CIRCULAR EXTERNA 27 DE 1999

 

CIRCULAR EXTERNA 27 DE 1999 

(Mayo 11)

Ref.: Guía y formato de certificación para el desarrollo de los planes de mitigación de riesgos y de contingencias del proyecto año 2000.

Con el propósito de contribuir a que las instituciones vigiladas desarrollen los mecanismos prudenciales necesarios para administrar los riesgos derivados de la problemática del cambio de milenio, esta superintendencia ha considerado conveniente instruir a sus vigilados sobre los aspectos relevantes a considerar en la elaboración de los planes de mitigación de riesgos y de contingencias.

Para tal efecto, se anexa a la presente circular el documento “Guía para el desarrollo de los planes de mitigación de riesgos y de contingencias del proyecto año 2000”, que contiene los puntos relevantes que las entidades vigiladas deben seguir.

De igual manera, se adjunta el formato estándar “Certificación al desarrollo de los planes de mitigación de riesgos y de contingencias del proyecto año 2000”, con el fin de que los representantes legales y los revisores fiscales lo diligencien y lo remitan, debidamente firmado, a la Superintendencia Bancaria, a más tardar, el día 15 de julio de 1999.

La presente circular rige a partir de la fecha de su publicación en el Diario Oficial.

Guía para el desarrollo de los planes de mitigación de riesgos y de contingencias del proyecto año 2000

1. Introducción

Este documento es una guía de uso general para todas las entidades vigiladas por la Superintendencia Bancaria y ayudará a determinar si la institución ha elaborado en forma adecuada planes de mitigación de riesgos y de contingencias para minimizar los posibles problemas que puedan generarse en los sistemas informáticos, telemáticos y otros relacionados con la operación del negocio, con ocasión de la llegada del nuevo milenio.

2. Objetivos

• Determinar si la organización cuenta con un plan adecuado de mitigación de riesgos que permita garantizar la continuidad del negocio.

• Determinar si la institución cuenta con un plan de contingencias efectivo para minimizar las interrupciones en sus sistemas de misión crítica y reducir la probabilidad de pérdidas, así como asegurar una reanudación oportuna de las operaciones en caso de una interrupción de sus sistemas.

3. Aspectos generales a considerar

• La institución debe tener un plan de mitigación de riesgos y un plan de contingencias, documentado y probado, para sus sistemas de misión crítica tanto internos como externos (incluyendo software, hardware, bases de datos, redes y en general, toda su operación).

• En el caso de las sociedades fiduciarias la aplicación de esta guía deberá extenderse a los fideicomisos administrados, de acuerdo con los tipos y subtipos estipulados en la Circular Externa 100 de 1995, Capítulo VIII, dentro de los cuales se prestará igual atención a lo referente a los consorcios y uniones temporales.

• Las directivas de la organización deben estar conscientes de la importancia del sistema de mitigación de riesgos y del plan de contingencias para lograr una adecuada solución del problema del año 2000. Por tal razón, deben asegurarse que el personal dedicado a estas actividades (especialistas en el negocio y en tecnologías de información) tenga el conocimiento, la experiencia y la destreza en el tema. De igual manera, las directivas deben ser conscientes de los recursos humanos y financieros que se requieren para el proceso.

• El sistema de mitigación de riesgos y el plan de contingencias deben estar aprobados por el comité año 2000 y por la administración de la entidad. La junta directiva de la entidad debe conocer estos planes y estar consciente de los riesgos derivados del problema año 2000 y la forma como la institución los está enfrentando.

• Las instituciones vigiladas deberán realizar un análisis que permita la identificación de riesgos y la medición de su impacto en cada uno de los procesos fundamentales de los negocios. De igual manera, deberán definir y documentar los diferentes escenarios susceptibles de presentarse con la llegada del año 2000 y considerar las fallas, tanto internas como las de la infraestructura, en cada una de las actividades críticas de la entidad al igual que determinar un nivel mínimo aceptable de resultados y servicios de ellos.

• Las entidades vigiladas al efectuar el análisis del impacto sobre los negocios deberán abarcar factores tales como: los tipos de riesgos que podrían afectar los procesos fundamentales de los negocios, la posibilidad de que éstos ocurran, el momento probable de tal ocurrencia, el costo y la duración de la falla operativa, el impacto de las fallas de sistemas múltiples. Así mismo, deberían establecer prioridades en cuanto a los riesgos de fallas operativas potenciales y otros eventos que podrían tener el mayor impacto sobre los procesos clave de los negocios de la institución.

