CIRCULAR EXTERNA 4 DE 1999 

(Marzo 19)

Asunto: Plan de pruebas, mitigación del impacto, plan de contingencias y certificación de cumplimiento del año 2000.

Como se ha debido considerar desde la expedición de la Circular Externa 9 de 1997 y como lo solicita la Circular Externa 1 de 1999, las entidades sujetas a la inspección y vigilancia de la Superintendencia de Valores (bolsas de valores, sociedades administradoras de depósitos centralizados de valores, sociedades calificadoras de valores, sociedades comisionistas de bolsa, sociedades comisionistas independientes, sociedades administradoras de fondos de inversión, fondos de garantías de las bolsas de valores y fondos mutuos de inversión —a partir de la Circular Externa 17/98—) deben incluir como parte de su plan de trabajo pruebas sobre todos sus sistemas susceptibles de verse afectados por el problema del año 2000, deben elaborar o ajustar sus planes de contingencia a los posibles siniestros que pueda ocasionar el cambio de milenio y deben documentar todas las actividades desarrolladas a lo largo del proyecto.

A continuación se indican los aspectos que se deben considerar para la ejecución de los puntos mencionados y del informe que sobre su realización deberán presentar a la Superintendencia de Valores los representantes legales y los revisores fiscales de las entidades vigiladas.

La consideración de todos los aspectos que se mencionan en la fase de pruebas y plan de contingencia es decisiva dentro del proceso que tiene que seguir toda entidad para lograr la operación continua de los sistemas críticos y, por lo tanto, la operación continua y normal del negocio.

1. Pruebas. Como lo expresa la Circular Externa 1, “la simple certificación de cumplimiento del año 2000, de uno o todos los proveedores de bienes o servicios no constituye garantía de cumplimiento e infalibilidad de la entidad vigilada frente al problema del año 2000”.

Se deben realizar pruebas que confirmen que el elemento en cuestión (aplicación, base de datos, computadores, etc.) funcionando en las condiciones en que opera y operará en los próximos años, procesará de manera adecuada la información, en particular los campos tipo fecha.

1.1. Plan de pruebas. Para la realización de las pruebas la entidad deberá formular y ejecutar un plan de pruebas, con al menos las siguientes características:

1. Documentado.

2. Aprobado por el grupo de trabajo del proyecto año 2000.

3. Aprobado por los directivos, incluyendo la asignación de todos los recursos necesarios para la realización de las pruebas: instalaciones, funcionarios, equipos adicionales, costos, etc.

4. Grupo de pruebas. Además de los técnicos y responsables de coordinar las pruebas, es necesario que participen los usuarios responsables de la operación de cada uno de los sistemas.

5. Cronograma. Se deberá elaborar considerando todos los pasos que se deben ejecutar en la realización de las pruebas.

6. Elementos a probar. Se deberán probar todos los elementos considerados como críticos para la operación normal de la entidad: computadores, aplicaciones (desarrolladas o adquiridas), redes y comunicaciones y otros elementos.

7. Tipo de prueba. Cada elemento considerado como crítico se deberá probar en forma independiente. Además, se deberá probar integrado con los demás elementos con los cuales interactúa.

8. Preparación del ambiente de pruebas (equipos, bases de datos, etc.): ambiente de producción en jornadas no hábiles, equipos de respaldo, toma de backups de datos y aplicaciones, etc. Si no se afectan los sistemas en producción, es altamente deseable que las pruebas se realicen en ese ambiente. De lo contrario, se deberán hacer en un ambiente equivalente al de producción.

9. Forma en la cual participarán los proveedores o terceros, si es que se requiere.

10. Preparación de los datos de prueba.

11. Preparación de los procesos a ejecutar.

12. Controles de auditoría a aplicar.

13. El revisor fiscal deberá participar en la realización de las pruebas.

14. Criterios de aceptación o rechazo de los resultados alcanzados.

15. Aceptación de los usuarios de cada sistema.

16. Procedimiento de retorno a la operación normal, luego de efectuadas las pruebas.

17. Pruebas por cambios. Si se prevé la necesidad de cambiar o actualizar algún elemento ya probado, se deberá definir y aplicar un conjunto reducido de pruebas que garantice que el cambio realizado no afectará el cumplimiento de los sistemas ya probados.

