Ano XXV - 28 de março de 2024

QR - Mobile Link
início   |   contabilidade
NBC-TO-3402 - APLICAÇÃO E OUTRO MATERIAL EXPLICATIVO

NBC - NORMA BRASILEIRA DE CONTABILIDADE

NBC-TO - NORMAS DE ASSEGURAÇÃO DE INFORMAÇÃO NÃO HISTÓRICA

NBC TO 3402 - RELATÓRIOS DE ASSEGURAÇÃO DE CONTROLES EM ORGANIZAÇÃO PRESTADORA DE SERVIÇOS

APLICAÇÃO E OUTRO MATERIAL EXPLICATIVO

NOTA DO COSIFE: A partir de 01/06/2019 passou a vigorar a NBC-PG-01 (Código de Ética Profissional do Contador)

Alcance (ver itens 1 e 3)

A1. Controle interno é um processo projetado para fornecer segurança razoável com relação ao alcance dos objetivos relacionados com a confiabilidade de relatórios financeiros, a efetividade e a eficiência das operações e o cumprimento de leis e regulamentos aplicáveis. Os controles de organização prestadora de serviços relacionados com as operações e com o cumprimento dos seus objetivos podem ser relevantes para o controle interno da entidade usuária uma vez que ele está relacionado com os relatórios financeiros. Esses controles podem referir-se a afirmações sobre apresentação e divulgação relacionadas com saldos contábeis, classes de transações ou divulgações, ou podem referir-se a evidências que o auditor da usuária avalia ou utiliza na aplicação de procedimentos de auditoria. Por exemplo, os controles da organização prestadora de serviços sobre o processamento de folha de pagamento relacionados com a remessa tempestiva de deduções em folha de pagamento a autoridades governamentais podem ser relevantes para a entidade usuária uma vez que remessas atrasadas podem incorrer juros e penalidades que resultam em passivo para a entidade usuária. Da mesma forma, os controles da organização prestadora de serviços sobre a aceitabilidade de transações de investimento sob a perspectiva do órgão regulador podem ser considerados relevantes para a apresentação e divulgação de transações e saldos contábeis da entidade usuária em suas demonstrações contábeis. A determinação, se os controles na organização prestadora de serviços relacionados com as operações e o cumprimento dos objetivos são provavelmente relevantes para o controle interno das entidades usuárias por estarem relacionados com relatórios financeiros, é uma questão de julgamento profissional, considerando os objetivos de controle estabelecidos pela organização prestadora de serviços e a adequação dos critérios.

A2. A organização prestadora de serviços pode não ser capaz de afirmar que o sistema foi adequadamente projetado quando, por exemplo, está operando um sistema que foi projetado por uma entidade usuária ou que está estipulado em contrato entre ambas as partes. Devido à estreita ligação entre o adequado projeto dos controles e sua efetividade operacional, a ausência de uma afirmação referente à adequação do projeto provavelmente impedirá o auditor da organização prestadora de serviços concluir que os controles fornecem segurança razoável de que os objetivos de controle foram alcançados e, assim, emitir uma opinião sobre a efetividade operacional desses controles. Uma alternativa é o auditor independente optar por aceitar um trabalho com procedimentos acordados para realizar testes de controle ou trabalho de asseguração segundo a NBC-TO-3000 para concluir se, com base em testes de controle, os controles operaram conforme descrito.

Definições  (ver item 9)

A3. A definição de “controles da organização prestadora de serviços” inclui aspectos dos sistemas de informações de entidades usuárias mantidos pela organização prestadora de serviços e podem incluir também aspectos de um ou mais dos outros componentes de controle interno em organização prestadora de serviços. Por exemplo, ela pode incluir aspectos do ambiente de controle, do monitoramento e das atividades de controle de organização prestadora de serviços quando eles se referem aos serviços prestados. Entretanto, ela não inclui controles na organização prestadora de serviços que não estão relacionados com o alcance dos objetivos de controle especificados na descrição do sistema da organização prestadora de serviços, por exemplo, controles relacionados com a elaboração das demonstrações contábeis da própria organização prestadora de serviços.

A4. Quando é utilizado o “método de inclusão”, os requisitos desta Norma também se aplicam aos serviços prestados por organização subcontratada para prestação de serviços, o que inclui a obtenção de acordo sobre os assuntos no item 13(b)(i) a (v) conforme aplicado pela organização subcontratada para prestação de serviços e não pela organização prestadora de serviços. A realização de procedimentos pela organização subcontratada para prestação de serviços implica na coordenação e comunicação entre a organização prestadora de serviços, a organização subcontratada para prestação de serviços e o auditor da organização prestadora de serviços. Geralmente, o método de inclusão é viável somente se a organização prestadora de serviços e a organização subcontratada para prestação de serviços são relacionadas, ou se o contrato entre ambas para prestação de serviços prevê sua utilização.

Exigências éticas relevantes (ver item 11)

A5. O auditor da organização prestadora de serviços está sujeito a relevantes requisitos de independência que estão estabelecidas nas normas profissionais e no Código de Ética Profissional do Contador. Na execução de trabalho de acordo com esta Norma, a regra do CFC não requer que o auditor da organização prestadora de serviços seja independente de cada entidade usuária.

