III. Otras disposiciones. MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL. Auditoría de Cuentas. Normas técnicas. (BOE-A-2021-8095)
Resolución de 4 de mayo de 2021, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se someten a información pública las Normas Técnicas de Auditoría, "Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros" e "Identificación y valoración del riesgo de incorrección material".
140 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 116
Sábado 15 de mayo de 2021
Sec. III. Pág. 58344
9.
En la consideración de si las aplicaciones de TI para las que el auditor haya identificado controles automatizados
están sujetas a riesgos derivados de la utilización de TI, es probable que el auditor considere si, y en qué grado,
la entidad podría tener acceso al código fuente que permite a la dirección realizar cambios en los programas a
esos controles o en las aplicaciones de TI. El grado en que la entidad realiza cambios en los programas o en la
configuración y el grado en que los procesos de TI para esos cambios están formalizados también pueden ser
consideraciones relevantes. También es probable que el auditor considere el riesgo de accesos o de cambios en
los datos inadecuados.
10.
Los informes generados por el sistema que el auditor puede tener previsto utilizar como evidencia de auditoría
pueden incluir, por ejemplo, un informe de la antigüedad de las cuentas de clientes o un informe de valoración
de las existencias. Para dichos informes, el auditor puede obtener evidencia de auditoría sobre su integridad y
exactitud aplicando procedimientos sustantivos a los datos de entrada y de salida del informe. En otros casos,
es posible que el auditor tenga previsto comprobar la eficacia operativa de los controles sobre la preparación y
el mantenimiento del informe, en cuyo caso es probable que la aplicación de TI que lo genera esté sujeta a
riesgos derivados de la utilización de TI. Además de comprobar la integridad y exactitud del informe, el auditor
puede tener previsto comprobar la eficacia operativa de los controles generales de TI que responden a los
riesgos de cambios inadecuados, o no autorizados, en los programas o cambios de datos en el informe.
11.
Algunas aplicaciones de TI pueden incluir una funcionalidad para la redacción de informes, mientras que
algunas entidades pueden utilizar también aplicaciones separadas de redacción de informes (es decir, redactores
de informes). En esos casos, puede ser necesario que el auditor determine las fuentes de informes generados
por el sistema (es decir, la aplicación que prepara el informe y las fuentes de los datos utilizados por el informe)
para determinar las aplicaciones de TI sujetas a riesgos derivados de la utilización de TI.
12.
Las fuentes de datos utilizadas por las aplicaciones de TI pueden ser bases de datos a las que, por ejemplo, solo
se puede acceder a través de la aplicación de TI o por personal de TI con permisos de administrador de base de
datos. En otros casos, la fuente de datos puede ser un almacén de datos que puede a su vez ser considerado
aplicación de TI sujeta a riesgos derivados de la utilización de TI.
13.
Es posible que el auditor haya identificado un riesgo para el cual los procedimientos sustantivos por sí solos no
son suficientes debido a la utilización por la entidad de un procesamiento de las transacciones muy
automatizado y sin papel, lo que puede involucrar múltiples aplicaciones de TI integradas. En esas
circunstancias, los controles identificados por el auditor probablemente incluyan controles automatizados.
Además, la entidad puede estar confiando en controles generales de TI para mantener la integridad de las
transacciones que se procesan y de otra información que se utiliza en el procesamiento. En esos casos, las
cve: BOE-A-2021-8095
Verificable en https://www.boe.es
de TI en las que confía la entidad para procesar con exactitud la información financiera y para mantener su
integridad. La identificación de las aplicaciones de TI en las que confía la entidad puede influir en la decisión
del auditor de comprobar los controles automatizados en dichas aplicaciones de TI, suponiendo que esos
controles automatizados responden a riesgos identificados de incorrección material. Por el contrario, si la
entidad no está confiando en una aplicación de TI, es poco probable que los controles automatizados dentro de
dicha aplicación sean adecuados o suficientemente precisos a efectos de comprobaciones de eficacia operativa.
Los controles automatizados que se puedan identificar de conformidad con el apartado 26(b) pueden incluir,
por ejemplo, controles de cálculos o datos de entrada automatizados, de procesamiento y de datos de salida,
como el cotejo triple de una orden de compra, albarán del proveedor y factura del proveedor. Cuando el auditor
haya identificado controles automatizados y determine mediante la obtención de conocimiento del entorno de
TI que la entidad confía en la aplicación de TI que incluye esos controles automatizados, puede ser más probable
que el auditor identifique la aplicación de TI como sujeta a riesgos derivados de la utilización de TI.
