BANCO CENTRAL DE LA REPUBLICA ARGENTINA
COMUNICACION "A" 2654 (16/01/98). Ref: Circular RUNOR
1-257. Adecuación de los sistemas informáticos para
su uso a partir del año 2000 (Comunicación "A"
2564).
B.O.: 03/02/98
A LAS ENTIDADES FINANCIERAS:
Nos dirigimos a Uds. con relación al tema de la referencia
y con el objeto de que el sistema financiero se encuentre debidamente
preparado para enfrentar el desafío que impone la llegada
del año 2000.
Con respecto a la visión de esta problemática, se
destaca que a través de la Comunicación "A"
2564 se ha alertado al sistema financiero sobre la necesidad de
analizar el impacto del "año 2000en sus sistemas informáticos
y tecnologías asociadas, y de adoptar las medidas conducentes
para lograr que sean "Año 2000 compatible".
Por medio de esta comunicación se amplia el alcance del
enfoque y se especifican aspectos que pueden requerir especial
atención. Se describe además, la estrategia de supervisión
que seguirá la Superintendencia de Entidades Financieras
y Cambiarias (SEFyC) para verificar el proceso de planificación
y ejecución de este proyecto, la que involucra tanto a
los terceros proveedores de servicios de procesamiento de datos
como a los proveedores de "software" y de "hardware".
En ese orden, se reitera que la preocupación del Banco
Central responde a la necesidad de que se comprenda cabalmente
las implicancias de esta coyuntura que coloca a la industria de
la tecnología ante la mayor crisis que haya vivido en sus
50 años de historia, que ya ha puesto de manifiesto que
los sistemas han comenzado a fallar cuando las operaciones sobrepasan
el año 1999.
Ello porque muchos de esos sistemas guardan el año en formato
de dos dígitos en lugar de cuatro, lo cual hace que, a
medida que se acerca el fin del año 1999, virtualmente
todos los sistemas tendrán el impacto del problema, habida
cuenta de que los datos de computación normalmente están
definidos en las bases de datos, archivos y programas, con formato
de año/mes/día (AAMMDD), o con alguna otra variación
de dicho formato.
Al respecto se recuerda que, cuando la mayoría de los sistemas
de computación fueron creados, sus diseñadores definieron
los datos relacionados con las fechas en años de dos dígitos,
en lugar de cuatro, para ahorrar el costoso espacio de almacenamiento
que esto implicaba en aquella época, lo cual determina
que, en la mayoría de los sistemas de computación
hoy existentes; el año "1997" se guarda como
"97".
En consecuencia, a partir del "31 de diciembre de 1999",
cuando un programa compare una fecha con otra, quedará
distorsionado el concepto del manejo del tiempo en el computador,
ya que el año "00" (2000) será interpretado
como anterior al año "99" (1999) y, además,
deducirá que hay una diferencia de 99 años entre
uno y otro.
Por otra parte, les recalcamos que no solo el problema esta orientado
a los sistemas de computación sino que también afecta
a muchos dispositivos que contienen "chips" electrónicos
con programación interna, como es el caso de los controles
automáticos para apertura de bóvedas (tesoros),
los controladores de acceso de personal. los "fax",
los telex, las centrales telefónicas, etc.
A su vez, también puede causar efectos en las tareas de
apoyo administrativo de la actividad bancaria, por ejemplo: las
fórmulas que llevan pre-impresos los dígitos de
la canturía "19...", como es el caso de muchos
cheques y de otros instrumentos.
Asimismo, les señalamos que a pesar de los riegos que implica
este tema. se suele caer en una serie de apreciaciones erróneas
al enfrentarlo, como por ejemplo:
"Es solo un problema técnico, que se soluciona con
arreglos poco significativos"
"Aún contamos con mucho tiempo"
"Los sistemas serán reemplazados antes del 2000"
"Se cumple con el 2000, pues todas las aplicaciones son nuevas"
"Se utilizará una solución de conversión
automatice de programas y todo quedará solucionado"
"Se dará a un proveedor externo todo el proceso de
conversión"
En ese sentido, se debe tomar conciencia de que el problema del
"Año 2000" es real y afecta a todo el sistema
financiero, ya que puede causar efectos antes de que este llegue
y, más aún, antes de que se hayan finalizado los
procesos de solución, respecto de lo cual muchos expertos
creen que hasta las organizaciones mejor preparadas, encontrarán
algunos problemas de instrumentación.