NOTA DO COSIFE: A partir de 01/06/2019 passou a vigorar a NBC-PG-01 (Código de Ética Profissional do Contador)

Administração e responsáveis pela governança (ver item 12)

A6. As estruturas de administração e governança variam por jurisdição e por entidade, refletindo influências como diferentes ambientes culturais e legais, o tamanho da entidade e suas características societárias. Essa diversidade significa que não é possível para esta Norma especificar para todos os trabalhos as pessoas com quem o auditor da organização prestadora de serviços deve interagir sobre determinados assuntos. Por exemplo, a organização prestadora de serviços pode ser um segmento de organização terceirizada e não uma entidade legal separada. Nesses casos, a identificação do pessoal administrativo ou dos responsáveis pela governança adequados, de quem o auditor deve solicitar representações formais (por escrito) pode requerer o exercício de julgamento profissional.

Aceitação e continuidade

Capacitação e competência para executar o trabalho (ver item 13(a)(i))

A7. A capacitação e a competência pertinentes para executar o trabalho incluem assuntos como os seguintes:

  • conhecimento do respectivo setor;
  • entendimento de tecnologia da informação e sistemas;
  • experiência na avaliação de riscos no que diz respeito ao adequado projeto de controle; e
  • experiência no projeto e na execução de testes de controle e na avaliação dos resultados.

Afirmação da organização prestadora de serviços (ver item 13(b)(i))

A8. A recusa, por parte da organização prestadora de serviços, de fornecer uma afirmação por escrito, depois da concordância do auditor da organização prestadora de serviços em aceitar ou continuar um trabalho, representa uma limitação de alcance que faz com que ele se retire do trabalho. Quando a retirada do auditor da organização prestadora de serviços do trabalho não é permitida por lei ou regulamentação, o auditor da organização prestadora de serviços se abstém de expressar uma opinião.

Base razoável para a afirmação da organização prestadora de serviços (ver item 13(b)(ii))

A9. No caso de relatório tipo 2, a afirmação da organização prestadora de serviços inclui uma declaração de que os controles relacionados com os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços operaram de maneira efetiva durante o período especificado. Essa afirmação pode ter como base as atividades de monitoramento da organização prestadora de serviços. O monitoramento de controles é um processo para avaliar a efetividade dos controles ao longo do tempo. Envolve avaliar a efetividade dos controles tempestivamente, identificar e comunicar deficiências para as pessoas apropriadas na organização prestadora de serviços e tomar as medidas corretivas necessárias. A organização prestadora de serviços faz o monitoramento por meio de atividades contínuas, avaliações separadas ou uma combinação dos dois. Quanto maior o grau e a efetividade das atividades de monitoramento contínuo, menor a necessidade de avaliações separadas. As atividades de monitoramento contínuo geralmente fazem parte das atividades recorrentes normais da organização prestadora de serviços e incluem atividades regulares de gerenciamento e supervisão. Os auditores internos ou o pessoal que desempenha funções semelhantes podem contribuir para o monitoramento das atividades da organização prestadora de serviços. As atividades de monitoramento podem incluir, também, a utilização de informações prestadas por partes externas, como reclamações de clientes e comentários de órgãos reguladores, que podem indicar problemas ou áreas que necessitam ser aperfeiçoadas. O fato do auditor da organização prestadora de serviços emitir relatório sobre a eficácia operacional de controles não substitui os processos da própria organização prestadora de serviços de fornecer uma base razoável para essa afirmação.

Identificação de riscos (ver item 13(b)(iv))

A10. Conforme observado no item 9, o objetivo de controle refere-se aos riscos que os controles procuram mitigar. Por exemplo, o risco de uma transação estar registrada pelo valor errado ou no período errado pode ser expresso como um objetivo de controle de que as transações sejam registradas pelo valor correto e no período correto. A organização prestadora de serviços é responsável pela identificação dos riscos que ameaçam o alcance dos objetivos de controle especificados na descrição do seu sistema. A organização prestadora de serviços pode ter um processo formal ou informal para identificar riscos relevantes. Um processo formal pode incluir estimar a importância de riscos identificados, avaliar a probabilidade de sua ocorrência e decidir sobre ações para tratá-los. Entretanto, considerando que os objetivos de controle referem-se aos riscos que os controles procuram mitigar, a identificação criteriosa de objetivos de controle ao projetar e implementar o sistema da organização prestadora de serviços pode por si só compreender um processo informal para identificar riscos relevantes.

Aceitação de mudança nos termos do trabalho (ver item 14)

A11. A solicitação de mudança no alcance do trabalho pode não ter uma justificativa razoável quando, por exemplo, ela é feita para excluir determinados objetivos de controle do alcance do trabalho por causa da probabilidade da opinião do auditor da organização prestadora de serviços ser modificada; ou a organização prestadora de serviços não fornecerá uma afirmação por escrito para o auditor e a solicitação é feita para executar o trabalho segundo a NBC-TO-3000.

A12. A solicitação de mudança no alcance do trabalho pode ter uma justificativa razoável quando, por exemplo, ela é feita para excluir uma organização subcontratada quando a organização prestadora de serviços não consegue acesso pelo seu auditor, e o método utilizado para tratar os serviços prestados por essa organização subcontratada é alterado de método de inclusão para método de desmembramento (carve out).

