BANCO CENTRAL DE LA REPUBLICA ARGENTINA

COMUNICACION "A" 2654 (16/01/98). Ref: Circular RUNOR 1-257. Adecuación de los sistemas informáticos para su uso a partir del año 2000 (Comunicación "A" 2564).

B.O.: 03/02/98

A LAS ENTIDADES FINANCIERAS:

Nos dirigimos a Uds. con relación al tema de la referencia y con el objeto de que el sistema financiero se encuentre debidamente preparado para enfrentar el desafío que impone la llegada del año 2000.

Con respecto a la visión de esta problemática, se destaca que a través de la Comunicación "A" 2564 se ha alertado al sistema financiero sobre la necesidad de analizar el impacto del "año 2000en sus sistemas informáticos y tecnologías asociadas, y de adoptar las medidas conducentes para lograr que sean "Año 2000 compatible".

Por medio de esta comunicación se amplia el alcance del enfoque y se especifican aspectos que pueden requerir especial atención. Se describe además, la estrategia de supervisión que seguirá la Superintendencia de Entidades Financieras y Cambiarias (SEFyC) para verificar el proceso de planificación y ejecución de este proyecto, la que involucra tanto a los terceros proveedores de servicios de procesamiento de datos como a los proveedores de "software" y de "hardware".

En ese orden, se reitera que la preocupación del Banco Central responde a la necesidad de que se comprenda cabalmente las implicancias de esta coyuntura que coloca a la industria de la tecnología ante la mayor crisis que haya vivido en sus 50 años de historia, que ya ha puesto de manifiesto que los sistemas han comenzado a fallar cuando las operaciones sobrepasan el año 1999.

Ello porque muchos de esos sistemas guardan el año en formato de dos dígitos en lugar de cuatro, lo cual hace que, a medida que se acerca el fin del año 1999, virtualmente todos los sistemas tendrán el impacto del problema, habida cuenta de que los datos de computación normalmente están definidos en las bases de datos, archivos y programas, con formato de año/mes/día (AAMMDD), o con alguna otra variación de dicho formato.

Al respecto se recuerda que, cuando la mayoría de los sistemas de computación fueron creados, sus diseñadores definieron los datos relacionados con las fechas en años de dos dígitos, en lugar de cuatro, para ahorrar el costoso espacio de almacenamiento que esto implicaba en aquella época, lo cual determina que, en la mayoría de los sistemas de computación hoy existentes; el año "1997" se guarda como "97".

En consecuencia, a partir del "31 de diciembre de 1999", cuando un programa compare una fecha con otra, quedará distorsionado el concepto del manejo del tiempo en el computador, ya que el año "00" (2000) será interpretado como anterior al año "99" (1999) y, además, deducirá que hay una diferencia de 99 años entre uno y otro.

Por otra parte, les recalcamos que no solo el problema esta orientado a los sistemas de computación sino que también afecta a muchos dispositivos que contienen "chips" electrónicos con programación interna, como es el caso de los controles automáticos para apertura de bóvedas (tesoros), los controladores de acceso de personal. los "fax", los telex, las centrales telefónicas, etc.

A su vez, también puede causar efectos en las tareas de apoyo administrativo de la actividad bancaria, por ejemplo: las fórmulas que llevan pre-impresos los dígitos de la canturía "19...", como es el caso de muchos cheques y de otros instrumentos.

Asimismo, les señalamos que a pesar de los riegos que implica este tema. se suele caer en una serie de apreciaciones erróneas al enfrentarlo, como por ejemplo:

"Es solo un problema técnico, que se soluciona con arreglos poco significativos"

"Aún contamos con mucho tiempo"

"Los sistemas serán reemplazados antes del 2000"

"Se cumple con el 2000, pues todas las aplicaciones son nuevas"

"Se utilizará una solución de conversión automatice de programas y todo quedará solucionado"

"Se dará a un proveedor externo todo el proceso de conversión"

En ese sentido, se debe tomar conciencia de que el problema del "Año 2000" es real y afecta a todo el sistema financiero, ya que puede causar efectos antes de que este llegue y, más aún, antes de que se hayan finalizado los procesos de solución, respecto de lo cual muchos expertos creen que hasta las organizaciones mejor preparadas, encontrarán algunos problemas de instrumentación.