• El plan de mitigación de riesgos debe incluir las estrategias establecidas para enfrentar los riesgos derivados de: Quienes requieren fondos (emisores de títulos valores, los prestatarios), quienes proveen fondos (inversionistas nacionales y extranjeros), las contrapartes del mercado de capitales (mercado de valores, operaciones de tesorería, actividades fiduciarias), los ahorradores, las filiales, sucursales y agencias y los principales proveedores de servicios.

• Si las directivas de las entidades han planeado efectuar en el presente año procesos de adquisición y/o fusión de una institución, deberán analizar y revisar cómo la empresa adquirida o fusionada está enfrentando la problemática del cambio de milenio. En particular, resulta importante evaluar si esta operación no obstruirá el desarrollo alcanzado por la entidad adquiriente.

• El plan de contingencias debe incluir aspectos como: cuál es la planeación organizacional, análisis de impacto sobre los negocios de la institución, opciones más razonables de la estrategia de contingencias, planes de contingencia y modos de implementación para cada proceso fundamental de los negocios, fechas definidas en las que se activen los planes de contingencias, personas responsables para la reanudación de los procesos fundamentales de los negocios, revisión independiente de la factibilidad del plan y toda la documentación asociada.

4. Aspectos mínimos que deben incorporar los planes de mitigación de riesgos y de contingencias

Las entidades vigiladas deberán diseñar planes de mitigación de riesgos y de contingencias, que considere, cuando menos, los siguientes aspectos mínimos:

4.1. Ámbito del negocio

4.1.1. Riesgo de crédito. La problemática del cambio de milenio podría ocasionar dificultades en la capacidad de pago de los deudores del sistema financiero. Tal riesgo se deriva de la posibilidad de que los deudores del sector no hayan podido o no tengan la habilidad para valorar integralmente la vulnerabilidad de su negocio a la problemática del cambio de milenio, lo cual podría ocasionar que sus negocios sufrieran interrupciones, ocasionándole dificultades operativas, financieras y afectando su capacidad de pago.

Por tal razón, las instituciones sometidas a la vigilancia y supervisión de esta superintendencia deberán establecer los mecanismos necesarios para identificar, evaluar y controlar los riesgos crediticios, derivados de la problemática año 2000 en sus carteras de crédito y en sus portafolios de inversión.

Se deben considerar, cuando menos, los siguientes aspectos para analizar el riesgo crediticio de los clientes:

• Tamaño global de la relación.

• Calificación crediticia del prestatario.

• Complejidad de los sistemas operativos y de informática del prestatario.

• La dependencia del cliente en la tecnología para las operaciones comerciales exitosas.

• El volumen de los fondos o la sensibilidad del cliente para disponer de otras fuentes de fondos o al crédito de los proveedores de fondos.

• La dependencia del cliente en terceras personas proveedores de productos y servicios de procesamiento de datos.

4.1.2. Riesgo de liquidez. Las instituciones deberán realizar un proceso de identificación y mitigación del riesgo de liquidez asociado con los potenciales retiros de fondos por parte de clientes o por dificultades que sus proveedores tradicionales de liquidez puedan tener con la llegada del año 2000.

Dentro de este proceso resulta relevante considerar aspectos como:

• Los suministradores de liquidez habituales podrían no estar preparados para afrontar el cambio de milenio, lo que podría ocasionar una reducción de los flujos de dinero proveniente de estas fuentes, lo cual haría indispensable el tener otras fuentes alternas de liquidez o la implementación de otras estrategias como la creación de reservas adicionales de liquidez por parte de las instituciones vigiladas.

• Establecimiento de líneas de crédito con otras entidades financieras u otros proveedores de liquidez.

• Mantenimiento de reservas adicionales de efectivo y/o activos líquidos disponibles para su negociación o venta.

• Mecanismos para enfrentar los incrementos en la demanda de efectivo por parte de los clientes.

4.1.3. Riesgo con las contrapartes que administran los mercados de capitales. Las entidades vigiladas deberán analizar los problemas potenciales relativos al año 2000 con los participantes en el mercado de capitales. Dichos problemas van desde la falla de una contraparte en concluir una transacción de valores o la liquidación de un contrato hasta, en caso extremo, llegar a afectar la solidez patrimonial de las contrapartes. Si una contraparte no liquida una transacción, puede causar problemas de liquidez inesperados, lo que a su vez resultaría en que la institución no pudiese entregar dinero a sus propias contrapartes.

Así mismo, las instituciones deberán evaluar los servicios de los fideicomisarios que pueden verse severamente afectados si las contrapartes no pudieran cumplir sus obligaciones legales o contractuales debido a los problemas del año 2000. Igualmente, las entidades deberán evaluar la preparación para el año 2000 de aquellas contrapartes críticas para la empresa con quienes efectúan negocios fiduciarios rutinariamente.

