ley 80, los cuales facultan a la entidades contratantes a modificar los contratos de común acuerdo o de forma unilateral, para "(...) evitar la paralización o la afectación grave de los servidos públicos a su cargo y asegurar la inmediata, continua y adecuada prestación", entre otros. En el mismo sentido, en la sentencia C-949 de 2001, la Corte 54 Constitucional señaló que las prórrogas de los contratos —como especie de modificación- pueden ser un instrumento útil para lograr los fines propios de la contratación estatal'. Por su parte, la Sala de Consulta y Servicio Civil del H. Consejo de Estado en concepto del 13 de agosto de 2009, sobre el particular estableció: "La contratación estatal responde de múltiples maneras a ese mandato y, en cuanto al concepto que se emite, se resalta que la posibilidad de modificar los contratos estatales es una especial forma de hacer prevalecer la finalidad del contrato sobre los restantes elementos del mismo. Por mutabilidad del contrato estatal se entiende el derecho que tiene la administración de variar, dadas ciertas condiciones, las obligaciones a cargo del contratista particular; cuando sea necesario para el cumplimiento del objeto y de los fines generales del Estado. Valga la pena resaltar que, el deber ser no es la modificación de los contratos, esto por cuanto la etapa de planeación debe ser de tal precisión que resulte innecesario modificar las condiciones iniciales del contrato perfeccionado. Sin embargo, la etapa precontractual siempre parte de supuestos y variables que no siempre resultan de inevitable concreción y menos cuando la complejidad de este tipo de herramientas influyen muchos factores para que se concurran exitosamente en la obtención del propósito final. Finalmente, es importante anotar que el Proceso de Jurisdicción Coactiva implementado en la Plataforma SAE, fue puesto en producción el día 11 de julio de 2014, previa verificación del cumplimiento de los requisitos técnicos contratados en ambiente de pruebas, situación que fue documentada en las pruebas técnico funcionales, realizadas por funcionarios de la CGR y plenamente documentadas. Por lo anteriormente expuesto, la CGR se separa de la apreciación realizada por la AGR en este punto, ya que el objeto contratado fue agotado en su totalidad, bajo la supervisión, control y pruebas de la Entidad y el producto fue recibido a satisfacción, encontrándose actualmente en etapa de producción al servicio de los funcionarios que intervienen en el proceso de jurisdicción coactiva de la Entidad, tanto a nivel central como descentralizado. 5. Contrato N° 400 de 2014 Se mantiene lo observado. Numeral 5.1. “Ausencia de estudio de mercado teniendo en cuenta que MNEMO no es proveedor exclusivo de los fabricantes de productos”. Citados en las observaciones Lo contenido en el numeral 5.1 no tiene ninguna relación con la observación 05. Además la CGR con su respuesta no desvirtúa lo observado por la AGR, en las 55 N° 04 y 06. observaciones 04 y 06. Ver argumentos esbozados en la respuesta a la observación N° 07, toda vez que para esta modalidad de selección, el legislador no exige comparar varias ofertas para la realización de un estudio de mercado, sin embargo la Entidad previo al momento de suscribir el contrato estudió la oferta de la firma MNEMO DE COLOMBIA S.A.S., adicionalmente se revisaron los demás elementos relacionados con la justificación dada a la necesidad de contratar dichos bienes y servicios, garantizando con ello los principios que rigen la contratación pública, entre ellos el de selección objetiva. Es importante mencionar nuevamente que en los estudios y documentos previos del contrato 400-14 no se definió claramente la necesidad a satisfacer con la contratación, así como tampoco se evidenció que se hubiera realizado un análisis sobre otras alternativas de solución existentes en el mercado, lo que conllevó a que no se evidenciara la existencia de otros proveedores, teniendo en cuenta que Mnemo no es proveedor exclusivo y como consecuencia de esto, se hizo una indebida justificación en la escogencia de modalidad de selección. Para el contrato N° 400 de 2014, se estableció como objeto: “CONTRATAR EL SOPORTE, MANTENIMIENTO DEL HARDWARE Y ACTUALIZACIÓN DEL SOFTWARE DE LA INFRAESTRUCTURA DEL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO DESPLEGADO EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS” y en el documento de estudios previos, en su numeral “1. ANTECEDENTES, JUSTIFICACIÓN Y DESCRIPCIÓN DE LA NECESIDAD”, se describe y soporta la necesidad que se pretendió satisfacer con dicha contratación, basándose principalmente como se ha expuesto en este documento de respuesta, en el avance en la modernización tecnológica de la Entidad, el desarrollo del flujo del Proceso de Responsabilidad Fiscal a través de la herramienta Procesa©, la adquisición previa la plataforma tecnológica que permite el aseguramiento electrónico de los expedientes digitales de la Entidad que asegura la información con encriptado, firma electrónica y estampado de tiempo, la capacidad de integración de la plataforma de aseguramiento electrónico de expedientes con otros aplicativos de la entidad, la criticidad de la solución como soporte de los procesos misionales de la entidad, continuando con el siguiente texto: “En coherencia por la implementación de la infraestructura de aseguramiento de expediente electrónico y además de la exclusividad en el producto PROCESA© de los cuales Mnemo Colombia SAS son los únicos proveedores en Colombia autorizados para comercializar y brindar soporte sobre este producto, según estudio de sector, a la fecha no registra un proponente que preste los servicios de soporte, mantenimiento y actualización de todos los productos que componen la plataforma de aseguramiento electrónico, inclusive para los productos de firma digital no existe un oferente en Colombia que preste estos servicios. Por lo que para la CGR resulta ser estratégico contar con único proveedor que preste el soporte y mantenimiento y la actualización tanto del hardware como del Software que compone toda la plataforma de aseguramiento del expediente 56 Ahora bien, el numeral 1 del artículo 20 del Decreto 1510 de 2013, el Manual de Contratación versión 2.0 de la CGR y los postulados de la Procuraduría General de la Nación establecen la obligación de realizar un análisis de las diferentes opciones que existen en el mercado para resolver la necesidad y a su vez escoger la opción más favorable frente a los costos, beneficios y desventajas de cada uno de ellos, para determinar la más conveniente desde el punto de vista técnico, jurídico y económico. Lo anterior se soporta en el oficio suscrito por la Procuradora Delegada para la Vigilancia Preventiva de la Función Pública, con radicado No. 2012ER73038 del 30 de julio de 2012, dirigido a la excontralora Sandra Morelli Rico, que en uno de sus apartes hace referencia a la sentencia de la Sección Tercera, del Consejo de Estado, con C. P: GERMÁN RODRÍGUEZ VILLAMIZAR, Radicación N° 19001-23-31-000-2002-01577-01(AP) precisó: <<"En efecto, en la contratación, ya sea de manera directa o a través de licitación o concurso públicos, la administración está obligada a respetar principios que rigen la contratación estatal y, especialmente, ciertos criterios de selección objetiva a la hora de escoger el contratista al que se le adjudicará el contrato. Respecto a la contratación directa, en interpretación de la norma precitada, la Sala observa que con anterioridad a la suscripción del contrato, es deber de la administración hacer un análisis previo a la suscripción del contrato, análisis en el cual se deberán examinar factores tales como experiencia, equipos, capacidad económica, precios, entre otros, con el fin de determinar si la propuesta presentada resulta ser la más ventajosa para la entidad que contrata”. De lo expuesto se concluye que en la etapa de elaboración de estudios previos deberá efectuarse un examen profundo sobre la procedencia de acudir a esta modalidad de selección con el fin de garantizar el respeto de los postulados superiores aludidos>>. electrónico, permitiendo de una forma integral realizar los procesos que se pretenden contratar sin que ellos puedan afectar la continuidad y disponibilidad de los servicios que se encuentran integrados a esta plataforma.”. En el mismo sentido, se evidencia que en el documento de análisis del sector en el numeral 4.1., bajo la siguiente justificación “Evaluando el mercado actual de empresas que pueden ofertar los servicios requeridos, se evidenció que los únicos legalmente autorizados para ofrecer el servicio en Colombia de diseño, modelamiento e implementación de la guía de responsabilidad fiscal en la plataforma PROCESA© de aseguramiento del expediente electrónico, es la compañía MNEMO COLOMBIA S.A.S. (…)”, Como soporte de lo anterior se evidencia en los documentos de la etapa precontractual la “Certificación expedida por el fabricante MNEMO EVOLUTION INTEGRATION SERVICES, S.A., de ser el único desarrollador y fabricante de la familia productos denominados PROCESA©, compuesta por productos PROCESA Gestión Electrónica de Expedientes y PROCESA Mobile — en todo el mundo. Y que para el objeto de la compra y/o explotación de la citada familia de productos por parte de cualquier institución, compañía u organización en el país de Colombia, sin limitación temporal alguna, la compañía MNEMO COLOMBIA S.A.S. es el único socio comercial.”, documento que a su vez se encuentra registrado en la Cámara de Comercio de la empresa desde el “EL DIA 12 DE ABRIL DE 2013 BAJO EL NUMERO 00020356 DEL LIBRO XII A NOMBRE DE: MNEMO COLOMBIA SAS.”. Adjuntamos para los fines pertinentes, en medio magnético, el “Licenciamiento”, en el cual se encuentra el archivo Safelayer que corresponde a una certificación del contratista como distribuidor exclusivo para Colombia de esos productos que hacen parte de la solución SAE. Numeral 5.2. “Los precios no se desagregan por producto”. Citado en la observación N° 07. Se mantiene lo observado. Lo contenido en el numeral 5.2 no tiene ninguna relación con la observación 05, no obstante se hará el análisis con base en la respuesta dada a la observación 07. Con lo anteriormente expuesto, la entidad demuestra para las contrataciones cuestionadas que cumplió y 57 La CGR no desvirtúa lo observado por la AGR, teniendo en cuenta que no se refiere al análisis requerido para soportar lo observado respecto a las deficiencias en el análisis que soporta el valor estimado del contrato, sino que únicamente señalan que el legislador no previo para la modalidad de contratación directa realizar análisis comparativo de mercado, desconociendo lo establecido en el numeral 4, artículo 20 del Decreto 1510 de 2013, en el Manual de Contratación y los postulados fijados por la Procuraduría General de la Nación y demás disposiciones argumentativas planteadas al respecto de justificó todos y cada uno de los elementos que integran los estudios previos, tal como lo señala el artículo 2.1.1 del Decreto 734 de 2012 y artículo 20 del Decreto 1510 de 2013, según aplique. forma precedente. Numeral 5.3. “Falta sustento para la contratación de la actualización de licencias”. Citado en la observación N° 04. Se mantiene lo observado. Teniendo en cuenta que las licencias adquiridas en contratos anteriores se encontraban vencidas para la fecha de suscripción del contrato 400 de 2014, se solicitó como obligación del contratista en la Cláusula Segunda, Parágrafo Primero del Contrato, lo siguiente: “3.2. Ofrecer el servicio de suministro e instalación de las actualizaciones del software que compone la infraestructura para el aseguramiento de expediente electrónico con las últimas versiones que liberen los fabricantes durante la ejecución del contrato, deben entregar la documentación técnica de las mejoras y los procedimientos detallados para la instalación, deben realizarse en sitio o remotamente de acuerdo a la criticidad e impacto que pueda tener sobre la plataforma y las aplicaciones que utilizan el servicio para lo cual deben realizar las validaciones y pruebas correspondientes en el ambiente de pruebas antes de ser liberado en ambientes de producción”, por lo anteriormente mencionado, aclaramos que lo que se contrató corresponde a la renovación de las licencias de la plataforma a nombre de la contraloría y el apoyo en la instalación de actualizaciones que libere el fabricante durante el plazo de ejecución del contrato, en el evento de que suceda, es de anotar que la renovación de soporte y mantenimiento de licencias con el fabricante que realiza el proveedor contratado por la CGR, da automáticamente el derecho a la Entidad de acceder a las actualizaciones que libere el fabricante, lo anterior asegura el correcto desempeño de las aplicaciones y el respaldo del fabricante para solución de bugs en caso de presentarse y aplicación de parches de seguridad. 6. Contrato N° 396 de 2014. Ver respuesta a observación N° 07. Por otra parte, la tabla enviada de costos no corresponde al contrato objeto del presente análisis. Lo contenido en el numeral 5.3 no tiene ninguna relación con la observación 05, no obstante se hará el análisis con base en la respuesta dada. Lo expuesto por la CGR, en cuanto al numeral 5.3 no desvirtúa lo observado por la AGR, ya que no se definió claramente la necesidad a satisfacer con la contratación y adicionalmente no enviaron soporte que aclare lo observado en cuanto a la versión instalada, la nueva versión que se está contratando. Se mantiene lo observado. Para dar respuesta a este numeral, se precisa que en la parte inicial de la observación 05, nos pronunciamos respecto de la normatividad aplicable a este contrato. La respuesta dada por la CGR a la observación 07 no desvirtúa lo observado por la AGR, teniendo en cuenta que no especifican ni envían ningún soporte donde se establezca el valor por curso, el cual se ha debido determinar con base en factores como idoneidad, experiencia, las tareas o actividades propias que 58 conllevan el desarrollo de una capacitación, planificación y detección de una necesidad, elaboración o diseño de contenidos temáticos, intensidad horaria, número de alumnos, modalidad de capacitación (virtual o presencial), gastos de desplazamiento y logística. 