CIRCULAR EXTERNA 50 DE 1997
(10 de Diciembre)
SUPERINTENDENCIA NACIONAL DE SALUD
PARA: Representantes legales, revisores fiscales y/o jefes de control interno de las entidades sujetas a la inspección, vigilancia y control de la superintendencia nacional de salud.
DE: SUPERINTENDENCIA NACIONAL DE SALUD
ASUNTO: Plan de acción y medidas a tomar por parte de las entidades vigiladas, con el propósito de evitar los problemas que se ocasionarán en los sistemas computacionales por el cambio de milenio.
De conformidad con lo estipulado en el Decreto 1259 de 1994, artículo 3, numeral 6, le corresponde a la Superintendencia Nacional de Salud la adopción de políticas de inspección y vigilancia encaminadas a permitir que los entes vigilados centren su actividad en la evolución de sanas prácticas y desarrollos tecnológicos que aseguren un crecimiento adecuado de las mismas.
En virtud de lo anterior y con el propósito de prever y subsanar los inconvenientes que se pueden presentar en los diferentes sistemas de información y cómputo de las entidades vigiladas ante el cambio de milenio, esta Superintendencia ha estimado conveniente impartir las siguientes instrucciones, previa descripción del origen del problema, así como de los riesgos y situaciones que se podrían generar.
Ante la proximidad del año 2000, las entidades Vigiladas deberán estar alerta y evaluar los riesgos potenciales a los cuales se verán enfrentadas como consecuencia de las implicaciones que para los códigos de programación representa el inicio del nuevo milenio.
Cada organización que utilice sistemas de seguridad, centrales telefónicas, ascensores, sensores y todos los demás equipos y aplicaciones que usen un microchip, verán afectados sus sistemas de operación con la aproximación al "00" de la nomenclatura utilizada para la determinación de un año en particular. La mayoría de programas y sistemas operativos, se han desarrollado con un esquema de seis dígitos para el campo donde se especifica la fecha (AAMMDD). Este sistema de medición de tiempo es susceptible de devolverse a su punto inicial una vez alcance su límite máximo; es decir, que una vez se llegue al "00" del año 2000, el sistema reconocerá esta fecha como el año 1900.
Así mismo, el calendario actual señala el año como un período de 365,25 días, generándose cada cuatro años un año bisiesto producto de la acumulación de las fracciones remanentes; adicionalmente, el primer año de cada siglo no se considera como año bisiesto, excepto cada cuatro siglos, como es el caso del año 2000. No obstante lo anterior, muchos fabricantes de software no han considerado este hecho.
2- PROBLEMAS SUSCEPTIBLES DE PRESENTARSE.
La variable donde se especifica una fecha determinada se utiliza como base de cálculo en fórmulas programadas en los sistemas de los computadores centrales, redes computacionales, sistemas de comunicaciones y computadores personales. Con la llegada del año 2000, estas formulaciones producirán resultados inexactos en los sistemas contables, financieros, administrativos, sistemas de afiliaciones, manejo electrónico de documentos y archivos, y en general, en cualquier aplicación que utilice la variable fecha como parámetro para realizar alguna operación.
Así por ejemplo, en todos los procesos relacionados con el Sistema General de Seguridad Social en Salud, el no reconocimiento de las fechas impedirá la prestación del servicio de la salud en condiciones óptimas, en las diferentes entidades que tienen esta función, causando vencimientos anticipados de afiliaciones, inexistencias de pagos de cotización, alteraciones en las estadísticas, etc.
3- RIESGOS POTENCIALES PARA LA ENTIDAD VIGILADA.
El desconocimiento o la falta de diligencia por parte de las entidades vigiladas en la anticipación y solución de los inconvenientes que ocasionará el cambio de milenio en los sistemas de información, podría generar, entre otros, los siguientes problemas:
- Parálisis temporal o permanente de los sistemas de información, incluso los de la institución.
- Importantes pérdidas de dinero por cálculos errados (v.g. en los sistemas de afiliación y pagos, en los aportes parafiscales con destino a la salud, transferencias de los recursos al sector salud, calificación y recuperación de cartera, pagos de obligaciones y recaudos, planeación de flujos de caja, elaboración de estados financieros, etc.).
- Deterioro en la imagen de la institución y deficiencias en la prestación de los servicios.
