9 de junio de 1998 CIRCULAR CNBS No. 008/98 CIRCULAR ENVIADA AL SISTEMA FINANCIERO Y ASEGURADOR Estimados señores: Nos permitimos transcribir a usted, la Resolución adoptada por la Comisión Nacional de Bancos y Seguros, que literalmente dice: “RESOLUCIÓN No.203/02-06-98. La Comisión Nacional de Bancos y Seguros, CONSIDERANDO: Que de conformidad con lo establecido en el Artículo 13, numerales 2 y 11 de su Ley Orgánica, le corresponde a la Comisión Nacional de Bancos y Seguros dictar las normas que se requieran para revisar, verificar, controlar, vigilar y fiscalizar las instituciones supervisadas, así como emitir normas generales para la presentación de cuentas a fin de que las instituciones supervisadas proporcionen al público información suficiente, veraz y oportuna sobre su situación jurídica, económica y financiera. CONSIDERANDO: Que la llegada del año 2000 producirá formulaciones con resultados inexactos en los sistemas contables, financieros y administrativos, con el consiguiente impacto en los cajeros automáticos, transacciones electrónicas, comunicaciones, manejo electrónico de documentos y archivos, control de bóvedas, seguridad, y en general, en cualquier aplicación que utilice la variable fecha como parámetro para realizar alguna operación. CONSIDERANDO: Que el desconocimiento o falta de diligencia en la anticipación y solución de los inconvenientes que ocasionará el cambio de milenio en los sistemas de información podría generar problemas al Sistema Financiero y Asegurador, al utilizar la variable donde se especifica una fecha determinada como base de cálculo en fórmulas programadas en los sistemas de información de los computadores centrales, redes computacionales, sistemas de comunicaciones y computadores personales. CONSIDERANDO: Que con el propósito de prever y subsanar inconvenientes que pudieran presentarse en los diversos sistemas de comunicación y cómputo, esta Comisión no obstante los esfuerzos y planes de acción que algunas instituciones han iniciado, ha estimado conveniente adoptar algunas medidas tendentes a minimizar los riesgos y situaciones que podrían presentarse en las instituciones supervisadas como consecuencia del cambio de milenio. Compendio de Normas Emitidas - CNBS Encuesta sobre problemas en los Sistemas Computacionales para el año 2000 POR TANTO: Con fundamento en lo establecido en los Artículos 4 de la Ley de Instituciones del Sistema Financiero; 13 Numerales 2 y 11 de su Ley Orgánica y 48 y 52, literal k) de la Ley de Instituciones de Seguros, en sesión celebrada el 2 de junio de 1998, resolvió: 1. Recomendar al Sistema Financiero y Asegurador ante la proximidad del año 2000, estar atento y evaluar los probables riesgos a los cuales se verá enfrentado como consecuencia de las implicaciones que para los códigos de programación representa el inicio del nuevo milenio. 2. Con el propósito de realizar una evaluación de los riesgos potenciales identificados, las instituciones supervisadas deberán desarrollar un plan de acción apropiado que contenga, al menos, los siguientes aspectos: 2.1. Establecer un equipo de trabajo encargado de diseñar y efectuar un plan institucional con miras al año 2000. 2.2 A fin de efectuar una estimación del impacto que tendrá el cambio de milenio en los sistemas de la Institución, realizar un inventario de todos los sistemas de cómputo que estén operando; programas fuentes y ejecutables; archivos de entrada y de salida; bases de datos utilizadas; manuales de usuario, operación y mantenimiento; así como una evaluación sobre la sensibilidad de éstos ante los riesgos que trae consigo el inicio del nuevo siglo. 2.3 El equipo de trabajo deberá establecer un orden de prioridades que permita atender de acuerdo con su importancia todas las aplicaciones susceptibles de generar un riesgo para la institución. 2.4 Realizar una evaluación de los recursos necesarios para que la sociedad haga frente a los diferentes problemas que se generan con el cambio de siglo. La Junta Directiva de cada institución debe asegurar la asignación de fondos y los recursos indispensables para realizar el plan de acción. 2.5 El plan para hacer frente a los diferentes problemas que se generan por el cambio de milenio, deberá estar finalizado a mas tardar el 30 de septiembre de 1998, fecha a partir de la cual deben estar a disposición de esta Comisión. 