Story Transcript
FEDERACIÓN COLOMBIANA DE MUNICIPIOS DIRECCIÓN NACIONAL SIMIT OBSERVACIONES Y RESPUESTAS AL PROCESO DE SELECCIÓN No. 011 DE 2015 CONCURSO DE MÉRITOS OLIMPIA Javier Mendieta – Gerente de Cuenta (comunicación por correo electrónico) OBSERVACIÓN N° 1. “En los numerales 1.4. CLASIFICACIÓN UNSPSC y 5.1.1.CAPACIDAD JURÍDICA se solicita experiencia acreditada únicamente en el código UNSPSC: 80101507 – Seguridad de los computadores, redes o internet, registrada en el RUP. Con el fin de permitir una mayor participación de proponentes solicitamos ampliar los códigos, manteniendo la premisa que “el oferente cuenta con experiencia específica relevante y suficiente que le permita cumplir con el objeto del contrato que se pretende celebrar mediante el presente proceso de selección”, incluyendo por lo menos estos otros códigos:
72151600 – Servicios de sistemas especializados de comunicación. 80101500 – Servicios de consultoría de negocios y administración corporativa. 81111500 – Ingeniería de software o hardware. 81111700 – Sistemas de manejo de información MIS. 81111800 – Servicios de sistemas y administración de componentes de sistemas. 81112000 – Servicios de datos. 81112200 – Mantenimiento y soporte de software.”
RESPUESTA La entidad indica en los numerales 1.4. CLASIFICACIÓN UNSPSC y 5.1.1. CAPACIDAD JURÍDICA que los proponentes podrán acreditar que se encuentran clasificados en el Registro Único de Proponentes bajo el código 80101507 Seguridad de los computadores, redes o internet. Sin embargo la entidad especifica en la nota incluida en los numerales que “No será causal de rechazo si el oferente no acredita que se encuentra clasificado en los anteriores códigos”, esto con el ánimo de garantizar la pluralidad de oferentes en el proceso de selección. Por lo anterior no se acoge su observación.
OBSERVACIÓN N° 2. “Los proyectos, como el presente, cuyo objeto principal son servicios profesionales, necesitan que la organización que los respalde sea robusta financiera y organizacionalmente para garantizar su continuidad, o de lo contrario se puede poner en riesgo la ejecución de los mismos. Por lo tanto, sugerimos que los indicadores financieros y de capacidad organizacional solicitados en los numerales 5.1.3 CAPACIDAD FINANCIERA y 5.1.4. CAPACIDAD ORGANIZACIONAL sean más exigentes, así:
Liquidez >= 1.4 Nivel de endeudamiento = 150 Capital de trabajo >= 100% del presupuesto oficial Patrimonio >= 100% del presupuesto oficial Rentabilidad del Patrimonio >= 1 Rentabilidad del activo >= 0.5”
RESPUESTA: En el análisis del sector que hace parte integral del proceso de selección No. 011 de 2015 -, se evidencia el análisis realizado al sector de Actividades de Informática, en donde se buscó la mayor pluralidad de oferentes y darle la oportunidad a las empresas micro, pequeñas y medianas, por lo anterior no se acoge su observación. OBSERVACIÓN N° 3. “En el numeral 5.2.2. PERSONAL MÍNIMO DE TRABAJO se solicita que el Director de Seguridad (CISO) tenga certificación CISSP (Certified Information Systems Security Professional), la cual está enfocada a dominios técnicos operativos, siendo más importante para esta función ser experto en gestión y procesos, perfil más gerencial que cumple la certificación CISM (Certified Information Security Management). Por lo tanto, con el fin de mejorar el perfil del Director y beneficiar el proyecto, solicitamos cambiar el requerimiento a CSIM.”
RESPUESTA Teniendo en cuenta las observaciones recibidas por los posibles oferentes el perfil profesional del CISO quedará así: Títulos y/o Certificaciones: Especialización o Maestría en Seguridad de la Información o Informática, en Universidad local o internacional debidamente acreditada y Certificaciones en CISSP o CISM
Experiencia: Cuatro (4) años de experiencia específica en: definir políticas y procedimientos de seguridad de la información y/o implementación o fortalecimiento de (SGSI). Por lo anterior se acoge la observación. OBSERVACIÓN N° 4. “Complementando el punto anterior, y con el mismo propósito, sugerimos que el Director de Seguridad (CISO) tenga certificación PMP (Project Management Professional) por razones obvias inherentes a su función durante el desarrollo proyecto. Las actividades de ethical hacking y de sensibilización deben ser manejados como proyectos (con recursos específicos, tiempos límite y alcances definidos).”
