NBC - NORMAS BRASILEIRAS DE CONTABILIDADE
NBC-TO - NORMAS DE ASSEGURAÇÃO DE INFORMAÇÃO NÃO HISTÓRICA
NBC TO 3402 - RELATÓRIOS DE ASSEGURAÇÃO DE CONTROLES EM ORGANIZAÇÃO PRESTADORA DE SERVIÇOS - [PDF]
SUMÁRIO:
NOTA DO COSIFE: A partir de 01/06/2019 passou a vigorar a NBC-PG-01 (Código de Ética Profissional do Contador)
1. Esta Norma de Asseguração (NBC TO) trata dos trabalhos de asseguração executados por contador que atua na prática da auditoria independente para fornecer relatório para ser utilizado por entidades usuárias e seus auditores sobre os controles em uma organização prestadora de serviços que presta serviço a essas entidades usuárias que é provavelmente relevante para o controle interno dessas entidades por estar relacionado com relatórios financeiros. Ela complementa a NBC TA 402 - Considerações de Auditoria para a Entidade que Utiliza Organização Prestadora de Serviços, visto que relatórios elaborados de acordo com esta Norma são capazes de fornecer evidência apropriada segundo a NBC TA 402 (ver item A1).
2. A NBC-TA - ESTRUTURA CONCEITUAL - Estrutura Conceitual para Trabalhos de Asseguração estabelece que um trabalho de asseguração pode ser de “asseguração razoável” ou de “asseguração limitada”, que por sua vez pode ser um trabalho “baseado em afirmações” ou de “relatório direto” e que a conclusão do relatório de asseguração para trabalho baseado em afirmações pode ser redigida em termos da afirmação da parte responsável ou diretamente em termos do objeto e dos critérios (ver itens 10, 11 e 57 da NBC-TA-ESTRUTURA CONCEITUAL).
Esta Norma trata somente de trabalhos baseados em afirmações que proporcionam segurança razoável, cuja conclusão do relatório de asseguração redigida diretamente em termos do objeto e dos critérios (ver itens 13 e 52(k)).
3. Esta Norma se aplica somente quando a organização prestadora de serviços é responsável pelo adequado projeto de controles, ou consegue de outra forma fazer uma afirmação sobre eles. Esta Norma não trata de trabalhos de asseguração com a finalidade de:
(a) emitir relatório sobre se os controles na organização prestadora de serviços operaram conforme descrito; ou
(b) emitir relatório apenas sobre os controles na organização prestadora de serviços que não aqueles relacionados com um serviço que, provavelmente, seja relevante para o controle interno das entidades usuárias por estar relacionado com relatórios financeiros (por exemplo, controles que afetam a produção ou o controle de qualidade de entidades usuárias).
Entretanto, esta Norma fornece orientação para esses trabalhos executados de acordo com a NBC-TO-3000 - Trabalho de Asseguração Diferente de Auditoria e Revisão que não sejam auditorias ou revisões de informações financeiras históricas (ver item A2).
4. Além da emissão do relatório de asseguração sobre controles, o auditor da organização prestadora de serviços também pode ser contratado para fornecer os seguintes relatórios que não são tratados nesta Norma:
(a) relatório sobre transações de entidade usuária ou sobre saldos mantidos por organização prestadora de serviços; ou
(b) relatório de procedimentos previamente acordados sobre controles em organização prestadora de serviços.
Relação com outros pronunciamentos profissionais
5. A execução de trabalhos de asseguração que não sejam auditorias ou revisões de informações financeiras históricas requer que o auditor da organização prestadora de serviços cumpra a NBC-TO-3000. Essa Norma inclui requisitos e tópicos como aceitação de trabalho, planejamento, evidências e documentação que se aplicam a todos os trabalhos de asseguração, incluindo trabalhos de acordo com esta Norma. Esta Norma complementa o modo como a NBC-TO-3000 deve ser aplicada em trabalho de asseguração razoável para emitir um relatório sobre controles em organização prestadora de serviços. A NBC-TA-ESTRUTURA CONCEITUAL, que define e descreve os elementos e objetivos do trabalho de asseguração, fornece o contexto para entender esta Norma e a própria NBC-TO-3000.