En ese contexto, la SEFyC quiere asegurarse que las entidades y cámaras compensadoras que integran el sistema financiero, puedan evitar desordenes graves y trabajará junto al sistema financiero para alcanzar esa meta.

A tal fin, se instrumentará un plan diseñado para:

-Incrementar en el sistema financiero la toma de conciencia sobre el problema del "año 2000";

-efectuar una evaluación de los esfuerzos que realizan las entidades para planificar su solución, y

-llevar a cabo una supervisión de la ejecución de dicha planificación.

En anexos, se detalla la estrategia para el gerenciamiento del proyecto y para la Comisión a que se refiere la Comunicación "A" 2564, así como los mecanismos de revisión que, como mínimo, las entidades deberán aplicar.

En otro orden, respecto de la intervención de la auditoria externa en esta materia, se ha resuelto reemplazar la exigencia de certificación prevista en el Anexo a la Comunicación "A" 2564 por el requerimiento de informes conforme a lo enunciado en "Evaluación por la auditoria externa" (Punto 2.9. del Anexo I a la presente Comunicación).

Asimismo, les reiteramos que la fecha límite para lograr la compatibilidad "año 2000" en los sistemas y tecnologías asociadas es el 31.12.98 y, para las pruebas finales sobre la adecuación de los sistemas a los nuevos requerimientos, el 30.6.99.

Por último, les Informamos que a la brevedad se les hará llegar - a través del ordenamiento ,CONAU - información complementaria acerca del alcance de las pruebas que deben llevar a cabo las auditorias interna y externa.

ANEXO

(CON COPIA A LAS CASAS, AGENCIAS, OFICINAS Y CORREDORES DE CAMBIO Y CAMARAS DE COMPENSACION DE FONDOS)
B. C. R.A.
SISTEMAS INFORMATICOS A PARTIR DEL AÑO 2000. ESTRATEGIA DEL PROYECTO
Anexo I a la Com. "A" 2654

1. Gerenciamiento del Proyecto "Año 2000"

El problema del "año 2000" presenta importantes desafíos para las gerencias de las entidades y cameras compensadoras que integran el sistema financiero. Los sistemas informáticos y las tecnologías asociadas con la operatoria de la industria bancaria son a menudo complejos y han sido desarrollados a través de muchos años, con base en una variedad de lenguajes de programación y plataformas de "hardware".

El proyecto requerirá el compromiso y la participación de los ejecutivos, así como un efectivo proceso de gerenciamiento. Se deberá comenzar con una profunda y clara concientización sobre el tema en todos los niveles de la organización y continuar con una adecuada evaluación que involucre los siguientes ítems:

-Inventario de "hardware" y "software".

-Análisis de conversión.

-Planificación detallada del proyecto.

-Pruebas y verificaciones.

-Acciones de contingencias.

-Intemdaciones externas con la entidad, como lo son:

-Proveedores de "software", "hardware" y servicios.

-Intercambio de datos con otros organismos y empresas.

-Proyecto "Año 2000 compatible" de empresas clientes.

-Informe mensual al Directorio.

-Evaluación por la auditoria interna.

-Evaluación por la auditoria externa.

Todas estas actividades deberán ser supervisadas por la auditoria interna/externa y por la Comisión responsable, la que deberá habilitar un "libro de actas", en el que además de figurar la lista de sus integrantes, se deberá registrar el contenido de todas las reuniones (los temas tratados; los participantes en ellas; las decisiones tomadas o a tomar que afecten al proyecto en general; los avances, modificaciones y/o desvíos del proyecto, etc.) y se transcribirán los informes de las auditorias interna y externa, la información recibida y/o entregada a la SEFyC y cualquier otra información que afecte al proyecto.

En caso de que el registro de algunos temas requiera de anexos respaldatorios, estos deberán quedar asentados y estar disponibles ante su requerimiento.

Los informes que deben realizar y enviar a la Gerencia de Auditoria de Sistemas de Entidades Financieras en forma mensual, según Comunicación "A" 2564, pasaran a ser trimestrales. El vencimiento de la próxima presentación es el 10 de abril de 1998. Estos informes como toda otra información que se emita para el BCRA, relacionada con el tema, deberá ser firmada por el Presidente de la Comisión (un miembro del Directorio) y el Gerente de Sistemas.