RESPUESTA En la entidad se cuenta con personal certificado en PMP y dará línea en cuanto a la metodología y seguimiento a recursos específicos, tiempos límite y alcances definidos. Por lo anterior no se acoge la observación. OBSERVACIÓN N° 5. “En el numeral 7.2 Experiencia específica adicional del personal mínimo solicitado: Puntaje asignado 400 puntos, se asignan 40 puntos por contar con la Certificación en ACE (AccessData Certified Examiner). Significa esto que la entidad cuenta con una licencia de FTK (Forensic Toolkit)? Esta certificación está asociada a esta herramienta. No se entendería que soliciten tal certificación sin contar con la herramienta. Sugerimos reemplazar esta certificación por otras cualidades más pertinentes como tener Especialización o Maestría en Seguridad de la Información.”
RESPUESTA La entidad ha tenido acercamiento con las herramientas forenses del fabricante AccessData en proyectos anteriores. Razón por la cual se otorgarán puntos a los equipos de trabajo de los oferentes que su perito forense esté certificado en el manejo de dichas herramientas (ACE), con el objetivo de darle continuidad al aprendizaje y a la adopción de herramientas. Así mismo en el personal mínimo de trabajo ya se encuentra el perfil con especialización y/o Maestría en seguridad de la información. Por lo anterior no se acoge la observación.
OBSERVACIÓN N° 6. “En el numeral 5.2.2. PERSONAL MÍNIMO DE TRABAJO se solicita que el Consultor ethical Hacking y análisis forense tenga certificaciones CEH, CHFI. Con el ánimo de permitir una mayor participación de proponentes, sin perjudicar el apropiado desarrollo del proyecto y cumpliendo la experiencia solicitada, sugerimos que con solo una de ellas sea suficiente para demostrar la idoneidad del profesional.”
RESPUESTA La entidad requiere un consultor que sea Hacker Ético certificado (CEH) y al mismo tiempo Investigador Forense (CHFI), toda vez que el consultor tendrá tareas de análisis de incidentes de seguridad que podrían ser perpetrados por delincuentes informáticos y requerimos el mayor conocimiento, experticia y acreditación en conocimiento y experiencia en ambas materias en un solo consultor. Por lo anterior no se acoge la observación. OBSERVACIÓN N° 7. “En el numeral 5.2.2. PERSONAL MÍNIMO DE TRABAJO se solicita que el Consultor tecnología de la información y gestión de incidentes de seguridad tenga certificaciones ITIL, ECIH. Con el ánimo de permitir una mayor participación de proponentes, sin perjudicar el apropiado desarrollo del proyecto y cumpliendo la experiencia solicitada, sugerimos que con solo una de ellas sea suficiente para demostrar la idoneidad del profesional.”
RESPUESTA Es indispensable que el consultor tenga conocimientos certificados de administración y manejo de incidentes de seguridad (ECIH) y al mismo tiempo que tenga conocimientos certificables en buenas prácticas en la entrega de servicios de tecnologías de la información (ITIL), logrando alinear el centro de respuesta ante incidentes de seguridad con las necesidades de la institución. Por lo anterior no se acoge la observación. SAFEID S.A.S. Ramiro Merchán – Ingeniero de Seguridad (comunicación por correo electrónico) OBSERVACIÓN N° 1. “Dentro del numeral 1.2.1.3. Asesoría permanente > Análisis Forense Digital, se solicita identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Sin embargo para que los datos sean válidos dentro de un proceso legal se
requiere que el análisis sea llevado a cabo por un perito forense registrado, por lo que la consultoría puede llevar a cabo la identificación, preservación y análisis, mas no puede llegar a garantizar que sean datos validos ante un proceso legal. Solicitamos aclarar dicha solicitud.”
RESPUESTA Se aclara que se requiere un perito forense certificado (CHFI) dentro del equipo de trabajo del oferente, como se especifica en el numeral 5.2.2 Personal mínimo de trabajo. Este perito forense debe garantizar la presentación de la evidencia cumpliendo el Código de procedimiento civil Colombiano, sección tercera, Título XIII y Ley 527 de 1999, denominada “Ley de Comercio Electrónico para que las evidencias digitales no sean descartadas en un posible juicio por no cumplir con el debido proceso en presentación de evidencias. OBSERVACIÓN N° 2. “Dentro del numeral 1.2.1.3. Asesoría permanente > Atención a incidentes y fraudes, requerimos conocer si la entidad ya tiene el esquema e infraestructura de atención a incidentes o el equipo consultor debe, como parte de la consultoría, generar y organizar el equipo, estructura y procedimientos para llevar a cabo la Atención a incidentes.”