- Incremento substancial en los costos del proceso de búsqueda de soluciones.
- Multas y sanciones que impongan las entidades de supervisión y control al no prestar oportunamente los servicios.
4- PLAN DE ACCIÓN A IMPLEMENTARSE.
Con el fin de lograr la compatibilidad de los sistemas de cómputo con el nuevo siglo, las entidades están en la obligación de evaluar los riesgos a los cuales se pueden exponer y seguidamente implantar un plan de acción detallado.
Con el objetivo de realizar una evaluación adecuada de los riesgos potenciales identificados y de desarrollar un plan de acción apropiado, las entidades deberán considerar cuando menos los siguientes aspectos:
4-1- Elaborar el Plan de Trabajo.
- CONFORMACIÓN DEL EQUIPO DE TRABAJO: Se hace necesario establecer un equipo de trabajo, encargado de diseñar y llevar a cabo un plan institucional con miras al año 2000. Para esto, las entidades vigiladas deberán guiarse por el anexo Técnico "Manual de Seguimiento y Control", adjunto a la presente circular.
- INVENTARIO DETALLADO DE HARDWARE Y SOFTWARE Y ANÁLISIS DE SENSIBILIDAD: A fin de realizar una estimación del impacto que tendrá el cambio de milenio en los sistemas de la organización, se debe realizar un inventario de los sistemas de cómputo que estén operando; de sus programas fuentes y ejecutables; archivos de entrada y salida; bases de datos utilizadas; manuales de usuario, operación y mantenimiento; así como una evaluación sobre la sensibilidad de estos ante los riesgos que trae consigo el inicio del nuevo siglo.
- ESTABLECIMIENTO DE PRIORIDADES: Con base en el paso anterior, el equipo de trabajo deberá establecer un orden de prioridades que permita atender, de acuerdo con su importancia, todas las aplicaciones susceptibles de generar un riesgo para la entidad.
- DETERMINACIÓN DE LOS RECURSOS NECESARIOS: Se debe realizar una evaluación de los recursos necesarios para que la organización haga frente a los diferentes problemas que se generan con el cambio de siglo. La junta directiva o la Alta Gerencia de cada entidad debe asegurar la asignación de los fondos y de los recursos indispensables para llevar a cabo el plan de acción.
- TÉRMINOS PARA LA ELABORACIÓN DEL PLAN: Para hacer frente a los diferentes problemas que se generan a raíz del cambio de milenio, el plan de acción, deberá estar terminado a más tardar el 31 de diciembre de 1997, fecha a partir de la cual deben estar a disposición de esta Superintendencia, quien los podrá solicitar en cualquier momento, sin perjuicio de las visitas que programe con el fin de verificar el cumplimiento de las instrucciones impartidas.
En las entidades que cuenten con Revisor Fiscal, éste está en la obligación de verificar el cumplimiento del plan e informar a esta Superintendencia sobre cualquier hecho o retraso que pudiera afectar la operación normal de la entidad, en el presente o en los próximos tres (3) años. En caso de no contar con Revisor Fiscal, el jefe de Control Interno o quien desarrolle estas funciones asumirá tal obligación.
- EVALUACIÓN DE ALTERNATIVAS: El plan institucional deberá iniciarse determinando si los sistemas de información, archivos y bases de datos con que actualmente cuenta la organización deben ser modificados, reemplazados, subcontratados o descontinuados, así como el costo de este proceso. Esta evaluación deberá seguir el orden prioritario establecido por el equipo de trabajo en el plan de acción.
- EVALUACIÓN DE PROVEEDORES: Cuando la alternativa de solución implique el reemplazo o subcontratación, la entidad debe asegurarse de que tanto los sistemas de cómputo como el software ofrecido por las empresas de servicios y vendedores externos, enfrenten de una manera adecuada los problemas inherentes al inicio del nuevo siglo.
- INICIO DE LABORES DE ACUERDO CON EL ORDEN DE PRIORIDADES: El proceso de ajuste en la entidad debe iniciarse mediante la implantación sistemática de los cambios, de acuerdo con un orden prioritario determinado por su nivel de riesgo. De esta manera, la institución seguirá los pasos adecuados para garantizar que las actividades primordiales para el funcionamiento del negocio continúen, incluso en el caso en que los proveedores externos no logren cubrir los requerimientos del inicio de un nuevo siglo.
- PROYECTOS PILOTO: Se deben iniciar proyectos piloto que permitan identificar problemas y encontrar soluciones.
- PRUEBAS Y SIMULACIÓN DE SOLUCIONES: Se deben efectuar revisiones posteriores al inicio del plan de acción, que aseguren la integridad y funcionalidad de los sistemas modificados. Así mismo, deben realizarse auditorías que garanticen el desarrollo adecuado del plan de acción, revisando, aprobando y estableciendo puntos de chequeo.
- TÉRMINO PARA EL DESARROLLO E IMPLANTACIÓN DE SOLUCIONES: La fecha estipulada para la terminación de estas modificaciones es Diciembre 31 de 1998. De esta manera, las entidades contarán con todo el año de 1999 para la realización de pruebas y toma de correctivos.
Para obtener mayor información sobre el problema del año 2000, conocer metodologías para su solución, evaluar si los microcomputadores pueden tener problemas, etc. puede consultar las siguientes páginas de Internet:
http://www.intel.com/procs/support/year2000/index.htm
http://www.ibm.com/IBM/year2000/
Buscando "year 2000", con cualquier motor de búsqueda, encontrará información adicional.
6. 1CONSIDERACIONES GENERALES.
Dada la complejidad de los problemas a los cuales se enfrentan los sistemas de cómputo de las entidades vigiladas con la llegada del nuevo milenio y lo grave de las consecuencias que se pueden generar de no tomarse una acción oportuna, esta Superintendencia iniciará a partir de marzo de 1998 visitas periódicas a las diferentes entidades vigiladas, con el objeto de realizar un seguimiento de los procesos que cada institución esté empleando a fin de dar solución a los problemas aquí planteados.
Las entidades públicas deben garantizar la continuidad en los servicios, regularidad, igualdad y generalidad. Se debe prever que los documentos y papeles que le sean solicitados a la administración deben ser suministrados a quien los requiera.
Finalmente, la inobservancia de las instrucciones aquí impartidas, dará lugar a las sanciones de que trata el artículo 5 numeral 23 del Decreto 1259 de 1994.
Esta circular rige a partir de la fecha de su publicación.
Cordial saludo,
DARÍO ANGARITA MEDELLÍN
Superintendente Nacional de Salud.
MANUAL DE SEGUIMIENTO Y CONTROL.
Este manual de seguimiento y control es para uso general de todas las entidades vigiladas por esta Superintendencia, y ayudará al equipo de trabajo de cada entidad, a determinar si la institución está enfrentando los problemas del cambio de siglo de una manera adecuada.
* Determinar si la organización cuenta con un plan efectivo para identificar, renovar, probar e implantar soluciones a los problemas inherentes al año 2000.
* Dirigir de una manera efectiva los esfuerzos en el plan de acción de la organización.
* Determinar si la organización ha coordinado de manera coherente sus esfuerzos con proveedores y clientes.
* Identificar dónde se deben tomar los correctivos más severos para asegurar un nivel apropiado de atención a los cambios requeridos por la llegada del año 2000.
ASPECTOS GENERALES A TENER EN CUENTA.
3.1. Determinar si la Junta Directiva y la Alta Gerencia de la entidad son conscientes de los riesgos a que se enfrenta la institución como consecuencia del cambio de milenio.
3.2. Determinar si la Alta Gerencia ha desarrollado un plan para asegurar la compatibilidad de los sistemas de computación de la entidad con el año 2000.
3.3. Verificar que la evaluación realizada incluya todos aquellos sistemas manejados por computador tales como: sistemas contables, financieros, administrativos, comunicaciones, manejo electrónico, sistemas de seguridad, documentos y archivos, centrales telefónicas, ascensores, sensores y todos los demás equipos y aplicaciones que usen un microchip y en general, cualquier aplicación que utilice la variable fecha como parámetro para realizar alguna operación.
3.4. Promover la comunicación continua de la organización con los proveedores de software y hardware para verificar su progreso en la implantación de soluciones hacia el cambio de milenio.
3.5. Establecer una revisión de los contratos con vendedores externos de software a fin de determinar sus riesgos ante el cambio de milenio, la responsabilidad de los vendedores en cuanto a actualización y compatibilidad con el nuevo siglo, y verificar la inclusión de cláusulas que contemplen la compatibilidad de los productos ofrecidos con el nuevo milenio y que consideren el año 2000 como año bisiesto. Examinar que las pólizas incluyan siniestros informáticos, caídas o errores de sistemas provenientes del problema del año 2000, controlar que las pólizas de cumplimiento y garantía de los contratos tengan una vigencia mínima de tres años luego de la entrega del bien o servicio.
3.6. Determinar si la Alta Gerencia ha realizado una evaluación adecuada de las capacidades técnicas y financieras de sus proveedores de hardware y software, que garanticen el cumplimiento, por parte de estos últimos, de los requerimientos exigidos por el cambio de milenio.
3.7. Evaluar continuamente el estado del plan de acción, incluyendo las barreras que representen una amenaza potencial en su desarrollo, y las estrategias para enfrentarlas.
3.8. Ante la evidencia de que el proveedor de software y hardware de la organización no cumpla con los requerimientos del cambio de milenio, es necesario determinar:
- Qué aplicaciones, de aquellas que se verán afectadas, estarán completamente modificadas antes de diciembre 31 de 1998, a fin de realizar las pruebas necesarias.
- Qué aplicaciones relevantes en el funcionamiento de la organización no alcanzarán a ser actualizadas antes del año 2000.
- De qué manera la Alta Gerencia se ha anticipado a los efectos que tendría, sobre el plan de acción, el no alcanzar a actualizar todos los sistemas antes de diciembre 31 de 1998.
- Cuáles son los planes de contingencia a seguir, en la eventualidad de no alcanzar la actualización en los sistemas de la organización antes de diciembre 31 de 1998.
- Que no obstante existan planes de contingencia adecuados, el 1 de enero del año 2000 pueden generarse problemas de incompatibilidad en los sistemas.
3.9. Promover una continua comunicación entre la Alta Gerencia y los clientes sobre los problemas potenciales a que se verán enfrentadas ambas entidades con el inicio del nuevo milenio, a fin de trabajar conjuntamente en los ajustes de los sistemas y requerimientos de información de ambas partes.
3.10. Determinar si la Alta Gerencia ha utilizado auditorías internas o externas para medir la efectividad de los controles asociados con los esfuerzos hacia el año 2000.
4- ACTIVIDADES ESPECÍFICAS A SEGUIR.
4.1.1 Evaluar la independencia de la función del personal interno y externo involucrado en las auditorías a los procesos del año 2000.
4.1.2 Revisar los planes y presupuestos de auditoría establecidos hasta 1999, con el fin de identificar los requerimientos para enfrentar el cambio de siglo. Determinar si estos planes han sido basados en un inventario formal de todos los sistemas afectados.
4.1.3 Determinar si la auditoría está lo suficientemente involucrada con el problema de cambio de siglo para asegurar un adecuado monitoreo del plan de acción. Así mismo, se deben establecer la frecuencia y forma de comunicación de los auditores con la Junta Directiva.
4.2.1 Con base en discusiones con la Alta Gerencia y en la revisión de las actas de las reuniones llevadas a cabo para hacer frente al problema del cambio de siglo, se deben evaluar la cobertura del plan de acción a fin de asegurar una completa compatibilidad de los sistemas con los requerimientos del año 2000. Determinar si la Alta Gerencia ha:
- Realizado un inventario completo de todos los sistemas de la organización.
- Identificado todos aquellos sistemas que requieren una modificación.
- Evaluado varias alternativas para hacer frente al cambio de siglo.
- Elaborado un orden prioritario de acuerdo con la importancia de cada aplicación.
- Considerado los efectos del año 2000 en todas las aplicaciones de la organización.
- Considerado los efectos del año 2000 en fusiones y adquisiciones.
- Tenido en cuenta todas las posibles barreras a fin de asegurar la terminación de los procesos de modificación en un plazo de tiempo adecuado.
- Establecido un plan de pruebas para las modificaciones.
- Asegurado la compatibilidad de todos los sistemas con los requerimientos del año 2000.
- Establecido y revisado un sistema efectivo de control interno sobre los esfuerzos hacia el año 2000.
- Evaluado las necesidades de los usuarios finales.
- Evaluado la necesidad de un plan de contingencias.
4.2.2 Determinar si la Alta Gerencia consideró la disponibilidad de los recursos para hacer frente al inicio de milenio a través de la identificación de:
- Las características de los técnicos especializados que se van a requerir.
