CIRCULAR EXTERNA 3 DE 1998 

(Enero 15)

Referencia. Plan de acción y medidas a tomar por parte de las entidades vigiladas con el propósito de evitar los problemas que se ocasionarán en los sistemas computacionales por el cambio de milenio.

Con el propósito de prever y subsanar los inconvenientes que se puedan presentar en los diferentes sistemas de información y cómputo de las entidades vigiladas ante el cambio de milenio, esta superintendencia ha estimado conveniente impartir las siguientes instrucciones, previa descripción del origen del problema, así como de los riesgos y situaciones que podrían generar.

1. Descripción del problema.

Ante la proximidad del año 2000, las instituciones vigiladas deberán estar alerta y evaluar los riesgos potenciales a los cuales se verán enfrentadas como consecuencia de las implicaciones que para los códigos de programación representa el inicio del nuevo milenio.

Cada organización vera afectados sus sistemas de operación con la aproximación al “00” de la nomenclatura utilizada para la determinación de un año en particular. La mayoría de programas y sistemas operativos actuales se han desarrollado con un esquema de seis dígitos para el campo donde se especifica la fecha (aammdd). Este sistema de medición de tiempo es susceptible de devolverse a su punto inicial una vez alcance su límite máximo; es decir, que una vez llegue al “00” del año 2000, el sistema reconocerá esta fecha como el año 1900.

Así mismo el calendario actual señala el año como período de 365,25 días, generándose cada cuatro años un año bisiesto producto de la acumulación de las fracciones remanentes; adicionalmente, el primer año de cada siglo no se considera como año bisiesto, excepto cada cuatro siglos, como es el caso del año 2000. No obstante lo anterior, muchos fabricantes de software no han considerado este hecho.

2. Problemas susceptibles de presentarse.

La variable donde se específica una fecha determinada se utiliza como base de cálculo en fórmulas programadas en los sistemas de información de los computadores centrales, redes computacionales, sistemas de comunicaciones y computadores personales. Con la llegada del año 2000, estas formulaciones producirán resultados inexactos en los sistemas contables y financieros, administrativos, de transacciones electrónicas, de comunicaciones, de manejo electrónico de documentos y archivos, de control automático, y en general, en cualquier aplicación que utilice la variable fecha como parámetro para realizar alguna operación.

Así por ejemplo, todos los procesos relacionados con valoración de inversiones, negociación de títulos valores, calificación de cartera, planeación de flujos de caja, pagos de obligaciones y recaudos de derechos, elaboración de estados financieros, entre otros, tendrán problemas en su funcionamiento de no tomarse oportunamente las medidas necesarias.

3. Riesgos potenciales para la entidad vigilada.

El desconocimiento o la falta de diligencia por parte de las entidades vigiladas en la anticipación y solución de los inconvenientes que ocasionará el cambio de milenio en los sistemas de información, podría generar, entre otros, los siguientes problemas:

• Parálisis temporal o permanente de los sistemas de información e incluso de la institución.

• Importantes pérdidas de dinero por cálculos errados (v.g. facturación, intereses mal liquidados y causados, mala valorización de inversiones y en general asientos contables inconsistentes, etc.).

• Deterioro en la imagen y pérdida de clientes por deficiencias en el servicio.

• Multas y sanciones que impongan las entidades de supervisión y control.

4. Plan de acción a implementarse.

Con el fin de lograr la compatibilidad de los sistemas de cómputo con el nuevo siglo, las entidades están en la obligación de evaluar los riesgos a los que se pueden exponer y seguidamente implantar un plan de acción detallado en el cual se deben considerar los siguientes aspectos:

4.1. Elaboración del plan de trabajo.

• Conformación del equipo de trabajo. Se hace necesario establecer un equipo de trabajo, encargado de diseñar y llevar a cabo un plan institucional con miras al año 2000. Para esto, las entidades vigiladas deberán guiarse por el manual adjunto a la presente circular (ver anexo técnico “Manual de seguimiento y control”).