RESPUESTA La entidad cuenta con una política de seguridad de la información y en ella se encuentra consagrado el capítulo de Gestión de Incidentes, sin embargo, se necesita profundización en este dominio y la asesoría en la implementación de un centro de respuesta ante incidentes de seguridad de la información (CSIRT). OBSERVACIÓN N° 3. “Dentro del numeral 5.1.2 Experiencia específica mínima, se indica "Para efectos de la acreditación de la experiencia no se tendrán en cuenta subcontratos, los contratos válidos para acreditar la experiencia serán aquellos suscritos entre el ente y/o persona contratante y el oferente (contratista de primer orden), cualquier otra derivación de estos se entenderá para efectos del proceso como subcontrato.” Al dejar dicho requerimiento en firme se está desconociendo la experiencia adquirida por firmar o profesionales que llevaron a cabo la consultoría pero no necesariamente firmaron el contrato con el cliente final. Respetuosamente solicitamos eliminar esta restricción ya que con ello se garantiza una mayor pluralidad de oferentes con la experiencia solicitada en los pliegos.”
RESPUESTA Para efectos de garantizar que el objeto del contrato sea ejecutado por una firma que cuente realmente con la experiencia, se deben presentar los soportes que permitan acreditar que efectivamente el oferente quien ejecutó la labor o el contrato que pretende hacer valer para acreditar la experiencia. Por tanto, no se tendrá en cuenta la experiencia con respecto a un objeto que no haya sido ejecutado por el contratista, por cuanto no se puede acreditar la experiencia propia con la de un tercero. Si resulta que quien se presenta como oferente al presente proceso acredita que fue subcontratista y efectivamente ejecutó la labor y lo soporta con las certificaciones exigidas por la entidad así lo deberá acreditar. Por lo anterior, la entidad modificará la regla en el pliego de condiciones así: Sera valida la acreditación de la experiencia certificada a través de subcontratos, siempre y cuando el oferente haya sido el subcontratista. OBSERVACIÓN N° 4. “En el numeral 5.2.2. Personal mínimo de trabajo se indica que la dedicación horario del Director de seguridad (CISO) debe tener una disponibilidad de 192 horas al mes, lo que lleva a más de las 160 horas legales. Solicitamos aclarar dicho requerimiento.”
RESPUESTA La Federación Colombiana de Municipios requerirá una dedicación mensual de 160 horas para el CISO en sitio. Por lo que la disponibilidad horaria se modificará en el pliego definitivo en el numeral 5.2.2. Personal Mínimo de Trabajo OBSERVACIÓN N° 5. “En el numeral 5.2.2. Personal mínimo de trabajo, solicitamos precisar las profesiones admisibles como requisito básico.”
RESPUESTA Teniendo en cuenta las observaciones recibidas por los posibles oferentes el perfil profesional del CISO quedará así:
Títulos y/o Certificaciones: Especialización o Maestría en Seguridad de la Información o Informática, en Universidad local o internacional debidamente acreditada y Certificaciones en CISSP o CISM Experiencia: Cuatro (4) años de experiencia específica en: definir políticas y procedimientos de seguridad de la información y/o implementación o fortalecimiento de (SGSI). Para el resto del equipo consultor no se considera relevante su profesión y no es requisito fundamental, más sí las certificaciones mencionadas en el numeral 5.2.2 Personal mínimo de trabajo. OBSERVACIÓN N° 6. “En el numeral 5.2.2 Personal mínimo solicitamos que para el perfil Director de Seguridad (CISO) sean admisibles también las certificaciones CISM o ISO 27001 LA o la especialización en Seguridad Informática o de la información y que se reduzca la experiencia específica a 4 años.”
RESPUESTA Teniendo en cuenta las observaciones recibidas por los posibles oferentes el perfil profesional del CISO quedará así: Títulos y/o Certificaciones: Especialización o Maestría en Seguridad de la Información o Informática, en Universidad local o internacional debidamente acreditada y Certificaciones en CISSP o CISM Experiencia: Cuatro (4) años de experiencia específica en: definir políticas y procedimientos de seguridad de la información y/o implementación o fortalecimiento de (SGSI). No se acepta que tenga sólo ISO 27001 Lead Auditor, en cuanto consideramos que ISO27000 es un framework de trabajo y la labor del CISO no debe limitarse a un framework. OBSERVACIÓN N° 7. “En el numeral 5.2.2 Personal mínimo solicitamos que para el perfil Consultor de Tecnologías de la Información y gestión de incidentes de seguridad, se elimine la certificación ECIH y en su defecto se amplíe la experiencia a 4 años en gestión de incidentes y conocimiento de infraestructura de TI.”
RESPUESTA Se solicita certificación ECIH debido a que la entidad requiere implementar un centro de respuesta ante incidentes de seguridad asesorado por personal acreditado internacionalmente para tal labor, la experiencia en gestión de incidentes no garantiza que el personal esté capacitado para detectar y responder a amenazas de seguridad que podrían convertirse en incidentes en cualquier momento. Por lo tanto no se acoge la observación OBSERVACIÓN N° 8. “En el numeral 5.2.2 Personal mínimo solicitamos que para el perfil Profesional de Seguridad de la Información sean admisibles también las certificaciones CISM o ISO 27001 LA o la especialización en Seguridad Informática o de la información y que se reduzca la experiencia específica a 4 años.”
RESPUESTA Teniendo en cuenta las observaciones recibidas por los posibles oferentes, el perfil del Profesional en Seguridad de la Información quedará así: Títulos y/o Certificaciones: Certificaciones en CISM o CISSP. Experiencia: Cuatro (4) años como auditor y/o implementador en sistemas de la gestión en seguridad de la información. No se acepta la certificación ISO 27001 Lead Auditor (en cuanto consideramos que ISO 27000 es un framework de trabajo y el consultor no debe limitarse a este) OBSERVACIÓN N° 9. “En el numeral 7.1. FACTORES DE PONDERACIÓN DEL PROPONENTE, Experiencia específica adicional del proponente: Puntaje asignado 500 puntos, solicitamos que la experiencia a calificar se haya obtenido en los últimos 4 años.”
RESPUESTA Teniendo que la entidad ya solicitó certificaciones de experiencia en los últimos cuatro (4) años como experiencia específica mínima, calificará como factor de ponderación certificaciones que tengan más tiempo en el mercado prestando sus servicios.
OBSERVACIÓN N° 10. “En el numeral 7.2 Experiencia específica adicional del personal mínimo solicitado, Puntaje asignado 400 puntos, solicitamos sean admisibles para ponderación las certificaciones CISA, ISO 27001 LA, CISM, CBCP, SECURITY +.”
RESPUESTA Se agrega CISA como certificación que tendrá puntaje adicional por que CISA hace referencia a la auditoria de los Sistemas de Información lo que daría valor agregado al perfil mínimo solicitado. Se agrega CISM como alternativa a CISSP, pero no se tendrán en cuenta las certificaciones en ISO 27001 LA, CBCP y CompTIA Security+ debido a que las certificaciones requeridas en el numeral 5.2.2 Personal mínimo de trabajo, cubren la temática tratada en las certificaciones mencionadas. PRICEWATERHOUSECOOPERS AG LTDA Victor Pittol – (comunicación por correo electrónico) OBSERVACIÓN N° 1. “1.2.1.3. Asesoría permanente Durante el plazo de ejecución del contrato se debe asesorar sin límite de horas en los siguientes temas:
Análisis Forense Digital Ethical Hacking Identificación de incidentes y fraudes
Haciendo referencia a la frase “…sin límite de horas…” Solicitamos sea aclarado si el servicio a contratar para el Análisis Forense Digital, Ethical Hacking e Identificación de incidentes y fraudes será 7x24x365.” RESPUESTA
La entidad aclara que el servicio a contratar deberá cumplir como máximo la intensidad horaria mensual del numeral 5.2.2 Personal mínimo de Trabajo estipulada en la tabla “Dedicación Horaria del Equipo de Trabajo” por consiguiente se ajustará el numeral 1.2.1.3 eliminando la frase “sin límite de horas”
OBSERVACIÓN N° 2. “6.1.2.2 Metodología El párrafo que acompaña al numeral 6.1.2.2 Metodología. Este hace referencia que los Proponentes junto con la propuesta harán entrega de la metodología (s), guías, herramientas y tecnologías a utilizar en cada uno de los servicios de la consultoría, con su correspondiente descripción, componentes, alcance, cronograma, cargas y plan de trabajo. Solicitamos aclarar a que se refieren con entregar Guías, Herramientas y Tecnologías, etc… El proponente al entregar la propuesta que específicamente debe entregar adicional?” RESPUESTA:
En la propuesta se debe establecer o enunciar la documentación correspondiente a qué herramientas tecnológicas se utilizarán para la consultoría respectiva. El oferente, debe especificar bajo qué metodologías propone trabajar su equipo consultor y qué estrategia tiene para llevar a cabo los servicios planteados (alcance y plan de trabajo). Por ejemplo, en Ethical Hacking el oferente propone usar la metodología OWASP para el análisis de vulnerabilidades web, etc. OBSERVACIÓN N° 3. “6.1.2.3 personal mínimo de trabajo 1. Solicitamos para el perfil de Director de Seguridad (CISO) que las certificaciones a consignar queden de la siguiente manera: CISSP o CISM o LA ISO27001 2005 o 2013 o CRISC y tenga especialización o maestría en Seguridad de la Información 2. Solicitamos para el perfil de Director de Seguridad (CISO) que se añada a su experiencia “o proyectos de continuidad de negocios” 3. Solicitamos que el perfil de Ethical Hacking y Análisis Forense sean separados para un total de 2 perfiles. Para el perfil de Ethical Hacking solicitar certificaciones de la siguiente manera CEH. Para el perfil de Análisis Forense solicitar la certificaciones de la siguiente manera CHFI o GCFA 4. Solicitamos que se separe el Consultor Tecnología de la Información y Gestión de Incidentes de Seguridad en 2 consultores. Uno como Consultor Tecnología de la Información con Certificación ITIL o COBIT. Otro Consultor en Gestión de Incidentes con certificación ECIH o ECSA o CFRI
5. Solicitamos que el perfil de Profesional en Seguridad de la Información que las certificaciones sean CISSP o CISM o LA ISO 27001 o IA ISO 27001” RESPUESTA:
1. Teniendo en cuenta las observaciones recibidas por los posibles oferentes el perfil profesional del CISO quedará así: Títulos y/o Certificaciones: Especialización o Maestría en Seguridad de la Información o Informática, en Universidad local o internacional debidamente acreditada y Certificaciones en CISSP o CISM No se acepta que tenga sólo certificación ISO 27001 Lead Auditor, en cuanto consideramos que ISO27000 es un framework de trabajo y la labor del CISO no debe limitarse a un framework. Se agrega CRISC al numeral 7.2 Experiencia específica adicional al mínimo solicitado más no en reemplazo las certificaciones CISSP o CISM. 2. No se agrega a la experiencia “o proyectos de continuidad de negocios”, toda vez que consideramos suficiente la experiencia que acreditan las certificaciones CISSP y CISM de 5 años. 3. Se requiere un consultor que sea Hacker Ético certificado (CEH) y al mismo tiempo Investigador Forense (CHFI), toda vez que el consultor tendrá tareas de análisis de incidentes de seguridad que pudiesen haber sido perpetrados por delincuentes informáticos y requerimos el mayor conocimiento, experticia y acreditación en conocimiento y experiencia en ambas materias. Por lo anterior no se acoge la observación 4. Es indispensable que un solo consultor tenga conocimientos certificados de administración y manejo de incidentes de seguridad (ECIH) y al mismo tiempo que tenga conocimientos certificables en buenas prácticas en la entrega de servicios de tecnologías de la información (ITIL), logrando alinear el centro de respuesta ante incidentes de seguridad con las necesidades de la institución. 5. El profesional en seguridad de la información podrá tener la certificación CISSP, CISM o tener una especialización o Maestría en Seguridad de la información o informática, pero no se acepta sólo la certificación ISO 27001 Lead Auditor (en cuanto consideramos que ISO27000 es un framework de trabajo y el profesional no debe limitarse a dicho conocimiento).
OBSERVACIÓN N° 4. “7.1.Identificación de Vulnerabilidades Solicitamos especificar la cantidad de Activos (Servidores, Bases de Datos, Firewalls, Routers, AP, etc) IPs Externas, así como cantidad de portales WEB a los cuales se les realizaría el análisis de vulnerabilidades.”
RESPUESTA: Se incluirá un anexo indicando los activos y su cantidad dando respuesta a la observación. OBSERVACIÓN N° 5. “7.2. Capacitación, Concientización y Sensibilización Solicitamos especificar el lugar de la capacitación considerando el alcance de 100 personas. Indicar si la entidad cuenta con salones y que capacidad poseen. Asimismo, indicar si pretenden que sean varias sesiones y especificar la duración que estiman para la capacitación.”
RESPUESTA: El lugar de capacitación será en las instalaciones de la Federación Colombiana de Municipios o en el lugar que el oferente disponga en la ciudad de Bogotá. Si se escogiese la segunda opción el oferente deberá asumir los costos asociados a dicha capacitación. La Federación Colombiana de Municipios cuenta con 4 salas de juntas con capacidad de: una de 17 y tres de 10 personas. El oferente deberá presentar el plan de capacitación para aprobación de la Federación Colombiana de Municipios indicando la cantidad de sesiones, la temática y la duración de las mismas. OBSERVACIÓN N° 6. “7.4 Atención de Incidentes y Fraudes La entidad desea disponibilidad de los consultores 7x24x365?”
RESPUESTA La entidad aclara que el servicio a contratar deberá cumplir como máximo la intensidad horaria mensual del numeral 5.2.2 Personal mínimo de Trabajo estipulada en la tabla “Dedicación Horaria del Equipo de Trabajo” OBSERVACIÓN N° 7. “7.3.1 Obligaciones de, Contratista Punto 6. Especifican entrenamiento de gestión de seguridad a máximo 30 personas. Por favor aclarar si estas 30 personas forman parte de las 100 personas descritas en el apartado 7.2. Punto 19. A que procedimientos se refiere la entidad que deben ser entregados por el Contratista, dado que en el alcance no identificamos desarrollos de Procedimientos.”
RESPUESTA Las personas se seleccionarán cuando se programe la capacitación, pero el foco del entrenamiento es diferente para ellas, es decir, para las 100 personas deberá ser una capacitación orientada a la concientización y sensibilización, mientras que para las otras 30 será orientada a la gestión de seguridad de la información. Esta especificación se incluirá en el Ítem 5.2.3.2 Capacitación, concientización y sensibilización Punto 19: Se elimina la palabra procedimientos de la obligación 20 del contratista. La cual quedará así: “Hacer entrega a la Federación Colombiana de Municipios –Simit, de todos los documentos elaborados en cumplimiento del contrato” BEREAU VERITAS COLOMBIA LTDA Gloria Pérez -Ejecutiva Comercial – (comunicación por correo electrónico) OBSERVACIÓN N° 1. “1. De acuerdo al numeral 5.2.1. Experiencia específica mínima, solicitamos que dentro de los contratos que presente el proponente se contemple la experiencia en Consultoría en Sistemas de Gestión de Calidad - NTCGP 1000 y/o MECI. Lo anterior obedece que nuestra compañía tiene una valiosa trayectoria en esta clase de asesoría que incluyen temas como: identificación, evaluación y valoración de
riesgos de los procesos relacionados a las tecnologías de la información, entendiendo que estos riesgos incorporan los riesgos de Seguridad de la información.”
RESPUESTA En el numeral 5.1.2 Experiencia específica mínima. La Federación Colombiana de Municipios requiere para este proceso, una experiencia específica en materia de seguridad de la información en virtud de la confidencialidad, integridad y disponibilidad de la información, por lo tanto la experiencia general en Sistemas de Gestión de Calidad, NTCGP1000 y/o MECI no aplica para satisfacer totalmente la necesidad de la entidad y no se tendrán en cuenta para este proceso. Por lo anterior no se acoge la observación. 360° INTEGRAL SECURITY S.A.S. Rogelio Ernesto Echeverry Palacio - (comunicación por correo electrónico y radicación en ventanilla única de la entidad) OBSERVACIÓN 1. 1. Requisitos capacidad financiera. Con el fin de lograr participar se exponen las siguientes observaciones: a. Disminuir el índice de liquidez de 1.5 a 0.90 para el año 2014. b. Disminuir o eliminar indicadores de capacidad de la organización: i. Rentabilidad del patrimonio de 0.28 a 0.04 ii. Rentabilidad del activo de 0.12 a 0.01 Las empresas micro, pequeñas y medianas contamos con el capital de trabajo suficiente para presentarnos a esta licitación, pero tenemos limitaciones frente a los indicadores financieros por la naturaleza del negocio de consultoría y el tamaño de nuestras empresas, sin que eso comprometa la calidad del servicio y la experiencia y aporte de nuestros profesionales. El riesgo financiero identificado de “Pérdida de la capacidad económica y patrimonial del contratista” puede cubrirse con los indicadores expuestos en capacidad financiera: Índice de liquidez, el índice de endeudamiento y la razón de cobertura de intereses. Los indicadores requeridos en capacidad de la organización responden a riesgos de inversionistas, dado que están relacionados con la Rentabilidad.