7. Se mantiene lo observado. Contrato N° 405 de 2014 Numeral 7.1. “No se estudia la posibilidad de otras marcas o proveedores que puedan prestar el mismo servicio”. Citado en la observación N° 04. Esto fue objeto de análisis en las respuestas dadas al numeral 5.1 y a la observación 04. Ver respuesta dada al numeral 5.1 de esta observación, relacionada con el contrato N° 400 de 2014 y la expuesta en la respuesta a la observación N° 04. Numeral 7.2. “La ejecución del contrato inicial no dependía de los ítems objeto de la adición del contrato por valor de $653.000.000, así como tampoco requería que fuera contratada con Mnemo”. Citados en las observaciones N° 04, 05 y 09. El objeto de este contrato menciona “Contratar la prestación de servicios de seguridad gestionada para la infraestructura de seguridad desplegada en la CGR de acuerdo a las especificaciones descritas y el análisis de vulnerabilidades experto para las aplicaciones de la CGR”, por tratarse de la prestación de servicios de seguridad gestionada, como este mismo nombre lo indica y como lo menciona la misma AGR en su Anexo Técnico 1, se trata de la prestación de servicios de seguridad a la medida de las necesidades de una organización y por parte de un tercero (por ser gestionados), asegurando la integridad, confidencialidad y disponibilidad de los activos de la información, principios en los que se sustenta el contrato inicial y parte de las razones que motiva la adición. En concordancia con lo anterior, los servicios requeridos si resultan necesarios para el cumplimiento y mejora del objeto contractual, esto de acuerdo con lo siguiente: Ítem 1: Revisión física y de infraestructura de la sede central ubicada en el edificio Gran Estación II, necesario para el cumplimiento de la obligación del contrato inicial 1.1.1 literal j) “Monitorización de los eventos de seguridad en tiempo real 7X24 durante la ejecución del contrato de la infraestructura de seguridad, los servidores de aplicaciones y las bases de datos que integran la infraestructura tecnológica de la CGR” 59 Se mantiene lo observado. El numeral 7.2 no se encuentra citado en las observaciones 04, 05 y la 07 de la carta de observaciones, únicamente se citó en la observación 09. La respuesta dada por la CGR no desvirtúa lo observado por la AGR teniendo en cuenta que su respuesta se sustenta en que los servicios objeto de la adición eran necesarios para el cumplimiento y mejora del objeto contractual inicial, sin embargo, se observa que los items objeto de la adición los justifica la CGR como necesarios para el cumplimiento de obligaciones que ya habían sido establecidas en los contratos 289-13 y 544-13 y que fueron recibidos a satisfacción, es decir que no era necesaria la adición del contrato para el cumplimiento del objeto inicial. De otra parte la CGR no se refiere a lo observado por la AGR respecto de que todos los items de los servicios objeto de la adición fueron subcontratados con la firma LOCKENET S.A, por el contratista Mnemo, es decir que tampoco era el único que podía ejecutar las labores objeto de la adición. Ítem 2: Revisión y auditoría lógica con el fin de llevar a cabo pruebas de hacking ético y web penetration, no solo para las aplicaciones alojadas en los servidores de la entidad, sino también para equipos activos de red (switches, routers y firewalls), para una muestra de doscientos cincuenta (250) PCs de usuarios, en rangos de direccionamiento IP no solo privado sino también públicos, necesario para el cumplimiento de la obligación del contrato inicial 1.1.1 literal h) “Los servicios ofrecidos de seguridad gestionada deben estar orientados a garantizar la seguridad de los sistemas de información públicos analizándolos desde un perspectiva global e integral que incluya desde los riesgos y vulnerabilidades asociadas a la red de comunicaciones, bases de datos que se utilizan en cada una de las aplicaciones hasta los puestos de trabajo” Por otro lado, se hace claridad sobre la metodología utilizada para esta actividad ya que las metodologías del EC-COUNCIL van orientadas hacia las pruebas de penetración, mientras que la metodología MAVERIC es utilizada para análisis de vulnerabilidades detectadas en las pruebas en mención Ítem 3: Imágenes forenses de los aplicativos SIPAR, SAE, archivos de los procesos de contratación institucional y PC´s de la Contralora, necesario para el cumplimiento de la obligación del contrato inicial numeral 2.4.9 “Garantizar la confidencialidad de la información que se suministre y conozca por el desarrollo de las actividades realizadas en el transcurso de la ejecución del contrato” y requerido para contar con material confiable y disponible para procesos en los que se encuentran funcionarios de la CGR como es el caso de: o Interceptación ilegal de comunicaciones. Proceso en la Fiscalía General de la Nación o Contrato de arrendamiento sede Gran Estación II. Proceso en la Fiscalía General de la Nación Referente a lo mencionado en este ítem sobre la no utilización de los equipos y el personal con que cuenta la entidad para llevar a cabo esta actividad, se da claridad en que el Laboratorio de Informática Forense de la CGR no se podía utilizar ya que las acciones del contratista buscaban certificar la no existencia de equipos y labores intrusivas en toda la infraestructura 60 tecnológica existente en la entidad, incluyendo el mismo Laboratorio, razón por la cual no podía ser utilizado con este fin. Ítem 4: Elaboración de políticas, procedimientos, normas y estándares de seguridad de la información, necesario para el cumplimiento de la obligación del contrato inicial numeral 2.4.7 “Dentro de los servicios a petición de la Contraloría General de la República se podrán hacer recomendaciones sobre políticas de administración de usuarios, seguridad, software y uso de los recursos según el esquema de administración de servidores” Ítem5: Certificación de la no existencia de equipos y labores intrusivas en la Contraloría General de la República, necesario para la mejora de la obligación del contrato inicial numeral 2.4.16 “Cumplir con los entregables previstos en la propuesta técnica, estudios previos y los que se describen a continuación: …” con el fin de agregar valor y así explotar mejor el resultado de los informes relacionados. Se retira lo observado. Numeral 7.3. “Actividades objeto de la adición del contrato que han debido surtirse con el contrato inicial”. Citado en la observación N° 09. Aclaramos que respecto a que lo contratado en el numeral 2.2.2, literal a, fue “Análisis de seguridad, gestión de vulnerabilidades y pruebas de intrusión sobre los servidores de la CGR en donde se alojan las aplicaciones internas hasta 200 activos y externas hasta 18 activos ubicados en la sede central…” mientras que lo contratado en el numeral 2.2, fue “a) Pruebas de hacking ético y web penetration testing con herramientas de la comunidad hacker; b)para dicha prueba se deberán considerar TODOS los equipos activos de red (Routers y Firewalls), y TODOS los servidores ; c) Se deberá escoger una muestra de 250 PCs de usuarios coyunturales, de acuerdo a lo establecido por la entidad…”. Al respecto se aclara que la diferencia está marcada por el alcance de cada una de las obligaciones, la del contrato inicial frente a la adición . Numeral 7.4. “Incumplimiento de actividades”. Citados en las observaciones N° 08 y 10. Frente a esta observación, manifestamos que no existió incumplimiento de actividades durante la ejecución del contrato N° 405 de 2014, adjuntamos la evidencia que demuestra el cumplimiento de las obligaciones contractuales descritas en el numeral 2.2.1, así: 61 Una vez analizada la respuesta dada por la CGR en relación a que se presenta diferencia en el alcance entre el numeral 2.2.2 del contrato inicial con lo establecido en el Item 2 numeral 2.2 de la adición, se acepta lo expuesto y se retira de la carta de observaciones lo referente al numeral 7.3. Se modifica lo observado. Una vez analizada la respuesta se acepta en lo referente a la actividad establecida en el numeral 2.2.1 de los estudios previos que consistía en “Realizar un mantenimiento preventivo a la infraestructura de seguridad donde involucren actividades de revisión física y actualización a que haya lugar, realizando las actividades necesarias que permitan garantizar el correcto funcionamiento de la plataforma”. Informes de mantenimientos preventivos a equipos Informes de actualización de versión de software de equipos Formatos guía de control de cambios Planes de trabajo Procedimientos de actualización de versiones a equipos Se mantiene la observación respecto de las demás actividades que fueron objeto de pronunciamiento en esta auditoría, debido a que no anexaron los respectivos soportes que la desvirtuaran. Para demostrar el cumplimiento de las obligaciones descritas en el ítem 4, del numeral 4.2 de la adición del contrato, adjuntamos lo siguiente: Archivo “Oficio MCO.14.8.204”, en el cual se hace entrega del documento “Procedimientos_ y Estandares_Basicos_Contraloria” (Carpeta Documentos contrato 405-14) Archivo “Oficio MCO.14.8.204” en el cual se hace entrega del Manual_Políticas_Normas_Seguridad_Informática_ Contraloría” (Carpeta Documentos contrato 40514). Finalmente, las recomendaciones y análisis respectivos están contenidos en los informes y resúmenes ejecutivos relacionados en “Oficio MCO.14.8.204”. 8. Se mantiene lo observado. Contrato N° 371 de 2014 Numeral 8.1. “Contratación considerada innecesaria”. Citado en la observación N° 04. Diferimos de esta observación y respecto de ella, aclaramos que en la Resolución Reglamentaria 231 de 4 Julio de 2013, en su parte motiva expresa “(…) Que en la actualidad se encuentra en funcionamiento al interior de la Entidad el Sistema de Aseguramiento Electrónico (SAE), y se encuentra en fase de implementación como plataforma de almacenamiento y trámite de los expedientes de responsabilidad fiscal, fundamentado en la deontología de expediente electrónico”, En el mismo sentido, el perfil profesional de los funcionarios asignados como grupo operativo en la mencionada resolución es el siguiente: NOMBRE CARGO PROFESIÓN José Miguel Miranda Cogollo Fernando Peña Céspedes Tecnólogo Grado 01 Profesional Universitario Grado 01 Ing. Sistemas Ing. Sistemas Luisa Fernanda Romero Nieto Profesional Universitario Grado 01 Profesional Universitario Grado 01 Abogado Profesional Universitario Grado 02 Abogado Juan Andrés Leal Parada Adriana Corredor Lesmes Abogado Es de anotar que la proyección del proyecto SAE para el 62 Lo contenido en el numeral 8.1 no tiene ninguna relación con la observación 05, no obstante se hará el análisis con base en la respuesta dada. La respuesta dada por la CGR no desvirtúa lo observado por la AGR respecto de la contratación considerada innecesaria del contrato 371-14, teniendo en cuenta que la Resolución Reglamentaria 231 de 2013 es clara en establecer las medidas necesarias para la implementación del Sistema de Aseguramiento Electrónico SAE en la Contraloría General de la República, dentro de la cuales se encuentra las siguientes: Se creó una Comisión Directiva para la implementación del Sistema de Almacenamiento Electrónico de Expedientes (SAE) con su respectiva conformación y funciones. Se creó el grupo operativo con dedicación exclusiva a la implementación del SAE, con su respectiva conformación y funciones. Se designaron líderes para apoyar las tareas de implementación del SAE. Se designó el responsable de la orientación tecnológica del SAE, asignándole obligaciones especiales. Se designó al Director de la Oficina de Capacitación, Producción de Tecnología y Cooperación Internacional, como responsable de adoptar las año 2014, estimaba consolidar la automatización del Proceso de Responsabilidad Fiscal que en el 2013 entró en etapa de producción, para lo cual en el año anterior de acuerdo con la documentación consultada, se realizaron capacitaciones a central y descentralizado obteniendo el cargue de aproximadamente 86.000 documentos de expedientes de procesos de Responsabilidad Fiscal de un universo de aproximadamente de 490.000 documentos digitalizados que debía culminar en el primer semestre de 2014, en el mismo sentido para dicha vigencia, se proyectó desarrollar e implementar nuevos módulos sobre la plataforma, a saber: Proceso Administrativo Sancionatorio, Proceso de Jurisdicción Coactiva y Proceso Disciplinario, lo que conlleva realizar todas las fases previas nuevamente para dichos procesos, las cuales son: preparación de expedientes, digitalización, alistamiento técnico de Dependencias y Gerencias, estrategia de capacitación, estrategia de cargue de documentos, estrategia de seguimiento y control, entre otras. De otra parte, mediante comunicación 2014IE0010461 el Director de la Oficina de Sistemas solicitó a la Gerencia de Gestión del Talento Humano de la CGR, la verificación de existencia y disponibilidad en la planta de personal de la Entidad, de 10 profesionales con perfiles profesionales particulares y su inmediato traslado a la Oficina de Sistemas e Informática, o de no encontrarse disponibilidad, se certificará por parte de dicho despacho la no existencia o disponibilidad de los mismos. En respuesta mediante comunicación 2014IE0011198, la Gerente del Talento Humano de la CGR certificó la no existencia de disponibilidad del personal solicitado por la Oficina de Sistemas e Informática. Por lo anterior se procedió en consecuencia con la contratación de servicios profesionales que permitieran cubrir las actividades de análisis, acompañamiento y seguimiento técnico al proceso de implementación del SAE en la Entidad para la vigencia 2014, lo anterior en estricto cumplimiento del Decreto 1510 de 2013. Es de anotar, que los desarrollos de los procesos de Jurisdicción Coactiva, Sancionatorio y Disciplinario, de los Contratos 398/2014 y 402/2014, fueron puestos en producción en la vigencia 2014 y desde ese mismo momento están siendo utilizados por los funcionarios de la Entidad. De otra parte es importante aclarar que la estrategia de implementación de los desarrollos en SAE comprende actividades previas de alta complejidad 63 medidas necesarias para garantizar la oportuna e idónea capacitación sobre el Sistema de Aseguramiento Electrónico (SAE). Se designó al Director de Imprenta, Archivo y Correspondencia como responsable de adoptar las medidas necesarias para garantizar la digitalización de los documentos y expedientes físicos necesarios para iniciar los procesos correspondientes en el sistema SAE. Lo anterior demuestra que la necesidad planteada en el contrato 371-14 debía ser satisfecha con el cumplimiento de lo e4stablecido en la resolución antes mencionada, por lo tanto dicha contratación no era necesaria. logística y operativa como el alistamiento de expedientes, digitalización, alistamiento técnico, estrategia de capacitación y estrategia de seguimiento y control, que deben ser obedecer a un correcto proceso de análisis, acompañamiento y seguimiento técnico para asegurar su éxito. Por lo anteriormente expuesto, la Entidad consideró en su momento celebrar el contrato de prestación de servicios N° 371 de 2014, para dar continuidad al funcionamiento de la herramienta SAE y específicamente su implementación. Numeral 8.2. “No se definieron los roles para establecer el número de profesionales requeridos”. Citado en la observación N° 05. El Contrato N° 371 de 2014, cuyo objeto fue “PRESTACIÓN DE SERVICIOS PROFESIONALES PARA EL DESARROLLO DEL ANÁLISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TÉCNICO, DEL PROCESO DE IMPLEMENTACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRÓNICO ¿SAE- EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA.”, en su etapa precontractual definió las obligaciones a cumplir por el contratista y que finalmente fueron llevadas a obligaciones del contrato suscrito, las mismas se estimaron dividiéndolas en cinco grupos: Obligaciones de Análisis, Obligaciones de Acompañamiento y Seguimiento, Obligaciones de Cierre, Obligaciones Referentes a los Informes y Actividades, y Obligaciones Generales. Es así como, la complejidad de las actividades a realizar, así como la cantidad estimada de las mismas, justifica en sí mismo el perfil de los profesionales necesarios para llevarlas a cabo, en el mismo sentido, el documento de estudios previos y el análisis del sector precisa que “De acuerdo con el con el análisis consignado en el Anexo 1. "Estudio del Sector del presente documento, el valor de los servicios objeto de esta contratación están dentro de los parámetros establecidos por la Contraloría General de la República para servicios similares o servicios con niveles de ejecución o responsabilidad similares, teniendo en cuenta factores tales como idoneidad, experiencia y nivel académico del equipo de trabajo mínimo estimado para la ejecución del contrato su equivalencia con los salarios calculados integralmente devengados por la Planta de Personal de la CGR de acuerdo a los niveles y cargos para el año 2013, impuestos y demás costos operativos y logísticos a que haya lugar.” 