El Reglamento de Resiliencia Operativa Digital (DORA) es un reglamento de la UE que establece requisitos uniformes para la gestión del riesgo de TIC en el sector financiero.

Tabla de contenidos

Qué es DORA y por qué afecta a su auditoría

El Reglamento de Resiliencia Operativa Digital (DORA) es un reglamento de la UE que establece requisitos uniformes para la gestión del riesgo de TIC en el sector financiero. Aplica desde el 17 de enero de 2025 a bancos, aseguradoras, empresas de inversión, gestoras de fondos, proveedores de servicios de pago y otros participantes del mercado financiero.
DORA no cambia sus obligaciones como auditor financiero. Su responsabilidad sigue siendo emitir una opinión sobre los estados financieros bajo NIA-ES 700. Sin embargo, los riesgos operativos que DORA pretende mitigar (ciberataques, fallos de sistemas, interrupciones de proveedores críticos de TIC) pueden causar incorrecciones materiales en los estados financieros.

Por qué importa para la auditoría financiera


Los sistemas de TIC procesan, registran y presentan la mayoría de las transacciones financieras de sus clientes del sector financiero. Un fallo en los controles automatizados, una interrupción prolongada del sistema o un ciberataque puede resultar en:
La NIA-ES 315.13 requiere que identifique estos riesgos durante la evaluación del riesgo. La NIA-ES 330.8 requiere que diseñe procedimientos para responder a los riesgos identificados.

Entidades sujetas a DORA en España


El Banco de España supervisa el cumplimiento de DORA para:
La CNMV supervisa fondos de inversión alternativos y sus gestoras. La Dirección General de Seguros supervisa las entidades aseguradoras.

  • Transacciones no registradas o registradas incorrectamente
  • Pérdida de integridad en los datos financieros
  • Interrupciones que impiden el cierre contable
  • Pérdidas operativas materiales que requieren provisiones
  • Fallos en controles internos sobre la información financiera
  • Entidades de crédito (bancos, cajas de ahorros, cooperativas de crédito)
  • Empresas de servicios de inversión y entidades gestoras de fondos
  • Entidades de pago y de dinero electrónico
  • Empresas de seguros y reaseguros

Marco regulatorio: DORA vs NIA-ES 315

Alcance de DORA


DORA establece cinco pilares de resiliencia operativa digital:
El cumplimiento de DORA es responsabilidad de la dirección de la entidad financiera. Los supervisores financieros (Banco de España, CNMV) verifican el cumplimiento como parte de su función supervisora.

Su responsabilidad bajo NIA-ES 315


Como auditor financiero, su responsabilidad bajo NIA-ES 315 es diferente y más limitada. Debe:
NIA-ES 315.13: Obtener conocimiento de los controles internos relevantes para la auditoría, incluidos los controles sobre los sistemas de información.
NIA-ES 315.20: Evaluar el diseño de los controles y determinar si se han implementado.
NIA-ES 315.25: Identificar y evaluar los riesgos de incorreción material a nivel de aseveración.
No debe evaluar el cumplimiento de DORA. Debe evaluar si los riesgos de TIC podrían causar incorrecciones materiales en los estados financieros.

Dónde se superponen


Los controles de TIC que DORA requiere pueden ser relevantes para la auditoría financiera si:
El trabajo de cumplimiento DORA del cliente puede proporcionar evidencia útil sobre estos controles, pero no sustituye su evaluación bajo NIA-ES 315.

  • Gestión del riesgo de TIC (Artículos 5-15): Marco de gobernanza, políticas y procedimientos
  • Gestión de incidentes (Artículos 16-23): Detección, respuesta y notificación de incidentes
  • Pruebas de resiliencia operativa digital (Artículos 24-27): Pruebas de vulnerabilidad y resistencia
  • Gestión del riesgo de terceros proveedores (Artículos 28-43): Supervisión de proveedores críticos de TIC
  • Intercambio de información (Artículos 44-49): Compartir información sobre amenazas y vulnerabilidades
  • Procesan transacciones financieras significativas
  • Mantienen registros contables críticos
  • Respaldan controles internos sobre la información financiera
  • Su fallo podría resultar en incorrecciones materiales

Evaluación del riesgo de TIC bajo NIA-ES 315

Paso 1: Identificar sistemas de TIC relevantes para la auditoría


La NIA-ES 315.A74 explica que los controles sobre los sistemas de información son relevantes cuando procesan transacciones financieras significativas o mantienen información financiera importante.
Para clientes sujetos a DORA, identifique:
Sistemas críticos de negocio:
Infraestructura de TIC subyacente:

Paso 2: Evaluar controles de TIC relevantes


Bajo NIA-ES 315.A77, debe evaluar controles generales de TIC y controles de aplicación. Para clientes DORA, centre la atención en:
Controles generales de TIC:
Controles de aplicación:

Paso 3: Identificar riesgos de incorreción material


Los riesgos de TIC comunes que pueden resultar en incorrecciones materiales incluyen:
Riesgos de procesamiento de transacciones:
Riesgos de integridad de datos:
Riesgos de disponibilidad:

Paso 4: Obtener evidencia de auditoría


Para obtener evidencia sobre controles de TIC sin duplicar el trabajo DORA:
Revise la documentación DORA existente:
Realice consultas específicas:
Considere usar el trabajo de especialistas:
  • Sistemas de procesamiento de transacciones (pagos, negociación, liquidación)
  • Sistemas de gestión de riesgos y límites
  • Sistemas de contabilidad y reportes regulatorios
  • Sistemas de gestión de clientes y contratos
  • Centros de datos y sistemas de backup
  • Redes y conectividad
  • Sistemas de seguridad (autenticación, autorización, cifrado)
  • Sistemas de monitoreo y logging
  • Gestión del acceso y autenticación de usuarios
  • Gestión de cambios en sistemas y datos
  • Operaciones de TIC (backup, recuperación, monitoreo)
  • Seguridad física y lógica
  • Validación de entrada de datos
  • Procesamiento completo y exacto de transacciones
  • Autorización adecuada de transacciones
  • Mantenimiento de la integridad de los datos
  • Transacciones no autorizadas o fraudulentas
  • Procesamiento incompleto o inexacto
  • Duplicación o omisión de transacciones
  • Errores en cálculos automatizados
  • Corrupción o pérdida de datos financieros
  • Modificaciones no autorizadas a registros
  • Fallos en controles de conciliación automatizada
  • Errores en interfaces entre sistemas
  • Interrupciones que impiden el procesamiento de transacciones críticas
  • Fallos que impiden el cierre contable oportuno
  • Pérdida de capacidad para generar reportes financieros
  • Interrupciones prolongadas que afectan la continuidad del negocio
  • Marco de gobernanza del riesgo de TIC
  • Políticas y procedimientos de TIC
  • Registros de incidentes y su resolución
  • Resultados de pruebas de resiliencia
  • Consulte al responsable de TIC sobre controles relevantes para la auditoría
  • Consulte al responsable de riesgos sobre la evaluación del riesgo de TIC
  • Consulte al auditor interno sobre pruebas de controles de TIC
  • Si los controles de TIC son complejos, considere usar un especialista en TIC (NIA-ES 620)
  • Revise el trabajo de auditores de TIC externos si existe
  • Coordine con especialistas en ciberseguridad del cliente

Ejemplo práctico: Auditoría de una gestora de fondos

Fondo Mediterráneo Gestión SGIIC S.A. es una gestora de fondos de inversión con sede en Valencia que administra €2,1 millardos en activos. La entidad está sujeta a DORA desde enero 2025 y usa múltiples sistemas de TIC para procesar inversiones, valorar activos y generar reportes.

Contexto del encargo


Materialidad global: €420.000 (0,2% de activos gestionados)
Materialidad de ejecución: €315.000
Año fiscal: termina 31 diciembre 2024
Fecha de emisión del informe: prevista para 28 febrero 2025

Paso 1: Identificación de sistemas críticos


Durante las consultas iniciales, identificamos estos sistemas de TIC relevantes para la auditoría:
Nota de documentación: Obtenido listado completo de sistemas de TIC del responsable de sistemas, validado con el director general.

Paso 2: Evaluación de controles de TIC


Controles generales evaluados:
Nota de documentación: Controles generales operan con eficacia. No identificadas debilidades significativas.
Controles de aplicación evaluados:
Nota de documentación: Controles de aplicación diseñados apropiadamente. Probado funcionamiento para muestra de transacciones.

Paso 3: Identificación de riesgos


Riesgos identificados y evaluados:
Nota de documentación: Riesgo de valoración evaluado como significativo. Riesgos de autorización y disponibilidad evaluados como bajos dado diseño sólido de controles.

Paso 4: Respuesta de auditoría


Procedimientos diseñados:
Nota de documentación: Procedimientos ejecutados sin excepciones significativas. Controles operan con eficacia durante período auditado.
Conclusión del caso: Los controles de TIC de Fondo Mediterráneo Gestión proporcionan seguridad razonable sobre la integridad de transacciones financieras. No identificamos debilidades materiales que requieran comunicación bajo NIA-ES 265.