Teniendo en cuenta que el riesgo financiero identificado por el SIMIT está cubierto con los indicadores de capacidad financiera, mencionados inicialmente, solicitamos sea tenida en cuenta esta observación.
RESPUESTA Al realizar la validación de las cifras ya reportadas en la Superintendencia de Sociedades de las 25.515 empresas vigiladas del sector real de la información financiera correspondiente a la vigencia 2014 y aquellas con Actividad Económica J6201-Actividades de desarrollo de sistemas informáticos y J6202-Actividades de consultoría informática y actividades de administración de instalaciones informáticas, que corresponden a una muestra total de 250 empresas, se puede evidenciar que el 12,8% de las empresas de dicha muestra tienen un capital de trabajo inferior al 1, el 19,6% de las empresas de la muestra tienen una Rentabilidad del Patrimonio inferior al 4% y el 20% de la empresas tiene una Rentabilidad del Activo inferior al 1%. Por lo anterior para garantizar la pluralidad de oferentes se modifican los requisitos habilitantes de Capacidad Financiera, así: CAPACIDAD FINANCIERA En concordancia con el numeral 6.1, del artículo 6 “De la verificación de las condiciones de los proponentes” de la Ley 1150 de 2007, las Cámaras de Comercio harán la verificación documental de la información presentada por los interesados al momento de inscribirse en el registro único de proponentes - RUP, el cual será plena prueba de las circunstancias que en él se hagan constar. Por lo tanto, la verificación de las condiciones establecidas en el numeral 1 del artículo 5, de la Ley 1150 de 2007, se demostrarán exclusivamente con el respectivo certificado del RUP. La información financiera acreditada para el proceso, corresponderá a la suministrada a la Cámara de Comercio para el Registro único de proponentes - RUP. Por lo anterior, el proponente deberá acreditar su capacidad financiera únicamente mediante la presentación del registro único de proponentes expedido por la Cámara de Comercio de su domicilio social en original o copia legible, donde debe estar actualizada la información financiera con corte a 31 de diciembre de 2014. La fecha de expedición del certificado debe ser de treinta (30) días calendario anteriores a la fecha de presentación de la oferta.
Para que la propuesta sea considerada hábil financieramente, se deben cumplir los siguientes indicadores: Indicadores Financieros -
Índice de Liquidez: Se evaluará con la siguiente razón y deberá ser igual o mayor a 0.84, así: IL= Activo Corriente ------------------------Pasivo corriente Donde: IL= índice de liquidez AC= Activo Corriente PC= Pasivo Corriente IL= mayor o igual a 0.84 En el caso de Uniones Temporales o Consorcios, este indicador será el resultado de la suma de los activos corrientes de cada integrante multiplicado por su porcentaje de participación dividido entre la suma de los pasivos corrientes de cada integrante, multiplicado por su porcentaje de participación. IL = (AC 1 * % de participación) + (AC 2 * % de participación)… ________________________________________________ (PC 1 * % de participación) + (PC 2 * % de participación)… IL= mayor o igual a 0.84 - Indicador de Endeudamiento ET= PASIVO TOTAL/ACTIVO TOTAL X 100 = hasta el 83% Donde: ET= Endeudamiento Total En el caso de Uniones Temporales o Consorcios, este indicador será el resultado de la suma de los pasivos de cada integrante multiplicado por su porcentaje de participación dividido entre la suma de los activos totales de cada integrante, multiplicado por su porcentaje de participación.
Endeudamiento = (PT 1 * % de participación*100) + (PT 2 * % de participación* 100) _________________________________________________________ (AT 1 * % de participación) + (AT 2 * % de participación)… Endeudamiento = hasta el 83% - Patrimonio Patrimonio= Activo Total - Pasivo Total = mayor o igual al 20% del valor del presupuesto oficial. Para el caso de las uniones temporales o consorcios, el indicador será el resultado de la sumatoria del capital de trabajo de cada integrante multiplicado por su porcentaje de participación. - Razón de Cobertura de Intereses
RCI =
UTILIDAD OPERACIONAL GASTOS DE INTERESES
Dónde: RCI= Cobertura de Intereses, mayor o igual a 1 UP= Utilidad Operacional GI= Gastos de Intereses En el caso de Uniones Temporales o Consorcios, este indicador será el resultado de la suma de la utilidad operacional de cada integrante multiplicada por su porcentaje de participación dividido entre la suma de los gastos de intereses de cada integrante, multiplicado por su porcentaje de participación.
