Circular externa 004 de 1999/03/19
Señores
Representantes Legales, Miembros
de Juntas Directivas y Revisores Fiscales de las entidades sujetas a la
inspección y vigilancia de la Superintendencia de Valores
Asunto: Plan de pruebas, mitigación del impacto, plan
de contingencias y certificación de cumplimiento del año
2000.
Apreciados señores:
Como se ha debido considerar desde la expedición de la Circular Externa 009 de 1997 y como lo solicita la Circular Externa No. 001 de 1999, las entidades sujetas a la inspección y vigilancia de la Superintendencia de Valores (bolsas de valores, sociedades administradoras de depósitos centralizados de valores, sociedades calificadoras de valores, sociedades comisionistas de bolsa, sociedades comisionistas independientes, sociedades administradoras de fondos de inversión, fondos de garantías de las bolsas de valores y fondos mutuos de inversión -a partir de la Circular Externa No. 017 de 1998-) deben incluir como parte de su plan de trabajo pruebas sobre todos sus sistemas susceptibles de verse afectados por el problema del año 2000, deben elaborar o ajustar sus planes de contingencia a los posibles siniestros que pueda ocasionar el cambio de milenio y deben documentar todas las actividades desarrolladas a lo largo del proyecto.
A continuación se indican los aspectos que se deben considerar para la ejecución de los puntos mencionados y del informe que sobre su realización deberán presentar a la Superintendencia de Valores los representantes legales y los revisores fiscales de las entidades vigiladas.
La consideración de todos los aspectos que se mencionan en la fase de pruebas y plan de contingencia es decisiva dentro del proceso que tiene que seguir toda entidad para lograr la operación continua de los sistemas críticos y, por lo tanto, la operación continua y normal del negocio.
1. PRUEBAS
Como lo expresa la Circular Externa 001, "la simple certificación de cumplimiento del año 2000, de uno o todos los proveedores de bienes o servicios no constituye garantía de cumplimiento e infalibilidad de la entidad vigilada frente al problema del año 2000".
Se deben realizar pruebas que confirmen que el elemento en cuestión (aplicación, base de datos, computadores, etc.) funcionando en las condiciones en que opera y operará en los próximos años, procesará de manera adecuada la información, en particular los campos tipo fecha.
1.1 PLAN DE PRUEBAS
Para la realización de las pruebas la entidad deberá formular y ejecutar un plan de pruebas, con al menos las siguientes características:
1. Documentado.
2. Aprobado por el grupo de trabajo del proyecto Año 2000.
3. Aprobado por los directivos, incluyendo
la asignación de todos los recursos
necesarios
para la realización de las pruebas: instalaciones, funcionarios,
equipos
adicionales,
costos, etc.
4. Grupo de pruebas. Además de
los técnicos y responsables de coordinar las pruebas, es
necesario
que participen los usuarios responsables de la operación de cada
uno de los
sistemas.
5. Cronograma. Se deberá elaborar
considerando todos los pasos que se deben ejecutar en
la realización
de las pruebas.
6. Elementos a probar. Se deberán
probar todos los elementos considerados como críticos
para la operación
normal de la entidad: computadores, aplicaciones (desarrolladas o
adquiridas),
redes y comunicaciones y otros elementos.
7. Tipo de prueba. Cada elemento considerado
como crítico se deberá probar en forma
independiente.
Además, se deberá probar integrado con los demás elementos
con los
cuales interactúa.
8. Preparación del ambiente de
pruebas (equipos, bases de datos, etc.): ambiente de
producción
en jornadas no hábiles, equipos de respaldo, toma de backups de
datos y
aplicaciones,
etc. Si no se afectan los sistemas en producción, es altamente deseable
que
las pruebas
se realicen en ese ambiente. De lo contrario, se deberán hacer en
un
ambiente equivalente
al de producción.