64 Se mantiene lo observado. La respuesta dada por la CGR no desvirtúa lo observado por la AGR respecto del numeral 8.2, teniendo en cuenta que no precisan los roles y actividades que van a realizar, ni la disponibilidad de tiempo de los 11 profesionales requeridos en los estudios previos los cuales fueron homologados de la siguiente forma: 2 al nivel directivo, 2 al nivel asesor y 7 al nivel profesional y que sirvieron de base para establecer el valor del contrato. Precisamos que en los estudios previos, establecimos que el contratista tenía la obligación de cumplir con unos productos y entregables, por lo cual al momento de suscribir el contrato, se encontraba obligado a disponer de un recurso humano idóneo y calificado, con disponibilidad de tiempo necesario para cumplir con lo pactado. Observación No. 06 Indebida justificación en la escogencia de la modalidad de selección En cuanto a la modalidad de contratación respecto de los contratos que se relacionan en la Tabla No. 2.4 se observó que la CGR no cumplió a cabalidad con lo establecido en el numeral 3 del artículo 2.1.1. del Decreto 734 de 2012, en el Manual de Contratación versión 2.0 de la CGR, en los postulados fijados por parte de la Procuraduría General de la Nación respecto al principio de planeación y la elaboración de los estudios y documentos previos y en especial en lo establecido por el Consejo de Estado, Sala de lo Contencioso Administrativo, Sección Tercera, en sentencia de 31 de agosto de 2006, con Radicado R- 7664, donde se refirió al principio de planeación en la contratación estatal, planteando en uno de sus apartes lo siguiente: “…Al respecto conviene reiterar que en materia contractual las entidades oficiales están obligadas a respetar y a cumplir el principio de planeación en virtud del cual resulta indispensable la elaboración previa de estudios y análisis suficientemente serios y completos, antes de iniciar un procedimiento de selección, encaminados a determinar, entre muchos otros aspectos relevantes: (…) ii) Las opciones o modalidades existentes para satisfacer esa necesidad y las razones que justifiquen la preferencia por la modalidad o tipo contractual que se escoja.”. Lo anterior se encuentra soportado en el Anexo 1-Informe Técnico (numerales 1.1.; 1.2.; 1.3; 1.5; 2.1; 3.1; 5.1 y 7.1) donde se indica que MNEMO no es el único proveedor en el mercado de las soluciones requeridas para el aseguramiento de la infraestructura y del expediente electrónico. En consecuencia estas soluciones las podían ofrecer otros proveedores en el mercado con características técnicas similares por lo que se debió realizar un adecuado análisis para determinar cuál era el proceso de selección que garantizara una escogencia más objetiva y transparente del contratista, con la finalidad de que resolviera la necesidad planteada en los estudios previos. Tabla 2-4. Contratos con indebida justificación en la escogencia de la modalidad de selección (Millones de pesos) CONTRATISTA NO. CONTRATO TIPO DE CONTRATO VALOR OBJETO $ MNEMO 387-12 CV y/o SM ADQUISICION DE UN SISTEMA DE SEGURIDAD INTEGRAL DE INFORMACION, QUE INCLUYA EL LICENCIAMIENTO CORPORATIVO SCISO, MAVERIC, PRESEA Y REMEDY; DISEÑO E IMPLEMENTACION DEL SOCK; ENTREGA DEL ESTUDIO DE CORRELACION Y RECOMENDACIONES Y LA TRANSFERENCIA DE CONOCIMIENTO DE TODO AL SISTEMA; IMPLEMENTACION DE LAS METODOLOGIS Y PRODUCTOS INTEGRADOS PARA LA OPERACION Y MONITOREO DE INCIDENTES DE SEGURIDAD. 199 -13 PS CONTRATAR EL DISEÑO MODELAMIENTO Y LA IMPLEMENTACION DE LA GUIA DE RESPONSABILÑIDAD FISCAL EDISION FEBRERO 2013 EN LA PLATAFORMA PROCESA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRONICO EN AL CGR. 5.364 MNEMO 690 MNEMO 289 - 13 PS CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS; ANALISIS DE VULNERABILIDADES EXPERTO; SUMINISTROS DE LICENCIAS POR UN AÑO DE HERRAMIENTAS PRESEA Y REMEDY; SUMINISTRO 4600 TOKENS CON LAS LICENCIAS SAFENET CLIENT PARA EL USO DE LOS DISPOSITIVOS CRIPTOGRAFICOS Y 4400 LICENCIAS PARA LA EXPEDICION DE CERTIFICADOS DIGITALES PARA EL USO DE LOS FUNCIONARIOS EN LA CGR; IMPLEMENTACION DE LA FIRMA ELECTRONICA PARA LAS APLICACIONES MISIONALES SICA; SIPAR Y CORREO ELECTRONICO; INTEGRACION SICA, SIGEDOC, SIPAR Y SAE CON EL SOFTWARE PROCESA. 291 PS PRESTACION DE SERVICIOS PROFESIONALES, PARA EL DESARROLLO DEL ANALISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TECNICO, AL PROCESO DE IMPLEMENTACION DEL SISTEMA DE ASEGURAMIENTO ELECTRONICO - SAE-EN LA CGR, ANIVEL CENTRAL (SEDE BOGOTA). OPORTUNIDAD ESTRATEGICA MNEMO SM CONTRATAR EL SOPORTE, MANTENIMIENTO DEL HARDWARE Y ACTUALIZACIÓN DEL SOFWARE DE LA INFRAESTRUCTURA DEL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO DESPLEGADO EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS. MNEMO PS CONTRATAR LA PRESTACIÓN DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS Y EL ANÁLISIS DE VULNERABILIDAD EXPERTO PARA LAS APLICACIONES DE LA CGR. 400 – 14 405 – 14 65 2.257 529 368 1.907 371-14 PRESTACIÓN DE SERVICIOS PROFESIONALES PARA EL DESARROLLO DEL ANÁLISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TÉCNICO, DEL PROCESO DE IMPLEMENTACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRÓNICO ¿SAE- EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA. PS TOTAL OPORTUNIDAD ESTRATÉGICA 665 11.780 Fuente: contratos Es importante precisar que con relación a los contratos 291-13 y 371-14 no se evidencia suficiente justificación jurídica con relación a la modalidad de selección aplicada en el proceso contractual, esto en el sentido de precisar que no es razonable la definición del procedimiento de selección aplicado, de acuerdo con la naturaleza, cuantía y condiciones especiales de la contratación. De igual forma en el contrato 291-13, se incluyeron costos adicionales que de acuerdo con las características particulares del contrato no daban lugar a su inclusión, específicamente los gastos por concepto de administración, desplazamiento y papelería, los cuales no son aplicables a los contratos de prestación de servicios profesionales y de apoyo a la gestión. Se modifica lo observado. Se difiere de la observación que concluye una presunta falta de planeación por falta de justificar la modalidad de selección para los contratos N° 291 de 2013 y 371 de 2014, toda vez que la escogencia de la modalidad de selección se basó en la “idoneidad y experiencia” de la firma OPORTUNIDAD ESTRATÉGICA LTDA., lo cual está dentro de las causales de contratación directa descrita en los artículos 3.4.2.5.1 del Decreto 734 de 2012 aplicable para el primer contrato y 81 del Decreto 1510 de 2013, para el segundo contrato. Las disposiciones en cuestión estipulan: Decreto 734 de 2012: “(…) “Subsección V. De los Contratos de Prestación de Servicios Profesionales y de Apoyo a la Gestión. Artículo 3.4.2.5.1. Contratos de prestación de servicios profesionales y de apoyo a la gestión, o para la ejecución de trabajos artísticos que solo pueden encomendarse a determinadas personas naturales. Para la prestación de servicios profesionales y de apoyo a la gestión la entidad estatal podrá contratar directamente con la persona natural o jurídica que esté en capacidad de ejecutar el objeto del contrato y que haya demostrado la idoneidad y experiencia directamente relacionada con el área de que se trate, sin que sea necesario que haya obtenido previamente varias ofertas, de lo cual el ordenador del gasto deberá dejar constancia escrita. (SUBRAYADO Y NEGRILLA FUERA DE TEXTO). La respuesta de la CGR no desvirtúa lo observado por la AGR. En esta respuesta no se hace mención específica a los numerales 1.1.; 1.2 del contrato 387-12, sin embargo fueron analizados en la respuesta a la observación 04. Tampoco mencionaron en esta respuesta los numerales 1.3; 1.5; 2.1; 3.1; 5.1 y 7.1, contenidos en el Anexo del informe Técnico y que hacen referencia a los contratos 387-12, 28913, 199-13, 400-14 y 405-14, sin embargo estos fueron objeto de análisis en la observación 05. En cuanto al contrato 371-14 celebrado con OPORTUNIDAD ESTRATEGICA LTDA, se retira la observación teniendo en cuenta que es un contrato de prestación de servicios profesionales. Con respecto al contrato 291-13 no se observa ninguna explicación por parte de la CGR en relación con los costos adicionales que de acuerdo con las características del contrato no daban lugar a su inclusión especialmente los gastos por concepto de administración, desplazamiento y papelería, los cuales no son aplicables a este tipo de contrato. Decreto 1510 de 2013: “(…) “Artículo 81. Contratos de prestación de 66 servicios profesionales y de apoyo a la gestión, o para la ejecución de trabajos artísticos que solo pueden encomendarse a determinadas personas naturales. Las entidades estatales pueden contratar bajo la modalidad de contratación directa la prestación de servicios profesionales y de apoyo a la gestión con la persona natural o jurídica que esté en capacidad de ejecutar el objeto del contrato, siempre y cuando la entidad estatal verifique la idoneidad o experiencia requerida y relacionada con el área de que se trate. En este caso, no es necesario que la entidad estatal haya obtenido previamente varias ofertas, de lo cual el ordenador del gasto debe dejar constancia escrita.” Además debe recordarse que para esta modalidad de selección, la jurisprudencia de la Sección Tercera del H. Consejo de Estado en varias ocasiones se ha pronunciado aclarando su naturaleza, sin que ello implique vulneración del principio de selección objetiva, veamos: “Que los servicios profesionales hacen referencia a aquellos de naturaleza intelectual diferentes a los de consultoría que se realizan en función de la formación académica y experiencia del 3 contratista;” “(…) “Contratación directa a aquella forma de escoger al contratista donde no es necesario que la administración obtenga dos o más ofertas, toda vez que es la única manera de entender que de verdad la contratación es directa. Si necesitara varias propuestas, la modalidad no sería esta, ya que la expresión contratación directa debe dar la idea de que la contratación se realiza con quien la entidad escoja libremente, de no ser así no sería directa. Este fue el problema nominal que tuvo la ley 80, como quiera que recogía bajo este nombre muchas causales donde se exigían varias ofertas –incluso hasta 10, como en la menor cuantía-, por ello nada tenía de directa la 4 elección…” “De otra parte, el artículo 24 de la Ley 80 de 1993, que en el ordinal 1º establece los precisos eventos en los que la escogencia del contratista 3 Consejo de Estado. Sala de lo Contencioso Administrativo. Sección Tercera. Radicación número 11001-03-26-000-201100039-00(41719). 4 Consejo de Estado. Sala de lo Contencioso Administrativo, Sección Tercera, Sub-Sección C, Sentencia del 7 de marzo de 2011. Rad. 37.044. Cp.- Enrique Gil Botero 67 puede realizarse directamente, en la letra d) señala como uno de ellos "la prestación de servicios profesionales o para la ejecución de trabajos artísticos que sólo puedan encomendarse a determinadas personas naturales o jurídicas, o para el desarrollo directo de actividades científicas y tecnológicas." De esta norma del Estatuto General de la Contratación de la Administración Pública puede colegirse que los únicos contratos de prestación de servicios que permiten ser celebrados en forma directa involucran estas actividades: i) las profesionales, esto es, los que se prestan por personas que ejercen especialmente una profesión; ii) las de trabajos artísticos, es decir, relacionados con trabajos en las artes; y iii) las que tienden al desarrollo directo de actividades científicas o 5 tecnológicas. Teniendo en cuenta lo antes expuesto, respetuosamente solicitamos para los contratos números 291 de 2013 y 371 de 2014, suscritos con la firma OPORTUNIDAD ESTRATÉGICA LTDA., eliminar la observación relacionada con indebida justificación de la modalidad de selección. Observación No. 07 Deficiencia en el análisis que soporta el valor estimado del contrato. En cuanto al análisis que soporta el valor estimado de los contratos relacionados en la Tabla No. 2.5 no se cumplió a cabalidad con lo establecido en el numeral 4 del artículo 2.1.1. del Decreto 734 de 2012, en el Manual de Contratación versión 2.0 de la CGR, en los postulados fijados por parte de la Procuraduría General de la Nación respecto al principio de planeación y la elaboración de los estudios y documentos previos y en especial en lo establecido por el Consejo de Estado, Sala de lo Contencioso Administrativo, Sección Tercera, en sentencia de 31 de agosto de 2006, con Radicado R- 7664, donde se refirió al principio de planeación en la contratación estatal, planteando en uno de sus apartes lo siguiente: “…Al respecto conviene reiterar que en materia contractual las entidades oficiales están obligadas a respetar y a cumplir el principio de planeación en virtud del cual resulta indispensable la elaboración previa de estudios y análisis suficientemente serios y completos, antes de iniciar un procedimiento de selección, encaminados a determinar, entre muchos otros aspectos relevantes: (…) iv) Los costos, valores y alternativas que, a precios de mercado reales, podría demandar la celebración y ejecución de esa clase de contrato, consultando las cantidades, especificaciones, cantidades de los bienes, obras, servicios, etc., que se pretende y requiere contratar, así como la modalidad u opciones escogidas o contempladas para el efecto.” Lo anterior en fundamento a que no se realizó un adecuado análisis del mercado en relación a los bienes y los servicios contratados, situación que genera que no se evidencie en los estudios previos conocimientos de precios, posibles oferentes, rangos de producción, etc. Todo esto teniendo en cuenta que la CGR no soportó mecanismos de análisis del mercado como solicitud de cotizaciones, análisis de precios históricos u otras consultas en bases de datos especializadas. 