Núm. 116
Sábado 15 de mayo de 2021
Sec. III. Pág. 58344
9.
En la consideración de si las aplicaciones de TI para las que el auditor haya identificado controles automatizados
están sujetas a riesgos derivados de la utilización de TI, es probable que el auditor considere si, y en qué grado,
la entidad podría tener acceso al código fuente que permite a la dirección realizar cambios en los programas a
esos controles o en las aplicaciones de TI. El grado en que la entidad realiza cambios en los programas o en la
configuración y el grado en que los procesos de TI para esos cambios están formalizados también pueden ser
consideraciones relevantes. También es probable que el auditor considere el riesgo de accesos o de cambios en
los datos inadecuados.
10.
Los informes generados por el sistema que el auditor puede tener previsto utilizar como evidencia de auditoría
pueden incluir, por ejemplo, un informe de la antigüedad de las cuentas de clientes o un informe de valoración
de las existencias. Para dichos informes, el auditor puede obtener evidencia de auditoría sobre su integridad y
exactitud aplicando procedimientos sustantivos a los datos de entrada y de salida del informe. En otros casos,
es posible que el auditor tenga previsto comprobar la eficacia operativa de los controles sobre la preparación y
el mantenimiento del informe, en cuyo caso es probable que la aplicación de TI que lo genera esté sujeta a
riesgos derivados de la utilización de TI. Además de comprobar la integridad y exactitud del informe, el auditor
puede tener previsto comprobar la eficacia operativa de los controles generales de TI que responden a los
riesgos de cambios inadecuados, o no autorizados, en los programas o cambios de datos en el informe.
11.
Algunas aplicaciones de TI pueden incluir una funcionalidad para la redacción de informes, mientras que
algunas entidades pueden utilizar también aplicaciones separadas de redacción de informes (es decir, redactores
de informes). En esos casos, puede ser necesario que el auditor determine las fuentes de informes generados
por el sistema (es decir, la aplicación que prepara el informe y las fuentes de los datos utilizados por el informe)
para determinar las aplicaciones de TI sujetas a riesgos derivados de la utilización de TI.
12.
Las fuentes de datos utilizadas por las aplicaciones de TI pueden ser bases de datos a las que, por ejemplo, solo
se puede acceder a través de la aplicación de TI o por personal de TI con permisos de administrador de base de
datos. En otros casos, la fuente de datos puede ser un almacén de datos que puede a su vez ser considerado
aplicación de TI sujeta a riesgos derivados de la utilización de TI.
13.
Es posible que el auditor haya identificado un riesgo para el cual los procedimientos sustantivos por sí solos no
son suficientes debido a la utilización por la entidad de un procesamiento de las transacciones muy
automatizado y sin papel, lo que puede involucrar múltiples aplicaciones de TI integradas. En esas
circunstancias, los controles identificados por el auditor probablemente incluyan controles automatizados.
Además, la entidad puede estar confiando en controles generales de TI para mantener la integridad de las
transacciones que se procesan y de otra información que se utiliza en el procesamiento. En esos casos, las
cve: BOE-A-2021-8095
Verificable en https://www.boe.es
de TI en las que confía la entidad para procesar con exactitud la información financiera y para mantener su
integridad. La identificación de las aplicaciones de TI en las que confía la entidad puede influir en la decisión
del auditor de comprobar los controles automatizados en dichas aplicaciones de TI, suponiendo que esos
controles automatizados responden a riesgos identificados de incorrección material. Por el contrario, si la
entidad no está confiando en una aplicación de TI, es poco probable que los controles automatizados dentro de
dicha aplicación sean adecuados o suficientemente precisos a efectos de comprobaciones de eficacia operativa.
Los controles automatizados que se puedan identificar de conformidad con el apartado 26(b) pueden incluir,
por ejemplo, controles de cálculos o datos de entrada automatizados, de procesamiento y de datos de salida,
como el cotejo triple de una orden de compra, albarán del proveedor y factura del proveedor. Cuando el auditor
haya identificado controles automatizados y determine mediante la obtención de conocimiento del entorno de
TI que la entidad confía en la aplicación de TI que incluye esos controles automatizados, puede ser más probable
que el auditor identifique la aplicación de TI como sujeta a riesgos derivados de la utilización de TI.