9. Forma en la cual participarán los proveedores o terceros, si es que se requiere.
10. Preparación de los datos de prueba.
11. Preparación de los procesos a ejecutar.
12. Controles de auditoría a aplicar.
13. El revisor fiscal deberá participar en la realización de las pruebas.
14. Criterios de aceptación o rechazo de los resultados alcanzados.
15. Aceptación de los usuarios de cada sistema.
16. Procedimiento de retorno a la operación normal, luego de efectuadas las pruebas.
17. Pruebas por cambios. Si se prevé
la necesidad de cambiar o actualizar algún elemento
ya probado, se deberá definir y aplicar un conjunto reducido
de pruebas que
garantice que el cambio realizado
no afectará el cumplimiento de los sistemas ya
probados.
1.2 FECHAS A PROBAR
En las pruebas se deberá simular la operación de los sistemas críticos para la entidad, en los días en los cuales se podrían presentar problemas por el manejo de las fechas. Cada entidad deberá determinar las fechas a probar, pero al menos se deberán realizar simulaciones y operaciones sobre las siguientes fechas:
1. 9 de septiembre de 1999
2. 31 de diciembre de 1999
3. 3 de enero del 2000
4. 29 de febrero del 2000
5. 1 de marzo del 2000
6. 31 de diciembre del 2000
7. 1 de enero del 2001
Si las pruebas ya se realizaron y no se incluyó
alguna de las fechas mencionadas, la simulación para ese día
se podrá realizar con un conjunto reducido de participantes, probando
solamente los procesos más importantes de los sistemas críticos
de la entidad.
1.3 DOCUMENTACION
De todo el proceso de pruebas se deberá dejar constancia documental, que incluya al menos:
1. Plan de pruebas
2. Para cada sistema probado:
2.1 Descripción de la prueba realizada
2.2 Fechas probadas
2.3 Grupo de trabajo que adelantó la prueba
2.4 Descripción del ambiente en el que se adelantaron las pruebas
2.5 Datos de prueba
2.6 Datos generados en las pruebas
2.7 Resultados esperados
2.8 Verificación del grupo de trabajo de los resultados generados
2.9 Justificación de la aceptación o rechazo del sistema para operar en el año 2000
2.10 Planeación de los ajustes y nuevas pruebas,
si es necesario
2. IMPLANTACION
Si las pruebas de los sistemas críticos fueron realizadas en un ambiente diferente al de producción, la entidad deberá implantar y tener en operación los sistemas probados a mas tardar el 30 de junio de 1999.
En cualquier caso, el primero de julio de 1999 la entidad deberá estar operando con los sistemas ya probados y aceptados en la fase de pruebas. El segundo semestre de 1999 no puede ser un período de ajustes, pruebas o migración a un sistema probado. Debe transcurrir como un período de maduración y estabilización en los sistemas de la entidad.
No se deberán cambiar de versiones de software
o de hardware, a menos que ello sea estrictamente indispensable para continuar
con la operación normal de la entidad. Si se modificaran o reemplazaran
elementos ya probados, la entidad deberá realizar pruebas para al
menos alguna de las fechas del año 2000 señaladas en el numeral
1.2 de este documento.
3. MITIGACION DE IMPACTO
Es un proceso preventivo que busca identificar y minimizar aquellos riesgos que pueden afectar la operación normal de la entidad, desde una perspectiva empresarial. La parte tecnológica representa simplemente uno más de los riesgos a los que se tiene que enfrentar una entidad vigilada por el cambio de milenio. La mitigación de este riesgo se logra ajustando y probando los sistemas de información o electrónicos susceptibles de verse afectados y elaborando un plan de contingencia que permita la operación continua del negocio cuando se presente un problema técnico.
Sin embargo, en torno de una sociedad están latentes otros riesgos tales como:
1. Falta de confianza de los clientes
en la entidad, por creer que no se encuentra preparada
para el año
2000. En ocasiones esta falta de confianza se puede originar por una
deficiente
o mala información suministrada por un funcionario de la misma entidad
vigilada.
2. Falta de preparación de los
principales clientes corporativos o socios comerciales o
empresas patrocinadoras
para el año 2000.