Las entidades vigiladas deberán evaluar la exposición de las contrapartes y desarrollar planes de mitigación de riesgos para minimizar su ocurrencia.

4.1.4. Comunicación hacia el cliente. Las entidades vigiladas deben establecer un programa de sensibilización hacia los clientes orientado a informar a sus ahorradores, depositantes y clientes en general, de los esfuerzos realizados por la institución para garantizar la continuidad en la prestación de sus servicios antes, durante y después del año 2000 y de esta manera, generar un ambiente de confianza en la clientela.

Algunos de los aspectos que se deberán considerar dentro de la política de comunicación hacia los clientes son:

• Disponer en forma permanente de canales de comunicación idóneos y efectivos.

• Informar y tener mecanismos efectivos de seguridad del dinero depositado en sus cuentas.

• Mantener información hacia los clientes de cómo disponer de sus fondos a través de diferentes dispositivos: Cajeros automáticos, audio respuesta, líneas telefónicas, tarjetas débito y crédito, entre otros.

• Informar si se pueden efectuar, de manera confiable y oportuna, depósitos, débitos y otros pagos electrónicos en forma automática y ser debidamente acreditados y debitados en las cuentas correspondientes. Indicar, de otra parte, qué mecanismos ha dispuesto la institución para tratar dichas transacciones en el evento de presentarse interrupciones.

• Indicar cómo respaldará la institución a los clientes que pueden verse afectados por transacciones automáticas incorrectas como depósitos o retiros.

• Advertir cuáles son las prácticas que sigue la institución para el correcto mantenimiento de los registros y transacciones de los clientes.

• Enunciar los tipos de información, registros o extractos que deberán mantener los clientes antes y después del 1º de enero del 2000.

• Asesorar a la clientela en caso de que no se acrediten correctamente los abonos a los créditos.

Bajo ningún motivo, las entidades vigiladas podrán publicar los resultados recibidos de la Superintendencia Bancaria dentro de los procesos de inspección y vigilancia, ni argumentar que la institución se encuentra certificada o avalada por esta entidad. Sobre el particular, es necesario aclarar que los procesos ordenados por la superintendencia en cuanto al cumplimiento de sus vigilados respecto del año 2000 se constituyen en una orientación que, por ningún motivo, exonera de sus responsabilidades a los directivos en las entidades sometidas a su vigilancia e inspección.

4.2. Ámbito de la operación. Es importante tener en cuenta para los planes de mitigación de riesgos y de contingencia, la preparación, entre otros, de los siguientes sistemas:

• Los sistemas desarrollados internamente.

• Los servicios suministrados por proveedores externos o terceros.

• Las soluciones de software suministradas por empresas desarrolladoras o distribuidoras de productos.

• Los sistemas computacionales, las redes locales y remotas.

• Las redes de cajeros electrónicos y otros dispositivos asociados con la prestación de servicios electrónicos.

• Las bases de datos y datos relacionados con los procesos y sistemas de misión crítica.

• Otras terceras personas.

• Otros dispositivos electrónicos.

5. Metodología de los planes de mitigación de riesgos y de contingencias

La Superintendencia Bancaria es consciente de que no existe una metodología única para disponer de planes de mitigación de riesgos y de contingencias para el año 2000. Cada entidad vigilada tiene sus propias características y tiene que identificar sus procesos fundamentales de negocios, como también los niveles mínimos aceptables de resultados y servicios para tales procesos. Algunas instituciones pueden desarrollar planes de mitigación de riesgos y de contingencia de manera descentralizada, mientras que otras lo efectúan de manera centralizada. De igual manera, algunas instituciones pueden desarrollar un plan para toda su organización, mientras que otras pueden desarrollar múltiples planes. Por lo tanto, los planes de mitigación de riesgos y de contingencias para el año 2000 pueden variar de manera significativa.

6. Aspectos específicos del plan de mitigación de riesgos

El plan de mitigación de riesgos para el año 2000 debe considerar cuando menos los aspectos relacionados a continuación:

6.1. Planeación organizacional. Las directivas de la entidad deben involucrarse directamente en el proceso de elaboración del plan de mitigación de riesgos de los negocios del año 2000.

6.2. Análisis del impacto comercial. Esta fase evalúa el impacto potencial que las fallas de sistemas de misión crítica pudiesen tener sobre los procesos de los negocios.