5 Consejo de Estado. Sala de lo Contencioso Administrativo, Sección Tercera, Sub-Sección C, Sentencia del 7 de marzo de 2011. Rad. 37.044. Cp.- Enrique Gil Botero 68 Tabla 2-5. Contratos con deficiencia en el análisis que soporta el valor estimado del contrato. (Millones de pesos) CONTRATISTA VALOR TIPO DE CONTRATO OBJETO 387-12 CV y/o SM ADQUISICION DE UN SISTEMA DE SEGURIDAD INTEGRAL DE INFORMACION, QUE INCLUYA EL LICENCIAMIENTO CORPORATIVO SCISO, MAVERIC, PRESEA Y REMEDY; DISEÑO E IMPLEMENTACION DEL SOCK; ENTREGA DEL ESTUDIO DE CORRELACION Y RECOMENDACIONES Y LA TRANSFERENCIA DE CONOCIMIENTO DE TODO AL SISTEMA; IMPLEMENTACION DE LAS METODOLOGIS Y PRODUCTOS INTEGRADOS PARA LA OPERACION Y MONITOREO DE INCIDENTES DE SEGURIDAD. 199 -13 PS CONTRATAR EL DISEÑO MODELAMIENTO Y LA IMPLEMENTACION DE LA GUIA DE RESPONSABILÑIDAD FISCAL EDISION FEBRERO 2013 EN LA PLATAFORMA PROCESA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRONICO EN AL CGR. MNEMO 289 - 13 PS CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS; ANALISIS DE VULNERABILIDADES EXPERTO; SUMINISTROS DE LICENCIAS POR UN AÑO DE HERRAMIENTAS PRESEA Y REMEDY; SUMINISTRO 4600 TOKENS CON LAS LICENCIAS SAFENET CLIENT PARA EL USO DE LOS DISPOSITIVOS CRIPTOGRAFICOS Y 4400 LICENCIAS PARA LA EXPEDICION DE CERTIFICADOS DIGITALES PARA EL USO DE LOS FUNCIONARIOS EN LA CGR; IMPLEMENTACION DE LA FIRMA ELECTRONICA PARA LAS APLICACIONES MISIONALES SICA; SIPAR Y CORREO ELECTRONICO; INTEGRACION SICA, SIGEDOC, SIPAR Y SAE CON EL SOFTWARE PROCESA. 544 – 13 PS CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR MNEMO 396 - 14 PS PRESTACIÓN DE SERVICIOS PROFESIONALES PARA CAPACITACIÓN EN EL ÁMBITO DEL "SISTEMA DE ASEGURAMIENTO ELECTRÓNICO DE EXPEDIENTES (SAE)" DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA. 398 - 14 PS CONTRATAR LA PRESTACIÓN DE SERVICIOS DE IMPLEMENTACIÓN DEL PROCESO DE JURISDICCIÓN COACTIVA INTEGRADO AL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO (SAE) 400 - 14 SM CONTRATAR EL SOPORTE, MANTENIMIENTO DEL HARDWARE Y ACTUALIZACIÓN DEL SOFWARE DE LA INFRAESTRUCTURA DEL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO DESPLEGADO EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS. 405 - 14 PS CONTRATAR LA PRESTACIÓN DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS Y EL ANÁLISIS DE VULNERABILIDAD EXPERTO PARA LAS APLICACIONES DE LA CGR. NO. CONTRATO $ MNEMO 5.364 MNEMO 690 2.257 31 MNEMO 422 MNEMO 291 MNEMO 368 MNEMO TOTAL 1.907 15.160 Fuente: Contratos Es importante mencionar que en el Anexo 1- Informe Técnico se hizo un análisis más detallado en cuanto a los contratos Nro. 387-12 (numeral 1.2) y su adición (numerales 1.3. y 1.6); 289-13 (numeral 2.1.); 400-14 (numeral 5.2.) y 396-14 (numeral 6.1). Diferimos de la observación antes transcrita por cuanto el legislador no previó para la modalidad de contratación directa realizar análisis comparativo de mercado, literalmente estableció que una entidad pública puede contratar de manera directa sin que sea necesario que haya obtenido previamente varias ofertas y actualmente en el Decreto 1510 de 2013 determinó: “no es necesario que la entidad estatal haya obtenido previamente varias ofertas…”, y sin que sea necesario la pluralidad de oferentes. Por tanto no se vulneró la exigencia contenida en el numeral 4 del artículo 2.1.1 del Decreto 734 de 2012. Al respecto nos permitimos citar la sentencia de 7 de marzo de 2011, radicación No. 11001032600020090007000 (37.044) con ponencia del Dr. Enrique Gil Botero, del H. Consejo de Estado, Sala de lo Contencioso Administrativo, Sección 69 Se mantiene lo observado. La respuesta dada por la CGR no desvirtúa lo observado por la AGR teniendo en cuenta los contratos mencionados en la tabla 2-5 no cumplen con la exigencia establecida en el numeral 4 del artículo 2.1.1 del Decreto 734 de 2012 o el numeral 4 del artículo 20 del Decreto 1510 de 2013, según aplique. Lo anterior se sustenta en que si bien es cierto son contratos celebrados bajo la modalidad de contratación directa, ello no implica que estén excluidos de realizar un análisis mediante el cual se determine el valor estimado del contrato y la justificación del mismo, lo cual se debe realizar de forma previa en todas las modalidades de contratación, incluso en la contratación directa debe tener mayor sustento, teniendo en cuenta que no se va a hacer una selección posterior. Es importante aclarar que para la modalidad de contratación directa no se debe contar con la presentación Tercera, en sentencia, consideró que la Ley 1150 de 2007, sin vulnerar los principios que rigen la contratación estatal, modificó sustancialmente la contratación directa contemplada en la Ley 80 de 1993 no siendo necesario para ese tipo de selección de 6 contratista pluralidad de proponentes . “(…) “Actualmente, la ley 1.150 de 2007 modificó de manera fuerte la contratación directa, y actuó de la siguiente forma: tomó las 13 causales que existían y las dividió en dos grupos: i) uno lo continuó llamando contratación directa, y ii) otro lo denominó selección abreviada. Pero el legislador no se limitó a reorganizar y agrupar las causales existentes, porque creó otras. Algunas nuevas las incorporó a la lista de la contratación directa y otras a la de la selección abreviada. Es así como, la sumatoria de las causales de ambas modalidades asciende a 18, nueve en cada modalidad. de varias propuestas como lo manifiesta la CGR pero si se debe hacer con anterioridad a la suscripción del contrato un mayor análisis que garantice que la decisión tomada es la que beneficia a la entidad. Finalmente en cuanto a los contratos mencionados en el Anexo 1- Informe Técnico Nro. 387-12 (numeral 1.2) y su adición (numerales 1.3. y 1.6); 289-13 (numeral 2.1.); 40014 (numeral 5.2.) y 396-14 (numeral 6.1), ya se realizó un análisis más detallado en las respuestas a las observaciones anteriores, que refuerzan lo explicado en este punto. . “La razón por la que el legislador obró así es bastante clara. Buscó ordenar las modalidades de selección, empezando por su nombre, pero sobre todo para homogeneizar las causales que contenían –cuando este era el caso-, de allí que se denominaran conforme a su finalidad y propósito. Por esto llamó contratación directa a aquella forma de escoger al contratista donde no es necesario que la administración obtenga dos o más ofertas, toda vez que es la única manera de entender que de verdad la contratación es directa. Si necesitara varias propuestas, la modalidad no sería esta, ya que la expresión contratación directa debe dar la idea de que la contratación se realiza con quien la entidad escoja libremente, de no ser así no sería directa. Este fue el problema nominal que tuvo la ley 80, como quiera que recogía bajo este nombre muchas causales donde se exigían varias ofertas – incluso hasta 10, como en la menor cuantía-, por ello nada tenía de directa la elección. “A continuación, la ley 1150 creó la modalidad de contratación denominada selección abreviada, 6 Al no ser necesaria la mencionada pluralidad de ofertas para realizar la selección de contratista. 70 donde incluyó las causales que admiten, por naturaleza, la posibilidad de que la administración obtenga previamente varias ofertas: con ellas se hace una selección que es abreviada, en comparación con la licitación -pues debe ser menos compleja-, pero más elaborada que la contratación directa, porque de ninguna manera se admite una sola oferta. “Pero no sólo de aquí se deduce lo que se viene expresando. Del articulado mismo de la ley 1150 se desprende que las causales de contratación directa no requieren de la obtención de un número plural de ofertas. Por el contrario, la escoge libremente, bien pidiendo una sola oferta o incluso ninguna, pudiendo pasarse -en este último caso- a suscribir directamente el contrato.” “Para nadie es desconocido que en ocasiones el precio de un bien o servicio que se oferta en el mercado puede variar dependiendo de las circunstancias en que se realice la negociación o de las condiciones de la oferta y la demanda, por lo que en el evento de una selección abreviada para escoger contratista en el que la ley exige varios oferentes, el reglamento contenido en el Decreto 2474 de 2008 en los artículos 47 y 52 vulnera el espíritu de la Ley al permitir la contratación directa sin que previamente se realice la comparación de precios por el que varios proponentes ofrecen el mismo bien o servicio en determinadas condiciones diferentes a como se ofrecen en la generalidad del mercado. “Vista así las cosas, al permitirse la contratación directa en los apartes demandados de los artículos 47 y 52 del Decreto 2474 de 2008, en un proceso de escogencia de contratista en el que se debe utilizar el procedimiento de selección abreviada, se vulnera la Ley 1150 de 2007, y en consecuencia, se debe declarar su nulidad.” De igual forma nos permitimos citar algunos considerandos en relación con las condiciones de mercado como única condición para determinar el valor en una contratación directa: “(…) “Cuando la ley se refiere a las condiciones de mercado o consulta de precios se refiere a la verificación que deben realizar las entidades sobre la valuación de determinado bien o servicio, las 71 condiciones para obtener determinado valor y las características del mismo que le permitan una evaluación objetiva al momento de calificar las ofertas presentadas para la selección del contratista; por ello, si la entidad tiene como único factor dicha evaluación implica que no le es obligatorio obtener varias ofertas, tal como lo obliga el procedimiento de selección objetiva sino que se limitaría a realizar una contratación directa con la persona que ofrezca el mejor precio en el mercado lo cual contraría el principio de selección objetiva en esta modalidad de contratación. “Para nadie es desconocido que en ocasiones el precio de un bien o servicio que se oferta en el mercado puede variar dependiendo de las circunstancias en que se realice la negociación o de las condiciones de la oferta y la demanda, por lo que en el evento de una selección abreviada para escoger contratista en el que la ley exige varios oferentes, el reglamento contenido en el Decreto 2474 de 2008 en los artículos 47 y 52 vulnera el espíritu de la Ley al permitir la contratación directa sin que previamente se realice la comparación de precios por el que varios proponentes ofrecen el mismo bien o servicio en determinadas condiciones diferentes a como se ofrecen en la generalidad del mercado.” Adicional a lo anterior y dado que la tecnología de PROCESA es de propiedad única de la empresa MNEMO Colombia SAS, no podía efectuarse análisis de mercado en relación con los bienes y servicios por contratar y ante la naturaleza intelectual que requería la ejecución del contrato 396 de 2014, ya que se tuvieron en cuenta para fijar el valor estimado del contrato factores como idoneidad, experiencia, las tareas o actividades propias que conllevan el desarrollo de una capacitación, entre otras, la planificación y detección de la necesidad; elaboración o diseño de contenidos temáticos; la asignación, formación y coordinación de los docentes o tutores para la orientación hacia los capacitados; la ejecución de las acciones formativas; el tiempo de ejecución de estas acciones formativas y su soporte. Por lo expuesto, en las contrataciones directas cuestionadas no se vulneró el numeral 4 del artículo 2.1.1 del Decreto 734 de 2012. Observación No. 08 - Irregularidades en la supervisión del contrato En el contrato No. 371-14 se evidenció que dentro de los estudios previos y el contrato quedó establecida una 72 actividad relacionada con capacitación la cual no fue ejecutada de acuerdo con lo observado en los informes de OPORTUNIDAD ESTRATEGICA LTDA lo que evidencia deficiencias en la supervisión del contrato, toda vez que dicha actividad se certificó como recibida a satisfacción. Así mismo, en el contrato 405 de 2014 se evidenció que el supervisor certificó el cumplimiento a satisfacción en lo relacionado con las obligaciones establecidas en las actividades de los meses de agosto, septiembre, octubre y noviembre de 2014, sin tener en cuenta los respectivos ajustes acordados en las actas de seguimiento números 7, 8, 10 y 11 correspondientes al cumplimiento mensual de dichas actividades como lo muestra la siguiente tabla. Tabla 2-6. Irregularidades en la supervisión del contrato Fecha y No. de Acta de Seguimiento Oficio enviado por el profesional universitario adscrito a la Dirección Oficina de Sistemas e Informática Certificación del supervisor Acta No. 7 de fecha 23 de septiembre de 2014, cuyo fin era hacer seguimiento a las actividades del mes de agosto. Para lo cual la líder del proyecto de Mnemo acordó entregar los ajustes el día 25 de septiembre de 2014. Fls. 296-298 carpeta No. 2. El 10 de octubre de 2014 envía oficio al Director de la Oficina de Sistemas e Informática acusando el recibo de los ajustes correspondientes al mes de agosto de 2014 por parte de la líder del proyecto de la empresa contratista Mnemo. Certifica el 26 de septiembre de 2014 el periodo comprendido entre el 1 de agosto al 31 de agosto de 2014. Fl. 300 carpeta No. 2 Acta No. 8 de fecha 21 de octubre, cuyo fin era hacer seguimiento a las actividades del mes de septiembre. Para lo cual la líder del proyecto de Mnemo acordó entregar los ajustes el día 27 de octubre de 2014. Fl 314 cuaderno No. 2. Acta No. 10 de fecha 24 de noviembre de 2014, cuyo fin era hacer seguimiento a las actividades del mes de octubre. Para lo cual la líder del proyecto de Mnemo acordó entregar los ajustes el día 26 de noviembre de 2014. Fls. 330-331 cuadernos No. 2. Acta No. 11 de fecha 11 de diciembre de 2014, cuyo fin era hacer seguimiento a las actividades del mes de noviembre. Para lo cual la líder del proyecto de Mnemo acordó entregar los ajustes el día 15 de diciembre de 2014. Fls. 361-363 cuaderno No. 2. El 30 de octubre de 2014 envía oficio al Director de la Oficina de Sistemas e Informática acusando el recibo de los ajustes correspondientes al mes de septiembre de 2014 por parte de la líder del proyecto de la empresa contratista Mnemo. Fls. 316- 317 cuaderno No. 2 El 5 de diciembre de 2014 envía oficio al Director de la Oficina de Sistemas e Informática acusando el recibo de los ajustes correspondientes al mes de octubre de 2014 por parte de la líder del proyecto de la empresa contratista Mnemo. Fls. 332-333 cuaderno No. 2 Certifica el 27 de octubre de 2014 el periodo comprendido entre el 1 de septiembre al 30 de septiembre de 2014. Fl 303 cuaderno No. 2. El 19 de diciembre de 2014 envía oficio al Director de la Oficina de Sistemas e Informática acusando el recibo de los ajustes correspondientes al mes de noviembre de 2014 por parte de la líder del proyecto de la empresa contratista Mnemo. Fls. 363-364 cuaderno No. 2 Certifica el 16 de diciembre de 2014 el periodo comprendido entre el 1 de noviembre al 31 de noviembre de 2014. Fl 335 cuaderno No. 2. Certifica el 26 de noviembre de 2014 el periodo comprendido entre el 1 de octubre al 31 de octubre de 2014. Fl 318 cuaderno No. 2. Adicionalmente en los contratos Nos. 387-12; 199-13, 289-13 y 405-14 se evidenciaron irregularidades en la supervisión, toda vez que no se acredita un adecuado seguimiento técnico, administrativo, financiero, contable y jurídico, en razón de que se indica el cumplimiento de actividades las cuales no son soportables tal como se explica en el Anexo 1-Informe Técnico (numerales 1.8; 2.5; 2.6; 3.4 y 7.4). Lo anterior evidencia incumplimientos de lo establecido en el artículo 83 de la Ley 1474 de 2011. Para el contrato N° 371 de 2014, encontramos que las mismas fueron cumplidas en su totalidad. Estas obligaciones se clasificaron en cinco (5) grupos a saber: 1. Obligaciones de Análisis: - Desarrollar los análisis y proponer los cronogramas en los que se adelanten las actividades de capacitación, tanto a nivel central como regional, en los procesos jurídico administrativos que la CGR considere pertinente. Ejemplo de estos procesos son: El Procesos Administrativo Sancionatorio, el Proceso Disciplinario y el Procesos de Jurisdicción Coactiva. 