3. Concentración de los principales
clientes corporativos o socios comerciales en sectores
de alto riesgo
o con una alta probabilidad de ser impactados por el problema del año
2000.
4. Inversiones en entidades que no se han preparado para el año 2000.
5. Concentración de las inversiones realizadas en sectores de alto riesgo.
6. Factores macroeconómicos que
afecten la operación del negocio: liquidez, tasas de
interés,
tasas de cambio, etc.
Como se ve, los riesgos expuestos no tienen un origen técnico y sí pueden afectar el desarrollo normal de las actividades de la entidad.
Las entidades vigiladas deberán hacer un análisis
de estos posibles riesgos y plantear y desarrollar alternativas que minimicen
su posible impacto.
4. PLAN DE CONTINGENCIAS DE LOS SISTEMAS DE INFORMACION
Un plan de contingencias para los sistemas de información
es una guía que le indica a la entidad las acciones que se deben
ejecutar, para garantizar la continuidad operativa del negocio, cuando
se presenta un siniestro que afecta el procesamiento de información.
Toda entidad deberá contar con un plan de contingencia
con al menos las siguientes características:
1. Documentado. El plan se deberá
plasmar en un documento que pueda ser actualizado y
consultado
por todos los interesados.
2. Sencillo. Debe ser lo suficientemente
claro y sencillo para que pueda ser entendido por
las personas
encargadas de ponerlo en operación.
3. Concreto. El plan se debe diseñar
únicamente para mantener la operación de los
procesos críticos
del negocio.
4. Aprobado. El plan deberá ser
aprobado por el grupo de trabajo del proyecto año 2000 y
por los directivos
de la entidad.
5. Con recursos. La entidad deberá
disponer de los recursos físicos, técnicos, humanos,
presupuestales
y en general de todos aquellos definidos para una operación contingente.
6. Ejecutable. Las alternativas planteadas
para la operación en situaciones contingentes se
deben poder
poner en operación con los recursos destinados para ello, dentro
de los
plazos fijados.
7. Probado. El plan se debe probar y
se debe confirmar que se han considerado todos los
aspectos necesarios
para una operación contingente (backpus verificados de los datos,
versiones
reducidas de las aplicaciones, maquinas contingentes en operación
y con la
capacidad
requerida, contratos vigentes para instalaciones alternas, etc.).
8. Conocido. El plan deberá ser
conocido por todos los encargados de ejecutar los
procesos
contingentes y por aquellos que se pudieran ver afectados
por la contingencia.
El plan deberá cubrir al menos los siguientes
aspectos:
1. Definición del grupo encargado de ejecutar el plan.
2. Funciones del grupo de contingencias.
3. Funciones de cada miembro del grupo de contingencias.
4. Análisis de los eventos que pueden ocasionar interrupciones en la operación de los procesos críticos:
4.1 Predecibles:
- Año 2000
- Conflictos laborales
- Fallas en los equipos
- Desastres naturales: tormentas, terremotos, inundaciones, etc.
- Humanos: errores, retiro masivo de personal, saboteo, robo de elementos, fraude, etc.
- Otros: fallas en el suministro de energía, fallas en redes de transmisión de datos, incendios, etc.
enlaces de respaldo, etc.
6. Capacidad de los recursos alternos:
espacio en disco y memoria de los equipos, sistema
operacional
requerido, velocidad de las impresoras, número de líneas
alternas de
comunicación,
espacio físico requerido, etc.
7. Procedimientos para determinar y activar el plan
7.1 Revisión del hardware
7.2 Revisión del software
7.3 Revisión del ambiente de comunicaciones
7.4 Revisión de otros sistemas
7.5 Determinación del tiempo que tomará corregir el problema presentado
7.6 Activación del plan de contingencias.
Si el tiempo de reparación es mayor que el
definido como aceptable para operar sin un sistema crítico.
8. Actividades a realizar cuando se declare la contingencia
8.1 Generales: informar a los
directivos, clientes afectados, avisar al centro alterno de
soporte si es necesario, solicitar los backups almacenados externamente
si es
necesario, avisar a la compañía de seguros, etc.
