Artículo A166. NIA-ES 315 — Párrafo A166

El conocimiento de los riesgos derivados de la utilización de TI y de los controles
implementados por la entidad para responder a esos riesgos puede afectar a:
• la decisión del auditor sobre si probar la eficacia operativa de los controles para
responder a los riesgos identificados de incorrección material en los estados
financieros;

NIA 402, Consideraciones de auditoría relativas a una entidad que utiliza una organización de servicios.

55 NIA-ES 315 (REVISADA 2019)
 IDENTIFICACIÓN Y VALORACIÓN DEL RIESGO DE INCORRECCIÓN MATERIAL

Ejemplo:
Cuando los controles generales de TI no están diseñados de un modo eficaz o no
están debidamente implementados para responder a los riesgos derivados de la
utilización de TI (por ejemplo, los controles no previenen o detectan cambios no
autorizados en los programas o accesos no autorizados a aplicaciones de TI), esto
puede influir en la decisión del auditor de confiar en controles automatizados en
la aplicación de TI afectada.
• la valoración por el auditor del riesgo de control en las afirmaciones;
Ejemplo:
La continuidad de la eficacia operativa de un control de procesamiento de la
información puede depender de determinados controles generales de TI que
previenen o detectan cambios no autorizados en el programa de TI de control de
procesamiento de la información (es decir, controles sobre cambios en los
programas de la correspondiente aplicación de TI). En tales circunstancias, la
esperada eficacia operativa del control general de TI (o su ausencia) puede influir
en la valoración por el auditor del riesgo de control (por ejemplo, el riesgo de
control puede ser más elevado cuando se espera que dichos controles generales
de TI sean ineficaces o si el auditor no tiene previsto probar los controles generales
de TI).
• la estrategia del auditor para probar la información producida por la entidad
generada por las aplicaciones de TI de la entidad o que involucra información
originada por las mismas;
Ejemplo:
Cuando la información producida por la entidad que vaya a ser utilizada como
evidencia de auditoría sea generada por aplicaciones de TI, el auditor puede
determinar probar controles sobre informes generados por el sistema, incluida la
identificación y comprobación de los controles generales de TI que responden a
los riesgos de cambios inapropiados o no autorizados en los programas o cambios
directos de datos en los informes.
• la valoración por el auditor del riesgo inherente en las afirmaciones; o
Ejemplo:
Cuando hay cambios significativos y extensos en los programas de una aplicación
de TI para tratar requerimientos de información nuevos o revisados del marco de
información financiera aplicable, puede ser un indicio de la complejidad de los
nuevos requerimientos y de su efecto estados financieros de la entidad. Cuando
se producen tales cambios en los programas o en los datos, es probable que la
aplicación de TI esté sujeta a riesgos derivados de la utilización de TI.
• el diseño de procedimientos posteriores de auditoría.
Ejemplo:
Si los controles de procesamiento de la información dependen de los controles
generales de TI, es posible que el auditor determine comprobar la eficacia
operativa de los controles generales de TI, para lo que será necesario diseñar

NIA-ES 315 (REVISADA 2019) 56
 IDENTIFICACIÓN Y VALORACIÓN DEL RIESGO DE INCORRECCIÓN MATERIAL

pruebas de controles para esos controles generales. Si, en las mismas
circunstancias, el auditor determina no comprobar la eficacia operativa de los
controles generales de TI o se espera que dichos controles generales sean
ineficaces, los riesgos relacionados derivados de la utilización de TI
probablemente tengan que ser tratados mediante el diseño de procedimientos
sustantivos. No obstante, es posible que los riesgos derivados de la utilización de
TI no puedan ser tratados cuando están relacionadas con riesgos para los cuales
los procedimientos sustantivos por sí solos no proporcionan evidencia de
auditoría suficiente y adecuada. En esas circunstancias, es posible que el auditor
deba considerar las implicaciones en la opinión del auditor.
Identificación de las aplicaciones sujetas a riesgos derivados de la utilización de TI