1.2. Fechas a probar. En las pruebas se deberá simular la operación de los sistemas críticos para la entidad, en los días en los cuales se podrían presentar problemas por el manejo de las fechas. Cada entidad deberá determinar las fechas a probar, pero al menos se deberán realizar simulaciones y operaciones sobre las siguientes fechas:

1. 9 de septiembre de 1999.

2. 31 de diciembre de 1999.

3. 3 de enero del 2000.

4. 29 de febrero del 2000.

5. 1º de marzo del 2000.

6. 31 de diciembre del 2000.

7. 1º de enero del 2001.

Si las pruebas ya se realizaron y no se incluyó alguna de las fechas mencionadas, la simulación para ese día se podrá realizar con un conjunto reducido de participantes, probando solamente los procesos más importantes de los sistemas críticos de la entidad.

1.3. Documentación. De todo el proceso de pruebas se deberá dejar constancia documental, que incluya al menos:

1. Plan de pruebas.

2. Para cada sistema probado:

2.1. Descripción de la prueba realizada.

2.2. Fechas probadas.

2.3. Grupo de trabajo que adelantó la prueba.

2.4. Descripción del ambiente en el que se adelantaron las pruebas.

2.5. Datos de prueba.

2.6. Datos generados en las pruebas.

2.7. Resultados esperados.

2.8. Verificación del grupo de trabajo de los resultados generados.

2.9. Justificación de la aceptación o rechazo del sistema para operar en el año 2000.

2.10. Planeación de los ajustes y nuevas pruebas, si es necesario.

2. Implantación. Si las pruebas de los sistemas críticos fueron realizadas en un ambiente diferente al de producción, la entidad deberá implantar y tener en operación los sistemas probados a más tardar el 30 de junio de 1999.

En cualquier caso, el primero de julio de 1999 la entidad deberá estar operando con los sistemas ya probados y aceptados en la fase de pruebas. El segundo semestre de 1999 no puede ser un período de ajustes, pruebas o migración a un sistema probado. Debe transcurrir como un período de maduración y estabilización en los sistemas de la entidad.

No se deberán cambiar de versiones de software o de hardware, a menos que ello sea estrictamente indispensable para continuar con la operación normal de la entidad. Si se modificaran o reemplazaran elementos ya probados, la entidad deberá realizar pruebas para al menos alguna de las fechas del año 2000 señaladas en el numeral 1.2 de este documento.

3. Mitigación de impacto. Es un proceso preventivo que busca identificar y minimizar aquellos riesgos que pueden afectar la operación normal de la entidad, desde una perspectiva empresarial. La parte tecnológica representa simplemente uno más de los riesgos a los que se tiene que enfrentar una entidad vigilada por el cambio de milenio. La mitigación de este riesgo se logra ajustando y probando los sistemas de información o electrónicos susceptibles de verse afectados y elaborando un plan de contingencia que permita la operación continua del negocio cuando se presente un problema técnico.

Sin embargo, en torno de una sociedad están latentes otros riesgos tales como:

1. Falta de confianza de los clientes en la entidad, por creer que no se encuentra preparada para el año 2000. En ocasiones esta falta de confianza se puede originar por una deficiente o mala información suministrada por un funcionario de la misma entidad vigilada.

2. Falta de preparación de los principales clientes corporativos o socios comerciales o empresas patrocinadoras para el año 2000.

3. Concentración de los principales clientes corporativos o socios comerciales en sectores de alto riesgo o con una alta probabilidad de ser impactados por el problema del año 2000.

4. Inversiones en entidades que no se han preparado para el año 2000.

5. Concentración de las inversiones realizadas en sectores de alto riesgo.

6. Factores macroeconómicos que afecten la operación del negocio: liquidez, tasas de interés, tasas de cambio, etc.

Como se ve, los riesgos expuestos no tienen un origen técnico y sí pueden afectar el desarrollo normal de las actividades de la entidad.

Las entidades vigiladas deberán hacer un análisis de estos posibles riesgos y plantear y desarrollar alternativas que minimicen su posible impacto.

2. Plan de contingencias de los sistemas de información. Un plan de contingencias para los sistemas de información es una guía que le indica a la entidad las acciones que se deben ejecutar, para garantizar la continuidad operativa del negocio, cuando se presenta un siniestro que afecta el procesamiento de información.

Toda entidad deberá contar con un plan de contingencia con al menos las siguientes características:

1. Documentado. El plan se deberá plasmar en un documento que pueda ser actualizado y consultado por todos los interesados.

2. Sencillo. Debe ser lo suficientemente claro y sencillo para que pueda ser entendido por las personas encargadas de ponerlo en operación.

3. Concreto. El plan se debe diseñar únicamente para mantener la operación de los procesos críticos del negocio.

4. Aprobado. El plan deberá ser aprobado por el grupo de trabajo del proyecto Año 2000 y por los directivos de la entidad.

5. Con recursos. La entidad deberá disponer de los recursos físicos, técnicos, humanos, presupuestales y en general de todos aquellos definidos para una operación contingente.

6. Ejecutable. Las alternativas planteadas para la operación en situaciones contingentes se deben poder poner en operación con los recursos destinados para ello, dentro de los plazos fijados.

7. Probado. El plan se debe probar y se debe confirmar que se han considerado todos los aspectos necesarios para una operación contingente (backups verificados de los datos, versiones reducidas de las aplicaciones, máquinas contingentes en operación y con la capacidad requerida, contratos vigentes para instalaciones alternas, etc.).

8. Conocido. El plan deberá ser conocido por todos los encargados de ejecutar los procesos contingentes y por aquéllos que se pudieran ver afectados por la contingencia.

El plan deberá cubrir al menos los siguientes aspectos:

1. Definición del grupo encargado de ejecutar el plan.

2. Funciones del grupo de contingencias.

3. Funciones de cada miembro del grupo de contingencias.

4. Análisis de los eventos que pueden ocasionar interrupciones en la operación de los procesos críticos:

4.1. Predecibles:

Año 2000.

Conflictos laborales.

4.2. No predecibles:

Fallas en los equipos.

Desastres naturales: tormentas, terremotos, inundaciones, etc.

Humanos: errores, retiro masivo de personal, saboteo, robo de elementos, fraude, etc.

Otros: fallas en el suministro de energía, fallas en redes de transmisión de datos, incendios, etc.

5. Definir alternativas de solución: centro alterno de procesamiento, equipos de respaldo, enlaces de respaldo, etc.

6. Capacidad de los recursos alternos: espacio en disco y memoria de los equipos, sistema operacional requerido, velocidad de las impresoras, número de líneas alternas de comunicación, espacio físico requerido, etc.

7. Procedimientos para determinar y activar el plan.

7.1. Revisión del hardware.

7.2. Revisión del software.

7.3. Revisión del ambiente de comunicaciones.

7.4. Revisión de otros sistemas.

7.5. Determinación del tiempo que tomará corregir el problema presentado.

7.6. Activación del plan de contingencias. Si el tiempo de reparación es mayor que el definido como aceptable para operar sin un sistema crítico.

8. Actividades a realizar cuando se declare la contingencia.

8.1. Generales: informar a los directivos, clientes afectados, avisar al centro alterno de soporte si es necesario, solicitar los backups almacenados externamente si es necesario, avisar a la compañía de seguros, etc.