3. El plan institucional deberá iniciarse con la determinación sobre si los sistemas de información, archivos y bases de datos con que actualmente cuenta la organización deben ser modificados, reemplazados, subcontratados o descontinuados, así como el costo de este proceso. Cuando la alternativa de solución implique el reemplazo o subcontratación, la entidad debe asegurarse que tanto los sistemas de cómputo como el software ofrecido por las 1 de 2 9 de junio de 1998 empresas de servicios o vendedores externos, enfrentan de una manera adecuada los problemas que se generan a raíz del cambio de milenio. 4. El proceso de ajuste en la entidad debe ser iniciado mediante la implantación sistemática de los cambios de acuerdo con un orden prioritario determinado por su nivel de riesgo; por consiguiente, se deben iniciar proyectos pilotos que permitan identificar problemas y encontrar soluciones. Asimismo, se deben efectuar revisiones posteriores al inicio del plan de acción, que aseguren la integridad y funcionalidad de los sistemas modificados; además, deben realizarse auditorías que garanticen el desarrollo adecuado del plan de acción, revisando, aprobando y estableciendo puntos de comprobación. La fecha estipulada para la terminación de estas modificaciones es el 30 de junio de 1999; de esta manera, las entidades contarán con seis meses de 1999 para la realización adicional de pruebas y correcciones. 5. En consideración a la complejidad de los problemas que enfrentan los sistemas de cómputo de las instituciones supervisadas con la llegada del año 2000 y lo grave de las consecuencias que se pueden generar de no tomarse una acción oportuna, esta Comisión, independientemente de las inspecciones efectuadas y de las que tiene planificadas realizar durante el presente año, iniciará a partir de enero de 1999, visitas periódicas al Sistema Financiero y Asegurador con el propósito de realizar un seguimiento de los procesos que cada entidad este empleando a fin de dar solución a sus diversos problemas como consecuencia del cambio de milenio. Encuesta sobre problemas en los Sistemas Computacionales para el año 2000 ENCUESTA SOBRE PROBLEMAS EN LOS SISTEMAS COMPUTACIONALES PARA EL AÑO 2000 (A2K) Y ACTIVIDADES EFECTUADAS POR EL SISTEMA FINANCIERO PARA SOLVENTARLOS 1. ¿Se mantiene actualizado un inventario del software, interfaces, sistemas operativos, aplicaciones de terceros y hardware que cumple o no con el requerimiento para el año 2000? 2. ¿Han sido identificados por la Institución, las repercusiones y los riesgos asociados que ocasionará el cambio de milenio, así como su impacto sobre toda la cadena de negocios? 3. ¿Se posee personal permanente con conocimientos técnicos actualizados sobre el A2K, así como personal calificado para revisar la calidad y eficiencia de los planes del año 2000? 4. ¿Posee la Institución un plan relacionado con el proyecto del año 2000, así como la designación de una persona responsable y su equipo de trabajo? (Detallar nombres y puestos). 5. En el caso que la Institución mantenga un proyecto sobre el A2K, indicar las fases y estado de ejecución de las mismas. 6. ¿Se poseen recursos financieros aprobados para hacerle frente al problema del A2K o en caso afirmativo, en qué cuantía? 7. ¿Ha elegido la Institución una estrategia (reprogramación, sistemas nuevos, mezcla) para resolver el impacto del año 2000? 6. Con el propósito de conocer y evaluar los inconvenientes que producirá el cambio del milenio en el procesamiento electrónico de información del Sistema Financiero y Asegurador, se adjunta encuesta sobre problemas en los sistemas computacionales y las actividades efectuadas por el sistema supervisado para solventarlos, la que deberá ser respondida dentro de un plazo de hasta el 15 de julio de 1998. 8. ¿Posee la Institución los programas fuente para modificarlos en caso que fuera necesario para cumplir los requerimientos del cambio de milenio? Cualquier consulta sobre el particular será atendida por la División de Informática de esta Comisión en el teléfono 237-7979 extensiones 813, 814 y 816.” 11. ¿Contienen alguna cláusula especial para cumplimiento del año 2000 los contratos que respaldan nuevas compras de software y hardware? Atentamente, 12. ¿Tiene conocimiento la Institución de las acciones tomadas por los proveedores de bienes o servicios con relación al problema del año 2000? 9. ¿Ha sido definida una estrategia de pruebas de los sistemas convertidos para el cumplimiento del A2K? 10. ¿Posee la Institución herramientas de conversión y de pruebas para el año 2000? FERNANDO VEGA Presidente 13. ¿Posee la Institución un plan de contingencia que contenga los procedimientos para asegurar la continuidad de las operaciones en caso de interrupciones del sistema por problemas del A2K? JUAN CARLOS PEREZ CADALSO Comisionado Suplente y Secretario a.i. 14. ¿Ha realizado la Institución pruebas del plan de contingencia? Compendio de Normas Emitidas - CNBS 2 de 2