IL =
(UP 1 ∗ % de participación) + (UP 2 ∗ % de participación) … (GF 1 ∗ % de participación) + (GF 2 ∗ % de participación) …
RCI = mayor o igual a 1 Nota: Para los proponentes cuyo gasto de intereses sea igual a cero ($0), no será necesario calcular el indicador de razón de cobertura de intereses, ya que su resultado es indeterminado. En este caso, la Entidad habilitará al proponente frente
al indicador de razón de cobertura de intereses, si su utilidad operacional es positiva, en caso contrario no será habilitado. La FEDERACIÓN COLOMBIANA DE MUNICIPIOS –DIRECCIÓN NACIONAL Simit se reserva el derecho de solicitar documentos aclaratorios a los solicitados y de verificar la información suministrada por el proponente. Registro Único Tributario El proponente debe allegar fotocopia del registro único tributario RUT, en el que indique a qué régimen pertenece. En caso de consorcios y/o uniones temporales, cada uno de sus integrantes debe presentar este documento. De igual forma en atención a los argumentos expuestos se modifica los indicadores de Capacidad organizacional de la siguiente forma:
CAPACIDAD ORGANIZACIONAL Conforme a lo establecido en el Artículo 10 del Decreto 1510 de 2013, los indicadores que miden el rendimiento de las inversiones y la eficiencia en el uso de activos del interesado son la rentabilidad del patrimonio y la rentabilidad del activo. La capacidad de organización del proponente nacional o extranjero con domicilio o sucursal en Colombia deberá ser: Rentabilidad del Patrimonio RENTABILIDAD DEL PATRIMONIO = UTILIDAD OPERACIONAL / PATRIMONIO = igual o superior a 0.02 Rentabilidad del Activo RENTABILIDAD DEL ACTIVO = UTILIDAD OPERACIONAL / ACTIVO TOTAL = igual o superior a 0.01 Las propuestas presentadas bajo la modalidad de consorcio o unión temporal, deberán anexar la documentación solicitada para todos y cada uno de sus miembros.
El proponente extranjero debe adjuntar certificación del revisor fiscal o contador público, según corresponda, donde conste que el cálculo de los indicadores se realizó con la información fiel de los estados financieros a 31 de diciembre de 2014, detallando el cálculo y su resultado. Para la verificación de esta documentación se tendrá en cuenta los requisitos de validez de los documentos otorgados en el exterior. En relación con las personas jurídicas privadas extranjeras que no tengan establecida sucursal en Colombia para verificar la organización operacional exigida en el presente numeral, el proponente extranjero debe adjuntar certificación del revisor fiscal o contador público, según corresponda, donde conste que el cálculo de los indicadores se realizó con la información fiel de los estados financieros a 31 de diciembre de 2014, detallando el cálculo y su resultado. Para la verificación de esta documentación se tendrá en cuenta los requisitos de validez de los documentos otorgados en el exterior. La FEDERACIÓN COLOMBIANA DE MUNICIPIOS –DIRECCIÓN NACIONAL Simit se reserva el derecho de solicitar documentos aclaratorios a los solicitados y de verificar la información suministrada por el proponente. OBSERVACIÓN 2. 2. Aclaración en Experiencia requerida: Si interpretamos la NOTA 2 que reza: “Para todos los proponentes: Las certificaciones podrán sumar en conjunto la experiencia mínima requerida”. No hay inconveniente en que las fechas de los contratos se traslapen.
Por favor aclarar si dicha nota aplica para lo que mencionamos en la tabla expuesta.
RESPUESTA La entidad aclara frente a esta observación, que la experiencia específica de la entidad proponente será tenida en cuenta sumando las experiencias certificadas en la documentación entregada por este, es decir que los tiempos de los contratos solo se sumarán una vez. Por lo tanto, la regla hace referencia a que sólo se tendrán en cuenta los tiempos certificados por la entidad oferente, más no se contarán doble vez en caso de que varios contratos se hayan celebrado en el mismo periodo de tiempo. Las notas aclaratorias sobre este tema serán modificadas para dar claridad a los posibles oferentes. Atentamente,
Firmado en Original CLARA YOHANNA RIVAS BERNAL Jefe Financiera
DIANA LORENA ESPITIA SARMIENTO Profesional de contratación y soporte jurídico a la operación
DAVID FERNANDO PRADA BARRERA Coordinador Plataforma Simit
EDWIN ALEXANDER BELTRAN RIVEROS Jefe de proyectos TIC