III. Otras disposiciones. MINISTERIO DE ECONOMÍA, COMERCIO Y EMPRESA. Normas Técnicas de Auditoría. (BOE-A-2024-269)
Resolución de 20 de diciembre de 2023, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España, "Consideraciones especiales-Auditorías de estados financieros de grupos (incluido el trabajo de los auditores de componentes)", NIA-ES 600 (Revisada).
87 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Jueves 4 de enero de 2024
Sec. III. Pág. 1461
diferente en las distintas entidades o unidades de negocio, puede resultar necesario determinar si
el control se puede calificar como control común. Esto se debe a que pueden existir diferencias en
el diseño del control debidas a la existencia de diferentes aplicaciones de TI (por ejemplo, si la
aplicación de TI está configurada del mismo modo en los componentes y si existen controles
generales de TI eficaces en las distintas aplicaciones de TI).
A99. La consideración del nivel al que se realizan los controles dentro del grupo (por ejemplo, a nivel
del grupo consolidado en su conjunto o para otros niveles de agregación dentro del grupo) y el
grado de centralización y de uniformidad pueden ser importantes para comprender el modo en
que se procesa y controla la información. En determinadas circunstancias, los controles se pueden
realizar de modo centralizado (por ejemplo, en una única entidad o unidad de negocio) pero
pueden tener un efecto generalizado en otras entidades o unidades de negocio (por ejemplo, un
centro de servicios compartidos que procesa transacciones en nombre de otras entidades o
unidades de negocio dentro del grupo). El procesamiento de transacciones y de los
correspondientes controles en un centro de servicios compartido puede funcionar del mismo
modo para las transacciones procesadas por dicho centro de servicios compartidos
independientemente de la entidad o unidad de negocio (por ejemplo, los procesos, riesgos y
controles pueden ser los mismos independientemente del origen de la transacción). En dichos
casos, puede resultar adecuado identificar los controles, evaluar su diseño y determinar la
implementación de los controles y, en su caso, probar la eficacia operativa, como una única
población.
Actividades centralizadas (Ref: Apartado 30(c)(i)-(ii))
A100. Es posible que la dirección del grupo centralice algunas de sus actividades, por ejemplo, las
funciones de información financiera o de contabilidad para un determinado grupo de
transacciones comunes u otra información financiera se pueden realizar de un modo congruente y
centralizado para múltiples entidades o unidades de negocio (por ejemplo, cuando el inicio,
autorización, registro, procesamiento o información sobre transacciones de ingresos se realicen
en un centro de servicios compartidos).
A101. La obtención de conocimiento del modo en que las actividades centralizadas encajan en la
estructura global del grupo, y de la naturaleza de las actividades realizadas, puede ayudar a la
identificación y valoración de riesgos de incorrección material y a dar una respuesta adecuada a
dichos riesgos. Por ejemplo, los controles en un centro de servicios compartidos pueden funcionar
de modo independiente de otros controles o pueden depender de controles en una entidad o
unidad de negocio de la que se deriva la información financiera (por ejemplo, es posible que las
transacciones de ventas se inicien y autoricen en la entidad o unidad de negocio, pero el
procesamiento se puede producir en el centro de servicios compartidos).
A102. El auditor del grupo puede requerir la participación de auditores de componentes para probar la
eficacia operativa de controles comunes o de controles relacionados con actividades
centralizadas. En estas circunstancias, una colaboración eficaz entre el auditor del grupo y los
auditores de los componentes es importante ya que la evidencia de auditoría obtenida mediante
la comprobación de la eficacia operativa de controles comunes o de controles relacionados con
actividades centralizadas sustenta la determinación de la naturaleza, momento de realización y
extensión de los procedimientos sustantivos que se aplicarán en el grupo.
cve: BOE-A-2024-269
Verificable en https://www.boe.es
Núm. 4
Jueves 4 de enero de 2024
Sec. III. Pág. 1461
diferente en las distintas entidades o unidades de negocio, puede resultar necesario determinar si
el control se puede calificar como control común. Esto se debe a que pueden existir diferencias en
el diseño del control debidas a la existencia de diferentes aplicaciones de TI (por ejemplo, si la
aplicación de TI está configurada del mismo modo en los componentes y si existen controles
generales de TI eficaces en las distintas aplicaciones de TI).
A99. La consideración del nivel al que se realizan los controles dentro del grupo (por ejemplo, a nivel
del grupo consolidado en su conjunto o para otros niveles de agregación dentro del grupo) y el
grado de centralización y de uniformidad pueden ser importantes para comprender el modo en
que se procesa y controla la información. En determinadas circunstancias, los controles se pueden
realizar de modo centralizado (por ejemplo, en una única entidad o unidad de negocio) pero
pueden tener un efecto generalizado en otras entidades o unidades de negocio (por ejemplo, un
centro de servicios compartidos que procesa transacciones en nombre de otras entidades o
unidades de negocio dentro del grupo). El procesamiento de transacciones y de los
correspondientes controles en un centro de servicios compartido puede funcionar del mismo
modo para las transacciones procesadas por dicho centro de servicios compartidos
independientemente de la entidad o unidad de negocio (por ejemplo, los procesos, riesgos y
controles pueden ser los mismos independientemente del origen de la transacción). En dichos
casos, puede resultar adecuado identificar los controles, evaluar su diseño y determinar la
implementación de los controles y, en su caso, probar la eficacia operativa, como una única
población.
Actividades centralizadas (Ref: Apartado 30(c)(i)-(ii))
A100. Es posible que la dirección del grupo centralice algunas de sus actividades, por ejemplo, las
funciones de información financiera o de contabilidad para un determinado grupo de
transacciones comunes u otra información financiera se pueden realizar de un modo congruente y
centralizado para múltiples entidades o unidades de negocio (por ejemplo, cuando el inicio,
autorización, registro, procesamiento o información sobre transacciones de ingresos se realicen
en un centro de servicios compartidos).
A101. La obtención de conocimiento del modo en que las actividades centralizadas encajan en la
estructura global del grupo, y de la naturaleza de las actividades realizadas, puede ayudar a la
identificación y valoración de riesgos de incorrección material y a dar una respuesta adecuada a
dichos riesgos. Por ejemplo, los controles en un centro de servicios compartidos pueden funcionar
de modo independiente de otros controles o pueden depender de controles en una entidad o
unidad de negocio de la que se deriva la información financiera (por ejemplo, es posible que las
transacciones de ventas se inicien y autoricen en la entidad o unidad de negocio, pero el
procesamiento se puede producir en el centro de servicios compartidos).
A102. El auditor del grupo puede requerir la participación de auditores de componentes para probar la
eficacia operativa de controles comunes o de controles relacionados con actividades
centralizadas. En estas circunstancias, una colaboración eficaz entre el auditor del grupo y los
auditores de los componentes es importante ya que la evidencia de auditoría obtenida mediante
la comprobación de la eficacia operativa de controles comunes o de controles relacionados con
actividades centralizadas sustenta la determinación de la naturaleza, momento de realización y
extensión de los procedimientos sustantivos que se aplicarán en el grupo.
cve: BOE-A-2024-269
Verificable en https://www.boe.es
Núm. 4