- El tiempo necesario para tomar las acciones correctivas.
- Los recursos financieros requeridos.
- Qué otros recursos serán necesarios.
4.2.3 Los efectos del plan de acción en las utilidades, capital, liquidez, afiliaciones al Sistema de Seguridad Social en Salud, oportunidad en la prestación de los servicios, atención al usuario, solicitud de información. etc
4.2.4 Determinar si la organización tiene personal con la suficiente experiencia técnica para hacer el software de la organización, compatible con el nuevo milenio.
4.2.5 Determinar si la Junta Directiva y la Alta Gerencia se han mantenido informados de los progresos en el plan de acción, así como de los problemas encontrados especialmente en las fases de desarrollo e implantación.
4.2.6 Determinar si la Junta Directiva y/o la Alta Gerencia han establecido líneas claras de responsabilidad y autoridad en el plan de acción hacia el año 2000.
4.2.7 Determinar si el grupo de trabajo que labora en el plan de acción ha recibido el suficiente respaldo por parte de la junta directiva y la alta gerencia.
4.2.8 Revisar y evaluar el proceso de selección de los diferentes proveedores de software y hardware.
4.2.9 Revisar paulatinamente el proceso de conversión de la organización hacia el nuevo siglo.
4-3 En cuanto a los sistemas de programación.
4.3.1 Determinar si la organización ha evaluado la flexibilidad del hardware existente para afrontar cambios necesarios en el software.
4.3.2 Determinar cuáles son los métodos que utilizará la entidad para afrontar los problemas de cálculo inherentes al nuevo siglo.
4.3.3 Evaluar si la organización ha dedicado el tiempo necesario para la realización de las pruebas del software modificado.
4.3.4Determinar las herramientas y lenguajes de programación que utilizará la entidad.
4.3.5 Determinar la necesidad de desarrollar una aplicación que solucione los problemas comunes de los diferentes sistemas de información.
4.3.6 Describir cómo la organización mantendrá control interno sobre el software modificado.
4.3.7 Evaluar la coordinación entre la organización, sus proveedores de software y las otras entidades con quienes intercambiará información durante los períodos de prueba.
4-4 En las prácticas operativas.
4.4.1 Revisar la evaluación realizada por la Alta Gerencia sobre los recursos demandados por el cambio de milenio en materia de sistemas operativos y sistemas de seguridad.
4.4.2 Evaluar las adecuaciones implantadas por la entidad en sus sistemas operacionales para continuar con sus actividades normales mientras se lleva a cabo el período de pruebas.
4.4.3 Describir la evaluación que la Alta Gerencia ha llevado a cabo sobre los efectos que producirán los cambios que, por el inicio del nuevo milenio, tengan lugar en la operación del negocio.
4.4.4 Revisar la evaluación llevada a cabo por la organización sobre el impacto que el plan de acción tendrá en la continuidad de los negocios de la entidad.
5.1 Preparar un reporte sobre la evaluación tratando los siguientes puntos:
- Capacidad de los sistemas actuales vs. requerimientos del año 2000.
- Efectividad de la Alta Gerencia en su manejo del plan de acción hacia el año 2000.
- Eficiencia del plan de acción para identificar, corregir, probar e implantar soluciones para el cambio de siglo.
- Metodología utilizada para solucionar el problema de cambio de fechas en el año 2000.
- Estado actual del plan de acción, así como la capacidad de la entidad para completar los cambios correspondientes, antes de diciembre 31 de 1998.
- Efectividad de la Alta Gerencia para coordinar los requerimientos del cambio de milenio con sus proveedores de hardware y software, clientes y otras entidades con quien intercambien información.
- Efecto que tiene el plan de acción sobre aspectos tales como las utilidades, capital,liquidez, afiliaciones al Sistema de Seguridad Social en Salud, oportunidad en la prestación de los servicios, atención al usuario, solicitud de información. etc.
- Efectividad de las labores de auditoría y su adecuación de controles internos para el plan de acción del año 2000.
5.2 Preparar las recomendaciones correspondientes para asegurar el desempeño adecuado de la entidad en su plan de acción hacia el año 2000.
5.3 Resumir las fortalezas y debilidades del plan de acción.
5.4 Discutir las conclusiones con los ejecutivos de alto nivel de la entidad responsables del plan de acción.
