III. Otras disposiciones. MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL. Auditoría de Cuentas. Normas técnicas. (BOE-A-2021-8095)
Resolución de 4 de mayo de 2021, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se someten a información pública las Normas Técnicas de Auditoría, "Consideración de las disposiciones legales y reglamentarias en la auditoría de estados financieros" e "Identificación y valoración del riesgo de incorrección material".
140 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 116
Sábado 15 de mayo de 2021
Sec. III. Pág. 58301
Identificación de riesgos derivados de la utilización de TI y controles generales de TI (Ref: Apartado 26(c))
El Anexo 6 contiene consideraciones para la obtención de conocimiento de los controles generales de TI.
A173. En la identificación de riesgos derivados de la utilización de TI, el auditor puede considerar la naturaleza de la
aplicación de TI identificada u otro aspecto del entorno de TI y los motivos por los que están sujetos a riesgos
derivados de la utilización de TI. En el caso de algunas aplicaciones de TI u otros aspectos del entorno de TI
identificados, es posible que el auditor identifique riesgos aplicables derivados de la utilización de TI
relacionados principalmente con accesos no autorizados o con cambios no autorizados en los programas, o que
tratan los riesgos de cambios inapropiados en los datos (por ejemplo, el riesgos de cambios inapropiados en los
datos mediante el acceso directo a las bases de datos o la capacidad de manipular directamente la información).
A174. La extensión y la naturaleza de los riesgos aplicables identificados derivados de la utilización de TI varían
según la naturaleza y las características de las aplicaciones de TI identificadas y otros aspectos del entorno de
TI. Se pueden producir riesgos de TI aplicables cuando la entidad emplea proveedores de servicios externos o
internos para algunos aspectos de su entorno de TI (por ejemplo, subcontratando a un tercero para el alojamiento
de su entorno de TI o utilizando un centro de servicios compartidos para la gestión centralizada de los procesos
de TI en un grupo). Riesgos aplicables derivados de la utilización de TI también se pueden identificar en
relación con la ciberseguridad. Es más probable que haya más riesgos derivados de la utilización de TI cuanto
mayor sea el volumen o la complejidad de los controles de aplicaciones automatizados y la dirección otorgue
una mayor confianza a dichos controles para un procesamiento eficaz de las transacciones o el mantenimiento
eficaz de la integridad de la información subyacente.
Evaluación del diseño e implementación de controles identificados en el componente de actividades de control (Ref:
Apartado 26(d))
A175. La evaluación del diseño de un control identificado implica la consideración por el auditor de si el control, de
manera individual o en combinación con otros controles, es capaz de prevenir de modo eficaz, o de detectar y
corregir, incorrecciones materiales (es decir, el objetivo de control).
A176. El auditor determina la implementación de un control estableciendo que el control existe y que la entidad lo
está utilizando. No tiene mucho sentido que el auditor evalúe la implementación de un control que no tenga un
diseño eficaz. En consecuencia, el auditor evalúa en primer lugar el diseño del control. Un control
incorrectamente diseñado puede representar una deficiencia de control.
A177. Los procedimientos de valoración del riesgo para la obtención de evidencia de auditoría sobre el diseño e
implementación de controles identificados en el componente de actividades de control pueden incluir:
La indagación ante los empleados de la entidad.
La observación de la aplicación de controles específicos.
La inspección de documentos e informes.
A178. El auditor puede esperar, basándose en la experiencia de la auditoría anterior o en los procedimientos de
valoración del riesgo del periodo actual, que la dirección no haya diseñado o implementado los controles de un
modo eficaz para responder a un riesgo significativo. En esos casos, los procedimientos aplicados para cumplir
el requerimiento del apartado 26(d) pueden consistir en determinar que dichos controles no han sido diseñados
o implementados de un modo eficaz. Si los resultados de los procedimientos indican que los controles han sido
cve: BOE-A-2021-8095
Verificable en https://www.boe.es
Sin embargo, la indagación como único procedimiento no es suficiente para dichos fines.
Núm. 116
Sábado 15 de mayo de 2021
Sec. III. Pág. 58301
Identificación de riesgos derivados de la utilización de TI y controles generales de TI (Ref: Apartado 26(c))
El Anexo 6 contiene consideraciones para la obtención de conocimiento de los controles generales de TI.
A173. En la identificación de riesgos derivados de la utilización de TI, el auditor puede considerar la naturaleza de la
aplicación de TI identificada u otro aspecto del entorno de TI y los motivos por los que están sujetos a riesgos
derivados de la utilización de TI. En el caso de algunas aplicaciones de TI u otros aspectos del entorno de TI
identificados, es posible que el auditor identifique riesgos aplicables derivados de la utilización de TI
relacionados principalmente con accesos no autorizados o con cambios no autorizados en los programas, o que
tratan los riesgos de cambios inapropiados en los datos (por ejemplo, el riesgos de cambios inapropiados en los
datos mediante el acceso directo a las bases de datos o la capacidad de manipular directamente la información).
A174. La extensión y la naturaleza de los riesgos aplicables identificados derivados de la utilización de TI varían
según la naturaleza y las características de las aplicaciones de TI identificadas y otros aspectos del entorno de
TI. Se pueden producir riesgos de TI aplicables cuando la entidad emplea proveedores de servicios externos o
internos para algunos aspectos de su entorno de TI (por ejemplo, subcontratando a un tercero para el alojamiento
de su entorno de TI o utilizando un centro de servicios compartidos para la gestión centralizada de los procesos
de TI en un grupo). Riesgos aplicables derivados de la utilización de TI también se pueden identificar en
relación con la ciberseguridad. Es más probable que haya más riesgos derivados de la utilización de TI cuanto
mayor sea el volumen o la complejidad de los controles de aplicaciones automatizados y la dirección otorgue
una mayor confianza a dichos controles para un procesamiento eficaz de las transacciones o el mantenimiento
eficaz de la integridad de la información subyacente.
Evaluación del diseño e implementación de controles identificados en el componente de actividades de control (Ref:
Apartado 26(d))
A175. La evaluación del diseño de un control identificado implica la consideración por el auditor de si el control, de
manera individual o en combinación con otros controles, es capaz de prevenir de modo eficaz, o de detectar y
corregir, incorrecciones materiales (es decir, el objetivo de control).
A176. El auditor determina la implementación de un control estableciendo que el control existe y que la entidad lo
está utilizando. No tiene mucho sentido que el auditor evalúe la implementación de un control que no tenga un
diseño eficaz. En consecuencia, el auditor evalúa en primer lugar el diseño del control. Un control
incorrectamente diseñado puede representar una deficiencia de control.
A177. Los procedimientos de valoración del riesgo para la obtención de evidencia de auditoría sobre el diseño e
implementación de controles identificados en el componente de actividades de control pueden incluir:
La indagación ante los empleados de la entidad.
La observación de la aplicación de controles específicos.
La inspección de documentos e informes.
A178. El auditor puede esperar, basándose en la experiencia de la auditoría anterior o en los procedimientos de
valoración del riesgo del periodo actual, que la dirección no haya diseñado o implementado los controles de un
modo eficaz para responder a un riesgo significativo. En esos casos, los procedimientos aplicados para cumplir
el requerimiento del apartado 26(d) pueden consistir en determinar que dichos controles no han sido diseñados
o implementados de un modo eficaz. Si los resultados de los procedimientos indican que los controles han sido
cve: BOE-A-2021-8095
Verificable en https://www.boe.es
Sin embargo, la indagación como único procedimiento no es suficiente para dichos fines.