Avaliação da adequação dos critérios (ver itens 15 a 18)

A13. É necessário haver critérios disponíveis para permitir que os usuários previstos entendam a base da afirmação da organização prestadora de serviços sobre a adequada apresentação de sua descrição do sistema, a adequação do projeto dos controles e, no caso de relatório tipo 2, a efetividade operacional dos controles relacionados com os objetivos de controle.

A14. A NBC-TO-3000 requer que o auditor da organização prestadora de serviços, entre outras coisas, avalie a adequação dos critérios e se o objeto é apropriado (NBC TO 3000, itens 18 e 19). O objeto é a condição de interesse subjacente de usuários previstos por relatório de asseguração. A tabela abaixo identifica o objeto e os critérios mínimos para cada uma das opiniões nos relatórios tipo 1 e tipo 2.

Objeto Critérios Comentário
Opinião sobre a adequada apresentação da descrição do sistema da organização prestadora de serviços (relatórios tipo 1 e tipo 2). O sistema da organização prestadora de serviços é provavelmente relevante para o controle interno das entidades usuárias por estar relacionado com relatórios financeiros e coberto pelo relatório de asseguração do auditor da organização prestadora de serviços. A descrição está adequadamente apresentada se:

(a) apresentar como o sistema da organização prestadora de serviços foi projetado e implementado incluindo, conforme apropriado, os assuntos identificados no item 16(a)(i) a (viii);

(b) no caso de relatório tipo 2, incluir detalhes relevantes de mudanças no sistema da organização prestadora de serviços durante o período coberto pela descrição; e

(c) não omitir ou distorcer informações relevantes para o alcance do sistema da organização prestadora de serviços que está sendo descrito, mesmo tendo conhecimento que a descrição foi elaborada para atender as necessidades comuns de ampla gama de entidades usuárias e, portanto, pode não incluir todos os aspectos do sistema da organização prestadora de serviços que cada entidade usuária pode considerar importante em seu próprio ambiente.

O texto específico dos critérios para essa opinião pode precisar de adaptação para ficar consistente com os critérios estabelecidos, por exemplo, por lei ou regulamento, grupos de usuários ou órgão profissional. A afirmação ilustrativa da organização prestadora de serviços no Apêndice 1 fornece exemplos de critérios. Os itens A21 a A24 oferecem orientação adicional para determinar se esses critérios foram atendidos. (Em termos dos requisitos da NBC TO 3000, as informações sobre o objeto para essa opinião são a descrição do sistema da organização prestadora de serviços e a afirmação da organização prestadora de serviços de que essa descrição está adequadamente apresentada.)
Opinião sobre a adequação do projeto e a efetividade operacional (relatórios tipo 2). A adequação do projeto e a efetividade operacional dos controles que são necessários para alcançar os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços. Os controles foram adequadamente projetados e estão operando de maneira efetiva se:

(a) a organização prestadora de serviços identificou os riscos que ameaçam o alcance dos objetivos de controle especificados na descrição do seu sistema;

(b) os controles identificados nessa descrição forneceriam, se estivessem operando conforme descrito, segurança razoável de que esses riscos não impedem que os objetivos de controle especificados sejam alcançados; e

(c) os controles foram aplicados de maneira uniforme conforme projetados durante o período especificado. Isso inclui se os controles manuais foram aplicados por pessoas com competência e autoridade adequadas.

Quando os critérios para essa opinião são atendidos, os controles terão fornecido segurança razoável de que os objetivos de controle foram alcançados durante o período especificado. (Em termos dos requisitos da NBC-TO-3000, as informações sobre o objeto para essa opinião é a afirmação da organização prestadora de serviços de que os controles foram adequadamente projetados e estão operando de maneira efetiva.) Os objetivos de controle, que estão especificados na descrição do sistema da organização prestadora de serviços, fazem parte dos critérios para essas opiniões. Os objetivos de controle especificados serão diferentes para cada trabalho. Se, como parte da formação da opinião sobre a descrição, o auditor da organização prestadora de serviços conclui que os objetivos de controle especificados não estão adequadamente apresentados, esses objetivos de controle não seriam adequados como parte dos critérios para formar uma opinião sobre o projeto ou a efetividade operacional dos controles.
Opinião sobre a adequação do projeto (relatórios tipo 1). A adequação do projeto dos controles que são necessários para alcançar os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços. Os controles foram adequadamente projetados se:

(a) a organização prestadora de serviços identificou os riscos que ameaçam o alcance dos objetivos de controle especificados na descrição do seu sistema; e

(b) os controles identificados nessa descrição forneceriam, se estivessem operando conforme descrito, segurança razoável de que esses riscos não impedem que os objetivos de controle especificados sejam alcançados.

O atendimento desses critérios por si só não fornece nenhuma segurança de que os objetivos de controle relacionados foram alcançados porque não foi obtida nenhuma segurança sobre a operação dos controles. (Em termos dos requisitos da NBC-TO-3000, as informações sobre o objeto para essa opinião é a afirmação da organização prestadora de serviços de que os controles foram adequadamente projetados.)

A15. O item 16(a) identifica um número de elementos que estão incluídos na descrição do sistema da organização prestadora de serviços, conforme apropriado. Esses elementos podem não ser adequados se o sistema que está sendo descrito não processa transações, por exemplo, se o sistema se refere a controles gerais sobre a hospedagem (hosting) de aplicação de TI, mas não com os controles embutidos na aplicação em si.