Las entidades y cámaras compensadoras deberán informar al BCRA los nombres, funciones y jerarquía de los miembros de la Comisión, al igual que las modificaciones que tengan lugar, dentro de los diez (10) días corridos de constituida y/o modificada, según corresponda.

2. Descripción de ítems para el gerenciamiento.

2.1. Inventario de "hardware" y "software".

Se deberá identificar y documentar, como mínimo, todo el "hardware", "software", redes, cajeros automáticos y todo otro soporte de procesamiento. Este inventario, debe ir más allá de los sistemas informáticos e incluir aquellos elementos cuyo funcionamiento dependa de "microchips" incorporados, tajes como sistemas de seguridad, telex, bóvedas (tesoros), etc.

Una vez constituido el inventario, se deberá desarrollar un análisis de prioridades en función del estado crítico que presente cada uno de los componentes.

2.2. Análisis de conversión.

Determinado el impacto de esta problemática en cada componente, se deberán analizar y documentar las distintas opciones de solución que sean factibles para cada uno de los componentes (adecuación, reemplazo de los mismos, etc.).

2.3. Planificación detallada del proyecto.

La Comisión deberá documentar y planificar formalmente todos los aspectos del proyecto, teniendo en cuenta los efectos del problema sobre otras iniciativas estratégicas de negocios. Se deberán considerar: el efecto potencial sobre los sistemas existentes, que pueden presentarse en las fusiones con otras entidades y/o adquisiciones: los sistemas en desarrollo; las interrelaciones de sistemas y los sistemas adquiridos.

También deberán establecer las necesidades de recursos, el calendario y secuencia de los esfuerzos para aplicar al proyecto.

Los recursos necesarios deberán incluir personal debidamente entrenado, contratistas, apoyo del proveedor, distribución presupuestaria y capacidad de "hardware".

Esta fase debe determinar claramente la responsabilidad y los alcances de terceros dentro del proyecto, definiendo exigencias sobre informes, controles y notificaciones. La fecha límite para alcanzar la compatibilidad "año 2000" en los sistemas y tecnologías asociadas críticos, como por ejemplo: cuentas corrientes, caja de ahorro, plazo fijo, información al BCRA, contabilidad, préstamos, etc. y en el "hardware" y "software" de base para su procesamiento, es el 31.12.98 y. para las pruebas finales sobre la adecuación de los sistemas a los nuevos requerimientos el 30.6.99.

2.4. Pruebas y verificación.

Se deberá verificar que los cambios o reemplazos en los componentes de "hardware" y "software" han sido realizados. Además, debe probarse con la participación de los usuarios y de la auditoria interna, que estos cambios no han afectado la funcionalidad original.

La Comisión debe establecer controles para asegurar que se haya completado la efectiva y oportuna verificación de todo el "hardware" y "software" antes de la instrumentación final.

Todos los niveles de prueba son requeridos para asegurar el correcto funcionamiento del sistema informático y tecnologías asociadas con la adecuación al "año 2000", desde el individual de cada componente, para asegurar que el tratamiento de fechas se realiza correctamente dentro de cada programa, hasta la integración de programas, subrutinas, archivos e interrelaciones con otras aplicaciones y/o sistemas.

Estas pruebas deberán considerar distintas fechas en sus procesos, tales como: actuales, límites, como así también las del "año 2000", para proceder a la verificación y la aceptación final. También deberán considerar los efectos posibles del día 9.9.99 ya que la integración con 9 de un campo suele ser utilizado como un indicador especial.

2.5. Acciones de contingencias.

La Comisión deberá desarrollar planes de contingencias de toda operatoria crítica que pudiera registrar fallas en los procesos una vez comenzado el "año 2000".

2.6. Interrelaciones externas con la entidad.

a) Proveedores de "software", "hardware" y de servicios.

La SEFyC ha observado que algunas entidades y cámaras compensadoras que integran el sistema financiero, confiando en los terceros que les proveen el servicio de procesamiento de datos o en los "software" de aplicaciones que han adquirido, no han tomado ninguna medida para comprobar que sus proveedores pueden afrontar satisfactoriamente la problemática del "año 2000".