En ese contexto, la SEFyC quiere asegurarse que las entidades
y cámaras compensadoras que integran el sistema financiero,
puedan evitar desordenes graves y trabajará junto al sistema
financiero para alcanzar esa meta.
A tal fin, se instrumentará un plan diseñado para:
-Incrementar en el sistema financiero la toma de conciencia sobre
el problema del "año 2000";
-efectuar una evaluación de los esfuerzos que realizan
las entidades para planificar su solución, y
-llevar a cabo una supervisión de la ejecución de
dicha planificación.
En anexos, se detalla la estrategia para el gerenciamiento del
proyecto y para la Comisión a que se refiere la Comunicación
"A" 2564, así como los mecanismos de revisión
que, como mínimo, las entidades deberán aplicar.
En otro orden, respecto de la intervención de la auditoria
externa en esta materia, se ha resuelto reemplazar la exigencia
de certificación prevista en el Anexo a la Comunicación
"A" 2564 por el requerimiento de informes conforme a
lo enunciado en "Evaluación por la auditoria externa"
(Punto 2.9. del Anexo I a la presente Comunicación).
Asimismo, les reiteramos que la fecha límite para lograr
la compatibilidad "año 2000" en los sistemas
y tecnologías asociadas es el 31.12.98 y, para las pruebas
finales sobre la adecuación de los sistemas a los nuevos
requerimientos, el 30.6.99.
Por último, les Informamos que a la brevedad se les hará
llegar - a través del ordenamiento ,CONAU - información
complementaria acerca del alcance de las pruebas que deben llevar
a cabo las auditorias interna y externa.
ANEXO
(CON COPIA A LAS CASAS, AGENCIAS, OFICINAS Y CORREDORES DE CAMBIO
Y CAMARAS DE COMPENSACION DE FONDOS)
1. Gerenciamiento del Proyecto "Año 2000"
El problema del "año 2000" presenta importantes
desafíos para las gerencias de las entidades y cameras
compensadoras que integran el sistema financiero. Los sistemas
informáticos y las tecnologías asociadas con la
operatoria de la industria bancaria son a menudo complejos y han
sido desarrollados a través de muchos años, con
base en una variedad de lenguajes de programación y plataformas
de "hardware".
El proyecto requerirá el compromiso y la participación
de los ejecutivos, así como un efectivo proceso de gerenciamiento.
Se deberá comenzar con una profunda y clara concientización
sobre el tema en todos los niveles de la organización y
continuar con una adecuada evaluación que involucre los
siguientes ítems:
-Inventario de "hardware" y "software".
-Análisis de conversión.
-Planificación detallada del proyecto.
-Pruebas y verificaciones.
-Acciones de contingencias.
-Intemdaciones externas con la entidad, como lo son:
-Proveedores de "software", "hardware" y servicios.
-Intercambio de datos con otros organismos y empresas.
-Proyecto "Año 2000 compatible" de empresas clientes.
-Informe mensual al Directorio.
-Evaluación por la auditoria interna.
-Evaluación por la auditoria externa.
Todas estas actividades deberán ser supervisadas por la
auditoria interna/externa y por la Comisión responsable,
la que deberá habilitar un "libro de actas",
en el que además de figurar la lista de sus integrantes,
se deberá registrar el contenido de todas las reuniones
(los temas tratados; los participantes en ellas; las decisiones
tomadas o a tomar que afecten al proyecto en general; los avances,
modificaciones y/o desvíos del proyecto, etc.) y se transcribirán
los informes de las auditorias interna y externa, la información
recibida y/o entregada a la SEFyC y cualquier otra información
que afecte al proyecto.
En caso de que el registro de algunos temas requiera de anexos
respaldatorios, estos deberán quedar asentados y estar
disponibles ante su requerimiento.
Los informes que deben realizar y enviar a la Gerencia de Auditoria
de Sistemas de Entidades Financieras en forma mensual, según
Comunicación "A" 2564, pasaran a ser trimestrales.
El vencimiento de la próxima presentación es el
10 de abril de 1998. Estos informes como toda otra información
que se emita para el BCRA, relacionada con el tema, deberá
ser firmada por el Presidente de la Comisión (un miembro
del Directorio) y el Gerente de Sistemas.
Las entidades y cámaras compensadoras deberán informar
al BCRA los nombres, funciones y jerarquía de los miembros
de la Comisión, al igual que las modificaciones que tengan
lugar, dentro de los diez (10) días corridos de constituida
y/o modificada, según corresponda.
2. Descripción de ítems para el gerenciamiento.
2.1. Inventario de "hardware" y "software".
Se deberá identificar y documentar, como mínimo,
todo el "hardware", "software", redes, cajeros
automáticos y todo otro soporte de procesamiento. Este
inventario, debe ir más allá de los sistemas informáticos
e incluir aquellos elementos cuyo funcionamiento dependa de "microchips"
incorporados, tajes como sistemas de seguridad, telex, bóvedas
(tesoros), etc.
Una vez constituido el inventario, se deberá desarrollar
un análisis de prioridades en función del estado
crítico que presente cada uno de los componentes.
2.2. Análisis de conversión.
Determinado el impacto de esta problemática en cada componente,
se deberán analizar y documentar las distintas opciones
de solución que sean factibles para cada uno de los componentes
(adecuación, reemplazo de los mismos, etc.).
2.3. Planificación detallada del proyecto.
La Comisión deberá documentar y planificar formalmente
todos los aspectos del proyecto, teniendo en cuenta los efectos
del problema sobre otras iniciativas estratégicas de negocios.
Se deberán considerar: el efecto potencial sobre los sistemas
existentes, que pueden presentarse en las fusiones con otras entidades
y/o adquisiciones: los sistemas en desarrollo; las interrelaciones
de sistemas y los sistemas adquiridos.
También deberán establecer las necesidades de recursos,
el calendario y secuencia de los esfuerzos para aplicar al proyecto.
Los recursos necesarios deberán incluir personal debidamente
entrenado, contratistas, apoyo del proveedor, distribución
presupuestaria y capacidad de "hardware".
Esta fase debe determinar claramente la responsabilidad y los
alcances de terceros dentro del proyecto, definiendo exigencias
sobre informes, controles y notificaciones. La fecha límite
para alcanzar la compatibilidad "año 2000" en
los sistemas y tecnologías asociadas críticos, como
por ejemplo: cuentas corrientes, caja de ahorro, plazo fijo, información
al BCRA, contabilidad, préstamos, etc. y en el "hardware"
y "software" de base para su procesamiento, es el 31.12.98
y. para las pruebas finales sobre la adecuación de los
sistemas a los nuevos requerimientos el 30.6.99.
2.4. Pruebas y verificación.
Se deberá verificar que los cambios o reemplazos en los
componentes de "hardware" y "software" han
sido realizados. Además, debe probarse con la participación
de los usuarios y de la auditoria interna, que estos cambios no
han afectado la funcionalidad original.
La Comisión debe establecer controles para asegurar que
se haya completado la efectiva y oportuna verificación
de todo el "hardware" y "software" antes de
la instrumentación final.
Todos los niveles de prueba son requeridos para asegurar el correcto
funcionamiento del sistema informático y tecnologías
asociadas con la adecuación al "año 2000",
desde el individual de cada componente, para asegurar que el tratamiento
de fechas se realiza correctamente dentro de cada programa, hasta
la integración de programas, subrutinas, archivos e interrelaciones
con otras aplicaciones y/o sistemas.
Estas pruebas deberán considerar distintas fechas en sus
procesos, tales como: actuales, límites, como así
también las del "año 2000", para proceder
a la verificación y la aceptación final. También
deberán considerar los efectos posibles del día
9.9.99 ya que la integración con 9 de un campo suele ser
utilizado como un indicador especial.
2.5. Acciones de contingencias.
La Comisión deberá desarrollar planes de contingencias
de toda operatoria crítica que pudiera registrar fallas
en los procesos una vez comenzado el "año 2000".
2.6. Interrelaciones externas con la entidad.
a) Proveedores de "software", "hardware" y
de servicios.
La SEFyC ha observado que algunas entidades y cámaras compensadoras
que integran el sistema financiero, confiando en los terceros
que les proveen el servicio de procesamiento de datos o en los
"software" de aplicaciones que han adquirido, no han
tomado ninguna medida para comprobar que sus proveedores pueden
afrontar satisfactoriamente la problemática del "año
2000".
La Comisión debe:
-Evaluar los planes del proveedor y monitorear activamente los
plazas del proyecto.
-Determinar si en los términos del contrato con sus proveedores
se menciona la compatibilidad "año 2000", y de
ser necesario, renegociar dichos contratos a fin de tener cubierto
este punto.
-Analizar las responsabilidades de los proveedores y la vulnerabilidad
de su propia entidad, en caso de que ellos no puedan cumplir con
sus obligaciones contractuales.
-Considerar servicios alternativos en caso de que las soluciones
de los proveedores o sus plazos sean inadecuados.
b) Intercambio de datos con otros organismos y empresas.
Las entidades deberán conocer y coordinar con las empresas,
instituciones y entes reguladores, los diferentes métodos
de intercambio de datos. Por ello, el planeamiento para el "año
2000 deberá prever un tiempo suficiente para verificar
los efectos que tengan las soluciones adoptadas sobre las transferencias
de datos.
c) Proyecto "año 2000" de empresas clientes.
Muchas empresas clientes dependen de sistemas informáticos
que deben adecuarse al "año 2000". Las que no
hayan considerado esta problemática pueden sufrir un desorden
en sus negocios que derive en importantes dificultades financieras,
llegando a afectar el cumplimiento de sus obligaciones.
Las entidades financieras y cámaras compensadoras deberán
instrumentar procesos para verificar periódicamente, los
esfuerzos que realizan sus grandes clientes sobre la adecuación
al "año 2000". También deberán
tener en cuenta este tema en el análisis de riesgos que
realicen a grandes empresas, así como considerar la posibilidad
de incluir cláusulas al respecto, en la documentación
de sus préstamos.
2.7. Informe mensual al directorio o autoridad equivalente.
Mensualmente, la Comisión deberá elevar un informe
al directorio o autoridad equivalente, manteniéndolo a
este bien informado sobre el grado de avance del proyecto "año
2000" y la posibilidad de llegar a cumplimentarlo en tiempo
y forma, con indicación de las acciones correctivas y plazos
de implementación necesarios. Estos informes deben ser
transcriptos en el libro de actas del directorio o autoridad equivalente.
2.8. Evaluación por la auditoria interna.
La Comisión deberá asegurarse que la auditoria interna
de la entidad realice las siguientes tareas, además de
evaluar sus informes y tomar las medidas correctivas correspondientes,
si fuera necesario:
-Informe mensual, con opinión del grado de cumplimiento
de las comunicaciones del BCRA relacionadas con el "año
2000".
-Informe mensual, con opinión del grado de cumplimiento
del plan "año 2000".
-Realización de pruebas sustantivas y de cumplimiento adecuadas,
hasta que se logre la compatibilidad "año 2000"
para los sistemas informáticos y tecnologías asociadas
críticos.
-Informe con evaluación final sobre la compatibilidad "año
2000" de los sistemas informáticos y tecnologías
asociadas críticos, exigible como máximo el 31.7.98.
2.9. Evaluación por la auditoria externa.
La Comisión deberá exigir y prestar especial atención
a los informes de la auditoria externa y tomar las medidas correctivas
correspondientes, si fuera necesario, a saber:
-Informe con opinión del Plan "año 2000"
y sus plazos (exigible como máximo el 31.3.98).
-Informe trimestral, con opinión del grado de cumplimiento
de las comunicaciones del BCRA relacionadas con el "año
2000", dentro de los 30 (treinta) días corridos del
cierre de cada trimestre.
-Informe trimestral, con opinión de grado de cumplimiento
del plan "año 2000", dentro de los 30 (treinta)
días corridos del cierre de cada trimestre.
-Pruebas sustantivas y de cumplimiento adecuadas, hasta lograr
la compatibilidad "año 2000" para los sistemas
informáticos y tecnologías asociadas críticos.
-Informe con evaluación final sobre la compatibilidad "año
2000" de los sistemas informáticos y tecnologías
asociadas críticos, exigible como máximo el 31.8.99.
El presente cuestionario esta destinado a captar información
de macro-nivel respecto de los preparativos para el "año
2000", por parte de las entidades financieras y cámaras
compensadoras y de sus proveedores de sistemas informáticos,
el que deberá ser respondido y enviado a la Gerencia de
Auditoria de Sistemas de Entidades Financieras de la SEFyC, dentro
de los 10 (diez) días corridos desde la emisión
de la presente comunicación.
Las preguntas son presentadas para respuestas "si" o
"no". Sin embargo, se pueden realizar respuestas abiertas
para obtener una mayor comprensión sobre la capacidad que
tiene la entidad o el proveedor, respecto de la problemática
del "año 2000".
Compatibilidad.
1. ¿Los sistemas de procesamiento de datos ("hardware",
"software" y tecnologías asociadas) y de telecomunicaciones
de la entidad y/o de los proveedores externos, son capaces y están
listos para manejar el procesamiento en el "año 2000".
Plan General.
2. ¿La entidad y/o los proveedores externos tienen un proceso
de solución al problema del "año 2000"
que incluya estos puntos básicos?:
-Inventario de "hardware" y "software".
-Análisis de conversión.
-Planificación detallada del proyecto.
-Pruebas y verificaciones.
-Acciones de contingencias.
-Interrelaciones externas con la entidad, tales como:
-Proveedores de "software", "hardware" y servicios.
-Intercambio de datos con otros organismos y empresas.
-Proyecto "año 2000" de empresas clientes.
-Informe mensual al Directorio o autoridad equivalente.
-Evaluación por la auditoria interna.
-Evaluación por la auditoria externa.
3. ¿La entidad y/o los proveedores externos han dado máxima
prioridad a esta problemática sobre los otros proyectos
informáticos?
4. ¿La entidad ha considerado el impacto que tendrá
el "año 2000 sobre los sistemas internos y circundantes
que dependen de "microchips" incorporados, tales como
bóvedas (tesoros), sistemas de alarma y de seguridad, teléfonos,
maquinas de "fax" y sistemas de calefacción,
ventilación y aire acondicionado?
Implicancias en los recursos.
5. ¿La entidad y/o los proveedores externos han establecido
un presupuesto destinado a la problemática del "año
2000?
6. ¿La entidad y/o los proveedores externos han determinado
si poseen los suficientes recursos necesarios ("hardware",
personal, dinero, etc.) para asegurar la factibilidad del proyecto
"año 2000"?
Respaldo/supervisión.
7. ¿La entidad y/o los proveedores externos han asignado
la responsabilidad general de los esfuerzos del proyecto a la
Comisión?
8. ¿La entidad y/o los proveedores externos han fijado plazos,
metas y entregas respecto a las tareas para el "año
2000"?
9. ¿EI proyecto incluye informes regulares y supervisión
por parte de la Comisión "año 2000"?
Plazos.
10. ¿EI plan de la entidad y/o los proveedores externos exige
que la renovación de todos los elementos críticos
se encuentren íntegramente realizada antes del 31.12.98?
11. ¿La entidad y/o los proveedores externos prevén
efectuar verificadores sobre las renovaciones que se encuentren
en marcha para aplicaciones criticas, antes del 31.12.98?
Los siguientes procedimientos de revisión son para su uso
general en todas las entidades y cameras compensadoras que integran
el sistema financiero, y para los centros de procesamiento de
datos que les presten servicios.
Estos procedimientos permitirán determinar si la entidad
ha encarado adecuadamente la problemática del "año
2000", relacionada con los sistemas informáticos,
el "hardware", el "software" y las tecnologías
asociadas.
Los procedimientos "Parte I" están destinados
a todas las entidades.
Los procedimientos "Parte II" son más amplios
y están destinados particularmente a aquellas entidades
con capacidad de desarrollo de "software" propio.
Las entidades pequeñas, especialmente las que compran o
alquilan sus sistemas de "hardware" y/o "software"
a un proveedor externo, podrían concluir los procedimientos
de revisión al final de la "Parte I".
1. Objetivos de la revisión.
1.1. Determinar el grado de cumplimiento de la Comunicación
"A" 2564 y complementarias.
1.2. Determinar si la organización tiene un plan efectivo
para identificar. evaluar e instrumentar las soluciones para la
problemática del "año 2000".
1.3. Evaluar los efectos de los esfuerzos relativos al "año
2000" en los planes estratégicos y operativos de la
entidad.
1.4. Determinar si la institución ha coordinado eficazmente
sus capacidades con los clientes, proveedores y empresas o entes
con los que intercambian datos, con vistas al "año
2000".
1.5. Verificar la solidez de los controles internos para el proceso
"año 2000".
1.6. Determinar si es necesario efectuar acciones correctivas
para asegurar un adecuado tratamiento de la problemática
"año 2000".
2. Planeamiento de la revisión y control.
2.1. Determinar cuales son las fuentes de los sistemas informáticos
de la organización (SI), el soporte para "hardware"
("main-frame", "midrange", redes, computadoras
personales) y las correspondientes aplicaciones, sistema de "software"
operativo y tecnologías asociadas. Destacar si el procesamiento
informático es provisto en forma interna, externa, o de
manera combinada.
2.2. Revisar inspecciones previas, auditorias u opiniones de consultores
respecto de la problemática del "año 2000".
2.3. Revisar las repuestas de la Comisión a toda opinión
significativa respecto al "año 2000".
2.4. Revisar las respuestas al cuestionario de Revisión
General (Anexo II).
2.5. Revisar el memorandum mensual sobre el grado de avance respecto
del cumplimiento del proyecto, según el último párrafo
de la Comunicación "A" 2564 y complementarias,
preparado por la entidad.
2.6. Revisar las estrategias de supervisión.
2.7. Determinar el alcance de la revisión sobre "año
2000", a base de los resultados de los pasos previos.
3. Procedimientos - "Parte I".
3.1. Determinar si el directorio o autoridad equivalente de la
organización y sus niveles gerenciales principales, tienen
cabal conciencia y comprensión de los riesgos y la complejidad
de la problemática "año 2000", mediante:
a) obtención y revisión de las actas del directorio
o autoridad equivalente en las que se hayan discutido las cuestiones
del "año 2000";
b) obtención y revisión de las actas de la Comisión.
3.2. Determinar si la comisión ha desarrollado un plan
para garantizar que el sistema informático de la organización
es adecuado al "año 2000".
3.3. Determinar si la evaluación de la problemática
del "año 2000" por parte de la organización
incluye los sistemas controlados por computación, tales
como: sistemas de telecomunicaciones, cajeros automáticos,
sistemas de respuesta de audio y otros sistemas complementarios
con "microchips" incorporados, como bóvedas (tesoros),
sistemas de alarma y seguridad, teléfonos, máquinas
de "fax" y dispositivos ambientales.
3.4. Determinar si la Comisión de la entidad mantiene comunicación
continúa con su/s proveedor/es, con el fin de informarse
sobre los avances en la instrumentación de soluciones para
el "año 2000".
3.5. Determinar si la organización ha:
a) Revisado los contratos de "software de terceros, a fin
de identificar las riesgos asociados con la autorización
y con las garantías en los contratos de mantenimiento para
el procesamiento del "año 2000".
b) Revisado todos los contratos de procesamiento externo de datos,
para determinar si el proveedor tiene obligaciones respecto del
"año 2000".
c) Establecido un proceso de certificación para verificar
que los productos o vendedores sean adecuados al "año
2000". Si es así, describirlo.
3.6. Determinar si la Comisión ha evaluado la capacidad
financiera y operativa de sus proveedores de "hardware"
y "software", en cuanto a proveer capacidad de procesamiento
para el "año 2000". Destacar los resultados de
dicha evaluación.
3.7. Determinar el estado actual del proyecto "año
2000" de la entidad, incluyendo todo obstáculo previsible
y la manera en que la Comisión planea enfrentarlo.
3.8. Si resulta evidente que los sistemas de la entidad o del
proveedor o prestador de servicio no están completamente
adecuados al "año 2000", determinar:
a) Si todas las aplicaciones afectadas se hallaran renovadas por
completo, con pruebas en curso, para los sistemas críticos,
antes del 31.12.98.
b) Cuales son las aplicaciones cuya renovación no estera
completa al 31.12.98.
c) Si la Comisión ha anticipado los efectos que ocasionara
la no adecuación al "año 2000" antes del
31.12.98, tanto en los planes estratégicos y operativos
de la organización, como en todos los sistemas.
d) Los planes de contingencias de la entidad para modificar la
planificación ante el incumplimiento o de plazos establecidos
para adecuar los sistemas de "hardware" o " software"
en caso de que los mismos no se encuentren adecuados al "al
2000", al 31.12.98
e) Si la entidad tiene planes de contingencias para el caso de
que los sistemas de "hardware" y/o "software"
no funcionaran correctamente el día 1.1.2000.
3.9. Determinar si la Comisión ha discutido con sus grandes
empresas clientes, el efecto de las cuestiones del "año
2000", a fin de asegurar la capacidad que tienen dichos clientes
para cumplir con sus obligaciones.
3.10. Determinar si la entidad ha evaluado con sus proveedores
de sistemas de pago, el efecto de las capacidades de procesamiento
para el "año 2000", incluyendo:
a) Sistemas de transmisión de datos.
b) Cámaras compensadoras electrónicas.
c) Empresas de tarjetas de crédito y sistemas de emisión.
d) Redes de cajeros automáticos.
e) Sistemas de intercambio electrónico de datos.
f) Sistemas de transferencias electrónicas de fondos.
3.11. Determinar si la Comisión ha recurrido a las auditorias
interna o externa para verificar la solidez de los controles internos,
con relación a los esfuerzos hacia el "año
2000".
3.12. Determinar si la Comisión es consciente y contempla
la posibilidad de litigios originados por la problemática
del "año 2000".
4. Procedimientos - "Parte II".
4.1. Auditoria.
4.1.1. Verificar la independencia funcional del personal que realice
la auditoria interna, así como su compromiso respecto de
la revisión de los esfuerzos que realiza la organización
en la problemática del "año 2000".
4.1.2. Revisar los planes y presupuestos de auditoria hasta el
año 1999 y determinar si se destinan los recursos necesarios
para auditorias especificas relacionadas con la problemática
del "año 2000". Asimismo, determinar si los recursos
destinados a dichas auditorias son adecuados.
4.1.3. Determinar si la auditoria se encuentra activamente involucrada
en los esfuerzos dirigidos al "año 2000", con
el fin de verificar y monitorear la eficacia del proceso de gerenciamiento
del proyecto, y si el Comité de Auditoria comunica esta
información al directorio o autoridad equivalente.
4.1.4. Revisar los informes de auditoria interna y externa sobre
el proyecto "año 2000" y determinar la oportunidad
y la adecuación de sus alcances respecto a las respuestas
gerenciales. Asimismo, verificar si es apropiado el seguimiento
que realiza la auditoria sobre las acciones llevadas a cabo, en
respuesta a sus propias conclusiones del proyecto "año
2000".
4.2. Gerenciamiento.
4.2.1. A partir de las discusiones y revisiones de las actas de
la Comisión formada para encarar la problemática
"año 2000", evaluar el cumplimiento del proceso
de gerenciamiento del proyecto para asegurar la adecuación
de los sistemas informáticos y tecnologías asociadas
de la entidad al "año 2000". Destacar si el gerenciamiento
ha:
a) Realizado un inventario de todos los sistemas "hardware"
y "software" incluyendo sucursales en el exterior.
b) Identificado los sistemas "hardware" y "software"
que requieren modificaciones para el "año 2000".
c) Evaluado las distintas alternativas para el tratamiento de
la problemática del "año 2000".
d) Señalado prioridades en los sistemas de "hardware"
y "software", con el fin de asegurarse que las aplicaciones
más críticas sean encaradas en primer término.
e) Considerado todos los sistemas de "software", enfatizando
en las operatorias y registraciones relativas a la actividad de
intermediación financiera, información gerencia),
y sistemas operativos.
f) Considerado los efectos de la problemática del "año
2000" sobre fusiones y adquisiciones de otras entidades.
g) Revisado y aprobado las etapas que garanticen el cumplimiento
de las tareas para el "año 2000", en tiempo oportuno.
h) Desarrollado una estrategia de verificación de las modificaciones
para el "año 2000".
i) Comprobado que todo nuevo sistema este adecuado al "año
2000".
j) Encarado el establecimiento y la revisión de un sistema
efectivo de controles internos respecto a los esfuerzas para el
"año 2000".
k) Determinado el agrupamiento de los sistemas para su conversión.
