NIA 315 IDENTIFICACIÓN Y VALORACIÓN DEL RIESGO DE INCORRECCIÓN MATERIAL

Introducción

Alcance de esta NIA

1. Esta Norma Internacional de Auditoría (NIA) trata de la responsabilidad que tiene el auditor de identificar y valorar los riesgos de incorrección material en los estados financieros.

Conceptos clave en esta NIA

2. La NIA 200 trata de los objetivos globales del auditor en la ejecución de una auditoría de estados financieros1, incluida la obtención de evidencia de auditoría suficiente y adecuada para reducir el riesgo de auditoría a un nivel aceptablemente bajo2. El riesgo de auditoría es una función del riesgo de incorrección material y del riesgo de detección3. La NIA 200 explica que los riesgos de incorrección material pueden estar relacionados con: los estados financieros en su conjunto; y las afirmaciones sobre determinados tipos de transacciones, saldos contables e información a revelar.

3. La NIA 200 requiere que el auditor aplique su juicio profesional en la planificación y ejecución de la auditoría y que planifique y ejecute la auditoría con escepticismo profesional reconociendo que pueden darse circunstancias que supongan que los estados financieros contengan incorrecciones.

4. Los riesgos en los estados financieros se relacionan de manera generalizada con los estados financieros en su conjunto y que afectan potencialmente a muchas de las Los riesgos de incorrección material en las afirmaciones tienen dos componentes, el riesgo inherente y el riesgo de control:

El riesgo inherente se describe como la susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información a una incorrección que pudiera ser material, ya sea individualmente o de forma agregada con otras incorrecciones, antes de tener en cuenta los posibles controles correspondientes.
El riesgo de control se describe como el riesgo de que una incorrección que pudiera existir en una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información, y que pudiera ser material ya sea individualmente o de forma agregada con otras incorrecciones, no sea prevenida, o detectada y corregida oportunamente, por el sistema de control interno de la entidad.

5. La NIA 200 explica que los riesgos de incorrección material en las afirmaciones se valoran con el fin de determinar la naturaleza, el momento de realización y la extensión de los procedimientos posteriores de auditoría necesarios para obtener evidencia de auditoría suficiente y adecuada6. Para los riesgos identificados de incorrección material en las afirmaciones, esta NIA exige una valoración separada del riesgo inherente y del riesgo de Como se indica en la NIA 200, el riesgo inherente es más alto para algunas afirmaciones y tipos de transacciones, saldos contables e información a revelar relacionados. El grado en que varía el riesgo inherente se denomina en esta NIA “espectro de riesgo inherente”.

6. Los riesgos de incorrección material identificados y valorados por el auditor incluyen tanto los que se deben a error como los debidos a Aunque ambos se tratan en esta NIA, la significatividad del fraude es tal que la NIA 2407 incluye requerimientos y orientaciones adicionales sobre los procedimientos de valoración del riesgo y actividades relacionadas para obtener información con el fin de identificar, valorar y responder a los riesgos de incorrección material debida a fraude.

7. El proceso de identificación y valoración de los riesgos por el auditor es iterativo y dinámico. El conocimiento por el auditor de la entidad y su entorno, el marco de información financiera aplicable y el sistema de control interno son interdependientes con conceptos incluidos en los requerimientos de identificación y valoración de los riesgos de incorrección material. En la obtención de conocimiento requerida por esta NIA se pueden desarrollar expectativas iniciales de riesgos, las cuales pueden ser afinadas a medida que el auditor progresa en el proceso de identificación y valoración de Además, esta NIA y la NIA 330 requieren que el auditor revise las valoraciones de riesgo, y modifique las respuestas globales posteriores y los procedimientos posteriores de auditoría, sobre la base de la evidencia de auditoría obtenida de la aplicación de procedimientos posteriores de auditoría de conformidad con la NIA 330, o en caso de obtener nueva información.

8. La NIA 330 requiere que el auditor diseñe e implemente respuestas globales para responder a los riesgos valorados de incorrección material en los estados financieros8. La NIA 330 explica asimismo que el conocimiento del entorno de control por el auditor afecta a la valoración que hace de los riesgos de incorrección material en los estados financieros y a sus respuestas La NIA 330 también requiere que el auditor diseñe y aplique procedimientos posteriores de auditoría cuya naturaleza, momento de realización y extensión estén basados en los riesgos valorados de incorrección material en las afirmaciones y respondan a dichos riesgos.

Graduación

9. La NIA 200 establece que algunas NIA incluyen consideraciones de graduación que ilustran la aplicación de los requerimientos a todas las entidades independientemente de si su naturaleza y circunstancias son más o menos complejas10. Esta NIA se dirige a todas las entidades independientemente de su dimensión o complejidad y la guía de aplicación incorpora, en consecuencia, consideraciones específicas tanto para entidades menos complejas como para entidades más complejas, según Aunque la dimensión de una entidad puede ser indicativa de su complejidad, algunas entidades de pequeña dimensión pueden ser complejas y algunas entidades de mayor dimensión pueden ser menos complejas.

Fecha de entrada en vigor

10. Esta NIA es aplicable a las auditorías de estados financieros correspondientes a periodos iniciados a partir del 15 de diciembre de 2021.

Objetivo

11. El objetivo del auditor es identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones con la finalidad de proporcionar una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material.

Definiciones

12. A efectos de las NIA, los siguientes términos tienen los significados que figuran a continuación:

Afirmaciones: manifestaciones, explícitas o no, con respecto al reconocimiento, medición, presentación y revelación de información en los estados financieros que son inherentes a la manifestación de la dirección de que los estados financieros se preparan de conformidad con el marco de información financiera aplicable. El auditor utiliza las afirmaciones para considerar los distintos tipos de incorrecciones potenciales que pueden existir al identificar, valorar y responder a los riesgos de incorrección material. (Ref: Apartado A1)

A1. Al identificar, valorar y responder a los riesgos de incorrección material, los auditores utilizan categorías de afirmaciones para considerar los distintos tipos de incorrecciones potenciales que pueden existir. Algunos ejemplos de esas categorías de afirmaciones se describen en el apartado A190. Las afirmaciones son distintas de las manifestaciones escritas requeridas por la NIA 58014 para confirmar determinadas cuestiones o sustentar otra evidencia de auditoría.

Riesgo de negocio: riesgo derivado de condiciones, hechos, circunstancias, acciones u omisiones significativos que podrían afectar negativamente a la capacidad de la entidad para conseguir sus objetivos y ejecutar sus estrategias o derivado del establecimiento de objetivos y estrategias inadecuados.
Controles: políticas o procedimientos que establece una entidad para alcanzar los objetivos de control de la dirección o de los responsables del gobierno de la entidad. En este contexto: (Ref: Apartados A2–A5)

A2. Los controles están integrados en los componentes del sistema de control interno de la entidad.

A3. Las políticas son implementadas a través de las actuaciones del personal dentro de la entidad o a través de restricciones que impiden al personal llevar a cabo actuaciones que entrarían en conflicto con esas políticas.

A4. Los procedimientos pueden ser exigidos mediante documentación formal u otra comunicación de la dirección o de los responsables del gobierno de la entidad, o pueden ser el resultado de comportamientos que no se exigen, sino que están condicionados por la cultura de la entidad. Los procedimientos se pueden aplicar mediante actuaciones permitidas por las aplicaciones de TI utilizadas por la entidad o por otros aspectos de su entorno de TI.

A5. Los controles pueden ser directos o indirectos. Los controles directos son controles lo suficientemente precisos para responder a riesgos de incorrección material en las afirmaciones. Los controles indirectos son controles que sustentan los controles directos.

- Las políticas son declaraciones de lo que se debería o no se debería hacer dentro de la entidad para llevar a cabo el control. Esas declaraciones pueden estar documentadas, formuladas explícitamente en comunicados o implícitas en actuaciones y decisiones.
- Los procedimientos son actuaciones para implementar las políticas.
Controles generales de las tecnologías de la información (TI): Controles de los procesos de TI de la entidad que apoyan el funcionamiento continuo apropiado del entorno de TI, incluido el funcionamiento continuo efectivo de los controles de procesamiento de la información y la integridad de la información (es decir, la integridad, exactitud y validez de la información) en el sistema de información de la entidad. Véase también la definición de entorno de TI.
Controles del procesamiento de la información: Controles relacionados con el procesamiento de la información en aplicaciones de TI o procesamientos manuales de la información en el sistema de información de la entidad que responden directamente a los riesgos para la integridad de la información (es decir, la integridad, exactitud y validez de las transacciones y otra información). (Ref: Apartado A6)
Factores de riesgo inherente: Características de hechos o condiciones que afectan la susceptibilidad de incorrección, debida a fraude o error, de una afirmación sobre un tipo de transacción, saldo contable u otra revelación, antes de considerar los controles. Dichos factores pueden ser cualitativos o cuantitativos e incluyen complejidad, subjetividad, cambio, incertidumbre o susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude11 en la medida en la que afectan al riesgo inherente. (Ref: Apartados A7–A8)

A7. Los factores de riesgo inherente pueden ser cualitativos o cuantitativos y afectar a la susceptibilidad de las afirmaciones a incorrección. Los factores de riesgo inherente cualitativos relativos a la preparación de información requerida por el marco de información financiera aplicable incluyen:

Complejidad;
Subjetividad;
Cambio;
Incertidumbre o
Susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude en la medida en la que afecten al riesgo inherente.

A8. Otros factores de riesgo inherente, que afectan a la susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable o revelación de información a incorrección pueden incluir:

La significatividad cuantitativa o cualitativa del tipo de transacción, del saldo contable o de la información a revelar;
El volumen o la falta de uniformidad en la composición de los elementos que deben ser procesados a través del tipo de transacción o saldo contable, o reflejado en la información a revelar.

Entorno de las TI: Las aplicaciones de TI y la infraestructura que da soporte a las TI, así como los procesos y el personal involucrado en esos procesos que una entidad utiliza para respaldar las operaciones de negocio y para lograr la consecución de las estrategias de negocio. A los efectos de esta NIA:
- Una aplicación de TI es un programa o un conjunto de programas que se utiliza para el inicio, procesamiento, registro e información de transacciones o información. Las aplicaciones de TI incluyen almacenes de datos y generadores de informes.
- La infraestructura de TI comprende la red, los sistemas operativos y las bases de datos y el hardware y software relacionados con estos.
- Los procesos de TI son los procesos de la entidad para la gestión del acceso al entorno de TI, la gestión de cambios en los programas o de los cambios al entorno de TI, así como para la gestión de las operaciones de TI.
Afirmaciones relevantes: Una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información es relevante cuando tiene un riesgo identificado de incorrección La determinación de si una afirmación es relevante se realiza antes de tener en cuenta los posibles controles correspondientes (es decir, el riesgo inherente). (Ref: Apartado A9)

A9. Un riesgo de incorrección material puede estar relacionado con más de una afirmación, en cuyo caso, todas las afirmaciones con las que se relaciona dicho riesgo son afirmaciones relevantes. Si una afirmación no tiene un riesgo identificado de incorrección material, no se trata de una afirmación relevante.

Riesgos derivados de la utilización de TI: Exposición de los controles de procesamiento de la información a un diseño o un funcionamiento ineficaces, o riesgos para la integridad de la información (es decir, la integridad, exactitud y validez de las transacciones y demás información) en el sistema de información de la entidad, debido a un diseño o a un funcionamiento ineficaz de los procesos de TI de la entidad (véase entorno de TI).
Procedimientos de valoración del riesgo: procedimientos de auditoría diseñados y aplicados para identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones concretas contenidas en estos.
Tipos de transacciones, saldos contables o información a revelar significativos: un tipo de transacción, saldo contable o información a revelar para el que existen una o varias afirmaciones significativas.
Riesgo significativo: un riesgo identificado de incorrección material. (Ref: Apartado A10)

A10. La significatividad se puede describir como la importancia relativa de una cuestión y el auditor la juzga en el contexto en la que se está considerando. Para el riesgo inherente, la significatividad se puede considerar en el contexto de cómo y en qué grado los factores de riesgo inherente afectan a la combinación de la probabilidad de que exista una incorrección material y a la magnitud de la incorrección potencial si existe.

- Para el que la valoración del riesgo inherente se encuentra próxima al límite superior del espectro de riesgo inherente debido al grado en el que los factores de riesgo inherente afectan a la combinación de la probabilidad de que exista una incorrección y a la magnitud de la incorrección potencial si existe; o
- Que deba ser tratado como riesgo significativo de conformidad con los requerimientos de otras NIA.
Sistema de control interno: el sistema diseñado, implementado y mantenido por los responsables del gobierno de la entidad, la dirección y otro personal, con la finalidad de proporcionar una seguridad razonable sobre la consecución de los objetivos de la entidad relativos a la fiabilidad de la información financiera, la eficacia y eficiencia de las operaciones, así como sobre el cumplimiento de las disposiciones legales y reglamentarias aplicables. A los efectos de las NIA, el sistema de control interno comprende cinco componentes interrelacionados:
- - El entorno de control;
  - El proceso de valoración del riesgo por la entidad;
  - El proceso de la entidad para el seguimiento del sistema de control interno;
  - El sistema de información y comunicación y
  - Las actividades de control.

Requerimientos

Procedimientos de valoración del riesgo y actividades relacionadas

13. El auditor diseñará y aplicará procedimientos de valoración del riesgo con el fin de obtener evidencia de auditoría que proporcione una base adecuada para: (Ref: Apartados A11–A18) Leer Más

A11. Los riesgos de incorrección material que deben ser identificados y valorados incluyen tanto los que se deben a fraude como los debidos a error, y ambos se tratan en la presente NIA. Sin embargo, la significatividad del fraude es tal, que la NIA 240 incluye requerimientos y orientaciones adicionales sobre los procedimientos de valoración del riesgo y actividades relacionadas para obtener información con el fin de identificar y valorar los riesgos de incorrección material debida a fraude15. Además, las siguientes NIA proporcionan requerimientos y orientaciones adicionales sobre la identificación y valoración de riesgos de incorrección material con respecto a cuestiones o circunstancias específicas:

NIA 540 (Revisada)16 en relación con las estimaciones contables;
NIA 550 en referencia con las relaciones y transacciones con partes vinculadas;
NIA 570 (Revisada)18 en relación con la empresa en funcionamiento y
NIA 600 en relación con los estados financieros de grupos.

A12. El escepticismo profesional es necesario para la evaluación crítica de la evidencia de auditoría obtenida al aplicar los procedimientos de valoración del riesgo y ayuda al auditor a estar alerta a evidencia de auditoría que no esté sesgada hacia la corroboración de la existencia de riesgos o que pueda ser contradictoria a la existencia de riesgos. El escepticismo profesional es una actitud aplicada por el auditor en la formulación de juicios profesionales que, a continuación, proporciona una base para sus actuaciones. El auditor aplica el juicio profesional para determinar cuándo tiene evidencia de auditoría que proporciona un fundamento adecuado para la valoración del riesgo.

A13. La aplicación de escepticismo profesional por el auditor puede incluir:

Cuestionar información contradictoria y la fiabilidad de los documentos;
Considerar las respuestas a indagaciones, así como otra información, obtenidas de la dirección y de los responsables del gobierno de la entidad;
Prestar una especial atención a las circunstancias que puedan ser indicativas de posible incorrección debida a fraude o error; y
Considerar si la evidencia de auditoría obtenida sustenta la identificación y valoración de los riesgos de incorrección material teniendo en cuenta la naturaleza y las circunstancias de la entidad.

Por qué es importante obtener evidencia de auditoría de un modo libre de sesgo (Ref: Apartado 13)

A14. Diseñar y aplicar procedimientos de valoración del riesgo con el fin de obtener evidencia de auditoría para sustentar la identificación y valoración de los riesgos de incorrección material de un modo libre de sesgo puede ayudar al auditor en la identificación de información potencialmente contradictoria, lo cual le puede ayudar en la aplicación de escepticismo profesional al identificar y valorar los riesgos de incorrección material.

Fuentes de evidencia de auditoría (Ref: Apartado 13)

A15. Diseñar y aplicar procedimientos de valoración del riesgo para la obtención de evidencia de auditoría de un modo libre de sesgo puede implicar obtener evidencia de múltiples fuentes tanto internas como externas a la entidad. Sin embargo, no se exige que el auditor realice una búsqueda exhaustiva para identificar todas las posibles fuentes de evidencia de auditoría. Algunas fuentes de información para procedimientos de valoración del riesgo, además de la información procedente de otras fuentes20, pueden incluir:

Interacciones con la dirección, con los responsables del gobierno de la entidad y con otro personal clave de la entidad, como los auditores internos.
Algunos terceros como autoridades reguladoras, obtenida tanto directa como indirectamente.
Información a disposición del público acerca de la entidad, por ejemplo, notas de prensa emitidas por la entidad, documentación para analistas o reuniones de grupos de inversores, informes de analistas o información sobre actividades comerciales.

Independientemente de la fuente de información, el auditor considera la relevancia y la fiabilidad de la información que se utilizará como evidencia de auditoría de conformidad con la NIA 500.

Graduación (Ref: Apartado 13)

A16. La naturaleza y la extensión de los procedimientos de valoración del riesgo varían en función de la naturaleza y las circunstancias de la entidad (por ejemplo, el grado de formalización de sus políticas y procedimientos, así como de sus procesos y sistemas). El auditor aplica su juicio profesional para determinar la naturaleza y extensión de los procedimientos de valoración del riesgo que debe aplicar para cumplir los requerimientos de esta NIA.

A17. Aunque el grado de formalización de las políticas y procedimientos, así como de los procesos y sistemas de una entidad pueden variar, se requiere que el auditor obtenga el conocimiento de conformidad con los apartados 19, 21, 22, 24, 25 y 26.

Ejemplos:

Algunas entidades, incluidas las entidades menos complejas y, en especial, las entidades dirigidas por el propietario, pueden no haber establecido procesos y sistemas estructurados (por ejemplo, un proceso de valoración del riesgo o un proceso para el seguimiento del sistema de control interno) o pueden haber establecido procesos o sistemas con una documentación limitada o una falta de congruencia en el modo en que se realizan. Cuando dichos sistemas y procesos no están formalizados, el auditor puede todavía aplicar procedimientos de valoración del riesgo mediante la observación e indagación.

Se espera que otras entidades, habitualmente entidades más complejas, tengan políticas y procedimientos más formales y documentados. El auditor puede utilizar dicha documentación para la aplicación de procedimientos de valoración del riesgo.

A18. Es posible que la naturaleza y extensión de los procedimientos de valoración del riesgo a aplicar la primera vez que se realiza un encargo sea más extensa que los procedimientos para un encargo recurrente. En periodos subsiguientes, el auditor se puede centrar en cambios que han ocurrido desde el periodo anterior.

La identificación y valoración de los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones contenidas en estos; y
El diseño de procedimientos posteriores de auditoría de conformidad con la NIA

El auditor diseñará y aplicará procedimientos de valoración del riesgo de un modo que no esté sesgado hacia la obtención de evidencia de auditoría que pueda ser corroborativa o hacia la eliminación de evidencia de auditoría que pueda ser contradictoria. (Ref: Apartado A14) Leer Más

14. Los procedimientos de valoración del riesgo incluirán los siguientes: (Ref: Apartados A19–A21) Leer Más

A19. La NIA 50022 explica los tipos de procedimientos de auditoría que se pueden aplicar para la obtención de evidencia de auditoría de procedimientos de valoración del riesgo y de procedimientos posteriores de auditoría. La naturaleza, el momento de realización y la extensión de los procedimientos de auditoría pueden verse afectados por el hecho de que algunos de los datos contables y otra información estén disponibles sólo en formato electrónico o sólo en algunos momentos23 determinados. El auditor puede aplicar procedimientos sustantivos o pruebas de controles, de conformidad con la NIA 330, junto con procedimientos de valoración del riesgo cuando resulte eficiente hacerlo. Es posible que la evidencia de auditoría que sustenta la identificación y valoración de riesgos de incorrección material sustente asimismo la detección de incorrecciones materiales en las afirmaciones o la evaluación de la eficacia operativa de los controles.

A20. Si bien se requiere que el auditor aplique todos los procedimientos de valoración del riesgo descritos en el apartado 14 para la obtención del conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad (véanse los apartados 19-26), no se requiere que el auditor aplique todos ellos para cada aspecto de dicho conocimiento. Se pueden aplicar otros procedimientos cuando la información que se va a obtener pueda ser útil para la identificación de riesgos de incorrección material. Algunos ejemplos de esos procedimientos pueden incluir la realización de indagaciones ante los asesores jurídicos externos o los supervisores externos o ante los expertos en valoraciones a los que la entidad haya acudido.

Herramientas y técnicas automatizadas (Ref: Apartado 14)

A21. Mediante la utilización de herramientas y técnicas automatizadas, el auditor puede aplicar procedimientos de valoración del riesgo a un gran volumen de datos (del mayor, de los libros auxiliares o de otros datos operacionales) incluidos procedimientos de análisis, recálculos, reejecución o conciliaciones.

Indagaciones ante la dirección y ante otras personas apropiadas de la entidad, incluidas personas de la función de auditoría interna (en caso de que exista esta función). (Ref: Apartados A22–A26)

A22. La información obtenida por el auditor para sustentar unas bases adecuadas para la identificación y valoración de riesgos y el diseño de procedimientos posteriores de auditoría se puede obtener mediante indagaciones ante la dirección y ante los responsables de la información financiera de la entidad.

A23. Las indagaciones ante la dirección y los responsables de la información financiera y ante las personas adecuadas de la entidad y otros empleados con diferentes niveles de autoridad pueden facilitar al auditor perspectivas diferentes cuando identifica y valora riesgos de incorrección material.

Ejemplos:

Las indagaciones dirigidas a los responsables del gobierno de la entidad pueden ayudar al auditor a conocer la extensión de la supervisión por los responsables del gobierno de la entidad sobre la preparación de los estados financieros por la dirección. La NIA 260 (Revisada) subraya la importancia de una comunicación recíproca eficaz que ayude al auditor en la obtención de información de los responsables del gobierno de la entidad a este respecto.
Las indagaciones ante empleados responsables de la puesta en marcha, procesamiento o registro de transacciones complejas o inusuales pueden ayudar al auditor a evaluar la adecuación de la selección y aplicación de ciertas políticas contables.
Las indagaciones dirigidas a los asesores jurídicos internos pueden proporcionar información acerca de cuestiones tales como litigios, cumplimiento de las disposiciones legales y reglamentarias, conocimiento de fraude o de indicios de fraude que afecten a la entidad, garantías, obligaciones post-venta, acuerdos (tales como negocios conjuntos) con socios comerciales y el significado de términos contractuales.
Las indagaciones dirigidas al personal de los departamentos comerciales o de ventas pueden proporcionar información acerca de los cambios en las estrategias comerciales de la entidad, tendencias de las ventas, o acuerdos contractuales con los clientes.
Las indagaciones dirigidas a la función de gestión del riesgo (o ante los que desempeñan esa función) pueden proporcionar información acerca de los riesgos operativos y normativos que pueden afectar a la información financiera.
Las indagaciones dirigidas al personal de TI pueden proporcionar información acerca de cambios en sistemas, fallos de sistemas o de controles u otros riesgos relacionados con la TI.

Consideraciones específicas para entidades del sector público

A24. Al indagar ante las personas que pueden tener información que probablemente ayude en la identificación de riesgos de incorrección material, los auditores de entidades del sector público pueden obtener información de fuentes adicionales como los auditores que participan en la realización de otras auditorías relacionadas con la entidad.

Indagaciones ante la función de auditoría interna

El Anexo 4 contiene consideraciones para el conocimiento de la función de auditoría interna de una entidad.

Por qué se realizan indagaciones ante la función de auditoría interna (si existe dicha función)

A25. En el caso de que la entidad disponga de una función de auditoría interna, las indagaciones ante las personas adecuadas pertenecientes a esa función pueden ayudar al auditor en el conocimiento de la entidad y su entorno y el sistema de control interno de la entidad para la identificación y valoración de riesgos.

Consideraciones específicas para entidades del sector público

A26. Los auditores de entidades del sector público a menudo tienen responsabilidades adicionales en relación con el control interno y con el cumplimiento de las disposiciones legales y reglamentarias aplicables. Las indagaciones ante las personas adecuadas de la función de auditoría interna pueden ayudar al auditor en la identificación de riesgos de incumplimientos materiales de disposiciones legales y reglamentarias aplicables así como del riesgo de deficiencias de control relacionadas con la información financiera.

Procedimientos analíticos (Ref: Apartados A27–A31)

A27. Los procedimientos analíticos ayudan a la identificación de incongruencias, transacciones o hechos inusuales, así como de cantidades, ratios y tendencias que pueden poner de manifiesto cuestiones que tengan implicaciones para la auditoría. Las relaciones inusuales o inesperadas que se identifiquen pueden ayudar al auditor en la identificación de riesgos de incorrección material, especialmente los debidos a fraude.

A28. Los procedimientos analíticos aplicados como procedimientos de valoración del riesgo pueden, por tanto, ayudar en la identificación y valoración de los riesgos de incorrección material mediante la identificación de aspectos de la entidad que el auditor no conocía o el conocimiento del modo en que los factores de riesgo inherente, tal como el cambio, afectan a la susceptibilidad de las afirmaciones a incorrección.

Tipos de procedimientos analíticos

A29. Los procedimientos analíticos aplicados como procedimientos de valoración del riesgo pueden:

Incluir información tanto financiera como no financiera, como, por ejemplo, la relación entre las ventas y la superficie destinada a las ventas o el volumen de los productos vendidos (no financiera).
Utilizar datos con un elevado grado de agregación. En consecuencia, los resultados de esos procedimientos analíticos pueden proporcionar una indicación general inicial sobre la probabilidad de que exista una incorrección material.

Ejemplo:

En la auditoría de muchas entidades, incluidas aquellas con modelos de negocio y procesos menos complejos y un sistema de información menos complejo, el auditor puede realizar una sencilla comparación de información, como, por ejemplo, el cambio en saldos contables intermedios o mensuales con respecto a los saldos de periodos anteriores para obtener una indicación de áreas potencialmente de mayor riesgo.

A30. Esta NIA trata del uso por el auditor de procedimientos analíticos como procedimientos de valoración del riesgo. La NIA 52025 trata del uso por el auditor de procedimientos analíticos como procedimientos sustantivos (“procedimientos analíticos sustantivos”) y de la responsabilidad del auditor de aplicar procedimientos analíticos en una fecha cercana a la finalización de la auditoría. En consecuencia, no se requiere que la aplicación de procedimientos analíticos empleados como procedimientos de valoración del riesgo se realice de conformidad con los requerimientos de la NIA 520. Sin embargo, los requerimientos y guía de aplicación adicionales de la NIA 520 pueden proporcionar al auditor una orientación útil en la aplicación de procedimientos analíticos empleados como procedimientos de valoración del riesgo.

Herramientas y técnicas automatizadas

A31. Los procedimientos analíticos se pueden aplicar utilizando determinadas herramientas y técnicas que pueden ser automatizadas. La aplicación de procedimientos analíticos automatizados a los datos se puede denominar análisis de datos.

Ejemplo:

El auditor puede utilizar una hoja de cálculo para realizar una comparación de importes reales registrados con importes presupuestados, o puede aplicar un procedimiento más avanzado, extrayendo datos del sistema de información de la entidad y analizando posteriormente esos datos utilizando técnicas de visualización para identificar tipos de transacciones, saldos contables o información a revelar que pueden justificar procedimientos específicos de valoración del riesgo.

Observación e inspección. (Ref: Apartados A32–A36)

A32. La observación y la inspección pueden sustentar, corroborar o contradecir las indagaciones ante la dirección y ante otras personas, y pueden asimismo proporcionar información acerca de la entidad y de su entorno.

Graduación

A33. Cuando las políticas y procedimientos no están documentados, o la entidad tiene controles menos formales, es posible que el auditor aún pueda obtener alguna evidencia de auditoría que sustente la identificación y valoración de los riesgos de incorrección material mediante la observación o inspección de la realización del control.

Ejemplos:

El auditor puede obtener conocimiento de los controles en un recuento de existencias, incluso si no han sido documentados por la entidad, mediante la observación directa.
El auditor puede observar la segregación de funciones.
El auditor puede observar cómo se introducen las contraseñas.

Observación e inspección como procedimientos de valoración del riesgo

A34. Los procedimientos de valoración del riesgo pueden incluir la observación o inspección de:

Las operaciones de la entidad.
Documentos internos (como planes y estrategias de negocio), registros y manuales de control interno.
Informes preparados por la dirección (como, por ejemplo, informes de gestión trimestrales y estados financieros intermedios) y por los responsables del gobierno de la entidad (como, por ejemplo, actas de las reuniones del consejo de administración).
Los locales e instalaciones industriales de la entidad.
La información obtenida de fuentes externas como revistas de negocios y económicas; informes de analistas, bancos o de agencias de calificación; publicaciones normativas o financieras; u otros documentos externos acerca de los resultados de la entidad (como los que se mencionan en el apartado A79).
Los comportamientos y actuaciones de la dirección o de los responsables del gobierno de la entidad (como la observación de una reunión del comité de auditoría).

Herramientas y técnicas automatizadas

A35. Las herramientas y técnicas automatizadas también se pueden utilizar para observar o inspeccionar, en especial activos, por ejemplo, mediante el uso de herramientas de observación remota (por ejemplo, un dron).

Consideraciones específicas para entidades del sector público

A36. Los procedimientos de valoración del riesgo aplicados por los auditores de entidades del sector público también pueden incluir la observación e inspección de documentos preparados por la dirección para el Parlamento, por ejemplo, documentos relacionados con informes obligatorios sobre resultados.

Información procedente de otras fuentes

15. En la obtención de evidencia de conformidad con el apartado 13, el auditor tendrá en cuenta la información procedente de: (Ref: Apartados A37‒A38) Leer Más

A37. La información obtenida de otras fuentes puede ser relevante para la identificación y valoración de los riesgos de incorrección material proporcionando información y perspectiva sobre:

La naturaleza de la entidad y sus riesgos de negocio y los cambios que se pueden haber producido con respecto a periodos anteriores.
La integridad y los valores éticos de la dirección y de los responsables del gobierno de la entidad, que también pueden ser relevantes para el conocimiento del entorno de control por el auditor.
El marco de información financiera aplicable y su aplicación a la naturaleza y las circunstancias de la entidad.

Otras fuentes relevantes

A38. Otras fuentes de información relevantes incluyen:

Los procedimientos del auditor relativos a la aceptación o continuidad de las relaciones con el cliente o el encargo de auditoría de conformidad con la NIA 220, incluidas las conclusiones alcanzadas al respecto.
Otros encargos realizados por el socio del encargo para la Es posible que el socio del encargo haya obtenido conocimiento relevante para la auditoría, incluido conocimiento sobre la entidad y su entorno, al realizar otros encargos para la entidad. Dichos encargos pueden incluir encargos de procedimientos acordados u otros encargos de auditoría o de aseguramiento, incluidos trabajos para responder a requerimientos adicionales de información en la jurisdicción.

Los procedimientos del auditor relativos a la aceptación o continuidad de las relaciones con el cliente o del encargo de auditoría y,
En su caso, otros encargos realizados por el socio del encargo para la entidad.

16. Cuando el auditor tenga la intención de utilizar información obtenida de su experiencia anterior con la entidad y de procedimientos de auditoría aplicados en auditorías anteriores, evaluará si esa información aún es relevante y fiable como evidencia de auditoría para la auditoría actual. (Ref: Apartados A39‒A41) Leer Más

A39. La experiencia previa del auditor con la entidad y la de los procedimientos de auditoría aplicados en auditorías anteriores le pueden proporcionar información relevante para la determinación de la naturaleza y extensión de los procedimientos de valoración del riesgo y la identificación y valoración de los riesgos de incorrección material.

Naturaleza de la información de auditorías anteriores

A40. La experiencia previa del auditor con la entidad y los procedimientos de auditoría aplicados en auditorías anteriores pueden proporcionar al auditor información sobre cuestiones como:

Incorrecciones pasadas y si fueron oportunamente corregidas.
La naturaleza de la entidad y su entorno, y el sistema de control interno de la entidad (incluidas las deficiencias de control).
Cambios significativos que pueden haberse producido en la entidad o en sus operaciones desde el periodo anterior.
Aquellos tipos específicos de transacciones y otros hechos o saldos contables (y la correspondiente información a revelar) para los que el auditor experimentó dificultades en la aplicación de los procedimientos de auditoría necesarios, por ejemplo, debido a su complejidad.

A41. Si el auditor tiene intención de utilizar esa información para los fines de la auditoría actual, se requiere que determine si la información obtenida de su experiencia anterior con la entidad y de procedimientos de auditoría aplicados en auditorías anteriores sigue siendo relevante y fiable. Si han cambiado la naturaleza o las circunstanciad de la entidad, o se ha obtenido nueva información, es posible que la información de periodos anteriores no siga siendo relevante o fiable para la auditoría actual. Con el fin de determinar si se han producido cambios que puedan afectar a la relevancia y fiabilidad de dicha información, el auditor puede realizar indagaciones y aplicar otros procedimientos de auditoría adecuados, tales como la comprobación paso a paso de sistemas relevantes. Si la información no es fiable, el auditor puede considerar aplicar procedimientos adicionales que sean adecuados en función de las circunstancias.

Discusión por el equipo del encargo

17. El socio del encargo y otros miembros clave del equipo del encargo discutirán la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material. (Ref: Apartados A42–A47) Leer Más

A42. La discusión entre los miembros del equipo del encargo sobre la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material:

Proporciona una oportunidad a los miembros del equipo del encargo con más experiencia, incluido el socio del encargo, de compartir su información basada en su conocimiento de la entidad. Compartir información contribuye a mejorar el conocimiento de todos los miembros del equipo del encargo.
Permite a los miembros del equipo del encargo intercambiar información sobre los riesgos de negocio a los que está sometida la entidad, sobre el modo en que los factores de riesgo inherente pueden afectar a la susceptibilidad de incorrección de los tipos de transacciones, saldos contables e información a revelar, así como sobre el modo en que los estados financieros de la entidad pueden ser susceptibles de incorrección material debida a fraude o error y sobre su posible localización.
Ayuda a los miembros del equipo del encargo en la obtención de un mejor conocimiento de la posibilidad de que los estados financieros contengan una incorrección material en el área específica que les ha sido asignada, así como la comprensión de la manera en que los resultados de los procedimientos de auditoría aplicados por ellos pueden afectar a otros aspectos de la auditoría, incluidas las decisiones sobre la naturaleza, el momento de realización y la extensión de procedimientos posteriores de auditoría. En especial, la discusión ayuda a los miembros del equipo del encargo a considerar en mayor medida información contradictoria basada en el conocimiento de cada uno de los miembros acerca de la naturaleza y las circunstancias de la entidad.
Proporciona una base para que los miembros del equipo del encargo se comuniquen y compartan nueva información, obtenida en el curso de la auditoría, que puede afectar a la valoración del riesgo de incorrección material o a los procedimientos de auditoría realizados para responder a dichos riesgos.

La NIA 240 requiere que la discusión por el equipo del encargo ponga un énfasis especial en el modo en que los estados financieros de la entidad pueden ser susceptibles de incorrección material debida a fraude y las partidas a las que puede afectar, incluida la forma en que podría producirse el fraude.

A43. El escepticismo profesional es necesario para la evaluación crítica de la evidencia de auditoría y una discusión por el equipo del encargo sólida y abierta, incluido para auditorías recurrentes, puede conducir a una mejor identificación y valoración de los riesgos de incorrección material. Otro resultado de la discusión puede ser que el auditor identifique áreas específicas de la auditoría para las que puede ser especialmente importante aplicar el escepticismo profesional y puede llevar a la participación de miembros del equipo del encargo con mayor experiencia y la cualificación adecuada para participar en la aplicación de procedimientos de auditoría relacionados con esas áreas.

Graduación

A44. Cuando el encargo es realizado por una sola persona, como un profesional ejerciente individual (es decir, cuando no sería posible una discusión por el equipo del encargo), considerar las cuestiones mencionadas en los apartados A42 y A46 puede, sin embargo, ayudar al auditor a identificar dónde puede haber riesgos de incorrección material.

A45. Cuando el encargo es realizado por un equipo del encargo numeroso, como en el caso de la auditoría de los estados financieros de un grupo, no siempre es necesario o práctico que participen todos los miembros en una misma discusión (como, por ejemplo, en el caso de una auditoría en múltiples ubicaciones), ni es necesario que todos los miembros del equipo del encargo estén informados de todas las decisiones que se tomen en la discusión. El socio del encargo puede discutir las cuestiones con miembros clave del equipo del encargo, incluidos, si se considera adecuado, aquéllos con cualificaciones o conocimientos específicos y los responsables de las auditorías de los componentes, delegando la discusión con otros miembros, teniendo en cuenta la extensión de la comunicación a la totalidad del equipo del encargo que se considera necesaria. Puede ser útil un plan de comunicaciones acordado por el socio del encargo.

Discusión sobre la información a revelar del marco de información financiera aplicable.

A46. Como parte de la discusión entre los miembros del equipo del encargo, la consideración de los requerimientos de información a revelar del marco de información financiera aplicable ayuda en la identificación, al inicio de la auditoría, de dónde puede haber riesgos de incorrección material en relación con la información a revelar, incluso en casos en los que el marco de información financiera aplicable sólo requiere información a revelar simplificada. Algunas de las cuestiones que puede discutir el equipo del encargo incluyen:

cambios en los requerimientos de información financiera que pueden producir información a revelar significativa nueva o revisada;
cambios en el entorno, en la situación financiera o en las actividades de la entidad que pueden tener como resultado información a revelar significativa nueva o revisada, por ejemplo, una combinación de negocios significativa en el periodo objeto de auditoría;
información a revelar para la cual ha podido ser difícil en el pasado obtener evidencia de auditoría suficiente y adecuada;
información a revelar sobre cuestiones complejas, incluidas las que requieren juicios significativos de la dirección acerca de la información a revelar.