La Comisión debe:

-Evaluar los planes del proveedor y monitorear activamente los plazas del proyecto.

-Determinar si en los términos del contrato con sus proveedores se menciona la compatibilidad "año 2000", y de ser necesario, renegociar dichos contratos a fin de tener cubierto este punto.

-Analizar las responsabilidades de los proveedores y la vulnerabilidad de su propia entidad, en caso de que ellos no puedan cumplir con sus obligaciones contractuales.

-Considerar servicios alternativos en caso de que las soluciones de los proveedores o sus plazos sean inadecuados.

b) Intercambio de datos con otros organismos y empresas.

Las entidades deberán conocer y coordinar con las empresas, instituciones y entes reguladores, los diferentes métodos de intercambio de datos. Por ello, el planeamiento para el "año 2000 deberá prever un tiempo suficiente para verificar los efectos que tengan las soluciones adoptadas sobre las transferencias de datos.

c) Proyecto "año 2000" de empresas clientes.

Muchas empresas clientes dependen de sistemas informáticos que deben adecuarse al "año 2000". Las que no hayan considerado esta problemática pueden sufrir un desorden en sus negocios que derive en importantes dificultades financieras, llegando a afectar el cumplimiento de sus obligaciones.

Las entidades financieras y cámaras compensadoras deberán instrumentar procesos para verificar periódicamente, los esfuerzos que realizan sus grandes clientes sobre la adecuación al "año 2000". También deberán tener en cuenta este tema en el análisis de riesgos que realicen a grandes empresas, así como considerar la posibilidad de incluir cláusulas al respecto, en la documentación de sus préstamos.

2.7. Informe mensual al directorio o autoridad equivalente.

Mensualmente, la Comisión deberá elevar un informe al directorio o autoridad equivalente, manteniéndolo a este bien informado sobre el grado de avance del proyecto "año 2000" y la posibilidad de llegar a cumplimentarlo en tiempo y forma, con indicación de las acciones correctivas y plazos de implementación necesarios. Estos informes deben ser transcriptos en el libro de actas del directorio o autoridad equivalente.

2.8. Evaluación por la auditoria interna.

La Comisión deberá asegurarse que la auditoria interna de la entidad realice las siguientes tareas, además de evaluar sus informes y tomar las medidas correctivas correspondientes, si fuera necesario:

-Informe mensual, con opinión del grado de cumplimiento de las comunicaciones del BCRA relacionadas con el "año 2000".

-Informe mensual, con opinión del grado de cumplimiento del plan "año 2000".

-Realización de pruebas sustantivas y de cumplimiento adecuadas, hasta que se logre la compatibilidad "año 2000" para los sistemas informáticos y tecnologías asociadas críticos.

-Informe con evaluación final sobre la compatibilidad "año 2000" de los sistemas informáticos y tecnologías asociadas críticos, exigible como máximo el 31.7.98.

2.9. Evaluación por la auditoria externa.

La Comisión deberá exigir y prestar especial atención a los informes de la auditoria externa y tomar las medidas correctivas correspondientes, si fuera necesario, a saber:

-Informe con opinión del Plan "año 2000" y sus plazos (exigible como máximo el 31.3.98).

-Informe trimestral, con opinión del grado de cumplimiento de las comunicaciones del BCRA relacionadas con el "año 2000", dentro de los 30 (treinta) días corridos del cierre de cada trimestre.

-Informe trimestral, con opinión de grado de cumplimiento del plan "año 2000", dentro de los 30 (treinta) días corridos del cierre de cada trimestre.

-Pruebas sustantivas y de cumplimiento adecuadas, hasta lograr la compatibilidad "año 2000" para los sistemas informáticos y tecnologías asociadas críticos.

