Manual para la Identificación y Cobertura del Riesgo

Por lo que el decreto 1510 de 2013 compilado en el Decreto 1082 de 2015, en el artículo 159 de dispuso que Colombia Compra Eficiente debía de diseñar estándares y documentos tipo entre los que se encuentran, Manuales y guías para: (a) la identificación y cobertura del Riesgo. El Decreto Reglamentario 1082 de 2015 también señala el deber de evaluación del riesgo, en el (…) Artículo 2.2.1.1.1.6.3. La Entidad Estatal debe evaluar el Riesgo que el Proceso de Contratación representa para el cumplimiento de sus metas y objetivos, de acuerdo con los manuales y guías que para el efecto expida Colombia Compra Eficiente”.

Todos los aspectos antes mencionados y el de evaluación de riesgos deben estar contenidos en los estudios y documentos previos cuyo contenido está expresamente definido en el decreto 1082 de 2015 en su art. Artículo 2.2.1.1.2.1.1. Estudios y documentos previos, son el soporte para elaborar el proyecto de pliegos, los pliegos de condiciones, y el contrato. Deben permanecer a disposición del público durante el desarrollo del Proceso de Contratación y contener los siguientes elementos, además de los indicados para cada modalidad de selección: (…) numeral 6. El análisis de Riesgo y la forma de mitigarlo

En cumplimiento de lo dispuesto en el art. 159 del decreto 1510 de 2013, Colombia Compra Eficiente, diseño el Manual para identificación y cobertura del Riesgo, señalando en la parte introductoria que en la literatura internacional sobre el tema el riesgo en las adquisiciones se define como los eventos que pueden afectar la realización de la ejecución contractual y cuya ocurrencia no puede ser predicha de manera exacta por las partes involucradas en el Proceso de Contratación.

En ese orden, recomienda a las entidades estructurar un sistema de administración de riesgos teniendo en cuenta, entre otros, los siguientes aspectos: (a) los eventos que impidan la adjudicación y firma del contrato como resultado del Proceso de Contratación; (b) los eventos que alteren la ejecución del contrato; (c) el equilibrio económico del contrato; (d) la eficacia del Proceso de Contratación, es decir, que la Entidad Estatal pueda satisfacer la necesidad que motivó el Proceso de Contratación; y (e) la reputación y legitimidad de la Entidad Estatal encargada de prestar el bien o servicio.

Consciente de la importancia de la administración de Riesgos, para reducir la probabilidad de ocurrencia del evento y de su impacto en los Proceso de Contratación, y de la probabilidad de que no todas las entidades estatales, cuentan con un sistema de administración de riesgos a su interior, pretende a través del manual brindar una herramienta guía dirigida a los partícipes del sistema de compras públicas y contratación pública (Casares San jose, 2016). En ese orden de ideas, a través del manual adopta la metodología contenida en el Estándar AS/ NZS 4630 o la misma ISO 31000-2009, Gestión de Riesgos, Principios y Directrices, una guía de gestión de riesgos destinada a ayudar a organizaciones de todos los tipos y tamaños que se estructura en los siguientes pasos:

Contexto – Etapa de Planeación: Aspectos de Cobertura, Identificación de Beneficiarios,

Suficiencia del presupuesto oficial, condiciones geográficas, conocimiento del sector.

Identificación y Clasificación de Riesgos: delimitado a la Identificación de riesgos

específicos del objeto del proceso de contratación (PAE), internos o externos, en cada etapa

Evaluación y Calificación de Riesgos: verificando la evaluación el impacto (cualitativa-

monetaria) de los mismos frente al logro de los objetivos del Proceso de Contratación y su probabilidad de ocurrencia.

Asignación y tratamiento: a) evitar el riesgo, b) transferir el riesgo (al otro mediante garantía o condiciones del contrato) c) aceptar el riesgo (monitoreo) d) Reducir la probabilidad de ocurrencia del evento (controles y aclarar especificaciones e) reducir las

consecuencias o impacto del riesgo (Planes de contingencia)

Monitorear Riesgos: Revisar la efectividad y el desempeño de las herramientas

implementadas para su gestión. Para lo cual, debe: (i) asignar responsables; (ii) mar fechas de inicio y terminación de las actividades requeridas; (iii) señalar la forma de seguimiento (encuestas, muestreos aleatorios de calidad, u otros); (iv) definir la periodicidad de revisión; y (v) documentar las actividades de monitoreo.

Para lo cual se debe una elaborar una matriz que incluya todos los Riesgos identificados del Proceso de Contratación, estableciendo su clasificación, la probabilidad de ocurrencia estimada, su impacto, la parte que debe asumir el Riesgo, los tratamientos que se puedan realizar y las características del monitoreo más adecuado para administrarlo. El manual tiene en cuenta lo dispuesto en el Documento CONPES 3714 de 2012, en lo que corresponde a la tipificación de riesgos como son: Riesgos económicos, sociales, políticos, operacionales, regulatorios de la naturaleza, ambientales y tecnológicos, en los que hace una breve descripción de los que suponen su enunciado.

Al respecto, es pertinente recalcar la importancia de este documento CONPES, puesto que aclaró muchos aspectos que contendidos en el derogado Decreto 2474 de 2008, y sobre los riesgos previsibles, brindando así los lineamientos de los mismos y al tenor del art. 4 de la Ley 1150 de 2007, por tanto, restringe el análisis a los riesgos de la ejecución del contrato. Aclarando así, que su tratamiento está dado por las reglas consignadas en el contrato, incluyéndolos así́ dentro de la ecuación contractual, por lo que en caso de acaecer alguno de

los riesgos y previendo su asunción por las partes durante la ejecución del contrato no afectarían el equilibrio económico y por tanto, no procedería su restablecimiento. También hizo una diferenciación de que no son riesgos previsibles, ni riesgos contractuales, lo cual fue de gran utilidad puesto que no existía para la época una herramienta que permitiera dar cumplimiento a lo exigido en la ley 1150 de 2007.

El documento CONPES 3714 DE 2012, contenía una metodología a partir de tipificación, estimación y asignación de los riesgos. sin embargo, ese ejercicio propuesto para la gestión de riesgos era insuficiente, puesto que no se trataban los riesgos, por lo que, a pesar de asignarse, no se definían los controles ni los responsables de los mismos, resultando ser un aspecto más formal que de gestión para efectos de la dinámica del riesgo y del desarrollo del contrato público.

Es pertinente recalcar la importancia de la tipificación de los riesgos allí contenida, ya que si bien la Ley 1150 de 2007 introduce el termino de riesgos previsibles, no había una definición y menos una tipología de riesgos dentro de las normas del estatuto de contratación estatal que guiará a los partícipes en la misma. En ese orden, el Consejo Nacional de Política Pública y social, en el documento CONPES 3714 de 2012, hace una distinción de los riesgos contractuales, los cuales, de acuerdo a la metodología, que de acuerdo a su naturaleza se podían clasificar entre los siguientes:

• Riesgos Económicos: Son aquellos que se derivan del comportamiento del mercado, tales como la fluctuación de los precios de los insumos, desabastecimiento y especulación de los mismos, entre otros.

• Riesgos sociales y políticos: Son aquellos que se derivan por cambios de las políticas gubernamentales que sean probables y previsibles, tales como cambios en la situación política, sistema de gobierno y cambio en las condiciones sociales que tengan impacto en la ejecución del contrato.

• Riesgos operacionales: Son aquellos riesgos asociados a la operatividad del contrato.

• Riesgos financieros: Este riesgo tiene dos componentes básicos: el riesgo de consecución de financiación o riesgo de liquidez, y el riesgo de las condiciones financieras.

El primero se refiere a la dificultad de conseguir los recursos financieros, ya sea en el sector financiero o el mercado de capitales, para lograr el objetivo del contrato. El segundo hace referencia a los términos financieros de dichos recursos, entre estos encontramos plazos, tasas, garantías, contragarantías, refinanciaciones entre otros. • Riesgos regulatorios: Son los posibles cambios regulatorios o reglamentarios que,

siendo previsibles, afecten el equilibrio contractual.

• Riesgos de la naturaleza: Son los eventos causados por la naturaleza sin la intervención o voluntad del hombre, que, aunque pueden ser previsibles por su frecuencia o diagnostico están fuera del control de las partes. Para la determinación de su existencia y/o previsibilidad, se podrá́ acudir a las autoridades públicas o

entidades competentes en la recopilación de datos estadísticos o fuentes oficiales (INSTITUTO AGUSTIN CODAZZI, INGEOMINAS, IDEAM, etc.)

• Riesgos ambientales: Se refiere a las obligaciones que emanan de las licencias ambientales, de los planes de manejo ambiental, de las condiciones ambientales o ecológicas exigidas y de la evolución de las tasas retributivas y de uso del agua. • Riesgo tecnológico (sin hacer distinción del tipo de contratos al que le es aplicable).

Se refiere a eventuales fallos en las telecomunicaciones, suspensión de servicios públicos, advenimiento de nuevos desarrollos tecnológicos o estándares que deben ser tenidos en cuenta para la ejecución del contrato así́ como la obsolescencia tecnológica.

ahora, teniendo en cuenta que el manual adopta la metodología de la Norma ISO 31000- 2009, la tipificación, estimación y asignación de los riesgos, contenida en el CONPES 3714 de 2012 que son definidos a partir de la tipificación, la estimación cualitativa y cuantitativa y la respectiva asignación, ya no resulta útil, pues con la metodología adoptada en el manual ya se logra un avance para la gestión de los mismos, puesto que en este es necesario definir tratamientos de los riesgos identificados, controles y responsables de los mismos, y en ese sentido el manual rescata la clasificación de riesgos diseñada por el CONPES.

Una vez analizado el manual, resulta pertinente y necesario hacer unas apreciaciones sobre el mismo. Teniendo en cuenta Colombia Compra Eficiente como ente rector, aparte de cumplir con la obligación de expedir de este manual (decreto 1510 de 2013), mediante él

traza el objetivo ofrecer lineamientos y principios metodológicos de manejo y en la gestión de Riesgos en el Proceso de Contratación. Sin embargo, se encuentran unos vacíos que podrían generar vacíos o erróneas interpretaciones, los cuales se exponen a continuación:

A pesar que, el Manual adopta la metodología AS/ NZS 4630 o ISO 31000, no remitió de forma expresa a la misma. por lo que es probable que muy pocos participes del sistema de compras y compras públicas hayan indagado al respecto, y en ese orden aspectos relevantes, de la norma como el proceso de gestión de riesgo integrado al gobierno corporativo de la organización, que supone el compromiso de la dirección, a través de una estructura o comité que es el que se encarga de establecer las políticas de administración de riesgos conforme a los objetivos estratégicos, los grupos de interés y el apetito al riesgo, para tomar decisiones e implementar planes de contingencia o estrategias para el monitoreo, tratamiento del riesgo. temas propios y fundamentales de la AS/ NZS 4630 o ISO 31000.

Puesto que el manual expone el proceso de gestión de riesgo frente al proceso de contratación, que de acuerdo a su definición legal se integra “desde la planeación hasta el vencimiento de las garantías de calidad, estabilidad y mantenimiento, o las condiciones de disposición final o recuperación ambiental de las obras o bienes o el vencimiento del plazo, lo que ocurra más tarde”, pero no define responsables, siempre se habla de forma genérica de la entidad estatal. Únicamente en el paso de identificación y clasificación de riesgos, señala (…) “En este paso la Entidad Estatal debe contar con el personal responsable

misionalmente del Proceso de Contratación y el personal con el conocimiento adecuado para la administración del Riesgo”.