8.2 Particulares por equipo o aplicación:
instalar el software operativo y aplicativo,
montar el último backup de datos, traslado a la instalación
alterna, utilizar formatos de
contingencia, imprimir listados, etc.
9. Información que se requiere
para activar el plan: backups del manejador de la base de
datos, parámetros
de los sistemas, bases de datos, copias en medio magnético de las
aplicaciones,
manuales, etc.
10. Regreso a la operación normal:
evaluar condiciones para el regreso, instalar últimas
versiones del software y de los datos, etc.
5. INFORMES
Con el propósito de verificar el rigor, formalidad, cobertura y por ende la calidad de las pruebas realizadas y del plan de contingencia formulado, los representantes legales y los revisores fiscales de las entidades vigiladas deberán diligenciar y remitir los anexos No. 1 y 2 de esta circular, a mas tardar el 15 de julio de 1999, a la Delegatura para Intermediarios y demás Entidades Vigiladas. Estos anexos se deberán enviar junto con la certificación solicitada en la Circular Externa 001 del 15 de enero de 1999 (anexo 2), firmada por el representante legal.
En todo caso, el Revisor Fiscal, en su informe y dictámen
que emita en relación con el próximo cierre contable, deberá
pronunciarse sobre el rigor, formalidad, cobertura y en general sobre la
calidad de las pruebas realizadas, y sobre si de esas mismas pruebas o
de cualquier otra situación que él advierta, adicional a
lo establecido en esta circular, se colige la existencia de cualquier circunstancia
que pueda conducir a establecer problemas para el mantenimiento del normal
funcionamiento de la entidad, con relación al problema del año
2000. Lo anteriormente mencionado deberá ser suficientemente revelado
por el revisor fiscal en su informe.
Cordialmente,
JORGE GABRIEL TABOADA HOYOS
Superintendente de Valores
Tipo y código de entidad __________________________________________________
Nombre de la entidad __________________________________________________
1. ¿La entidad cuenta con un plan de pruebas documentado?
2. ¿El plan fue aprobado por el grupo de trabajo
del proyecto Año 2000?
3. ¿El plan fue aprobado por los directivos, incluyendo
la asignación de todos los recursos necesarios para la realización
de las pruebas: instalaciones, funcionarios, equipos adicionales, costos,
etc.?
4. ¿Cuales fueron los miembros del grupo de pruebas,
cual es el cargo de cada uno de ellos dentro de la entidad y cual fue su
responsabilidad dentro de las pruebas realizadas? (incluya a los usuarios
finales)
5. ¿Se elaboró un cronograma para la realización
de las pruebas?
6. ¿Se probaron todos los elementos considerados
como críticos para la operación normal de la entidad?
7. ¿Cada elemento considerado como crítico
se probó en forma independiente?
8. ¿Cada elemento considerado como crítico
se probó integrado a los demás elementos con los cuales interactúa?
9. ¿Se probó el hardware?
10. ¿Se probó el software (sistemas operacionales,
bases de datos, etc.)?
11. ¿Se probaron las aplicaciones consideradas
como críticas?
12. ¿Se probaron los elementos de red y comunicaciones?
13. ¿Se probaron los otros elementos críticos?
14. Describa de manera general la forma como se realizaron
las pruebas, indicando en que ambiente se hicieron (producción,
contingencias, otra instalación, etc.).
15. ¿Los proveedores o terceros participaron en
las pruebas? Si la respuesta es afirmativa indique quiénes lo hicieron
y cuál fue su participación en las pruebas.
16. ¿Se prepararon los datos de prueba?
17. ¿Se prepararon los procesos a ejecutar?
18. ¿Se prepararon y aplicaron controles de auditoría?
19. ¿De que manera participó el revisor
fiscal en la realización de las pruebas?
20. ¿Se definieron y aplicaron los criterios de
aceptación o rechazo a los resultados alcanzados en las pruebas?
21. ¿Falta algún sistema crítico
por probar o los resultados de las pruebas de alguno de los sistemas no
han sido satisfactorios? Si la respuesta es afirmativa, indique de cual
sistema y las acciones planeadas para su solución.