-Informe con evaluación final sobre la compatibilidad "año 2000" de los sistemas informáticos y tecnologías asociadas críticos, exigible como máximo el 31.8.99.
B.C.R.A.
SISTEMAS INFORMATICOS A PARTIR DEL AÑO 2000. MECANISMOS DE REVISION CUESTIONARIO DE REVISION GENERAL
Anexo II a la Com. "A" 2654

El presente cuestionario esta destinado a captar información de macro-nivel respecto de los preparativos para el "año 2000", por parte de las entidades financieras y cámaras compensadoras y de sus proveedores de sistemas informáticos, el que deberá ser respondido y enviado a la Gerencia de Auditoria de Sistemas de Entidades Financieras de la SEFyC, dentro de los 10 (diez) días corridos desde la emisión de la presente comunicación.

Las preguntas son presentadas para respuestas "si" o "no". Sin embargo, se pueden realizar respuestas abiertas para obtener una mayor comprensión sobre la capacidad que tiene la entidad o el proveedor, respecto de la problemática del "año 2000".

Compatibilidad.

1. ¿Los sistemas de procesamiento de datos ("hardware", "software" y tecnologías asociadas) y de telecomunicaciones de la entidad y/o de los proveedores externos, son capaces y están listos para manejar el procesamiento en el "año 2000".

Plan General.

2. ¿La entidad y/o los proveedores externos tienen un proceso de solución al problema del "año 2000" que incluya estos puntos básicos?:

-Inventario de "hardware" y "software".

-Análisis de conversión.

-Planificación detallada del proyecto.

-Pruebas y verificaciones.

-Acciones de contingencias.

-Interrelaciones externas con la entidad, tales como:

-Proveedores de "software", "hardware" y servicios.

-Intercambio de datos con otros organismos y empresas.

-Proyecto "año 2000" de empresas clientes.

-Informe mensual al Directorio o autoridad equivalente.

-Evaluación por la auditoria interna.

-Evaluación por la auditoria externa.

3. ¿La entidad y/o los proveedores externos han dado máxima prioridad a esta problemática sobre los otros proyectos informáticos?

4. ¿La entidad ha considerado el impacto que tendrá el "año 2000 sobre los sistemas internos y circundantes que dependen de "microchips" incorporados, tales como bóvedas (tesoros), sistemas de alarma y de seguridad, teléfonos, maquinas de "fax" y sistemas de calefacción, ventilación y aire acondicionado?

Implicancias en los recursos.

5. ¿La entidad y/o los proveedores externos han establecido un presupuesto destinado a la problemática del "año 2000?

6. ¿La entidad y/o los proveedores externos han determinado si poseen los suficientes recursos necesarios ("hardware", personal, dinero, etc.) para asegurar la factibilidad del proyecto "año 2000"?

Respaldo/supervisión.

7. ¿La entidad y/o los proveedores externos han asignado la responsabilidad general de los esfuerzos del proyecto a la Comisión?

8. ¿La entidad y/o los proveedores externos han fijado plazos, metas y entregas respecto a las tareas para el "año 2000"?

9. ¿EI proyecto incluye informes regulares y supervisión por parte de la Comisión "año 2000"?

Plazos.

10. ¿EI plan de la entidad y/o los proveedores externos exige que la renovación de todos los elementos críticos se encuentren íntegramente realizada antes del 31.12.98?

11. ¿La entidad y/o los proveedores externos prevén efectuar verificadores sobre las renovaciones que se encuentren en marcha para aplicaciones criticas, antes del 31.12.98?
B.C.RA.
SISTEMAS INFORMATICOS A PARTIR DEL AÑO 2000. MECANISMOS DE REVISION CUESTIONARIO DE REVISION DETALLADO
Anexo III a la Com. "A" 2564

Los siguientes procedimientos de revisión son para su uso general en todas las entidades y cameras compensadoras que integran el sistema financiero, y para los centros de procesamiento de datos que les presten servicios.

Estos procedimientos permitirán determinar si la entidad ha encarado adecuadamente la problemática del "año 2000", relacionada con los sistemas informáticos, el "hardware", el "software" y las tecnologías asociadas.

Los procedimientos "Parte I" están destinados a todas las entidades.

Los procedimientos "Parte II" son más amplios y están destinados particularmente a aquellas entidades con capacidad de desarrollo de "software" propio.

Las entidades pequeñas, especialmente las que compran o alquilan sus sistemas de "hardware" y/o "software" a un proveedor externo, podrían concluir los procedimientos de revisión al final de la "Parte I".