1) Considerado el papel de la función de "garantía
de calidad".
m) Determinado el rol de los usuarios finales.
n) Exigido un adecuado seguimiento del proyecto, incluyendo periódicas
actualizaciones por parte de la Comisión.
4.2.2. Determinar si la Comisión considero la disponibilidad
de los recursos adecuados para la iniciativa "año
2000", indicando:
a) El tipo de pericia técnica necesaria.
b) El lapso requerido para efectuar acciones correctivas.
c) El tipo y la magnitud de los recursos financieros necesarios,
par adecuar todo el "hardware" ("main-frame",
"midrange", redes, computadoras personales), las aplicaciones
correspondientes y los "softwares" operativos al "año
2000".
d) Todo otro recurso que sea necesario.
4.2.3. Determinar si la organización cuenta con personas,
o puede acceder a personas, que tengan la suficiente capacidad
técnica como para adecuar todo el "hardware"
y "software" al "año 2000", y:
a) en el caso de utilizarse recursos externos, si los mismos han
sido contratados:
b) de no ser así, que seguridad brinda la Comisión
para que dichos recursos sean obtenidos en caso necesario.
4.2.4 Determinar de que manera el directorio o autoridad equivalente
y la Comisión son informados sobre los progresos de los
esfuerzos realizados para el "año 2000".
4.2.5. Determinar si el directorio o autoridad equivalente y/o
la Comisión han establecido líneas claras de autoridad
y responsabilidad para las tareas del "año 2000".
4.2.6. Determinar si el personal afectado al proyecto "año
2000" recibe suficiente apoyo del directorio o autoridad
equivalente y de la Comisión.
4.2.7. Revisar, si corresponde, el proceso de selección
de todo proveedor de servicios para el "año 2000"
y su grado de adecuación.
4.2.8. Evaluar el proceso de gerenciamiento de la conversión
año 2000 de la entidad.
4.3. Sistemas y programación.
4.3.1. Determinar si la organización ha evaluado la capacidad
de sus sistemas de computación ("hardware") para
manejar todos los cambios de "software" necesarios.
4.3.2. Determinar el (los) método(s) a utilizar por la
organización para resolver los cálculos de fecha
del "año 2000" (por ejemplo, conversión
a campos de cuatro posiciones para el año, creación
de ventanas -"sindowing"- y otros).
4.3.3 Evaluar si la organización ha destinado o destinará
un tiempo adecuado para la búsqueda y verificación
de errores en todos los cambios realizados en los "software".
4.3.4. Determinar las herramientas y los lenguajes de programación
que utilizará la entidad.
4.3.5. Indicar si se requerirá una plataforma común
de desarrollo de aplicaciones.
4.3.6. Describir de que manera la organización mantendrá
efectivos controles internos sobre los procesos de cambio del
"software" para la problemática "año
2000".
4.3.7. Determinar si la organización está coordinando
modificaciones y verificando actividades con proveedores, prestadores
de servicios y organizaciones a las cuales envía, o de
las cuales recibe, datos.
4.4. Operaciones informáticas
4.4.1. Revisar las evaluaciones de la Comisión sobre la
previsión de los recursos adiciónales que son requeridos
en los sistemas operativos, redes de telecomunicaciones (incluyendo
cajeros automáticos), y "software" de seguridad,
para manejar el procesamiento del "año 2000".
Describir los resultados de las evaluaciones.
4.4.2. Revisar la evaluación realizada por la organización
sobre los recursos informáticos necesarios para probar
los cambios del "año 2000", mientras se realizan
las actividades diarias de procesamiento.
4.4.3. Detallar las evaluaciones de la Comisión respecto
del efecto de todos los cambios en las prácticas operativas,
como consecuencia de las tareas para el "año 2000".
4.4.4. Revisar y describir la evaluación de la organización,
respecto de los esfuerzas de compatibilidad "año 2000"
y los planes de contingencia.
4.4.5. Determinar si la organización ha comprometido sólidos
controles internos sobre las operaciones, como resultado de enfrentar
las cuestiones "año 2000".
e. 3/2 Nº 215.370 v. 3/2/98