• Inventario detallado de hardware, software y análisis de sensibilidad. A fin de realizar una estimación del impacto que tendrá el cambio de milenio en los sistemas de la organización, se debe realizar un inventario de todos los sistemas de cómputo que estén operando; de sus programas fuentes y ejecutables; archivos de entrada y de salida; bases de datos utilizadas; manuales de usuario, operación y mantenimiento; así como una evaluación sobre la sensibilidad de éstos ante los riesgos que trae consigo el inicio del nuevo siglo.

• Establecimiento de prioridades. Con base en el paso anterior, el equipo de trabajo deberá establecer un orden de prioridades que permita atender de acuerdo con su importancia todas las aplicaciones susceptibles de generar un riesgo para la entidad.

• Determinación de los recursos necesarios: Se debe realizar una evaluación de los recursos necesarios para que la organización haga frente a los diferentes problemas que se generan con el cambio de siglo. La junta directiva de cada entidad debe asegurar la asignación de los fondos y los recursos indispensables para llevar a cabo el plan de acción.

• Término para la elaboración del plan. El plan de acción para hacer frente a los diferentes problemas que se generan a raíz del cambio de milenio, deberá estar terminado a más tardar el 27 de febrero de 1998, fecha a partir de la cual deben estar a disposición de esta superintendencia.

4.2. Desarrollo del plan.

• Evaluación de alternativas. El plan institucional deberá iniciarse con la determinación sobre si los sistemas de información, archivos y bases de datos con que actualmente cuenta la organización deben ser modificados, reemplazados, subcontratados o descontinuados, así como el costo de este proceso. Esta evaluación deberá seguir el orden prioritario establecido por el equipo de trabajo en el plan de acción.

• Evaluación de proveedores. Cuando la alternativa de solución implique el reemplazo o subcontratación, la entidad debe asegurarse de que tanto los sistemas de cómputo como el software ofrecido por las empresas de servicios y vendedores externos, enfrenten de una manera adecuada los problemas inherentes al inicio del nuevo siglo.

4.3. Implantación.

• Inicio de labores de acuerdo con el orden de prioridades. El proceso de ajuste en la entidad debe iniciarse mediante la implantación sistemática de los cambios, de acuerdo con un orden prioritario determinado por su nivel de riesgo. De esta manera, la institución seguirá los pasos adecuados para garantizar que las actividades primordiales para el funcionamiento del negocio continúen, incluso en el caso en que los proveedores externos no logren cubrir los requerimientos del inicio de un nuevo siglo.

• Proyectos piloto. Se deben iniciar proyectos piloto que permitan identificar problemas y encontrar soluciones.

• Pruebas y simulación de soluciones. Se deben efectuar revisiones posteriores al inicio del plan de acción, que aseguren la integridad y funcionalidad de los sistemas modificados. Así mismo deben realizarse auditorías que garanticen el desarrollo adecuado del plan de acción, revisando, aprobando y estableciendo puntos de chequeo.

• Término para el desarrollo e implantación de soluciones. La fecha estipulada para la terminación de estas modificaciones es diciembre 31 de 1998. De esta manera, las entidades contarán con todo el año de 1999 para la realización de pruebas y toma de correctivos.

5. Consideraciones generales.

Dada la complejidad de los problemas a los cuales se enfrentan los sistemas de cómputo de las entidades vigiladas con la llegada del nuevo milenio y lo grave de las consecuencias que se pueden generar de no tomarse una acción oportuna, esta superintendencia iniciará a partir de enero de 1999 visitas periódicas a las diferentes entidades vigiladas con el fin de realizar un seguimiento de los procesos que cada institución esté empleando a fin de dar solución a los problemas aquí planteados.

La presente circular rige a partir de la fecha de su publicación en el diario oficial.

N. del D.: Esta circular externa va dirigida a representantes legales y revisores fiscales de las entidades vigiladas.

_______