Consideraciones específicas para entidades del sector público

A47. Como parte de la discusión entre los miembros del equipo del encargo por auditores de entidades del sector público, también se puede considerar cualquier objetivo adicional más amplio, y los riesgos relacionados, que origina el mandato de auditoría o de las obligaciones de las entidades del sector público.

18. Cuando algunos miembros del equipo del encargo no participen en la discusión por el equipo del encargo, el socio del encargo determinará qué cuestiones se les debe comunicar.

Obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad (Ref: Apartados A48‒A49)

A48. La obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno es un proceso dinámico e iterativo de recopilación, actualización y análisis de información durante toda la auditoría. En consecuencia, las expectativas del auditor pueden cambiar a medida que se obtiene nueva información.

A49. El conocimiento del auditor de la entidad y su entorno y del marco de información financiera aplicable también puede ayudarle en el desarrollo de expectativas iniciales sobre los tipos de transacciones, saldos contables e información a revelar que puedan ser tipos de transacciones, saldos contables e información a revelar significativos. Estos tipos de transacciones, saldos contables e información a revelar que se esperan significativos constituyen las bases del alcance del conocimiento del auditor del sistema de información de la entidad.

Conocimiento de la entidad y su entorno y del marco de información financiera aplicable (Ref: Apartados A50‒A55)

A50. El conocimiento por el auditor de la entidad y su entorno y del marco de información financiera aplicable le ayuda en la comprensión de los hechos y condiciones que son relevantes para la entidad y en la identificación del modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección en la preparación de los estados financieros, de conformidad con el marco de información financiera aplicable, y el grado en que lo hacen. Dicha información constituye un marco de referencia dentro del cual el auditor identifica y valora los riesgos de incorrección material. Este marco de referencia también ayuda al auditor a planificar la auditoría y aplicar su juicio y escepticismo profesionales durante toda la auditoría, por ejemplo:

en la identificación y valoración de los riesgos de incorrección material en los estados financieros de conformidad con la NIA 315 (Revisada 2019) u otras normas aplicables (por ejemplo, las relacionadas con los riesgos de fraude de conformidad con la NIA 240 o al identificar y valorar riesgos relacionados con estimaciones contables de conformidad con la NIA 540 (Revisada));
en la aplicación de procedimientos que ayuden a identificar casos de incumplimiento de disposiciones legales y reglamentarias que puedan tener un efecto material sobre los estados financieros de conformidad con la NIA 250;
en la evaluación de si los estados financieros proporcionan información a revelar adecuada de conformidad con la NIA 700 (Revisada);
en la determinación de la importancia relativa para los estados financieros y para la ejecución del trabajo, de conformidad con la NIA 320; o
al considerar lo adecuado de la selección y aplicación de políticas contables, así como de las revelaciones de información en los estados financieros.

A51. El conocimiento por el auditor de la entidad y su entorno y del marco de información financiera aplicable también está presente en el modo en que el auditor planifica y aplica procedimientos posteriores de auditoría, por ejemplo:

en el desarrollo de expectativas para su utilización en la aplicación de procedimientos analíticos de conformidad con la NIA 520;
en el diseño y aplicación de los procedimientos posteriores de auditoría con el fin de obtener evidencia de auditoría suficiente y adecuada de conformidad con la NIA 330; y
en la evaluación de la suficiencia y adecuación de la evidencia de auditoría obtenida (por ejemplo, relativa a las hipótesis o a las manifestaciones verbales y escritas de la dirección).

Graduación

A52. La naturaleza y la extensión del conocimiento que se requiere es una cuestión de juicio profesional del auditor y varía de una entidad a otra en función de la naturaleza y las circunstancias de la entidad, incluido:

la dimensión y la complejidad de la entidad, incluido su entorno de TI;
la experiencia previa del auditor con la entidad;
la naturaleza de los sistemas y procesos de la entidad, incluido si están o no formalizados, y
la naturaleza y forma de la documentación de la entidad.

A53. Los procedimientos de valoración del riesgo del auditor para obtener el conocimiento requerido pueden ser menos extensos en auditorías de entidades menos complejas y más extensos en el caso de entidades más complejas. Se espera que el grado de conocimiento que debe tener el auditor sea inferior al poseído por la dirección para dirigir la entidad.

A54. Algunos marcos de información financiera permiten que las entidades de pequeña dimensión proporcionen información a revelar más sencilla y menos detallada en los estados financieros. Sin embargo, esto no exime al auditor de la responsabilidad de obtener un conocimiento de la entidad y de su entorno y del modo en que es aplicable a la entidad el marco de información financiera.

A55. La utilización de TI y la naturaleza y extensión de cambios en el entorno de las TI pueden afectar también a las cualificaciones especializadas necesarias para ayudar en la obtención del conocimiento requerido.

19. El auditor aplicará procedimientos de valoración del riesgo para obtener conocimiento de:

Los siguientes aspectos de la entidad y su entorno:
- La estructura organizativa, de propiedad y de gobierno de la entidad y su modelo de negocio, incluido el grado en que el modelo de negocio integra el uso de TI; (Ref: Apartados A56‒A67)

A56. El conocimiento de la estructura organizativa y de propiedad de la entidad puede permitir al auditor comprender cuestiones como:

La complejidad de la estructura de la entidad.

Ejemplo:

La entidad puede ser una entidad aislada o su estructura puede incluir filiales, divisiones u otros componentes en múltiples ubicaciones. Además, la estructura legal puede ser diferente de la estructura operativa. Las estructuras complejas a menudo introducen factores que pueden dar lugar a una mayor susceptibilidad de riesgos de incorrección material. Entre esas cuestiones están, por ejemplo, las relativas a la adecuada contabilización del fondo de comercio, de los negocios conjuntos, de las inversiones o de las entidades con cometido especial y si se han revelado adecuadamente dichas cuestiones en los estados financieros.

La propiedad y las relaciones entre los propietarios y otras personas o entidades, incluidas las partes vinculadas. Dicho conocimiento puede ayudar en la determinación de si las transacciones con partes vinculadas han sido adecuadamente identificadas, contabilizadas y reveladas en los estados financieros.
La distinción entre los propietarios, los responsables del gobierno de la entidad y la dirección.

Ejemplo:

En entidades menos complejas, sus propietarios pueden participar en la dirección de la entidad por lo que hay poca o ninguna distinción. Por el contrario, como en el caso de algunas entidades cotizadas, puede haber una distinción clara entre la dirección, los propietarios de la entidad y los responsables del gobierno.

La estructura y la complejidad del entorno de TI de la entidad.

Ejemplos:

Una entidad:

Puede tener, para distintas empresas, múltiples sistemas de TI heredados que no están bien integrados, lo que da lugar a un entorno de TI complejo.
Puede estar empleando proveedores de servicios externos o internos para algunos aspectos de su entorno de TI (por ejemplo, subcontratando a un tercero para el alojamiento de su entorno de TI o utilizando un centro de servicios compartidos para la gestión centralizada de los procesos de TI en un grupo).

Herramientas y técnicas automatizadas

A57. El auditor puede utilizar herramientas y técnicas automatizadas para entender los flujos de transacciones y su procesamiento como parte de sus procedimientos para conocer el sistema de información. Un resultado de esos procedimientos puede ser que el auditor obtenga información sobre la estructura organizativa de la entidad o sobre las personas con las que hace negocios (por ejemplo, proveedores, clientes, partes vinculadas).

Consideraciones específicas para entidades del sector público

A58. Es posible que la propiedad de una entidad del sector público no tenga la misma relevancia que en el caso del sector privado porque las decisiones relativas a la entidad puede que se tomen fuera de esta como resultado de procesos políticos. En consecuencia, es posible que la dirección no tenga control sobre ciertas decisiones que se toman. Algunas cuestiones que pueden ser relevantes incluyen comprender la capacidad de la entidad de tomar decisiones unilaterales y la capacidad de otras entidades del sector público para controlar o influir en el mandato y en la dirección estratégica de la entidad.

Ejemplo:

Una entidad del sector público puede estar sujeta a leyes u otras directrices de autoridades que la obliguen a obtener la aprobación de partes externas a la entidad sobre su estrategia y objetivos antes de implementarlos. En consecuencia, las cuestiones relacionadas con el conocimiento de la estructura legal de la entidad pueden incluir las disposiciones legales y reglamentarias aplicables y la clasificación de la entidad (es decir, si la entidad es un ministerio, un departamento, una agencia u otro tipo de entidad).

Gobierno de la entidad

Por qué el auditor obtiene conocimiento del gobierno de la entidad

A59. Tener conocimiento del gobierno de la entidad puede ayudar al auditor a conocer la capacidad de la entidad de proporcionar una supervisión adecuada de su sistema de control interno. Sin embargo, este conocimiento también puede proporcionar evidencia de deficiencias que pueden indicar una mayor susceptibilidad de los estados financieros de la entidad a riesgos de incorrección material.

Conocimiento del gobierno de la entidad

A60. Algunas cuestiones que el auditor puede considerar para obtener conocimiento del gobierno de la entidad incluyen:

Si alguno o todos los responsables del gobierno de la entidad participan en su dirección.
La existencia de un consejo no ejecutivo y, en su caso, su separación de la dirección ejecutiva.
Si los responsables del gobierno de la entidad ocupan puestos que son parte integrante de la estructura legal de una entidad, como, por ejemplo, puestos de administradores.
La existencia de subgrupos de responsables del gobierno de la entidad, como, por ejemplo, un comité de auditoría, y las responsabilidades de esos grupos.
Las responsabilidades de los responsables del gobierno de la entidad en la supervisión de la información financiera, incluida la aprobación de los estados financieros.

El modelo de negocio de la entidad

El Anexo 1 contiene consideraciones adicionales para la obtención de conocimiento de la entidad y de su modelo de negocio, así como consideraciones adicionales relativas a la auditoría de entidades con cometido especial.

Por qué el auditor obtiene conocimiento del modelo de negocio de la entidad

A61. Conocer los objetivos, estrategia y modelo de negocio de la entidad ayuda al auditor a comprender la entidad en el ámbito estratégico y a comprender los riesgos de negocio que toma y a los que se enfrenta. El conocimiento de los riesgos de negocio que tienen un efecto en los estados financieros ayuda al auditor en la identificación de los riesgos de incorrección material, puesto que la mayor parte de los riesgos de negocio acaban teniendo consecuencias financieras y, por lo tanto, un efecto en los estados financieros.

Ejemplos:

El modelo de negocio puede confiar en la utilización de TI de diferentes maneras:

la entidad vende zapatos en una tienda física y utiliza un sistema avanzado de registro de inventario y de puntos de venta para registrar la venta de zapatos; o
la entidad vende zapatos por Internet por lo que todas las transacciones de ventas son procesadas en un entorno de TI, incluida el inicio de las transacciones a través de una página web.

Para estas dos entidades, los riesgos de negocio derivados de modelos de negocio significativamente distintos serían sustancialmente diferentes, a pesar de que ambas vendan zapatos.

Conocimiento del modelo de negocio de la entidad

A62. No todos los aspectos del modelo de negocio son relevantes para el conocimiento del auditor. Los riesgos de negocio son más amplios que el riesgo de incorrección material en los estados financieros, aunque lo engloba. El auditor no tiene la responsabilidad de conocer o identificar todos los riesgos de negocio ya que no todos ellos dan lugar a riesgos de incorrección material.

A63. Algunos riesgos de negocio que incrementan la susceptibilidad de riesgos de incorrección material se pueden derivar de:

Objetivos y estrategias inadecuados, una ejecución ineficaz de las estrategias o cambios o
No reconocer la necesidad de cambio también puede dar lugar a un riesgo de negocio, por ejemplo, por:
- el desarrollo de nuevos productos o servicios que pueden resultar fallidos;
- un mercado que, incluso si ha sido desarrollado con éxito, es inadecuado para sustentar un producto o servicio; o
- defectos en un producto o servicio que pueden producir responsabilidades legales y poner en riesgo la reputación.
incentivos y presiones sobre la dirección que pueden producir un sesgo intencionado o no de la dirección y, como resultado, afectar a la razonabilidad de hipótesis significativas y a las expectativas de la dirección o de los responsables del gobierno de la entidad.

A64. Como ejemplos de cuestiones que el auditor puede tener en cuenta para obtener conocimiento del modelo de negocio, los objetivos, las estrategias y los correspondientes riesgos de negocio de la entidad que puedan producir un riesgo de incorrección material en los estados financieros cabe citar los siguientes:

desarrollos sectoriales como la falta de personal o de la especialización necesaria para hacer frente a los cambios en el sector;
nuevos productos y servicios, lo que puede llevar a un incremento de responsabilidades ligadas a los productos;
expansión del negocio y que la demanda no haya sido estimada correctamente;
nuevos requerimientos contables cuando se ha producido una implementación incompleta o incorrecta;
requerimientos normativos que dan lugar a una mayor vulnerabilidad desde un punto de vista jurídico;
requerimientos de financiación actuales y prospectivos, tales como la pérdida de financiación debido a la incapacidad de la entidad de cumplir los requerimientos;
la utilización de TI, como la implementación de un nuevo sistema de TI que afectará tanto a las operaciones como a la información financiera; o
los efectos de implementar una estrategia, en especial cualquier efecto que pueda dar lugar a nuevos requerimientos contables.

A65. Normalmente, la dirección identifica los riesgos de negocio y desarrolla enfoques para darles respuesta. Dicho proceso de valoración del riesgo es un componente del sistema de control interno de la entidad y se trata en el apartado 22 y en los apartados A109-A113.

Consideraciones específicas para entidades del sector público

A66. Las entidades que operan en el sector público pueden crear y proporcionar valor en modos distintos a las que crean riqueza para los propietarios pero aun así tienen un “modelo de negocio” con un objetivo específico. Las cuestiones de las que los auditores del sector público pueden obtener conocimiento que son relevantes para el modelo de negocio de la entidad incluyen:

Conocimiento de las actividades relevantes del gobierno, incluidos los programas
Objetivos de los programas y estrategias, incluidos los elementos políticos.

A67. En el caso de auditorías de entidades del sector público, los “objetivos de la dirección” pueden estar influenciados por requerimientos para demostrar la rendición de cuentas públicamente e incluir objetivos que tengan su origen en las disposiciones legales, reglamentarias o de otro tipo.

Factores sectoriales, normativos y otros factores externos (Re.: Apartado 19(a)(ii)) Factores sectoriales

- Factores sectoriales, normativos y otros factores externos;(Ref: Apartados A68‒A73) y

A68. Los factores sectoriales relevantes incluyen las condiciones relativas al sector, tales como el entorno competitivo, las relaciones con proveedores y clientes y los avances tecnológicos. Algunas cuestiones que el auditor puede considerar son:

El mercado y la competencia, incluida la demanda, la capacidad y la competencia en precios.
Actividad cíclica o estacional.
Tecnología productiva relativa a los productos de la entidad.
Disponibilidad y coste de la energía.

A69. El sector en el que la entidad desarrolla su actividad puede dar lugar a riesgos específicos de incorrección material debidos a la naturaleza de los negocios o al grado de regulación.

Ejemplo:

En el sector de la construcción, los contratos a largo plazo pueden implicar estimaciones significativas de ingresos y gastos que den lugar a riesgos de incorrección material. En estos casos, es importante que el equipo del encargo incluya miembros con el conocimiento y la experiencia suficientes.

Factores normativos

A70. Los factores normativos relevantes incluyen el entorno normativo. El entorno normativo comprende, entre otros, el marco de información financiera aplicable y el entorno legal y político y cualquier cambio que se haya producido en ellos. Algunas cuestiones que el auditor puede considerar son:

Marco normativo en el caso de un sector regulado, por ejemplo, requerimientos prudenciales, incluido la correspondiente información a revelar.
La legislación y normativa que afecten significativamente a las operaciones de la entidad, por ejemplo, disposiciones legales y reglamentarias laborales.
Legislación y disposiciones reglamentarias laborales.
Políticas gubernamentales que afecten en la actualidad al desarrollo de la actividad de la entidad, tales como política monetaria, incluidos los controles de cambio, política fiscal, incentivos financieros (por ejemplo, programas de ayuda públicos), y políticas arancelarias o de restricción al comercio.
Requerimientos medioambientales que afecten al sector y a la actividad de la entidad.

A71. La NIA 250 (Revisada) incluye algunos requerimientos específicos en relación con el marco normativo aplicable a la entidad y al sector en el que opera.

Consideraciones específicas para entidades del sector público

A72. En el caso de la auditoría de entidades del sector público, pueden existir disposiciones legales y reglamentarias específicas que afecten a las operaciones de la entidad. Puede ser indispensable la consideración de estos elementos para conocer la entidad y su entorno.

Otros factores externos

A73. Otros factores externos que afectan a la entidad y que el auditor puede considerar incluyen las condiciones económicas generales, los tipos de interés y la disponibilidad de financiación, así como la inflación o la revaluación de la moneda.

Mediciones utilizadas por la dirección para evaluar el resultado financiero de la entidad (Ref: Apartado 19(a)(iii))

Por qué el auditor debe conocer las mediciones utilizadas por la dirección

- Las mediciones utilizadas, interna y externamente, para valorar el resultado de la entidad; (Ref: Apartados A74‒A81)

A74. El conocimiento de las mediciones utilizadas por la entidad ayuda al auditor en la consideración de si esas mediciones, utilizadas tanto externa como internamente, generan presiones a la entidad para alcanzar los resultados previstos. Esas presiones pueden motivar a la dirección para llevar a cabo actuaciones que incrementen la susceptibilidad de incorrección debida a sesgo de la dirección o fraude (por ejemplo, para mejorar los resultados o preparar a sabiendas estados financieros con incorrecciones) (véase la NIA 240 en relación con los requerimientos y orientaciones sobre los riesgos de fraude).

A75. Las mediciones también pueden indicar al auditor la probabilidad de riesgos de incorrección material de información financiera relacionada. Por ejemplo, las mediciones de resultados pueden indicar que la entidad experimenta un rápido crecimiento o una rentabilidad inusuales en comparación con otras entidades del mismo sector.

Mediciones utilizadas por la dirección

A76. Normalmente, la dirección y otras personas miden y revisan las cuestiones que consideran importantes. Las indagaciones ante la dirección pueden revelar que esta confía en algunos indicadores clave, tanto a disposición del público como no, para evaluar el resultado financiero y adoptar medidas. En esos casos, el auditor puede identificar mediciones del resultado relevantes, tanto internas como externas, considerando la información que emplea la dirección para gestionar su empresa. Si dicha indagación indica la ausencia de medición o revisión de resultados, puede haber un mayor riesgo de que las incorrecciones no sean detectadas y corregidas.

A77. Los indicadores clave para evaluar el resultado financiero pueden incluir:

Indicadores clave de resultados (financieros y no financieros), así como ratios y tendencias clave y estadísticas de operaciones claves.
Análisis comparativo del resultado financiero entre periodos.
Presupuestos, pronósticos, análisis de desviaciones, información por segmentos, así como informes de resultados por divisiones, departamentos u otros niveles.
Mediciones del desempeño de los empleados y políticas de incentivos.
Comparación del resultado de una entidad con los de la competencia.

Graduación (Ref: Apartado 19(a)(iii))

A78. Los procedimientos que se apliquen para conocer las mediciones de la entidad pueden variar dependiendo del tamaño o de la complejidad de la entidad, así como de la participación de los propietarios o de los responsables del gobierno de la entidad en la dirección de esta.

Ejemplos:

En el caso de algunas entidades menos complejas, las condiciones de la financiación bancaria (es decir, clausulas bancarias) pueden estar ligadas a mediciones de resultado específicas relacionadas con el resultado o la situación financiera de la entidad (por ejemplo, un fondo de maniobra máximo). El conocimiento por el auditor de las mediciones del resultado utilizadas por el banco puede ayudar a identificar áreas en las que existe una mayor susceptibilidad de riesgo de incorrección material.
En el caso de algunas entidades cuya naturaleza y circunstancias son más complejas, como las que operan en el sector asegurador o bancario, el resultado o la situación financiera se pueden medir utilizando requerimientos normativos (por ejemplo, requerimientos normativos sobre ratios tales como de capitalización o de liquidez que se deben alcanzar). El conocimiento por el auditor de estas mediciones del resultado le puede ayudar a identificar áreas en las que existe una mayor susceptibilidad de riesgo de incorrección material.

Otras consideraciones

A79. Es posible que terceros revisen y analicen también el resultado de la entidad, en especial, en el caso de entidades cuya información financiera está a disposición del público. El auditor también puede tener en cuenta información a disposición del público como ayuda para obtener un mayor conocimiento del negocio o identificar información contradictoria como la procedente de:

Analistas o agencias de calificación crediticia.
Noticias y otros medios de comunicación, incluidas las redes sociales.
Autoridades fiscales.
Autoridades reguladoras.
Sindicatos.
Proveedores de financiación.

Dicha información financiera se puede, a menudo, obtener de la entidad auditada.

A80. La medición y revisión del resultado financiero no es lo mismo que el seguimiento del sistema de control interno (que se trata como componente del sistema de control interno en los apartados A114– A122), aunque sus propósitos se pueden solapar:

La medición y revisión del resultado financiero tiene como finalidad comprobar si los resultados de la entidad cumplen los objetivos fijados por la dirección (o por terceros).
Por el contrario, el seguimiento del sistema de control interno se ocupa de hacer un seguimiento de la eficacia de los controles incluidos los que están relacionados con la medición y revisión por la dirección de los resultados financieros.

Sin embargo, en algunos casos, los indicadores de resultados pueden proporcionar también información que permite a la dirección identificar deficiencias de control.

Consideraciones específicas para entidades del sector público

A81. Además de considerar las mediciones relevantes utilizadas por una entidad del sector público para valorar el resultado financiero de la entidad, los auditores de entidades del sector público también pueden tener en cuenta información no financiera como el logro de resultados de interés público (por ejemplo, el número de personas que han recibido ayuda de un determinado programa).

El marco de información financiera aplicable (Ref: Apartado 19(b))

El marco de información financiera aplicable, así como las políticas contables de la entidad y los motivos de cualquier cambio en estas; (Ref Apartados A82‒A84) y

A82. Algunas cuestiones que el auditor puede considerar para obtener conocimiento del marco de información financiera aplicable de la entidad y el modo en que se aplica en el contexto de la naturaleza y las circunstancias de la entidad y su entorno incluyen:

Las prácticas contables de la entidad en referencia al marco de información financiera aplicable, tales como:
- Principios contables y prácticas sectoriales específicas, incluidos los relativos a los tipos de transacciones, saldos contables e información a revelar en los estados financieros que sean significativos en el sector (por ejemplo, préstamos e inversiones, en el caso del sector bancario, o investigación y desarrollo en la industria farmacéutica).
- Reconocimiento de ingresos.
- Contabilización de instrumentos financieros, incluidas las correspondientes pérdidas por insolvencias.
- Activos, pasivos y transacciones en moneda extranjera.
- Contabilización de transacciones inusuales o complejas incluidas aquéllas en áreas controvertidas o novedosas (por ejemplo, contabilización de criptomonedas).

El conocimiento de la selección y aplicación de políticas contables, incluido cualquier cambio en ellas, así como los motivos de esos cambios, puede comprender cuestiones como:
- Los métodos utilizados por la entidad para reconocer, medir, presentar y revelar transacciones significativas e inusuales.
- El efecto de políticas contables significativas en áreas emergentes o controvertidas para las que hay una falta de orientaciones autorizadas o de consenso.
- Cambios en el entorno, tales como cambios en el marco de información financiera aplicable o reformas fiscales que pueden hacer necesario un cambio en las políticas contables de la entidad.
- Normas de información financiera y disposiciones legales y reglamentarias que son nuevas para la entidad, así como el modo y momento en que la entidad adoptará o cumplirá dichos requerimientos.

A83. La obtención de conocimiento de la entidad y su entorno puede ayudar al auditor a considerar si se pueden esperar cambios en la información financiera de la entidad (por ejemplo, con respecto a otros periodos).

Ejemplo:

Si una entidad ha sido parte de una combinación de negocios significativa durante el ejercicio, es probable que el auditor espere cambios en los tipos de transacciones, saldos contables o información a revelar relativos a dicha combinación de negocios. Por el contrario, si no se produjeron cambios significativos en el marco de información financiera durante el periodo, el conocimiento del auditor puede ayudar a confirmar que sigue siendo aplicable el conocimiento obtenido en el periodo anterior.

Consideraciones específicas para entidades del sector público

A84. El marco de información financiera aplicable en una entidad del sector público es determinado por los marcos legales y reglamentarios relevantes para cada jurisdicción o dentro de cada área geográfica. Algunas cuestiones que se pueden considerar en la aplicación por la entidad de los requerimientos de información financiera aplicables y el modo en que se aplican en el contexto de la naturaleza y las circunstancias de la entidad y su entorno incluyen, si la entidad aplica plenamente el criterio contable del devengo o si aplica el criterio contable de caja de conformidad con las Normas Internacionales de Contabilidad del Sector Público, o un criterio mixto.

Modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección (Ref: Apartado 19(c))

En el Anexo 2 figuran ejemplos de hechos y condiciones que pueden dar lugar a la existencia de riesgos de incorrección material, clasificados por factor de riesgo inherente

Por qué el auditor conoce los factores de riesgo inherente al conocer la entidad y su entorno y el marco de información financiera aplicable

El modo y el grado en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección en la preparación de los estados financieros de conformidad con el marco de información financiera aplicable sobre la base del conocimiento adquirido en (a) y (b). (Ref: Apartados A85‒A89)

A85. El conocimiento de la entidad y de su entorno y del marco de información financiera aplicable ayuda al auditor en la identificación de hechos o condiciones cuyas características pueden afectar a la susceptibilidad de las afirmaciones sobre tipos de transacciones, saldos contables o información a revelar a incorrección. Estas características son factores de riesgo inherente. Los factores de riesgo inherente pueden afectar a la susceptibilidad de las afirmaciones a incorrección al influir en la probabilidad de que exista una incorrección o en la magnitud de la posible incorrección si existe. El conocimiento del modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección puede facilitar al auditor un conocimiento preliminar de la probabilidad o magnitud de las incorrecciones, lo que ayuda al auditor a identificar los riesgos de incorrección material en las afirmaciones de conformidad con el apartado 28(b). El conocimiento del grado en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección también ayuda al auditor en la valoración de la probabilidad y la magnitud de una posible incorrección cuando valora el riesgo inherente de conformidad con el apartado 31(a). En consecuencia, el conocimiento de los factores de riesgo inherente también puede ayudar al auditor en el diseño y aplicación de los procedimientos posteriores de auditoría de conformidad con la NIA 330.

A86. La identificación por el auditor de los riesgos de incorrección material en las afirmaciones y la valoración del riesgo inherente también pueden verse influidas por evidencia de auditoría obtenida por él en la aplicación de otros procedimientos de valoración del riesgo, de procedimientos posteriores de auditoría o en el cumplimiento de otros requerimientos de las NIA (véanse los apartados A95, A103, A111, A121, A124 y A151).

El efecto de los factores de riesgo inherente sobre un tipo de transacción, saldo contable o información a revelar

A87. El grado de susceptibilidad de incorrección de un tipo de transacciones, saldo contable o información a revelar originada por la complejidad o la subjetividad, a menudo, está estrechamente vinculado al grado en el que está sujeto a cambios o incertidumbre.

Ejemplo:

Si la entidad tiene una estimación contable basada en hipótesis cuya selección está sujeta a juicio significativo, es probable que la medición de la estimación contable esté afectada tanto por subjetividad como por incertidumbre.

A88. Cuanto mayor sea el grado de susceptibilidad de incorrección material de un tipo de transacciones, saldo contable o información a revelar debida a complejidad o subjetividad, mayor será la necesidad del auditor de aplicar escepticismo profesional. Además, cuando un tipo de transacciones, saldo contable o información a revelar es susceptible de incorrección debido a complejidad, subjetividad, cambio o incertidumbre, estos factores de riesgo inherente pueden crear oportunidades para el sesgo de la dirección, intencionado o no, y afectar a la susceptibilidad de incorrección debida a sesgo de la dirección. La identificación por el auditor de los riesgos de incorrección material y la valoración del riesgo inherente en las afirmaciones también pueden verse afectadas por las interrelaciones entre los factores de riesgo inherente.

A89. Hechos o condiciones que pueden afectar a la susceptibilidad de incorrección debida a sesgo de la dirección también pueden afectar a la susceptibilidad de incorrección debida a otros factores de riesgo de fraude. En consecuencia, esta puede ser información relevante para su uso de conformidad con el apartado 24 de la NIA 240, que requiere que el auditor evalúe si la información obtenida mediante otros procedimientos de valoración del riesgo y actividades relacionadas indica la presencia de uno o varios factores de riesgo de fraude.

Obtención de conocimiento del sistema de control interno de la entidad (Ref: Apartados 21‒27)

En el Anexo 3 se describen con mayor detalle la naturaleza del sistema de control interno de la entidad y limitaciones inherentes al control interno, respectivamente. En el anexo 3 también se proporciona una explicación adicional de los componentes de un sistema de control interno a efectos de las NIA.

20. El auditor evaluará si las políticas contables de la entidad son adecuadas y congruentes con el marco de información financiera aplicable.

Conocimiento de los componentes del sistema de control interno de la entidad (Ref: Apartados A90– A95)

A90. El conocimiento del auditor del sistema de control interno de la entidad se obtiene mediante los procedimientos de valoración del riesgo aplicados para conocer y evaluar cada uno de los componentes del sistema de control interno como se explica en los apartados 21 a 27.

A91. Los componentes del sistema de control interno a efectos de esta NIA pueden no reflejar necesariamente el modo en que una entidad diseña, implementa y mantiene su sistema de control interno, o el modo en que clasifica un determinado componente. Las entidades pueden utilizar una terminología o marcos distintos para describir los diversos aspectos del sistema de control interno. A efectos de una auditoría, los auditores también pueden utilizar una terminología o marcos distintos siempre que se traten todos los componentes descritos en esta NIA.

Graduación

A92. La manera en que se diseña, implementa y mantiene el sistema de control interno de la entidad varía según la dimensión y la complejidad de esta. Por ejemplo, las entidades menos complejas pueden utilizar controles (es decir, políticas y procedimientos) menos estructurados o más sencillos para alcanzar sus objetivos.

Consideraciones específicas para entidades del sector público

A93. Los auditores de entidades del sector público a menudo tienen responsabilidades adicionales con respecto al control interno, por ejemplo, informar sobre el cumplimiento de un determinado código de conducta o informar sobre los gastos con cargo al presupuesto. Los auditores de entidades del sector público pueden igualmente tener responsabilidades de informar sobre el cumplimiento de las disposiciones legales, reglamentarias o de otro tipo. En consecuencia, es posible que su consideración del sistema de control interno sea más amplia y detallada.

Tecnologías de la información en los componentes del sistema de control interno de la entidad

En el Anexo 5 se proporcionan orientaciones adicionales en relación con el conocimiento de la utilización por la entidad de las TI en los componentes del sistema de control interno.

A94. El objetivo global y el alcance de una auditoría no son diferentes si una entidad opera en un entorno mayoritariamente manual, un entorno totalmente automatizado o un entorno en el que se combinan elementos manuales y automatizados (es decir, controles manuales y automatizados y otros recursos utilizados en el sistema de control interno de la entidad).

Conocimiento de la naturaleza de los componentes del sistema de control interno de la entidad

A95. En la evaluación de la eficacia del diseño de los controles y de si han sido implementados (véanse los apartados A175 a A181), el conocimiento por el auditor de cada uno de los componentes del sistema de control interno de la entidad proporciona un conocimiento preliminar del modo en que la entidad identifica los riesgos de negocio y del modo en que responde a estos. También puede influir en la identificación y valoración por el auditor de los riesgos de incorrección material de diferentes formas (véase el apartado A86). Esto ayuda al auditor en el diseño y la aplicación de procedimientos posteriores de auditoría, incluida cualquier previsión de comprobar la eficacia operativa de los controles. Por ejemplo:

Es más probable que el conocimiento por el auditor del entorno de control de la entidad, el proceso de valoración del riesgo por la entidad y el proceso de la entidad para el seguimiento de los componentes de los controles afecten a la identificación y valoración de los riesgos de incorrección material en los estados financieros.
Es más probable que el conocimiento por el auditor del sistema de información y de comunicación de la entidad y del componente de actividades de control de la entidad afecten a la identificación y valoración de los riesgos de incorrección material en las afirmaciones.

Entorno de control, proceso de valoración del riesgo por la entidad y proceso para el seguimiento del sistema de control interno de la entidad (Ref: Apartados 21-24)

Entorno de control, proceso de valoración del riesgo por la entidad y proceso para el seguimiento del sistema de control interno de la entidad (Ref: Apartados A96‒A98) Leer Más

A96. Los controles en el entorno de control, el proceso de valoración del riesgo por la entidad y el proceso para el seguimiento del sistema de control interno de la entidad son principalmente controles indirectos (es decir, controles que no son suficientemente precisos para prevenir, detectar o corregir incorrecciones en las afirmaciones, pero que sustentan a otros controles y pueden, por lo tanto, tener un efecto indirecto en la probabilidad de que se detecte o prevenga una incorrección oportunamente). No obstante, algunos controles de estos componentes también pueden ser controles directos.

Por qué se requiere que el auditor tenga conocimiento del entorno de control, del proceso de valoración del riesgo por la entidad y del proceso para el seguimiento del sistema de control interno de la entidad

A97. El entorno de control proporciona un fundamento global para el funcionamiento de los demás componentes del sistema control interno. El entorno de control no previene ni detecta y corrige incorrecciones directamente. Puede, sin embargo, influir en la eficacia de controles en otros componentes del sistema de control interno. Del mismo modo, el proceso de valoración del riesgo por la entidad y su proceso de seguimiento del sistema de control interno están diseñados para funcionar de un modo que también sustenta la totalidad del sistema de control interno.

A98. Debido a que esos componentes son el fundamento de todo el sistema de control interno de la entidad, cualquier deficiencia en su funcionamiento podría tener efectos generalizados en la preparación de los estados financieros. En consecuencia, el conocimiento y evaluación de esos componentes por el auditor afectan a su identificación y valoración de los riesgos de incorrección material en los estados financieros y también pueden afectar a la identificación y valoración de los riesgos de incorrección material en las afirmaciones. Los riesgos de incorrección material en los estados financieros afectan al diseño por el auditor de respuestas globales, que incluyen, como se explica en la NIA 330, una influencia sobre la naturaleza, el momento de realización y la extensión de los procedimientos posteriores de auditoría.

Obtención de conocimiento del entorno de control (Ref: Apartado 21) Graduación

Entorno de control

21. El auditor obtendrá conocimiento del entorno de control que sea relevante para la preparación de los estados financieros mediante la aplicación de procedimientos de valoración del riesgo mediante: (Ref: Apartados A99–A100)

(a) el conocimiento del conjunto de controles, procesos y estructuras que tratan: (Ref: Apartados A101‒A102)

(i) el modo en que la dirección ejerce las responsabilidades de supervisión, tales como la cultura de la entidad y el compromiso de la dirección con la integridad y los valores éticos;

(ii) la independencia de los responsables del gobierno de la entidad y su supervisión del sistema de control interno de la entidad cuando estos sean distintos de la dirección;

(iii) la asignación de autoridad y responsabilidad en la entidad;

(iv) el modo en que la entidad atrae, desarrolla y retiene personas competentes; y

(v) el modo en que la entidad exige responsabilidades por la consecución de los objetivos del sistema de control interno a las personas que han de responder de ello;

(b) la evaluación de si: (Ref: Apartados A103‒A108)

(i) la dirección, bajo la supervisión de los responsables del gobierno de la entidad, ha establecido y mantenido una cultura de honestidad y de comportamiento ético;

(ii) el entorno de control proporciona una base adecuada para los demás componentes del sistema de control interno de la entidad considerando la naturaleza y complejidad de esta; y

(iii) las deficiencias de control identificadas en el entorno de control menoscaban los demás componentes del sistema de control interno de la entidad.

El proceso de valoración del riesgo por la entidad

22. El auditor obtendrá conocimiento del proceso de valoración del riesgo por la entidad que sea relevante para la preparación de los estados financieros mediante la aplicación de procedimientos de valoración del riesgo a través de:

(a) el conocimiento del proceso de la entidad para: (Ref: Apartados A109‒A110)

(i) la identificación de los riesgos de negocio relevantes para los objetivos de la información financiera; (Ref: Apartado A62)

(ii) la evaluación de la significatividad de dichos riesgos, incluida la probabilidad de ocurrencia y

(iii) la respuesta a dichos riesgos;

(b) la evaluación de si el proceso de valoración del riesgo por la entidad es adecuado a las circunstancias de la entidad teniendo en cuenta la naturaleza y complejidad de esta. (Ref: Apartados A111‒A113)

23. Si el auditor identifica riesgos de incorrección material que la dirección no ha identificado:

determinará si por su naturaleza era de esperar que cualquiera de dichos riesgos hubiera sido identificado por el proceso de valoración del riesgo por la entidad y, en su caso, obtendrá conocimiento del motivo por el que el proceso de valoración del riesgo por la entidad no identificó esos riesgos de incorrección material; y
considerará las implicaciones para la evaluación por el auditor del apartado 22(b).

El proceso de la entidad para el seguimiento del sistema de control interno

24. El auditor obtendrá conocimiento del proceso de la entidad para el seguimiento del sistema de control interno relevante para la preparación de los estados financieros, mediante la aplicación de

procedimientos de valoración del riesgo a través de: (Ref: Apartados A114–A115)

(a) el conocimiento de los aspectos del proceso de la entidad que tratan de:

(i) las evaluaciones continuas e individuales para el seguimiento de la eficacia de los controles y la identificación y corrección de las deficiencias de control identificadas; (Ref: Apartados A116‒A117) y

(ii) en su caso, la función de auditoría interna de la entidad, incluida su naturaleza, responsabilidades y actividades; (Ref: Apartado A118)

(b) el conocimiento de las fuentes de información utilizadas en el proceso de la entidad para el seguimiento del sistema de control interno, y los fundamentos de la dirección para considerar que la información es suficientemente fiable para esa finalidad; (Ref:

Apartados A119‒A120)

(c) la evaluación de si el proceso de seguimiento del sistema de control interno de la entidad es adecuado a las circunstancias de la entidad teniendo en cuenta la naturaleza y complejidad de esta. (Ref: Apartados A121‒A122)

Sistema de información y comunicación y actividades de control (Ref: Apartados A123–A130)

A123. Los controles en el sistema de información y comunicación y en los componentes de actividades de control son principalmente controles directos (es decir, controles lo suficientemente precisos para prevenir, detectar o corregir errores en las afirmaciones).

