CIRCULAR EXTERNA 50 DE 1997 

(Diciembre 10)

Asunto. Plan de acción y medidas a tomar por parte de las entidades vigiladas con el propósito de evitar los problemas que se ocasionarán en los sistemas computacionales por el cambio de milenio.

De conformidad con lo estipulado en el Decreto 1259 de 1994, artículo 3º, numeral 6, le corresponde a la Superintendencia Nacional de Salud la adopción de políticas de inspección y vigilancia encaminadas a permitir que los entes vigilados centren su actividad en la evolución de sanas prácticas y desarrollos tecnológicos que aseguren un crecimiento adecuado de las mismas.

En virtud de lo anterior y con el propósito de prever y subsanar los inconvenientes que se pueden presentar en los diferentes sistemas de información y cómputo de las entidades vigiladas ante el cambio de milenio, esta superintendencia ha estimado conveniente impartir las siguientes instrucciones, previa descripción de origen del problema, así como de los riesgos y situaciones que se podrían generar.

1. Descripción del problema.

Ante la proximidad del año 2000, las entidades vigiladas deberán estar alerta y evaluar los riesgos potenciales a los cuales se verán enfrentadas como consecuencia de las implicaciones que para los códigos de programación representa el inicio del nuevo milenio.

Cada organización que utilice sistemas de seguridad, centrales telefónicas, ascensores, sensores y todos los demás equipos y aplicaciones que usen un microchip, verán afectados sus sistemas de operación con la aproximación al “00” de la nomenclatura utilizada para la determinación de un año en particular. La mayoría de programas y sistemas operativos, se han desarrollado con un esquema de seis dígitos para el campo donde se especifica la fecha (AAMMDD). Este sistema de medición de tiempo es susceptible de devolverse a su punto inicial una vez alcance su límite máximo; es decir, que una vez se llegue al “00” del año 2000, el sistema reconocerá esta fecha como el año 1900.

Así mismo, el calendario actual señala el año como un posible período de 365,25 días, generándose cada cuatro años un año bisiesto producto de la acumulación de las fracciones remanentes; adicionalmente, el primer año de la cada siglo no se considera como año bisiesto, excepto cada cuatro siglos, como es el caso del año 2000. No obstante lo anterior, muchos fabricantes de software no han considerado este hecho.

2. Problema susceptible de presentarse.

La variable donde se especifica una fecha determinada se utiliza como base de cálculo en fórmulas programadas en los sistemas de los computadores centrales, redes computacionales, sistemas de comunicaciones y computadores personales. Con la llegada del año 2000, estas formulaciones producirán resultados inexactos en los sistemas contables, financieros, administrativos, sistemas de afiliaciones, manejo electrónico de documentos y archivos, y en general, en cualquier aplicación que utilice la variable fecha como parámetro para realizar alguna operación.

Así por ejemplo, en todos los procesos relacionados con el sistema general de seguridad social en salud, el no reconocimiento de las fechas impedirá la prestación del servicio de la salud en condiciones óptimas, en las diferentes entidades que se tienen esta función, causando vencimientos anticipados de afiliaciones, inexistencias de pagos de cotización, alteraciones en las estadísticas, etc.

3. Riesgos potenciales para la entidad vigilada.

El desconocimiento o la falta de diligenciar por parte de las entidades vigiladas en la anticipación y solución de los inconvenientes que ocasionará el cambio de milenio en los sistemas de información, podría generar, entre otros, los siguientes problemas:

• Parálisis temporal o permanente de los sistemas de información, incluso los de la institución.

• Importantes pérdidas de dinero por cálculos errados (v.g. en los sistemas de afiliación y pagos en los aportes parafiscales con destino a la salud, transferencias de los recursos del sector salud, calificación y recuperación de cartera, pagos de obligaciones y recaudos, planeación de flujos de caja, elaboración de estados financieros, etc.).

• Deterioro en la imagen de la institución y deficiencias en la prestación de los servicios.

• Incremento substancial en los costos del proceso de búsqueda de soluciones.

• Multas y sanciones que impongan las entidades de supervisión y control al no prestar oportunamente los servicios.

4. Plan de acción a implementarse.

Con el fin de lograr la compatibilidad de los sistemas de cómputo con el nuevo siglo, las entidades están en la obligación de evaluar los riesgos a los cuales se puede exponer y seguidamente implantar un plan de acción detallado.

Con el objetivo de realizar una evaluación adecuada de los riesgos potenciales identificados y de desarrollar un plan de acción apropiado, las entidades deberán considerar cuando menos los siguientes aspectos:

4.1. Elaborar el plan de trabajo

Conformación del equipo de trabajo. Se hace necesario establecer un equipo de trabajo, encargado de diseñar y llevar a cabo un plan institucional con miras al año 2000. Para esto, las entidades vigiladas deberán guiarse por el anexo técnico “manual de seguimiento y control”, adjunto a la presente circular.