6.3. Plan de mitigación de riesgos. Sobre la base de las prioridades establecidas durante el análisis de impactos comerciales, se elabora este plan. Este plan debe estar documentado y organizado de tal manera que se pueda modificar fácilmente en caso necesario.

El plan de mitigación de riesgos deberá incluir como mínimo el análisis y las soluciones de los siguientes aspectos:

• Evaluación del riesgo crediticio, tanto de cartera como de portafolio, por lo menos en los clientes estratégicos.

• Alternativas para mantener una adecuada situación de liquidez antes, durante y después del año 2000, efectuando un análisis pormenorizado de las fuentes de liquidez.

• Estrategia de comunicación a los clientes para informar sus acciones tomadas y conocer y responder las inquietudes de los usuarios y del público en general.

• Los demás aspectos mencionados en el numeral 4º.

7. Aspectos específicos del plan de contingencias

El plan de contingencias para la reanudación de los negocios para el año 2000 debe considerar cuando menos los aspectos relacionados a continuación:

7.1. Planeación organizacional. Las directivas de la entidad deben involucrarse directamente en el proceso de elaboración del plan de contingencias de reanudación de los negocios del año 2000.

Para el efecto, se debe tener en cuenta:

• El establecimiento de un grupo de trabajo para la elaboración y seguimiento del plan y la asignación de las tareas y responsabilidades.

• La identificación de los procesos de negocios básicos.

• Priorización de los procesos de negocios que son candidatos para el plan de contingencias.

• Desarrollo de un proceso de administración de riesgos y de un sistema de reportes de los avances y los cambios en la planificación de la preparación para el año 2000.

7.2. Análisis del impacto comercial. Esta fase evalúa el impacto potencial que las fallas de sistemas de tipo de misión crítica pudiesen tener sobre los procesos de negocios básicos.

Se debe tener en cuenta:

• Ejecutar un análisis de riesgo de cada uno de los procesos comerciales básicos.

• Definir y documentar las actividades supuestas de fallas en el año 2000. Considerar los riesgos de fallas simultáneas tanto internas como de infraestructura.

• Determinar el nivel mínimo aceptable de entregas y servicios.

7. 3. Plan de contingencias. Sobre la base de las prioridades establecidas durante el análisis de impactos comerciales, se elabora este plan. Este plan debe estar documentado y organizado de tal manera que se pueda modificar fácilmente en caso necesario.

El plan de contingencias deberá incluir como mínimo lo siguiente:

• Objetivo del plan

Para cada sistema de misión crítica se tendrá, cuando menos:

— Descripción de la misión del sistema.

— Elementos específicos del sistema: Plataforma o tecnología actual, interfases con otros sistemas, procesos y productos críticos e información de contacto clave.

— Riesgos de falla.

— Riesgo del plan de contingencia.

— Resultados deseados.

— Información de contacto clave.

• Criterio de implementación o eventos activadores para invocar el plan junto con los procedimientos para su puesta en funcionamiento.

Se tendrá en cuenta:

— Criterios de implementación.

— Eventos de activamiento.

— Responsabilidades.

— Duración.

• Criterio para regresar a las operaciones normales.

Se deberá tener en cuenta:

— Criterios.

— Procedimientos.

— Puntos de contacto/avisos: Quienes toman decisiones, personal de operación, equipo de recuperación de negocios, socios de negocios.

• Papeles, responsabilidades y autoridad de todos los participantes.

Se tendrá en cuenta:

— Estructura de administración: quienes toman decisiones y personal de apoyo.

— Roles y responsabilidades asignadas: reacción ante emergencias, equipos de emergencia.

— Procedimiento de aviso al personal.

— Procedimientos de administración de registros.

• Requerimientos de recursos para la operación del plan de contingencia.

Se tendrá en cuenta:

— Estimativos de tiempo.

— Estimaciones de costos.

— Fuente de financiamiento.

• Procedimientos de capacitación y prueba del plan.

Se tendrá en cuenta:

— Capacitación del equipo de contingencia.

— Capacitación del equipo de recuperación.

— Requisitos y procedimientos de pruebas.

— Planes de capacitación y pruebas.

Es importante considerar para el plan de contingencias:

• Evaluar las opciones y elegir la estrategia de contingencia más razonable.

• Identificar el plan de contingencia y modos de implementación. Se deben incluir, entre otros, los siguientes elementos:

— Respaldo de archivos críticos y procesos de re-arranque.

— Modificación a procesos para transacciones telefónicas y poder imprimir registro de actividades.

— Contratación de servicios con proveedores alternos de insumos críticos (tarjetas, traslado de efectivo, etc).

