CIRCULAR EXTERNA 48 DE 1997 

(Julio 25 )

De conformidad con lo estipulado por el numeral 1º, literal i) del artículo 325 del estatuto orgánico del sistema financiero, le corresponde a la Superintendencia Bancaria adoptar políticas de inspección y vigilancia, dirigidas a permitir que las instituciones vigiladas puedan adaptar su actividad a la evolución de sanas prácticas y desarrollos tecnológicos que aseguren un desarrollo adecuado de las mismas.

En virtud de lo anterior y con el propósito prever y subsanar los inconvenientes que se puedan presentar en los diferentes sistemas de información y cómputo de las entidades vigiladas ante el cambio de milenio, esta superintendencia ha estimado conveniente impartir las siguientes instrucciones, previa descripción del origen del problema, así como de los riesgos y situaciones que se podrían generar.

1. Descripción del problema

Ante la proximidad del año 2000, las instituciones vigiladas deberán estar alerta y evaluar los riesgos potenciales a los cuales se verán enfrentadas como consecuencia de las implicaciones que para los códigos de programación representa el inicio del nuevo milenio.

Cada organización verá afectados sus sistemas de operación con la aproximación al “00” de la nomenclatura utilizada para la determinación de un año en particular. La mayoría de programas y sistemas operativos actuales se han desarrollado con un esquema de seis dígitos para el campo donde se específica la fecha (AAMMDD). Este sistema de medición de tiempo es susceptible de devolverse a su punto inicial una vez alcance su límite máximo; es decir, que una vez se llegue al “00” del año 2000, el sistema reconocerá esta fecha como el año 1900.

Así mismo, el calendario actual señala el año como un período de 365.25 días, generándose cada cuatro años un año bisiesto producto de la acumulación de las fracciones remanentes; adicionalmente, el primer año de cada siglo no se considera como año bisiesto, excepto cada cuatro siglos, como es el caso del año 2000. No obstante lo anterior, muchos fabricantes de software no han considerado este hecho.

2. Problemas susceptibles de presentarse

La variable donde se específica una fecha determinada se utiliza como base de cálculo en fórmulas programadas en los sistemas de información de los computadores centrales, redes computacionales, sistemas de comunicaciones y computadores personales. Con la llegada del año 2000, estas formulaciones producirán resultados inexactos en los sistemas contables y financieros, administrativos, de cajeros automáticos, de transacciones electrónicas, de comunicaciones, de manejo electrónico de documentos y archivos, de control de bóvedas, de seguridad, y en general, en cualquier aplicación que utilice la variable fecha como parámetro para realizar alguna operación.

Así por ejemplo, todos los procesos relacionados con valoración de inversiones, negociación de títulos valores, calificación de cartera, planeación de flujos de caja, pagos de obligaciones y recaudos de derechos, elaboración de estados financieros, entre otros, tendrán problemas en su funcionamiento de no tomarse oportunamente las medidas necesarias.

3. Riesgos potenciales para la entidad vigilada

El desconocimiento o la falta de diligencia por parte de las entidades vigiladas en la anticipación y solución de los inconvenientes que ocasionará el cambio de milenio en los sistemas de información, podría generar, entre otros, los siguientes problemas:

• Parálisis temporal o permanente de los sistemas de información e incluso de la institución.

• Importantes pérdidas de dinero por cálculos errados (v.gr. intereses mal liquidados y causados, mala valoración de inversiones y en general asientos contables inconsistentes, etc.)

• Deterioro en la imagen y pérdida de clientes por deficiencias en el servicio.

• Incremento sustancial en los costos del proceso de búsqueda de soluciones.

• Multas y sanciones que impongan las entidades de supervisión y control.

4. Plan de acción a implementarse

Con el fin de lograr la compatibilidad de los sistemas de cómputo con el nuevo siglo, las entidades están en la obligación de evaluar los riesgos a los que se pueden exponer y seguidamente implantar un plan de acción detallado.

Con el objetivo de realizar una evaluación adecuada de los riesgos potenciales identificados y de desarrollar un plan de acción apropiado, las entidades deberán considerar cuando menos los siguientes aspectos:

4.1. Elaboración del plan de trabajo

Conformación del equipo de trabajo. Se hace necesario establecer un equipo de trabajo, encargado de diseñar y llevar a cabo un plan institucional con miras al año 2000. Para esto, las entidades vigiladas deberán guiarse por el manual adjunto a la presente circular (Ver anexo técnico “manual de seguimiento y control”).