Relevância (ver itens 19 e 54)

A16. No trabalho para emitir relatório sobre controles em organização prestadora de serviços, o conceito de relevância refere-se ao sistema sobre o qual está sendo emitido o relatório, não às demonstrações contábeis de entidades usuárias. O auditor da organização prestadora de serviços planeja e realiza procedimentos para determinar se a descrição do sistema da organização prestadora de serviços está adequadamente apresentada em todos os aspectos relevantes, se os controles da organização prestadora de serviços foram adequadamente projetados em todos os aspectos relevantes e, no caso de relatório tipo 2, se os controles da organização prestadora de serviços estão operando de maneira efetiva em todos os aspectos relevantes. O conceito de relevância leva em consideração que o relatório de asseguração do auditor da organização prestadora de serviços fornece informações sobre o sistema dessa organização para atender as necessidades comuns de ampla gama de entidades usuárias e seus auditores que sabem de que maneira o sistema foi usado.

A17. Relevância com relação à adequada apresentação da descrição do sistema da organização prestadora de serviços e, com relação ao projeto dos controles, inclui basicamente a consideração de fatores qualitativos, por exemplo: se a descrição inclui os aspectos significativos do processamento de transações significativas; se a descrição omite ou distorce informações relevantes; e a capacidade dos controles, conforme projetados, de fornecer segurança razoável de que os objetivos seriam alcançados. Relevância com relação à opinião do auditor da organização prestadora de serviços sobre a efetividade operacional dos controles inclui a consideração de fatores quantitativos e qualitativos, por exemplo, a taxa tolerável e a taxa observada de desvio (questão quantitativa) e a natureza e a causa de qualquer desvio observado (questão qualitativa).

A18. O conceito de relevância não é aplicado ao se divulgar, na descrição dos testes de controle, os resultados dos testes em que foram identificados desvios. Isso ocorre porque, nas circunstâncias específicas de entidade usuária ou de auditor usuário específico, um desvio pode ter importância além do fato de se ele impede ou não, na opinião do auditor da organização prestadora de serviços, o controle de operar de maneira efetiva. Por exemplo, o controle ao qual se refere o desvio pode ser particularmente importante na prevenção de certo tipo de erro que pode ser relevante nas circunstâncias específicas das demonstrações contábeis de entidade usuária.

Obtenção de entendimento sobre o sistema da organização prestadora de serviços - (ver item 20)

A19. A obtenção de entendimento do sistema da organização prestadora de serviços, incluindo controles que estão incluídos no alcance do trabalho auxilia o auditor da organização prestadora de serviços a:

  • identificar os limites desse sistema e como é a interface com outros sistemas;
  • avaliar se a descrição apresenta adequadamente o sistema da organização prestadora de serviços que foi projetado e implementado;
  • determinar quais os controles necessários para alcançar os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços;
  • avaliar se os controles foram adequadamente projetados;
  • avaliar, no caso de relatório tipo 2, se os controles estavam operando de maneira efetiva.

A20. Os procedimentos do auditor da organização prestadora de serviços para obter esse entendimento podem incluir:

  • indagação às pessoas da organização prestadora de serviços que, no julgamento do auditor, podem ter informações relevantes;
  • observação de operações e inspeção de documentos, relatórios, registros impressos e eletrônicos de processamento de transações;
  • inspeção de seleção de acordos entre a organização prestadora de serviços e entidades usuárias para identificar seus termos comuns;
  • reexecução de procedimentos de controle.

Obtenção de evidência em relação à descrição (ver itens 21 e 22)

A21. Considerando que as questões a seguir podem auxiliar o auditor da organização prestadora de serviços a determinar se os aspectos da descrição incluídos no alcance do trabalho estão adequadamente apresentados em todos os aspectos relevantes:

A descrição aborda os principais aspectos do serviço prestado (dentro do alcance do trabalho) que se poderia razoavelmente esperar serem relevantes para as necessidades comuns de ampla gama de auditores de entidades usuárias no planejamento de suas auditorias das demonstrações contábeis de entidades usuárias?

A descrição foi elaborada com um nível de detalhe que se poderia razoavelmente esperar que forneça informações suficientes a ampla gama de auditores de entidades usuárias para obterem entendimento de controles internos de acordo com a NBC TA 315?

A descrição não precisa tratar de todos os aspectos do processamento da organização prestadora de serviços ou dos serviços prestados a entidades usuárias, e não precisa ser tão detalhada de forma a potencialmente comprometer a segurança ou outros controles da organização prestadora de serviços.

A descrição foi elaborada de maneira a não omitir ou distorcer informações que podem afetar as necessidades comuns de ampla gama de decisões de auditores de entidades usuárias, por exemplo, a descrição contém quaisquer omissões ou imprecisões significativas no processamento conhecidas pelo auditor da organização prestadora de serviços?

Quando os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços foram excluídos do alcance do trabalho, a descrição identifica claramente os objetivos excluídos?

Os controles identificados nessa descrição foram implementados?

Os controles complementares da entidade usuária, se houver, estão adequadamente descritos?