Suponiendo, así que es responsabilidad de la oficina o dirección de contratación o quien haga sus veces, quien es la responsable misionalmente del Proceso de Contratación, sin embargo, en la realidad de las entidades del Estado, se tiene que esta oficina se desempeña más un apoyo a la misional o las denominadas áreas estratégicas, quienes son las que plantean las necesidades y gestionan la contratación para el cumplimiento de su misión, apoyándose a su vez de otras áreas como la de presupuesto. En ese orden, entendería que el personal responsable seria el participe en cada una de esas áreas. Ahora, en esa realidad, el personal con el conocimiento adecuado para la administración del Riesgo, plantearía necesariamente la posibilidad de contratarlo en caso de no contar con él.

Lo anterior supondría también que habría tantos comités como contratos en una entidad estatal, contrario el objetivo de la metodología AS/ NZS 4630 o ISO 31000, pues esta se desarrolla a través de la relación y comunicación entre principios de la gestión de riesgos (que no expone el manual), la estructura organizacional y el proceso de gestión de riesgo (que expone el manual). Ahora, frente al monitoreo de los riesgos del proceso de contratación, como bien lo señala en este paso, son cambiantes, y en ese orden exige el constante monitoreo a la matriz y al plan de mejoramiento, si bien el manual una vez expuesta la metodología señalo la obligación de elaborar e incluir la matriz en el pliego de condiciones o equivalente, no lo expuso de igual forma para el plan de mejoramiento puesto

que solo sugiere prepararlo, por lo que en la práctica, me atrevería a señalar que este último aun es ajeno para las entidades del Estado, teniendo en cuenta que, la Ley 1150de 2017 señala la obligación de incluir la estimación, tipificación y asignación de los riesgos previsibles involucrados en la contratación, el decreto 1082 de 2015 habla de evaluar el Riesgo que el Proceso de Contratación representa para el cumplimiento de sus metas y objetivos, y a su vez el decreto señala que para la modalidad de licitación, a la que es obligatoria realizar la audiencia de asignación de Riesgos, la Entidad Estatal debe presentar el análisis de Riesgos efectuado y hacer la asignación de Riesgos definitiva. Nada se menciona textualmente sobre la exigencia del plan de mejoramiento, que en el estricto lenguaje de gestión de riesgos como el contenido en la norma ISO 31000-2009, el control y monitoreo es a través de planes de mejoramiento o contingencia, siendo esencial frente al logro de los objetivos de la organización. Pero ante las entidades del estado habría que indagarlo si así se ha entendido, y verificar en los procesos de contratación adelantados por las entidades se estatales si acogieron la sugerencia de preparar los planes de mejoramiento como medida de tratamiento y monitoreo de los riesgos y no como una exigencia formal.

No resulta claro en el marco del proceso de gestión de riesgos del proceso de contratación, cuando el manual señala que deben ser incluidos en el Pliego de Condiciones o su equivalente y en la minuta del contrato. Aquellos tratamientos que correspondan a garantías, clausulas penales o multas y sanciones. Entiende que ¿un tratamiento de riesgos puede ser la imposición de multas o sanciones? Ese “tratamiento” en cuál de las opciones se podría ubicar, si se tiene en cuenta que estos se evitan, se aceptan, se comparten, se

transfieren. Teniendo en cuenta el costo y el beneficio de cualquiera de las acciones identificadas para su tratamiento.

Enuncia fuentes de información de las que se pueden servir las entidades estatales para la evaluación de los riesgos como son: los planes estratégicos, planes de acción, reportes de desempeño, presupuestos, riesgos identificados por otras entidades, lluvia de ideas, paneles de expertos, análisis DOFA (Debilidades, Oportunidades, Fortalezas y Amenazas). Para entender el alcance del manual se mostrará gráficamente la metodología AS/ NZS 4630 o ISO 31000 y la plasmada en el Manual.