Por qué se requiere que el auditor tenga conocimiento del sistema de información y comunicación y de los controles en el componente de actividades de control.

A124. Se requiere que el auditor tenga conocimiento del sistema de información y comunicación porque el conocimiento de las políticas de la entidad que definen los flujos de transacciones y otros aspectos de las actividades de proceso de la información de la entidad relevantes para la preparación de los estados financieros, y la evaluación de si el componente proporciona un soporte adecuado para la preparación de los estados financieros de la entidad, sustentan la identificación y valoración de los riesgos de incorrección material en las afirmaciones por el auditor. Este conocimiento y esta evaluación también pueden tener como resultado la identificación de riesgos de incorrección material en los estados financieros cuando los resultados de los procedimientos del auditor son incongruentes con las expectativas sobre el sistema de control interno de la entidad que se pueden haber formado sobre la base de información obtenida durante el proceso de aceptación o continuidad del encargo (véase el apartado A86).

A125. Se requiere que el auditor identifique controles específicos en el componente de actividades de control y que evalúe su diseño y determine si los controles han sido implementados, ya que ello le ayuda en el conocimiento del enfoque de la dirección para responder a determinados riesgos y, por lo tanto, le proporciona una base para el diseño y aplicación de procedimientos posteriores de auditoría que respondan a esos riesgos como requiere la NIA 330. Cuanto más alto se valore un riesgo dentro del espectro de riesgo inherente, más convincente tendrá que ser la evidencia de auditoría. Incluso cuando el auditor no prevé comprobar la eficacia operativa de los controles identificados, el conocimiento del auditor aún puede afectar al diseño de la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos de auditoría que respondan a los correspondientes riesgos de incorrección material.

La naturaleza iterativa del conocimiento del auditor y la evaluación del sistema de información y comunicación, y de las actividades de control.

A126. Como se explica en el apartado A49, el conocimiento por el auditor de la entidad y su entorno y del marco de información financiera aplicable le puede ayudar en el desarrollo de expectativas iniciales sobre los tipos de transacciones, saldos contables e información a revelar que puedan ser tipos de transacciones, saldos contables e información a revelar significativos. En la obtención de conocimiento del componente del sistema de información y comunicación de conformidad con el apartado 25(a), el auditor puede utilizar esas expectativas iniciales con el fin de determinar la extensión del conocimiento de las actividades de procesamiento de la información que debe obtener.

A127. El conocimiento del sistema de información por el auditor incluye conocer las políticas que definen los flujos de información relativos a los tipos de transacciones, saldos contables e información a revelar significativos y otros aspectos relacionados de las actividades de la entidad de procesamiento de la información. Esta información y la que se obtenga de la evaluación por el auditor del sistema de información pueden confirmar o influir más en sus expectativas sobre los tipos de transacciones, saldos contables e información a revelar significativos inicialmente identificados (véase el apartado A126).

A128. En la obtención de conocimiento del modo en que la información relativa a los tipos de transacciones, saldos contables e información a revelar significativos entra, fluye y sale del sistema de información de la entidad, es posible que el auditor identifique también controles en el componente de actividades de control que deben ser identificados de conformidad con el apartado 26(a). En la identificación y evaluación de controles en el componente de actividades de control al diseñar la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos, el auditor se puede centrar en primer lugar en los controles sobre asientos en el diario y en los controles cuya eficacia operativa tiene previsto comprobar.

A129. La valoración por el auditor del riesgo inherente también puede influir en la identificación de controles en el componente de actividades de control. Por ejemplo, es posible que la identificación por el auditor de controles relacionados con riesgos significativos solo se pueda realizar cuando el auditor haya valorado el riesgo inherente en las afirmaciones de conformidad con el apartado 31. Además, es posible que solo se puedan identificar los controles que responden a riesgos para los cuales el auditor ha determinado que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada (de conformidad con el apartado 33) una vez que el auditor haya realizado sus valoraciones de riesgo inherente.

A130. La identificación y valoración por el auditor de los riesgos de incorrección material en las afirmaciones depende tanto:

Del conocimiento por el auditor de las políticas de la entidad para sus actividades de procesamiento de la información en el sistema de información y en el componente de comunicación, como;
De la identificación y evaluación de controles en el componente de actividades de control.

Sistema de información y comunicación

25. El auditor obtendrá conocimiento del sistema de información y comunicación de la entidad que sea relevante para la preparación de los estados financieros, mediante la aplicación de procedimientos de valoración del riesgo a través de: (Ref: Apartado A131)

(a) el conocimiento de las actividades de procesamiento de la información de la entidad, incluidos sus datos e información, los recursos que se deben utilizar en esas actividades y las políticas que definen, para los tipos significativos de transacciones, saldos contables e información a revelar: (Ref: Apartados A132‒A143)

(i) el modo en que la información fluye por el sistema de información de la entidad, incluido el modo en que:
- las transacciones se inician y la información sobre ellas se registra, se procesa, se corrige si es necesario, se traslada al mayor y se incluye en los estados financieros; y
- la información sobre los hechos y condiciones, distintos de las transacciones, se captura, se procesa y se revela en los estados financieros;
(ii) los registros contables, cuentas específicas de los estados financieros y otros registros de soporte relacionados con los flujos de información en el sistema de información;
(iii) el proceso de información financiera utilizado para la preparación de los estados financieros de la entidad, incluida la información a revelar; y
(iv) los recursos de la entidad, incluido el entorno de TI, relevantes para los apartados (a)(i) a (a)(iii) anteriores;

(b) el conocimiento del modo en que la entidad comunica las cuestiones significativas que sustentan la preparación de los estados financieros y las correspondientes responsabilidades de información en el sistema de información y otros componentes del sistema de control interno: (Ref: Apartados A144‒A145)

(i) a personas dentro de la entidad, incluido el modo en que se comunican las funciones y responsabilidades relacionadas con la información financiera;
(ii) a la dirección y los responsables del gobierno de la entidad y
(iii) con terceros, tales como las realizadas con las autoridades reguladoras;

(c) la evaluación de si el sistema de información y comunicación de la entidad sustentan adecuadamente la preparación de los estados financieros de conformidad con el marco de información financiera aplicable. (Ref: Apartado A146)

Actividades de control

26. El auditor obtendrá conocimiento del componente de actividades de control mediante la aplicación de procedimientos de valoración del riesgo, a través de: (Ref: Apartados A147–A157)

(a) la identificación, en el componente de actividades de control, de controles que responden a los riesgos de incorrección material en las afirmaciones como sigue:

(i) controles que responden a un riesgo que se considera riesgo significativo; (Ref: Apartados A158‒ A159)

(ii) controles sobre los asientos en el diario, incluidos aquellos asientos que no son estándar y que se utilizan para registrar transacciones o ajustes no recurrentes o inusuales;(Ref: Apartados A160‒A161)

(iii) controles cuya eficacia operativa tiene previsto comprobar el auditor en la determinación de la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos, que incluirán controles que responden a riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada; y (Ref: Apartados A162‒A164)

(iv) otros controles que el auditor considere adecuados para permitirle cumplir con los objetivos del apartado 13 con respecto a los riesgos en las afirmaciones, basándose en su juicio profesional; (Ref: Apartado A165)

(b) la identificación de las aplicaciones de TI y otros aspectos del entorno de TI que están sujetos a riesgos derivados de la utilización de TI basándose en los controles identificados en (a); (Ref: Apartados A166‒A172)

(c) para dichas aplicaciones de TI y otros aspectos del entorno de TI identificados en (b), la identificación de: (Ref: Apartados A173‒A174)

(i) los riesgos derivados de la utilización de TI; y (ii) los controles generales de TI de la entidad que responden directamente a dichos riesgos;

(d) para cada uno de los controles identificados en los apartados (a) o (c)(ii): (Ref: Apartados A175‒A181)

(i) la evaluación de si el control está diseñado eficazmente para responder al riesgo de incorrección material en las afirmaciones o si está diseñado eficazmente para sustentar el funcionamiento de otros controles; y (ii) la determinación de si el control ha sido implementado aplicando procedimientos además de indagar ante el personal de la entidad.

Deficiencias de control en el sistema de control interno de la entidad

27. Basándose en su evaluación de cada uno de los componentes del sistema de control interno de la entidad, el auditor determinará si se han identificado una o más deficiencias de control. (Ref: Apartados A182–A183) Leer Más

A182. En la realización de las evaluaciones de cada uno de los componentes del sistema de control interno de la entidad47, es posible que el auditor determine que algunas de las políticas de la entidad en un componente no son adecuadas a la naturaleza y las circunstancias de la entidad. Esta determinación puede ser un indicador que ayude al auditor en la identificación de deficiencias de control. Si el auditor ha identificado una o varias deficiencias de control, puede tener en cuenta el efecto de esas deficiencias para el diseño de procedimientos posteriores de auditoría de conformidad con la NIA 330.

A183. Si el auditor ha identificado una o más deficiencias de control, la NIA 26548 requiere que determine si, individualmente o su combinación, constituyen una deficiencia significativa. El auditor aplicará su juicio profesional para determinar si una deficiencia representa una deficiencia de control significativa.

Ejemplos:

Las circunstancias que pueden ser indicativas de que existe una deficiencia de control significativa incluyen cuestiones como:

la identificación de fraude, cualquiera que sea su magnitud, en el que participe la alta dirección;
procesos internos identificados que son inadecuados relacionados con las deficiencias de información y comunicación observadas por la auditoría interna;
deficiencias comunicadas con anterioridad que no hayan sido corregidas por la dirección de modo oportuno;
que la dirección no haya respondido a riesgos significativos, por ejemplo, no implementando controles sobre riesgos significativos; y
la reexpresión de estados financieros emitidos con anterioridad.

Identificación y valoración del riesgo de incorrección material (Ref: Apartados 28‒37)

Identificación y valoración del riesgo de incorrección material (Ref: Apartados A184‒A185)

A184. Los riesgos de incorrección material son identificados y valorados por el auditor con el fin de determinar la naturaleza, el momento de realización y la extensión de los procedimientos posteriores de auditoría necesarios para obtener evidencia de auditoría suficiente y adecuada. Dicha evidencia permite al auditor expresar una opinión sobre los estados financieros con un nivel de riesgo de auditoría aceptablemente bajo.

A185. La información obtenida de la aplicación de procedimientos de valoración del riesgo se utiliza como evidencia de auditoría para sustentar la identificación y la valoración de los riesgos de incorrección material. Por ejemplo, la evidencia de auditoría obtenida en la evaluación del diseño de controles identificados y en la determinación de si se han implementado en el componente de actividades de control se utiliza como evidencia de auditoría justificativa de la valoración del riesgo. Esta evidencia también proporciona una base para el diseño por el auditor de respuestas de carácter global para responder a los riesgos valorados de incorrección material en los estados financieros, así como para el diseño y aplicación de procedimientos posteriores de auditoría cuya naturaleza, momento de realización y extensión respondan a los riesgos valorados de incorrección material en las afirmaciones, de conformidad con la NIA 330.

Identificación de los riesgos de incorrección material

28. El auditor identificará los riesgos de incorrección material y determinará si existen: (Ref: Apartados A186–A192) Leer Más

A186. La identificación de los riesgos de incorrección material se realiza antes de considerar cualquiera de los correspondientes controles (es decir, el riesgo inherente) y se basa en la consideración preliminar del auditor de las incorrecciones que tienen una probabilidad razonable tanto de existir como de ser materiales en caso de que existan.

A187. La identificación de los riesgos de incorrección material también proporciona al auditor una base para la determinación de las afirmaciones relevantes, lo que le ayuda a determinar los tipos de transacciones, saldos contables e información a revelar significativos.

Afirmaciones

Por qué el auditor utiliza afirmaciones

A188. En la identificación y valoración de los riesgos de incorrección material, el auditor utiliza afirmaciones para considerar los distintos tipos de incorrecciones potenciales que pueden existir. Las afirmaciones para las que el auditor ha identificado riesgos relacionados de incorrección material son afirmaciones relevantes.

La utilización de afirmaciones

A189. En la identificación y valoración de los riesgos de incorrección material, el auditor puede utilizar las categorías de afirmaciones que se describen en el apartado A190(a)-(b) más adelante o puede expresarlas de una manera diferente siempre que todos los aspectos descritos más adelante hayan sido cubiertos. El auditor puede elegir combinar las afirmaciones sobre tipos de transacciones y hechos y la correspondiente información a revelar, con las afirmaciones sobre saldos contables y la correspondiente información a revelar.

A190. Las afirmaciones utilizadas por el auditor al considerar los distintos tipos de incorrecciones potenciales que pueden existir se pueden clasificar en las categorías siguientes:

Afirmaciones sobre tipos de transacciones y hechos, y la correspondiente información a revelar, durante el periodo objeto de auditoría:
- Ocurrencia: las transacciones y hechos registrados o revelados han ocurrido y dichas transacciones y hechos corresponden a la entidad.
- Integridad: se han registrado todos los hechos y transacciones que tenían que registrarse y se ha incluido toda la información a revelar relacionada que se tenía que incluir en los estados financieros.
- Exactitud: las cantidades y otros datos relativos a las transacciones y hechos se han registrado adecuadamente y la correspondiente información a revelar ha sido adecuadamente medida y descrita.
- Corte de operaciones: las transacciones y los hechos se han registrado en el periodo correcto.
- Clasificación: las transacciones y los hechos se han registrado en las cuentas apropiadas.
- Presentación: las transacciones y hechos han sido adecuadamente agregados o desagregados y están descritos con claridad y la correspondiente información a revelar es pertinente y comprensible en el contexto de los requerimientos del marco de información financiera aplicable.

Afirmaciones sobre saldos contables, y la correspondiente información a revelar, al cierre del periodo:
- Existencia: los activos, pasivos y el patrimonio neto existen.
- Derechos y obligaciones: la entidad posee o controla los derechos de los activos, y los pasivos son obligaciones de la entidad.
- Integridad: se han registrado todos los activos, pasivos y patrimonio neto que tenían que registrarse y se ha incluido toda la información a revelar relacionada que se tenía que incluir en los estados financieros.
- Exactitud, valoración e imputación: los activos, pasivos y el patrimonio neto figuran en los estados financieros por los importes adecuados y cualquier ajuste resultante a la valoración o imputación ha sido adecuadamente registrado, y la correspondiente información a revelar ha sido adecuadamente medida y descrita.
- Clasificación: los activos, pasivos y el patrimonio neto se han registrado en las cuentas apropiadas.
- Presentación: los activos, pasivos y el patrimonio neto han sido adecuadamente agregados o desagregados y están descritos con claridad y la correspondiente información a revelar es pertinente y comprensible en el contexto de los requerimientos del marco de información financiera aplicable.

A191. Las afirmaciones descritas en el apartado A190(a)–(b) anterior, adaptadas según corresponda, también pueden ser utilizadas por el auditor al considerar los diferentes tipos de incorrecciones que pueden darse en la información a revelar que no está directamente relacionada con tipos de transacciones, hechos o saldos contables registrados.

Ejemplo:

Un ejemplo de esa información a revelar incluye cuando es posible que la entidad esté obligada por el marco de información financiera aplicable a describir su exposición a riesgos originados por instrumentos financieros, incluido cómo surgen dichos riesgos; los objetivos, políticas y procedimientos para gestionar los riesgos y los métodos utilizados para medir los riesgos.

Consideraciones específicas para entidades del sector público

A192. Al efectuar afirmaciones acerca de los estados financieros de entidades del sector público, además de las afirmaciones mencionadas en el apartado A190 (a)- (b), la dirección puede afirmar a menudo que las transacciones y hechos se han desarrollado de conformidad con las disposiciones legales o reglamentarias, o de otro tipo. Dichas afirmaciones pueden incluirse en el alcance de la auditoría de los estados financieros.

Riesgos de incorrección material en los estados financieros (Ref: Apartados 28 (a) y 30)

En los estados financieros. (Ref: Apartados A193–A200) o

A193. El auditor identifica y valora los riesgos de incorrección material en los estados financieros con el fin de determinar si estos tienen un efecto generalizado sobre los estados financieros y, en consecuencia, requerirían una respuesta global de conformidad con la NIA 330.

A194. Además, los riesgos de incorrección material en los estados financieros también pueden afectar a afirmaciones concretas y la identificación de estos riesgos puede ayudar al auditor en la identificación de riesgos de incorrección material en las afirmaciones y en el diseño de procedimientos posteriores de auditoría para tratar riesgos identificados.

Identificación y valoración de los riesgos de incorrección material en los estados financieros

A195. Los riesgos de incorrección material en los estados financieros se refieren a los que se relacionan de manera generalizada con los estados financieros en su conjunto y, potencialmente, afectan a varias afirmaciones. Los riesgos de esta clase no son necesariamente riesgos que se puedan identificar con afirmaciones específicas sobre los tipos de transacciones, saldos contables o información a revelar (por ejemplo, riesgo de elusión de controles por la dirección). Representan, más bien, circunstancias que pueden incrementar los riesgos de incorrección material en las afirmaciones de manera generalizada. La evaluación por el auditor de si los riesgos identificados se relacionan de manera generalizada con los estados financieros sustenta su valoración de los riesgos de incorrección material en los estados financieros. En otros casos, se pueden identificar también determinadas afirmaciones susceptibles de ese riesgo y pueden, por lo tanto, afectar a la identificación y valoración por parte del auditor de los riesgos de incorrección material en las afirmaciones.

Ejemplo:

La entidad se enfrenta a pérdidas de explotación y problemas de liquidez y depende de financiación que aún no se ha obtenido. En dicha circunstancia, el auditor puede determinar que el principio contable de empresa en funcionamiento da lugar a un riesgo de incorrección material en los estados financieros. En esta situación, quizás resulte necesario que el marco contable se aplique utilizando bases de liquidación lo que afectaría a todas las afirmaciones de manera generalizada.

A196. La identificación y valoración por el auditor de los riesgos de incorrección material en los estados financieros se ven influenciadas por su conocimiento del sistema de control interno de la entidad, en especial por su conocimiento del entorno de control, del proceso de valoración del riesgo por la entidad y del proceso para el seguimiento del sistema de control interno de la entidad; y:

por el resultado de las correspondientes evaluaciones requeridas por los apartados 21(b), 22(b), 24(c) y 25(c); y
por cualquier deficiencia identificada en los controles de conformidad con el apartado 27.

En concreto, los riesgos en los estados financieros pueden originarse por deficiencias en el entorno de control o por hechos o condiciones externos, como condiciones económicas en declive.

A197. Los riesgos de incorrección material debidos a fraude pueden ser de especial relevancia para la consideración por el auditor de los riesgos de incorrección material en los estados financieros.

Ejemplo:

El auditor conoce por indagaciones ante la dirección que los estados financieros de la entidad van a ser utilizados en discusiones con prestamistas con el fin de obtener financiación adicional para mantener el fondo de maniobra. El auditor puede, en consecuencia, determinar que existe una mayor susceptibilidad de incorrección debida a factores de riesgo de fraude que afectan al riesgo inherente (es decir, la susceptibilidad de los estados financieros a incorrección material debida al riesgo de información financiera fraudulenta, como una sobrevaloración de activos e ingresos y una infravaloración de pasivos y gastos para asegurar que se obtendrá la financiación).

A198. El conocimiento del auditor, incluidas las correspondientes evaluaciones, del entorno de control y de otros componentes del sistema de control interno puede generar dudas sobre la capacidad del auditor para obtener evidencia de auditoría en la que basar la opinión de auditoría o ser causa de renuncia al encargo, si las disposiciones legales o reglamentarias así lo permiten.

Ejemplos:

Como resultado de su evaluación del entorno de control de la entidad, el auditor tiene reservas acerca de la integridad de la dirección de la entidad, las cuales pueden ser tan graves, que le lleven a la conclusión de que el riesgo de que la dirección presente intencionadamente unos estados financieros incorrectos es tal, que no se puede realizar una auditoría.
Como resultado de su evaluación del sistema de información y comunicación de la entidad, el auditor determina que se han gestionado de manera deficiente cambios significativos en el entorno de las TI, con una escasa supervisión por parte de la dirección y de los responsables del gobierno de la entidad. El auditor concluye que tiene reservas significativas acerca del estado y la fiabilidad de los registros contables de la entidad. En esas circunstancias, el auditor puede determinar que es poco probable que se disponga de evidencia de auditoría suficiente y adecuada que sirva de base para una opinión de auditoría no modificada sobre los estados financieros.

A199. La NIA 705 (Revisada)52 establece los requerimientos y proporciona orientaciones para determinar si es necesario que el auditor exprese una opinión con salvedades o deniegue la opinión o, como puede ser necesario en algunos casos, renuncie al encargo si las disposiciones legales o reglamentarias aplicables así lo permiten.

Consideraciones específicas para entidades del sector público.

A200. En el caso de entidades del sector público, la identificación de riesgos en los estados financieros puede incluir la consideración de cuestiones relacionadas con el clima político, el interés público y lo sensibles que sean los programas.

Riesgos de incorrección material en las afirmaciones (Ref: Apartado 28(b))

En las afirmaciones sobre determinados tipos de transacciones saldos contables e información a revelar. (Ref: Apartado A201)

A201. Los riesgos de incorrección material que no se relacionan de manera generalizada con los estados financieros son riesgos de incorrección material en las afirmaciones.

Afirmaciones relevantes y tipos de transacciones, saldos contables e información a revelar significativos (Ref: Apartado 29)

Por qué se determinan las afirmaciones relevantes y los tipos de transacciones, saldos contables e información a revelar significativos.

29. El auditor determinará las afirmaciones relevantes y los correspondientes tipos de transacciones, saldos contables e información a revelar. (Ref: Apartados A202–A204) Leer Más

A202. La determinación de las afirmaciones relevantes y de los tipos de transacciones, saldos contables e información a revelar significativos proporciona la base para el alcance del conocimiento del auditor del sistema de información de la entidad que debe obtener de conformidad con el apartado 25(a). Este conocimiento también puede ayudar al auditor en la identificación y valoración de los riesgos de incorrección material (véase el apartado A86).

Herramientas y técnicas automatizadas

A203. El auditor puede utilizar técnicas automatizadas para ayudarle en la identificación de los tipos de transacciones, saldos contables e información a revelar significativos.

Ejemplos:

Se puede analizar la totalidad de una población de transacciones utilizando herramientas y técnicas automatizadas para conocer su naturaleza, fuente, dimensión y volumen. Mediante la aplicación de técnicas automatizadas, el auditor puede, por ejemplo, detectar que una cuenta con saldo cero al final del periodo está formada por numerosas transacciones y anotaciones en el diario registradas a lo largo del tiempo que se compensan, lo que indica que el saldo contable o el tipo de transacciones puede ser significativo (por ejemplo, una cuenta relacionada con el pago de nóminas). Esa misma cuenta puede permitir detectar también reembolsos de gastos a la dirección (y a otros empleados), lo que podría dar lugar a información a revelar significativa debido a que estos pagos se realizan a partes vinculadas.
El auditor puede detectar con más facilidad un tipo significativo de transacciones que no había sido previamente identificada analizando los flujos de toda una población de transacciones de ingresos.

Información a revelar que puede ser significativa

A204. La información a revelar significativa incluye información a revelar tanto cuantitativa como cualitativa para la que existe una o varias afirmaciones relevantes. Algunos ejemplos de información a revelar que tiene aspectos cualitativos y que puede contener afirmaciones relevantes, por lo es posible que sea considerada significativa por el auditor, incluyen información a revelar sobre:

Liquidez y cláusulas del contrato de deuda en el caso de una entidad con una situación financiera delicada.
Hechos o circunstancias que han originado el reconocimiento de una pérdida por deterioro de valor de activos.
Principales fuentes de incertidumbre en la estimación, incluidas las hipótesis sobre el futuro.
La naturaleza de un cambio de política contable y otra información a revelar relevante requerida por el marco de información financiera aplicable cuando, por ejemplo, se espera que nuevos requerimientos de información financiera tengan un impacto significativo sobre la situación financiera y el resultado de la entidad.
Acuerdos de remuneración con pagos basados en acciones, incluida la información sobre el modo en que se determinaron las cantidades registradas, y otra información a revelar relevante.
Partes vinculadas y transacciones entre partes vinculadas.
Análisis de sensibilidad, incluidos los efectos de los cambios en las hipótesis utilizadas por la entidad en sus técnicas de valoración con el fin de permitir a los usuarios entender la incertidumbre subyacente en la medición de un importe registrado o revelado.

Valoración de los riesgos de incorrección material en los estados financieros

30. Para los riesgos identificados de incorrección material en los estados financieros, el auditor valorará los riesgos y: (Ref: Apartados A193–A200) Leer Más

Identificación y valoración de los riesgos de incorrección material en los estados financieros

Ejemplo:

por el resultado de las correspondientes evaluaciones requeridas por los apartados 21(b), 22(b), 24(c) y 25(c); y
por cualquier deficiencia identificada en los controles de conformidad con el apartado 27.

En concreto, los riesgos en los estados financieros pueden originarse por deficiencias en el entorno de control o por hechos o condiciones externos, como condiciones económicas en declive.

Ejemplo:

Ejemplos:

Como resultado de su evaluación del entorno de control de la entidad, el auditor tiene reservas acerca de la integridad de la dirección de la entidad, las cuales pueden ser tan graves, que le lleven a la conclusión de que el riesgo de que la dirección presente intencionadamente unos estados financieros incorrectos es tal, que no se puede realizar una auditoría.
Como resultado de su evaluación del sistema de información y comunicación de la entidad, el auditor determina que se han gestionado de manera deficiente cambios significativos en el entorno de las TI, con una escasa supervisión por parte de la dirección y de los responsables del gobierno de la entidad. El auditor concluye que tiene reservas significativas acerca del estado y la fiabilidad de los registros contables de la entidad. En esas circunstancias, el auditor puede determinar que es poco probable que se disponga de evidencia de auditoría suficiente y adecuada que sirva de base para una opinión de auditoría no modificada sobre los estados financieros.

Consideraciones específicas para entidades del sector público.

- Determinará si dichos riesgos afectan a la valoración de riesgos en las afirmaciones y
- Evaluará la naturaleza y extensión de su efecto generalizado sobre los estados financieros.

Valoración de los riesgos de incorrección material en las afirmaciones

Valoración del riesgo inherente (Ref: Apartados A205–A217)

A205. El auditor valora la probabilidad de que exista una incorrección y su magnitud en el caso de riesgos identificados de incorrección material porque la significatividad de la combinación de la probabilidad de que exista y de la magnitud de la incorrección potencial si existe determina el punto en el espectro de riesgo inherente en el que se sitúa el riesgo inherente identificado, lo que proporciona información para el diseño por el auditor de procedimientos posteriores de auditoría para responder al riesgo.

A206. La valoración del riesgo inherente de los riesgos identificados de incorrección material también ayuda al auditor a determinar los riesgos significativos. El auditor determina los riesgos significativos porque la NIA 330 y otras NIA requieren respuestas específicas a riesgos significativos.

A207. Los factores de riesgo inherente influyen en la valoración por el auditor de la probabilidad de que exista una incorrección y su magnitud para los riesgos identificados de incorrección material en las afirmaciones. Cuanto mayor sea el grado de susceptibilidad de incorrección material de un tipo de transacciones, saldo contable o información a revelar, mayor será, probablemente, la valoración del riesgo inherente. Considerar el grado en que los factores de riesgo inherente afectan a la susceptibilidad de una afirmación a incorrección ayuda al auditor a responder adecuadamente al riesgo inherente para riesgos de incorrección material en las afirmaciones y a diseñar una respuesta más precisa a dicho riesgo.

Espectro de riesgo inherente

A208. En la valoración del riesgo inherente, el auditor aplica su juicio profesional para determinar la significatividad de la combinación de la probabilidad de que exista una incorrección y de su magnitud.

A209. El riesgo inherente valorado relacionado con un determinado riesgo de incorrección material en las afirmaciones supone un juicio dentro de un rango, de menor a mayor, en el espectro de riesgo inherente. El juicio acerca de la valoración del punto del rango de riesgo inherente en el que se encuentra el riesgo puede variar según la naturaleza, dimensión y complejidad de la entidad y tiene en cuenta la valoración de la probabilidad de que ocurra una incorrección y de su magnitud, así como de los factores de riesgo inherente.

A210. En la consideración de la probabilidad de que exista una incorrección, el auditor tiene en cuenta la posibilidad de que exista una incorrección basándose en la consideración de los factores de riesgo inherente.

A211. En la consideración de la magnitud de una incorrección, el auditor tiene en cuenta los aspectos cualitativos y cuantitativos de la posible incorrección (es decir, se pueden considerar materiales las incorrecciones en las afirmaciones sobre tipos de transacciones, saldos contables o información a revelar en base a su dimensión, naturaleza o circunstancias).

A212. El auditor utiliza la significatividad de la combinación de la probabilidad de que ocurra una incorrección material y la magnitud de la posible incorrección para determinar en qué punto del espectro de riesgo inherente (es decir, el rango) valora que se sitúa el riesgo inherente. Cuanto mayor sea la combinación de la probabilidad de que exista y la magnitud, mayor será la valoración del riesgo inherente; cuanto menor sea la combinación de probabilidad y magnitud, menor será la valoración del riesgo inherente.

A213. Si la valoración de un riesgo le sitúa en el extremo más alto del espectro de riesgo inherente, no significa que tanto la magnitud como la probabilidad de que exista tengan que ser valoradas como altas. Es más bien el punto de intersección de la magnitud y de la probabilidad de la incorrección material en el espectro de riesgo inherente lo que determinará si el riesgo inherente valorado se sitúa en un punto alto o bajo del espectro de riesgo inherente. La valoración de un riesgo inherente como más alto también puede tener su origen en diferentes combinaciones de probabilidad y magnitud, por ejemplo, una valoración del riesgo inherente como más alto puede ser el resultado de una baja probabilidad y de una magnitud muy alta.

A214. Con el fin de desarrollar estrategias adecuadas para responder a los riesgos de incorrección material, el auditor puede clasificar los riesgos de incorrección material en categorías dentro del espectro de riesgo inherente en base a la valoración de su riesgo inherente. Estas categorías se pueden describir de varias maneras. Independientemente del método de clasificación que se utilice, la valoración por el auditor del riesgo inherente es adecuada cuando el diseño y la implementación de procedimientos posteriores de auditoría para tratar los riesgos identificados de incorrección material en las afirmaciones dan una respuesta adecuada a la valoración del riesgo inherente y a los motivos para dicha valoración.

Riesgos generalizados de incorrección material en las afirmaciones. (Ref: Apartado 31(b))

A215. Al valorar los riesgos identificados de incorrección material en las afirmaciones, es posible que el auditor concluya que algunos riesgos de incorrección material están relacionados de un modo más generalizado con los estados financieros en su conjunto y afectan potencialmente a muchas afirmaciones, en cuyo caso es posible que el auditor actualice la identificación de los riesgos de incorrección material en los estados financieros.

A216. En circunstancias en las que ciertos riesgos de incorrección material son identificados como riesgos en los estados financieros debido a su efecto generalizado en varias afirmaciones y se pueden identificar con afirmaciones específicas, se requiere que el auditor tenga en cuenta esos riesgos al valorar el riesgo inherente para los riesgos de incorrección material en las afirmaciones.

Consideraciones específicas para entidades del sector público

A217. En la aplicación de juicio profesional en cuanto a la valoración del riesgo de incorrección material, los auditores del sector público pueden considerar la complejidad de las disposiciones reglamentarias y directrices, así como los riesgos de incumplimiento con las autoridades.

31. Para los riesgos identificados de incorrección material en las afirmaciones, el auditor valorará el riesgo inherente valorando la probabilidad de ocurrencia y la magnitud de la incorrección. Al hacerlo, el auditor tendrá en cuenta el modo y el grado en que:

Los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones relevantes a incorrección; y
Los riesgos de incorrección material en los estados financieros afectan a la valoración del riesgo inherente en el caso de riesgos de incorrección material en las afirmaciones. (Ref: Apartados A215‒A216)

32. El auditor determinará si alguno de los riesgos de incorrección material valorados es un riesgo significativo. (Ref: Apartados A218–A221) Leer Màs

A218. La determinación de los riesgos significativos permite al auditor centrar más su atención en los riesgos que están en la parte más alta del espectro de riesgo inherente, realizando determinadas actuaciones que constituyen respuestas requeridas, que incluyen:

Se requiere que se identifiquen controles que responden a riesgos significativos de conformidad con el apartado 26(a)(i), con un requerimiento de evaluar si el control ha sido diseñado de modo eficaz y ha sido implementado de conformidad con el apartado 26(d).
La NIA 330 requiere que los controles que responden a riesgos significativos se comprueben en el periodo actual (cuando el auditor tiene intención de confiar en la eficacia operativa de esos controles) y que se planifiquen y apliquen procedimientos sustantivos que respondan de forma específica a dicho riesgo identificado.
La NIA 330 requiere que el auditor obtenga evidencia de auditoría más convincente cuanto mayor sea la valoración del riesgo realizada por el auditor.
La NIA 260 (Revisada) requiere que exista comunicación con los responsables del gobierno de la entidad acerca de los riesgos significativos identificados por el auditor.
La NIA 701 requiere que el auditor tenga en cuenta los riesgos significativos cuando determine las cuestiones que han requerido atención significativa por su parte, las cuales pueden ser cuestiones clave de la auditoría.
La revisión oportuna por el socio del encargo de la documentación de auditoría, en las etapas adecuadas del desarrollo del encargo, permite que las cuestiones significativas, incluidos los riesgos significativos, se resuelvan oportuna y satisfactoriamente para el socio del encargo, en la fecha del informe de auditoría o con anterioridad a ella.
La NIA 600 requiere una mayor participación del socio del encargo del grupo si el riesgo significativo está relacionado con un componente en una auditoría del grupo y que el equipo del encargo del grupo dirija el trabajo que se requiere en el componente que realice el auditor del componente.

Determinación de los riesgos significativos

A219. En la determinación de los riesgos significativos, el auditor puede identificar en primer lugar los riesgos de incorrección material valorados cuyo riesgo inherente se haya valorado como más alto dentro del espectro de riesgo inherente para sustentar su consideración de qué riesgos se pueden encontrar próximos al límite superior. Encontrarse próximo al límite superior en el espectro de riesgo inherente será distinto según la entidad y no significará necesariamente lo mismo para una entidad de un periodo a otro. Puede depender de la naturaleza y las circunstancias de la entidad para la que se está valorando el riesgo.

A220. La determinación de cuáles de los riesgos de incorrección material valorados se encuentran próximos al límite superior dentro del espectro de riesgo inherente y constituyen, por lo tanto, riesgos significativos es una cuestión de juicio profesional, salvo si el riesgo es de un tipo de riesgo que debe ser tratado como riesgo significativo de conformidad con los requerimientos de otra NIA. La NIA 240 proporciona requerimientos y orientaciones adicionales sobre la identificación y valoración de los riesgos de incorrección material debida a fraude.

Ejemplo:

Normalmente se determinaría que el dinero en efectivo en un supermercado tiene una elevada probabilidad de posible incorrección (debido al riesgo de apropiación indebida del efectivo), sin embargo, la magnitud sería habitualmente muy reducida (debido al pequeño volumen de efectivo que se maneja en las tiendas). La combinación de estos dos factores en el espectro de riesgo inherente probablemente no tendría como resultado que se determine que la existencia de efectivo sea un riesgo significativo.
Una entidad está negociando vender un segmento de negocio. El auditor considera el efecto en el deterioro del fondo de comercio y puede determinar que hay una probabilidad más alta de posible incorrección y una magnitud más alta debido al impacto de los factores de riesgo inherente de subjetividad, incertidumbre y susceptibilidad de sesgo de la dirección y otros factores de riesgo de fraude. Esto puede tener como resultado que se determine que el deterioro del fondo de comercio sea un riesgo significativo.

A221. El auditor también tiene en cuenta los efectos relativos de los factores de riesgo inherente al valorar el riesgo inherente. Es probable que el riesgo valorado sea menor cuanto menor sea el efecto de los factores de riesgo inherente. Los riesgos de incorrección material cuyo riesgo inherente haya sido valorado como más alto y que pueden, en consecuencia, determinarse como riesgos significativos, pueden ser originados por cuestiones como las siguientes:

Transacciones para las que existen múltiples tratamientos contables aceptables por lo que interviene la subjetividad.
Estimaciones contables con una elevada incertidumbre en la estimación o modelos complejos.
Complejidad en la recogida y procesamiento de datos para sustentar saldos contables.
Saldos contables o información a revelar cuantitativa en la que intervienen cálculos complejos.
Principios contables que pueden estar sujetos a diferentes interpretaciones.
Cambios en los negocios de la entidad que suponen cambios contables, por ejemplo, fusiones y adquisiciones.

33. El auditor determinará si los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada con respecto a alguno de los riesgos valorados de incorrección material en las afirmaciones. (Ref: Apartados A222–A225) Leer Más

A222. Debido a la naturaleza de un riesgo de incorrección material y a las actividades de control que tratan ese riesgo, en algunas circunstancias, la única forma de obtener evidencia de auditoría suficiente y adecuada es comprobar la eficacia operativa de los controles. En consecuencia, se requiere que el auditor identifique cualquier riesgo de ese tipo por las implicaciones para el diseño y aplicación de procedimientos posteriores de auditoría de conformidad con la NIA 330 para responder a los riesgos de incorrección material en las afirmaciones.

A223. El apartado 26(a)(iii) también requiere la identificación de controles que responden a riesgos para los que los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada porque se requiere que el auditor, de conformidad con la NIA 33060, diseñe y realice pruebas de esos controles.