Na maioria dos casos, a descrição dos objetivos de controle é redigida como se os objetivos de controle pudessem ser alcançados por meio da operação efetiva dos controles implementados apenas pela organização prestadora de serviços. Em alguns casos, entretanto, os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços não podem ser alcançados somente pela organização prestadora de serviços porque isso requer que sejam implementados controles específicos pelas entidades usuárias. Esse pode ser o caso quando, por exemplo, os objetivos de controle são especificados por autoridade reguladora. Quando a descrição inclui controles complementares da entidade usuária, a descrição identifica separadamente esses controles junto com os objetivos de controle específicos que não podem ser alcançados somente pela organização prestadora de serviços.

Se for usado o método de inclusão, a descrição identifica separadamente controles da organização prestadora de serviços e controles da organização subcontratada para prestação de serviços?

Se for usado o método de desmembramento (carve out), a descrição identifica as funções que são desempenhadas pela organização subcontratada para prestação de serviços?

Quando é utilizado o método de desmembramento, a descrição não precisa detalhar o processamento ou os controles da organização subcontratada para prestação de serviços.

A22. Os procedimentos do auditor da organização prestadora de serviços para avaliar a adequada apresentação da descrição podem incluir:

  • consideração sobre a natureza de entidades usuárias e qual a probabilidade de os serviços prestados pela organização prestadora afetá-las, por exemplo, se as entidades usuárias pertencem a um setor específico e se são reguladas por agências governamentais;
  • leitura dos contratos-padrão ou termos-padrão de contratos, (se aplicável) com entidades usuárias para obter entendimento das obrigações contratuais das organizações prestadoras de serviços;
  • observação dos procedimentos realizados pelo pessoal da organização prestadora de serviços;
  • revisão dos manuais de políticas e procedimentos da organização prestadora de serviços e a documentação de outros sistemas, por exemplo, fluxogramas e narrativas.

A23. O item 21(a) requer que o auditor da organização prestadora de serviços avalie se os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços são razoáveis nas circunstâncias. Considere que as questões a seguir podem auxiliar o auditor da organização prestadora de serviços nessa avaliação:

Os objetivos de controle especificados foram estabelecidos pela organização prestadora de serviços ou por partes externas, como autoridade reguladora, grupo usuário ou órgão profissional que segue um processo devidamente transparente?

Nos casos em que os objetivos de controle especificados foram estabelecidos pela organização prestadora de serviços, eles se relacionam com os tipos de afirmações comumente incorporadas nas demonstrações contábeis de ampla gama de entidades usuárias com as quais se poderia razoavelmente esperar que os controles da organização prestadora de serviços estivessem relacionados? Embora o auditor da organização prestadora de serviços não seja normalmente capaz de determinar como os controles em organização prestadora de serviços se relacionam especificamente com as afirmações incorporadas nas demonstrações contábeis da entidade usuária, o entendimento da natureza do sistema da organização prestadora de serviços pelo auditor da organização prestadora de serviços, incluindo controles e serviços que estão sendo prestados, é usado para identificar os tipos de afirmações com os quais esses controles estão provavelmente relacionados.

Nos casos em que os objetivos de controle especificados foram estabelecidos pela organização prestadora de serviços, eles estão completos? Um conjunto completo de objetivos de controle pode fornecer a ampla gama de auditores de entidades usuárias uma estrutura para avaliar o efeito de controles da organização prestadora de serviços sobre as afirmações comumente incorporadas nas demonstrações contábeis de entidades usuárias.

A24. Os procedimentos do auditor da organização prestadora de serviços para determinar se o sistema da organização prestadora de serviços foi implementado pode ser semelhante aos procedimentos para obter entendimento desse sistema e realizado em conjunto com tais procedimentos. Estes podem incluir, também, o rastreamento de itens pelo sistema da organização prestadora de serviços e, no caso de relatório tipo 2, indagações específicas sobre mudanças em controles que foram implementadas durante o período. As mudanças que são significativas para as entidades usuárias ou seus auditores estão incluídas na descrição do sistema da organização prestadora de serviços.

Obtenção de evidência em relação ao projeto de controles (ver itens 23 e 28(b))

A25. Sob o ponto de vista da entidade usuária ou do auditor da entidade usuária, um controle é adequadamente projetado se, individualmente ou combinado com outros controles, quando cumprido satisfatoriamente, fornecer segurança razoável de que distorções relevantes são evitadas ou detectadas e corrigidas. Entretanto, uma organização prestadora de serviços ou seu auditor não tem conhecimento das circunstâncias nas entidades usuárias que determinariam se uma distorção resultante ou não de um desvio de controle é relevante para essas entidades usuárias. Portanto, do ponto de vista do auditor da organização prestadora de serviços, um controle é adequadamente projetado se, individualmente ou combinado com outros controles, quando cumprido satisfatoriamente, fornecer segurança razoável de que são alcançados os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços.

A26. O auditor da organização prestadora de serviços pode considerar usar fluxogramas, questionários ou tabelas de decisão para facilitar o entendimento do projeto dos controles.

A27. Os controles podem consistir de diversas atividades direcionadas ao alcance do objetivo do controle. Consequentemente, se o auditor da organização prestadora de serviços avalia certas atividades como sendo ineficazes para alcançar um objetivo de con style="border-style: solid; border-width: 1px" style="border-style: solid; border-width: 1px" style="border-style: solid; border-width: 1px"trole específico, a existência de outras atividades pode permitir que o auditor da organização prestadora de serviços conclua que os controles relacionados com o objetivo de controle foram adequadamente projetados.