6. O cumprimento da NBC-TO-3000 requer, entre outras coisas, que o auditor da organização prestadora de serviços cumpra as normas profissionais e o Código de Ética Profissional do Contador do Conselho Federal de Contabilidade (CFC) e implemente procedimentos de controle de qualidade que são aplicáveis especificamente a esse trabalho (ver itens 4 e 6 da NBC-TO-3000).
NOTA DO COSIFE: A partir de 01/06/2019 passou a vigorar a NBC-PG-01 (Código de Ética Profissional do Contador)
7. Esta Norma é aplicável a relatórios de asseguração de acordo como o definido na Resolução do CFC que aprova esta Norma.
8. Os objetivos do auditor da organização prestadora de serviços são:
(a) obter segurança razoável, em todos os aspectos relevantes, com base em critérios adequados de que:
(i) a descrição do sistema da organização prestadora de serviços apresenta adequadamente o sistema que foi projetado e implementado durante o período especificado (ou no caso de relatório tipo 1, na data especificada);
(ii) os controles relacionados com os objetivos dos controles especificados na descrição do sistema da organização prestadora de serviços foram adequadamente projetados e implementados durante o período especificado (ou no caso de relatório tipo 1, na data especificada);
(iii) quando incluídos no alcance do trabalho, os controles operaram de maneira efetiva para fornecer segurança razoável de que os objetivos dos controles especificados na descrição do sistema da organização prestadora de serviços foram alcançados durante o período especificado;
(b) emitir relatório sobre os assuntos da alínea (a), de acordo com as constatações do auditor da organização prestadora de serviços.
9. Para fins desta Norma, os termos a seguir possuem os significados a eles atribuídos:
Afirmação da organização prestadora de serviços é a afirmação por escrito sobre os assuntos referidos nas definições de “relatório sobre a descrição e o projeto de controles” (alínea (b)) e de “relatório sobre a descrição, o projeto e a efetividade operacional dos controles” (alínea (b)), deste item.
Auditor da organização prestadora de serviços é o contador que presta serviços de auditoria independente que, por solicitação da organização prestadora de serviços, fornece um relatório de asseguração dos controles dessa organização.
Auditor da usuária é o auditor que examina e apresenta relatório sobre as demonstrações contábeis da entidade usuária. No caso de organização subcontratada para prestação de serviços, o auditor da organização que utiliza os serviços da subcontratada também é auditor da usuária.
Auditores internos são as pessoas que desempenham as atividades da função de auditoria interna. Auditores internos fazem parte do departamento de auditoria interna ou função equivalente.
Controles complementares da entidade usuária são os controles que a organização prestadora de serviços assume, no projeto do seu serviço, que serão implementados pelas entidades usuárias e que, se necessário para alcançar os objetivos de controle especificados na descrição do seu sistema pela organização prestadora de serviços, são identificados nessa descrição.
Controles da organização prestadora de serviços são os controles sobre o alcance de um objetivo de controle que é coberto pelo relatório de asseguração do seu auditor (ver item A3).
Controles em organização subcontratada são os controles para fornecer segurança razoável sobre o alcance de um objetivo de controle.
Critérios são os referenciais usados para avaliar ou mensurar o objeto do trabalho, incluindo, quando relevante, referenciais para apresentação e divulgação.
Entidade usuária é a entidade que utiliza uma organização prestadora de serviços.
Função de auditoria interna é uma atividade de avaliação estabelecida ou fornecida como serviço à organização prestadora de serviços. Suas funções incluem, entre outras coisas, o exame, a avaliação e o monitoramento da adequação e eficácia de controles internos.