8.2. Particulares por equipo o aplicación: instalar el software operativo y aplicativo, montar el último backup de datos, traslado a la instalación alterna, utilizar formatos de contingencia, imprimir listados, etc.

9. Información que se requiere para activar el plan: backups del manejador de la base de datos, parámetros de los sistemas, bases de datos, copias en medio magnético de las aplicaciones, manuales, etc.

10. Regreso a la operación normal: evaluar condiciones para el regreso, instalar últimas versiones del software y de los datos, etc.

9. Informes. Con el propósito de verificar el rigor, formalidad, cobertura y por ende la calidad de las pruebas realizadas y del plan de contingencia formulado, los representantes legales y los revisores fiscales de las entidades vigiladas deberán diligenciar y remitir los anexos 1 y 2 de esta circular, a más tardar el 15 de julio de 1999, a la delegatura para intermediarios y demás entidades vigiladas. Estos anexos se deberán enviar junto con la certificación solicitada en la Circular Externa 1 del 15 de enero de 1999 (anexo 2), firmada por el representante legal.

En todo caso, el Revisor Fiscal, en su informe y dictamen que emita en relación con el próximo cierre contable, deberá pronunciarse sobre el rigor, formalidad, cobertura y en general sobre la calidad de las pruebas realizadas, y sobre si de esas mismas pruebas o de cualquier otra situación que él advierta, adicional a lo establecido en esta circular, se colige la existencia de cualquier circunstancia que pueda conducir a establecer problemas para el mantenimiento del normal funcionamiento de la entidad, con relación al problema del año 2000. Lo anteriormente mencionado deberá ser suficientemente revelado por el revisor fiscal en su informe.

ANEXO 1

Pruebas del año 2000

Tipo y código de entidad ______________________

Nombre de la entidad ________________________

1. ¿La entidad cuenta con un plan de pruebas documentado?

2. ¿El plan fue aprobado por el grupo de trabajo del proyecto Año 2000?

3. ¿El plan fue aprobado por los directivos, incluyendo la asignación de todos los recursos necesarios para la realización de las pruebas: instalaciones, funcionarios, equipos adicionales, costos, etc.?

4. ¿Cuáles fueron los miembros del grupo de pruebas, cuál es el cargo de cada uno de ellos dentro de la entidad y cuál fue su responsabilidad dentro de las pruebas realizadas? (incluya a los usuarios finales).

5. ¿Se elaboró un cronograma para la realización de las pruebas?

6. ¿Se probaron todos los elementos considerados como críticos para la operación normal de la entidad?

7. ¿Cada elemento considerado como crítico se probó en forma independiente?

8. ¿Cada elemento considerado como crítico se probó integrado a los demás elementos con los cuales interactúa?

9. ¿Se probó el hardware?

10. ¿Se probó el software (sistemas operacionales, bases de datos, etc.)?

11. ¿Se probaron las aplicaciones consideradas como críticas?

12. ¿Se probaron los elementos de red y comunicaciones?

13. ¿Se probaron los otros elementos críticos?

14. Describa de manera general la forma como se realizaron las pruebas, indicando en qué ambiente se hicieron (producción, contingencias, otra instalación, etc.).

15. ¿Los proveedores o terceros participaron en las pruebas? Si la respuesta es afirmativa indique quiénes lo hicieron y cuál fue su participación en las pruebas.

16. ¿Se prepararon los datos de prueba?

17. ¿Se prepararon los procesos a ejecutar?

18. ¿Se prepararon y aplicaron controles de auditoría?

19. ¿De qué manera participó el revisor fiscal en la realización de las pruebas?

20. ¿Se definieron y aplicaron los criterios de aceptación o rechazo a los resultados alcanzados en las pruebas?

21. ¿Falta algún sistema crítico por probar o los resultados de las pruebas de alguno de los sistemas no han sido satisfactorios? Si la respuesta es afirmativa, indique de cuál sistema y las acciones planeadas para su solución.