Obtenção de evidência em relação à efetividade operacional dos controles

Avaliação da efetividade operacional (ver item 24)

A28. Sob o ponto de vista da entidade usuária ou do auditor da entidade usuária, um controle está operando de maneira efetiva se, individualmente ou combinado com outros controles, fornecer segurança razoável de que distorções relevantes, independentemente se causadas por fraude ou erro, são evitadas ou detectadas e corrigidas. Entretanto, uma organização prestadora de serviços ou o auditor da organização prestadora de serviços não tem conhecimento das circunstâncias nas entidades usuárias que determinariam se ocorreu distorção resultante de um desvio de controle e, em caso positivo, se ela é relevante. Portanto, do ponto de vista do auditor da organização prestadora de serviços, um controle está operando de maneira efetiva se, individualmente ou combinado com outros controles, fornecer segurança razoável de que são alcançados os objetivos de controle especificados na descrição do sistema da organização prestadora de serviços. Da mesma forma, uma organização prestadora de serviços ou seu auditor não está em posição de determinar se qualquer desvio de controle observado resultaria em distorção relevante do ponto de vista da entidade usuária.

A29. Obter entendimento suficiente dos controles para opinar sobre a adequação de seu projeto não é evidência suficiente com relação a sua efetividade operacional, a menos que haja alguma automação que proporcione de forma consistente a operação dos controles conforme foram projetados e implementados. Por exemplo, a obtenção de informações sobre a implementação de controle manual em determinado momento não fornece evidência sobre a operação do controle em outros momentos. Entretanto, em decorrência da consistência inerente ao processamento de TI, a realização de procedimentos para determinar o projeto de controle automatizado, e se ele foi implementado, pode servir como evidência da efetividade operacional desse controle, dependendo da avaliação do auditor da organização prestadora de serviços e dos testes de outros controles, como aqueles sobre mudanças de programas.

A30. Para ser útil para os auditores de entidades usuárias, o relatório tipo 2 abrange normalmente um período mínimo de seis meses. Se o período for inferior a seis meses, o auditor da organização prestadora de serviços pode considerar adequado descrever as razões para o período mais curto no relatório de asseguração do auditor da organização prestadora de serviços. As circunstâncias que podem resultar em relatório que abrange um período inferior a seis meses incluem:

(a) o auditor da organização prestadora de serviços é contratado próximo da data em que o relatório sobre controles deve ser emitido;

(b) a organização prestadora de serviços (ou sistema ou aplicativo específico) está funcionando há menos de seis meses; ou

(c) foram feitas mudanças significativas nos controles e não é praticável esperar seis meses antes de emitir um relatório ou emitir um relatório abrangendo o sistema antes e depois das mudanças.

A31. Determinados procedimentos de controle podem não deixar evidência de que sua operação possa ser testada em data posterior e, consequentemente, o auditor da organização prestadora de serviços pode achar necessário testar a efetividade operacional desses procedimentos de controle em diversos momentos durante o período de abrangência do relatório.

A32. O auditor da organização prestadora de serviços expressa uma opinião sobre a efetividade operacional de controles durante cada período, portanto, é necessária evidência apropriada e suficiente sobre a operação dos controles durante o período corrente para o auditor expressar sua opinião. Entretanto, o conhecimento de desvios observados em trabalhos anteriores pode levar o auditor a aumentar a extensão dos testes durante o período corrente.

Teste de controles indiretos (ver item 25(b))

A33. Em algumas circunstâncias, pode ser necessário obter evidência que suporte a operação efetiva de controles indiretos. Por exemplo, quando o auditor da organização prestadora de serviços decide testar a eficácia da revisão de relatórios de exceção detalhando vendas que excedem os limites de crédito autorizados, a revisão e o respectivo acompanhamento constituem o controle que tem relevância direta para o auditor da organização prestadora de serviços. Os controles sobre a precisão das informações nos relatórios (por exemplo, os controles gerais de TI) são descritos como controles “indiretos”.

A34. Em decorrência da consistência inerente ao processamento de TI, a evidência sobre a implementação de controle de aplicação automatizado, quando considerada em conjunto com a evidência sobre a efetividade operacional dos controles gerais da organização prestadora de serviços (especificamente, controles sobre as mudanças), também pode fornecer evidência sobre sua efetividade operacional.

Meios de selecionar itens para teste (ver itens 25(c) e 27)

A35. Os meios para selecionar os itens para teste disponíveis para o auditor da organização prestadora de serviços são:

(a) selecionar todos os itens (exame de 100% dos itens). Isso pode ser adequado para testar controles que não são aplicados com frequência, por exemplo, trimestralmente, ou quando a evidência em relação à aplicação do controle torna o exame de 100% dos itens eficiente;

(b) selecionar itens específicos. Isso pode ser adequado quando o exame de 100% dos itens não for eficiente e a amostragem não for efetiva, como os testes de controle que não são aplicados com frequência suficiente para proporcionar uma grande população para amostragem, por exemplo, controles que são aplicados mensal ou semanalmente; e

(c) amostragem. Pode ser adequado para testar controles que são aplicados frequentemente de maneira uniforme e que deixam evidência documental de sua aplicação.