Método de desmembramento (carve out) trata dos serviços prestados por uma organização subcontratada para prestação de serviços, pelo qual a descrição do sistema da organização prestadora de serviços inclui a natureza dos serviços prestados pela organização subcontratada para prestação de serviços, mas os objetivos de controle relevantes para essa organização subcontratada para prestação de serviços e os respectivos controles estão excluídos da descrição do sistema da organização prestadora de serviços e do alcance do trabalho do seu auditor. A descrição desse sistema e o alcance do trabalho do seu auditor incluem controles da organização prestadora de serviços para monitorar a efetividade dos controles da organização subcontratada para prestação de serviços, que pode incluir a revisão pela organização prestadora de serviços de um relatório de asseguração sobre controles da organização subcontratada para prestação de serviços.
Método de inclusão é o método de lidar com os serviços fornecidos por organização subcontratada, no qual a descrição do sistema da organização prestadora de serviços inclui a natureza dos serviços prestados pela organização subcontratada para prestação de serviços, e que os objetivos de controle relevantes para essa organização subcontratada para prestação de serviços e os respectivos controles estão incluídos na descrição do sistema da organização prestadora de serviços e no alcance do trabalho do seu auditor (ver item A4).
Objetivo de controle é a finalidade de um aspecto específico de controle e se refere aos riscos que os controles procuram mitigar.
Organização prestadora de serviços é uma organização terceirizada (ou segmento de organização terceirizada) que presta serviços a entidades usuárias que são provavelmente relevantes para o controle interno das entidades usuárias por estarem relacionados com relatórios financeiros.
Organização subcontratada para prestação de serviços é uma organização prestadora de serviços contratada por outra organização prestadora de serviços para executar alguns dos serviços prestados a entidades usuárias que são provavelmente relevantes para o controle interno das entidades usuárias uma vez que ele está relacionado com os relatórios financeiros.
Relatório sobre a descrição e o projeto de controles em organização prestadora de serviços (denominado nesta Norma como relatório tipo 1) é um relatório que contém:
(a) a descrição do sistema da organização prestadora de serviços;
(b) uma afirmação por escrito da organização prestadora de serviços de que, em todos os aspectos relevantes, e com base em critérios adequados:
(i) a descrição apresenta adequadamente o sistema da organização prestadora de serviços conforme projetado e implementado na data especificada;
(ii) os controles relacionados com os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços foram adequadamente projetados na data especificada; e
(c) um relatório de asseguração do auditor da organização prestadora de serviços que proporciona segurança razoável sobre os assuntos em (b)(i) e (ii).
Relatório sobre a descrição, o projeto e a efetividade operacional dos controles em organização prestadora de serviços (denominados nesta Norma como relatório tipo 2) é um relatório que contém:
(a) a descrição do sistema da organização prestadora de serviços;
(b) uma afirmação por escrito da organização prestadora de serviços de que, em todos os aspectos relevantes, e com base em critérios adequados:
(i) a descrição apresenta adequadamente o sistema da organização prestadora de serviços conforme projetado e implementado durante o período especificado;
(ii) os controles relacionados com os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços foram adequadamente projetados durante o período especificado; e
(iii) os controles relacionados com os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços operaram de maneira efetiva durante o período especificado; e
(c) um relatório de asseguração do auditor da organização prestadora de serviços que:
(i) proporciona segurança razoável sobre os assuntos em (b)(i) a (iii); e
(ii) inclui uma descrição dos testes de controle e dos respectivos resultados.
Sistema da organização prestadora de serviços compreende as políticas e os procedimentos projetados e implementados pela organização prestadora de serviços para prestar os serviços cobertos pelo relatório de asseguração do seu auditor às entidades usuárias. A descrição do sistema da organização prestadora de serviços inclui a identificação: dos serviços cobertos; do período ou, no caso de relatório tipo 1, da data a que se refere a descrição; dos objetivos de controle; e dos respectivos controles.
Teste de controle é o procedimento projetado para avaliar a efetividade operacional de controles em alcançar os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços.