CIRCULAR EXTERNA 1 DE 1999

 

CIRCULAR EXTERNA 1 DE 1999 

(Enero 15)

Asunto: Problema año 2000.

Estamos a menos de un año del día en que ocurrirá el cambio de milenio y con ello el arribo de una de las fechas críticas en relación con el denominado “problema del año 2000”. Las entidades vigiladas, en general altamente sistematizadas y dependientes de otras entidades, no pueden ni deben ahorrar ningún esfuerzo en el diagnóstico y solución de los problemas que el cambio de milenio les puede ocasionar, en forma directa o indirecta.

1. Plan de trabajo.

Sobre el problema del año 2000 existe abundante información y metodologías o guías para su diagnóstico y solución. Esta superintendencia considera que cualquiera de ellas que hubiera sido escogida y aplicada por las entidades vigiladas, en cumplimiento de lo dispuesto por la Circular Externa 9 de 1997, expedida por esta superintendencia debió al menos considerar los siguientes pasos:

a) Conformación de un grupo de trabajo: con funciones y responsabilidades claramente definidas para el grupo y cada uno de sus miembros;

b) Elaboración de un cronograma de trabajo: detallado y con puntos de control;

c) Elaboración del inventario detallado de hardware: que incluya equipos servidores, microcomputadores, impresoras, escaners, rocolas, otros periféricos, etc.;

d) Elaboración del inventario detallado de software: que contemple las aplicaciones desarrolladas o adquiridas, sistemas operacionales, bases de datos, software para automatización de oficina, compiladores, precompiladores, software de comunicaciones, versiones e idioma de cada aplicación, etc.;

e) Elaboración del inventario detallado de elementos de redes y comunicaciones: que considere todas las redes internas y externas, los enrutadores, hubs, switchs, modems, radioenlaces, pares aislados, etc.;

f) Elaboración del inventario detallado de otros elementos: debe incluir conmutadores, faxes, fotocopiadoras, sistemas de control de acceso, UPS, circuito cerrado de televisión y en general cualquier otro elemento que utilice microprocesadores y procese fechas;

g) Elaboración del inventario de papelería: debe relacionar los cheques, facturas, comprobantes, títulos valores y en general cualquier documento que sea utilizado como entrada o salida de información.

h) Priorización: orden en que se evaluará y ajustará cada elemento;

i) Solicitud de certificaciones de cumplimiento: sobre todos los elementos adquiridos o servicios recibidos se deberá solicitar una certificación de cumplimiento del año 2000. La certificación será importante para determinar las alternativas a seguir, pero en ningún momento eximen a la entidad vigilada de la responsabilidad que deberá asumir en caso que el elemento certificado no cumpla con el año 2000;

j) Solicitudes de cumplimiento de los clientes y proveedores: las entidades vigiladas no sólo deben preocuparse por lograr el cumplimiento de sus sistemas con el año 2000, también deben propender por el cumplimiento de sus clientes y proveedores. Las fallas que afecten a estos últimos pueden afectar la operación normal y aun la supervivencia de la entidad vigilada;

k) Pruebas: la simple certificación de cumplimiento del año 2000, de uno o todos los proveedores de bienes o servicios, no constituye garantía de cumplimiento e infalibilidad de la entidad vigilada frente al problema del año 2000. Las pruebas son necesarias e imprescindibles dentro del proceso para lograr el cumplimiento con el año 2000. Ninguna entidad puede decir que se encuentra preparada para el cambio de milenio si no ha realizado pruebas exitosas, cuyos resultados hayan sido analizados y certificados por un grupo especialmente seleccionado para preparar, practicar y evaluar las pruebas. Las entidades vigiladas deberán hacer pruebas de sus sistemas, a más tardar, el día 30 de abril de 1999;

l) Documentación: las certificaciones, actas de comités, actas de reuniones con la junta directiva, la documentación de las pruebas y en general todos los soportes del trabajo realizado, constituyen una prueba invaluable de la diligencia y responsabilidad con la cual la entidad afrontó el problema del año 2000, y

m) Plan de contingencia: todo sistema es susceptible de verse afectado en su operación regular por fallas internas o eventos externos. Si esto sucede en condiciones normales, ante un evento sin precedentes como el problema del año 2000 es de esperarse que la probabilidad de falla en los sistemas sea mayor. Por lo tanto cobra mayor importancia disponer de un plan de contingencias, probado, aprobado y conocido por todos los interesados y actualizado con los siniestros que pueda ocasionar el año 2000. Nuevamente, sin un plan de contingencias en estas condiciones una entidad no puede certificar que está preparada para afrontar sin traumatismos el año 2000.