Determinación de riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada

A224. Cuando transacciones rutinarias estén sujetas a un procesamiento muy automatizado con escasa o nula intervención manual, puede que no resulte posible aplicar únicamente procedimientos sustantivos en relación con el riesgo. Este puede ser el caso en aquellas circunstancias en las que una cantidad significativa de la información de la entidad se inicia, registra, procesa o notifica solo de manera electrónica, como en un sistema de información que implica un alto grado de integración a través de sus aplicaciones de TI. En estos casos:

Es posible que la evidencia de auditoría únicamente esté disponible en formato electrónico, y que su suficiencia y adecuación normalmente dependan de la eficacia de los controles sobre su exactitud e integridad.
La posibilidad de que la información se inicie o altere de manera incorrecta y de que este hecho no se detecte puede ser mayor si los correspondientes controles no están funcionando de manera eficaz.

Ejemplo:

Por lo general, no es posible obtener evidencia de auditoría suficiente y adecuada en relación con los ingresos de una entidad de telecomunicaciones basándose sólo en procedimientos sustantivos. Esto es así porque la evidencia sobre llamadas o tráfico de datos no existe en un formato observable. En su lugar, por lo general, se realizan pruebas de controles sustanciales para determinar que el origen y finalización de llamadas y el tráfico de datos se capturan correctamente (por ejemplo, minutos de una llamada o volumen de una descarga) y se registran correctamente en el sistema de facturación de la entidad.

A225. La NIA 540 (Revisada) proporciona orientaciones adicionales relacionadas con las estimaciones contables acerca de riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada61. En relación con las estimaciones contables esto puede no estar limitado al procesamiento automatizado, sino que puede ser también aplicable a modelos complejos.

Valoración del riesgo de control

34. Si el auditor tiene previsto comprobar la eficacia operativa de los controles, deberá valorar el riesgo de control. Si el auditor no tiene previsto comprobar la eficacia operativa de los controles, su valoración del riesgo de control deberá ser tal que la valoración del riesgo de incorrección material sea la misma que la valoración del riesgo inherente. (Ref: Apartados A226–A229) Leer Más

A226. Los planes del auditor de comprobar la eficacia operativa de los controles se basan en la expectativa de que los controles funcionan eficazmente, y esto será la base de la valoración por el auditor del riesgo de control. La expectativa inicial de la eficacia operativa de los controles se basa en la evaluación por el auditor del diseño de los controles identificados en el componente de actividades de control y en la determinación de su implementación. Una vez que el auditor haya comprobado la eficacia operativa de los controles de conformidad con la NIA 330, podrá confirmar su expectativa inicial acerca de la eficacia operativa de los controles. Si los controles no están funcionando eficazmente según lo esperado, el auditor tendrá que revisar la valoración del riesgo de control de conformidad con el apartado 37.

A227. La valoración por el auditor del riesgo de control se puede realizar de diferentes maneras dependiendo de las técnicas o metodologías de auditoría que prefiera, y se puede expresar de diferentes formas.

A228. Si el auditor prevé comprobar la eficacia operativa de los controles, puede resultar necesario probar una combinación de controles para confirmar sus expectativas de que los controles están funcionando eficazmente. El auditor puede tener previsto probar tanto controles directos como indirectos, incluidos controles generales de TI y, en ese caso, tener en cuenta el efecto combinado esperado de los controles al valorar el riesgo de control. En la medida en que el control que vaya a ser probado no trate totalmente el riesgo inherente valorado, el auditor determinará las implicaciones para el diseño de procedimientos posteriores de auditoría para reducir el riesgo de auditoría a un nivel aceptablemente bajo.

A229. Cuando el auditor tenga previsto comprobar la eficacia operativa de un control automatizado, puede también planificar comprobar la eficacia operativa de los correspondientes controles generales de TI que sustentan el funcionamiento continuo de dicho control automatizado para responder a los riesgos derivados de la utilización de TI y para proporcionar una base para la expectativa del auditor de que el control automatizado funcionó eficazmente durante todo el periodo. Si el auditor espera que los correspondientes controles de TI sean ineficaces, esta determinación puede afectar a su valoración del riesgo de control en las afirmaciones y sus procedimientos posteriores de auditoría quizás tengan que incluir procedimientos sustantivos para responder a los riesgos aplicables derivados de la utilización de TI. En la NIA 33062 se proporcionan orientaciones adicionales sobre los procedimientos que el auditor puede aplicar en estas circunstancias.

Evaluación de la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo

35. El auditor evaluará si la evidencia obtenida de los procedimientos de valoración del riesgo proporciona una base adecuada para la identificación y valoración de los riesgos de incorrección material. En caso contrario, el auditor aplicará procedimientos de valoración del riesgo adicionales hasta obtener evidencia de auditoría que proporcione dicha base adecuada. En la identificación y valoración de los riesgos de incorrección material, el auditor tendrá en cuenta toda la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo, tanto si corrobora como si contradice las afirmaciones de la dirección. (Ref: Apartados A230–A232) Leer Más

A230. La evidencia obtenida de la aplicación de procedimientos de valoración del riesgo proporciona la base para la identificación y valoración de los riesgos de incorrección material. Esto proporciona una base para el diseño de la naturaleza, el momento de realización y la extensión de los procedimientos posteriores de auditoría que responden a los riesgos valorados de incorrección material en las afirmaciones, de conformidad con la NIA 330. En consecuencia, la evidencia de auditoría obtenida de la aplicación de procedimientos de valoración del riesgo proporciona la base para la identificación y valoración de los riesgos de incorrección material debida a fraude o error en los estados financieros y en las afirmaciones.

La evaluación de la evidencia de auditoría

A231. La evidencia de auditoría obtenida de la aplicación de procedimientos de valoración del riesgo comprende tanto la información que sustenta y corrobora las afirmaciones de la dirección como cualquier información que contradiga dichas afirmaciones63.

Escepticismo profesional

A232. Al evaluar la evidencia de auditoría obtenida de la aplicación de procedimientos de valoración del riesgo, el auditor considera si ha obtenido suficiente conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad para poder identificar los riesgos de incorrección material, así como si existe cualquier evidencia contradictoria que pueda indicar un riesgo de incorrección material.

Tipos de transacciones, saldos contables e información a revelar que no son significativos pero si son materiales

36. En el caso de tipos de transacciones, saldos contables o información a revelar materiales que no se han considerado tipos de transacciones, saldos contables o información a revelar significativos, el auditor evaluará si su determinación continúa siendo adecuada. (Ref: Apartados A233–A235) Leer Más

A233. Como se explica en la NIA 32064, la materialidad y el riesgo de auditoría se consideran al identificar y valorar los riesgos de incorrección material en tipos de transacciones, saldos contables e información a revelar. La determinación por el auditor de la importancia relativa viene dada por el ejercicio de su juicio profesional, y se ve afectada por su percepción de las necesidades de información financiera de los usuarios de los estados financieros65. A los efectos de esta NIA y del apartado 18 de la NIA 330, los tipos de transacciones, saldos contables e información a revelar son materiales si podría esperarse razonablemente que omitiendo, revelando con incorrecciones u ocultando información sobre ellos, se influiría en las decisiones económicas que los usuarios toman basándose en los estados financieros en su conjunto.

A234. Es posible que existan tipos de transacciones, saldos contables o información a revelar que sean materiales pero que no se haya determinado que sean tipos de transacciones, saldos contables o información a revelar significativos (es decir, no se han identificado afirmaciones relevantes).

Ejemplo:

La entidad puede disponer de información revelada sobre remuneración a directivos para la que el auditor no haya identificado un riesgo de incorrección material. Sin embargo, el auditor puede determinar que esta información revelada es material en base a las consideraciones del apartado A233.

A235. Los procedimientos de auditoría para tratar tipos de transacciones, saldos contables o información a revelar que son materiales pero que no se consideran significativos se tratan en la NIA 330. Cuando se determina que un tipo de transacción, saldo contable o información a revelar es significativo como lo requiere el apartado 29, dicho tipo de transacción, saldo contable o información a revelar es también un tipo de transacción, saldo contable o información a revelar material a los efectos del apartado 18 de la NIA 330.

Revisión de la valoración del riesgo

37. Si el auditor obtiene nueva información que es incongruente con la evidencia de auditoría sobre la que el auditor basó inicialmente la identificación o las valoraciones de los riesgos de incorrección material, el auditor revisará la identificación o la valoración. (Ref: Apartados A236) Leer Más

A236. Durante la realización de la auditoría puede llegar a conocimiento del auditor nueva información u otra información que difiera significativamente de la información sobre la que se basó la valoración del riesgo.

Ejemplo:

La valoración del riesgo por la entidad puede estar basada en la suposición de que ciertos controles están funcionando de manera eficaz. Al realizar las pruebas sobre dichos controles, el auditor puede obtener evidencia de auditoría de que no funcionaron de manera eficaz en momentos importantes durante la realización de la auditoría. Del mismo modo, al aplicar procedimientos sustantivos, el auditor puede detectar incorrecciones por cantidades superiores o con mayor frecuencia de lo que corresponde a las valoraciones del riesgo realizadas por el auditor. En tales circunstancias, puede ocurrir que la valoración del riesgo no refleje adecuadamente las verdaderas circunstancias de la entidad y los procedimientos posteriores de auditoría planificados pueden no ser eficaces para detectar incorrecciones materiales. Los apartados 16 y 17 de la NIA 330 proporcionan orientaciones adicionales para la evaluación de la eficacia operativa de los controles.

Documentación

38. El auditor incluirá en la documentación de auditoría13: (Ref: Apartados A237–A241) Leer Más

A237. En el caso de auditorías recurrentes, puede utilizarse cierta documentación de periodos anteriores, actualizada según resulte necesario para reflejar los cambios en los negocios o procesos de la entidad.

A238. La NIA 230 señala que, entre otras consideraciones, aunque puede no existir una única forma de documentar la aplicación de escepticismo profesional por parte del auditor, la documentación de auditoría puede, sin embargo, proporcionar evidencia de la aplicación de escepticismo profesional por el auditor67. Por ejemplo, cuando la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo comprende tanto información que corrobora como información que contradice las afirmaciones de la dirección, la documentación puede incluir el modo en que el auditor evaluó esa evidencia, incluidos los juicios profesionales aplicados al evaluar si la evidencia de auditoría proporciona una base adecuada para la identificación y valoración de los riesgos de incorrección material. Entre los ejemplos de otros requerimientos de esta NIA para los que la documentación puede proporcionar evidencia de la aplicación de escepticismo profesional por el auditor se incluyen:

El apartado 13, que requiere que el auditor diseñe y aplique procedimientos de valoración del riesgo de un modo que no esté sesgado hacia la obtención de evidencia de auditoría que pueda corroborar la existencia de riesgos o hacia la eliminación de evidencia de auditoría que pueda contradecir la existencia de riesgos;
El apartado 17, que requiere una discusión entre los miembros clave del equipo del encargo sobre la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material;
Los apartados 19(b) y 20, que requieren que el auditor obtenga un conocimiento de los motivos de cualquier cambio en las políticas contables de la entidad y que evalúe si las políticas contables de la entidad son adecuadas y congruentes con el marco de información financiera aplicable;
Los apartados 21(b), 22(b), 23(b), 24(c), 25(c), 26(d) y 27, que requieren que el auditor evalúe, en base al conocimiento obtenido, si los componentes del sistema de control interno de la entidad son adecuados a las circunstancias de la entidad, considerando la naturaleza y complejidad de la entidad, y que determine si se han identificado una o más deficiencias de control;
El apartado 35, que requiere que el auditor tenga en cuenta toda la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo, tanto si corrobora como si contradice las afirmaciones de la dirección y que evalúe si esa evidencia de auditoría obtenida de los procedimientos de valoración del riesgo proporciona una base adecuada para la identificación y valoración de los riesgos de incorrección material; y
El apartado 36, que requiere que el auditor evalúe, cuando sea aplicable, si la determinación por el auditor de que no existen riesgos de incorrección material para un tipo de transacciones, saldo contable o información a revelar materiales continúa siendo adecuada.

Graduación

A239. El modo en que se deben documentar los requerimientos del apartado 38 debe determinarlo el auditor de acuerdo con su juicio profesional.

A240. Es posible que sea necesaria documentación más detallada, que sea suficiente para permitir a un auditor experimentado, que no haya tenido contacto previo con la auditoría, la comprensión de la naturaleza, el momento de realización y la extensión de los procedimientos de auditoría aplicados, para sustentar el fundamento de los juicios difíciles aplicados.

A241. En el caso de auditorías de entidades menos complejas, la forma y extensión de la documentación pueden ser sencillas y relativamente breves. La forma y extensión de la documentación del auditor depende de la naturaleza, dimensión y complejidad de la entidad, así como de su sistema de control interno, de la disponibilidad de información por parte de la entidad y de la metodología y tecnología de auditoría utilizadas en el transcurso de la auditoría. No es necesario documentar la totalidad del conocimiento del auditor sobre la entidad y las cuestiones relacionadas con dicho conocimiento. Los elementos clave68 del conocimiento documentados por el auditor pueden incluir aquellos que sirvieron de base al auditor para valorar los riesgos de incorrección material. Sin embargo, no se requiere que el auditor documente cada uno de los factores de riesgo inherente que se tuvo en cuenta al identificar y valorar los riesgos de incorrección material en las afirmaciones.

Ejemplo:

En las auditorías de entidades menos complejas, la documentación de auditoría puede incluirse en la del auditor relativa a la estrategia global de auditoría y plan de auditoría. Del mismo modo, por ejemplo, los resultados de la valoración del riesgo se pueden documentar por separado o se pueden incluir en la documentación del auditor sobre los procedimientos posteriores de auditoría.

Los resultados de la discusión entre los miembros del equipo del encargo, así como las decisiones significativas que se tomaron;
Los elementos clave del conocimiento del auditor de conformidad con los apartados 19, 21, 22, 24 y 25; las fuentes de información de las que el auditor obtuvo ese conocimiento y los procedimientos de valoración del riesgo aplicados;
La evaluación del diseño de los controles identificados y la determinación de si dichos controles han sido implementados, de conformidad con los requerimientos del apartado 26; y
Los riesgos de incorrección material en los estados financieros y en las afirmaciones identificados y valorados, incluidos los riesgos significativos y los riesgos para los cuales los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada, y el fundamento de los juicios significativos aplicados.

Guía de aplicación y otras anotaciones explicativas

Definiciones (Ref: Apartado 12)

Afirmaciones (Ref: Apartado 12(a))

Controles (Ref: Apartado 12(c))

A2. Los controles están integrados en los componentes del sistema de control interno de la entidad.

Controles de procesamiento de la información (Ref: Apartado 12(e))

A6. Los riesgos para la integridad de la información se originan por la susceptibilidad a una implementación ineficaz de las políticas de información de la entidad, que son políticas que definen los flujos de información, los registros y los procesos de información del sistema de información de la entidad. Los controles de procesamiento de la información son procedimientos que sustentan la implementación eficaz de las políticas de información de la entidad. Los controles de procesamiento de la información pueden estar automatizados (es decir, incorporados en las aplicaciones de TI) o ser manuales (por ejemplo, controles de entrada o salida) y pueden depender de otros controles, incluidos otros controles de procesamiento de la información o en controles generales de TI.

Factores de riesgo inherente (Ref: Apartado 12(f))

El Anexo 2 contiene consideraciones adicionales relativas a la obtención de conocimiento de los factores de riesgo inherente.

Complejidad;
Subjetividad;
Cambio;
Incertidumbre o
Susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude en la medida en la que afecten al riesgo inherente.

la significatividad cuantitativa o cualitativa del tipo de transacción, del saldo contable o de la información a revelar;
el volumen o la falta de uniformidad en la composición de los elementos que deben ser procesados a través del tipo de transacción o saldo contable, o reflejado en la información a revelar.

Afirmaciones relevantes (Ref: Apartado 12(h))

Riesgo significativo (Ref: Apartado 12(l))

Procedimientos de valoración del riesgo y actividades relacionadas (Ref: Apartado 13-18)

NIA 540 (Revisada)16 en relación con las estimaciones contables;
NIA 550 en referencia con las relaciones y transacciones con partes vinculadas;
NIA 570 (Revisada)18 en relación con la empresa en funcionamiento y
NIA 600 en relación con los estados financieros de grupos.

A13. La aplicación de escepticismo profesional por el auditor puede incluir:

Cuestionar información contradictoria y la fiabilidad de los documentos;
Considerar las respuestas a indagaciones, así como otra información, obtenidas de la dirección y de los responsables del gobierno de la entidad;
Prestar una especial atención a las circunstancias que puedan ser indicativas de posible incorrección debida a fraude o error; y
Considerar si la evidencia de auditoría obtenida sustenta la identificación y valoración de los riesgos de incorrección material teniendo en cuenta la naturaleza y las circunstancias de la entidad.

Por qué es importante obtener evidencia de auditoría de un modo libre de sesgo (Ref: Apartado 13)

Fuentes de evidencia de auditoría (Ref: Apartado 13)

Interacciones con la dirección, con los responsables del gobierno de la entidad y con otro personal clave de la entidad, como los auditores internos.
Algunos terceros como autoridades reguladoras, obtenida tanto directa como indirectamente.
Información a disposición del público acerca de la entidad, por ejemplo, notas de prensa emitidas por la entidad, documentación para analistas o reuniones de grupos de inversores, informes de analistas o información sobre actividades comerciales.

Independientemente de la fuente de información, el auditor considera la relevancia y la fiabilidad de la información que se utilizará como evidencia de auditoría de conformidad con la NIA 500.

Graduación (Ref: Apartado 13)

Ejemplos:

Tipos de procedimientos de valoración del riesgo (Ref: Apartado 14)

Herramientas y técnicas automatizadas (Ref: Apartado 14)

Indagaciones ante la dirección y ante otras personas de la entidad (Ref: Apartado 14(a))

Por qué se realizan indagaciones ante la dirección y ante otras personas de la entidad

Ejemplos:

Las indagaciones dirigidas a los responsables del gobierno de la entidad pueden ayudar al auditor a conocer la extensión de la supervisión por los responsables del gobierno de la entidad sobre la preparación de los estados financieros por la dirección. La NIA 260 (Revisada) subraya la importancia de una comunicación recíproca eficaz que ayude al auditor en la obtención de información de los responsables del gobierno de la entidad a este respecto.
Las indagaciones ante empleados responsables de la puesta en marcha, procesamiento o registro de transacciones complejas o inusuales pueden ayudar al auditor a evaluar la adecuación de la selección y aplicación de ciertas políticas contables.
Las indagaciones dirigidas a los asesores jurídicos internos pueden proporcionar información acerca de cuestiones tales como litigios, cumplimiento de las disposiciones legales y reglamentarias, conocimiento de fraude o de indicios de fraude que afecten a la entidad, garantías, obligaciones post-venta, acuerdos (tales como negocios conjuntos) con socios comerciales y el significado de términos contractuales.
Las indagaciones dirigidas al personal de los departamentos comerciales o de ventas pueden proporcionar información acerca de los cambios en las estrategias comerciales de la entidad, tendencias de las ventas, o acuerdos contractuales con los clientes.
Las indagaciones dirigidas a la función de gestión del riesgo (o ante los que desempeñan esa función) pueden proporcionar información acerca de los riesgos operativos y normativos que pueden afectar a la información financiera.
Las indagaciones dirigidas al personal de TI pueden proporcionar información acerca de cambios en sistemas, fallos de sistemas o de controles u otros riesgos relacionados con la TI.

Consideraciones específicas para entidades del sector público

Indagaciones ante la función de auditoría interna

El Anexo 4 contiene consideraciones para el conocimiento de la función de auditoría interna de una entidad.

Por qué se realizan indagaciones ante la función de auditoría interna (si existe dicha función)

Consideraciones específicas para entidades del sector público

Procedimientos analíticos (Ref: Apartado 14(b))

Por qué se aplican procedimientos analíticos como procedimiento de valoración del riesgo

Tipos de procedimientos analíticos

A29. Los procedimientos analíticos aplicados como procedimientos de valoración del riesgo pueden:

Incluir información tanto financiera como no financiera, como, por ejemplo, la relación entre las ventas y la superficie destinada a las ventas o el volumen de los productos vendidos (no financiera).
Utilizar datos con un elevado grado de agregación. En consecuencia, los resultados de esos procedimientos analíticos pueden proporcionar una indicación general inicial sobre la probabilidad de que exista una incorrección material.

Ejemplo:

Herramientas y técnicas automatizadas

Ejemplo:

Observación e inspección (Ref: Apartado 14(c))

Por qué se realizan la observación e inspección como procedimientos de valoración del riesgo

Graduación

Ejemplos:

El auditor puede obtener conocimiento de los controles en un recuento de existencias, incluso si no han sido documentados por la entidad, mediante la observación directa.
El auditor puede observar la segregación de funciones.
El auditor puede observar cómo se introducen las contraseñas.

Observación e inspección como procedimientos de valoración del riesgo

A34. Los procedimientos de valoración del riesgo pueden incluir la observación o inspección de:

Las operaciones de la entidad.
Documentos internos (como planes y estrategias de negocio), registros y manuales de control interno.
Informes preparados por la dirección (como, por ejemplo, informes de gestión trimestrales y estados financieros intermedios) y por los responsables del gobierno de la entidad (como, por ejemplo, actas de las reuniones del consejo de administración).
Los locales e instalaciones industriales de la entidad.
La información obtenida de fuentes externas como revistas de negocios y económicas; informes de analistas, bancos o de agencias de calificación; publicaciones normativas o financieras; u otros documentos externos acerca de los resultados de la entidad (como los que se mencionan en el apartado A79).
Los comportamientos y actuaciones de la dirección o de los responsables del gobierno de la entidad (como la observación de una reunión del comité de auditoría).

Herramientas y técnicas automatizadas

Consideraciones específicas para entidades del sector público

Información procedente de otras fuentes (Ref: Apartado 15)

Por qué el auditor tiene en cuenta información procedente de otras fuentes

A37. La información obtenida de otras fuentes puede ser relevante para la identificación y valoración de los riesgos de incorrección material proporcionando información y perspectiva sobre:

La naturaleza de la entidad y sus riesgos de negocio y los cambios que se pueden haber producido con respecto a periodos anteriores.
La integridad y los valores éticos de la dirección y de los responsables del gobierno de la entidad, que también pueden ser relevantes para el conocimiento del entorno de control por el auditor.
El marco de información financiera aplicable y su aplicación a la naturaleza y las circunstancias de la entidad.

Otras fuentes relevantes

A38. Otras fuentes de información relevantes incluyen:

Los procedimientos del auditor relativos a la aceptación o continuidad de las relaciones con el cliente o el encargo de auditoría de conformidad con la NIA 220, incluidas las conclusiones alcanzadas al respecto.
Otros encargos realizados por el socio del encargo para la Es posible que el socio del encargo haya obtenido conocimiento relevante para la auditoría, incluido conocimiento sobre la entidad y su entorno, al realizar otros encargos para la entidad. Dichos encargos pueden incluir encargos de procedimientos acordados u otros encargos de auditoría o de aseguramiento, incluidos trabajos para responder a requerimientos adicionales de información en la jurisdicción.

Información obtenida de la experiencia anterior con la entidad y de auditorías anteriores (Ref: Apartado 16) Por qué la información de auditorías anteriores es importante para la auditoría actual

Naturaleza de la información de auditorías anteriores

A40. La experiencia previa del auditor con la entidad y los procedimientos de auditoría aplicados en auditorías anteriores pueden proporcionar al auditor información sobre cuestiones como:

Incorrecciones pasadas y si fueron oportunamente corregidas.
La naturaleza de la entidad y su entorno, y el sistema de control interno de la entidad (incluidas las deficiencias de control).
Cambios significativos que pueden haberse producido en la entidad o en sus operaciones desde el periodo anterior.
Aquellos tipos específicos de transacciones y otros hechos o saldos contables (y la correspondiente información a revelar) para los que el auditor experimentó dificultades en la aplicación de los procedimientos de auditoría necesarios, por ejemplo, debido a su complejidad.

Discusión por el equipo del encargo (Ref: Apartados 17-18)

Por qué se requiere que el equipo del encargo discuta la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material.

Proporciona una oportunidad a los miembros del equipo del encargo con más experiencia, incluido el socio del encargo, de compartir su información basada en su conocimiento de la entidad. Compartir información contribuye a mejorar el conocimiento de todos los miembros del equipo del encargo.
Permite a los miembros del equipo del encargo intercambiar información sobre los riesgos de negocio a los que está sometida la entidad, sobre el modo en que los factores de riesgo inherente pueden afectar a la susceptibilidad de incorrección de los tipos de transacciones, saldos contables e información a revelar, así como sobre el modo en que los estados financieros de la entidad pueden ser susceptibles de incorrección material debida a fraude o error y sobre su posible localización.
Ayuda a los miembros del equipo del encargo en la obtención de un mejor conocimiento de la posibilidad de que los estados financieros contengan una incorrección material en el área específica que les ha sido asignada, así como la comprensión de la manera en que los resultados de los procedimientos de auditoría aplicados por ellos pueden afectar a otros aspectos de la auditoría, incluidas las decisiones sobre la naturaleza, el momento de realización y la extensión de procedimientos posteriores de auditoría. En especial, la discusión ayuda a los miembros del equipo del encargo a considerar en mayor medida información contradictoria basada en el conocimiento de cada uno de los miembros acerca de la naturaleza y las circunstancias de la entidad.
Proporciona una base para que los miembros del equipo del encargo se comuniquen y compartan nueva información, obtenida en el curso de la auditoría, que puede afectar a la valoración del riesgo de incorrección material o a los procedimientos de auditoría realizados para responder a dichos riesgos.

Graduación

Discusión sobre la información a revelar del marco de información financiera aplicable.

Cambios en los requerimientos de información financiera que pueden producir información a revelar significativa nueva o revisada;
Cambios en el entorno, en la situación financiera o en las actividades de la entidad que pueden tener como resultado información a revelar significativa nueva o revisada, por ejemplo, una combinación de negocios significativa en el periodo objeto de auditoría;
Información a revelar para la cual ha podido ser difícil en el pasado obtener evidencia de auditoría suficiente y adecuada;
Información a revelar sobre cuestiones complejas, incluidas las que requieren juicios significativos de la dirección acerca de la información a revelar.

Consideraciones específicas para entidades del sector público

Obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad (Ref: Apartados 19‒27)

Los Anexos 1 a 6 contienen consideraciones adicionales en relación con la obtención de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad.

Obtención del conocimiento requerido (Ref: Apartados 19‒27)

Por qué se requiere la obtención de conocimiento de la entidad y su entorno y del marco de información financiera aplicable (Ref: Apartados 19‒20)

A50. El conocimiento por el auditor de la entidad y su entorno y del marco de información financiera aplicable le ayuda en la comprensión de los hechos y condiciones que son relevantes para la entidad y en la identificación del modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección en la preparación de los estados financieros, de conformidad con el marco de información financiera aplicable, y el grado en que lo hacen. Dicha información constituye un marco de referencia dentro del cual el auditor identifica y valora los riesgos de incorrección material. Este marco de referencia también ayuda al auditor a planificar la auditoría y aplicar su juicio y escepticismo profesionales durante toda la auditoría, por ejemplo:

en la identificación y valoración de los riesgos de incorrección material en los estados financieros de conformidad con la NIA 315 (Revisada 2019) u otras normas aplicables (por ejemplo, las relacionadas con los riesgos de fraude de conformidad con la NIA 240 o al identificar y valorar riesgos relacionados con estimaciones contables de conformidad con la NIA 540 (Revisada));
en la aplicación de procedimientos que ayuden a identificar casos de incumplimiento de disposiciones legales y reglamentarias que puedan tener un efecto material sobre los estados financieros de conformidad con la NIA 250;
en la evaluación de si los estados financieros proporcionan información a revelar adecuada de conformidad con la NIA 700 (Revisada);
en la determinación de la importancia relativa para los estados financieros y para la ejecución del trabajo, de conformidad con la NIA 320; o
al considerar lo adecuado de la selección y aplicación de políticas contables, así como de las revelaciones de información en los estados financieros.

en el desarrollo de expectativas para su utilización en la aplicación de procedimientos analíticos de conformidad con la NIA 520;
en el diseño y aplicación de los procedimientos posteriores de auditoría con el fin de obtener evidencia de auditoría suficiente y adecuada de conformidad con la NIA 330; y
en la evaluación de la suficiencia y adecuación de la evidencia de auditoría obtenida (por ejemplo, relativa a las hipótesis o a las manifestaciones verbales y escritas de la dirección).

Graduación

La dimensión y la complejidad de la entidad, incluido su entorno de TI;
La experiencia previa del auditor con la entidad;
La naturaleza de los sistemas y procesos de la entidad, incluido si están o no formalizados, y
La naturaleza y forma de la documentación de la entidad.

La entidad y su entorno (Ref: Apartado 19(a))

La estructura organizativa, de propiedad y de gobierno de la entidad, y su modelo de negocio (Ref: Apartado 19(a)(i))

La estructura organizativa y de propiedad de la entidad

A56. El conocimiento de la estructura organizativa y de propiedad de la entidad puede permitir al auditor comprender cuestiones como:

La complejidad de la estructura de la entidad.

Ejemplo:

La propiedad y las relaciones entre los propietarios y otras personas o entidades, incluidas las partes vinculadas. Dicho conocimiento puede ayudar en la determinación de si las transacciones con partes vinculadas han sido adecuadamente identificadas, contabilizadas y reveladas en los estados financieros.
La distinción entre los propietarios, los responsables del gobierno de la entidad y la dirección.

Ejemplo:

La estructura y la complejidad del entorno de TI de la entidad.

Ejemplos:

Una entidad:

Puede tener, para distintas empresas, múltiples sistemas de TI heredados que no están bien integrados, lo que da lugar a un entorno de TI complejo.
Puede estar empleando proveedores de servicios externos o internos para algunos aspectos de su entorno de TI (por ejemplo, subcontratando a un tercero para el alojamiento de su entorno de TI o utilizando un centro de servicios compartidos para la gestión centralizada de los procesos de TI en un grupo).

Herramientas y técnicas automatizadas

Consideraciones específicas para entidades del sector público

Ejemplo:

Gobierno de la entidad

Por qué el auditor obtiene conocimiento del gobierno de la entidad

Conocimiento del gobierno de la entidad

A60. Algunas cuestiones que el auditor puede considerar para obtener conocimiento del gobierno de la entidad incluyen:

Si alguno o todos los responsables del gobierno de la entidad participan en su dirección.
La existencia de un consejo no ejecutivo y, en su caso, su separación de la dirección ejecutiva.
Si los responsables del gobierno de la entidad ocupan puestos que son parte integrante de la estructura legal de una entidad, como, por ejemplo, puestos de administradores.
La existencia de subgrupos de responsables del gobierno de la entidad, como, por ejemplo, un comité de auditoría, y las responsabilidades de esos grupos.
Las responsabilidades de los responsables del gobierno de la entidad en la supervisión de la información financiera, incluida la aprobación de los estados financieros.

El modelo de negocio de la entidad

Por qué el auditor obtiene conocimiento del modelo de negocio de la entidad

Ejemplos:

El modelo de negocio puede confiar en la utilización de TI de diferentes maneras:

la entidad vende zapatos en una tienda física y utiliza un sistema avanzado de registro de inventario y de puntos de venta para registrar la venta de zapatos; o
la entidad vende zapatos por Internet por lo que todas las transacciones de ventas son procesadas en un entorno de TI, incluida el inicio de las transacciones a través de una página web.

Para estas dos entidades, los riesgos de negocio derivados de modelos de negocio significativamente distintos serían sustancialmente diferentes, a pesar de que ambas vendan zapatos.

Conocimiento del modelo de negocio de la entidad

A63. Algunos riesgos de negocio que incrementan la susceptibilidad de riesgos de incorrección material se pueden derivar de:

Objetivos y estrategias inadecuados, una ejecución ineficaz de las estrategias o cambios o
No reconocer la necesidad de cambio también puede dar lugar a un riesgo de negocio, por ejemplo, por:
- El desarrollo de nuevos productos o servicios que pueden resultar fallidos;
- Un mercado que, incluso si ha sido desarrollado con éxito, es inadecuado para sustentar un producto o servicio; o
- Defectos en un producto o servicio que pueden producir responsabilidades legales y poner en riesgo la reputación.
incentivos y presiones sobre la dirección que pueden producir un sesgo intencionado o no de la dirección y, como resultado, afectar a la razonabilidad de hipótesis significativas y a las expectativas de la dirección o de los responsables del gobierno de la entidad.

Desarrollos sectoriales como la falta de personal o de la especialización necesaria para hacer frente a los cambios en el sector;
Nuevos productos y servicios, lo que puede llevar a un incremento de responsabilidades ligadas a los productos;
Expansión del negocio y que la demanda no haya sido estimada correctamente;
Nuevos requerimientos contables cuando se ha producido una implementación incompleta o incorrecta;
Requerimientos normativos que dan lugar a una mayor vulnerabilidad desde un punto de vista jurídico;
Requerimientos de financiación actuales y prospectivos, tales como la pérdida de financiación debido a la incapacidad de la entidad de cumplir los requerimientos;
La utilización de TI, como la implementación de un nuevo sistema de TI que afectará tanto a las operaciones como a la información financiera; o
Los efectos de implementar una estrategia, en especial cualquier efecto que pueda dar lugar a nuevos requerimientos contables.

Consideraciones específicas para entidades del sector público

Conocimiento de las actividades relevantes del gobierno, incluidos los programas
Objetivos de los programas y estrategias, incluidos los elementos políticos.

Factores sectoriales, normativos y otros factores externos (Re.: Apartado 19(a)(ii)) Factores sectoriales

El mercado y la competencia, incluida la demanda, la capacidad y la competencia en precios.
Actividad cíclica o estacional.
Tecnología productiva relativa a los productos de la entidad.
Disponibilidad y coste de la energía.

A69. El sector en el que la entidad desarrolla su actividad puede dar lugar a riesgos específicos de incorrección material debidos a la naturaleza de los negocios o al grado de regulación.

Ejemplo:

Factores normativos

Marco normativo en el caso de un sector regulado, por ejemplo, requerimientos prudenciales, incluido la correspondiente información a revelar.
La legislación y normativa que afecten significativamente a las operaciones de la entidad, por ejemplo, disposiciones legales y reglamentarias laborales.
Legislación y disposiciones reglamentarias laborales.
Políticas gubernamentales que afecten en la actualidad al desarrollo de la actividad de la entidad, tales como política monetaria, incluidos los controles de cambio, política fiscal, incentivos financieros (por ejemplo, programas de ayuda públicos), y políticas arancelarias o de restricción al comercio.
Requerimientos medioambientales que afecten al sector y a la actividad de la entidad.

A71. La NIA 250 (Revisada) incluye algunos requerimientos específicos en relación con el marco normativo aplicable a la entidad y al sector en el que opera.

Consideraciones específicas para entidades del sector público

Otros factores externos

Mediciones utilizadas por la dirección para evaluar el resultado financiero de la entidad (Ref: Apartado 19(a)(iii))

Por qué el auditor debe conocer las mediciones utilizadas por la dirección

Mediciones utilizadas por la dirección

A77. Los indicadores clave para evaluar el resultado financiero pueden incluir:

Indicadores clave de resultados (financieros y no financieros), así como ratios y tendencias clave y estadísticas de operaciones claves.
Análisis comparativo del resultado financiero entre periodos.
Presupuestos, pronósticos, análisis de desviaciones, información por segmentos, así como informes de resultados por divisiones, departamentos u otros niveles.
Mediciones del desempeño de los empleados y políticas de incentivos.
Comparación del resultado de una entidad con los de la competencia.

Graduación (Ref: Apartado 19(a)(iii))

Ejemplos:

En el caso de algunas entidades menos complejas, las condiciones de la financiación bancaria (es decir, clausulas bancarias) pueden estar ligadas a mediciones de resultado específicas relacionadas con el resultado o la situación financiera de la entidad (por ejemplo, un fondo de maniobra máximo). El conocimiento por el auditor de las mediciones del resultado utilizadas por el banco puede ayudar a identificar áreas en las que existe una mayor susceptibilidad de riesgo de incorrección material.
En el caso de algunas entidades cuya naturaleza y circunstancias son más complejas, como las que operan en el sector asegurador o bancario, el resultado o la situación financiera se pueden medir utilizando requerimientos normativos (por ejemplo, requerimientos normativos sobre ratios tales como de capitalización o de liquidez que se deben alcanzar). El conocimiento por el auditor de estas mediciones del resultado le puede ayudar a identificar áreas en las que existe una mayor susceptibilidad de riesgo de incorrección material.

Otras consideraciones

Analistas o agencias de calificación crediticia.
Noticias y otros medios de comunicación, incluidas las redes sociales.
Autoridades fiscales.
Autoridades reguladoras.
Sindicatos.
Proveedores de financiación.

Dicha información financiera se puede, a menudo, obtener de la entidad auditada.

La medición y revisión del resultado financiero tiene como finalidad comprobar si los resultados de la entidad cumplen los objetivos fijados por la dirección (o por terceros).
Por el contrario, el seguimiento del sistema de control interno se ocupa de hacer un seguimiento de la eficacia de los controles incluidos los que están relacionados con la medición y revisión por la dirección de los resultados financieros.

Sin embargo, en algunos casos, los indicadores de resultados pueden proporcionar también información que permite a la dirección identificar deficiencias de control.

Consideraciones específicas para entidades del sector público

El marco de información financiera aplicable (Ref: Apartado 19(b))

Conocimiento del marco de información financiera aplicable y de las políticas contables de la entidad

Las prácticas contables de la entidad en referencia al marco de información financiera aplicable, tales como:
- Principios contables y prácticas sectoriales específicas, incluidos los relativos a los tipos de transacciones, saldos contables e información a revelar en los estados financieros que sean significativos en el sector (por ejemplo, préstamos e inversiones, en el caso del sector bancario, o investigación y desarrollo en la industria farmacéutica).
- Reconocimiento de ingresos.
- Contabilización de instrumentos financieros, incluidas las correspondientes pérdidas por insolvencias.
- Activos, pasivos y transacciones en moneda extranjera.
- Contabilización de transacciones inusuales o complejas incluidas aquéllas en áreas controvertidas o novedosas (por ejemplo, contabilización de criptomonedas).

El conocimiento de la selección y aplicación de políticas contables, incluido cualquier cambio en ellas, así como los motivos de esos cambios, puede comprender cuestiones como:
- Los métodos utilizados por la entidad para reconocer, medir, presentar y revelar transacciones significativas e inusuales.
- El efecto de políticas contables significativas en áreas emergentes o controvertidas para las que hay una falta de orientaciones autorizadas o de consenso.
- Cambios en el entorno, tales como cambios en el marco de información financiera aplicable o reformas fiscales que pueden hacer necesario un cambio en las políticas contables de la entidad.
- Normas de información financiera y disposiciones legales y reglamentarias que son nuevas para la entidad, así como el modo y momento en que la entidad adoptará o cumplirá dichos requerimientos.

Ejemplo:

Consideraciones específicas para entidades del sector público

Modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección (Ref: Apartado 19(c))

En el Anexo 2 figuran ejemplos de hechos y condiciones que pueden dar lugar a la existencia de riesgos de incorrección material, clasificados por factor de riesgo inherente

Por qué el auditor conoce los factores de riesgo inherente al conocer la entidad y su entorno y el marco de información financiera aplicable

El efecto de los factores de riesgo inherente sobre un tipo de transacción, saldo contable o información a revelar

A87. El grado de susceptibilidad de incorrección de un tipo de transacciones, saldo contable o información a revelar originada por la complejidad o la subjetividad, a menudo, está estrechamente vinculado al grado en el que está sujeto a cambios o incertidumbre.

Ejemplo:

Obtención de conocimiento del sistema de control interno de la entidad (Ref: Apartados 21‒27)

Graduación

Consideraciones específicas para entidades del sector público

Tecnologías de la información en los componentes del sistema de control interno de la entidad

En el Anexo 5 se proporcionan orientaciones adicionales en relación con el conocimiento de la utilización por la entidad de las TI en los componentes del sistema de control interno.

Conocimiento de la naturaleza de los componentes del sistema de control interno de la entidad

Es más probable que el conocimiento por el auditor del entorno de control de la entidad, el proceso de valoración del riesgo por la entidad y el proceso de la entidad para el seguimiento de los componentes de los controles afecten a la identificación y valoración de los riesgos de incorrección material en los estados financieros.
Es más probable que el conocimiento por el auditor del sistema de información y de comunicación de la entidad y del componente de actividades de control de la entidad afecten a la identificación y valoración de los riesgos de incorrección material en las afirmaciones.

Entorno de control, proceso de valoración del riesgo por la entidad y proceso para el seguimiento del sistema de control interno de la entidad (Ref: Apartados 21-24)

Obtención de conocimiento del entorno de control (Ref: Apartado 21) Graduación

A99. Es probable que la naturaleza del entorno de control en una entidad menos compleja sea diferente del entorno de control den una entidad más compleja. Por ejemplo, puede ocurrir que entre los responsables del gobierno de una entidad menos compleja no haya un miembro independiente o externo, y la función de gobierno pueda ser desempeñada directamente por el propietario-gerente cuando no existen otros propietarios. En consecuencia, algunas consideraciones sobre el entorno de control de la entidad pueden ser menos relevantes o no ser aplicables.

A100. Además, es posible que en entidades menos complejas no esté disponible en forma documentada la evidencia de auditoría relativa a los elementos del entorno de control, en especial cuando la comunicación entre la dirección y el resto del personal es informal, pero la evidencia aún puede ser adecuadamente relevante y fiable en función de las circunstancias.

Ejemplos:

La estructura organizativa en una entidad menos compleja probablemente sea más sencilla y pueda incluir un reducido número de empleados que participen en funciones relacionadas con la información financiera.
Si la función de gobierno es desempeñada directamente por el propietario-gerente, el auditor puede determinar que no es relevante la independencia de los responsables del gobierno de la entidad.
Es posible que las entidades menos complejas no tengan un código de conducta escrito pero que, en su lugar, hayan desarrollado una cultura que resalte la importancia de un comportamiento íntegro y ético a través de la comunicación verbal y del ejemplo de la dirección. En consecuencia, las actitudes, compromisos y actuaciones de la dirección o del propietario-gerente son de especial importancia para el conocimiento por el auditor del entorno de control de una entidad menos compleja.

Conocimiento del entorno de control (Ref: Apartado 21(a))

A101. Se puede obtener evidencia de auditoría para el conocimiento del entorno de control mediante una combinación de indagaciones y otros procedimientos de valoración del riesgo (por ejemplo, la corroboración de la información resultante de indagaciones mediante la observación o la inspección de documentos).

A102. En la consideración del grado en que la dirección demuestra un compromiso con la integridad y los valores éticos, el auditor puede obtener conocimiento mediante indagaciones ante la dirección y los empleados y considerando información de fuentes externas acerca de:

El modo en que la dirección comunica a los empleados su opinión relativa a las prácticas empresariales y al comportamiento ético; e
Inspeccionando el código de conducta escrito de la dirección y observando si actúa de un modo acorde con dicho código.

Evaluación del entorno de control (Ref: Apartado 21(b)) Por qué el auditor evalúa el entorno de control

A103. La evaluación por el auditor del modo en que la entidad demuestra un comportamiento congruente con su compromiso con la integridad y los valores éticos; de si el entorno de control proporciona un fundamento adecuado para los demás componentes del sistema control interno de la entidad y de si alguna deficiencia de control identificada menoscaba los demás componentes del sistema de control interno de la entidad ayuda al auditor en la identificación de posibles asuntos en otros componentes del sistema de control interno. Esto es así porque el entorno de control es el fundamento de los demás componentes del sistema de control interno de la entidad. Esta evaluación también puede ayudar al auditor a conocer los riesgos a los que se enfrenta la entidad y, en consecuencia, a identificar y valorar los riesgos de incorrección material en los estados financieros y en las afirmaciones (véase el apartado A86).

La evaluación por el auditor del entorno de control

A104. La evaluación por el auditor del entorno de control se basa en el conocimiento obtenido de conformidad con el apartado 21(a).

A105. Es posible que algunas entidades sean dominadas por una única persona que puede actuar con mucha discrecionalidad. Las actuaciones y actitudes de esa persona pueden tener un efecto generalizado sobre el entorno de control. Dicho efecto puede ser positivo o negativo.

Ejemplo:

Es posible que la participación directa de una única persona sea clave para permitir a la entidad alcanzar su objetivo de crecimiento y otros y también puede contribuir de modo significativo a un sistema de control interno eficaz. Por otra parte, esa concentración de conocimiento y autoridad también puede llevar a una mayor susceptibilidad de incorrección a través de la elusión de los controles por la dirección.

A106. El auditor puede considerar el modo en que los diferentes elementos del entorno de control pueden verse influenciados por la filosofía y el estilo operativo de la alta dirección teniendo en cuenta la participación de los miembros independientes de los responsables del gobierno de la entidad.

A107. A pesar de que el entorno de control puede proporcionar un fundamento adecuado para el sistema de control interno y puede ayudar a reducir el riesgo de fraude, un entorno de control adecuado no es necesariamente un elemento disuasorio del fraude.

Ejemplo:

Unas políticas y procedimientos de recursos humanos dirigidas a contratar personal competente para las áreas financiera, contable y de TI pueden mitigar los riesgos de que se produzcan errores en el procesamiento y el registro. de la información financiera. Sin embargo, es posible que esas políticas y procedimientos no mitiguen la elusión de los controles por la alta dirección (por ejemplo, para sobrevalorar los beneficios).

A108. La evaluación por el auditor del entorno de control en relación con la utilización de TI por la entidad puede incluir cuestiones tales como:

Si la gobernanza sobre las TI es acorde con la naturaleza y complejidad de la entidad y de sus operaciones de negocio realizadas a través de TI, incluida la complejidad o madurez de la plataforma o arquitectura tecnológicas de la entidad y hasta qué punto confía la entidad en aplicaciones de TI para sustentar su información financiera.
La estructura organizativa de la dirección en relación con las TI y los recursos asignados (por ejemplo, si la entidad ha invertido en un entorno de TI adecuado y en las mejoras necesarias, o si se ha contratado al suficiente número de personas con la cualificación adecuada incluso cuando la entidad utiliza software comercial (con pocas o ninguna modificación)).

Obtención de conocimiento del proceso de valoración del riesgo por la entidad (Ref: Apartados 22-23) Conocimiento del proceso de valoración del riesgo por la entidad (Ref: Apartado 22(a))

A109. Como se explica en el apartado A62, no todos los riesgos de negocio dan lugar a riesgos de incorrección material. Para conocer el modo en que la dirección y los responsables del gobierno de la entidad han identificado los riesgos de negocio relevantes para la preparación de los estados financieros, y han tomado decisiones con respecto a las actuaciones para responder a dichos riesgos, las cuestiones que el auditor puede considerar incluyen el modo en que la dirección o, en su caso, los responsables del gobierno de la entidad:

Han especificado los objetivos de la entidad con la suficiente precisión y claridad para permitir la identificación y valoración de los riesgos relacionados con esos objetivos;
Han identificado los riesgos para alcanzar los objetivos de la entidad y han analizado los riesgos como base para determinar el modo en que se deberían gestionar y
Han considerado la posibilidad de fraude al considerar los riesgos para alcanzar los objetivos de la entidad37.

A110. El auditor puede considerar las implicaciones de dichos riesgos de negocio para la preparación de los estados financieros de la entidad y otros aspectos de su sistema de control interno.

Evaluación del proceso de valoración del riesgo por la entidad (Ref: Apartado 22(b))

Por qué el auditor evalúa si el proceso de valoración del riesgo por la entidad es adecuado

A111. La evaluación por el auditor del proceso de valoración del riesgo por la entidad le puede ayudar a comprender dónde ha identificado la entidad riesgos que pueden existir y cómo ha respondido a esos riesgos. La evaluación por el auditor del modo en que la entidad identifica los riesgos de negocio y del modo en que los valora y responde ayuda al auditor a conocer si los riesgos a los que se enfrenta la entidad han sido identificados, valorados y resueltos como corresponde a la naturaleza y complejidad de la entidad. Esta evaluación también puede ayudar al auditor en la identificación y valoración de los riesgos de incorrección material en los estados financieros y en las afirmaciones (véase el apartado A86).

Evaluación de si el proceso de valoración del riesgo por la entidad es adecuado (Ref: Apartado 22(b))

A112. La evaluación por el auditor de lo adecuado que es el proceso de valoración del riesgo por la entidad se basa en el conocimiento obtenido de conformidad con el apartado 22(a).

Graduación

A113. La consideración de que el proceso de valoración del riesgo por la entidad sea adecuado a las circunstancias de la entidad teniendo en cuenta la naturaleza y complejidad de esta es una cuestión de juicio profesional del auditor.

Ejemplo:

En algunas entidades menos complejas, y en especial las entidades dirigidas por el propietario, se puede realizar una valoración del riesgo adecuada a través de la participación directa de la dirección o del propietario (por ejemplo, el director o el propietario puede dedicar tiempo de manera rutinaria al seguimiento de las actividades de la competencia y otros desarrollos en el mercado para identificar riesgos de negocio emergentes). A menudo, la evidencia de que existe esta valoración del riesgo en este tipo de entidades no está formalmente documentada, pero a través de las discusiones que mantiene el auditor con la dirección puede poner en evidencia que, de hecho, la dirección está realizando procedimientos de valoración del riesgo.

Obtención de conocimiento del proceso de la entidad para el seguimiento del sistema de control interno (Ref: Apartado 24)

Graduación

A114. En entidades menos complejas, y en especial en las entidades dirigidas por el propietario, el conocimiento por el auditor del proceso de la entidad para el seguimiento del sistema de control interno a menudo se centra en el modo en que la dirección o el propietario participan directamente en las operaciones dado que puede que no existan otras actividades de seguimiento.

Ejemplo:

Puede ocurrir que la dirección reciba quejas de los clientes relativas a inexactitudes en su declaración mensual que alerten al propietario de la existencia de cuestiones relacionadas con el momento en que se reconocen los pagos de los clientes en los registros contables.

A115. En el caso de entidades en las que no existe un proceso formal para el seguimiento del sistema de control interno, el conocimiento del proceso para el seguimiento del sistema de control interno puede incluir conocer las revisiones periódicas de información de la contabilidad de gestión diseñadas para contribuir al modo en que la entidad previene o detecta incorrecciones.

Conocimiento del proceso de la entidad para el seguimiento del sistema de control interno (Ref: Apartado 24(a))

A116. Cuestiones que el auditor puede considerar para obtener conocimiento del modo en que la entidad realiza el seguimiento de su sistema de control interno incluyen:

El diseño de las actividades de seguimiento, por ejemplo, si el seguimiento es periódico o continuo;
La realización y frecuencia con la que se realizan las actividades de seguimiento;
La evaluación de los resultados de las actividades de seguimiento, de manera oportuna, para determinar si los controles han sido eficaces; y
El modo en que se ha respondido a las deficiencias identificadas a través de medidas correctoras adecuadas, incluida la comunicación oportuna de dichas deficiencias a los responsables de ejecutarlas.

A117. El auditor también puede considerar el modo en que el proceso de la entidad para el seguimiento del sistema de control interno trata el seguimiento de controles de procesamiento de la información en el que interviene la utilización de TI. Esto puede incluir, por ejemplo:

Controles para el seguimiento de entornos de TI complejos que:
- evalúan la continuidad de la eficacia del diseño de los controles de procesamiento de la información y los modifican, según corresponda, ante cambios en las condiciones; o
- evalúan la eficacia operativa de los controles de procesamiento de la información.
Controles que realizan el seguimiento de las autorizaciones que se aplican en los controles de procesamiento de la información automatizados que aplican la segregación de funciones.
Controles que realizan el seguimiento del modo en que se identifican y resuelven los errores o las deficiencias de controles relacionados con la automatización de la información financiera.

Conocimiento de la función de auditoría interna de la entidad (Ref: Apartado 24(a)(ii))

El Anexo 4 contiene consideraciones adicionales para el conocimiento de la función de auditoría interna de una entidad.

A118. Las indagaciones del auditor ante las personas adecuadas dentro de la función de auditoría interna le ayudan a obtener conocimiento sobre la naturaleza de las responsabilidades de la función de auditoría interna. Si el auditor determina que las responsabilidades de la función de auditoría interna están relacionadas con la información financiera de la entidad, puede obtener un mayor conocimiento de las actividades realizadas, o que serán realizadas, por la función de auditoría interna mediante la revisión, en su caso, del plan de auditoría de la función de auditoría interna para el periodo, así como la discusión de dicho plan con las personas adecuadas dentro de la función. Este conocimiento, junto con la información obtenida de las indagaciones del auditor pueden también proporcionar información directamente relevante para la identificación y valoración de los riesgos de incorrección material por parte del auditor. Si sobre la base de su conocimiento preliminar de la función de auditoría interna, el auditor tiene previsto utilizar el trabajo de los auditores internos para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar, o bien para reducir su extensión es de aplicación la NIA 610 (Revisada 2013).

Otras fuentes de información utilizadas en el proceso de la entidad para el seguimiento del sistema de control interno.

Conocimiento de las fuentes de información (Ref: Apartado 24(b))

A119. Las actividades de seguimiento por la dirección pueden utilizar información contenida en comunicaciones de terceros tales como quejas de clientes o comentarios de las autoridades reguladoras, que pueden ser indicativos de problemas o resaltar áreas en las que se necesitan mejoras.

Por qué se requiere que el auditor tenga conocimiento de las fuentes de información utilizadas por la entidad para el seguimiento del sistema de control interno

A120. El conocimiento por parte del auditor de las fuentes de información utilizadas por la entidad para el seguimiento del sistema de control interno, incluido si la información que se utiliza es relevante y fiable, le ayuda a evaluar si el proceso para el seguimiento del sistema de control interno es adecuado. Si la dirección asume que la información utilizada para el seguimiento es relevante y fiable sin disponer de una base para dicha hipótesis, los errores que pueden existir en la información podrían llevar a la dirección a alcanzar conclusiones erróneas derivadas de sus actividades de seguimiento.

Evaluación del proceso de la entidad para el seguimiento del sistema de control interno (Ref: Apartado 24(c))

Por qué el auditor evalúa si el proceso de la entidad para el seguimiento del sistema de control interno es adecuado.

A121. La evaluación por el auditor del modo en que la entidad realiza evaluaciones continuas y puntuales para el seguimiento de la eficacia de los controles le ayuda a conocer si los demás componentes del sistema control interno de la entidad existen y funcionan y, en consecuencia, le ayuda en el conocimiento de los demás componentes del sistema de control interno de la entidad. Esta evaluación también puede ayudar al auditor en la identificación y valoración de los riesgos de incorrección material en los estados financieros y en las afirmaciones (véase el apartado A86).

Evaluación de si el proceso de la entidad para el seguimiento del sistema de control interno es adecuado (Ref: Apartado 24(c))

A122. La evaluación por el auditor de lo adecuado del proceso de la entidad para el seguimiento del sistema de control interno se basa en su conocimiento de dicho proceso.

Sistema de información y comunicación y actividades de control (Ref: Apartado 25‒26)

Por qué se requiere que el auditor tenga conocimiento del sistema de información y comunicación y de los controles en el componente de actividades de control.

La naturaleza iterativa del conocimiento del auditor y la evaluación del sistema de información y comunicación, y de las actividades de control.

A130. La identificación y valoración por el auditor de los riesgos de incorrección material en las afirmaciones depende tanto:

Del conocimiento por el auditor de las políticas de la entidad para sus actividades de procesamiento de la información en el sistema de información y en el componente de comunicación, como;
De la identificación y evaluación de controles en el componente de actividades de control.

Obtención de conocimiento del sistema de información y comunicación (Ref: Apartado 25)

Los apartados 15–19 del Anexo 3 contienen consideraciones adicionales en relación con el sistema de información y comunicación.

Graduación

A131. Es probable que en entidades menos complejas el sistema de información y los procesos de negocio relacionados sean menos sofisticados que en las entidades más complejas, y es probable que el entorno de TI sea menos complejo. No obstante, la función del sistema de información es igual de importante. Las entidades menos complejas que cuenten con una participación directa de la dirección puede que no necesiten descripciones detalladas de procedimientos contables, registros contables sofisticados o políticas escritas. En consecuencia, es posible que conocer los aspectos relevantes del sistema de información de la entidad requiera menos esfuerzo en la auditoría de una entidad menos compleja y necesitar más indagación que la observación o la inspección de documentación. Sin embargo, la necesidad de obtener conocimiento sigue siendo importante para proporcionar una base para el diseño de procedimientos posteriores de auditoría de conformidad con la NIA 330 y puede ayudar al auditor en la identificación y valoración de riesgos de incorrección material en mayor medida (véase apartado A86).

Obtención de conocimiento del sistema de información (Ref: Apartado 25(a))

A132. El sistema de control interno de la entidad incluye aspectos relacionados con los objetivos de información de la entidad, incluidos sus objetivos de información financiera, pero puede también incluir aspectos relacionados con sus objetivos operativos o de cumplimiento cuando dichos aspectos son relevantes para la información financiera. Conocer el modo en que la entidad inicia las transacciones y captura la información como parte del conocimiento del auditor del sistema de información puede incluir información acerca de los sistemas (sus políticas) diseñados para tratar los objetivos de cumplimiento y operativos porque esa información es relevante para la preparación de los estados financieros. Además, algunas entidades pueden tener sistemas de información que están altamente integrados de tal forma que los controles pueden estar diseñados de modo que se alcancen de manera simultánea objetivos de información financiera, de cumplimiento y operativos, y combinaciones de estos.

A133. Conocer el sistema de información de la entidad también incluye conocer los recursos que la entidad va a utilizar en las actividades de procesamiento de la información. La información acerca de los recursos humanos que participan que puede ser relevante para el conocimiento de los riesgos para la integridad del sistema de información incluye:

La competencia profesional de las personas que realizan el trabajo;
Si se dispone de los recursos adecuados y;
Si hay una adecuada segregación de funciones.

A134. Las cuestiones que el auditor puede considerar para el conocimiento de las políticas que definen los flujos de información relativos a los tipos de transacciones, saldos contables e información a revelar significativos en el sistema de información y en el componente de comunicación incluyen la naturaleza de:

Los datos o la información relativa a las transacciones, otros hechos y condiciones que deban ser procesados;
El procesamiento de la información para mantener la integridad de dichos datos o información y
Los procesos de la información, el personal y otros recursos que se utilizan en el proceso de procesamiento de la información.

A135. La obtención de conocimiento de los procesos de negocio de la entidad, que incluye el modo en que se originan las transacciones, ayuda al auditor en la obtención de conocimiento del sistema de información de la entidad de un modo adecuado a las circunstancias de la entidad.

A136. El conocimiento del auditor del sistema de información se puede obtener de varias maneras que pueden incluir:

Indagaciones ante el personal relevante acerca de los procedimientos utilizados para iniciar, registrar, procesar las transacciones e informar sobre ellas o sobre el proceso de información financiera de la entidad;
La inspección de manuales de políticas o procesos u otra documentación del sistema de información de la entidad;
La observación de la ejecución de las políticas o procedimientos por el personal de la entidad; o
La selección de transacciones y su seguimiento a través del correspondiente proceso en el sistema de información (es decir, ejecutando una comprobación paso a paso).

Herramientas y técnicas automatizadas

A137. El auditor también puede utilizar técnicas automatizadas para obtener un acceso directo o una descarga de las bases de datos del sistema de información de la entidad en las que se encuentran los registros contables de las transacciones. Mediante la aplicación de herramientas o técnicas automatizadas a esta información, el auditor puede confirmar el conocimiento obtenido acerca del modo en que las transacciones fluyen a través del sistema de información realizando el seguimiento de asientos en el diario u otros registros digitales relacionados con una determinada transacción o toda una población de transacciones, desde el inicio en los registros contables hasta el registro en el mayor. El análisis de conjuntos completos o amplios de transacciones también puede producir la identificación de variaciones con respecto a los procedimientos de procesamiento normales o esperados para estas transacciones, lo que, a su vez, puede tener como resultado la identificación de riesgos de incorrección material.

Información obtenida al margen del mayor y de los auxiliares

A138. Los estados financieros pueden contener información que se obtiene al margen del mayor y de los auxiliares. Algunos ejemplos de información de ese tipo que el auditor puede considerar son:

Información obtenida de acuerdos de arrendamiento relevantes para la información a revelar en los estados financieros.
Información revelada en los estados financieros generada por un sistema de gestión de riesgos de la entidad.
Información sobre valor razonable generada por expertos de la dirección y revelada en los estados financieros.
Información revelada en los estados financieros obtenida de modelos u otros cálculos utilizados para desarrollar estimaciones contables reconocidas o reveladas en los estados financieros, incluida la información relacionada con los datos subyacentes y las hipótesis utilizadas en esos modelos, tales como:
- Hipótesis desarrolladas internamente que pueden afectar a la vida útil de un activo; o
- Datos, tales como tipos de interés, afectados por factores fuera del control de la entidad.
Información revelada en los estados financieros sobre análisis de sensibilidad derivados de modelos financieros que demuestra que la dirección ha considerado hipótesis alternativas.
Información reconocida o revelada en los estados financieros obtenida de las declaraciones de impuestos de la entidad o de sus registros fiscales.
Información revelada en los estados financieros obtenida de análisis preparados para apoyar la valoración de la dirección de la capacidad de la entidad para continuar como empresa en funcionamiento, tal como información a revelar, en su caso, relacionada con hechos o con condiciones que pueden generar dudas significativas sobre la capacidad de la entidad para continuar como empresa en funcionamiento.

A139. Algunas cantidades o información a revelar en los estados financieros de la entidad (tales como información a revelar sobre riesgo crediticio, riesgo de liquidez y riesgo de mercado) pueden provenir del sistema de gestión del riesgo de la entidad. Sin embargo, no se requiere que el auditor conozca todos los aspectos del sistema de gestión del riesgo, y debe recurrir a su juicio profesional para determinar el conocimiento necesario.

La utilización de tecnologías de la información en el sistema de información

Por qué conoce el auditor el entorno de TI relevante para el sistema de información

A140. El conocimiento por el auditor del sistema de información incluye el entorno de TI relevante para los flujos de transacciones y el procesamiento de la información en el sistema de información de la entidad porque la utilización de aplicaciones de TI u otros aspectos del entorno de TI pueden dar lugar a riesgos derivados de la utilización de TI.

A141. El conocimiento del modelo de negocio de la entidad y del modo en que integra la utilización de TI también pueden proporcionar un contexto útil a la naturaleza y extensión de las TI esperadas en el sistema de información.

Conocimiento de la utilización de TI por la entidad

A142. La obtención por el auditor de conocimiento del entorno de TI se puede centrar en identificar y comprender la naturaleza y el número de las aplicaciones específicas de TI y otros aspectos del entorno de TI que son relevantes para los flujos de transacciones y el procesamiento de la información en el sistema de información. Los cambios en los flujos de transacciones o en la información dentro del sistema de información pueden ser el resultado de cambios en los programas de las aplicaciones de TI o de cambios directos en los datos de las bases de datos que intervienen en el procesamiento o en el almacenamiento de esas transacciones o información.

A143. El auditor puede identificar las aplicaciones de TI y la infraestructura de TI en las que se apoyan a la vez que obtiene conocimiento del modo en que la información relativa a los tipos de transacciones, saldos contables e información a revelar significativos entra, fluye y sale del sistema de información de la entidad.

Obtención de conocimiento de la comunicación de la entidad (Ref: Apartado 25(b)) Graduación

A144. En las entidades de mayor tamaño y más complejas, la información que el auditor puede considerar para el conocimiento de la comunicación de la entidad puede provenir de manuales de políticas y de información financiera.

A145. En entidades menos complejas, la comunicación puede estar menos estructurada (por ejemplo, es posible que no se utilicen manuales formales) debido a la existencia de un menor número de niveles de responsabilidad y a la mayor cercanía y disponibilidad de la dirección. Independientemente de la dimensión de la entidad, la existencia de canales de comunicación abiertos ayuda a que se informe sobre las excepciones y se actúe sobre ellas.

Evaluación de si los aspectos relevantes del sistema de información sustentan la preparación de los estados financieros (Ref: Apartado 25(c))

A146. La evaluación por el auditor de si el sistema de información y comunicación de la entidad sustenta adecuadamente la preparación de los estados financieros se basa en el conocimiento obtenido en los apartados 25(a)–(b).

Actividades de control (Ref: Apartado 26)

Controles en el componente de actividades de control

Los apartados 20 y 21 del Anexo 3 contienen consideraciones adicionales en relación con las actividades de control.

A147. El componente de actividades de control incluye controles diseñados para asegurar la adecuada aplicación de las políticas (que también son controles) en todos los demás componentes del sistema de control e incluye controles tanto directos como indirectos.

Ejemplo:

Los controles que una entidad ha establecido para asegurar que su personal cuenta y registra correctamente el recuento físico anual de existencias se relacionan directamente con los riesgos de incorrección material en las afirmaciones de realidad e integridad relativas al saldo contable de las existencias.

A148. La identificación y evaluación por el auditor de controles en el componente de actividades de control se centra en controles de procesamiento de la información, que son controles aplicados durante el procesamiento de la información en el sistema de información de la entidad y responden directamente a los riesgos para la integridad de la información (es decir, la integridad, exactitud y validez de las transacciones y otra información). Sin embargo, no se requiere que el auditor identifique y evalúe todos los controles de procesamiento de la información relacionados con las políticas de la entidad que definen los flujos de transacciones y otros aspectos de las actividades de procesamiento de la información para los tipos de transacciones, saldos contables e información a revelar significativos.

A149. También pueden existir controles directos en el entorno de control, en el proceso de valoración del riesgo por la entidad o en el proceso para el seguimiento del sistema de control interno de la entidad, los cuales pueden ser identificados de conformidad con el apartado 26. No obstante, cuanto más indirecta sea la relación entre los controles que sustentan a otros controles y el control objeto de consideración, menos eficaz será el control para prevenir, o detectar y corregir, las correspondientes incorrecciones.

A150. En el apartado 26 también se requiere que el auditor identifique y evalúe controles generales de TI para aplicaciones de TI y otros aspectos del entorno de TI que el auditor haya determinado que están sujetos a riesgos derivados de la utilización de TI porque los controles generales de TI sustentan el funcionamiento continuo y eficaz de los controles de procesamiento de la información. Un solo control general de TI no es habitualmente suficiente para responder a un riesgo de incorrección material en las afirmaciones.

A151. Los controles que se requiere que el auditor identifique, cuyo diseño debe evaluar y cuya implementación debe determinar, de conformidad con el apartado 26, son:

controles cuya eficacia operativa tiene previsto comprobar para determinar la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos. La evaluación de dichos controles proporciona al auditor la base para el diseño de procedimientos de pruebas de controles de conformidad con la NIA 330. Esos controles también incluyen controles que responden a riesgos para los cuales los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada.
Controles que incluyen controles para responder a riesgos significativos y controles sobre asientos en el diario. La identificación y evaluación de esos controles por el auditor también puede influir en su conocimiento de los riesgos de incorrección material, incluida la identificación de riesgos de incorrección material adicionales (véase apartado A95). Este conocimiento también proporciona la base para el diseño por el auditor de la naturaleza, el momento de realización y la extensión de procedimientos sustantivos que respondan a los correspondientes riesgos de incorrección material valorados.
Otros controles que el auditor considere adecuados para permitirle cumplir los objetivos del apartado 13 con respecto a los riesgos en las afirmaciones, basándose en su juicio profesional.

A152. Se requiere que se identifiquen controles en el componente de actividades de control cuando dichos controles cumplan uno o varios de los criterios expuestos en el apartado 26(a). Sin embargo, cuando múltiples controles alcancen individualmente el mismo objetivo, no es necesario identificar cada uno de los controles relacionados con dicho objetivo.

Tipos de controles en el componente de actividades de control (Ref: Apartado 26)

A153. Algunos ejemplos de controles en el componente de actividades de control incluyen autorizaciones y aprobaciones, conciliaciones, verificaciones (tales como filtros de edición y de validación o cálculos automatizados), segregación de funciones y controles físicos o lógicos, incluidos los que tratan la salvaguarda de activos.

A154. Los controles en el componente de actividades de control pueden incluir controles establecidos por la dirección que responden a riesgos de incorrección material relacionados con información a revelar que no se haya preparado de conformidad con el marco de información financiera aplicable. Dichos controles pueden estar relacionadas con información incluida en los estados financieros obtenida fuera del mayor y de los auxiliares.

A155. Independientemente de si están dentro del entorno de TI o de si son sistemas manuales, los controles pueden tener varios objetivos y aplicarse a diferentes niveles organizativos y funcionales.

Graduación (Ref: Apartado 26)

A156. Los controles en el componente de actividades de control de las entidades menos complejas probablemente sean similares a los de entidades de mayor dimensión, pero pueden diferir en cuanto al grado de formalización con el que funcionan. Además, en entidades menos complejas es posible que un mayor número de controles sea aplicado directamente por la dirección.

Ejemplo:

El hecho de que únicamente la dirección esté autorizada a conceder créditos a clientes o a aprobar compras significativas puede proporcionar un control fuerte sobre saldos contables y transacciones importantes.

A157. Las entidades menos complejas suelen tener menos empleados, lo que puede limitar en la práctica la posibilidad de segregación de funciones. Sin embargo, en una entidad dirigida por un propietario- gerente, es posible que este pueda realizar una supervisión más eficaz a través de su participación directa que en una entidad de mayor dimensión, lo que puede compensar las menores oportunidades de establecer una segregación de funciones. Si bien, como también se explica en la NIA 240, el hecho de que una sola persona ejerza la dirección puede conllevar una posible deficiencia de control, ya que ofrece a la dirección la posibilidad de eludir los controles.

Controles que responden a los riesgos de incorrección material en las afirmaciones (Ref: Apartado 26(a)) Controles que responden a riesgos que se consideran riesgo significativo (Ref: Apartado 26(a)(i))

A158. Independientemente de si el auditor tiene previsto comprobar la eficacia operativa de los controles que responden a riesgos significativos, el conocimiento obtenido acerca del enfoque de la dirección para responder a esos riesgos puede proporcionar una base para el diseño y aplicación de procedimientos sustantivos que respondan a riesgos significativos como lo requiere la NIA 33041. Si bien a menudo es menos probable que los riesgos relacionados con cuestiones significativas no rutinarias o que requieren la aplicación de juicio estén sujetos a controles rutinarios, la dirección puede tener otras respuestas cuya finalidad es tratar dichos riesgos. En consecuencia, el conocimiento por el auditor de si la entidad ha diseñado e implementado controles para los riesgos significativos derivados de cuestiones no rutinarias o que requieren la aplicación de juicio puede incluir conocer si la dirección responde a dichos riesgos y el modo en que lo hace. Dichas respuestas pueden incluir lo siguiente:

Controles tales como la revisión de hipótesis por la alta dirección o por expertos.
Procesos documentados para las estimaciones contables.
Aprobación por los responsables del gobierno de la entidad.

Ejemplo:

Cuando se producen hechos únicos como la recepción de la notificación de una demanda significativa, la consideración de la respuesta de la entidad puede incluir cuestiones tales como si se ha remitido a los expertos adecuados (como los asesores jurídicos internos o externos), si se ha realizado una valoración de su efecto potencial, y el modo en que se propone que las circunstancias se revelen en los estados financieros.

A159. La NIA 24042 requiere que el auditor tenga conocimiento de los controles relacionados con los riesgos valorados de incorrección material debida a fraude (que se tratan como riesgos significativos) y explica que es importante que el auditor obtenga conocimiento de los controles que la dirección ha diseñado, implementado y mantenido para prevenir y detectar el fraude.

Controles sobre asientos en el diario (Ref: Apartado 26(a)(ii))

A160. Entre los controles que responden a los riesgos de incorrección material en las afirmaciones que se espera que se identifiquen en todas las auditorías están los controles sobre asientos en el diario, puesto que, generalmente, el modo en que una entidad incorpora información del procesamiento de transacciones en el mayor es mediante la utilización de asientos en el diario, tanto estándar como no, o automatizados o manuales. El grado en que se identifican otros controles puede variar dependiendo de la naturaleza de la entidad y del enfoque previsto por el auditor en relación con procedimientos posteriores de auditoría.

Herramientas y técnicas automatizadas

A161. En los sistemas de mayores manuales, los asientos no estándar en el diario pueden ser identificados mediante la inspección de los mayores, diarios y documentación de soporte. Cuando se utilizan procesos automatizados para la llevanza de los libros y la preparación de los estados financieros, es posible que dichas anotaciones existan sólo en formato electrónico y puedan ser por tanto más fácilmente identificadas mediante el uso de técnicas de auditoría automatizadas.

Ejemplo:

En la auditoría de una entidad menos compleja, es posible que el auditor pueda extraer una relación completa de todas las anotaciones en el diario a una hoja de cálculo. A partir de allí, es posible que el auditor pueda clasificar las anotaciones en el diario aplicando varios filtros como divisa, nombre del preparador o del revisor, anotaciones en el diario que se elevan al bruto sólo en el balance y en la cuenta de resultados, o examinar el listado por la fecha en que el asiento se registró en el mayor, para ayudarle en el diseño de respuestas a los riesgos identificados relativos a asientos en el diario.

Controles cuya eficacia operativa tiene previsto probar el auditor (Ref: Apartado 26(a)(iii))

A162. El auditor determina si existen algunos riesgos de incorrección material en las afirmaciones para los cuales los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada. Se requiere que el auditor, de conformidad con la NIA 33043, diseñe y aplique pruebas de controles que responden a dichos riesgos de incorrección material cuando los procedimientos sustantivos por sí solos no pueden proporcionar evidencia de auditoría suficiente y adecuada en las afirmaciones. Como resultado, cuando existan controles que responden a esos riesgos, se requiere que se identifiquen y evalúen.

A163. En otros casos, cuando el auditor tiene previsto tener en cuenta la eficacia operativa de los controles en la determinación de la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos de conformidad con la NIA 330, también se requiere que se identifiquen porque la NIA 33044 requiere que el auditor diseñe y aplique pruebas de los mismos.

Ejemplos:

El auditor puede tener previsto probar la eficacia operativa de los controles:

Sobre transacciones rutinarias ya que tales pruebas pueden resultar más eficaces o eficientes para grandes volúmenes de transacciones homogéneas.
Sobre la integridad y la exactitud de la información producida por la entidad (por ejemplo, controles sobre la preparación de informes generados por el sistema), para determinar la fiabilidad de esa información, cuando el auditor tiene intención de tener en cuenta la eficacia operativa de los controles en el diseño y la aplicación de los procedimientos posteriores de auditoría.
Relativos a los objetivos operativos y de cumplimiento si están relacionados con datos que el auditor evalúa o utiliza en la aplicación de procedimientos de auditoría.

A164. Los planes del auditor de probar la eficacia operativa de los controles también pueden verse influidos por los riesgos identificados de incorrección material en los estados financieros. Por ejemplo, si se identifican deficiencias en el entorno de control, esto puede afectar a las expectativas globales acerca de la eficacia operativa de los controles directos.

Otros controles que el auditor considera adecuados (Ref: Apartado 26(a)(iv))

A165. Otros controles que el auditor puede considerar adecuado identificar, cuyo diseño puede considerar adecuado evaluar y determinar su implementación, pueden incluir:

Controles que responden a riesgos valorados como más alto dentro del espectro de riesgo inherente pero que no han sido considerados riesgos significativos;
Controles relacionados con conciliaciones de registros detallados con el mayor o,
En el caso de utilizar una organización de servicios, controles complementarios de la entidad usuaria.

Identificación de aplicaciones de TI y otros aspectos del entorno de TI, riesgos derivados de la utilización de TI y controles generales de TI (Ref: Apartados 26(b)‒(c))

El Anexo 5 incluye ejemplos de características de aplicaciones de TI y otros aspectos del entorno de TI, y orientaciones relacionadas con dichas características que pueden ser relevantes en la identificación de aplicaciones de TI y otros aspectos del entorno de TI sujetos a riesgos derivados de la utilización de TI.