Inventario detallado de hardware y software y análisis de sensibilidad. A fin de realizar una estimación del impacto que tendrá el cambio de milenio en los sistemas de la organización, se debe realizar un inventario de los sistemas de cómputo que estén operando; de sus programas fuentes y ejecutables; archivos de entrada y salida; bases de datos utilizadas; manuales de usuario, operación y mantenimiento; así como una evaluación sobre la sensibilidad de éstos ante los riesgos que trae consigo el inicio del nuevo siglo.

Establecimiento de prioridades. Con base en el paso anterior, el equipo de trabajo deberá establecer un orden de prioridades que permita atender, de acuerdo con su importancia, todas las aplicaciones susceptibles de generar un riesgo para la entidad.

Determinación de los recursos necesarios. Se debe realizar una evaluación de los recursos necesarios para que la organización haga frente a los diferentes problemas que se generan con el cambio de siglo. La junta directiva o la alta gerencia de cada entidad debe asegurar la asignación de los fondos y de los recursos indispensables para llevar a cabo el plan de acción.

Términos para la elaboración del plan. Para hacer frente a los diferentes problemas que se generan a raíz del cambio de milenio, el plan de acción, deberá estar terminado a más tardar el 31 de diciembre de 1997, fecha a partir de la cual deben estar a disposición de esta superintendencia, quien los podrá solicitar en cualquier momento, sin perjuicio de las visitas que programe con el fin de verificar el cumplimiento de las instrucciones impartidas.

En las entidades que cuenten con revisor fiscal, éste está en la obligación de verificar el cumplimiento del plan e informar a esta superintendencia sobre cualquier hecho o retraso que pudiera afectar la operación normal de la entidad, en el presente o en los próximos tres (3) años. En caso de no contar con revisor fiscal, el jefe de control interno o quien desarrolle estas funciones asumirá tal obligación.

4.2 Desarrollo del plan.

Evaluación de alternativas. El plan institucional deberá iniciarse determinando si los sistemas de información, archivos y bases de datos con que actualmente cuenta la organización deben ser modificados, reemplazados, subcontratados o descontinuados, así como el costo de este proceso. Esta evaluación deberá seguir el orden prioritario establecido por el equipo de trabajo en el plan de acción.

Evaluación de proveedores. Cuando la alternativa de solución implique el reemplazo o subcontratación, la entidad debe asegurar de que tanto los sistemas de cómputo como el software ofrecido por las empresas de servicios y vendedores externos, enfrenten de una manera adecuada los problemas inherentes al inicio del nuevo siglo.

4.3. Implantación

Inicio de labores de acuerdo con el orden de prioridades. El proceso de ajuste en la entidad debe iniciarse mediante la implantación sistemática de los cambios, de acuerdo con un orden prioritario determinado por su nivel de riesgo. De esta manera, la institución seguirá los pasos adecuados para garantizar que las actividades primordiales para el funcionamiento del negocio continúen, incluso en el caso en que los proveedores externos no logren cubrir los requerimientos del inicio de un nuevo siglo.

Proyectos piloto. Se deben iniciar proyectos piloto que permitan identificar problemas y encontrar soluciones.

Pruebas y simulación de soluciones. Se deben efectuar revisiones posteriores al inicio del plan de acción, que aseguren la integridad y funcionalidad de los sistemas modificados. Así mismo, deben realizarse auditorías que garanticen el desarrollo adecuado del plan de acción, revisando, aprobando y estableciendo puntos de chequeo.

Término para el desarrollo e implantación de soluciones. La fecha estipulada para la terminación de estas modificaciones es diciembre 31 de 1998. De esta manera, las entidades contarán con todo el año de 1999 para la realización de pruebas y toma de correctivos.

5. Bibliografía.

Para obtener mayor información sobre el problema del año 2000, conocer metodologías para su solución, evaluar si los microcomputadores pueden tener problemas, etc., puede consultar las siguientes páginas de internet.

http://www.intel.com/procs/support/year2000/index.htm 

http://www.ibm.com/IBM/year2000/ 

Buscando “year 2000”, con cualquier motor de búsqueda, encontrará información adicional.

6. Consideraciones generales.

Dada la complejidad de los problemas a los cuales se enfrentan los sistemas de cómputo de las entidades vigiladas con la llegada del nuevo milenio y lo grave de las consecuencias que se pueden generan de no tomarse una acción oportuna, esta superintendencia iniciará a partir de marzo de 1998 visitas periódicas a las diferentes entidades vigiladas, con el objeto de realizar un seguimiento de los procesos que cada institución esté empleando a fin de dar solución a los problemas aquí planteados.

Las entidades públicas deben garantizar la continuidad en los servicios, regularidad, igualdad y generalidad. Se debe prever que los documentos y papeles que le sean solicitados a la administración deben ser suministrados a quien los requiera.

Finalmente, la inobservancia de las instrucciones aquí impartidas, dará lugar a las sanciones de que trata el artículo 5º, numeral 23 del Decreto 1259 de 1994.

7. Vigencia.

Esta circular rige a partir de la fecha de su publicación.

N. del D.: Esta circular externa va dirigida a representantes legales, revisores fiscales y/o jefes de control interno de las entidades sujetas a la inspección, vigilancia y control de la Superintendencia Nacional de Salud.

_______