2. Evaluación plan de trabajo y resultados alcanzados.

Para medir el rigor, la formalidad y los resultados del plan desarrollado, todas las entidades deberán diligenciar y remitir a la delegatura para intermediarios de valores y demás entidades vigiladas, a más tardar, el día 29 de enero de 1999, el Anexo 1, titulado “Evaluación plan de trabajo año 2000”. Si alguna de las preguntas formuladas tiene como respuesta NO, la entidad está en la obligación de revisar, replantear y acelerar el desarrollo del plan de trabajo, el cual deberá culminar el 30 de junio de 1999. El anexo deberá ser suscrito por el representante legal (y el revisor fiscal)*.

*(Nota: El texto entre paréntesis fue declarado nulo por la Sección Cuarta del Consejo de Estado en Sentencia de noviembre 5 de 1999. Expediente: 11001-03-27-000-1999-015-00- 9531. Magistrado ponente: Julio E. Correa Restrepo).

3. Certificación de cumplimiento.

El desarrollo exitoso del plan de trabajo deberá culminar con la expedición de una certificación de cumplimiento con el año 2000, que deberá contener, al menos, la información a que se hace alusión en el Anexo 2, de esta circular, titulado “certificación”. La certificación deberá ser suscrita por el representante legal (y el revisor fiscal)* de la correspondiente entidad y deberá ser enviada a la delegatura para intermediarios de valores y demás entidades vigiladas, a más tardar, el 15 de julio de 1999, junto con el documento en el cual se deje constancia de la evaluación de las pruebas y el plan de contingencia ajustado para el año 2000. Dicha certificación, una vez evaluada, será remitida al Registro Nacional de Valores e Intermediarios para los efectos de publicidad del mismo. Obviamente la certificación sólo se podrá expedir después de realizar las pruebas y elaborar o ajustar el plan de contingencia al año 2000.

*(Nota: El texto entre paréntesis fue declarado nulo por la Sección Cuarta del Consejo de Estado en Sentencia de noviembre 5 de 1999. Expediente: 11001-03-27-000-1999-015-00- 9531. Magistrado ponente: Julio E. Correa Restrepo).

4. Informe a la asamblea general de accionistas.

Como es de su conocimiento, el artículo 46 de la Ley 222 de 1995, establece que una vez concluido el ejercicio económico, los administradores de la sociedad deben presentar a estudio, consideración y aprobación del máximo órgano social, entre otros, los siguientes documentos:

— Un informe de gestión;

— Los estados financieros de propósito general, junto con sus notas, cortados a fin del respectivo ejercicio;

— Un proyecto de distribución de utilidades repartibles, y

— El dictamen e informe que sobre los estados financieros, la contabilidad y el manejo de la sociedad emita el revisor fiscal.

Por lo que al informe de gestión se refiere, el artículo 47 de la citada Ley 222 de 1995, señala los requisitos que debe reunir dicho informe, así como el contenido mínimo del mismo.

En cuanto al contenido del informe en cita, la disposición antes mencionada establece, entre otros aspectos, que el informe de gestión “… deberá contener una exposición fiel sobre, la evolución de los negocios y la situación jurídica, económica y administrativa de la sociedad”, al igual que información respecto de la evolución previsible de la sociedad.

La Superintendencia de Valores considera que el llamado problema del año 2000 constituye y representa un tema de orden administrativo y operativo de trascendental importancia y relevancia para el devenir de las entidades sujetas a su inspección y vigilancia, dado el impacto que su no solución generaría en los sistemas de información.

Por lo expuesto anteriormente, esta Superintendencia ha considerado pertinente que en el informe que deben rendir los administradores de las entidades sujetas a su inspección y vigilancia, a las asambleas generales de accionistas próximas a reunirse con motivo del corte de ejercicio a diciembre 31 de 1998, se incluya en el mismo, de manera breve y concisa, pero completa, una síntesis en relación con el plan de trabajo que en cumplimiento de la Circular Externa 9 de 1997, expedida por esta Superintendencia formuló y elaboró la sociedad a fin de adecuar sus sistemas de información al año 2000.