73 Se modifica lo observado. En cuanto al contrato 371-14 se retira la observación teniendo en cuenta que una vez se revisaron nuevamente las obligaciones del contrato no se pactaron obligaciones de realizar capacitaciones si no que se acordó la obligación de proponer los cronogramas en los que se adelanten las actividades de capacitación como lo afirma la CGR en su contradicción, lo cual fue cumplido por el contratista. Respecto al contrato No. 405 de 2014 la observación se mantiene teniendo en cuenta que la CGR no desvirtúa lo observado por la AGR ya que únicamente manifiestan que Realizar la estimación del recurso humano necesario para cumplir con las actividades de digitalización y capacitación, programadas en los mencionados cronogramas. 2. Obligaciones de Acompañamiento y Seguimiento, 3. Obligaciones de Cierre, 4. Obligaciones Referentes a los Informes y Actividades: Informe de Elaboración de Cronogramas de Capacitación a Nivel Central y Regional. - Informe de Estimación de Recurso Humano para adelantar las actividades de digitalización y capacitación. Aclaramos que no se pactaron obligaciones de capacitación con el contratista OPORTUNIDAD ESTRATÉGICA LTDA., por cuanto la obligación con ellos consistió en actividades de proponer los cronogramas en los que se adelanten las actividades de capacitación, más no dictar las capacitaciones como tal, porque esto era responsabilidad exclusiva de la CGR. 5. Obligaciones Generales. Para el contrato N° 405 de 2014, tabla 2-6, fila 1, aclaramos que aunque el profesional universitario adscrito a la Oficina de Sistemas e Informática envió oficio el 10 de octubre de 2014 acusando el recibo de los ajustes correspondientes al mes de agosto de 2014 por parte del contratista, el recibo de los mismos fue efectuado dentro del plazo pactado, tal como consta en el numeral 1 del citado oficio, donde el mencionado profesional aduce: “La firma Mnemo hizo entrega de los siguientes documentos corregidos correspondientes al mes de agosto de 2014, mediante oficios: Documentos de informes de seguridad gestionada y análisis de vulnerabilidad con oficio del día 12 de septiembre 2014, recibidos corregidos el día 25 de septiembre de 2014 y Dos CD que contienen información de los informes: informe resumen ejecutivo, informe detallado de operación, informe de control de cambios, informe soporte a fallas, informe de actividad sospechosa, informe de actividades de analista en sitio, informe técnico de seguridad e informe resumen ejecutivo de seguridad, recibido el día 25 de Septiembre de 2014”. En conclusión las correcciones requeridas al contratista fueron entregadas por este en la fecha 74 se recibieron las- correcciones de las Actas de Seguimiento R los días pactados para ello, sin que exista un documento que deje constancia del recibo en esa fecha ya que el documento con base en el cual se debía certificar el cumplimiento tiene fecha posterior a la certificación, es decir se certificó el cumplimiento sin tener los respectivos soportes. Respecto de lo observado por la AGR sobre los contratos Nos. 387-12; 199-13, 289-13 y 405-14 relacionados con que se indica el cumplimiento de actividades las cuales no son soportables, la CGR no se pronunció en su respuesta sobre esto. acordada de 25 de septiembre de 2014, por lo que se expidió al contratista la certificación de cumplimiento de fecha 26 de septiembre de 2014. También aclaramos la tabla 2-6, fila 2, del referido contrato, manifestando que aunque el profesional universitario adscrito a la Oficina de Sistemas e Informática envió oficio el 30 de octubre de 2014 acusando el recibo de los ajustes correspondientes al mes de septiembre de 2014 por parte del contratista, el recibido de los ajustes en mención fue hecho en la fecha estipulada como consta en la segunda hoja del citado oficio del 30 de octubre donde el profesional universitario menciona “La líder del proyecto Angela Maria Montero de la firma Mnemo, hizo entrega de los documentos corregidos el día 27 de octubre de 2014”. Por tanto, las correcciones requeridas al contratista fueron entregadas por este en la fecha acordada, o sea el 27 de octubre de 2014, fecha en que se expidió al contratista la certificación de cumplimiento por parte del supervisor del contrato. La tabla 2-6, fila 3, se aclara así: aunque el profesional universitario adscrito a la Oficina de Sistemas e Informática envió oficio el 5 de diciembre de 2014 acusando el recibo de los ajustes correspondientes al mes de octubre de 2014 por parte del contratista, el recibido de los ajustes en mención fue hecho en la fecha comprometida como consta en la segunda hoja del citado oficio del 5 de diciembre donde el profesional universitario menciona “La líder del proyecto Angela Maria Montero de la firma Mnemo, hizo entrega de los documentos corregidos el día 26 de noviembre de 2014”, luego las correcciones requeridas al contratista fueron entregadas por éste en la fecha acordada, o sea el 26 de noviembre de 2014, expidiéndose certificación de cumplimiento al contratista por parte del supervisor en esa misma fecha. Adjuntamos en medio magnético los oficios referidos en esta respuesta. Observación No. 09 - Irregularidades en las modificaciones contractuales Con base en lo expuesto en el Anexo 1-Informe Técnico (numerales 1.3; 7.2 y 7.3) las siguientes adiciones no tienen relación con el objeto del contrato inicial, lo que nos lleva a concluir que se tratan de contratos con un objeto diferente al alcance de los objetos iniciales y por lo tanto, se debió establecer una adecuada planeación que determinara claramente el procedimiento a seguir conforme a lo establecido en la Ley contractual y el Manual de contratación versión 2.0, vigente para el momento de la celebración de las respectivas adiciones. El 28 de diciembre de 2012 se celebró la modificación y adición 1 al contrato No. 387-12 por medio de la cual se modificó la cláusula séptima del contrato correspondiente a plazo y lugar de ejecución, estableciendo en el parágrafo 3 que no podrá exceder del 31 de diciembre de 2012 y se adicionó el valor en $ 1.563.730.370. 75 El 01 de agosto de 2014 se celebró adición al contrato No. 405-14 por medio de la cual se adicionó el valor del contrato en $ 653.000.000. Las adiciones cuestionadas cuentan con las Se mantiene lo observado. debidas justificaciones técnicas y jurídicas, suscritas por los respectivos supervisores. La respuesta dada por la CGR no desvirtúa lo observado por la Adjuntamos para los fines pertinentes las AGR teniendo en cuenta que si bien es cierto aportan las justificaciones medio magnético de las adiciones justificaciones técnicas y jurídicas de las adiciones de los de los contratos N° 387 de 2012 y 405 de 2014. contratos 387-12 y 405-14, lo que se cuestiona es que para dar cumplimiento al objeto inicial no se requería de la adición, pues esta tiene un objeto diferente al inicial y por lo tanto se debían realizar contratos diferentes. Adicionalmente esta situación ya había sido objeto de análisis de una forma más amplia para cada uno de los contratos mencionados en las respuestas a las observación 05, numerales 1.3, 7.2 y 7.3. Observación No. 10 - Cumplimiento del objeto contractual De acuerdo con lo establecido en el informe técnico (Anexo 1 nums 1.7, 2.5, 2.7, 3.4 y 7.4) se pudo determinar que se pagaron obligaciones contractuales sin que estas fueran cumplidas a plenitud, esto en razón de que se presentó un presunto incumplimiento de algunas actividades en los contratos 387-12; 199-13; 289-13 y 405-14, lo cual podría llevar una posible lesión al patrimonio de la entidad. Igualmente, en el contrato Nro. 371-14 se evidenció que dentro de los estudios previos y el contrato quedó establecida una actividad relacionada con capacitación la cual no fue ejecutada de acuerdo con lo observado en los informes de OPORTUNIDAD ESTRATEGICA LTDA. Tal como lo mencionamos en la respuesta a la Se modifica lo observado. observación N° 8, no se presentó incumplimiento contractual, toda vez que para el contrato N° 371 Se retira lo relacionado con el numeral 2.7 teniendo el análisis realizado en la respuesta a la observación 05, igualmente en de 2014 suscrito con la firma OPORTUNIDAD cuanto al contrato 371-14 del cual se realizó el análisis en la ESTRATEGICA LTDA., no se pactó obligación de observación 08. capacitar al personal de la CGR. A continuación transcribimos literalmente las obligaciones del Con respecto al numeral 3.4 del Anexo-Informe Técnico, la CGR contratista contenidas en la Cláusula Séptima. A) no presentó ninguna contradicción por lo tanto se mantiene. ESPECÍFICAS. 1. Análisis (…) en los literales iii) “Desarrollar los análisis y proponer los Finalmente en cuanto a los numerales 1.7, 2.5 y 7.4 del AnexoInforme Técnico se mantiene de acuerdo al análisis realizado en cronogramas en los que se adelanten las la observación 05. actividades de capacitación, tanto a nivel central como regional, en los procesos jurídicos – administrativos que la CGR considere pertinente. Ejemplo de estos procesos son: el proceso Administrativo Sancionatorio, el Proceso Disciplinario y el Proceso de Jurisdicción Coactiva” y iv) “Con base en los anteriores análisis, se debe realizar la estimación del recurso humano necesario para cumplir con las actividades de digitalización y capacitación, programadas en los mencionados cronogramas”, actividades que fueron juiciosamente cumplidas por el contratista tal como consta en los informes de elaboración de cronogramas de capacitación a nivel central y regional e informes de estimación de recurso humano. Adjuntamos medio digital con los mencionados informes. 76 Bajo lo expuesto ha sido emitida contestación en ejercicio del derecho de contradicción y con ocasión al proceso auditor efectuado para que sea valorada. No obstante, la Contraloría General de la República está presta a cualquier aclaración que llegue a requerirse por parte de la Auditoría General de la República. 77 4 No. hallazgo Hallazgo 01 Hallazgo 02 hallazgo 03 Hallazgo 04 Hallazgo 05 Hallazgo 06 total RESUMEN DE HALLAZGOS administrativo disciplinario X X X X X X 6 X X X X X 5 78 fiscal penal Cuantía (millones $) X X 665 X 2 X X 3 1558 2223 5 ANEXO 1- INFORME TÉCNICO Para el desarrollo de la auditoria especial se tomó una muestra de 11 contratos por valor de $14.138.262.359 (incluido el valor de las adiciones), así: VALOR NO. CONTRATO OBJETO CONTRATISTA 387-12 ADQUISICION DE UN SISTEMA DE SEGURIDAD INTEGRAL DE INFORMACION, QUE INCLUYA EL LICENCIAMIENTO CORPORATIVO SCISO, MAVERIC, PRESEA Y REMEDY; DISEÑO E IMPLEMENTACION DEL SOCK; ENTREGA DEL ESTUDIO DE CORRELACION Y RECOMENDACIONES Y LA TRANSFERENCIA DE CONOCIMIENTO DE TODO AL SISTEMA; IMPLEMENTACION DE LAS METODOLOGIS Y PRODUCTOS INTEGRADOS PARA LA OPERACION Y MONITOREO DE INCIDENTES DE SEGURIDAD. MNEMO 5.363.730.370 199 -13 CONTRATAR EL DISEÑO MODELAMIENTO Y LA IMPLEMENTACION DE LA GUIA DE RESPONSABILÑIDAD FISCAL EDISION FEBRERO 2013 EN LA PLATAFORMA PROCESA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRONICO EN AL CGR. MNEMO 690.000.000 289 - 13 CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS; ANALISIS DE VULNERABILIDADES EXPERTO; SUMINISTROS DE LICENCIAS POR UN AÑO DE HERRAMIENTAS PRESEA Y REMEDY; SUMINISTRO 4600 TOKENS CON LAS LICENCIAS SAFENET CLIENT PARA EL USO DE LOS DISPOSITIVOS CRIPTOGRAFICOS Y 4400 LICENCIAS PARA LA EXPEDICION DE CERTIFICADOS DIGITALES PARA EL USO DE LOS FUNCIONARIOS EN LA CGR; IMPLEMENTACION DE LA FIRMA ELECTRONICA PARA LAS APLICACIONES MISIONALES SICA; SIPAR Y CORREO ELECTRONICO; INTEGRACION SICA, SIGEDOC, SIPAR Y SAE CON EL SOFTWARE PROCESA. MNEMO 2.256.658.111 544 – 13 CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR MNEMO 31.349.232 396 - 14 PRESTACIÓN DE SERVICIOS PROFESIONALES PARA CAPACITACIÓN EN EL ÁMBITO DEL "SISTEMA DE ASEGURAMIENTO ELECTRÓNICO DE EXPEDIENTES (SAE)" DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA. MNEMO 422.259.469 398 - 14 CONTRATAR LA PRESTACIÓN DE SERVICIOS DE IMPLEMENTACIÓN DEL PROCESO DE JURISDICCIÓN COACTIVA INTEGRADO AL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO (SAE) MNEMO 291.171.136 79 $ VALOR NO. CONTRATO OBJETO CONTRATISTA 400 - 14 CONTRATAR EL SOPORTE, MANTENIMIENTO DEL HARDWARE Y ACTUALIZACIÓN DEL SOFWARE DE LA INFRAESTRUCTURA DEL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO DESPLEGADO EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS. MNEMO 368.467.563 402 - 14 CONTRATAR LA INTEGRACIÓN DEL SOFWARE DE SALAS DE AUDIENCIA AL SAE Y EL DISEÑO, MODELAMIENTO, IMPLEMENTACIÓN Y PUESTA EN MARCHA DE LOS MODULOS DEL PROCESO DISCIPLINARIO (ORDINARIO Y VERBAL), PROCESO ADMINISTRATIVO SANCIONATORIO EN LA PLATAFORMA PROCESA DE ASURAMIENTO DEL EXPEDIENTE ELECTRÓNICO EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA. MNEMO 3.829.887.571 405 - 14 CONTRATAR LA PRESTACIÓN DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS Y EL ANÁLISIS DE VULNERABILIDAD EXPERTO PARA LAS APLICACIONES DE LA CGR. MNEMO 1.906.969.277 CGR 291-13 PRESTACION DE SERVICIOS PROFESIONALES, PARA EL DESARROLLO DEL ANALISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TECNICO, AL PROCESO DE IMPLEMENTACION DEL SISTEMA DE ASEGURAMIENTO ELECTRONICO - SAE-EN LA CGR, ANIVEL CENTRAL (SEDE BOGOTA). OPORTUNIDAD ESTRATEGICA LTDA 529.500.000 CGR 371-14 PRESTACIÓN DE SERVICIOS PROFESIONALES PARA EL DESARROLLO DEL ANÁLISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TÉCNICO, DEL PROCESO DE IMPLEMENTACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRÓNICO ¿SAE- EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA. OPORTUNIDAD ESTRATEGICA LTDA 665.000.000 TOTAL $ 16.354.992.729 El resultado del análisis técnico de la contratación objeto de la muestra se presenta a continuación: 1. CONTRATO 387 DE 2012 Objeto: ADQUISICION DE UN SISTEMA DE SEGURIDAD INTEGRAL DE INFORMACION, QUE INCLUYA EL LICENCIAMIENTO CORPORATIVO SCISO, MAVERIC, PRESEA Y REMEDY; DISEÑO E IMPLEMENTACION DEL SOCK; ENTREGA DEL ESTUDIO DE CORRELACION Y RECOMENDACIONES Y LA TRANSFERENCIA DE CONOCIMIENTO DE TODO AL SISTEMA; IMPLEMENTACION DE LAS METODOLOGIAS Y PRODUCTOS INTEGRADOS PARA LA OPERACION Y MONITOREO DE INCIDENTES DE SEGURIDAD. 