1. Objetivos de la revisión.

1.1. Determinar el grado de cumplimiento de la Comunicación "A" 2564 y complementarias.

1.2. Determinar si la organización tiene un plan efectivo para identificar. evaluar e instrumentar las soluciones para la problemática del "año 2000".

1.3. Evaluar los efectos de los esfuerzos relativos al "año 2000" en los planes estratégicos y operativos de la entidad.

1.4. Determinar si la institución ha coordinado eficazmente sus capacidades con los clientes, proveedores y empresas o entes con los que intercambian datos, con vistas al "año 2000".

1.5. Verificar la solidez de los controles internos para el proceso "año 2000".

1.6. Determinar si es necesario efectuar acciones correctivas para asegurar un adecuado tratamiento de la problemática "año 2000".

2. Planeamiento de la revisión y control.

2.1. Determinar cuales son las fuentes de los sistemas informáticos de la organización (SI), el soporte para "hardware" ("main-frame", "midrange", redes, computadoras personales) y las correspondientes aplicaciones, sistema de "software" operativo y tecnologías asociadas. Destacar si el procesamiento informático es provisto en forma interna, externa, o de manera combinada.

2.2. Revisar inspecciones previas, auditorias u opiniones de consultores respecto de la problemática del "año 2000".

2.3. Revisar las repuestas de la Comisión a toda opinión significativa respecto al "año 2000".

2.4. Revisar las respuestas al cuestionario de Revisión General (Anexo II).

2.5. Revisar el memorandum mensual sobre el grado de avance respecto del cumplimiento del proyecto, según el último párrafo de la Comunicación "A" 2564 y complementarias, preparado por la entidad.

2.6. Revisar las estrategias de supervisión.

2.7. Determinar el alcance de la revisión sobre "año 2000", a base de los resultados de los pasos previos.

3. Procedimientos - "Parte I".

3.1. Determinar si el directorio o autoridad equivalente de la organización y sus niveles gerenciales principales, tienen cabal conciencia y comprensión de los riesgos y la complejidad de la problemática "año 2000", mediante:

a) obtención y revisión de las actas del directorio o autoridad equivalente en las que se hayan discutido las cuestiones del "año 2000";

b) obtención y revisión de las actas de la Comisión.

3.2. Determinar si la comisión ha desarrollado un plan para garantizar que el sistema informático de la organización es adecuado al "año 2000".

3.3. Determinar si la evaluación de la problemática del "año 2000" por parte de la organización incluye los sistemas controlados por computación, tales como: sistemas de telecomunicaciones, cajeros automáticos, sistemas de respuesta de audio y otros sistemas complementarios con "microchips" incorporados, como bóvedas (tesoros), sistemas de alarma y seguridad, teléfonos, máquinas de "fax" y dispositivos ambientales.

3.4. Determinar si la Comisión de la entidad mantiene comunicación continúa con su/s proveedor/es, con el fin de informarse sobre los avances en la instrumentación de soluciones para el "año 2000".

3.5. Determinar si la organización ha:

a) Revisado los contratos de "software de terceros, a fin de identificar las riesgos asociados con la autorización y con las garantías en los contratos de mantenimiento para el procesamiento del "año 2000".

b) Revisado todos los contratos de procesamiento externo de datos, para determinar si el proveedor tiene obligaciones respecto del "año 2000".

c) Establecido un proceso de certificación para verificar que los productos o vendedores sean adecuados al "año 2000". Si es así, describirlo.

3.6. Determinar si la Comisión ha evaluado la capacidad financiera y operativa de sus proveedores de "hardware" y "software", en cuanto a proveer capacidad de procesamiento para el "año 2000". Destacar los resultados de dicha evaluación.

3.7. Determinar el estado actual del proyecto "año 2000" de la entidad, incluyendo todo obstáculo previsible y la manera en que la Comisión planea enfrentarlo.