A36. Embora o exame seletivo de itens específicos seja muitas vezes um meio eficiente de obter evidência, ele não constitui amostragem. Os resultados de procedimentos aplicados a itens selecionados dessa maneira não podem ser projetados para a população inteira; consequentemente, o exame seletivo de itens específicos não fornece evidência sobre o restante da população. A amostragem, por outro lado, é definida para permitir que sejam tiradas conclusões sobre uma população inteira com base em testes na amostra tirada da população.

Função da auditoria interna

Obtenção de entendimento sobre a função de auditoria interna (ver item 30)

A37. A auditoria interna pode ser responsável por fornecer análises, avaliações, assegurações, recomendações e outras informações para a administração e os responsáveis pela governança. A auditoria interna em organização prestadora de serviços pode realizar atividades relacionadas com o sistema de controle interno da própria organização prestadora de serviços, ou atividades relacionadas com os serviços e sistemas, incluindo controles, que a organização prestadora de serviços está prestando para entidades usuárias.

Determinação sobre utilizar e até que ponto utilizar o trabalho dos auditores internos (ver item 33)

A38. Ao determinar o efeito planejado do trabalho dos auditores internos sobre a natureza, a época ou a extensão dos procedimentos do auditor da organização prestadora de serviços, os fatores a seguir podem sugerir a necessidade de procedimentos diferentes ou menos extensos do que de outra forma seria o caso:

  1. a natureza e o alcance do trabalho específico executado ou a ser executado pelos auditores internos são bastante limitados;
  2. o trabalho dos auditores internos está relacionado com controles que são menos significativos para as conclusões do auditor da organização prestadora de serviços;
  3. o trabalho executado ou a ser executado pelos auditores internos requer julgamentos subjetivos ou complexos.

Utilização do trabalho da auditoria interna (ver item 34)

A39. A natureza, a época e a extensão dos procedimentos do auditor da organização prestadora de serviços sobre o trabalho específico dos auditores internos dependem da avaliação do auditor da organização prestadora de serviços da importância desse trabalho para as conclusões do auditor (por exemplo, a importância dos riscos que os controles testados procuram reduzir), da avaliação da auditoria interna e da avaliação do trabalho específico dos auditores internos. Esses procedimentos podem incluir:

  1. exame de itens já examinados pelos auditores internos;
  2. exame de outros itens semelhantes; e
  3. observação de procedimentos realizados pelos auditores internos.

Efeito sobre o relatório de asseguração do auditor da organização prestadora de serviços (ver itens 36 e 37)

A40. Independentemente do grau de autonomia e objetividade da auditoria interna, essa função não é independente da organização prestadora de serviços como é requerido do auditor da organização prestadora de serviços na execução do trabalho. O auditor da organização prestadora de serviços é o único responsável pela opinião expressa no seu relatório de asseguração e essa responsabilidade não é reduzida pela utilização do trabalho dos auditores internos pelo auditor da organização prestadora de serviços.

A41. A descrição elaborada pelo auditor da organização prestadora de serviços do trabalho executado pela auditoria interna pode ser apresentada de diversas formas, por exemplo:

  1. inclusão de material introdutório na descrição dos testes de controle indicando que determinados trabalhos da auditoria interna foram utilizados na realização de testes de controle;
  2. atribuição de testes individuais à auditoria interna.

Representações formais (ver itens 38 e 40)

A42. As representações formais requeridas pelo item 38 são separadas e adicionais à afirmação da organização prestadora de serviços, conforme definido no item 9.

A43. Se a organização prestadora de serviços não fornecer a representação formal requerida de acordo com o item 38(c) desta Norma, pode ser apropriado que a opinião do auditor da organização prestadora de serviços seja modificada de acordo com o item 55(d) desta Norma.

Outras informações (ver item 42)

A44. As normas profissionais e o Código de Ética Profissional do Contador requerem que o auditor da organização prestadora de serviços não esteja associado com as informações quando ele acreditar que as informações:

(a) contêm declaração significativamente falsa ou enganosa;

(b) contêm declarações ou informações fornecidas de maneira leviana; ou

(c) omitem ou ocultam informações que devem ser incluídas onde essa omissão ou ocultação seria enganosa.

Se outras informações incluídas no documento contendo a descrição do sistema da organização prestadora de serviços e o relatório de asseguração do seu auditor contém informações orientadas para o futuro, como planos de recuperação e contingência, ou planos para modificações do sistema que tratarão desvios identificados no relatório de asseguração do auditor da organização prestadora de serviços, ou divulgações de natureza promocional que não podem ser razoavelmente comprovadas, o auditor pode solicitar que as informações sejam retiradas ou atualizadas.

A45. Se a organização prestadora de serviços se recusa a retirar ou atualizar as outras informações, as medidas adicionais que podem ser adequadas incluem, por exemplo:

  1. solicitar que a organização prestadora de serviços consulte seus consultores jurídicos sobre o curso de ação adequado;
  2. descrever a inconsistência relevante ou distorção relevante no relatório de asseguração;
  3. reter o relatório de asseguração até que o assunto seja resolvido;
  4. retirar-se do trabalho.