22. ¿Si fue necesario, se llevó a cabo
satisfactoriamente el procedimiento de retorno a la operación normal,
luego de efectuadas las pruebas?
23. ¿Cuáles fechas fueron probadas o simuladas?
24. ¿Los usuarios de cada sistema dieron su aceptación
a los resultados de las pruebas?
DOCUMENTACION
¿Para cada sistema probado se tiene la siguiente
documentación?
25. ¿Descripción de la prueba realizada?
26. ¿Fechas probadas?
27. ¿Grupo de trabajo que adelantó la prueba?
28. ¿Descripción del ambiente en el que
se adelantaron las pruebas?
29. ¿Datos de prueba?
30. ¿Datos generados en las pruebas?
31. ¿Resultados esperados?
32. ¿Verificación del grupo de trabajo
de los resultados generados?
33. ¿Justificación de la aceptación
o rechazo del sistema para operar en el año 2000?
34. ¿Planeación de los ajustes y nuevas
pruebas? (La respuesta debería ser negativa, a menos que los resultados
de las pruebas no hayan sido satisfactorios)
IMPLANTACION
35. ¿Los sistemas probados ya se encuentran en
producción? Si la respuesta es negativa, indique la causa y cuando
lo estarán.
____________________________
________________________________
REPRESENTANTE LEGAL
REVISOR FISCAL
Nombre:
Nombre:
Tipo y código de entidad __________________________________________________
Nombre de la entidad __________________________________________________
1. ¿La entidad cuenta con un plan de contingencias
documentado?
2. ¿El plan contempla la operación contingente
de los procesos críticos del negocio?
3. ¿El plan fue aprobado por el grupo de trabajo
del proyecto año 2000 y por los directivos de la entidad?
4. ¿La entidad cuenta con los recursos físicos,
técnicos, humanos, presupuestales y en general de todos aquellos
definidos para una operación contingente?
5. ¿Las alternativas planteadas para la operación
en situaciones contingentes pueden poner en operación con los recursos
destinados para ello, dentro de los plazos fijados?
6. ¿El plan se ha probado?
7. ¿Las pruebas efectuadas indican que el plan
si se podría poner en operación?
8. ¿El plan ya se dio a conocer a todos los encargados
de ejecutar los procesos contingentes y a aquellos que se pudieran ver
afectados por la contingencia?
9. ¿Se definió el grupo encargado de ejecutar
el plan?
10. ¿Se definieron las funciones del grupo de
contingencias?
11. ¿Se definieron las funciones de cada miembro
del grupo de contingencias?
12. ¿Se consideraron y analizaron los eventos
que pueden ocasionar interrupciones en la operación de los procesos
críticos?
13. ¿Se consideraron los posibles siniestros que
puede ocasionar el año 2000?
14. ¿Se definieron las alternativas de solución?
(centro alterno de procesamiento, equipos de respaldo, enlaces de respaldo,
etc.)
15. ¿Se definió la capacidad de los recursos
alternos? (espacio en disco y memoria de los equipos, sistema operacional
requerido, velocidad de las impresoras, número de líneas
alternas de comunicación, espacio físico requerido, etc.
16. ¿Se consideraron los procedimientos para determinar
y evaluar las causas del siniestro y activar el plan?
17. ¿Para cada sistema crítico se definió
el tiempo aceptable para operar sin sistemas de información?
18. ¿Se definieron las actividades a realizar
cuando se declare la contingencia?
19. ¿Se ha identificado la información
que se requiere para activar el plan y se tiene copia de ella en un lugar
seguro? (backups del manejador de la base de datos, parámetros de
los sistemas, bases de datos, copias en medio magnético de las aplicaciones,
manuales, etc.)
20. ¿Se definieron los procedimientos para regresar
a la operación normal, una vez superada la contingencia?
____________________________
________________________________
REPRESENTANTE LEGAL
REVISOR FISCAL
Nombre:
Nombre:
Última modificación 29/10/2012