80 Valor: $3.800.000 adición: $1.563.730.370 Fecha suscripción del contrato: 25 julio de 2012 Fecha suscripción adición: 28 de diciembre de 2012 1.1. Falta de estudio y comparación con otras alternativas para la solución En el estudio previo del contralo 387 de 2012, cuyo objeto es “adquisición de un sistema de seguridad integral de información, que incluye el licenciamiento corporativo SCISO, MAVERIC, presea y REMEDY; diseño e implementación de la arquitectura de seguridad de la red; diseño e implementación del SOC; entrega del estudio de correlación y recomendaciones y la transferencia de conocimiento de todo al sistema; implementación de las metodologías y productos integrados para la operación y monitoreo de incidentes de seguridad”; define la necesidad como: “Considerando la situación actual de la Contraloría General de la República, en cuanto a sus requerimientos para la Seguridad de la información, se considera que es requerida la implementación de una metodología que le permita protegerse frente a las amenazas existentes en el entorno dinámico de las redes mundiales y de esa forma poder cumplir con sus funciones, de acuerdo a sus objetivos organizacionales. Con base en las mejores prácticas se considera que es indispensable para una organización moderna, contar con un Centro Operativo de Seguridad, que cumpla con la función del monitorio permanente de los activos informáticos y de la información, para identificar las amenazas existentes y aplicar los controles requeridos para la mitigación de los riesgos al nivel aceptable por la organización. Teniendo en cuenta que las principales y más robustas metodologías son SCISO Y MAVERIC, y que están alineados a los estándares internacionales como ISO 27001, ITIL y E-CERT, los cuales se integran a componentes de hardware; software y servicios asociados a la seguridad de la información, contando además con un nivel de trayectoria soportada en la implementación de la misma en los sectores financieros, de defensa y gobierno”. Al respecto no se encontró que la CGR en los estudios previos haya realizado análisis juicioso sobre la existencia de otras metodologías que pudieran satisfacer la necesidad planteada y así determinar la existencia o no, de más oferentes del servicio a adquirir. Únicamente existe evidencia de una vista que hizo la CGR a Mnemo en España entre los días 30 y 31 de marzo de 2012, mucho antes de realizar los estudios previos, sin que se hubiera analizado otras opciones que conllevaran a la solución del problema planteado independientemente de la metodología utilizada. 81 Tampoco indican las razones por las cuales consideran que las metodologías SCISO y MAVERIC son las más robustas del mercado. Además no se evidencia que hayan realizado un análisis previo de factores que permitieran determinar si la solución contratada resultaba ser la más ventajosa para la entidad y más aún cuando en el estudio previo la CGR manifiesta que uno de los factores diferenciadores con otras firmas que ofrecen metodologías es el SOC, sin existir soporte del análisis realizado frente a las “otras firmas” mencionadas en dicho estudio. De otra parte en el estudio previo hace referencia a los principales factores diferenciadores de la solución de Mnemo, sin indicar contra que otra solución hizo la comparación, entre los cuales están: Tanto en el estudio previo como en la propuesta presentada por Menciona se afirma que la solución ofrecida está basada en la metodología SCISO construida a partir de la experiencia de más de 10 años, dando a entender que es de propiedad de Mnemo cuando en realidad este producto es de propiedad de SCITUM (Information Security Operations). (Según esto no es proveedor exclusivo) Indica que la metodología se lleva a la práctica mediante el producto Service Desk basado en Remedy sin mencionar que el propietario del software es BMC software inc., Afirma que se han integrado en la operación del SOC los procesos de Seguridad Preventiva, con el establecimiento de Auditorias de Vulnerabilidades, basadas en una metodología propia, MAVERIC©, y un framework de seguridad propio, basado en PRESEA©. Tampoco precisa que el software PRESEA es de propiedad de Neuralsoft, Es decir la única herramienta de propiedad de Mnemo para la solución requerida es la metodología MAVERIC y consiste en la definición de los procesos y procedimientos mediante los cuales Mnemo identificaría las vulnerabilidades que diariamente pueden aparecer sobre los componentes de la Infraestructura de TICs. Esto obviamente no sería exclusivo de Mnemo pues independientemente del nombre de la metodología, todo proveedor que preste este servicio hace uso de una metodología bien sea propia o basada en estándares reconocidos y aprobados internacionalmente. 1.2. Adquisición de elementos sin estudio de mercado. En el estudio previo se incluye la adquisición de los elementos de Infraestructura de Seguridad (incluye soporte de dispositivos durante dos años) por valor de $ 496.220.972, de los productos y equipos Imperva, fortinet y alient vault, dell y el Rack HP. 82 La CGR no hizo un estudio previo adecuado en el que se hubieran analizado varias alternativas para la satisfacción de la necesidad planteada, de tal forma que se hubiera escogido la solución más ventajosa para la entidad desde el punto de vista técnico, funcional y económico, teniendo en cuenta que Mnemo no es el proveedor exclusivo de los fabricantes de dichos productos. 1.3. La adición al contrato 387-12 no tiene relación con el objeto del contrato inicial y no se evidencia estudio técnico y funcional, ni estudio de mercado que determine el valor de $ 1.563.730.370 Mediante oficio con fecha del 12 de diciembre de 2012, suscrito por el Director de la Oficina de Sistemas e Informática de la CGR solicita que se adicione el contrato para la implantación de la plataforma de aseguramiento electrónico del expediente que consistió en la adquisición de: La plataforma de firma digital, plataforma de emisión de certificados digitales, plataforma de sellado de tiempo, plataforma de custodia de firmas electrónicas, plataforma de securización de los expedientes electrónicos, Plataforma de acceso seguro mediante dispositivos criptográficos a la aplicación web del expediente electrónico. Al respecto se observa que el objeto de la adición no tiene ninguna relación con el objeto inicial del contrato, teniendo en cuenta que lo inicialmente pactado se refiere a la infraestructura tecnológica de la CGR, mientras que la adición hace referencia al expediente electrónico, es decir que una organización puede fortalecer la seguridad de su infraestructura sin que requiera tener una solución para el expediente electrónico. El planteamiento de la adición, está sustentada en la propuesta presentada por Mnemo, el 27 de noviembre de 2012, sin la definición de los requerimientos técnicos y funcionales mínimos por parte de la CGR respecto del aseguramiento del expediente electrónico. Tampoco se evidencia un estudio de mercado de tal forma que le permitiera a la entidad escoger la opción más ventajosa, sobre todo por tratarse de elementos de hardware y software de los cuales Mnemo no es el distribuidor exclusivo de los fabricantes de los productos, ni se indica en qué consistiría la solución propuesta. 1.4. Riesgos en la validez de los certificados digitales emitidos por parte de la CGR Respecto de la adquisición de la solución para la expedición de certificados digitales, no se evidenció que se haya realizado un estudio de mercado ni de factibilidad jurídica y técnica, donde se analicen aspectos tales como: Los riesgos e implicaciones legales que tiene la CGR al no estar constituida como entidad certificadora cerrada. 83 Las posibilidades a corto plazo de cumplir con los requisitos tanto técnicos como legales para constituirse como entidad certificadora cerrada. Las ventajas y/o desventajas que tendría al emitir los certificados digitales como entidad certificadora cerrada frente a la expedición de los mismos por una entidad certificadora abierta. El análisis de costo/ beneficio teniendo en cuenta los gastos que asumió en infraestructura, administración, licenciamiento y los que deberá asumir para el soporte, mantenimiento y renovación por obsolescencia. La ausencia de los mencionados estudios ponen en duda la validez de las firmas y los certificados digitales emitidos por la CGR, lo cual resulta crítico y riesgoso al tratarse de los procesos de responsabilidad fiscal, sancionatorios y disciplinarios que adelanta la entidad, tal como lo corrobora el informe presentado por la firma “Oportunidad Estratégica” en el documento “RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO ELECTRONICO- SAE en el numeral 7- “Aspectos Jurídicos sobre SAE, Firma Electrónica y las Entidades de Certificación Cerradas”, en uno de sus apartes dice: “Actualmente la CGR está haciendo uso de la firma digital, sin certificar pero verificable” y más adelante señala: “Si la Contraloría General de la República desea emitir certificados digitales será necesario que exista autorización previa del Organismo de Acreditación de Colombia (ONAC). Ahora bien, esto no impide que la CGR emita <certificados asimilables>, desde sus aspectos técnicos, a los <certificados digitales> dispuestos en la ley. Se entienden "certificados asimilables", porque al carecer del aval del ONAC, tendrán un <nivel de confianza> inferior. Esta situación, en términos prácticos, no tiene mayor trascendencia, pero, en el evento de un litigio sobre la validez de la firma resultará relevante. Esto debido a que la firma digital, sin certificación pero verificable, se respalda en los procesos, mientras que la firma digital certificada, se respalda, como primera medida, en la certificación emitida por el ONAC”. 1.5. Adquisición plataforma PROCESA sin análisis de otras alternativas En la adición al contrato se incluye la adquisición de la plataforma PROCESA cuyo valor de la oferta de Mnemo es de $518.278.320, sin que se evidencie en la solicitud de la adición un sustento técnico para la adquisición de dicha plataforma, así como tampoco se evidenció que la CGR hubiera realizado un análisis de otras alternativas que permitieran establecer la existencia o no de pluralidad de oferentes de una solución para el aseguramiento del expediente electrónico, de tal forma que se tomara la opción más favorable para la entidad tanto en los aspectos técnicos, funcionales y económicos. 84 1.6. No se consultaron precios de mercado No se evidencia que se haya hecho un adecuado análisis económico teniendo en cuenta que no se consultaron precios del mercado tanto para el tema de la seguridad integral de la infraestructura como para el aseguramiento del expediente electrónico, únicamente se basaron en los precios de las ofertas presentadas por Mnemo, los cuales se presentan en su mayoría de manera global, tal como se detalla continuación: El item “Suministro de elementos de Infraestructura de Seguridad (incluye soporte de dispositivos durante dos años)” por valor de $$ 496.220.972, no fue desagregado por productos y/o servicios que lo conformaban. El item relacionado con la Fase 2 “Monitorización y Base del Proceso de startup” por valor de $ 2.293'103.448 + IVA, no fue desagregado a pesar de presentar dos items para su ejecución que consistía en: 1. Asistencia Técnica para la implantación de la metodología SCISO y MAVERIC 2. Servicios de Monitorización de Base, startup, Auditorías de Seguridad y Consultoría de Seguridad En la adición al contrato, igual situación se evidencia, teniendo en cuenta que los precios no están detallados por cada uno de los productos y/o servicios que conforman la plataforma PROCESA, la infraestructura de seguridad HSM, la plataforma firma, la plataforma PKI, la plataforma TSA, los Tokens criptográficos. Es decir que la CGR ha aceptado los precios ofertados por Mnemo, sin que se presenten de manera desagregada e impidiendo de esta forma que la entidad hiciera un análisis juicioso respecto del tema económico. 1.7. Incumplimiento de obligaciones contratadas Respecto de las Licencia de uso de la metodología SCISO por valor de $ 218.406.266, Licencia de Service Desk REMEDY° V7.5 por valor de $ 66.614.053 y Licencia de uso del producto PRESEA°.por valor $ 61.098.767, no se evidencia que SCITUM, BMC software inc y Neuralsoft fabricantes de las herramientas antes mencionada hayan otorgado la licencia a nombre de la Contraloría General de la República, como lo dispone la cláusula 9 numeral 5 del contrato que dice: “Garantizar que las licencias objeto de este contrato y que estén a nombre de la Contraloría queden instaladas y configuradas en la última versión liberada”. En la cláusula primera dentro del objeto del contrato se incluye la TRANSFERENCIA DEL CONOCIMIENTO DE TODO EL SISTEMA”, sin 85 embargo ni en la propuesta ni en el cronograma ni en la definición de los entregables quedó incluida, así como tampoco existe evidencia por parte de la CGR de la exigencia de su cumplimiento. En el numeral 12 de la cláusula 9 del contrato dice: “Realizar el acompañamiento técnico en el al proceso de digitalización de los documentos que la Contraloría adelantará en el presente semestre”, en la propuesta presentada por el contratista no está contemplado este item, y no existe evidencia del cumplimiento de esta obligación. 1.8. Falta de oportunidad de ingreso a almacén de los elementos adquiridos por valor de $ 580.172.550. Entre los entregables que conformaban el hito 1 se encontraban los equipos de seguridad, los cuales a 5 de septiembre de 2012, de acuerdo a certificación expedida habían sido recibidos a satisfacción, sin embargo solo ingresaron al Almacén de la CGR, el 20 de agosto de 2013, es decir casi un año después. Situación similar sucedió con los elementos adquiridos mediante la adición al contrato 387 de 2012, que a pesar de que el supervisor certificó el cumplimiento del contrato el 28 de diciembre de 2012, solo hasta febrero 24 de 2015, se hizo el ingreso a Almacén, es decir dos años después. Lo anterior evidencia un riesgo para el control y administración de esos elementos teniendo en cuenta que no tenían asignado un responsable, ni se encontrarían cubiertos por la pólizas de seguros. 