Identificación de aplicaciones de TI y otros aspectos del entorno de TI Apartado 26(b))

Por qué el auditor identifica los riesgos derivados de la utilización de TI y en los controles generales relacionados con aplicaciones de TI identificadas y otros aspectos del entorno de TI

A166. El conocimiento de los riesgos derivados de la utilización de TI y de los controles implementados por la entidad para responder a esos riesgos puede afectar a:

La decisión del auditor sobre si probar la eficacia operativa de los controles para responder a los riesgos identificados de incorrección material en los estados financieros;

Ejemplo:

Cuando los controles generales de TI no están diseñados de un modo eficaz o no están debidamente implementados para responder a los riesgos derivados de la utilización de TI (por ejemplo, los controles no previenen o detectan cambios no autorizados en los programas o accesos no autorizados a aplicaciones de TI), esto puede influir en la decisión del auditor de confiar en controles automatizados en la aplicación de TI afectada.

La valoración por el auditor del riesgo de control en las afirmaciones;

Ejemplo:

La continuidad de la eficacia operativa de un control de procesamiento de la información puede depender de determinados controles generales de TI que previenen o detectan cambios no autorizados en el programa de TI de control de procesamiento de la información (es decir, controles sobre cambios en los programas de la correspondiente aplicación de TI). En tales circunstancias, la esperada eficacia operativa del control general de TI (o su ausencia) puede influir en la valoración por el auditor del riesgo de control (por ejemplo, el riesgo de control puede ser más elevado cuando se espera que dichos controles generales de TI sean ineficaces o si el auditor no tiene previsto probar los controles generales de TI).

La estrategia del auditor para probar la información producida por la entidad generada por las aplicaciones de TI de la entidad o que involucra información originada por las mismas;

Ejemplo:

Cuando la información producida por la entidad que vaya a ser utilizada como evidencia de auditoría sea generada por aplicaciones de TI, el auditor puede determinar probar controles sobre informes generados por el sistema, incluida la identificación y comprobación de los controles generales de TI que responden a los riesgos de cambios inapropiados o no autorizados en los programas o cambios directos de datos en los informes.

La valoración por el auditor del riesgo inherente en las afirmaciones; o

Ejemplo:

Cuando hay cambios significativos y extensos en los programas de una aplicación de TI para tratar requerimientos de información nuevos o revisados del marco de información financiera aplicable, puede ser un indicio de la complejidad de los nuevos requerimientos y de su efecto estados financieros de la entidad. Cuando se producen tales cambios en los programas o en los datos, es probable que la aplicación de TI esté sujeta a riesgos derivados de la utilización de TI.

El diseño de procedimientos posteriores de auditoría.

Ejemplo:

Si los controles de procesamiento de la información dependen de los controles generales de TI, es posible que el auditor determine comprobar la eficacia operativa de los controles generales de TI, para lo que será necesario diseñar pruebas de controles para esos controles generales. Si, en las mismas circunstancias, el auditor determina no comprobar la eficacia operativa de los controles generales de TI o se espera que dichos controles generales sean ineficaces, los riesgos relacionados derivados de la utilización de TI probablemente tengan que ser tratados mediante el diseño de procedimientos sustantivos. No obstante, es posible que los riesgos derivados de la utilización de TI no puedan ser tratados cuando están relacionadas con riesgos para los cuales los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada. En esas circunstancias, es posible que el auditor deba considerar las implicaciones en la opinión del auditor.

Identificación de las aplicaciones sujetas a riesgos derivados de la utilización de TI

A167. Para las aplicaciones de TI relevantes para el sistema de información, el conocimiento de la naturaleza y de la complejidad de los procesos específicos de TI y de los controles generales de TI establecidos por la entidad puede ayudar al auditor en la determinación de cuáles son las aplicaciones de TI en las que confía la entidad para procesar adecuadamente la información en el sistema de información de la entidad y para mantener la integridad de esta. Es posible que esas aplicaciones estén sujetas a riesgos derivados de la utilización de TI.

A168. La identificación de las aplicaciones sujetas a riesgos derivados de la utilización de TI implica tener en cuenta los controles identificados por el auditor puesto que tales controles pueden suponer la utilización de TI o confiar en las TI. El auditor se puede centrar en si una aplicación de TI incluye controles automatizados en los que confía la dirección identificados por él, incluidos los controles que responden a riesgos para los cuales los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada. El auditor también puede considerar el modo en que la información relativa a los tipos de transacciones, saldos contables e información a revelar se almacena y procesa en el sistema de información y si la dirección confía en controles generales de TI para mantener la integridad de esta.

A169. Los controles identificados por el auditor pueden depender de informes generados por el sistema, en cuyo caso, las aplicaciones que producen dichos informes pueden estar sujetas a riesgos derivados de la utilización de TI. En otros casos, es posible que el auditor no tenga previsto confiar en los controles sobre los informes generados por el sistema y prevea comprobar directamente los datos de entrada y de salida de dichos informes, en cuyo caso, puede no identificar las correspondientes aplicaciones de TI como sujetas a riesgos por TI.

Graduación

A170. La amplitud del conocimiento del auditor de los procesos de TI, incluido el grado en que la entidad ha establecido controles generales de TI, variará según la naturaleza y las circunstancias de la entidad y de su entorno de TI, así como según la naturaleza y extensión de los controles identificados por el auditor. El número de aplicaciones de TI sujetas a riesgos derivados de la utilización de TI también variará en base a estos factores.

Ejemplos:

Es poco probable que una entidad que utiliza un software comercial y no tiene acceso al código fuente para realizar ningún cambio en los programas tenga un proceso relativo a cambios en los programas, pero sí puede tener un proceso o procedimientos para configurar el software (por ejemplo, el cuadro de cuentas, parámetros o niveles). Además, es posible que la entidad tenga un proceso o procedimientos para gestionar el acceso a la aplicación (por ejemplo, haber nombrado una persona para que tenga acceso al software comercial). En esas circunstancias, es poco probable que la entidad tenga o necesite controles generales de TI formales.
Por el contrario, es posible que una entidad de gran dimensión confíe en mayor grado en las TI y el entorno de TI puede involucrar múltiples aplicaciones de TI y los procesos de TI para la gestión del entorno de TI pueden ser complejos (por ejemplo, existe un departamento separado de TI que desarrolla e implementa los cambios en los programas y gestiona los derechos de acceso), incluido el que la entidad haya implementado controles generales de TI formales sobre sus procesos de TI.
Cuando la dirección no confíe en controles automatizados o en controles generales de TI para el procesamiento de transacciones o el mantenimiento de los datos, y el auditor no haya identificado ningún control automatizado u otros controles de procesamiento de la información (o ninguno que dependa de los controles generales de TI), el auditor puede planificar comprobar directamente cualquier información generada por la entidad que implique TI y puede no identificar ninguna aplicación de TI sujeta a riesgos por la utilización de TI.
Cuando la dirección confíe en una aplicación de TI para el procesamiento o el mantenimiento de los datos y el volumen de datos sea significativo, y la dirección confíe en la aplicación de TI para ejecutar controles automatizados que el auditor también ha identificado, es probable que la aplicación de TI esté sujeta a riesgos por la utilización de TI.

A171. Cuando el entorno de TI de una entidad es más complejo, es probable que la identificación de las aplicaciones de TI y otros aspectos del entorno de TI, la determinación de los riesgos relacionados derivados de la utilización de TI y la identificación de controles generales de TI requiera la participación de miembros del equipo con cualificaciones especializadas en TI. Es posible que esa participación sea esencial y tenga que ser extensa en el caso de entornos de TI complejos.

Identificación de otros aspectos del entorno de TI sujetos a riesgos derivados de la utilización de TI

A172. Los demás aspectos del entorno de TI que pueden estar sujetos a riesgos derivados de la utilización de TI incluyen la red, los sistemas operativos y bases de datos y, en determinadas circunstancias, las comunicaciones (interfaces) entre aplicaciones de TI. Por lo general, no se identifican otros aspectos del entorno de TI cuando el auditor no identifica aplicaciones sujetas a riesgos derivados de la utilización de TI. Cuando el auditor haya identificado aplicaciones de TI sujetas a riesgos derivados de la utilización de TI, es probable que se identifiquen otros aspectos del entorno de TI (por ejemplo, bases de datos, sistema operativo, red) porque esos aspectos dan apoyo e interactúan con las aplicaciones de TI identificadas.

Identificación de riesgos derivados de la utilización de TI y controles generales de TI (Ref: Apartado 26(c))

El Anexo 6 contiene consideraciones para la obtención de conocimiento de los controles generales de TI.

A173. En la identificación de riesgos derivados de la utilización de TI, el auditor puede considerar la naturaleza de la aplicación de TI identificada u otro aspecto del entorno de TI y los motivos por los que están sujetos a riesgos derivados de la utilización de TI. En el caso de algunas aplicaciones de TI u otros aspectos del entorno de TI identificados, es posible que el auditor identifique riesgos aplicables derivados de la utilización de TI relacionados principalmente con accesos no autorizados o con cambios no autorizados en los programas, o que tratan los riesgos de cambios inapropiados en los datos (por ejemplo, el riesgos de cambios inapropiados en los datos mediante el acceso directo a las bases de datos o la capacidad de manipular directamente la información).

A174. La extensión y la naturaleza de los riesgos aplicables identificados derivados de la utilización de TI varían según la naturaleza y las características de las aplicaciones de TI identificadas y otros aspectos del entorno de TI. Se pueden producir riesgos de TI aplicables cuando la entidad emplea proveedores de servicios externos o internos para algunos aspectos de su entorno de TI (por ejemplo, subcontratando a un tercero para el alojamiento de su entorno de TI o utilizando un centro de servicios compartidos para la gestión centralizada de los procesos de TI en un grupo). Riesgos aplicables derivados de la utilización de TI también se pueden identificar en relación con la ciberseguridad. Es más probable que haya más riesgos derivados de la utilización de TI cuanto mayor sea el volumen o la complejidad de los controles de aplicaciones automatizados y la dirección otorgue una mayor confianza a dichos controles para un procesamiento eficaz de las transacciones o el mantenimiento eficaz de la integridad de la información subyacente.

Evaluación del diseño e implementación de controles identificados en el componente de actividades de control (Ref: Apartado 26(d))

A175. La evaluación del diseño de un control identificado implica la consideración por el auditor de si el control, de manera individual o en combinación con otros controles, es capaz de prevenir de modo eficaz, o de detectar y corregir, incorrecciones materiales (es decir, el objetivo de control).

A176. El auditor determina la implementación de un control estableciendo que el control existe y que la entidad lo está utilizando. No tiene mucho sentido que el auditor evalúe la implementación de un control que no tenga un diseño eficaz. En consecuencia, el auditor evalúa en primer lugar el diseño del control. Un control incorrectamente diseñado puede representar una deficiencia de control.

A177. Los procedimientos de valoración del riesgo para la obtención de evidencia de auditoría sobre el diseño e implementación de controles identificados en el componente de actividades de control pueden incluir:

La indagación ante los empleados de la entidad.
La observación de la aplicación de controles específicos.
La inspección de documentos e informes.

Sin embargo, la indagación como único procedimiento no es suficiente para dichos fines.

A178. El auditor puede esperar, basándose en la experiencia de la auditoría anterior o en los procedimientos de valoración del riesgo del periodo actual, que la dirección no haya diseñado o implementado los controles de un modo eficaz para responder a un riesgo significativo. En esos casos, los procedimientos aplicados para cumplir el requerimiento del apartado 26(d) pueden consistir en determinar que dichos controles no han sido diseñados o implementados de un modo eficaz. Si los resultados de los procedimientos indican que los controles han sido diseñados o implementados recientemente, se requiere que el auditor aplique los procedimientos del apartado 26(b)–(d) a los controles diseñados o implementados recientemente.

A179. Es posible que el auditor concluya que es adecuado comprobar un control eficazmente diseñado e implementado para tener en cuenta su eficacia operativa en el diseño de procedimientos sustantivos. Sin embargo, cuando un control no está diseñado o implementado de un modo eficaz, no tiene ninguna utilidad comprobarlo. Cuando el auditor prevé comprobar un control, la información que obtenga sobre el grado en que el control responde al riesgo o los riesgos de incorrección material es un dato para su valoración del riesgo en las afirmaciones.

A180. Evaluar el diseño y determinar la implementación de controles identificados en el componente de actividades de control no es suficiente para comprobar su eficacia operativa. Sin embargo, en el caso de controles automatizados, el auditor puede planificar comprobar la eficacia operativa de los controles automatizados mediante la identificación y comprobación de controles generales de TI que aseguran el funcionamiento congruente de un control automatizado en vez de aplicar pruebas de eficacia operativa directamente sobre los controles automatizados. La obtención de evidencia de auditoría sobre la implementación de un control manual en un determinado momento no proporciona evidencia de auditoría sobre la eficacia operativa del control en otros momentos del periodo que comprende la auditoría. En la NIA 33046 se describen con más detalle las pruebas sobre la eficacia operativa de los controles, incluidas las pruebas de controles indirectos.

A181. Cuando el auditor no tiene previsto comprobar la eficacia operativa de los controles identificados, el conocimiento del auditor aún le puede ayudar en el diseño de la naturaleza, el momento de realización y la extensión de los procedimientos sustantivos de auditoría que respondan a los correspondientes riesgos de incorrección material.

Ejemplo:

Los resultados de esos procedimientos de valoración del riesgo pueden proporcionar una base para la consideración por el auditor de posibles desviaciones en una población cuando diseñe muestras de auditoría.

Deficiencias de control en el sistema de control interno de la entidad (Ref: Apartado 27)

Ejemplos:

Las circunstancias que pueden ser indicativas de que existe una deficiencia de control significativa incluyen cuestiones como:

La identificación de fraude, cualquiera que sea su magnitud, en el que participe la alta dirección;
Procesos internos identificados que son inadecuados relacionados con las deficiencias de información y comunicación observadas por la auditoría interna;
Deficiencias comunicadas con anterioridad que no hayan sido corregidas por la dirección de modo oportuno;
Que la dirección no haya respondido a riesgos significativos, por ejemplo, no implementando controles sobre riesgos significativos; y
La reexpresión de estados financieros emitidos con anterioridad.

Identificación y valoración del riesgo de incorrección material (Ref: Apartados 28‒37)

Por qué el auditor identifica y valora los riesgos de incorrección material

Identificación de los riesgos de incorrección material (Ref: Apartado 28)

Afirmaciones

Por qué el auditor utiliza afirmaciones

La utilización de afirmaciones

A190. Las afirmaciones utilizadas por el auditor al considerar los distintos tipos de incorrecciones potenciales que pueden existir se pueden clasificar en las categorías siguientes:

Afirmaciones sobre tipos de transacciones y hechos, y la correspondiente información a revelar, durante el periodo objeto de auditoría:
- Ocurrencia: las transacciones y hechos registrados o revelados han ocurrido y dichas transacciones y hechos corresponden a la entidad.
- Integridad: se han registrado todos los hechos y transacciones que tenían que registrarse y se ha incluido toda la información a revelar relacionada que se tenía que incluir en los estados financieros.
- Exactitud: las cantidades y otros datos relativos a las transacciones y hechos se han registrado adecuadamente y la correspondiente información a revelar ha sido adecuadamente medida y descrita.
- Corte de operaciones: las transacciones y los hechos se han registrado en el periodo correcto.
- Clasificación: las transacciones y los hechos se han registrado en las cuentas apropiadas.
- Presentación: las transacciones y hechos han sido adecuadamente agregados o desagregados y están descritos con claridad y la correspondiente información a revelar es pertinente y comprensible en el contexto de los requerimientos del marco de información financiera aplicable.

Afirmaciones sobre saldos contables, y la correspondiente información a revelar, al cierre del periodo:
- Existencia: los activos, pasivos y el patrimonio neto existen.
- Derechos y obligaciones: la entidad posee o controla los derechos de los activos, y los pasivos son obligaciones de la entidad.
- Integridad: se han registrado todos los activos, pasivos y patrimonio neto que tenían que registrarse y se ha incluido toda la información a revelar relacionada que se tenía que incluir en los estados financieros.
- Exactitud, valoración e imputación: los activos, pasivos y el patrimonio neto figuran en los estados financieros por los importes adecuados y cualquier ajuste resultante a la valoración o imputación ha sido adecuadamente registrado, y la correspondiente información a revelar ha sido adecuadamente medida y descrita.
- Clasificación: los activos, pasivos y el patrimonio neto se han registrado en las cuentas apropiadas.
- Presentación: los activos, pasivos y el patrimonio neto han sido adecuadamente agregados o desagregados y están descritos con claridad y la correspondiente información a revelar es pertinente y comprensible en el contexto de los requerimientos del marco de información financiera aplicable.

Ejemplo:

Consideraciones específicas para entidades del sector público

Riesgos de incorrección material en los estados financieros (Ref: Apartados 28 (a) y 30)

Por qué el auditor identifica y valora los riesgos de incorrección material en los estados financieros

Identificación y valoración de los riesgos de incorrección material en los estados financieros

Ejemplo:

Por el resultado de las correspondientes evaluaciones requeridas por los apartados 21(b), 22(b), 24(c) y 25(c); y
Por cualquier deficiencia identificada en los controles de conformidad con el apartado 27.

En concreto, los riesgos en los estados financieros pueden originarse por deficiencias en el entorno de control o por hechos o condiciones externos, como condiciones económicas en declive.

Ejemplo:

Ejemplos:

Como resultado de su evaluación del entorno de control de la entidad, el auditor tiene reservas acerca de la integridad de la dirección de la entidad, las cuales pueden ser tan graves, que le lleven a la conclusión de que el riesgo de que la dirección presente intencionadamente unos estados financieros incorrectos es tal, que no se puede realizar una auditoría.
Como resultado de su evaluación del sistema de información y comunicación de la entidad, el auditor determina que se han gestionado de manera deficiente cambios significativos en el entorno de las TI, con una escasa supervisión por parte de la dirección y de los responsables del gobierno de la entidad. El auditor concluye que tiene reservas significativas acerca del estado y la fiabilidad de los registros contables de la entidad. En esas circunstancias, el auditor puede determinar que es poco probable que se disponga de evidencia de auditoría suficiente y adecuada que sirva de base para una opinión de auditoría no modificada sobre los estados financieros.

Consideraciones específicas para entidades del sector público.

Riesgos de incorrección material en las afirmaciones (Ref: Apartado 28(b))

El Anexo 2 contiene ejemplos, en el contexto de los factores de riesgo inherente, de hechos o condiciones que pueden indicar una susceptibilidad a incorrecciones que pueden ser materiales.

A201. Los riesgos de incorrección material que no se relacionan de manera generalizada con los estados financieros son riesgos de incorrección material en las afirmaciones.

Afirmaciones relevantes y tipos de transacciones, saldos contables e información a revelar significativos (Ref: Apartado 29)

Por qué se determinan las afirmaciones relevantes y los tipos de transacciones, saldos contables e información a revelar significativos.

Herramientas y técnicas automatizadas

A203. El auditor puede utilizar técnicas automatizadas para ayudarle en la identificación de los tipos de transacciones, saldos contables e información a revelar significativos.

Ejemplos:

Se puede analizar la totalidad de una población de transacciones utilizando herramientas y técnicas automatizadas para conocer su naturaleza, fuente, dimensión y volumen. Mediante la aplicación de técnicas automatizadas, el auditor puede, por ejemplo, detectar que una cuenta con saldo cero al final del periodo está formada por numerosas transacciones y anotaciones en el diario registradas a lo largo del tiempo que se compensan, lo que indica que el saldo contable o el tipo de transacciones puede ser significativo (por ejemplo, una cuenta relacionada con el pago de nóminas). Esa misma cuenta puede permitir detectar también reembolsos de gastos a la dirección (y a otros empleados), lo que podría dar lugar a información a revelar significativa debido a que estos pagos se realizan a partes vinculadas.
El auditor puede detectar con más facilidad un tipo significativo de transacciones que no había sido previamente identificada analizando los flujos de toda una población de transacciones de ingresos.

Información a revelar que puede ser significativa

Liquidez y cláusulas del contrato de deuda en el caso de una entidad con una situación financiera delicada.
Hechos o circunstancias que han originado el reconocimiento de una pérdida por deterioro de valor de activos.
Principales fuentes de incertidumbre en la estimación, incluidas las hipótesis sobre el futuro.
La naturaleza de un cambio de política contable y otra información a revelar relevante requerida por el marco de información financiera aplicable cuando, por ejemplo, se espera que nuevos requerimientos de información financiera tengan un impacto significativo sobre la situación financiera y el resultado de la entidad.
Acuerdos de remuneración con pagos basados en acciones, incluida la información sobre el modo en que se determinaron las cantidades registradas, y otra información a revelar relevante.
Partes vinculadas y transacciones entre partes vinculadas.
Análisis de sensibilidad, incluidos los efectos de los cambios en las hipótesis utilizadas por la entidad en sus técnicas de valoración con el fin de permitir a los usuarios entender la incertidumbre subyacente en la medición de un importe registrado o revelado.

Valoración de los riesgos de incorrección material en las afirmaciones

Valoración del riesgo inherente (Ref: Apartados 31‒33)

Valoración de la probabilidad de que ocurra una incorrección y de su magnitud (Ref: Apartado 31) Por qué el auditor valora la probabilidad de que ocurra una incorrección y su magnitud

Espectro de riesgo inherente

Riesgos generalizados de incorrección material en las afirmaciones. (Ref: Apartado 31(b))

Consideraciones específicas para entidades del sector público

Riesgos significativos (Ref: Apartado 32)

Por qué se determinan los riesgos significativos y las implicaciones para la auditoría

Se requiere que se identifiquen controles que responden a riesgos significativos de conformidad con el apartado 26(a)(i), con un requerimiento de evaluar si el control ha sido diseñado de modo eficaz y ha sido implementado de conformidad con el apartado 26(d).
La NIA 330 requiere que los controles que responden a riesgos significativos se comprueben en el periodo actual (cuando el auditor tiene intención de confiar en la eficacia operativa de esos controles) y que se planifiquen y apliquen procedimientos sustantivos que respondan de forma específica a dicho riesgo identificado.
La NIA 330 requiere que el auditor obtenga evidencia de auditoría más convincente cuanto mayor sea la valoración del riesgo realizada por el auditor.
La NIA 260 (Revisada) requiere que exista comunicación con los responsables del gobierno de la entidad acerca de los riesgos significativos identificados por el auditor.
La NIA 701 requiere que el auditor tenga en cuenta los riesgos significativos cuando determine las cuestiones que han requerido atención significativa por su parte, las cuales pueden ser cuestiones clave de la auditoría.
La revisión oportuna por el socio del encargo de la documentación de auditoría, en las etapas adecuadas del desarrollo del encargo, permite que las cuestiones significativas, incluidos los riesgos significativos, se resuelvan oportuna y satisfactoriamente para el socio del encargo, en la fecha del informe de auditoría o con anterioridad a ella.
La NIA 600 requiere una mayor participación del socio del encargo del grupo si el riesgo significativo está relacionado con un componente en una auditoría del grupo y que el equipo del encargo del grupo dirija el trabajo que se requiere en el componente que realice el auditor del componente.

Determinación de los riesgos significativos

Ejemplo:

Normalmente se determinaría que el dinero en efectivo en un supermercado tiene una elevada probabilidad de posible incorrección (debido al riesgo de apropiación indebida del efectivo), sin embargo, la magnitud sería habitualmente muy reducida (debido al pequeño volumen de efectivo que se maneja en las tiendas). La combinación de estos dos factores en el espectro de riesgo inherente probablemente no tendría como resultado que se determine que la existencia de efectivo sea un riesgo significativo.
Una entidad está negociando vender un segmento de negocio. El auditor considera el efecto en el deterioro del fondo de comercio y puede determinar que hay una probabilidad más alta de posible incorrección y una magnitud más alta debido al impacto de los factores de riesgo inherente de subjetividad, incertidumbre y susceptibilidad de sesgo de la dirección y otros factores de riesgo de fraude. Esto puede tener como resultado que se determine que el deterioro del fondo de comercio sea un riesgo significativo.

Transacciones para las que existen múltiples tratamientos contables aceptables por lo que interviene la subjetividad.
Estimaciones contables con una elevada incertidumbre en la estimación o modelos complejos.
Complejidad en la recogida y procesamiento de datos para sustentar saldos contables.
Saldos contables o información a revelar cuantitativa en la que intervienen cálculos complejos.
Principios contables que pueden estar sujetos a diferentes interpretaciones.
Cambios en los negocios de la entidad que suponen cambios contables, por ejemplo, fusiones y adquisiciones.

Riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada (Ref: Apartado 33)

Por qué se requiere que se identifiquen los riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada

Determinación de riesgos para los que los procedimientos sustantivos por sí solos no proporcionan evidencia de auditoría suficiente y adecuada

Es posible que la evidencia de auditoría únicamente esté disponible en formato electrónico, y que su suficiencia y adecuación normalmente dependan de la eficacia de los controles sobre su exactitud e integridad.
La posibilidad de que la información se inicie o altere de manera incorrecta y de que este hecho no se detecte puede ser mayor si los correspondientes controles no están funcionando de manera eficaz.

Ejemplo:

Valoración del riesgo de control (Ref: Apartado 34)

Evaluación de la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo (Ref: Apartado 35)

Por qué el auditor evalúa la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo

La evaluación de la evidencia de auditoría

Escepticismo profesional

Tipos de transacciones, saldos contables e información a revelar que no son significativos pero si son materiales (Ref: Apartado 36)

Ejemplo:

Revisión de la valoración del riesgo (Ref: Apartado 37)

Ejemplo:

Documentación (Ref: Apartado 38)

El apartado 13, que requiere que el auditor diseñe y aplique procedimientos de valoración del riesgo de un modo que no esté sesgado hacia la obtención de evidencia de auditoría que pueda corroborar la existencia de riesgos o hacia la eliminación de evidencia de auditoría que pueda contradecir la existencia de riesgos;
El apartado 17, que requiere una discusión entre los miembros clave del equipo del encargo sobre la aplicación del marco de información financiera aplicable y la susceptibilidad de los estados financieros de la entidad a incorrección material;
Los apartados 19(b) y 20, que requieren que el auditor obtenga un conocimiento de los motivos de cualquier cambio en las políticas contables de la entidad y que evalúe si las políticas contables de la entidad son adecuadas y congruentes con el marco de información financiera aplicable;
Los apartados 21(b), 22(b), 23(b), 24(c), 25(c), 26(d) y 27, que requieren que el auditor evalúe, en base al conocimiento obtenido, si los componentes del sistema de control interno de la entidad son adecuados a las circunstancias de la entidad, considerando la naturaleza y complejidad de la entidad, y que determine si se han identificado una o más deficiencias de control;
El apartado 35, que requiere que el auditor tenga en cuenta toda la evidencia de auditoría obtenida de los procedimientos de valoración del riesgo, tanto si corrobora como si contradice las afirmaciones de la dirección y que evalúe si esa evidencia de auditoría obtenida de los procedimientos de valoración del riesgo proporciona una base adecuada para la identificación y valoración de los riesgos de incorrección material; y
El apartado 36, que requiere que el auditor evalúe, cuando sea aplicable, si la determinación por el auditor de que no existen riesgos de incorrección material para un tipo de transacciones, saldo contable o información a revelar materiales continúa siendo adecuada.

Graduación

A239. El modo en que se deben documentar los requerimientos del apartado 38 debe determinarlo el auditor de acuerdo con su juicio profesional.

Ejemplo:

Anexo 1 (Ref: Apartados A61‒A67)

Consideraciones para el conocimiento de la entidad y su modelo de negocio

En este anexo se explican los objetivos y el alcance del modelo de negocio de la entidad y se proporcionan ejemplos de cuestiones que el auditor puede considerar para el conocimiento de las actividades de la entidad que pueden formar parte del modelo de negocio. El conocimiento por el auditor del modelo de negocio de la entidad, y del modo en que se ve afectado por su estrategia y objetivos de negocio, puede ayudar al auditor en la identificación de los riesgos de negocio que pueden tener un efecto sobre los estados financieros. Además, esto puede ayudar al auditor en la identificación de riesgos de incorrección material.

Objetivos y alcance de un modelo de negocio de una entidad

1. El modelo de negocio de una entidad describe el modo en que la entidad considera, por ejemplo, su estructura organizativa, sus operaciones o el alcance de sus actividades, sus líneas de negocio (incluidos los competidores y los clientes de estos), sus procesos, sus oportunidades de crecimiento, su globalización, los requerimientos normativos y las tecnologías. El modelo de negocio de una entidad describe el modo en que la entidad crea, preserva y capta valor económico o más amplio, para sus grupos de interés.

2. Las estrategias son los enfoques que la dirección prevé utilizar para alcanzar los objetivos de la entidad, incluido el modo en que piensa responder a los riesgos y oportunidades a los que se enfrenta. La dirección cambia las estrategias de la entidad en el transcurso del tiempo para responder a los cambios en sus objetivos y en las circunstancias internas y externas en las que opera.

3. La descripción de un modelo de negocio habitualmente incluye:

El alcance de las actividades de la entidad y el motivo para realizarlas.
La estructura de la entidad y la magnitud de sus operaciones.
Los mercados o los círculos geográficos o demográficos, y partes de la cadena de valor, en los que opera, el modo en que interactúa con esos mercados o círculos (principales productos, segmentos de clientela y métodos de distribución) y la base sobre la que compite.
Los procesos de negocio o los procesos operativos de la entidad (por ejemplo, los procesos de inversión, de financiación y de explotación) empleados en la realización de sus actividades, centrándose en las partes de los procesos de negocio que son importantes para la creación, preservación o captación de valor.
Los recursos (por ejemplo, financieros, humanos, intelectuales, medioambientales y tecnológicos) y otros datos y relaciones (por ejemplo, clientes, competidores, proveedores y empleados) que son necesarios o importantes para su éxito.
El modo en que el modelo de negocio de la entidad integra la utilización de TI en sus interacciones con clientes, proveedores, fuentes de financiación y otros interesados mediante intercomunicaciones de TI y otras tecnologías.

4. Un riesgo de negocio puede tener una consecuencia inmediata sobre el riesgo de incorrección material para tipos de transacciones, saldos contables e información a revelar en las afirmaciones o en los estados financieros. Por ejemplo, el riesgo de negocio originado por una caída significativa de los valores en el mercado inmobiliario puede incrementar el riesgo de incorrección material asociado con la afirmación de valoración en el caso de un prestamista de préstamos a medio plazo con garantía inmobiliaria. No obstante, el mismo riesgo, especialmente si se combina con un empeoramiento importante de la situación económica que incrementa a la vez el riesgo subyacente de pérdidas por insolvencias en sus préstamos, puede tener también una consecuencia a más largo plazo, La exposición neta a pérdidas por insolvencias resultante puede generar dudas significativas sobre la capacidad de la entidad de continuar como empresa en funcionamiento. De ser así, ello podría tener implicaciones en la conclusión de la dirección y del auditor sobre lo adecuado de la utilización por la entidad del principio contable de empresa en funcionamiento y de la determinación de si existe una incertidumbre material. En consecuencia, el considerar si un riesgo de negocio puede producir un riesgo de incorrección material es una cuestión que se valora teniendo en cuenta las circunstancias de la En el Anexo 2 se enumeran ejemplos de hechos y condiciones que pueden dar lugar a la existencia de riesgos de incorrección material.

Actividades de la entidad

5. Algunos ejemplos de cuestiones que el auditor puede considerar para obtener conocimiento de las actividades de la entidad (incluido su modelo de negocio) incluyen:

Operaciones de negocio, tales como:
- Naturaleza de las fuentes de ingresos, productos o servicios, y mercados, incluida la participación en el comercio electrónico, como las ventas por internet y las actividades de marketing.
- Desarrollo de las operaciones (por ejemplo, etapas y métodos de producción, o actividades expuestas a riesgos medioambientales).
- Alianzas, negocios conjuntos y externalización de actividades.
- Dispersión geográfica y segmentación sectorial.
- Ubicación de las instalaciones de producción, almacenes y oficinas, así como ubicación y cantidades de existencias.
- Clientes clave y proveedores importantes de bienes y servicios, acuerdos laborales (incluida la existencia de convenios colectivos, compromisos por pensiones u otros beneficios posteriores a la jubilación, acuerdos de opciones sobre acciones y de bonos de incentivos, así como la regulación gubernamental en relación con las cuestiones laborales).
- Actividades y gastos en investigación y desarrollo.
- Transacciones con partes vinculadas.
Inversiones y actividades de inversión, tales como:
- Adquisiciones o desinversiones previstas o recientemente realizadas.
- Inversiones y disposiciones de valores y préstamos.
- Actividades de inversión en capital.
- Inversiones en entidades que no consolidan, incluidas asociaciones no controladas, negocios conjuntos y entidades con cometido especial no controladas.
Financiación y actividades de financiación, tales como:
- Estructura de propiedad de entidades dependientes y asociadas, incluidas estructuras consolidadas y no consolidadas.
- Estructura de la deuda y sus condiciones, incluidos los acuerdos de financiación fuera de balance y los acuerdos de arrendamiento.
- Beneficiarios efectivos (por ejemplo, nacionales, extranjeros, reputación comercial y experiencia) y partes vinculadas.
- Uso de instrumentos financieros derivados.

Naturaleza de las entidades con cometido especial

6. Una entidad con cometido especial (denominada en algunos casos vehículo con cometido especial) es una entidad generalmente constituida con un propósito limitado y bien definido, como, por ejemplo, llevar a cabo un arrendamiento o una titulización de activos financieros, o desarrollar actividades de investigación y desarrollo. Puede adoptar la forma de una sociedad anónima, fideicomiso, sociedad, cualquiera que sea su forma jurídica, o una entidad no constituida con forma jurídica de sociedad. La entidad por cuenta de la que se ha constituido la entidad con cometido especial puede a menudo transferirle activos (por ejemplo, como parte de una transacción para dar de baja activos financieros), obtener el derecho a utilizar sus activos, o prestarle servicios, a la vez que la entidad con cometido especial puede obtener financiación de otras Como se indica en la NIA 550, en algunas circunstancias, una entidad con cometido especial puede ser una parte vinculada de la entidad.

7. Los marcos de información financiera a menudo establecen condiciones detalladas para delimitar lo que se entiende por control, o circunstancias en las cuales la entidad con cometido especial debería ser tenida en cuenta para la consolidación. La interpretación de los requerimientos de dichos marcos a menudo exige un conocimiento detallado de los acuerdos relevantes en los que participa la entidad con cometido especial.

Anexo 2 (Ref: Apartados 12(f) 19(c), A7‒A8, A85‒A89)

Conocimiento de los factores de riesgo inherente

En este anexo se proporciona una explicación más detallada de los factores de riesgo inherente, así como cuestiones que el auditor puede considerar para el conocimiento y aplicación de los factores de riesgo inherente para la identificación y valoración de riesgos de incorrección material en las afirmaciones.

Los factores de riesgo inherente

1. Los factores de riesgo inherente son características de hechos o condiciones que afectan la susceptibilidad de una afirmación sobre un tipo de transacción, saldo contable o información a revelar a incorrección, debida a fraude o error, antes de considerar los controles. Dichos factores pueden ser cualitativos o cuantitativos e incluyen complejidad, subjetividad, cambio, incertidumbre o susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude72 en la medida en la que afectan al riesgo En la obtención de conocimiento de la entidad y su entorno, y del marco de información financiera aplicable y de las políticas contables de la entidad de conformidad con los apartados 19(a)–(b), el auditor también comprende el modo en que los factores de riesgo inherente afectan a la susceptibilidad de las afirmaciones a incorrección en la preparación de los estados financieros.

2. Algunos de los factores de riesgo inherente relativos a la preparación de información requerida por el marco de información financiera aplicable (denominados en este apartado “información requerida”) incluyen:

Complejidad — se origina, bien por la naturaleza de la información, bien por el modo en que se prepara la información requerida, incluido cuando dichos procesos de preparación son inherentemente más difíciles de aplicar. Por ejemplo, la complejidad puede surgir:
- en el cálculo de provisiones para descuentos de proveedores porque puede ser necesario tener en cuenta distintos términos comerciales con muchos proveedores distintos, o muchos términos contractuales interrelacionados que son, todos ellos, aplicables en el cálculo de los descuentos a abonar; o
- cuando existen muchas fuentes posibles de datos, con diferentes características que se utilizan en la realización de una estimación contable, el procesamiento de esos datos implica muchos pasos interrelacionados y los datos, en consecuencia, son inherentemente más difíciles de identificar, capturar, acceder, comprender o procesar.
Subjetividad — se origina por limitaciones inherentes en la capacidad de preparar la información requerida de un modo objetivo, debido a limitaciones en la disponibilidad de conocimiento o de información, de tal modo que la dirección puede tener que elegir o aplicar un juicio subjetivo acerca del enfoque más adecuado y acerca de la información resultante que se debe incluir en los estados Debido a distintos enfoques en la preparación de la información requerida, se podrían producir diferentes resultados de una adecuada aplicación del marco de información financiera aplicable. A medida que aumentan las limitaciones en el conocimiento o en los datos, aumenta la subjetividad de los juicios que podrían aplicar personas razonablemente conocedoras e independientes, así como la diversidad de los posibles resultados de esos juicios.
Cambio — es el resultado de hechos o condiciones que, a lo largo del tiempo, afectan al negocio de la entidad o a los aspectos económicos, contables, normativos, sectoriales u otros del entorno en el que opera, cuando se reflejan los efectos de esos hechos o condiciones en la información requerida. Dichos hechos o condiciones pueden ocurrir durante el periodo de información financiera o entre periodos. Por ejemplo, el cambio puede ser el resultado de desarrollos en los requerimientos del marco de información financiera aplicable, en la entidad y su modelo de negocio o en el entorno en el que opera la Dicho cambio puede afectar a las hipótesis y juicios de la dirección, incluido cuando está relacionado con la elección de políticas contables por la dirección o el modo en que se realizan las estimaciones contables o se determina la correspondiente información a revelar.
Incertidumbre — surge cuando la información requerida no se puede preparar solo sobre la base de datos suficientemente precisos y completos que se pueden verificar mediante observación En estas circunstancias, es posible que se tenga que adoptar un enfoque que aplica el conocimiento disponible para preparar información utilizando datos observables suficientemente precisos y completos, siempre que estén disponibles y, cuando no lo estén, hipótesis sustentadas por los datos más adecuados de que se disponga. Las restricciones sobre la disponibilidad de conocimiento o datos, que no se encuentran bajo control de la dirección (sujetas, en su caso, a restricciones de coste) son fuentes de incertidumbre y su efecto en la preparación de la información requerida no se puede eliminar. Por ejemplo, la incertidumbre en la estimación surge cuando el importe monetario requerido no se puede determinar con precisión y el resultado de la estimación no se conoce antes de la fecha en que se finalizan los estados financieros.
Susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude en la medida en la que afectan al riesgo inherente — la susceptibilidad de sesgo de la dirección es el resultado de condiciones que originan susceptibilidad de que la dirección no mantenga, intencionadamente o no, la neutralidad en la preparación de la información. El sesgo de la dirección se asocia con frecuencia a determinadas condiciones que tienen la posibilidad de dar lugar a que la dirección no mantenga la neutralidad al aplicar el juicio (indicadores de sesgo potencial de la dirección), lo que podría dar lugar a una incorrección material en la información que, si fuera intencionada, sería fraudulenta. Dichos indicadores incluyen incentivos o presiones en la medida en que afectan al riesgo inherente (por ejemplo, como resultado de una motivación para alcanzar un determinado resultado, tal como un objetivo de beneficio o un ratio de capital) y la oportunidad de no mantener la En los apartados A1 a A5 de la NIA 240 se describen factores relevantes para la susceptibilidad de incorrección debida a fraude bajo la forma de información financiera fraudulenta o de apropiación indebida de activos.