  • Sistema de gestión de carteras (PMS): Procesa todas las órdenes de compra/venta de valores
  • Sistema de valoración: Calcula diariamente el valor liquidativo de 47 fondos
  • Sistema contable: Registra todas las transacciones financieras y genera estados financieros
  • Sistema de gestión de riesgos: Monitorea límites de inversión y exposiciones
  • Gestión de acceso: Revisión de matriz de accesos, procedimientos de alta/baja de usuarios
  • Gestión de cambios: Documentación de cambios en sistemas durante 2024, aprobaciones requeridas
  • Backup y recuperación: Política de backup diario, pruebas de recuperación trimestrales
  • Monitoreo: Sistemas de alerta automática, logs de actividad conservados 12 meses
  • Validación de órdenes: Sistema PMS requiere doble autorización para órdenes >€500.000
  • Conciliación automatizada: Reconciliación diaria entre PMS y contabilidad, excepciones investigadas
  • Cálculo del valor liquidativo: Validación automática contra fuentes de precios, revisión manual diaria
  • Límites de inversión: Alertas automáticas cuando se acerca a límites CNMV, bloqueo de órdenes excesivas
  • Riesgo de valoración incorrecta: Sistema de valoración procesa €2,1 millardos diarios. Fallo podría resultar en incorrecciones materiales en el valor de activos gestionados.
  • Riesgo de órdenes no autorizadas: PMS procesa promedio 840 órdenes mensuales por €180 millones. Controles de autorización deficientes podrían permitir transacciones fraudulentas.
  • Riesgo de interrupción del sistema: Fallo del PMS durante horario de mercado podría impedir ejecución de órdenes críticas, resultando en pérdidas de oportunidad.
  • Pruebas de controles: Selección de 25 órdenes ejecutadas, verificación de autorización apropiada y procesamiento completo
  • Procedimientos sustantivos: Recálculo independiente del valor liquidativo para 5 fondos en fecha de cierre
  • Pruebas de conciliación: Verificación de reconciliación entre PMS y contabilidad para diciembre 2024

Lista de verificación práctica

  • Identifique entidades sujetas a DORA: Confirme si su cliente está dentro del alcance del reglamento. Si aplica, obtenga copia del marco de gestión del riesgo de TIC requerido por DORA Artículo 6.
  • Mapee sistemas críticos de TIC: Documente sistemas que procesan transacciones financieras significativas. Para cada sistema, identifique volumen de transacciones, tipos de datos procesados y controles relevantes bajo NIA-ES 315.A77.
  • Evalúe controles generales: Revise gestión de acceso, gestión de cambios, backup/recuperación y monitoreo. Obtenga evidencia del diseño e aplicación según NIA-ES 315.20.
  • Evalúe controles de aplicación: Para sistemas que procesan transacciones financieras, evalúe validación de entrada, procesamiento completo, autorización adecuada y mantenimiento de integridad de datos.
  • Identifique riesgos de incorreción material: Evalúe si fallos en controles de TIC podrían resultar en incorrecciones materiales. Documente evaluación del riesgo bajo NIA-ES 315.25.
  • Diseñe respuesta de auditoría apropiada: Para riesgos importantes identificados, diseñe pruebas de controles y/o procedimientos sustantivos bajo NIA-ES 330.7. La respuesta debe ser proporcional al riesgo evaluado.

Errores frecuentes

  • Evaluar cumplimiento DORA en lugar de riesgos de auditoría: Su responsabilidad es evaluar riesgos de incorreción material, no verificar cumplimiento normativo. Centre la evaluación en controles relevantes para los estados financieros.
  • Depender únicamente del trabajo DORA del cliente: La documentación de cumplimiento DORA puede proporcionar evidencia útil, pero no sustituye su evaluación independiente bajo NIA-ES 315. Realice su propia evaluación de controles relevantes para la auditoría.
  • No considerar especialistas cuando es apropiado: Si los sistemas de TIC son complejos o los controles son técnicos, considere usar un especialista bajo NIA-ES 620. No intente evaluar controles técnicos fuera de su competencia profesional.

Contenido relacionado

  • Evaluación del riesgo bajo NIA-ES 315: Guía completa para identificar y evaluar riesgos de incorreción material, incluidos riesgos de TIC.
  • Calculadora de materialidad: Herramienta para calcular materialidad global y de ejecución, útil para determinar si riesgos de TIC podrían resultar en incorrecciones materiales.
  • Controles internos sobre información financiera: Marco para evaluar controles internos relevantes para la auditoría, incluidos controles de TIC bajo NIA-ES 315.

Recibe información práctica de auditoría, semanalmente.

Sin teoría de examen. Solo lo que hace que las auditorías funcionen más rápido.

Más de 290 guías publicadas20 herramientas gratuitasCreado por un auditor en ejercicio

Sin spam. Somos auditores, no vendedores.