2. CONTRATO 289 DE 2013 Objeto: CONTRATAR LA PRESENTACION DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS; ANALISIS DE VULNERABILIDADES EXPERTO; SUMINISTROS DE LICENCIAS POR UN AÑO DE HERRAMIENTAS PRESEA Y REMEDY; SUMINISTRO 4600 TOKENS CON LAS LICENCIAS SAFENET CLIENT PARA EL USO DE LOS DISPOSITIVOS CRIPTOGRAFICOS Y 4400 LICENCIAS PARA LA EXPEDICION DE CERTIFICADOS DIGITALES PARA EL USO DE LOS FUNCIONARIOS EN LA CGR; IMPLEMENTACION DE LA FIRMA ELECTRONICA PARA LAS APLICACIONES MISIONALES SICA; SIPAR Y CORREO ELECTRONICO; INTEGRACION SICA, SIGEDOC, SIPAR Y SAE CON EL SOFTWARE PROCESA. Valor: $ 2.256.658.111 Fecha de suscripción: 4 de octubre de 2013 86 2.1. No se hizo estudio de mercado En los estudios previos además de la adquisición del servicio de seguridad gestionada, se incluyó el suministro de 4600 Tokens con las licencias Safenet Client para el uso de los dispositivos criptográficos y 4400 licencias para la expedición de certificados digitales para el uso de los funcionarios en la Contraloría, por valor de $573.404.572, sin que se hiciera un estudio de mercado ni se invitara a diversos proveedores a cotizar con el fin de que la CGR tuviera la posibilidad de evaluar y escoger la propuesta más ventajosa para la entidad, teniendo en cuenta que Mnemo no es el distribuidor exclusivo de los fabricantes de los productos. 2.2. Deficiencias en la descripción de la necesidad del contrato por falta de justificación para la adquisición. En el estudio previo no se realiza un análisis que justifique la adquisición de 4600 Tokens adicionales a los 120 adquiridos con el contrato 387 de 2012, para un total de 4720 Tokens, frente al número de potenciales usuarios, tampoco se especifica la definición de los documentos que requieren ser firmados digitalmente, pues no todas las comunicaciones electrónicas requieren de firma digital. Es importante mencionar que a la fecha de la presente auditoria (marzo de 2015), únicamente se habían asignado 917 Tokens, correspondientes al 19% del total de adquiridos. 2.3. Costo adicional innecesario por falta de control y seguimiento al contrato 199 de 2013 en las Adaptaciones a la aplicación WEB SAE En el numeral 2.2.6 del estudio previo se requiere el suministro de 2000 horas de desarrollo para el levantamiento de información, modelamiento y desarrollo de los requerimientos funcionales de SAE que surjan de las necesidades de la entidad o los cambios a nuevas implementaciones que necesita la CGR. No se evidencia que en este requerimiento se hayan identificado de manera clara y precisa las funcionalidades a desarrollar e implementar, sobre todo teniendo en cuenta que la CGR ya había suscrito el contrato 199 de 2013, por valor de $690.000.000, mediante el cual se deberían de haber satisfecho las funcionalidades del expediente de aseguramiento electrónico para Procesos de Responsabilidad Fiscal, señaladas en el estudio previo del contrato 289 de 2013. De otra parte en la propuesta presentada por Mnemo numeral 4.2.2 “Modificaciones aplicación SAE” se relacionan la inclusión de funcionalidades las cuales no fueron manifiestas en el estudio previo elaborado por la CGR y que deberían haber sido satisfechas con la ejecución del contrato 199 de 2013, considerándose que su contratación por valor de $454.000.000, representa un costo adicional causado por una inadecuada planeación, control y seguimiento que ha debido efectuar la CGR al contrato 199 de 2013, en el cual no se hizo 87 exigible el cumplimiento de las especificaciones técnicas del numeral 2.2 contenidas en los estudios previos. Es de precisar que el contrato 199 de 2013, para la elaboración de la solución del expediente electrónico-Procesos de Responsabilidad presenta un valor de $517.500.000 y que las adaptaciones establecidas en el contrato 289 de 2013, tienen un costo de $454.000.000, es decir los ajustes representan el 88% del valor de la solución previamente adquirida. 2.4. Deficiencia en las especificaciones del servicio a contratar establecidas en la descripción del objeto en cuanto a la Implementación de la firma electrónica e integración de aplicaciones No se realizó estudio de requerimientos técnicos que permitieran establecer la viabilidad de la contratación de la implementación de la firma digital e integración de aplicaciones, lo que conllevó a que durante la ejecución del contrato se determinaran dificultades técnicas que impidieran el cumplimiento de lo pactado, en razón a que para obtener la solución se dependía de los proveedores de las aplicaciones como el caso del SIGEDOC, INTRANET, correo electrónico entre otros. 2.5. Se hicieron pagos sin que se hubiera cumplido con la integración de las aplicaciones por valor de $522.000.000 Se contrató la integración de aplicaciones SICA con SIGEDOC, SIPAR con SIGEDOC, SIPAR con SICA, SICA con SAE, SIPAR con SAE, INTRANET con SAE, SICA y SIPAR. utilizando la suite PROCESA, así como la implementación de la firma digital para SICA, SIPAR y correo electrónico OWA, que contemplaba actividades como análisis de los requerimientos, diseño, construcción, despliegue, puesta en producción y transferencia del conocimiento, contenidos en los numerales 2.2.3 y 2.2.7 del estudio previo. El costo de estos items es de $522.000.000. Respecto de los hitos 1, 2, 3, 4 y 5 (parcial) se hicieron los respectivos pagos, a pesar de no presentar avance sobre la integración, como se evidencia en el oficio del 12 de diciembre de 2013 (folio 628), dirigido al supervisor del contrato y suscrito por el profesional de apoyo a la supervisión que indica: “ a la fecha la contraloría ha entregado a Mnemo la información correspondiente a los requerimientos de integración de los aplicativos SIPAR-SIGEDOC, SICASIGEDOC, SICA-SIPAR, de los cuales no se evidencia el avance en el diseño de las interfaces que permitan la integración entre los sistemas descritos”. Lo anterior se corrobora con el informe de actividades de Mnemo, correspondiente al Hito 5 parcial de fecha 20 de diciembre de 2013, folio 672, donde solicita 88 prórroga del contrato con el fin de realizar de una mejor manera el levantamiento de los requerimientos de integración y de implementación de firma digital y de estampado de tiempo, es decir que a esa fecha aún no había realizado ninguna actividad al respecto. Según documento con fecha del 1 de noviembre de 2013, folio 619, en el que se analiza la posibilidad de implementar en el correo electrónico la firma digital, se concluye que es imposible implementar dicha solución al interior de la CGR. Este contrato fue objeto de dos prórrogas sustentadas en el requerimiento de tiempo adicional para dar cumplimiento a la implementación de la firma digital y a la integración de las aplicaciones SIPAR-SIGEDOC, SICA-SIGEDOC, SICASIPAR, cuya fecha de finalización incluidas las prórrogas era hasta abril de 2014, sin embargo no se dio cumplimiento a los componentes enunciados, debido a que no se evidenció que estos servicios estuvieran habilitados en la CGR, así como tampoco existe evidencia de actas de pruebas funcionales y no funcionales, evidencia de la puesta en producción, además de la imposibilidad detectada por la CGR de la implementación de la firma digital en el correo electrónico, a pesar de esto se dio recibo a satisfacción y se canceló el valor $522.000.000. Según el ITEM3 del estudio previo con este contrato se pretendía garantizar la integridad y salvaguarda de los documentos electrónicos y transacciones que se procesan y realizan en las aplicaciones SICA y SIPAR y en el servicio de correo electrónico institucional con la implementación de la firma digital, lo cual a la fecha de esta auditoria (marzo 2015) no se había dado, ya que esta solución no se encuentra implementada en los aplicativos mencionados. Igual situación se presenta con lo establecido en el item 4 donde se pretendía la integración e intercambio de información entre las aplicaciones SICA, SIPAR, SIGEDOC, SAE e INTRANET, lo cual a la fecha de esta auditoria no se ha solucionado, según lo argumentado por la CGR se requiere del desarrollo de terceros y por este motivo no podía Mnemo cumplir a cabalidad con la integración. 2.6. Falta de oportunidad del ingreso a almacén de las herramientas adquiridas por valor de $401.383.200 El ingreso a Almacén de la CGR de los Tokens se registró solo hasta el 26 de febrero de 2015, de acuerdo a la información suministrada por la Dirección de recursos Físicos mediante oficio del 26 de febrero de 2015, como resultado del requerimiento efectuado por la AGR, a pesar de que el supervisor del contrato certificó el recibo a satisfacción el 26 de noviembre de 2013. Esto evidencia un riesgo para el control y administración de esos elementos teniendo en cuenta que no tenían asignado un responsable, ni se encontrarían cubiertos por las pólizas de seguros. 89 3. CONTRATO 199 DE 2013. Objeto: CONTRATAR EL DISEÑO MODELAMIENTO Y LA IMPLEMENTACION DE LA GUIA DE RESPONSABILÑIDAD FISCAL EDISION FEBRERO 2013 EN LA PLATAFORMA PROCESA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRONICO EN AL CGR. Valor: 690.000.000 Fecha de suscripción: 19 de abril de 2013 3.1. Ausencia de estudio de mercado de la solución independientemente de la plataforma empleada. La sustentación jurídica para contratar con Mnemo se fundamenta en que anteriormente se había adquirido la plataforma PROCESA, pero no se evidencia que la CGR haya hecho un estudio de mercado donde se evalué la posibilidad de obtener la opción más ventajosa tanto en precio, funcionalidades técnicas, soporte, escalabilidad, para solucionar la necesidad planteada independientemente de la plataforma utilizada; sobre todo porque la CGR está limitando su desarrollo al fabricante de la plataforma PROCESA, sin tener en cuenta que en el mercado existen otros proveedores para el desarrollo de la misma solución con la calidad requerida, independientemente de la plataforma. 3.2. Ausencia de especificaciones requeridas que forman parte del equipo de trabajo y precio ofertado La CGR no exigió que el proveedor detallara el número de profesionales, el perfil profesional y la disponibilidad de tiempo, de tal forma que garantizara la calidad en el desarrollo de la solución y permitiera a su vez analizar si el precio ofertado se ajustaba a los precios del mercado. 3.3. La metodología está definida por fases y los entregables por Hitos No hay concordancia entre la metodología planteada en la propuesta presentada por Mnemo que está organizada por fases y los entregables en cada Hito que se constituyen en requisito para el pago. Por ejemplo en el hito 1 cuyo valor es de $345.000.000 se define como entregable el desarrollo de la aplicación WEB, sin que se haya desagregado por las fases de la metodología de tal forma que el seguimiento y control para obtener un producto de calidad fuera efectivo y sin que se hiciera exigible las respectivas aprobaciones para el tránsito de una fase a otra. 90 3.4. Recibo a satisfacción sin que se surtieran las respectivas pruebas En los estudios previos quedó explicito que la solución debería cumplir con lo establecido en la Ley 610 de 2000, el Decreto 1474 de 2011 y la guía del proceso de responsabilidad fiscal emitida por la CGR y se especifican las funcionalidades mínimas, sin embargo la solución fue recibida a satisfacción sin que se surtieran las respectivas pruebas funcionales y no funcionales y sin que cumpliera a cabalidad con lo establecido en el contrato. Lo anterior se evidencia al establecer que las siguientes funcionalidades no quedaron como parte de la solución recibida, tales como: Recursos de reposición, número del proceso en el SIREF, traslado de expedientes, generación de informes, inclusión de campos de búsquedas, opción para finalizar antecedente, auto de apertura del proceso verbal, permitir la agregación de imputados, el campo cuantía debía ser numérico, permitir selección de tipos de actuaciones en el proceso verbal PRF, posibilidad de registrar varias tipos de actuaciones en cada audiencia, entre otros. Esto generó que la CGR contratara nuevamente el desarrollo de funcionalidades que deberían formar parte de la solución recibida a satisfacción, mediante el contrato 289 de 2013, por valor de $454.000.000, es decir una erogación innecesaria en que incurrió la CGR si se hubiera hecho el control y seguimiento requerido a cada una de las fases de la metodología utilizada por Mnemo, se hubieran realizado las pruebas funcionales y no funcionales, y en última instancia hubiera exigido el cumplimiento de lo establecido en la Cláusula Octava, Numeral 18 de – Soporte y Garantía, que establecía una garantía de 3 meses contados a partir de la puesta en producción y recibo a satisfacción. De otra parte en el informe del noviembre a diciembre de 2013, “Recomendaciones de Sostenibilidad del Sistema de Aseguramiento ElectrónicoSAE”, (folio 912 del contrato 291 de 2013) elaborado por la firma contratista “Oportunidad Estratégica” en el acápite de recomendaciones, señala: “Es recomendable que la Contraloría General de la República solicite a Mnemo las diferentes pruebas necesarias para garantizar la disponibilidad y el desempeño del SAE, etapas de gran necesidad para contar con un despliegue exitoso del SAE a nivel nacional”. 4. CONTRATO 398 DE 2014 Objeto: CONTRATAR LA PRESTACIÓN DE SERVICIOS DE IMPLEMENTACIÓN DEL PROCESO DE JURISDICCIÓN COACTIVA INTEGRADO AL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO (SAE) Valor: $291.171.136 Fecha de suscripción: 24 de enero de 2014 91 4.1. No se especificó el número de profesionales que intervendrían así como tampoco se desagregó el precio La CGR no exigió que el proveedor detallara el número de profesionales, el perfil profesional y la disponibilidad de tiempo, el número de horas de desarrollo, de tal forma que garantizara la calidad en el desarrollo de la solución, así como tampoco desagregó el precio ofertado, de tal forma que permitiera establecer que los precios se ajustaran a los del mercado. 4.2. No se exigió la aplicación de una metodología idónea para el desarrollo de software En el estudio no se exigió la aplicación una metodología idónea para el desarrollo de software que garantizara la calidad del producto, lo cual conllevó a que se prorrogara el contrato, en razón a que debieron ajustar la metodología la cual se estaba desarrollando por etapas y consideraron que era más conveniente por ciclos. Lo cual evidencia que sin una metodología adecuada resulta difícil el control y seguimiento que debe realizar la CGR para garantizar un producto de calidad. 5. CONTRATO 400 DE 2014 Objeto: CONTRATAR EL SOPORTE, MANTENIMIENTO DEL HARDWARE Y ACTUALIZACIÓN DEL SOFWARE DE LA INFRAESTRUCTURA DEL SISTEMA DE ASEGURAMIENTO DEL EXPEDIENTE ELECTRÓNICO DESPLEGADO EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS Valor: 368.467.563 Fecha de suscripción: 24 de enero de 2014 5.1. Ausencia de estudio de mercado teniendo en cuenta que Mnemo no es el proveedor exclusivo de los fabricantes de los productos La CGR no realizó el respectivo estudio de mercado para seleccionar la oferta más favorable para la entidad para el mantenimiento y soporte del hardware y actualización del software de los dispositivos criptográficos net HSM (Hardware Security Module), plataforma de firma Safelayer, plataforma PKI de Safelayer, plataforma TSA, Tokens criptográficos USB, teniendo en cuenta que Mnemo no es el proveedor exclusivo de los diversos fabricantes de los productos enunciados. 