3. Cuando la complejidad es un factor de riesgo inherente, puede existir una necesidad inherente de procesos más complejos para la preparación de la información, y esos procesos pueden ser inherentemente más difíciles de aplicar. Como resultado, su aplicación puede requerir cualificaciones o conocimientos especializados y la utilización de un experto de la dirección.

4. Cuando el juicio de la dirección es más subjetivo, la susceptibilidad de incorrección debida a sesgo de la dirección, intencionado o no, también puede ser mayor. Por ejemplo, puede ser necesaria la aplicación de juicios significativos por la dirección para la realización de estimaciones contables que se han identificado como estimaciones con una elevada incertidumbre en la estimación, y las conclusiones relativas a los métodos, datos e hipótesis pueden reflejar sesgo de la dirección, intencionado o no.

Ejemplos de hechos y condiciones que pueden dar lugar a la existencia de riesgos de incorrección material

5. A continuación, figuran ejemplos de hechos (incluidas transacciones) y de condiciones que pueden indicar la existencia de riesgos de incorrección material en los estados financieros, con respecto a los estados financieros o a las afirmaciones. Los ejemplos mencionados, clasificados por factor de riesgo inherente, abarcan un amplio espectro de hechos y condiciones; sin embargo, no todos son relevantes para todo encargo de auditoría y la lista de ejemplos no es necesariamente exhaustiva. Los hechos y condiciones se han clasificado por el factor de riesgo inherente cuyo efecto puede ser mayor dadas las circunstancias. Es importante tener en cuenta que, debido a las interrelaciones entre los factores de riesgo inherente, los hechos y las condiciones del ejemplo también pueden estar sujetos a otros factores de riesgo inherente en distinto grado o ser afectados por ellos.

Factores de riesgo inherente relevantes:	Ejemplos de hechos o condiciones que pueden indicar la existencia de riesgos de incorrección material en las afirmaciones:
Complejidad	Normativa: Operaciones sujetas a un alto grado de regulación compleja. Modelo de negocio: Existencia de alianzas y de negocios conjuntos complejos. Marco de información financiera aplicable: Mediciones contables que conllevan procesos complejos. Transacciones: Utilización de financiación fuera de balance, entidades con cometido especial y otros acuerdos de financiación complejos.
Subjetividad	Marco de información financiera aplicable: Una amplia variedad de posibles criterios de medición de una estimación contable. Por ejemplo, el reconocimiento por la dirección de la amortización o de los ingresos y gastos de construcción. La elección por la dirección de una técnica o modelo de valoración para un activo no corriente, como inversiones inmobiliarias.
Cambio	Condiciones económicas: Operaciones en regiones económicamente inestables; por ejemplo, en países con significativa devaluación de la moneda o con economías muy inflacionistas. Mercados: Operaciones expuestas a mercados volátiles; por ejemplo, comercio con futuros. Pérdida de clientes: Problemas de empresa en funcionamiento y de liquidez, incluida la pérdida de clientes significativos. Modelo sectorial: Cambios en el sector en el que opera la entidad. Modelo de negocio: Cambios en la cadena de suministros. Desarrollo u oferta de nuevos productos o servicios, o cambios a nuevas líneas de negocio. Geografía: Expansión a nuevas ubicaciones. Estructura de la entidad: Cambios en la entidad, como importantes adquisiciones o reorganizaciones u otros hechos inusuales. Probabilidades de venta de entidades o de segmentos de negocio. Competencia de los recursos humanos: Cambios en personal clave, incluida la salida de ejecutivos clave. TI: Cambios en el entorno de las TI. Instalación de nuevos y significativos sistemas de TI relacionados con la información financiera. Marco de información financiera aplicable: Aplicación de nuevos pronunciamientos contables. Capital: Nuevas restricciones en la disponibilidad de capital y de créditos. Normativa: Inicio de investigaciones sobre las operaciones de la entidad o sobre sus resultados realizadas por organismos reguladores o gubernamentales. Impacto de nueva legislación relacionada con la protección del medioambiente.
Incertidumbre	Preparación de información: Hechos o transacciones que implican una incertidumbre significativa de medición, incluidas las estimaciones contables, y la correspondiente información a revelar. Litigios y pasivos contingentes pendientes; por ejemplo, garantías post- venta, garantías financieras y reparación medioambiental.
Susceptibilidad de incorrección debida a sesgo de la dirección u otros factores de riesgo de fraude en la medida en la que afectan al riesgo inherente	Preparación de información: Oportunidades para que la dirección y los empleados produzcan información financiera fraudulenta, incluida la omisión o la ocultación de información significativa en la información a revelar. Transacciones: Transacciones significativas con partes vinculadas. Número significativo de transacciones no rutinarias o no sistemáticas, incluidas transacciones intragrupo e importantes transacciones generadoras de ingresos al cierre del periodo. Transacciones registradas sobre la base de las intenciones de la dirección; por ejemplo, refinanciación de la deuda, activos mantenidos para la venta y clasificación de los valores negociables.

Otros hechos o condiciones que pueden ser indicativas de la existencia de riesgos de incorrección material en los estados financieros

Falta de personal con las cualificaciones necesarias en el área contable y de información financiera.
Deficiencias de control, en particular en entorno de control, en el proceso de valoración del riesgo y en el proceso de seguimiento y, especialmente, en las no tratadas por la dirección.
Incorrecciones anteriores, historial de errores o un elevado número de ajustes al cierre del periodo.

Anexo 3 (Ref: Apartados 12(m), 21-26, A90–A181)

Conocimiento del sistema de control interno de la entidad

1. El sistema de control interno de la entidad puede estar reflejado en manuales de políticas y procedimientos, en sistemas y formularios, y en la información que contienen, y lo realizan El sistema de control interno de la entidad es implementado por la dirección, por los responsables del gobierno de la entidad y por otro personal en función de la estructura de la entidad. El sistema de control interno de la entidad se puede aplicar, en base a las decisiones de la dirección, de los responsables del gobierno de la entidad o de otro personal, y en el contexto de requerimientos legales y reglamentarios, al modelo operativo de la entidad, a su estructura legal o a una combinación de ambos.

2. En el presente anexo se proporcionan explicaciones más detalladas sobre los componentes del sistema de control interno y sus limitaciones, tal y como se establecen en los apartados 12(m), 21- 26 y A90-A181, en la medida que tienen relación con una auditoría de estados financieros.

3. El sistema de control interno de la entidad incluye aspectos relacionados con los objetivos de información de la entidad, incluidos sus objetivos de información financiera, pero puede también incluir aspectos relacionados con sus objetivos operativos o de cumplimiento, cuando dichos aspectos son relevantes para la información financiera.

Ejemplo:

Los controles sobre el cumplimiento de las disposiciones legales y reglamentarias pueden ser relevantes para la información financiera cuando dichos controles son relevantes para la preparación por la entidad de información a revelar en los estados financieros sobre contingencias.

Componentes del sistema de control interno de la entidad

Entorno de control

4. El entorno de control incluye las funciones de gobierno y de dirección, así como las actitudes, grado de percepción y actuaciones de los responsables del gobierno de la entidad y de la dirección en relación con el sistema de control interno de la entidad y su importancia para ella. El entorno de control establece el tono de una organización, influyendo en la conciencia de control de sus miembros y proporciona un fundamento general para el funcionamiento de los demás componentes del sistema control interno de la entidad.

5. Los responsables del gobierno de la entidad ejercen una influencia sobre la conciencia de control de una entidad, ya que una de sus funciones es la de contrarrestar las presiones a las que está sometida la dirección en relación con la información financiera, las cuales pueden tener su origen en la demanda del mercado o en planes de remuneración. En consecuencia, las siguientes cuestiones influyen en la eficacia del diseño del entorno de control relativo a la participación de los responsables del gobierno de la entidad:

Su independencia con respecto a la dirección y su capacidad para evaluar las acciones de la dirección.
Si comprenden las transacciones comerciales de la entidad.
La medida en que evalúan si los estados financieros se preparan de conformidad con el marco de información financiera aplicable, así como si los estados financieros incluyen la información a revelar adecuada.

6. El entorno de control engloba los siguientes elementos:

Modo en que se ejercen las responsabilidades de la dirección, tales como la creación y el mantenimiento de la cultura de la entidad y la manifestación del compromiso de la dirección con la integridad y los valores éticos La eficacia de los controles no puede situarse por encima de la integridad y los valores éticos de las personas que los crean, administran y realizan su seguimiento. La integridad y el comportamiento ético son el producto de las normas de ética y de comportamiento de la entidad, del modo en que son comunicados (por ejemplo, a través de declaraciones de políticas) y de la manera en que son reforzados en la práctica (por ejemplo, a través de actuaciones de la dirección para eliminar o reducir los incentivos o las tentaciones que pueden llevar al personal a cometer actos deshonestos, ilegales o faltos de ética). La comunicación de las políticas de la entidad relativas a la integridad y a los valores éticos puede incluir la comunicación al personal de normas de comportamiento mediante declaraciones de políticas y de códigos de conducta, así como a través del ejemplo.
Modo en que los responsables del gobierno demuestran su independencia de la dirección y ejercen la supervisión del sistema de control interno de la entidad cuando los responsables del gobierno de la entidad son distintos de la dirección. Los responsables del gobierno de la entidad influyen en la conciencia de control de la Las consideraciones pueden incluir si hay suficientes personas que sean independientes de la dirección y que sean objetivas en sus evaluaciones y en la toma de decisiones; el modo en que los responsables del gobierno de la entidad identifican y aceptan responsabilidades de supervisión y si los responsables del gobierno de la entidad retienen responsabilidades de supervisión del diseño, implementación y funcionamiento del sistema de control interno de la entidad. La importancia de las responsabilidades de los responsables del gobierno de la entidad se reconoce en códigos de conducta y otras disposiciones legales o reglamentarias, u orientaciones creadas en beneficio de los responsables del gobierno de la entidad. Otras responsabilidades de los responsables del gobierno de la entidad incluyen la supervisión del diseño y de la eficacia operativa de los procedimientos de denuncia.
Modo en que la entidad asigna autoridad y responsabilidad para la consecución de sus objetivos. Esto puede incluir consideraciones sobre:
- áreas clave de autoridad y responsabilidad, así como las líneas de información adecuadas;
- políticas relativas a prácticas empresariales adecuadas, conocimiento y experiencia del personal clave, así como los recursos disponibles para el desarrollo de las tareas; y
- políticas y comunicaciones cuyo fin es asegurar que todo el personal comprende los objetivos de la entidad, sabe el modo en que sus actuaciones individuales se interrelacionan y contribuyen a dichos objetivos, y es consciente del modo en que se le exigirá su responsabilidad y su contenido.
Modo en que la entidad atrae, desarrolla y retiene personas competentes en línea con sus objetivos. Esto incluye el modo en que la entidad se asegura de que las personas tienen el conocimiento y las cualificaciones necesarias para realizar las tareas que definen su trabajo, como:
- Las normas de selección de las personas más cualificadas –resaltando la formación, la experiencia laboral anterior, los logros anteriores y la acreditación de integridad y de comportamiento ético.
- Las políticas de formación que comunican las funciones y responsabilidades prospectivas incluidas prácticas, tales como escuelas y seminarios que ilustran los niveles esperados de desempeño y comportamiento; y
- las evaluaciones periódicas del desempeño que dirigen las promociones demuestran el compromiso de la entidad con el ascenso de personal cualificado a niveles más altos de
Modo en que la entidad exige las responsabilidades de las personas para el logro de los objetivos del sistema de control interno. Ello se puede cumplir, por ejemplo, a través de:
- mecanismos para comunicar y exigir a las personas responsables de la ejecución de controles sus responsabilidades y para implementar las medidas correctoras que se requieran;
- el establecimiento de mediciones de desempeño, incentivos y recompensas para los responsables del sistema de control interno de la entidad, incluido el modo en que se evalúan las mediciones y se mantiene su relevancia;
- el modo en que las presiones asociadas con el logro de los objetivos de control tienen un impacto en las responsabilidades de cada persona y en las mediciones de resultados; y
- el modo en que se penaliza a las personas en caso

Lo adecuado de las cuestiones arriba mencionadas será diferente para cada entidad dependiendo de su tamaño, de la complejidad de su estructura y de la naturaleza de sus actividades.

El proceso de valoración del riesgo por la entidad

7. El proceso de valoración del riesgo por la entidad es un proceso iterativo para la identificación y el análisis de riesgos para alcanzar los objetivos de la entidad y es el fundamento del modo en que la dirección o los responsables del gobierno de la entidad determinan que se gestionen los riesgos.

8. Para los fines de la información financiera, el proceso de valoración del riesgo por la entidad incluye el modo en que la dirección identifica los riesgos de negocio relevantes para la preparación de los estados financieros de conformidad con el marco de información financiera aplicable a la entidad, estima su significatividad, valora la probabilidad de que existan y toma decisiones con respecto a las actuaciones necesarias para gestionarlos, así como los resultados de todo ello. Por ejemplo, el proceso de valoración del riesgo por la entidad puede tratar el modo en que la entidad considera la posibilidad de que existan transacciones no registradas o identifica y analiza estimaciones significativas registradas en los estados financieros.

9. Los riesgos relevantes para una información financiera fiable incluyen hechos externos e internos, transacciones o circunstancias que pueden tener lugar y afectar negativamente a la capacidad de la entidad de iniciar, registrar, procesar e informar sobre información financiera congruente con las afirmaciones de la dirección incluidas en los estados financieros. La dirección puede iniciar planes, programas o actuaciones para responder a riesgos específicos o puede decidir asumir un riesgo debido al coste o a otras Los riesgos pueden surgir o variar debido a circunstancias como las siguientes:

Cambios en el entorno operativo. Los cambios en el entorno normativo, económico u operativo pueden tener como resultado cambios en las presiones competitivas y riesgos significativamente distintos.
Nuevo El nuevo personal puede tener una concepción o interpretación diferente del sistema de control interno de la entidad.
Sistema de información nuevo o actualizado. Los cambios rápidos y significativos en el sistema de información pueden modificar el riesgo relativo al sistema de control interno de la
Crecimiento rápido. Una expansión significativa y rápida de las operaciones puede poner a prueba los controles e incrementar el riesgo de que estos dejen de funcionar.
Nueva tecnología. La incorporación de nuevas tecnologías a los procesos productivos o al sistema de información puede cambiar el riesgo asociado al sistema de control interno de la
Nuevos modelos de negocio, productos o Iniciar áreas de negocio o transacciones con las que la entidad tiene poca experiencia puede introducir nuevos riesgos asociados al sistema de control interno de la entidad.
Reestructuraciones corporativas. Las reestructuraciones pueden venir acompañadas de reducciones de plantilla y de cambios en la supervisión y en la segregación de funciones que pueden cambiar el riesgo asociado al sistema de control interno de la entidad.
Expansión de las operaciones en el extranjero. La expansión o la realización de operaciones en el extranjero trae consigo nuevos riesgos, a menudo excepcionales, que pueden afectar al control interno: por ejemplo, riesgos adicionales o diferentes en relación con transacciones en moneda extranjera.
Nuevos pronunciamientos contables. La adopción de nuevos principios contables o la modificación de los principios contables puede tener un efecto en los riesgos de la preparación de estados financieros.
Utilización de TI. Los riesgos relacionados con:
- el mantenimiento de la integridad de los datos y del procesamiento de la información;
- los riesgos para la estrategia de negocio de la entidad que se originan si la estrategia de TI de la entidad no sustenta eficazmente la estrategia de negocio de la entidad; o
- cambios o interrupciones en el entorno de TI de la entidad, cambios de personal de TI o cuando la entidad no realiza las necesarias actualizaciones del entorno de TI o dichas actualizaciones no se realizan oportunamente.

El proceso de la entidad para el seguimiento del sistema de control interno

10. El proceso de la entidad para el seguimiento del sistema de control interno es un proceso continuo para evaluar la eficacia del sistema de control interno de la entidad y adoptar las medidas correctoras necesarias de modo oportuno. El proceso de la entidad para el seguimiento del sistema de control interno puede consistir en actividades continuas, evaluaciones puntuales (realizadas periódicamente) o una combinación de Las actividades de seguimiento continuas a menudo forman parte de las actividades recurrentes normales de una entidad y pueden incluir actividades de gestión y supervisión habituales. Es probable que varíen el alcance y la frecuencia del proceso de la entidad dependiendo de la valoración de los riesgos por la entidad.

11. Los objetivos y el alcance de las funciones de auditoría interna incluyen habitualmente actividades diseñadas para la evaluación o el seguimiento de la eficacia del sistema de control interno de la entidad. El proceso de la entidad para el seguimiento de su sistema de control puede incluir actividades como la revisión por la dirección de si las conciliaciones bancarias se preparan oportunamente, la evaluación por los auditores internos del cumplimiento por el personal de ventas de las políticas de la entidad sobre condiciones de los contratos de venta y la supervisión por el departamento jurídico del cumplimiento de las políticas de la entidad en materia de ética o de práctica El seguimiento se realiza también para asegurarse de que los controles siguen funcionando de manera eficaz con el transcurso del tiempo. Por ejemplo, si la puntualidad y la exactitud de las conciliaciones bancarias no son objeto de seguimiento, es probable que el personal deje de prepararlas.

12. Los controles relacionados con el proceso de la entidad para el seguimiento del sistema de control interno, incluidos los que efectúan el seguimiento de los controles automatizados subyacentes, pueden ser automatizados, manuales o una combinación de Por ejemplo, la entidad puede utilizar controles automatizados de seguimiento en relación con el acceso a determinada tecnología que genera informes de actividades inadecuadas para la dirección, que investiga manualmente las anomalías detectadas.

13. Para distinguir una actividad de seguimiento de un control relacionado con el sistema de información, se consideran los detalles subyacentes de la actividad, especialmente cuando implica algún grado de revisión de supervisión. Las revisiones de supervisión no se clasifican automáticamente como actividades de seguimiento y si una revisión se clasifica como control relacionado con el sistema de información o como una actividad de seguimiento puede ser una cuestión de juicio. Por ejemplo, la finalidad de un control mensual de integridad sería detectar y corregir errores, mientras que una actividad de seguimiento sería preguntar por qué ocurren errores y asignar a la dirección la responsabilidad de arreglar el proceso para prevenir futuros errores. Dicho de manera sencilla, un control relacionado con el sistema de información responde a un riesgo específico, mientras que una actividad de seguimiento evalúa si los controles de cada uno de los componentes del sistema de control interno de la entidad están funcionando como se espera.

14. Las actividades de seguimiento pueden incluir la utilización de información de comunicaciones de terceros que pueden indicar problemas o resaltar áreas que necesitan mejoras. Los clientes implícitamente corroboran los datos de facturación al pagar sus facturas o al reclamar por sus cargos. Además, las autoridades reguladoras se pueden comunicar con la entidad en relación con cuestiones que afectan al funcionamiento del sistema de control interno de la entidad; por ejemplo, comunicaciones relativas a inspecciones por autoridades de supervisión bancaria. Asimismo, la dirección puede considerar que constituyen actividades de seguimiento cualquier comunicación relativa al sistema de control interno de la entidad de los auditores externos.

El sistema de información y comunicación

15. El sistema de información relevante para la preparación de los estados financieros consiste en actividades y políticas, y en registros contables y auxiliares, diseñados y establecidos para:

iniciar, registrar y procesar las transacciones de la entidad (así como los procesos para capturar, procesar y revelar información sobre hechos y condiciones distintas de transacciones), así como para rendir cuentas sobre los activos, pasivos y patrimonio neto correspondientes;
resolver el procesamiento incorrecto de transacciones, por ejemplo, ficheros de espera automatizados y procedimientos aplicados para reclasificar oportunamente las partidas pendientes de aplicación;
procesar y dar cuenta de elusiones del sistema o evitación de los controles;
incorporar información procedente del procesamiento de las transacciones en el mayor (por ejemplo, transferir transacciones acumuladas desde un auxiliar);
capturar y procesar información relevante para la preparación de estados financieros sobre los hechos y las condiciones distintos de las transacciones, tales como la amortización de activos, así como los cambios en la recuperabilidad de los activos; y
asegurar que se recoge, registra, procesa, resume e incluye adecuadamente en los estados financieros la información que el marco de información financiera aplicable requiere que se revele.

16. Los procesos de negocio de una entidad incluyen las actividades diseñadas para:

el desarrollo, la adquisición, la producción, la venta y la distribución de los productos y servicios de una entidad;
asegurar el cumplimiento de las disposiciones legales y reglamentarias y
registrar la información, incluida la información contable y

Los procesos de negocio tienen como resultado transacciones registradas, procesadas y notificadas mediante el sistema de información.

17. La calidad de la información influye en la capacidad de la dirección de tomar las decisiones adecuadas en materia de dirección y control de las actividades de la entidad, así como de preparar informes financieros fiables.

18. La comunicación, que implica proporcionar conocimiento de las funciones y responsabilidades individuales del sistema de control interno de la entidad, puede adoptar la forma de manuales de políticas, manuales contables y de información financiera y circulares. La comunicación también puede ser realizada por vía electrónica, verbal y a través de las actuaciones de la dirección.

19. La comunicación por la entidad de las funciones y responsabilidades y de las cuestiones significativas relacionadas con la información financiera implica proporcionar conocimiento de las funciones y responsabilidades individuales del sistema de control interno de la entidad relevante para la información financiera. Puede comprender cuestiones tales como el grado de conocimiento que tiene el personal sobre el modo en que sus actividades, en el sistema de información, se relacionan con el trabajo de otras personas, así como los medios para informar sobre las excepciones a un nivel superior adecuado dentro de la entidad.

Actividades de control

20. Los controles en el componente de actividades de control se identifican de conformidad con el apartado 26. Dichos controles incluyen controles de procesamiento de la información y controles generales de TI, pudiendo ambos ser de naturaleza manual o automatizada. Cuanto mayor sea la extensión de los controles automatizados, o de los controles en los que participa algún proceso automatizado, que utilice la dirección y en los que confíe en relación con su información financiera, más importante puede llegar a ser para la entidad implementar controles generales de TI que traten el funcionamiento continuo de los aspectos automatizados de los controles de procesamiento de la información. Los controles en el componente de actividades de control pueden concernir a:

Autorizaciones y aprobaciones Una autorización afirma que una transacción es válida (es decir, representa un hecho económico real o pertenece a la política de la entidad). Por lo general, una autorización consiste en una aprobación por un nivel superior de la dirección o en la verificación y la determinación de que la transacción es válida. Por ejemplo, un supervisor aprueba un informe de gastos después de revisar si los gastos parecen razonables y son conformes a las políticas. Un ejemplo de aprobación automatizada se da cuando el coste unitario en una factura se compara automáticamente con el correspondiente coste unitario del pedido con un nivel de tolerancia preestablecido. Las facturas que están dentro del nivel de tolerancia se aprueban automáticamente para su Las facturas que están fuera del nivel de tolerancia se marcan para una investigación adicional.
Conciliaciones — Las conciliaciones comparan dos o más elementos de datos. Si se identifican diferencias, se llevan a cabo actuaciones para que sean acordes. Por lo general, las conciliaciones tratan la integridad o la exactitud del procesamiento de transacciones.
Verificaciones– Las verificaciones comparan dos o más elementos entre sí o comparan un elemento con una política, y probablemente impliquen una actuación de seguimiento cuando los dos elementos no son iguales o el elemento no es congruente con la política. Las verificaciones tratan, por lo general, la integridad, exactitud o validez del procesamiento de
Controles físicos o lógicos, incluidos los que tratan la seguridad de los activos frente al acceso, adquisición, uso o venta no autorizados. Controles que engloban:
- La seguridad física de los activos, incluidas las salvaguardas adecuadas, tales como instalaciones con medidas de seguridad para el acceso a los activos y a los registros.
- La autorización del acceso a los programas informáticos y a los archivos de datos (es decir, acceso lógico).
- El recuento periódico y la comparación con las cantidades mostradas en los registros de control (por ejemplo, la comparación de los recuentos de efectivo, valores y existencias con los registros contables).

El grado en que los controles físicos cuya finalidad es prevenir el robo de los activos son relevantes para la fiabilidad de la preparación de los estados financieros depende de circunstancias tales como si existe una alta susceptibilidad de los activos a la apropiación indebida.

Segregación de funciones. La asignación a diferentes personas de las responsabilidades relativas a la autorización de las transacciones, al registro de las transacciones y al mantenimiento de la custodia de los activos. La finalidad de la segregación de funciones es reducir las oportunidades de que cualquier persona esté en una situación que le permita a la vez cometer y ocultar errores o fraude en el curso normal de sus funciones.

Por ejemplo, un gerente que autoriza ventas a crédito no es responsable de llevar los registros de cuentas a cobrar o de manejar cobros en efectivo. Si una sola persona puede realizar todas estas actividades podría, por ejemplo, crear una venta ficticia que podría no ser detectada. Del mismo modo, los vendedores no deberían poder modificar archivos de precios de los productos o porcentajes de comisión.

En algunos casos la segregación no es práctica, eficaz en términos de coste o factible. Por ejemplo, las entidades de pequeña dimensión y menos complejas pueden no disponer de los recursos suficientes para lograr la segregación ideal, y el coste de contratar personal adicional puede ser prohibitivo. En estas situaciones, es posible que la dirección establezca controles alternativos. En el ejemplo anterior, si el vendedor puede modificar los archivos de precios de los productos, se puede establecer una actividad de control de detección consistente en que personal no relacionado con la función de ventas revise periódicamente si el vendedor ha modificado los precios y, en su caso, en qué circunstancias.

21. Algunos controles pueden depender de la existencia de controles de supervisión adecuados establecidos por la dirección o por los responsables del gobierno de la entidad. Por ejemplo, los controles de autorización pueden delegarse de acuerdo con directrices establecidas, tales como criterios de inversión fijados por los responsables del gobierno de la entidad; por el contrario, las transacciones no rutinarias, tales como adquisiciones o desinversiones importantes, pueden requerir una aprobación específica a un nivel alto, incluso en algunos casos por parte de los accionistas.

Limitaciones del control interno

22. El sistema de control interno de la entidad, por muy eficaz que sea, solo puede proporcionar a la entidad una seguridad razonable del cumplimiento de sus objetivos de información financiera. La probabilidad de que se cumplan se ve afectada por las limitaciones inherentes al control interno. Estas incluyen el hecho de que los juicios humanos a la hora de tomar decisiones pueden ser erróneos y de que el sistema de control interno de la entidad puede dejar de funcionar debido al error Por ejemplo, puede haber un error en el diseño o el cambio de un control interno. Del mismo modo, el funcionamiento de un control puede no ser eficaz, como sucede en el caso de que la información producida para los fines del sistema de control interno de la entidad (por ejemplo, un informe de excepciones) no se utilice de manera eficaz porque la persona responsable de la revisión de la información no comprenda su finalidad o no adopte las medidas adecuadas.

23. Además, se pueden sortear los controles por colusión entre dos o más personas o por la inadecuada elusión de los controles por parte de la dirección. Por ejemplo, la dirección puede suscribir acuerdos paralelos con clientes que alteren los términos y condiciones de los contratos de venta estándar de la entidad, lo que puede producir un reconocimiento de ingresos incorrecto. Asimismo, se pueden eludir o invalidar filtros de una aplicación de TI diseñados para detectar e informar sobre transacciones que superen determinados límites de crédito.

24. Por otro lado, en el diseño e implementación de los controles, la dirección puede realizar juicios sobre la naturaleza y extensión de los controles que decide implementar y sobre la naturaleza y extensión de los riesgos que decide asumir.

Anexo 4 (Ref: Apartados 14(a), 24(a)(ii), A25‒A28, A118)

Consideraciones para el conocimiento de la función de auditoría interna de la entidad

En este anexo se proporcionan consideraciones adicionales para el conocimiento de la función de auditoría interna de una entidad cuando existe dicha función.

Objetivos y alcance de la función de auditoría interna

1. Los objetivos y el alcance de la función de auditoría interna, la naturaleza de sus responsabilidades y su estatus dentro de la organización, así como su autoridad y rendición de cuentas, varían ampliamente y dependen de la dimensión, complejidad y estructura de la entidad y de los requerimientos de la dirección y, cuando proceda, de los responsables del gobierno de la entidad. Es posible que estas cuestiones estén establecidas en un reglamento de la auditoría interna o en sus términos de referencia.

2. Las responsabilidades de la función de auditoría interna pueden incluir la aplicación de procedimientos y la valoración de sus resultados con el fin de proporcionar seguridad a la dirección y a los responsables del gobierno de la entidad en relación con el diseño y efectividad de los procesos de gestión del riesgo, del sistema de control interno de la entidad y de sus procesos de gobierno. En este caso, la función de auditoría interna puede desempeñar un papel importante en el proceso de la entidad para el seguimiento del sistema de control interno de la Sin embargo, es posible que las responsabilidades de la función de auditoría interna se centren en la evaluación de la economía, eficiencia y eficacia de las operaciones, en cuyo caso, el trabajo de la función de auditoría interna puede no estar directamente relacionado con la información financiera de la entidad.

Indagaciones ante la función de auditoría interna

3. En el caso de que la entidad disponga de una función de auditoría interna, las indagaciones ante las personas adecuadas pertenecientes a esa función pueden proporcionar información útil para la obtención por el auditor de conocimiento de la entidad y su entorno, del marco de información financiera aplicable y del sistema de control interno de la entidad, y para la identificación y valoración de riesgos de incorrección material en los estados financieros y en las En la realización de su trabajo, es probable que la función de auditoría interna haya obtenido información acerca de las operaciones y riesgos de negocio de la entidad y que disponga de hallazgos basados en dicho trabajo, tales como deficiencias de control o riesgos identificados, que pueden proporcionar datos valiosos para el conocimiento por el auditor de la entidad y su entorno, del marco de información financiera aplicable, del sistema de control interno de la entidad, y para sus valoraciones del riesgo u otros aspectos de la auditoría. En consecuencia, las indagaciones se realizan con independencia de si el auditor tiene o no tiene previsto utilizar el trabajo de los auditores internos para modificar la naturaleza o el momento de realización, de los procedimientos de auditoría a aplicar, o bien para reducir su extensión74. Otras indagaciones especialmente relevantes pueden tratar de cuestiones que la función de auditoría interna haya comunicado a los responsables del gobierno de la entidad y de los resultados del proceso de valoración del riesgo obtenidos por la propia función.

4. Si, sobre la base de las respuestas a las indagaciones del auditor, parece que existan hallazgos que puedan ser relevantes para la información financiera de la entidad y para la auditoría de los estados financieros, el auditor puede considerar adecuado leer los correspondientes informes de la función de auditoría interna. Como ejemplos de informes de la función de auditoría interna que pueden ser relevantes se incluyen sus documentos de estrategia y planificación, así como los informes preparados para la dirección o los responsables del gobierno de la entidad en los que se describen los hallazgos de las revisiones realizadas por la función de auditoría interna.

5. Adicionalmente, de conformidad con la NIA 24075, si la función de auditoría interna proporciona al auditor información relativa a algún fraude, indicio de fraude o denuncia de fraude, el auditor lo tendrá en cuenta en su identificación del riesgo de incorrección material debida a fraude.

6. Las personas adecuadas dentro de la función de auditoría interna ante los que se realizan las indagaciones son aquéllas que, a juicio del auditor, poseen el conocimiento, experiencia y autoridad adecuados, tales como el responsable de auditoría interna o, según las circunstancias, otras personas que pertenezcan a la función. El auditor también puede considerar adecuado mantener reuniones periódicas con estas personas.

Consideración de la función de auditoría interna para el conocimiento del entorno de control

7. Para el conocimiento del entorno de control, el auditor puede considerar el modo en que la dirección ha respondido a los hallazgos y recomendaciones de la función de auditoría interna en relación con deficiencias identificadas del control relevantes para la preparación de los estados financieros, incluido si dichas respuestas se han implementado y el modo en que lo han sido, así como, si con posterioridad, han sido evaluadas por la función de auditoría interna.

Conocimiento de la función que cumple la función de auditoría interna en el proceso de la entidad para el seguimiento del sistema de control interno

8. Si la naturaleza de las responsabilidades y actividades de obtención de un grado de seguridad de la función de auditoría interna está relacionada con el proceso de información financiera de la entidad, el auditor también puede utilizar el trabajo de la función de auditoría interna para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar directamente por él en la obtención de evidencia de auditoría o bien para reducir su extensión. Puede ser más probable que los auditores puedan utilizar el trabajo de la función de auditoría interna de la entidad cuando se evidencie, por ejemplo, sobre la base de su experiencia de auditorías anteriores o en sus procedimientos de valoración del riesgo, que la entidad cuenta con una función de auditoría interna dotada de recursos adecuados y apropiados en relación con la complejidad de la entidad y la naturaleza de sus operaciones, y que informa directamente a los responsables del gobierno de la entidad.

9. Si sobre la base de su conocimiento preliminar de la función de auditoría interna, el auditor tiene previsto utilizar el trabajo de los auditores internos para modificar la naturaleza o el momento de realización de los procedimientos de auditoría a aplicar, o bien para reducir su extensión es de aplicación la NIA 610 (Revisada 2013).

10. Como se comenta con más detalle en la NIA 610 (Revisada 2013), las actividades de la función de auditoría interna se diferencian de otros controles de seguimiento que puedan ser relevantes para la información financiera, tales como revisiones de información contable de gestión diseñadas para contribuir al modo en que la entidad previene o detecta incorrecciones.

11. El establecimiento de una comunicación con las personas adecuadas dentro de la función de auditoría interna de la entidad al comienzo del encargo y el mantenimiento de esa comunicación durante todo el encargo puede dar lugar a que se comparta la información de manera Crea un entorno en el que el auditor puede ser informado de cuestiones significativas detectadas por la función de auditoría interna cuando es posible que esas cuestiones afecten a su trabajo. En la NIA 200 se trata la importancia de que el auditor planifique y realice la auditoría con escepticismo profesional76, así como que preste una atención especial a la información que pueda cuestionar la fiabilidad de documentos y respuestas a indagaciones que vayan a ser utilizadas como evidencia de auditoría. En consecuencia, la comunicación con la función de auditoría interna durante todo el encargo puede proporcionar oportunidades para que los auditores internos pongan en conocimiento del auditor esa información. El auditor puede entonces tener en cuenta esa información en su identificación y valoración de los riesgos de incorrección material.

Anexo 5 (Ref: Apartados 25 (a), 26(b)‒ (c)), A94, A166‒A172)

Consideraciones para el conocimiento de las Tecnologías de la Información (TI)

En este anexo se proporcionan cuestiones adicionales que el auditor puede considerar para el conocimiento de la utilización de las TI en su sistema de control interno.

Conocimiento de la utilización de tecnologías de la información en los componentes del sistema de control interno de la entidad

1. El sistema de control interno de la entidad contiene elementos manuales y automatizados (es decir, controles manuales y automatizados y otros recursos utilizados en el sistema de control interno de la entidad). La combinación por la entidad de elementos manuales y automatizados varía según la naturaleza y complejidad de la utilización de las TI por la La utilización por la entidad de TI afecta al modo en que la información relevante para la preparación de los estados financieros de conformidad con el marco de información financiera aplicable se procesa, almacena y comunica y, en consecuencia, afecta al modo en que se diseña e implementa el sistema de control interno de la entidad. Cada componente del sistema de control interno de la entidad puede utilizar un cierto nivel de TI.

Por lo general, las TI son beneficiosas para el sistema de control interno de la entidad, al permitirle:

aplicar de manera congruente las normas de negocio predefinidas y realizar cálculos complejos en el procesamiento de grandes volúmenes de transacciones o de datos;
mejorar la oportunidad, disponibilidad y exactitud de la información;
facilitar un análisis adicional de la información;
mejorar la capacidad para hacer un seguimiento del resultado de las actividades de la entidad y de sus políticas y procedimientos;
reducir el riesgo de que los controles se sorteen y
mejorar la capacidad de lograr una segregación de funciones efectiva mediante la implementación de controles de seguridad en las aplicaciones de TI, bases de datos y sistemas operativos;

2. Las características de los elementos manuales o automatizados son relevantes para la identificación y valoración de los riesgos de incorrección material por el auditor y para los procedimientos posteriores de auditoría basados en dicha valoración. Los controles automatizados pueden resultar más fiables que los manuales debido a que no pueden ser fácilmente evitados, ignorados o eludidos y también a que están menos expuestos a simples errores y equivocaciones. Los controles automatizados pueden ser más eficaces que los controles manuales en las siguientes circunstancias:

Un número elevado de transacciones recurrentes, o bien en situaciones en las que los errores que se puedan anticipar o predecir pueden prevenirse, o detectarse y corregirse, mediante la automatización.
Controles en los que los modos específicos de realizar el control se pueden diseñar y automatizar adecuadamente.