En dicha síntesis se debe hacer mención, al menos, a los siguientes puntos: diagnóstico efectuado por la sociedad en torno al llamado problema del año 2000, a nivel de software y hardware; grado de avance y desarrollo en el que se encuentra el plan formulado, acciones y correctivos pendientes de ejecutar en relación con dicho plan y fecha estimada para la finalización.

Así mismo, en el informe de gestión los administradores deberán presentar de manera detallada, los resultados de la evaluación del plan de trabajo año 2000, la cual conforme a lo señalado en el numeral 2º de la presente circular se debe realizar, a más tardar, el 29 de enero de 1999. La evaluación en mención se debe efectuar de acuerdo con los parámetros indicados en el Anexo 1 de esta circular, el cual se titula “evaluación plan de trabajo año 2000”.

5. Dictamen e informe del revisor fiscal.

Sobre el denominado problema del año 2000, los revisores fiscales de las entidades sujetas a la inspección y vigilancia de esta superintendencia, en el dictamen e informe que sobre los estados financieros y el manejo y administración de la sociedad deben emitir por disposición de los artículos 208 y 209 del Código de Comercio, deberán opinar y pronunciarse respecto del cumplimiento de lo ordenado por la Circular Externa 9 de 1997, haciendo énfasis en el plan de trabajo formulado por la sociedad para solucionar dicho problema en sus sistemas de información, fundamentalmente en lo que atañe al cumplimiento del cronograma elaborado para introducir los correctivos pertinentes, destacando lo concerniente al grado de avance alcanzado a diciembre 31 de 1998 por la sociedad respecto de la adecuación de los sistemas de información al año 2000.

Así mismo, los revisores fiscales deberán opinar y pronunciarse sobre los resultados de la evaluación del plan de trabajo del año 2000, la cual deben realizar, de manera obligatoria, todas las entidades vigiladas en un plazo máximo que vence el día 29 de enero de 1999.

(Nota: El presente numeral fue declarado nulo por la Sección Cuarta del Consejo de Estado en Sentencia de noviembre 5 de 1999. Expediente: 11001-03-27-000-1999-015-00- 9531. Magistrado ponente: Julio E. Correa Restrepo).

La presente circular rige a partir de la fecha de su publicación en el Diario Oficial.

ANEXO 1

Evaluación plan de trabajo año 2000

Tipo y código de entidad

Nombre de la entidad

1. Proyecto.

¿Existe conciencia de la gravedad y consecuencias del problema año 2000?

¿Cuándo se inició el proyecto?

¿Existe un cronograma detallado que refleje claramente el plan de acción?

¿Las fechas asignadas para desarrollar las actividades del plan de acción son adecuadas para terminar el proyecto en junio de 1999?

2. Equipo de trabajo.

¿Hay miembros pertenecientes a las altas directivas?

¿Hay miembros pertenecientes a las directivas de las dependencias expertas o relacionadas con el tema (Informática, sistemas, operaciones, organización y métodos etc.)?

¿Hay miembros pertenecientes a las dependencias usuarias de mayor grado de riesgo?

¿Hay miembros asesores externos? (Esta respuesta puede ser no, aunque sería deseable contar con alguno)

¿Están claramente definidas las funciones del grupo de trabajo?

¿Están claramente definidas las funciones de cada miembro del grupo de trabajo?

3. Inventario de hardware.

¿Se tiene un inventario completo y detallado?

¿El inventario se realizó en todas las dependencias de la entidad, incluyendo las de otras ciudades?

¿Se tienen certificaciones de cumplimiento del año 2000, expedida por el proveedor o fabricante, para cada elemento sensible al manejo de fechas?

¿Si cada equipo acepta el año 2000 y maneja adecuadamente las fechas críticas (años bisiestos) se comprobó mediante una simulación o prueba y ello se documentó?

4. Inventario de software.

¿Se tiene un inventario completo y detallado?

¿El inventario se realizó en todas las dependencias de la entidad, incluyendo las de otras ciudades?

¿Se tienen certificaciones de cumplimiento del año 2000, expedidas por los proveedores o fabricantes, para cada elemento sensible al manejo de fechas?

¿Se comprobó mediante una prueba o simulación, para cada producto o aplicación, el cumplimiento con el año 2000 y el manejo de los años bisiestos y ello se documento?

¿Se realizaron ensayos o simulacros para confirmar cada aplicación satélite (pequeñas aplicaciones elaboradas por los usuarios finales para ayudarse en su trabajo y que han cobrado importancia para el usuario y la entidad en general), y existe prueba escrita de ello?