— Mecanismos para capacitar al personal para responder de manera uniforme respecto al avance de la entidad en el año 2000.

— Evaluar adquisición de equipos para soportar posible aumento de demanda en el centro de atención telefónica.

— Copias legibles de los archivos maestros y de los archivos de transacciones de la institución.

— Lista maestra de la preparación para el año 2000, con la información de contacto con cada cliente, proveedor, entidades aseguradoras y entidades de supervisión con las cuales la institución comparte los datos.

— Copias con formato de texto electrónico de todos los reportes de archivos maestros y de los balances de comprobación.

— Revisiones de los contratos de los proveedores de servicios y de procesamiento de datos por parte de las áreas jurídicas para determinar las responsabilidades de cada una de las partes.

— Revisión integral de toda la cobertura de seguros para el procesamiento de datos.

— Revisión de los accesos a otros sistemas a través de todas las redes de área local y las redes de área extendida.

• Establecer fechas críticas para activar el plan de contingencias.

• Asignar el personal responsable de la reanudación de los procesos comerciales básicos.

• Implementar una revisión independiente de la factibilidad del plan de contingencia.

• Desarrollar una estrategia para la puesta en funcionamiento de la renovación física: la administración debe cerciorarse que cuenta con planes activos así como personal disponible para el período del 30 de diciembre de 1999 al 3 de enero de 2000 y para las otras fechas correspondientes a sucesos importantes.

7.4. Validación del plan de contingencias de reanudación de los negocios. La validación al plan de contingencias busca probar y/o validar si los planes de contingencia individuales son capaces de proporcionar el nivel de apoyo deseado para las funciones de misión crítica de la entidad y si se pueden implementar planes dentro de un período de tiempo determinado. Una auditoría independiente puede validar la efectividad y cuán razonable es el plan de contingencias propuesto.

Las modificaciones o correcciones a la planificación de preparación del año 2000 pudiesen requerir de modificaciones o correcciones al plan de contingencias. Mediante pruebas periódicas del plan de contingencias se podría asegurar que estos cambios son tomados en cuenta y que el nivel de soporte para los procesos comerciales básicos es adecuado.

8. Verificación del proceso de los planes de mitigación de riesgos y de contingencias

Dentro del proceso de verificación de los planes de mitigación de riesgos y de contingencias deben participar las directivas de la entidad, así como los revisores fiscales, los auditores internos y externos y cualquier otra fuente calificada para evaluar el plan. La verificación del plan de contingencias debe involucrar, cuando menos, a las directivas, al comité año 2000, al gerente del proyecto, a los usuarios de los sistemas de misión crítica y a una parte independiente y objetiva, como sería el revisor fiscal, el auditor, un asesor o un experto de un área independiente.

El proceso de verificación en el plan de contingencias debe estar soportado por:

• Planillas de pruebas de las diferentes alternativas que se prevén en el plan de contingencias.

• Documentación de las diferentes alternativas presentadas en el plan de contingencias.

• Confrontación de los resultados versus los criterios de aceptación establecidos.

9. Documentación de los planes de mitigación de riesgos y de contingencias

Las entidades vigiladas deben conservar documentación escrita para respaldar todos los planes de mitigación de riesgos y de contingencias. Esta documentación suministra un rastro de auditoría y debe facilitar la solución de los problemas si se llegasen a presentar. La documentación deberá incluir, cuando menos, los siguientes aspectos:

• Planificación del plan para el año 2000.

• Descripción de la metodología que adoptó la institución y las razones de su decisión.

• Criterios utilizados por la entidad para determinar si el plan se encuentra listo para afrontar el año 2000.

• Verificación del proceso de los planes de mitigación de riesgos y de contingencias.

• Personas, responsabilidades y autoridad de todos los participantes.

• Procedimientos de capacitación y prueba del plan.

• Requerimientos de recursos para la operación de los planes.

• Criterio de implementación o eventos activadores para invocar el plan junto con los procedimientos para su puesta en funcionamiento.

• Criterio para regresar a las operaciones normales.

Formato para certificación al desarrollo de los planes de mitigación de riesgos y de contingencias del proyecto año 2000.

La base conceptual para efectos de esta certificación es la guía para el desarrollo de los planes de mitigación de riesgos y de contingencias del proyecto año 2000, emitida por la Superintendencia Bancaria, mediante Circular Externa 027 de 1999.

NOTA: Los formatos anexos a esta circular pueden ser consultados en la Superintendencia Bancaria.

N. del D.: Esta circular va dirigida a representantes legales y revisores fiscales de las entidades vigiladas.

_______________________