3.8. Si resulta evidente que los sistemas de la entidad o del proveedor o prestador de servicio no están completamente adecuados al "año 2000", determinar:

a) Si todas las aplicaciones afectadas se hallaran renovadas por completo, con pruebas en curso, para los sistemas críticos, antes del 31.12.98.

b) Cuales son las aplicaciones cuya renovación no estera completa al 31.12.98.

c) Si la Comisión ha anticipado los efectos que ocasionara la no adecuación al "año 2000" antes del 31.12.98, tanto en los planes estratégicos y operativos de la organización, como en todos los sistemas.

d) Los planes de contingencias de la entidad para modificar la planificación ante el incumplimiento o de plazos establecidos para adecuar los sistemas de "hardware" o " software" en caso de que los mismos no se encuentren adecuados al "al 2000", al 31.12.98

e) Si la entidad tiene planes de contingencias para el caso de que los sistemas de "hardware" y/o "software" no funcionaran correctamente el día 1.1.2000.

3.9. Determinar si la Comisión ha discutido con sus grandes empresas clientes, el efecto de las cuestiones del "año 2000", a fin de asegurar la capacidad que tienen dichos clientes para cumplir con sus obligaciones.

3.10. Determinar si la entidad ha evaluado con sus proveedores de sistemas de pago, el efecto de las capacidades de procesamiento para el "año 2000", incluyendo:

a) Sistemas de transmisión de datos.

b) Cámaras compensadoras electrónicas.

c) Empresas de tarjetas de crédito y sistemas de emisión.

d) Redes de cajeros automáticos.

e) Sistemas de intercambio electrónico de datos.

f) Sistemas de transferencias electrónicas de fondos.

3.11. Determinar si la Comisión ha recurrido a las auditorias interna o externa para verificar la solidez de los controles internos, con relación a los esfuerzos hacia el "año 2000".

3.12. Determinar si la Comisión es consciente y contempla la posibilidad de litigios originados por la problemática del "año 2000".

4. Procedimientos - "Parte II".

4.1. Auditoria.

4.1.1. Verificar la independencia funcional del personal que realice la auditoria interna, así como su compromiso respecto de la revisión de los esfuerzos que realiza la organización en la problemática del "año 2000".

4.1.2. Revisar los planes y presupuestos de auditoria hasta el año 1999 y determinar si se destinan los recursos necesarios para auditorias especificas relacionadas con la problemática del "año 2000". Asimismo, determinar si los recursos destinados a dichas auditorias son adecuados.

4.1.3. Determinar si la auditoria se encuentra activamente involucrada en los esfuerzos dirigidos al "año 2000", con el fin de verificar y monitorear la eficacia del proceso de gerenciamiento del proyecto, y si el Comité de Auditoria comunica esta información al directorio o autoridad equivalente.

4.1.4. Revisar los informes de auditoria interna y externa sobre el proyecto "año 2000" y determinar la oportunidad y la adecuación de sus alcances respecto a las respuestas gerenciales. Asimismo, verificar si es apropiado el seguimiento que realiza la auditoria sobre las acciones llevadas a cabo, en respuesta a sus propias conclusiones del proyecto "año 2000".

4.2. Gerenciamiento.

4.2.1. A partir de las discusiones y revisiones de las actas de la Comisión formada para encarar la problemática "año 2000", evaluar el cumplimiento del proceso de gerenciamiento del proyecto para asegurar la adecuación de los sistemas informáticos y tecnologías asociadas de la entidad al "año 2000". Destacar si el gerenciamiento ha:

a) Realizado un inventario de todos los sistemas "hardware" y "software" incluyendo sucursales en el exterior.

b) Identificado los sistemas "hardware" y "software" que requieren modificaciones para el "año 2000".

c) Evaluado las distintas alternativas para el tratamiento de la problemática del "año 2000".

d) Señalado prioridades en los sistemas de "hardware" y "software", con el fin de asegurarse que las aplicaciones más críticas sean encaradas en primer término.

e) Considerado todos los sistemas de "software", enfatizando en las operatorias y registraciones relativas a la actividad de intermediación financiera, información gerencia), y sistemas operativos.

f) Considerado los efectos de la problemática del "año 2000" sobre fusiones y adquisiciones de otras entidades.

g) Revisado y aprobado las etapas que garanticen el cumplimiento de las tareas para el "año 2000", en tiempo oportuno.

h) Desarrollado una estrategia de verificación de las modificaciones para el "año 2000".

i) Comprobado que todo nuevo sistema este adecuado al "año 2000".

j) Encarado el establecimiento y la revisión de un sistema efectivo de controles internos respecto a los esfuerzas para el "año 2000".

k) Determinado el agrupamiento de los sistemas para su conversión.

