CIRCULAR EXTERNA No.12–99

23 de marzo de 1999

A TODAS LAS ENTIDADES FISCALIZADAS POR LA
SUPERINTENDENCIA GENERAL DE ENTIDADES FINANCIERAS

ASUNTO: Procedimientos previamente convenidos para ser aplicados en el trabajo del auditor externo que debe ser contratado para preparar un informe sobre los planes que la entidad financiera ejecuta para afrontar el problema del año 2000.

La Superintendencia General de Entidades Financieras

Considerando que:

1. - El Consejo Nacional de Supervisión del Sistema Financiero, mediante Artículo 6 del Acta de la Sesión No 82-99, celebrada el 18 de marzo de 1999, dispuso que todas las entidades financieras sujetas a la supervisión de la Superintendencia General de Entidades Financieras, deberán presentar dos informes preparados por un Despacho de Auditores Externos o Auditor Externo.

2. - En virtud que el acuerdo antes citado, establece que los informes deben ser preparados por los auditores externos contratados para aplicar procedimientos previamente convenidos y emitir un informe sobre componentes específicos relacionados con la existencia y cumplimiento de planes de contingencia y de las etapas o fases de los planes de adecuación que dispuso la SUGEF, mediante circular externa No. 14-98 del 21 de julio de 1998, para afrontar el problema del año 2000.

3. - Los procedimientos previamente convenidos que aplicarán los auditores externos, deberán ser comunicados por esta Superintendencia a todas las entidades y a sus auditores externos, contratados para este fin.

4. - Los procedimientos previamente convenidos que aplicarán los auditores externos, versarán sobre las circulares externas difundidas por la SUGEF entre las entidades supervisadas.

Dispone que los procedimientos previamente convenidos son:

a.- Para constatar si la entidad cuenta con los planes de contingencia. (Este informe debe ser presentado a más tardar el 30 de abril de 1999, con fecha de corte 31 de marzo de 1999)

Constatar la existencia escrita de un plan de contingencia, el cual haya sido debidamente aprobado, mediante acuerdo de la Junta Directiva y/o Consejo de Administración, y además deberá efectuarse la verificación mediante técnicas de auditoría, y así consignarse en papeles de trabajo los aspectos relativos a ese plan.

Los planes de contingencia deben estar estructurados y fundamentados en el documento "Planificación de Contingencias", (Traducción del documento: Year 2000 Computing Crisis: Contingency Planning, General Accounting Office, Marzo 1997), y sobre el cual se establecen los procedimientos previamente convenidos para la preparación de este informe de auditoría.

Los procedimientos previamente convenidos para el informe de los auditores externos del Plan de Contingencia:

  1. Revisión de actas de junta directiva y/o Consejo de Administración para determinar la aprobación del plan de contingencia, en todos sus alcances (legitimado).
  2. Determinación de las características básicas del Plan de contingencias.
  3. Indagar si en base al análisis o clasificación de los riesgos, se cuantificaron las pérdidas probables y se priorización las medidas de control.
  4. Determinar el establecimiento de un grupo de trabajo para el proyecto de continuación de actividades y a quién se reporta.
  5. Verificación del desarrollo y documentación de una estrategia de planificación de continuación de actividades de alto nivel
  6. Identificación y/o inventario de equipo (hardware), según las prioridades de riesgo de los sistemas (de alto a bajo según se define en el documento "Completando el reporte de avance", suministrado por la SUGEF)
  7. Identificación de los procesos críticos de las principales actividades y los sistemas (software) en que se ejecutan estos, incluyendo el o los sistema(s) operativo(s), según las prioridades de riesgo, (sistemas críticos) determinando su jerarquización, de manera que se evidencie la aplicación de alternativas sobre la carga de procesos como la posposición de las aplicaciones de prioridad o riesgo bajo, cambio de frecuencia de procesos de trabajo y suspensión de aplicaciones en desarrollo.
  8. Verificación de la definición de las funciones y asignación de responsabilidades.
  9. Verificación del desarrollo de un calendario maestro y objetivos.
  10. Verificación de la implementación de un proceso de administración de riesgo y establecimiento de un sistema de reporte.
  11. Verificación si se valoraron los planes y capacidades existentes en relación con la continuidad de actividades, contingencias y recuperación antes desastres, mediante la identificación de debilidades y fortalezas de los planes existentes.
  12. Determinar si se implantaron revisiones de los procesos de planificación de la continuación de actividades por parte del personal a cargo de garantizar calidad.
  13. Constatar que se Definió y documentó los requerimientos de información, los métodos y las técnicas que han de usarse en el desarrollo del plan de continuación de actividades.
  14. Constatar que se definió y documentó los escenarios de ocurrencia de fallas en el año 2000.
  15. Constatar que se efectuaron análisis de riesgo e impacto de cada proceso principal.
  16. Constatar si se determinó y documentó los riesgos de infraestructura.
  17. Constatar que se haya definido el nivel mínimo aceptable de resultados y servicios para cada proceso sustantivo, así como los objetivos sobre el tiempo en que tardaría la recuperación.
  18. Verificación de la determinación de costos y beneficios de las alternativas identificadas y elección de la mejor estrategia de contingencia para cada proceso sustantivo.
  19. Verificación de la identificación y documentación del plan de contingencia y modos de implementación.
  20. Verificar si se definió y documentó los mecanismos para activar el plan de contingencia.
  21. Verificar el establecimiento del equipo de reanudación de actividades para cada proceso sustantivo.
  22. Verificar si se desarrollaron y documentaron estrategias y procedimientos para el "día cero".
  23. Determinar si se validaron las estrategias de continuación de actividades.
  24. Verificar el establecimiento de equipos de pruebas y adquisición de recursos de contingencia.
  25. Constatar la preparación y ejecución de pruebas para asignar responsabilidades a los miembros del equipo de pruebas, incluyendo ejecutivos, observadores y contratistas.
  26. Verificación de la validación de la capacidad del plan de contingencia.
  27. Constatar el entrenamiento de los equipos de reanudación de actividades
  28. Verificación de la actualización del plan de continuación de actividades con base en los resultados obtenidos de las pruebas efectuadas y la repetición de más pruebas de ser necesario.
  29. Verificación de la actualización de los planes y procedimientos de recuperación de desastres.
  30. Inspección de documentos que permitan determinar las acciones que se tomarán con respecto al intercambio de información con clientes, otras entidades financieras tanto nacionales como extranjeras.
  31. Inspección de documentos que permitan determinar la existencia de compromisos formales entre la entidad y empresas que les brindarán soporte, entendiéndose este soporte como apoyo en procesos, equipos y sistemas, si la entidad financiera enfrentara problemas en esos aspectos.
  32. Comparación de los resultados obtenidos por la entidad para esta fase y los reportados a la SUGEF.

b. Para verificar los planes de la entidad, en lo que respecta a todas las fases indicadas por la SUGEF en la circular externa 14-98 (Este informe debe ser presentado a más tardar el 30 de julio de 1999, con fecha de corte 30 de junio de 1999)

Verificar la existencia escrita que revele el grado de avance de las etapas o fases de los planes de adecuación que para enfrentar el problema del año 2000, dispuso la SUGEF, mediante la circular externa SUGEF 14-98 del 21 de julio de 1998, así como otras circulares y documentos emitidos al respecto. Dicha verificación debe efectuarse mediante técnicas de auditoría, y además consignarse en papeles de trabajo los siguientes aspectos relativos a esas etapas o fases:

1. Inspección de documentos referentes a la fase de evaluación (Inventario y planeación):

  1. Determinar la ejecución del inventario de hardware, software y cualquier otro equipo con lógica y chips incorporados.
  2. Confirmación, por vía de inspección de documentos sobre el contacto con proveedores para conocer su posición.
  3. Inspección de contratos o certificaciones de los proveedores y confirmación de la información con los proveedores.
  4. Determinar si los resultados obtenidos en esta fase fueron del conocimiento de la gerencia y/o la Junta Directiva y que se dispuso al respecto, así como la designación del o los responsables el seguimiento del plan de contingencia.
  5. Comparación de los resultados obtenidos por la entidad para esta fase con los reportados a la SUGEF.

2. Inspección de documentos referentes a la fase de renovación:

  1. Determinar la adopción de las políticas establecidas con resultado de la fase anterior con respecto al hardware, software y cualquier otro equipo con lógica y chips incorporados, que no cumplen con los requerimientos del año 2000.
  2. Determinar si se efectuaron los cambios o reemplazos en los sistemas, adquisición de nuevo software o hardware, según los resultados de la fase de evaluación, indicando el grado de avance de esta fase y los motivos documentados por la administración, para lo que resta de la renovación del software y hardware.
  3. Determinar el cumplimiento de lo dispuesto por la SUGEF en circular externa 33-98 del 9 de diciembre de 1998, en lo que corresponde a la realización de pruebas internas descritas en el documento "Consideraciones para la estrategia de prueba".
  4. Comparación de los resultados obtenidos por la entidad para esta fase con los reportados a la SUGEF.

3. Inspección de documentos referentes a la fase de planes de contingencia:

  1. Confirmación de las correcciones implementadas, así como la actualización del plan por los ajustes que se hallan determinado como resultado del informe preparado por el auditor externo con fecha de corte 31 de marzo de 1999 y cualquier otra corrección y/o ajuste que se consideró importante efectuar.
  2. Comparación de los resultados obtenidos por la entidad para esta fase y los reportados a la SUGEF.

4. Inspección de documentos referentes a la fase de implementación de los ajustes requeridos:

  1. Inspección de los documentos y respaldos magnéticos (backup) que contienen los resultados para determinar la cantidad de los ajustes y correcciones implantados, y los sistemas afectados, observando que se haya brindado prioridad a los sistemas de mayor riesgo.
  2. Confirmación de la implementación de los ajustes y correcciones determinadas en las etapas o fases anteriores.
  3. Determinar, además del punto anterior, la actualización de la documentación respectiva y la capacitación del personal y la coordinación de todos los sistemas.
  4. Comparación de los resultados obtenidos por la entidad para esta fase con los reportados a la SUGEF.

Todas las etapas o fases deben estar documentadas y el auditor inspeccionará esa documentación y sus pruebas deben quedar respaldadas con evidencia documental, producto de su trabajo.

Bernardo J. Alfaro Araya
Superintendente General