Imagen. 2. Sistema de Administración de Riesgos ISO 31000

Fuente: www.calidad-gestion.com.ar

En la metodología expuesta en el Manual de Colombia Compra Eficiente, para la identificación y cobertura de Riesgos

Imagen. 3. Proceso de gestión de Riesgos

Fuente: Asolen, pensamiento basado en riesgos

En ese orden de ideas, el manual solo se enfoca en el proceso de gestión de riesgos, para el cual se debe disponer previamente del correspondiente mapa de procesos (estructura organizacional) bien definido, el cual contemple de forma clara todas sus interacciones

Imagen. 4. Mapa de Procesos para la gestión de Riesgos

Fuente: Asolen, pensamiento basado en riesgos

Ahora, resulta probable que el planteamiento del manual obedeciera a la integración de sistemas de gestión de las entidades estatales que había dispuesto la Ley 1753 del 9 de junio

de 2015 en art. 133 para la época de su elaboración en el que señala (…) Intégrense en un solo Sistema de Gestión, los Sistemas de Gestión de la Calidad de qué trata la Ley 872 de 2003 y de Desarrollo Administrativo de que trata la Ley 489 de 1998. El Sistema de Gestión deberá articularse con los Sistemas Nacional e Institucional de Control Interno consagrado en la Ley 87 de 1993 y en los artículos 27 al 29 de la Ley 489 de 1998, de tal manera que permita el fortalecimiento de los mecanismos, métodos y procedimientos de control al interior de los organismos y entidades del Estado”. Teniendo en cuenta a su vez, que el Decreto 1083 del 26 de mayo 2015 “Por el cual se expide el Decreto Único reglamentario del Sector de Función Pública”, indica en el art. 2.2.21.5.4 Administración de riesgos. Como parte integral del fortalecimiento de los sistemas de control interno en las entidades públicas las autoridades correspondientes establecerán y aplicarán políticas de administración del riesgo.

Sin embargo es necesario aclarar que, los sistemas de gestión de calidad de las entidades han permitido a través de su marco de procesos entender los fines de la organización e identificar los grupos de interés, que la administración de riesgos puesta en cabeza de las oficinas de control de interno, desempeña su rol desde evaluación de la gestión del riesgo, lo cual no representa necesariamente que la entidad haya adoptado un sistema de administración de riesgos como se expone en el segundo cuadro de la imagen No.1 del Sistema de Administración de Riesgos ISO 31000, puesto que esta debe ser definida por cada entidad. En ese orden el manual de Colombia Compra Eficiente en el acápite de definiciones señala (pág. 3) “Las Entidades Estatales para reducir la exposición del Proceso de Contratación

frente a los diferentes Riesgos que se pueden presentar, debe estructurar un sistema de administración de Riesgos” y también señala que “La administración de Riesgos es el conjunto de procesos dirigidos a proteger a la Entidad Estatal de los eventos en el Proceso de Contratación”. Por lo cual se plantearía que el componente de estructura organizacional basada en la administración integral de riesgos para los procesos de contratación aún está pendiente de desarrollar por las entidades del estado y en ese orden la responsabilidad recae en cada uno de los partícipes de la contratación lo cual se presenta entonces de forma desarticulada.

Se concluye gráficamente que el sistema de administración de riesgos en cabeza de las oficinas de control interno es diferente al de la metodología adoptada en el manual de contratación pues la evaluación que esta realiza es al proceso de gestión de riesgos de la entidad desde el enfoque de sus procesos y no específicamente al proceso de contratación, que como se evidenció en los anteriores comentarios este podría decirse es un subproceso que depende de la interrelación y comunicación de las áreas de apoyo y las misionales para satisfacer unas necesidades específicas.

Desde la óptica de la metodología de ISO 31000 la función de control interno está en el proceso de gestión de riesgos en el paso de evacuación.

Imagen. 6. Función de control interno en el proceso de gestión de riesgos de ISO 31000

De acuerdo con lo expuesto en este capítulo, se puede concluir que la función administrativa, entendida como la función del estado continua, rápida e inmediata que se ocupa de que se

cumpla la ley y de satisfacer los intereses y necesidades de la comunidad, en el marco de los procesos de contratación y la gestión de riesgos para el cumplimiento de los fines del estado,