1) Considerado el papel de la función de "garantía de calidad".

m) Determinado el rol de los usuarios finales.

n) Exigido un adecuado seguimiento del proyecto, incluyendo periódicas actualizaciones por parte de la Comisión.

4.2.2. Determinar si la Comisión considero la disponibilidad de los recursos adecuados para la iniciativa "año 2000", indicando:

a) El tipo de pericia técnica necesaria.

b) El lapso requerido para efectuar acciones correctivas.

c) El tipo y la magnitud de los recursos financieros necesarios, par adecuar todo el "hardware" ("main-frame", "midrange", redes, computadoras personales), las aplicaciones correspondientes y los "softwares" operativos al "año 2000".

d) Todo otro recurso que sea necesario.

4.2.3. Determinar si la organización cuenta con personas, o puede acceder a personas, que tengan la suficiente capacidad técnica como para adecuar todo el "hardware" y "software" al "año 2000", y:

a) en el caso de utilizarse recursos externos, si los mismos han sido contratados:

b) de no ser así, que seguridad brinda la Comisión para que dichos recursos sean obtenidos en caso necesario.

4.2.4 Determinar de que manera el directorio o autoridad equivalente y la Comisión son informados sobre los progresos de los esfuerzos realizados para el "año 2000".

4.2.5. Determinar si el directorio o autoridad equivalente y/o la Comisión han establecido líneas claras de autoridad y responsabilidad para las tareas del "año 2000".

4.2.6. Determinar si el personal afectado al proyecto "año 2000" recibe suficiente apoyo del directorio o autoridad equivalente y de la Comisión.

4.2.7. Revisar, si corresponde, el proceso de selección de todo proveedor de servicios para el "año 2000" y su grado de adecuación.

4.2.8. Evaluar el proceso de gerenciamiento de la conversión año 2000 de la entidad.

4.3. Sistemas y programación.

4.3.1. Determinar si la organización ha evaluado la capacidad de sus sistemas de computación ("hardware") para manejar todos los cambios de "software" necesarios.

4.3.2. Determinar el (los) método(s) a utilizar por la organización para resolver los cálculos de fecha del "año 2000" (por ejemplo, conversión a campos de cuatro posiciones para el año, creación de ventanas -"sindowing"- y otros).

4.3.3 Evaluar si la organización ha destinado o destinará un tiempo adecuado para la búsqueda y verificación de errores en todos los cambios realizados en los "software".

4.3.4. Determinar las herramientas y los lenguajes de programación que utilizará la entidad.

4.3.5. Indicar si se requerirá una plataforma común de desarrollo de aplicaciones.

4.3.6. Describir de que manera la organización mantendrá efectivos controles internos sobre los procesos de cambio del "software" para la problemática "año 2000".

4.3.7. Determinar si la organización está coordinando modificaciones y verificando actividades con proveedores, prestadores de servicios y organizaciones a las cuales envía, o de las cuales recibe, datos.

4.4. Operaciones informáticas

4.4.1. Revisar las evaluaciones de la Comisión sobre la previsión de los recursos adiciónales que son requeridos en los sistemas operativos, redes de telecomunicaciones (incluyendo cajeros automáticos), y "software" de seguridad, para manejar el procesamiento del "año 2000". Describir los resultados de las evaluaciones.

4.4.2. Revisar la evaluación realizada por la organización sobre los recursos informáticos necesarios para probar los cambios del "año 2000", mientras se realizan las actividades diarias de procesamiento.

4.4.3. Detallar las evaluaciones de la Comisión respecto del efecto de todos los cambios en las prácticas operativas, como consecuencia de las tareas para el "año 2000".

4.4.4. Revisar y describir la evaluación de la organización, respecto de los esfuerzas de compatibilidad "año 2000" y los planes de contingencia.

4.4.5. Determinar si la organización ha comprometido sólidos controles internos sobre las operaciones, como resultado de enfrentar las cuestiones "año 2000".

e. 3/2 Nº 215.370 v. 3/2/98