Inventario detallado de hardware y software y análisis de sensibilidad. A fin de realizar una estimación del impacto que tendrá el cambio de milenio en los sistemas de la organización, se debe realizar un inventario de todos los sistemas de cómputo que estén operando; de sus programas fuentes y ejecutables; archivos de entrada y de salida; bases de datos utilizadas; manuales de usuario, operación y mantenimiento; así como una evaluación sobre la sensibilidad de estos ante los riesgos que trae consigo el inicio del nuevo siglo.

Establecimiento de prioridades. Con base en el paso anterior, el equipo de trabajo deberá establecer un orden de prioridades que permita atender de acuerdo con su importancia todas las aplicaciones susceptibles de generar un riesgo para la entidad.

Determinación de los recursos necesarios. Se debe realizar una evaluación de los recursos necesarios para que la organización haga frente a los diferentes problemas que se generan con el cambio de siglo. La junta directiva de cada entidad debe asegurar la asignación de los fondos y los recursos indispensables para llevar a cabo el plan de acción.

Término para la elaboración del plan. El plan de acción para hacer frente a los diferentes problemas que se generan a raíz del cambio de milenio, deberá estar terminado a más tardar el 31 de diciembre de 1997, fecha a partir de la cual deben estar a disposición de esta superintendencia.

4.2. Desarrollo del plan

Evaluación de alternativas. El plan institucional deberá iniciarse con la determinación sobre si los sistemas de información, archivos y bases de datos con que actualmente cuenta la organización deben ser modificados, reemplazados, subcontratados o descontinuados, así como el costo de este proceso. Esta evaluación deberá seguir el orden prioritario establecido por el equipo de trabajo en el plan de acción.

Evaluación de proveedores. Cuando la alternativa de solución implique el reemplazo o subcontratación, la entidad debe asegurarse de que tanto los sistemas de cómputo como el software ofrecido por las empresas de servicios y vendedores externos, enfrenten de una manera adecuada los problemas inherentes al inicio del nuevo siglo.

4.3. (Modificada).* Implantación

Inicio de labores de acuerdo con el orden de prioridades. El proceso de ajuste en la entidad debe iniciarse mediante la implantación sistemática de los cambios, de acuerdo con un orden prioritario determinado por su nivel de riesgo. De esta manera, la institución seguirá los pasos adecuados para garantizar que las actividades primordiales para el funcionamiento del negocio continúen, incluso en el caso en que los proveedores externos no logren cubrir los requerimientos del inicio de un nuevo siglo.

Proyectos piloto. Se deben iniciar proyectos piloto que permitan identificar problemas y encontrar soluciones.

Pruebas y simulación de soluciones. Se deben efectuar revisiones posteriores al inicio del plan de acción, que aseguren la integridad y funcionalidad de los sistemas modificados. Así mismo deben realizarse auditorías que garanticen el desarrollo adecuado del plan de acción, revisando, aprobando y estableciendo puntos de chequeo.

Término para el desarrollo e implantación de soluciones. La fecha estipulada para la terminación de estas modificaciones es diciembre 31 de 1998. De esta manera, las entidades contarán con todo el año de 1999 para la realización de pruebas y toma de correctivos.

(Nota: Modificada en su último párrafo por la Circular Externa 96 de 1998 de la Superintendencia Bancaria).

5. Consideraciones generales

Dada la complejidad de los problemas a los cuales se enfrentan los sistemas de cómputo de las entidades vigiladas con la llegada del nuevo milenio y lo grave de las consecuencias que se pueden generar de no tomarse una acción oportuna, esta superintendencia iniciará a partir de enero de 1999 visitas periódicas a las diferentes entidades vigiladas con el fin de realizar un seguimiento de los procesos que cada institución este empleando a fin de dar solución a los problemas aquí planteados.

Finalmente, la inobservancia de las instrucciones aquí impartidas, dará lugar a las sanciones de que tratan los artículos 209 y 211 del estatuto orgánico del sistema financiero.

La presente circular rige a partir de la fecha de su publicación.

ANEXO TÉCNICO

Manual de seguimiento y control

1. Introducción

Este manual de seguimiento y control es para uso general de todas las entidades vigiladas por esta superintendencia, y ayudará al equipo de trabajo de cada entidad, a determinar si la institución está enfrentando los problemas del cambio de siglo de una manera adecuada.

2. Objetivos

• Determinar si la organización cuenta con un plan efectivo para identificar, renovar, probar e implantar soluciones a los problemas inherentes al año 2000.

• Dirigir de una manera efectiva los esfuerzos en el plan de acción de la organización.

• Determinar si la organización ha coordinado de manera coherentemente sus esfuerzos con proveedores y clientes.

• Identificar dónde se deben tomar los correctivos más severos para asegurar un nivel apropiado de atención a los cambios requeridos por la llegada del año 2000.

3. Aspectos generales a tener en cuenta

3.1. Determinar si la junta directiva y la alta gerencia de la institución son conscientes de los riesgos a que se enfrenta la institución como consecuencia del cambio de milenio.

3.2. Determinar si la alta gerencia ha desarrollado un plan para asegurar la compatibilidad de los sistemas de computación de la entidad con el año 2000.

3.3. Verificar que la evaluación realizada incluya todos aquellos sistemas manejados por computador tales como; sistemas contables y financieros, administrativos, cajeros automáticos, de transacciones electrónicas, de comunicaciones, de manejo electrónico de documentos y archivos, de control de bóvedas, de seguridad, y en general cualquier aplicación que utilice la variable fecha como parámetro para realizar alguna operación.

3.4. Promover la comunicación continúa de la organización con los proveedores de software y hardware para verificar su progreso en la implantación de soluciones hacia el cambio de milenio.

3.5. Establecer una revisión de los contratos con vendedores externos de software a fin de determinar sus riesgos ante el cambio de milenio, la responsabilidad de los vendedores en cuanto actualización y compatibilidad con el nuevo siglo, y verificar la inclusión de cláusulas que contemplen la compatibilidad de los productos ofrecidos con el nuevo milenio y que consideren el año 2000 como año bisiesto.

3.6. Determinar si la alta gerencia ha realizado una evaluación adecuada de las capacidades técnicas y financieras de sus proveedores de hardware y software, que garanticen el cumplimiento, por parte de estos últimos, de los requerimientos exigidos por el cambio de milenio.

3.7. Evaluar continuamente el estado del plan de acción, incluyendo las barreras que representen una amenaza potencial en su desarrollo, y las estrategias para enfrentarlas.

3.8. Ante la evidencia de que el proveedor de software y hardware de la organización no cumpla con los requerimientos del cambio de milenio, es necesario determinar:

• Qué aplicaciones, de aquellas que se verán afectadas, estarán completamente modificadas antes de diciembre 31 de 1998, a fin de realizar las pruebas necesarias.

• Qué aplicaciones relevantes en el funcionamiento de la organización no alcanzarán a ser actualizadas antes del año 2000.

• De qué manera la alta gerencia se ha anticipado a los efectos que tendría sobre el plan de acción, el no alcanzar a actualizar todos los sistemas antes de diciembre 31 de 1998.

• Cuáles son los planes de contingencia a seguir, en la eventualidad de no alcanzar a una actualización en los sistemas de la organización antes de diciembre 31 de 1998.

• Que no obstante existan planes de contingencia adecuados, el de enero del año 2000 pueden generarse problemas de incompatibilidad en los sistemas.

3.9. Promover una continua comunicación entre la alta gerencia y los grandes clientes corporativos sobre los problemas potenciales a que se verán enfrentadas ambas entidades con el inicio del nuevo milenio, a fin de trabajar conjuntamente en los ajustes de los sistemas y requerimientos de información de ambas partes.

3.10. Determinar si la alta gerencia ha utilizado auditorías internas o externas para medir la efectividad de los controles asociados con los esfuerzos hacia el año 2000.

4. Actividades específicas a realizar

4.1. A nivel de auditoría

4.1.2. Evaluar la independencia de la función del personal interno y externo involucrado en las auditorías a los procesos del año 2000.

4.1.3. Revisar los planes y presupuestos de auditoría establecidos hasta 1999, con el fin de identificar los requerimientos para enfrentar el cambio de siglo. Determinar si estos planes han sido basados en un inventario formal de todos los sistemas afectados.

4.1.4. Determinar si la auditoría está lo suficientemente involucrada en el problema de cambio de siglo para asegurar un adecuado monitoreo del plan de acción. Así mismo, se deben establecer la frecuencia y forma de comunicación de los auditores con la junta directiva.

4.2. A nivel de gerencia

4.2.3. Con base en discusiones con la alta gerencia y en la revisión de las actas de las reuniones llevadas acabo para hacer frente al problema del cambio de siglo, se debe evaluar la cobertura del plan de acción a fin de asegurar una completa compatibilidad de los sistemas con los requerimientos del año 2000. Determinar si la alta gerencia ha:

• Realizado un inventario completo de todos los sistemas de la organización.

• Identificado todos aquellos sistemas que requieren una modificación.

• Evaluado varias alternativas para hacer frente al cambio de siglo.

• Elaborado un orden prioritario de acuerdo con la importancia de cada aplicación.

• Considerado los efectos del año 2000 en todas las aplicaciones de la organización.

• Considerado los efectos del año 2000 en fusiones y adquisiciones.

• Tenido en cuenta todas las posibles barreras a fin de asegurar la terminación de los procesos de modificación en un plazo de tiempo adecuado.

• Establecido un plan de pruebas para las modificaciones.

• Asegurado la compatibilidad de todos los sistemas con los requerimientos del año 2000.

• Establecido y revisado un sistema efectivo de control interno sobre los esfuerzos hacia el año 2000.

• Evaluado las necesidades de los usuarios finales.

• Evaluado la necesidad de un plan de contingencias.

4.2.3. (sic) Determinar si la organización tiene personal con la suficiente experiencia técnica para hacer el software de la organización compatible con el nuevo milenio.

4.2.4. Determinar si la junta directiva y la alta gerencia se han mantenido informados de los progresos en el plan de acción, así como de los problemas encontrados especialmente en las fases de desarrollo e implantación.

4.2.5. Determinar si la junta directiva y/o la alta gerencia han establecido líneas claras de responsabilidad y autoridad en el plan de acción hacia el año 2000.

4.2.6. Determinar si el grupo de trabajo que labora en el plan de acción ha recibido el suficiente respaldo por parte de la junta directiva y la alta gerencia.

4.2.7. Revisar y evaluar el proceso de selección de los diferentes proveedores de software y hardware.

4.2.8. Revisar paulatinamente el proceso de conversión de la organización hacia el nuevo siglo.

4.3. En cuanto a los sistemas y la programación

4.3.1. Determinar si la organización ha evaluado la flexibilidad del hardware existente para afrontar cambios necesarios en el software.

4.3.2. Determinar cuales son los métodos que utilizará la entidad para afrontar los problemas de cálculo inherentes al nuevo siglo.

4.3.3. Evaluar si la organización ha dedicado el tiempo necesario para la realización de las pruebas del software modificado.

4.3.4. Determinar las herramientas y lenguajes de programación que utilizará la entidad.

4.3.5. Determinar la necesidad de desarrollar una aplicación que solucione los problemas comunes de los diferentes sistemas de información.

4.3.6. Describir cómo la organización mantendrá control interno sobre el software modificado.

4.3.7. Evaluar la coordinación entre la organización, sus proveedores de software y las otras entidades con quienes intercambiará información durante los períodos de prueba.

4.4. En las prácticas operativas

4.4.1. Revisar la evaluación realizada por la alta gerencia sobre los recursos demandados por el cambio de milenio en materia de sistemas operativos y sistemas de seguridad.

4.4.2. Evaluar las adecuaciones implantadas por la entidad en sus sistemas operacionales para continuar con sus actividades normales mientras se lleva a cabo el período de pruebas.

4.4.3. Describir la evaluación que la alta gerencia ha llevado a cabo sobre los efectos que producirán los cambios que, por el inicio del nuevo milenio, tengan lugar en la operación del negocio.

4.4.4. Revisar la evaluación llevada a cabo por la organización sobre el impacto que el plan de acción tendrá en la continuidad de los negocios de la entidad.

5. Conclusiones

5.1. Preparar un reporte sobre la evaluación tratando los siguientes puntos:

• Capacidad de los sistemas actuales vs los requerimientos del año 2000.

• Efectividad de la alta gerencia en su manejo del plan de acción hacia el año 2000.

• Eficiencia del plan de acción para identificar, corregir, probar e implantar soluciones para el cambio de siglo.

• Metodología utilizada para solucionar el problema de cambio de fechas en al año 2000.

• Estado actual del plan de acción, así como la capacidad de la entidad para completar los cambios correspondientes antes de diciembre 31 de 1998.

• Efectividad de la alta gerencia para coordinar los requerimientos del cambio de milenio con sus proveedores de hardware y software, clientes corporativos y otras entidades con quien intercambie información.

• Efecto que tiene el plan de acción sobre aspectos tales como las utilidades, capital y liquidez.

• Efectividad de las labores de auditoría y su adecuación de controles internos para el plan de acción del año 2000.

5.2. Preparar las recomendaciones correspondientes para asegurar un desempeño adecuado de la entidad en su plan de acción hacia el año 2000.

5.3. Resumir las fortalezas y debilidades del plan de acción.

5.4. Discutir las conclusiones con los ejecutivos de alto nivel de la entidad responsables del plan de acción.

N. del D.: Esta circular va dirigida a los representantes legales y revisores fiscales de las entidades vigiladas.

______________________________