Documentação (ver item 51)

A46. A NBC-PA-01, item 45, requer que as firmas estabeleçam políticas e procedimentos para a montagem tempestiva dos arquivos do trabalho. O limite de tempo apropriado para a montagem final dos arquivos de auditoria é normalmente de, no máximo, 60 dias após a data do relatório do auditor da organização prestadora de serviços (NBC-PA-01, item A54).

Elaboração do relatório de asseguração do auditor do serviço

Conteúdo do relatório de asseguração do auditor da organização prestadora de serviços (ver item 53)

A47. Os Apêndices 1 e 2 apresentam exemplos ilustrativos de relatórios de asseguração do auditor da organização prestadora de serviços e respectivas afirmações das organizações prestadoras de serviços.

Usuários previstos e objetivos do relatório de asseguração do auditor da organização prestadora de serviços (ver item 53(e))

A48. Os critérios utilizados para trabalhos de emissão de relatório sobre controles em organização prestadora de serviços são relevantes somente para fins de fornecer informações sobre o sistema da organização prestadora de serviços, incluindo controles, para aqueles que têm entendimento sobre como o sistema foi utilizado para relatórios financeiros pelas entidades usuárias. Consequentemente, isso está especificado no relatório de asseguração do auditor da organização prestadora de serviços. Além disso, o auditor da organização prestadora de serviços pode considerar adequado incluir texto que restringe especificamente a distribuição do relatório de asseguração para outros que não os usuários previstos, sua utilização por outras pessoas ou para outros fins.

Descrição dos testes de controle (ver item 54)

A49. A descrição da natureza dos testes de controle em relatório tipo 2 facilita ao leitor do relatório de asseguração se o auditor incluiu:

  1. os resultados de todos os testes em que foram identificados desvios, mesmo se tiverem sido identificados outros controles que permitem ao auditor da organização prestadora de serviços concluir que o objetivo de controle relevante foi alcançado ou o controle testado foi posteriormente retirado da descrição do sistema da organização prestadora de serviços;
  2. informações sobre fatores causadores de desvios identificados, na medida em que o auditor da organização prestadora de serviços identificou esses fatores.

Opinião modificada (ver item 55)

A50. O Apêndice 3 apresenta exemplos ilustrativos de elementos de relatórios de asseguração modificados do auditor da organização prestadora de serviços.

A51. Mesmo que o auditor da organização prestadora de serviços tenha expressado uma opinião adversa ou se abstido de expressar uma opinião, pode ser apropriado descrever, no parágrafo sobre a base para a modificação de opinião, as razões para quaisquer outros assuntos que o auditor está ciente que teriam requerido uma modificação da opinião e os respectivos efeitos.

A52. Ao se abster de expressar uma opinião em decorrência da limitação de alcance, não é normalmente apropriado identificar os procedimentos que foram realizados nem incluir declarações que descrevem as características do trabalho do auditor da organização prestadora de serviços; fazer isso pode ofuscar a abstenção de opinião.

Outras responsabilidades de comunicação (ver item 56)

A53. As medidas apropriadas para responder às circunstâncias identificadas no item 56, salvo se proibido por leis ou regulamentos, podem incluir:

  1. obtenção de assessoria jurídica sobre as consequências de diferentes cursos de ação;
  2. comunicação com os responsáveis pela governança da organização prestadora de serviços;
  3. determinação quanto a comunicar a terceiros (por exemplo, leis, regulamentos ou requisitos éticos relevantes podem requerer que o auditor da organização prestadora de serviços comunique à autoridade competente externa à entidade ou ao auditor externo da organização prestadora de serviços (ver, por exemplo, os itens R360.31, R360.32, R360.33, 360.34A1 e 360.35A1 da NBC PG 300), ou estabeleça responsabilidades sobre as quais essa comunicação pode ser apropriada nas circunstâncias);
  4. modificação da opinião do auditor da organização prestadora de serviços ou adição de parágrafo de Outros Assuntos.
  5.  retirar-se do trabalho.

No Brasil, as regras de comunicação de não conformidade ou suspeita de não conformidade a autoridades externas à entidade se aplicam somente nos casos em que a legislação expressamente estabelece dita obrigação, como ocorre, por exemplo, quanto à obrigação do auditor de comunicar suspeita ou a ocorrência de não conformidade com leis e regulamentos, conforme determinado por órgãos reguladores para determinados segmentos regulados, tais como o Banco Central do Brasil e a Comissão de Valores Mobiliários, ou ainda em decorrência do disposto na Resolução CFC n.º 1.530/2017, que dispõe sobre os procedimentos a serem observados pelos profissionais e organizações contábeis, com relação às obrigações previstas na Lei n.º 9.613/1998 (sobre "lavagem" de dinheiro). Em todos os outros casos, o auditor continua obrigado ao dever profissional de confidencialidade das informações do cliente, nos termos da NBC PG 01 – Código de Ética Profissional do Contador e nas normas profissionais (NBCs PG 100, 200 e 300 e NBC PA 400 e NBC PO 900) (ver item A6 da NBC TA 250).



(...)

Quer ver mais? Assine o Cosif Digital!



 




Megale Mídia Interativa Ltda. CNPJ 02.184.104/0001-29.
©1999-2024 Cosif-e Digital. Todos os direitos reservados.