III. Otras disposiciones. MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL. Auditoría de Cuentas. Normas técnicas. (BOE-A-2021-8095)
Resolución de 4 de mayo de 2021, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se someten a información pública las Normas Técnicas de Auditoría, "Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros" e "Identificación y valoración del riesgo de incorrección material".
140 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 116
Sábado 15 de mayo de 2021
Sec. III. Pág. 58300
Ejemplos:
Es poco probable que una entidad que utiliza un software comercial y no tiene acceso al código fuente
para realizar ningún cambio en los programas tenga un proceso relativo a cambios en los programas,
pero sí puede tener un proceso o procedimientos para configurar el software (por ejemplo, el cuadro
de cuentas, parámetros o niveles). Además, es posible que la entidad tenga un proceso o
procedimientos para gestionar el acceso a la aplicación (por ejemplo, haber nombrado una persona
para que tenga acceso al software comercial). En esas circunstancias, es poco probable que la entidad
tenga o necesite controles generales de TI formales.
Por el contrario, es posible que una entidad de gran dimensión confíe en mayor grado en las TI y el
entorno de TI puede involucrar múltiples aplicaciones de TI y los procesos de TI para la gestión del
entorno de TI pueden ser complejos (por ejemplo, existe un departamento separado de TI que
desarrolla e implementa los cambios en los programas y gestiona los derechos de acceso), incluido el
que la entidad haya implementado controles generales de TI formales sobre sus procesos de TI.
Cuando la dirección no confíe en controles automatizados o en controles generales de TI para el
procesamiento de transacciones o el mantenimiento de los datos, y el auditor no haya identificado
ningún control automatizado u otros controles de procesamiento de la información (o ninguno que
dependa de los controles generales de TI), el auditor puede planificar comprobar directamente
cualquier información generada por la entidad que implique TI y puede no identificar ninguna
aplicación de TI sujeta a riesgos por la utilización de TI.
Cuando la dirección confíe en una aplicación de TI para el procesamiento o el mantenimiento de los
datos y el volumen de datos sea significativo, y la dirección confíe en la aplicación de TI para ejecutar
controles automatizados que el auditor también ha identificado, es probable que la aplicación de TI
esté sujeta a riesgos por la utilización de TI.
A171. Cuando el entorno de TI de una entidad es más complejo, es probable que la identificación de las aplicaciones
de TI y otros aspectos del entorno de TI, la determinación de los riesgos relacionados derivados de la utilización
de TI y la identificación de controles generales de TI requiera la participación de miembros del equipo con
cualificaciones especializadas en TI. Es posible que esa participación sea esencial y tenga que ser extensa en el
caso de entornos de TI complejos.
Identificación de otros aspectos del entorno de TI sujetos a riesgos derivados de la utilización de TI
cve: BOE-A-2021-8095
Verificable en https://www.boe.es
A172. Los demás aspectos del entorno de TI que pueden estar sujetos a riesgos derivados de la utilización de TI
incluyen la red, los sistemas operativos y bases de datos y, en determinadas circunstancias, las comunicaciones
(interfaces) entre aplicaciones de TI. Por lo general, no se identifican otros aspectos del entorno de TI cuando
el auditor no identifica aplicaciones sujetas a riesgos derivados de la utilización de TI. Cuando el auditor haya
identificado aplicaciones de TI sujetas a riesgos derivados de la utilización de TI, es probable que se
identifiquen otros aspectos del entorno de TI (por ejemplo, bases de datos, sistema operativo, red) porque esos
aspectos dan apoyo e interactúan con las aplicaciones de TI identificadas.
Núm. 116
Sábado 15 de mayo de 2021
Sec. III. Pág. 58300
Ejemplos:
Es poco probable que una entidad que utiliza un software comercial y no tiene acceso al código fuente
para realizar ningún cambio en los programas tenga un proceso relativo a cambios en los programas,
pero sí puede tener un proceso o procedimientos para configurar el software (por ejemplo, el cuadro
de cuentas, parámetros o niveles). Además, es posible que la entidad tenga un proceso o
procedimientos para gestionar el acceso a la aplicación (por ejemplo, haber nombrado una persona
para que tenga acceso al software comercial). En esas circunstancias, es poco probable que la entidad
tenga o necesite controles generales de TI formales.
Por el contrario, es posible que una entidad de gran dimensión confíe en mayor grado en las TI y el
entorno de TI puede involucrar múltiples aplicaciones de TI y los procesos de TI para la gestión del
entorno de TI pueden ser complejos (por ejemplo, existe un departamento separado de TI que
desarrolla e implementa los cambios en los programas y gestiona los derechos de acceso), incluido el
que la entidad haya implementado controles generales de TI formales sobre sus procesos de TI.
Cuando la dirección no confíe en controles automatizados o en controles generales de TI para el
procesamiento de transacciones o el mantenimiento de los datos, y el auditor no haya identificado
ningún control automatizado u otros controles de procesamiento de la información (o ninguno que
dependa de los controles generales de TI), el auditor puede planificar comprobar directamente
cualquier información generada por la entidad que implique TI y puede no identificar ninguna
aplicación de TI sujeta a riesgos por la utilización de TI.
Cuando la dirección confíe en una aplicación de TI para el procesamiento o el mantenimiento de los
datos y el volumen de datos sea significativo, y la dirección confíe en la aplicación de TI para ejecutar
controles automatizados que el auditor también ha identificado, es probable que la aplicación de TI
esté sujeta a riesgos por la utilización de TI.
A171. Cuando el entorno de TI de una entidad es más complejo, es probable que la identificación de las aplicaciones
de TI y otros aspectos del entorno de TI, la determinación de los riesgos relacionados derivados de la utilización
de TI y la identificación de controles generales de TI requiera la participación de miembros del equipo con
cualificaciones especializadas en TI. Es posible que esa participación sea esencial y tenga que ser extensa en el
caso de entornos de TI complejos.
Identificación de otros aspectos del entorno de TI sujetos a riesgos derivados de la utilización de TI
cve: BOE-A-2021-8095
Verificable en https://www.boe.es
A172. Los demás aspectos del entorno de TI que pueden estar sujetos a riesgos derivados de la utilización de TI
incluyen la red, los sistemas operativos y bases de datos y, en determinadas circunstancias, las comunicaciones
(interfaces) entre aplicaciones de TI. Por lo general, no se identifican otros aspectos del entorno de TI cuando
el auditor no identifica aplicaciones sujetas a riesgos derivados de la utilización de TI. Cuando el auditor haya
identificado aplicaciones de TI sujetas a riesgos derivados de la utilización de TI, es probable que se
identifiquen otros aspectos del entorno de TI (por ejemplo, bases de datos, sistema operativo, red) porque esos
aspectos dan apoyo e interactúan con las aplicaciones de TI identificadas.