¿Si la aplicación toma o suministra información a otra aplicación o sistema (de la entidad o de otra compañía) estas otras aplicaciones o sistemas manejan adecuadamente el año 2000 y los años bisiestos?

5. Inventario de redes y dispositivos de comunicación.

¿Se tiene un inventario detallado y completo de redes y dispositivos de comunicaciones?

¿El inventario se realizó en todas las dependencias de la entidad, incluyendo las de otras ciudades?

¿Se tienen certificaciones de cumplimiento del año 2000, expedidas por los proveedores o fabricantes, para cada elemento sensible al manejo de fechas?

¿Se comprobó mediante una prueba o simulación que cada elemento maneje adecuadamente el año 2000 y los años bisiestos y ello se documento?

6. Otros dispositivos.

¿Se cuenta con un inventario detallado y completo de otros dispositivos? (cajas fuertes, conmutadores, faxes, fechadores electrónicos, ascensores, aire acondicionado, etc.)

¿El inventario se realizó en todas las dependencias de la entidad, incluyendo las de otras ciudades?

¿Se tienen certificaciones de cumplimiento del año 2000, expedidas por los proveedores o fabricantes, para cada elemento sensible al manejo de fechas?

¿Para cada elemento susceptible de ser probado se comprobó su cumplimiento con el año 2000 y los años bisiestos, mediante una simulación y ella se documentó?

7. Papelería.

¿Se tiene un inventario detallado y completo de formas de papelería externa e interna utilizadas?

¿El inventario se realizó en todas las dependencias de la entidad, incluyendo las de otras ciudades?

¿Es necesario hacer cambios en la papelería para manejar adecuadamente el año 2000 y los años bisiestos?

8. Pruebas, simulaciones y ajustes.

¿Se probaron todos los sistemas críticos para la operación normal de la entidad?

¿Las pruebas y/o simulaciones se realizaron más de una vez, cambiando la información de entrada?

¿Los resultados positivos y negativos son revisados y analizados por el grupo de trabajo?

¿Los ajustes realizados son comprobados con varias pruebas y/o simulaciones?

¿Los usuarios participaron como apoyo en el desarrollo de las soluciones, pruebas y/o simulaciones?

9. Plan de contingencia.

¿Se cuenta con un plan ajustado a los posibles siniestros que pueda ocasionar el año 2000?

¿El plan está aprobado, probado y es conocido por todos los interesados?

10. Otros.

¿Se ha establecido contacto con los principales clientes y proveedores para que se adapten al año 2000 y no le causen traumatismos a su operación normal?

¿Se ha establecido contacto con otros proveedores de bienes y servicios para que se adapten al año 2000 y no le causan traumatismos a su operación normal

(bancos, empresas de servicios públicos, administración del edificio, aseguradoras, compañías de seguridad, etc.).

Representante legal Revisor fiscal 

Nombre: Nombre: 

ANEXO 2

Certificación

El representante legal y el revisor fiscal de la entidad XXX

certifican que:

Todos los sistemas de información utilizados por la entidad XXX para el desarrollo normal de su negocio, han sido revisados, ajustados y probados, confirmando el cumplimiento de ellos con el año 2000.

Todos los sistemas susceptibles de verse afectados por el manejo de fechas y que afectan la operación normal de la entidad XXX, se han probado y se ha confirmado su cumplimiento con el año 2000.

Se han solicitado y recibido certificaciones de todos los proveedores de bienes y servicios, donde consta el cumplimiento de los productos suministrados o de los servicios contratados con el año 2000, o que se están adelantando los trabajos de adecuación necesarios.

Se ha establecido contacto con los principales clientes, a efecto de que se adapten al año 2000, con el propósito de evitar traumatismos en su operación normal.

Se cuenta con un plan de contingencias debidamente probado, ajustado con los posibles siniestros que pueda ocasionar el año 2000.

Por lo dicho en los numerales precedentes, la entidad XXX se encuentra preparada para afrontar adecuadamente el año 2000.

Representante legal Revisor fiscal 

Nombre: Nombre: 

(cuenta de cobro) 

N. del D.: Esta circular externa va dirigida a representantes legales, miembros de juntas directivas y revisores fiscales de las entidades sujetas a la inspección y vigilancia de la Superintendencia de Valores.

_________________________