Conocimiento de la utilización por la entidad de tecnologías de la información en el sistema de información

(Ref: Apartado 25(a))

3. El sistema de control interno de la entidad puede incluir la utilización de elementos manuales y automatizados que también afecten al modo en que se inician, registran y procesan las transacciones y se informa sobre ellas. En especial, los procedimientos para iniciar, registrar y procesar las transacciones e informar sobre ellas se pueden aplicar mediante las aplicaciones de TI utilizadas por la entidad y por el modo en que las ha configurado. Además, los registros documentados en papel pueden ser sustituidos o complementados por registros en formato digital.

4. En la obtención de conocimiento del entorno de TI relevante para los flujos de transacciones y el procesamiento de la información en el sistema de información, el auditor obtiene información acerca de la naturaleza y las características de las aplicaciones de TI que se utilizan, así como acerca de la infraestructura de TI en las que se sustentan y de las TI. El siguiente cuadro incluye ejemplos de cuestiones que el auditor puede considerar en la obtención de conocimiento del entorno de TI e incluye ejemplos de características habituales de entornos de TI basadas en la complejidad de las aplicaciones de TI utilizadas en el sistema de información de la entidad. No obstante, dichas características son indicativas y pueden diferir dependiendo de la naturaleza de las aplicaciones específicas de TI utilizadas por la entidad.

	Ejemplos de características habituales de:
	Software comercial no complejo	Software comercial o aplicaciones de TI de tamaño medio y moderadamente complejos	Aplicaciones grandes o complejas (por ejemplo, sistemas de planificación de recursos (EPR))
Cuestiones relacionadas con el grado de automatización y la utilización de datos:
Extensión de los procedimientos automatizados para el procesamiento y su complejidad, incluido, si existe procesamiento altamente automatizado, sin soporte papel.	N/A	N/A	Procedimientos automatizados extensos y a menudo complejos
Grado en que la entidad confía en informes generados por el sistema en el procesamiento de la información.	Lógica para la generación automatizada de informes sencilla	Lógica para la generación automatizada de informes relevantes sencilla	Lógica para la generación automatizada de informes compleja; Software de redacción de informes
Forma en que se introducen los datos (es decir, introducción manual, introducción por el cliente o por el proveedor, descarga de archivos)	Introducción manual de datos	Número reducido de introducciones de datos o comunicaciones automatizadas sencillas	Elevado número de introducciones de datos o comunicaciones automatizadas complejas
Modo en que las TI facilitan las comunicaciones entre aplicaciones, bases de datos u otros aspectos del entorno de TI, interna y externamente, según corresponda, mediante comunicaciones automatizadas entre sistemas.	No existen comunicaciones automatizadas (solo introducciones manuales)	Número reducido de introducciones de datos o comunicaciones automatizadas sencillas	Elevado número de introducciones de datos o comunicaciones automatizadas complejas
El volumen y la complejidad de datos en formato digital que son procesados por el sistema de información, incluido si los registros contables u otra información se almacenan en formato digital y la ubicación de los datos almacenados.	Volumen de datos reducido o datos sencillos que se pueden verificar manualmente; datos disponibles localmente	Volumen de datos reducido o datos sencillos	Gran volumen de datos o datos complejos; almacenes de datos; utilización de proveedores de servicios de TI (por ejemplo, almacenamiento por terceros o alojamiento de datos)
Cuestiones relacionadas con las aplicaciones y con la infraestructura de TI:
El tipo de aplicación (por ejemplo, una aplicación comercial poco o nada personalizada o una aplicación altamente personalizada o altamente integrada que pueden haber sido adquiridas y personalizadas o desarrolladas internamente).	Aplicación adquirida poco o nada personalizada	Aplicación adquirida o aplicaciones EPR sencillas heredadas o de gama baja poco o nada personalizadas	Aplicaciones desarrolladas a medida o EPR más complejas significativamente personalizadas
La complejidad de la naturaleza de las aplicaciones de TI y la infraestructura de TI subyacente.	Soluciones pequeñas, para ordenador portátil o basadas en una arquitectura cliente servidor	Ordenador central maduro y estable, arquitectura cliente-servidor pequeña o sencilla, software en la nube	Ordenador central complejo, arquitectura cliente-servidor de gran dimensión o compleja, orientado a la web, infraestructura de servicios en la nube
Si se acude a un tercero para el alojamiento o si se subcontratan las TI	Si las TI se subcontratan, proveedor de servicios competente, maduro y probado (por ejemplo, proveedor de servicios en la nube)	Si las TI se subcontratan, proveedor de servicios competente, maduro y probado (por ejemplo, proveedor de servicios en la nube)	Proveedor de servicios competente, maduro y probado para determinadas aplicaciones y proveedor nuevo o emergente para otras
Si la entidad está utilizando tecnologías emergentes que afectan a su información financiera	No se utilizan tecnologías emergentes	Se utilizan tecnologías emergentes de modo limitado en algunas aplicaciones	Utilización mixta de tecnologías emergentes entre plataformas
Cuestiones relacionadas con los procesos de TI:
· El personal que participa en el mantenimiento del entorno de TI (número y grado de cualificación de los recursos de soporte a las TI que gestionan la seguridad y los cambios al entorno de las TI).	Poco personal con conocimientos limitados de TI para procesar las actualizaciones del proveedor y gestionar el acceso	Número limitado de personas con cualificaciones en TI/dedicado a las TI	Departamentos destinados a TI con personal cualificado, incluidas habilidades de programación
· La complejidad de los procesos para gestionar los derechos de acceso.	Una sola persona con acceso administrativo gestiona los derechos de acceso	Pocas personas con acceso administrativo gestionan los derechos de acceso	Procesos complejos gestionados por el departamento de TI para los derechos de acceso
La complejidad de la seguridad sobre el entorno de las TI, incluida la vulnerabilidad de las aplicaciones de TI, bases de datos y otros aspectos del entorno de TI a los riesgos informáticos, especialmente cuando existen transacciones por la web o transacciones en las que intervienen comunicaciones (interfaces) automatizadas externas.	Acceso sencillo en las propias oficinas sin elementos orientados a la web externos	Algunas aplicaciones basadas en la web con una seguridad principalmente sencilla, basada en funciones	Numerosas plataformas con acceso basado en la web y modelos de seguridad complejos
Si se han realizado cambios en los programas relativos al modo en que se procesa la información y la extensión de dichos cambios durante el periodo	Software comercial sin ningún código fuente instalado	Algunas aplicaciones comerciales sin código fuente y otras aplicaciones maduras con un número reducido de cambios o con cambios sencillos; desarrollo de sistemas tradicionales a lo largo de su vida útil	Cambios nuevos, numerosos o complejos, varios ciclos de desarrollo cada año
La extensión del cambio en el entorno de TI (por ejemplo, nuevos aspectos del entorno de TI o cambios significativos en las aplicaciones de TI o en la infraestructura de TI subyacente).	Cambios limitados a actualizaciones de versiones de software comercial	Los cambios consisten en actualizaciones de versiones de software comercial, actualizaciones de versiones de EPR o mejoras en sistemas heredados	Cambios nuevos, numerosos o complejos, varios ciclos de desarrollo cada año, importante personalización de EPR
· Si se ha realizado una importante conversión de datos durante el periodo y, en su caso, la naturaleza y significatividad de los cambios realizados, y el modo se ha efectuado la conversión.	Actualizaciones de software proporcionadas por el proveedor; La actualización no cuenta con posibilidades de conversión de datos	Actualizaciones menores para aplicaciones de software comercial con una conversión limitada de datos	Actualización importante de la versión, nuevo lanzamiento, cambio de plataforma

Tecnologías emergentes

5. Es posible que las entidades utilicen tecnologías emergentes (por ejemplo, blockchain, robótica o inteligencia artificial) porque dichas tecnologías pueden ofrecer oportunidades específicas para incrementar las eficacias operativas o mejorar la información financiera. Cuando se utilizan tecnologías emergentes en el sistema de información de la entidad relevante para la preparación de los estados financieros, el auditor puede incluir esas tecnologías en la identificación de aplicaciones de TI y otros aspectos del entorno de TI que están sujetos a riesgos derivados de la utilización de TI. Mientras que las tecnologías emergentes pueden parecer más sofisticadas o complejas comparadas con las tecnologías existentes, las responsabilidades del auditor en relación con las aplicaciones de TI y los controles generales de TI identificados de conformidad con el apartado 26(b)–(c) permanecen invariables.

Graduación

6. Es posible que la obtención de conocimiento del entorno de TI de una entidad se pueda realizar con mayor facilidad para una entidad menos compleja que utiliza un software comercial y cuando la entidad no tiene acceso al código fuente para realizar ningún cambio en los programas. Dichas entidades pueden no contar con recursos destinados a las TI pero sí puede haber una persona que tenga asignada la función de administradora para conceder acceso a los empleados o instalar actualizaciones de las aplicaciones de TI proporcionadas por el proveedor. Las cuestiones específicas que puede considerar el auditor para el conocimiento de un paquete de software comercial de contabilidad, que puede ser la única aplicación de TI utilizada por una entidad menos compleja en su sistema de información, pueden incluir:

el grado en que el software está bien implantado y tiene la reputación de ser fiable;
hasta qué punto puede la entidad modificar el código fuente del software para añadir módulos adicionales (es decir, software complementario) al software básico o efectuar cambios directos a los datos;
la naturaleza y la extensión de las modificaciones que se han hecho en el software. Aunque una entidad no pueda modificar el código fuente del software, muchos paquetes de software permiten su configuración (por ejemplo, determinar o corregir parámetros). Esto normalmente no implica modificaciones del código fuente; no obstante, el auditor puede considerar el grado en que la entidad puede configurar el software al considerar la integridad y exactitud de la información producida por el software que se utiliza como evidencia de auditoría; y
el grado en que se puede acceder directamente a los datos relacionados con la preparación de los estados financieros (es decir, acceso directo a la base de datos sin utilizar la aplicación de TI) y el volumen de datos que se procesa. Cuanto mayor sea el volumen de datos, más probable será que la entidad pueda necesitar controles que traten el mantenimiento de la integridad de los datos, lo que puede incluir controles generales de TI sobre el acceso no autorizado y cambios a los datos.

7. Los entornos de TI complejos pueden incluir aplicaciones de TI altamente personalizadas o integradas y puede, en consecuencia, ser necesario un mayor esfuerzo para su conocimiento. Los procesos de información financiera o las aplicaciones de TI pueden estar integradas en otras aplicaciones de TI. Dicha integración puede involucrar aplicaciones de TI que se utilizan en las actividades empresariales de la entidad y que proporcionan información a las aplicaciones de TI relevantes para los flujos de transacciones y el procesamiento de la información en el sistema de información de la En esas circunstancias, determinadas aplicaciones de TI utilizadas en las actividades empresariales de la entidad pueden ser relevantes también para la preparación de los estados financieros. Los entornos de TI complejos pueden también requerir departamentos dedicados a TI que cuenten con procesos de TI estructurados sustentados por personal con habilidades en el desarrollo de software y en el mantenimiento del entorno de TI. En otros casos, la entidad puede emplear proveedores de servicios internos o externos para gestionar algunos aspectos de su entorno de TI o procesos de TI dentro del mismo (por ejemplo, alojamiento por terceros).

Identificación de las aplicaciones de TI sujetas a riesgos derivados de la utilización de TI

8. Mediante el conocimiento de la naturaleza y complejidad del entorno de TI de la entidad, incluida la naturaleza y extensión de los controles de procesamiento de la información, el auditor puede determinar las aplicaciones de TI en las que confía la entidad para procesar con exactitud la información financiera y para mantener su integridad. La identificación de las aplicaciones de TI en las que confía la entidad puede influir en la decisión del auditor de comprobar los controles automatizados en dichas aplicaciones de TI, suponiendo que esos controles automatizados responden a riesgos identificados de incorrección material. Por el contrario, si la entidad no está confiando en una aplicación de TI, es poco probable que los controles automatizados dentro de dicha aplicación sean adecuados o suficientemente precisos a efectos de comprobaciones de eficacia operativa. Los controles automatizados que se puedan identificar de conformidad con el apartado 26(b) pueden incluir, por ejemplo, controles de cálculos o datos de entrada automatizados, de procesamiento y de datos de salida, como el cotejo triple de una orden de compra, albarán del proveedor y factura del proveedor. Cuando el auditor haya identificado controles automatizados y determine mediante la obtención de conocimiento del entorno de TI que la entidad confía en la aplicación de TI que incluye esos controles automatizados, puede ser más probable que el auditor identifique la aplicación de TI como sujeta a riesgos derivados de la utilización de TI.

9. En la consideración de si las aplicaciones de TI para las que el auditor haya identificado controles automatizados están sujetas a riesgos derivados de la utilización de TI, es probable que el auditor considere si, y en qué grado, la entidad podría tener acceso al código fuente que permite a la dirección realizar cambios en los programas a esos controles o en las aplicaciones de TI. El grado en que la entidad realiza cambios en los programas o en la configuración y el grado en que los procesos de TI para esos cambios están formalizados también pueden ser consideraciones relevantes. También es probable que el auditor considere el riesgo de accesos o de cambios en los datos inadecuados.

10. Los informes generados por el sistema que el auditor puede tener previsto utilizar como evidencia de auditoría pueden incluir, por ejemplo, un informe de la antigüedad de las cuentas de clientes o un informe de valoración de las existencias. Para dichos informes, el auditor puede obtener evidencia de auditoría sobre su integridad y exactitud aplicando procedimientos sustantivos a los datos de entrada y de salida del informe. En otros casos, es posible que el auditor tenga previsto comprobar la eficacia operativa de los controles sobre la preparación y el mantenimiento del informe, en cuyo caso es probable que la aplicación de TI que lo genera esté sujeta a riesgos derivados de la utilización de Además de comprobar la integridad y exactitud del informe, el auditor puede tener previsto comprobar la eficacia operativa de los controles generales de TI que responden a los riesgos de cambios inadecuados, o no autorizados, en los programas o cambios de datos en el informe.

11. Algunas aplicaciones de TI pueden incluir una funcionalidad para la redacción de informes, mientras que algunas entidades pueden utilizar también aplicaciones separadas de redacción de informes (es decir, redactores de informes). En esos casos, puede ser necesario que el auditor determine las fuentes de informes generados por el sistema (es decir, la aplicación que prepara el informe y las fuentes de los datos utilizados por el informe) para determinar las aplicaciones de TI sujetas a riesgos derivados de la utilización de TI.

12. Las fuentes de datos utilizadas por las aplicaciones de TI pueden ser bases de datos a las que, por ejemplo, solo se puede acceder a través de la aplicación de TI o por personal de TI con permisos de administrador de base de En otros casos, la fuente de datos puede ser un almacén de datos que puede a su vez ser considerado aplicación de TI sujeta a riesgos derivados de la utilización de TI.

13. Es posible que el auditor haya identificado un riesgo para el cual los procedimientos sustantivos por sí solos no son suficientes debido a la utilización por la entidad de un procesamiento de las transacciones muy automatizado y sin papel, lo que puede involucrar múltiples aplicaciones de TI integradas. En esas circunstancias, los controles identificados por el auditor probablemente incluyan controles automatizados. Además, la entidad puede estar confiando en controles generales de TI para mantener la integridad de las transacciones que se procesan y de otra información que se utiliza en el procesamiento. En esos casos, las aplicaciones de TI que intervienen en el procesamiento y en el almacenamiento de la información probablemente estén sujetas a riesgos por la utilización de TI.

Cálculos realizados por el usuario final

14. A pesar de que la evidencia de auditoría también puede adoptar la forma de datos generados por el sistema que se utilizan en un cálculo realizado en una herramienta de usuario final (por ejemplo, hojas de cálculo o bases de datos sencillas), dichas herramientas no se identifican habitualmente como aplicaciones de TI en el contexto del apartado 26(b). El diseño y la implementación de controles sobre el acceso y los cambios a las herramientas de cálculo realizados por el usuario final puede ser difícil y dichos controles pocas veces son equivalentes a los controles generales de TI o tan eficaces como estos. En cambio, el auditor puede considerar una combinación de controles de procesamiento de la información, teniendo en cuenta el propósito y la complejidad de los cálculos realizados por el usuario final, tales como:

controles de procesamiento de la información relativos al inicio y procesamiento de los datos fuente, incluidos los controles automatizados o los controles de comunicaciones automatizadas entre aplicaciones hasta el punto del que se extraen los datos (es decir, el almacén de datos);
controles para comprobar que la lógica funciona según lo previsto, por ejemplo, controles que “comprueban” la extracción de datos, tal como la conciliación del informe con los datos de los que se obtuvo, comparando datos individuales del informe con los de la fuente y viceversa, y controles para comprobar las fórmulas o macros; o
utilización de herramientas informáticas de validación, que comprueban sistemáticamente las fórmulas o las macros, tales como herramientas de integridad de hojas de cálculo.

Graduación

15. La capacidad de la entidad para mantener la integridad de la información almacenada y procesada en el sistema de información puede variar en función de la complejidad y del volumen de las correspondientes transacciones y demás información. Cuanto mayor sea la complejidad y el volumen de datos que sustenta un tipo de transacciones, saldo contable o información a revelar significativos, menos probable será que la entidad mantenga la integridad de esa información sólo a través de controles de procesamiento de la información (por ejemplo, controles de entradas y salidas o controles de revisión). También se vuelve menos probable que el auditor pueda obtener evidencia de auditoría sobre la integridad y exactitud de esa información sólo a través de procedimientos sustantivos cuando se utiliza como evidencia de auditoría. En algunas circunstancias, cuando es menor el volumen y la complejidad de las transacciones, es posible que la dirección disponga de un control de procesamiento de la información suficiente para verificar la exactitud e integridad de los datos (por ejemplo, se pueden conciliar órdenes de venta individuales procesadas y facturadas con la copia impresa introducida originariamente en la aplicación de TI). Cuando la entidad confía en controles generales de TI para mantener la integridad de cierta información utilizada por las aplicaciones de TI, el auditor puede determinar que las aplicaciones de TI que mantienen esa integridad están sujetas a riesgos derivados de la utilización de TI.

Ejemplos de características de una aplicación de TI que probablemente no esté sujeta a riesgos derivados de la utilización de TI

Ejemplos de características de una aplicación de TI que probablemente esté sujeta a riesgos derivados de la utilización de TI

Aplicaciones independientes.
El volumen de datos (transacciones) no es significativo.
La funcionalidad de la aplicación no es compleja.
Cada transacción está soportada por documentación impresa original.

Las aplicaciones están intercomunicadas.
El volumen de datos (transacciones) es significativo.
La funcionalidad de la aplicación es compleja porque:
- la aplicación inicia automáticamente las transacciones y
- hay una gran variedad de cálculos complejos que subyacen a las entradas automatizadas.

Es probable que la aplicación de TI no esté sujeta a riesgos derivados de la utilización de TI porque:

El volumen de datos no es significativo y, en consecuencia, la dirección no confía en controles generales de TI para procesar o mantener los datos.
La dirección no confía en controles automatizados o en otra funcionalidad automatizada. El auditor no ha identificado controles automatizados de conformidad con el apartado 26(a).
Aunque la dirección utiliza informes generados por el sistema en sus controles, no confía en esos informes. Por el contrario, concilia los informes con la documentación impresa y verifica los cálculos incluidos en los informes.
El auditor comprobará directamente la información producida por la entidad que vaya a ser utilizada como evidencia de auditoría.

La aplicación de TI está sujeta a riesgos derivados de la utilización de TI porque:

La dirección confía en un sistema de aplicaciones para el procesamiento o el mantenimiento de los datos porque el volumen de datos es significativo.
La dirección confía en el sistema de aplicaciones para ejecutar ciertos controles automatizados que el auditor también ha identificado.

Otros aspectos del entorno de TI sujetos a riesgos derivados de la utilización de TI

16. Cuando el auditor identifica aplicaciones de TI sujetas a riesgos derivados de la utilización de TI, es habitual que otros aspectos del entorno de TI estén sujetos a riesgos derivados de la utilización de TI. La infraestructura de TI comprende las bases de datos, el sistema operativo y la red. Las bases de datos almacenan los datos utilizados por las aplicaciones de TI y pueden consistir en numerosas tablas de datos También se puede acceder a los datos de las bases de datos directamente mediante sistemas de TI de gestión de bases de datos o mediante otro personal con permisos de administradores de bases de datos. El sistema operativo es responsable de la gestión de las comunicaciones entre el hardware, las aplicaciones de TI y otro software utilizado en la red. Como tales, se puede acceder a las aplicaciones de TI y a las bases de datos a través del sistema operativo. Se utiliza una red en la infraestructura de TI para transmitir datos y compartir información, recursos y servicios a través de una conexión de comunicaciones común. La red también establece habitualmente una capa de seguridad lógica (facilitada por el sistema operativo) para el acceso a los recursos subyacentes.

17. Cuando el auditor identifica aplicaciones de TI sujetas a riesgos derivados de la utilización de TI, la base o bases de datos en las que se almacenan los datos procesados por una aplicación de TI identificada, habitualmente, se identifica también como tal. Del mismo modo, debido a que la capacidad de funcionar de una aplicación de TI a menudo depende del sistema operativo y a que se puede acceder a las aplicaciones de TI y a las bases de datos desde el sistema operativo, el sistema operativo está habitualmente sujeto a riesgos derivados de la utilización de TI. Se puede identificar la red cuando es un punto central de acceso a las TI identificadas y a las correspondientes bases de datos, cuando una aplicación de TI interactúa con proveedores o con terceros a través de internet o cuando el auditor identifica aplicaciones orientadas a la web de TI.

Identificación de riesgos derivados de la utilización de TI y controles generales de TI

18. Algunos ejemplos de riesgos derivados de la utilización de TI incluyen riesgos relacionados con una confianza indebida en aplicaciones de TI que están procesando datos de manera inexacta, que procesan datos inexactos, o ambos, tales como

- Accesos no autorizados a los datos que pueden producir la destrucción de datos o cambios indebidos de ellos, incluido el registro de transacciones no autorizadas o inexistentes, o un registro inexacto de las transacciones. Pueden producirse riesgos específicos cuando múltiples usuarios acceden a una misma base de datos.
- La posibilidad de que el personal del departamento de TI obtenga permisos de acceso más allá de los necesarios para realizar sus tareas, dejando así de funcionar la segregación de funciones.
- Cambios no autorizados en los datos de los archivos maestros.
- Cambios no autorizados a aplicaciones de TI o a otros aspectos del entorno de TI.
- No realizar cambios necesarios a aplicaciones de TI o a otros aspectos del entorno de TI.
- Intervención manual inadecuada.
- Pérdida potencial de datos o incapacidad de acceder a los datos del modo requerido.

19. La consideración por el auditor del acceso no autorizado puede incluir riesgos relacionados con el acceso no autorizado de personal interno o de terceros (que, a menudo, se denomina riesgos de ciberseguridad). Dichos riesgos pueden no afectar directamente a la información financiera ya que el entorno de IT de la entidad puede comprender también aplicaciones de IT y datos relacionados que tratan necesidades operativas o de cumplimiento. Es importante recordar que los ciber- incidentes ocurren habitualmente en primer lugar a través de las capas del perímetro y de la red interna, que tienden a estar más alejadas de la aplicación de TI, de la base de datos y de los sistemas operativos que afectan a la preparación de los estados En consecuencia, si se ha identificado información acerca de un fallo de seguridad, el auditor, por lo general, considera hasta qué punto ese fallo tenía el potencial de afectar a la información financiera. Si puede haber sido afectada la información financiera, el auditor puede decidir obtener conocimiento y comprobar los correspondientes controles para determinar el posible impacto o el alcance de incorrecciones potenciales materiales en los estados financieros o puede determinar que la entidad ha revelado información suficiente en relación con dicho fallo de seguridad.

20. Además, es posible que las disposiciones legales y reglamentarias que puedan tener un efecto directo o indirecto en los estados financieros de la entidad contengan normas de protección de La consideración del cumplimiento por la entidad de las disposiciones legales y reglamentarias, de conformidad con la NIA 250 (Revisada)78, puede incluir la obtención de conocimiento de los procesos de TI de la entidad y de los controles de TI que la entidad ha implementado para tratar las disposiciones legales o reglamentarias.

21. Los controles generales de TI se implementan para responder a los riesgos derivados de la utilización de TI. En consecuencia, el auditor utiliza el conocimiento obtenido acerca de las aplicaciones de TI identificadas y otros aspectos del entorno de TI y los correspondientes riesgos derivados de la utilización de TI para determinar qué controles generales de TI En algunos casos, una entidad puede utilizar procesos de TI comunes en su entorno de TI o entre ciertas aplicaciones de TI, en cuyo caso se pueden identificar riesgos comunes derivados de la utilización de TI y controles generales de TI.

22. Por lo general, es probable que se identifique un mayor número de controles generales de TI relacionados con aplicaciones de TI y bases de datos que con otros aspectos del entorno de Esto es así porque estos aspectos son los más estrechamente relacionados con el procesamiento y almacenamiento de la información en el sistema de información de la entidad. En la identificación de controles generales de TI, el auditor puede tener en cuenta controles sobre actuaciones tanto de los usuarios finales como del personal de TI de la entidad o de los proveedores de servicios de TI.

23. En el Anexo 6 se proporciona una explicación adicional de la naturaleza de los controles generales de TI que se implementan habitualmente para distintos aspectos del entorno de Se proporcionan además, ejemplos de controles generales de TI para distintos procesos de TI.

Anexo 6 (Ref: Apartados 25(c)(ii), A173‒A174)

Consideraciones para el conocimiento de los controles generales de TI

En este anexo se proporcionan cuestiones adicionales que el auditor puede tener en cuenta para el conocimiento de los controles generales de TI

La naturaleza de los controles generales de TI que se implementan habitualmente para cada uno de los aspectos del entorno de TI:

Aplicaciones

Los controles generales de TI en la capa de aplicación de TI estarán correlacionados con la naturaleza y extensión de las funcionalidades de la aplicación y con las vías de acceso permitidas en la tecnología. Por ejemplo, serán relevantes más controles en el caso de aplicaciones de TI altamente integradas con opciones de seguridad complejas que en una aplicación de TI heredada que apoya un número reducido de saldos contables con métodos de acceso únicamente a través de transacciones.

Base de datos

Los controles generales de TI en la capa de base de datos normalmente responden a los riesgos derivados de la utilización de TI relacionados con actualizaciones no autorizadas de información financiera en la base de datos mediante el acceso directo a las bases de datos o la ejecución de una secuencia de comandos (script) o de un programa.

Sistema operativo

Los controles generales de TI en la capa de sistema operativo normalmente responden a los riesgos derivados de la utilización de TI relacionados con el acceso como administrador, lo que puede facilitar la elusión de otros controles. Esto incluye actuaciones como comprometer las credenciales de otro usuario, añadir usuarios nuevos no autorizados, descargar software malicioso (malware) o ejecutar secuencias de comandos (scripts) u otros programas no autorizados.

Los controles generales de TI en la capa de red normalmente responden a los riesgos derivados de la utilización de TI relacionados con la segmentación de la red, el acceso remoto y la autenticación. Los controles de la red pueden ser relevantes cuando la entidad tiene aplicaciones orientadas a la web que se utilizan en la información financiera. Los controles de red también pueden ser relevantes cuando la entidad tiene relaciones empresariales significativas con socios o subcontrata a terceros, lo que puede aumentar las transmisiones de datos o la necesidad de accesos remotos.

2. Algunos ejemplos de posibles controles generales de TI, clasificados por proceso de TI incluyen:

Proceso para gestionar el acceso:
- Autenticación

Controles que aseguran que un usuario que accede a la aplicación de TI o a otro aspecto del entorno de TI está utilizando sus propias credenciales de acceso (es decir, no está utilizando las credenciales de otro usuario).

- Autorización

Controles que permiten a los usuarios acceder a la información necesaria para sus responsabilidades laborales y nada más, lo que facilita una adecuada segregación de funciones.

- Asignación de permisos

Controles para autorizar nuevos usuarios y modificaciones de los permisos de usuarios existentes.

- Eliminación de permisos

Controles para eliminar el acceso de un usuario al finalizar su contrato o ser transferido.

- Acceso privilegiado

Controles sobre el acceso como administrador o como superusuario

- Revisiones de acceso de usuarios

Controles para volver a certificar o evaluar el acceso de los usuarios en el caso de autorizaciones continuas.

- Controles de configuración de seguridad

Por lo general, cada tecnología tiene parámetros clave de configuración que ayudan a restringir el acceso al entorno.

- Acceso físico

Controles sobre el acceso físico al centro de datos y al hardware ya que el mismo se puede utilizar para eludir otros controles.

Procesos para la gestión de cambios en los programas o al entorno de TI.

- Cambio del proceso de gestión

Controles sobre el proceso para diseñar, programar, probar y migrar los cambios a un entorno de producción (es decir, de usuario final).

- Segregación de funciones sobre la migración de los cambios

Controles que segregan el acceso para ejecutar y migrar los cambios a un entorno de producción.

- Desarrollo de sistemas o adquisición o implementación

Controles sobre el desarrollo inicial de aplicaciones de TI o su implementación (o en relación con otros aspectos del entorno de TI).

- Conversión de datos

Controles sobre la conversión de datos durante el desarrollo, la implementación o actualizaciones al entorno de TI.

Proceso para la gestión de las operaciones de TI.
- Programación de tareas

Controles sobre el acceso a la programación y al inicio de tareas o de programas que pueden influir en la información financiera.

- Seguimiento de tareas

Controles para el seguimiento de tareas o de programas de información financiera para que se ejecuten con éxito.

- Copias de seguridad y recuperación

Controles para asegurar que las copias de seguridad de los datos de información financiera se ejecutan de acuerdo con lo previsto y que dichos datos están disponibles y que se puede acceder a ellos para una recuperación oportuna en el caso de un fallo o de un ataque.

- Detección de intrusiones

Controles para el seguimiento de las vulnerabilidades o de las intrusiones en el entorno de TI.

En el siguiente cuadro se muestran ejemplos de controles generales de TI para responder a riesgos derivados de la utilización de TI, incluidas varias aplicaciones de TI en base a su naturaleza.

Proceso	Riesgos	Controles	Aplicaciones de TI
Proceso de TI	Ejemplos de riesgos derivados de la utilización de TI	Ejemplos de controles generales de TI	Software comercial no complejo – Aplicable (sí/no)	Software comercial o aplicaciones de TI de tamaño medio y moderadamente complejos – Aplicable (sí/no)	Aplicaciones de TI de gran tamaño o complejas (por ejemplo, sistemas EPR) – Aplicable (sí/no)
Gestión de acceso	Permisos de acceso de usuarios: Los usuarios tienen permisos de acceso más allá de los necesarios para realizar sus tareas, lo que puede dar lugar a una incorrecta segregación de funciones.	La dirección aprueba la naturaleza y la extensión de los permisos de acceso de usuarios para nuevos usuarios o modificaciones de los permisos existentes, incluidos perfiles/funciones estándar por aplicaciones, transacciones críticas de información financiera y segregación de funciones.	Sí – en vez de revisiones de acceso de usuarios mencionadas más abajo	Sí	Sí
		El acceso para usuarios que dejan la entidad o son transferidos se elimina o modifica de manera oportuna.	Sí – en vez de revisiones de acceso de usuarios mencionadas más abajo	Sí	Sí
		Se realizan revisiones periódicas de acceso de usuarios	Sí – en vez de controles de asignación/ eliminación mencionados anteriormente	Sí – para determinadas aplicaciones	Sí
		Se realiza un seguimiento de la segregación de funciones y los accesos en conflicto se eliminan o se asocian con controles mitigantes, los cuales se documentan y comprueban	N/A – el sistema no dispone de segregación de funciones	Sí – para determinadas aplicaciones	Sí
		El acceso privilegiado (por ejemplo, administradores de configuración, de datos y de seguridad) se autoriza y se restringe adecuadamente	Sí – probablemente sólo a nivel de aplicación	Sí – a nivel de la aplicación de TI y de determinados niveles del entorno de TI para esa plataforma	Sí – a todos los niveles del entorno de TI para esa plataforma
Gestión de acceso	Acceso directo a los datos: Se realizan directamente cambios inapropiados a los datos financieros por medios distintos a los de las transacciones de la aplicación.	El acceso a los archivos de datos o a los objetos/tablas/dato s de las bases de datos se restringe al personal autorizado, en base a las responsabilidades de su puesto y a la función asignada, y dicho acceso es aprobado por la dirección	N/A	Sí – para determinadas aplicaciones y bases de datos	Sí
Gestión de acceso	Parámetros del sistema: Los sistemas no están adecuadamente configurados o no son adecuadamente actualizados para restringir el acceso al sistema a los usuarios debidamente autorizados y apropiados	El acceso se autentica mediante nombres de usuarios y contraseñas únicos u otros métodos como mecanismo para validar que los usuarios están autorizados para acceder al sistema. Los parámetros de las contraseñas cumplen los estándares de la entidad o del sector (por ejemplo, longitud y complejidad mínimas de la contraseña, periodo de validez, bloqueo de la cuenta)	Sí – autenticación sólo con contraseña	Sí – autenticación por combinación de contraseña y varios factores	Sí
		Los atributos clave de la configuración de seguridad están adecuadamente implementados	N/A – no existen configuraciones técnicas de seguridad	Sí – para determinadas aplicaciones y bases de datos	Sí
Gestión del cambio	Cambios en las aplicaciones Se realizan cambios inapropiados en los sistemas o programas de las aplicaciones que contienen controles automatizados relevantes (es decir, parámetros configurables, algoritmos automatizados, cálculos automatizados y extracción de datos automatizada) o lógica de informes.	Los cambios en las aplicaciones se prueban y aprueban adecuadamente antes de incorporarse al entorno de producción	N/A – verificaría que no hay instalado ningún código fuente	Sí – para software no comercial	Sí
		El acceso para implementar cambios en el entorno de producción de la aplicación está adecuadamente restringido y separado del entorno de desarrollo	N/A	Sí, para software no comercial	Sí
Gestión del cambio	Cambios en las bases de datos: Se realizan cambios inapropiados en la estructura de las bases de datos y en las relaciones entre los datos.	Los cambios en las bases de datos se prueban y aprueban adecuadamente antes de incorporarse al entorno de producción	N/A – no se realizan cambios en las bases de datos en la entidad	Sí – para software no comercial	Sí
Gestión del cambio	Cambios en el software de sistemas: Se realizan cambios inapropiados en el software de sistemas (por ejemplo, sistema operativo, red, software de gestión del cambio, software de control de accesos).	Los cambios en el software de sistemas se prueban y aprueban adecuadamente antes de incorporarse al entorno de producción	N/A – no se realizan cambios en el software de sistemas en la entidad	Sí	Sí
Gestión del cambio	Conversión de datos: Los datos convertidos desde sistemas antiguos o versiones previas introducen errores en los datos si la conversión transfiere datos incompletos, redundantes, obsoletos o inexactos.	La dirección aprueba los resultados de la conversión de datos (por ejemplo, actividades de cuadre y conciliación) de la aplicación o de la estructura de datos antiguas a la nueva aplicación o estructura de datos y lleva a cabo un seguimiento para asegurarse de que la conversión se ejecuta de conformidad con las políticas y procedimientos de conversión establecidos.	N/A – se trata mediante controles manuales	Sí	Sí
Operaciones de TI	Red: La red no impide adecuadamente a los usuarios no autorizados acceder indebidamente a los sistemas de información.	El acceso se autentica mediante nombres de usuarios y contraseñas únicos u otros métodos como mecanismo para validar que los usuarios están autorizados para acceder al sistema. Los parámetros de las contraseñas cumplen los estándares de la entidad o las políticas y estándares profesionales (por ejemplo, longitud y complejidad mínimas de la contraseña, periodo de validez, bloqueo de la cuenta)	N/A – no existe un método de autenticación separado en la red	Sí	Sí
		La red está estructurada para separar las aplicaciones orientadas a la web de la red interna, donde se accede a las aplicaciones ICFR (Control interno sobre la información financiera) relevantes.	N/A – no se emplea separación de la red	Sí – con juicio	Sí – con juicio
		Periódicamente el equipo de gestión de la red ejecuta inspecciones de la vulnerabilidad del perímetro de la red e investiga asimismo posibles vulnerabilidades	N/A	Sí – con juicio	Sí – con juicio
		Periódicamente se generan alertas para proporcionar notificaciones de amenazas identificadas por los sistemas detección de intrusiones Estas amenazas son investigadas por el equipo de gestión de la red	N/A	Sí – con juicio	Sí – con juicio
		Se implementan controles para restringir el acceso a la Red Privada Virtual (RPV) a usuarios autorizados y apropiados	N/A – no hay RPV	Sí – con juicio	Sí – con juicio
Operaciones de TI	Copias de seguridad de datos y recuperación: No se puede recuperar o acceder de modo oportuno a los datos financieros cuando se produce una pérdida de datos.	Se realiza una copia de seguridad de los datos financieros de manera periódica de acuerdo con un calendario fijado	N/A – se confía en copias de seguridad manuales por el equipo financiero	SI	SI
Operaciones de TI	Programación de tareas: Los sistemas de producción, o las tareas tienen como resultado datos inexactos, incompletos o un procesamiento no autorizado de los datos.	Sólo los usuarios autorizados tienen acceso para actualizar las tareas por lotes (incluidas las tareas de comunicación) en el software de programación de tareas	N/A – no se realizan tareas por lotes	Sí – para determinadas aplicaciones	Sí
		Se realiza un seguimiento de los sistemas, programas o tareas críticos y se corrigen los errores de procesamiento para asegurar el éxito.	N/A – no se realiza seguimiento de tareas	Sí – para determinadas aplicaciones	Sí