5.2. Los precios no se desagregan por producto El precio no se desagrega por servicios prestados y las actualizaciones de las licencias, sino que se da un valor global, lo cual impide de manera clara hacer un análisis para determinar la conveniencia o no de contratar dicho servicio con 92 Mnemo, o por lo menos justificar el valor de la propuesta frente a los precios del mercado. 5.3. Falta sustento para la contratación de la actualización de licencias No se evidencia el sustento respecto de la actualización de licencias, pues no se precisa la versión instalada y la nueva versión que se está contratando, tampoco se indica la necesidad que tiene la CGR de adquiridas, es decir no existe certeza de la existencia en el mercado de las nuevas versiones que se pretenden contratar. 6. CONTRATO 396 DE 2014 Objeto: PRESTACIÓN DE SERVICIOS PROFESIONALES PARA CAPACITACIÓN EN EL ÁMBITO DEL "SISTEMA DE ASEGURAMIENTO ELECTRÓNICO DE EXPEDIENTES (SAE)" DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA. Valor: $422.259.469 Fecha de suscripción: 24 de enero de 2014 6.1. No se detallan precios por curso dictado impidiendo comparar con precios del mercado En los estudios previos no se especifican los valores por cada uno de los cursos dictados, sin considerar aspectos como intensidad horaria, número de alumnos, modalidad de capacitación (virtual o presencial), material de consulta, gastos de desplazamiento y logísticos, etc, impidiendo a la CGR hacer un análisis para establecer que los costos ofertados están acordes a los precios de mercado. 7. CONTRATO 405 DE 2014 Objeto: CONTRATAR LA PRESTACIÓN DE SERVICIOS DE SEGURIDAD GESTIONADA PARA LA INFRAESTRUCTURA DE SEGURIDAD DESPLEGADA EN LA CGR DE ACUERDO A LAS ESPECIFICACIONES DESCRITAS Y EL ANÁLISIS DE VULNERABILIDAD EXPERTO PARA LAS APLICACIONES DE LA CGR Valor: 1.253.959.277 Fecha de suscripción: 24 de enero de 2014 Adición: $653.000.000 Fecha de adición: 1 de agosto de 2014 93 7.1. No se estudia la posibilidad de otras marcas o proveedores que puedan prestar el mismo servicio. En los estudios previos se limitan a señalar que MNEMO es el único proveedor autorizado de las marcas adquiridas por la CGR. No muestran una investigación juiciosa sobre otras marcas o proveedores que puedan prestar los mismos o similares servicios y que den solución al problema planteado, no presentan cotizaciones de otros proveedores de servicios que permitan analizar si el valor propuesto por el oferente está de acuerdo a los valores del mercado actual y si es más ventajosa la opción propuesta por Mnemo. 7.2. La ejecución del contrato inicial no dependía de los ítems objeto de la adición del contrato por valor de $653.000.000, así como tampoco requería que fuera contratada con Mnemo. Se evidenció que el objeto de la adición no es requerido para el cumplimiento del objeto contractual, pues si bien son temas que tiene que ver con seguridad informática no resulta necesario para el cumplimiento o mejora de la solución planteada, adicionalmente se contrató la adición con Mnemo argumentando que “es el único que puede ejecutar las labores antes mencionadas”, sin embargo en el informe de actividades de los cinco items objeto de la adición se evidencia que las actividades fueron ejecutadas por la firma LOCKNET S.A., es decir Mnemo tuvo que subcontratar desvirtuando así la justificación dada por la CGR de que debía ser exclusivamente con Mnemo. En relación con los cinco ITEMS de la adición del contrato precisamos lo siguiente: ITEM1-Revisión Física y de Infraestructura En el anexo del informe presentado por Mnemo y elaborado por la empresa LockNet en el segundo párrafo de la introducción de su informe dice: "De acuerdo a lo anterior, la compañía multinacional en servicios de tecnología MNEMO dentro de la adición y prorroga No. 1 del contrato 405 de 2014 que firmó con la CONTRALORIA GENERAL DE LA REPUBLICA, contrató a la empresa LOCKNET S.A. para realizar una revisión de seguridad de la información, siendo una de las actividades de dicho contrato la revisión de infraestructura física objeto del presente informe." ITEM2-Revisión y Auditoría Lógica: En el anexo del informe que presenta Mnemo, la firma LockNet s.a. manifiesta : "La metodología utilizada por LOCKNET S.A. para la ejecución de pruebas de tipo Ethical Hacking y estudios de seguridad de aplicativos WEB es una metodología propia de la organización, que adopta las buenas prácticas de éste tipo de procesos en conjunto con la metodología de trabajo de EC-COUNCIL", es decir se empleó una metodología diferente a la 94 MAVERIC adquirida por la CGR lo que resulta contradictorio con la justificación dada para la adición del contrato con MNEMO de forma exclusiva. ITEM3-Imágenes Forenses de los Aplicativos SIPAR, SAE, archivos de los procesos de contratación institucional y PC'S contralora En el sustento no justifican la necesidad de adquirir las imágenes forenses para los aplicativos SIPAR, SAE, archivos de los procesos de contratación institucional y pC´s de la contralora, pues no indica que la CGR estuviera incursa en una investigación o se haya presentado un incidente de seguridad y por lo tanto se convirtieran en material probatorio, sino que se sustenta en un supuesto o hecho incierto, considerando que esto implica un gasto innecesario. En el anexo elaborado por la firma LockNet S.A., del informe presentado por Mnemo, en la introducción afirma que "La CONTRALORIA GENERAL DE LA REPUBLICA DE COLOMBIA contrató a la compañía MNEMO y esta a su vez a LOCKNET S.A. para adelantar un proceso de informática forense consistente en la realización de unas copias forenses" situación que desvirtúa la justificación de la adición del contrato realizada de forma exclusiva con MNEMO. Llama la atención que la CGR haya tenido que contratar este servicio, aun disponiendo de un Laboratorio Forense y que según el informe presentado por la firma LockNet SA del item "Certificación de la no existencia de equipos y labores intrusivas en la Contraloría General de la República frente tecnológico: Laboratorio de Informática Forense" , afirma que dicho laboratorio cuenta con bloqueadores de escritura, torres forenses, kits de recolección de evidencia digital y licencias de software especializado para esta labor (EnCase y FTK), además de estar conformado un Grupo de Laboratorio de Informática Forense según el Artículo Tercero de la Resolución Reglamentaria 0126 del 4 de abril de 2011 como lo afirma de igual manera la firma LockNet en la página 6 del mismo informe. De igual manera en el informe indica la firma Locknet S.A. que "Si un funcionario requiere un duplicado de alguna evidencia digital recolectada, es posible realizar una solicitud e iniciar un proceso de duplicación de la evidencia con el fin de entregarle este duplicado al funcionario para su posterior análisis. Todos los procesos y procedimientos que efectúa el grupo interno de trabajo del laboratorio de informática forense se encuentren debidamente documentados dentro de una resolución reglamentaria. Asimismo, el personal perteneciente a este grupo interno de trabajo cuenta con una correcta capacitación para desempeñar los roles esperados y de las labores necesarias para ejecutar las actividades que se desarrollan por el mismo.". De acuerdo a lo anterior, la CGR técnicamente estaba en posibilidad de obtener las imágenes forenses con sus equipos y los funcionarios de la CGR capacitados 95 para tal fin, sin embargo en la justificación no se pronuncia al respecto, así como tampoco se observa que se haya estudiado la viabilidad de solicitar la toma de las imágenes forenses ante entidades competentes gubernamentales y con capacidad técnica como por ejemplo la Fiscalía General de la Nación, lo cual habría permitido economizar gastos y garantizar la transparencia y confiabilidad del procedimiento al ser realizado por un ente independiente, adicionalmente esto daría un mayor nivel de tranquilidad y seguridad para la entidad al ser generadas por un ente nacional competente. El hecho de que las imágenes forenses no eran necesarias porque no se encontraban ante un incidente de seguridad informática o una investigación y además que si las hubiera requerido la misma CGR estaba en capacidad técnica y humana de generarlas, y/o podría haber solicitado la colaboración de una entidad gubernamental especializada en el tema, origina un gasto innecesario por valor de $189.043.759. ITEM4-Elaboración de Políticas, procedimientos, Normas y Estándares de Seguridad de la información. Igual sucedió con el item 4, de la adición, la actividad fue realizada por la firma LockNet subcontratada por Mnemo, lo que no justifica la contratación exclusiva con MNEMO. Esto se evidencia en el informe presentado por LockNet, sobre las actividades realizadas respecto a este ITEM4, el cual hace parte de los anexos entregados por MNEMO en su "informe de actividades - entregables ítem 2, 3, 4 y 5" entregado en agosto 27 de 2014. ITEM5-Certificación de la no Existencia de Equipos y Labores Intrusivas en la Contraloría General de la República. Al igual que en los items anteriores, MNEMO subcontrató la realización de estas actividades con la empresa LockNet según consta en el informe anexo por Mnemo como parte de los entregables del "informe de actividades - entregables ítem 2, 3, 4 y 5" entregado en agosto 27 de 2014. No se evidencia que se haya estudiado la viabilidad de solicitar esta certificación o se realizara una evaluación o peritaje ante entidades competentes y con capacidad técnica como por ejemplo la Fiscalía General de la Nación, lo cual habría permitido economizar gastos y garantizar la transparencia y confiabilidad del procedimiento al ser realizado por un ente independiente y sin ningún tipo de relación contractual como el que para el momento mantenía la CGR con MNEMO a través de los diferentes contratos objeto de la presente auditoría, adicionalmente esto daría un mayor nivel de tranquilidad y seguridad para la entidad al ser certificado por el ente nacional competente. 96 7.3. Incumplimiento de actividades No se evidenció que se haya dado cumplimiento de las actividades correspondientes a la adición del contrato Item 4, numeral 2.2, a) Estado de la Entidad con respecto a políticas, procedimientos, normas y estándares a la luz de las buenas prácticas y de los estándares ISO 17799 e ISO 27001; como por ejemplo la presentación de una análisis de brechas b) Recomendaciones sobre puntos a mejorar y/o desarrollar en los aspectos metodológicos; y c) Manual General de Políticas de Seguridad; por lo cual se puede deducir que no hubo una adecuada supervisión de estas actividades. 8. CONTRATO 371 DE 2014 Objeto: PRESTACIÓN DE SERVICIOS PROFESIONALES PARA EL DESARROLLO DEL ANÁLISIS, ACOMPAÑAMIENTO Y SEGUIMIENTO TÉCNICO, DEL PROCESO DE IMPLEMENTACIÓN DEL SISTEMA DE ASEGURAMIENTO ELECTRÓNICO ¿SAE- EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA. Valor: 665.000.000 Fecha de suscripción: 24 de enero de 2014 8.1. Contratación considerada innecesaria Esta contratación se considera innecesaria teniendo en cuenta que en la justificación el director de la Oficina de Sistemas e Informática de la CGR, señala que “es una actividad específica que requiere de dedicación completa de quienes deban ejecutarla, la Oficina de Sistemas e informática no cuenta con personal suficiente para llevarla a cabo, en razón a que cada uno de los funcionarios están desempeñando funciones que le son propias en cada uno de los grupos”. Se evidencia que en dicha justificación la CGR desconoce que mediante la Resolución Reglamentaria 231 del 4 de julio de 2013, de la CGR, “Por la cual se adoptan las medidas necesarias para la implementación del Sistema de Aseguramiento Electrónico SAE en la Contraloría General de la República" se crea una comisión directiva, un grupo operativo SAE de 5 servidores públicos de la CGR con dedicación exclusiva en la etapa de implementación del SAE, se determinan los líderes de apoyo a las tareas de implementación y al responsable tecnológico, además de asignarle al director de Imprenta, Archivo y Correspondencia la responsabilidad de la digitalización de los documentos y expedientes físicos, al Director de la Oficina de Capacitación, Producción de Tecnología y Cooperación Internacional adoptar las medidas necesarias para garantizar la oportuna e idónea capacitación sobre el Sistema de Aseguramiento Electrónico (SAE). 97 Así las cosas, las obligaciones determinadas en el contrato respecto del análisis, de acompañamiento y seguimiento debían ser ejecutadas por funcionarios de la CGR de acuerdo a las funciones que le fueron conferidas mediante la Resolución 231 de 2013. Es importante precisar la existencia de un grupo de funcionarios asignados a la implementación del SAE con dedicación exclusiva. Adicionalmente en el contrato anterior 291 de 2013, por valor de $529.500.000, ejecutado por este mismo contratista “Oportunidad Estratégica“, ya había diseñado indicadores de seguimiento y medición conjuntamente con la CGR, había analizado y dictaminado sobre la implementación del SAE PRF. De otra parte, respecto del acompañamiento e implementación del SAE procesos de jurisdicción Coactiva y SAE procesos disciplinarios y administrativos Sancionatorios objeto del presente contrato, era imposible realizarlo pues en la misma fecha de suscripción del contrato 371 de 2014, se habían suscrito los contratos 398 de 2014 y 402 de 2014, para el análisis, diseño, construcción y puesta en marcha de la soluciones antes mencionadas, además el contrato 402 de 2014, solo termina su ejecución hasta mayo de 2015. 8.2. No se definieron los roles para establecer el número de profesionales requeridos En el estudio previo se indica que para el ejecución del contrato se requiere de 10 profesionales, sin que se precisen los roles y actividades que van a realizar, la disponibilidad de tiempo, teniendo en cuenta que según lo planteado se requieren dos profesionales homologables al nivel directivo, 2 homologables a nivel asesor y 7 homologables a nivel profesional, lo cual reviste importancia porque en esto se fundamentó el valor del contrato. 9. CONTRATO 402 DE 2014 Objeto: CONTRATAR LA INTEGRACIÓN DEL SOFTWARE DE SALAS DE AUDIENCIA AL SAE Y EL DISEÑO, MODELAMIENTO, IMPLEMENTACIÓN Y PUESTA EN MARCHA DE LOS MODULOS DEL PROCESO DISCIPLINARIO (ORDINARIO Y VERBAL), PROCESO ADMINISTRATIVO SANCIONATORIO EN LA PLATAFORMA PROCESA DE ASURAMIENTO DEL EXPEDIENTE ELECTRÓNICO EN LA CONTRALORÍA GENERAL DE LA REPÚBLICA. Valor: $3.829.887.571 Fecha de suscripción: 24 de enero de 2014 El contrato termina su ejecución el 29 de mayo de 2015, por lo tanto se considera pertinente que sea objeto de evaluación en la próxima auditoria. 98