22. ¿Si fue necesario, se llevó a cabo satisfactoriamente el procedimiento de retorno a la operación normal, luego de efectuadas las pruebas?

23. ¿Cuáles fechas fueron probadas o simuladas?

24. ¿Los usuarios de cada sistema dieron su aceptación a los resultados de las pruebas?

Documentación

¿Para cada sistema probado se tiene la siguiente documentación?

25. ¿Descripción de la prueba realizada?

26. ¿Fechas probadas?

27. ¿Grupo de trabajo que adelantó la prueba?

28. ¿Descripción del ambiente en el que se adelantaron las pruebas?

29. ¿Datos de prueba?

30. ¿Datos generados en las pruebas?

31. ¿Resultados esperados?

32. ¿Verificación del grupo de trabajo de los resultados generados?

33. ¿Justificación de la aceptación o rechazo del sistema para operar en el año 2000?

34. ¿Planeación de los ajustes y nuevas pruebas? (La respuesta debería ser negativa, a menos que los resultados de las pruebas no hayan sido satisfactorios).

Implantación

35. ¿Los sistemas probados ya se encuentran en producción? Si la respuesta es negativa, indique la causa y cuándo lo estarán.

Representante legal,

Nombre:

Revisor fiscal,

Nombre:

ANEXO 2

Plan de contingencias-año 2000

Tipo y código de entidad ______________________

Nombre de la entidad ________________________

1. ¿La entidad cuenta con un plan de contingencias documentado?

2. ¿El plan contempla la operación contingente de los procesos críticos del negocio?

3. ¿El plan fue aprobado por el grupo de trabajo del proyecto Año 2000 y por los directivos de la entidad?

4. ¿La entidad cuenta con los recursos físicos, técnicos, humanos, presupuestales y en general de todos aquellos definidos para una operación contingente?

5. ¿Las alternativas planteadas para la operación en situaciones contingentes pueden poner en operación con los recursos destinados para ello, dentro de los plazos fijados?

6. ¿El plan se ha probado?

7. ¿Las pruebas efectuadas indican que el plan sí se podría poner en operación?

8. ¿El plan ya se dio a conocer a todos los encargados de ejecutar los procesos contingentes y a aquellos que se pudieran ver afectados por la contingencia?

9. ¿Se definió el grupo encargado de ejecutar el plan?

10. ¿Se definieron las funciones del grupo de contingencias?

11. ¿Se definieron las funciones de cada miembro del grupo de contingencias?

12. ¿Se consideraron y analizaron los eventos que pueden ocasionar interrupciones en la operación de los procesos críticos?

13. ¿Se consideraron los posibles siniestros que puede ocasionar el año 2000?

14. ¿Se definieron las alternativas de solución? (centro alterno de procesamiento, equipos de respaldo, enlaces de respaldo, etc.).

15. ¿Se definió la capacidad de los recursos alternos? (espacio en disco y memoria de los equipos, sistema operacional requerido, velocidad de las impresoras, número de líneas alternas de comunicación, espacio físico requerido, etc.).

16. ¿Se consideraron los procedimientos para determinar y evaluar las causas del siniestro y activar el plan?

17. ¿Para cada sistema crítico se definió el tiempo aceptable para operar sin sistemas de información?

18. ¿Se definieron las actividades a realizar cuando se declare la contingencia?

19. ¿Se ha identificado la información que se requiere para activar el plan y se tiene copia de ella en un lugar seguro? (backups del manejador de la base de datos, parámetros de los sistemas, bases de datos, copias en medio magnético de las aplicaciones, manuales, etc.)

20. ¿Se definieron los procedimientos para regresar a la operación normal, una vez superada la contingencia?

Representante legal,

Nombre:

Revisor Fiscal,

Nombre:

N. del D.: Esta circular va dirigida a representantes legales, miembros de juntas directivas y revisores fiscales de las entidades sujetas a la inspección y vigilancia de la Superintendencia de Valores.

_________________________