NBC-TA-315 - RISCOS DE DISTORÇÃO RELEVANTE - APÊNDICE 3 - SISTEMA DE CONTROLES INTERNOS

NBC - NORMAS BRASILEIRAS DE CONTABILIDADE

NBC-T - NORMAS TÉCNICAS

NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE

NBC-TA-315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE POR MEIO DO ENTENDIMENTO DA ENTIDADE E DO SEU AMBIENTE

APÊNDICE 3 (ver item 12(m), itens de 21 a 26 e itens de A90 a A181)

Entendimento do SISTEMA DE CONTROLES INTERNOS da entidade

1. O sistema de controles internos da entidade pode estar refletido nos manuais de políticas e procedimentos, sistemas e formulários, e nas informações embutidas nos mesmos, e é aplicado por pessoas.
O sistema de controles internos da entidade é implementado pela administração, pelos responsáveis pela governança e por outros com base na estrutura da entidade.
O sistema de controles internos da entidade pode ser aplicado, baseado em decisões da administração, dos responsáveis pela governança, de outros e, no contexto dos requisitos legais ou regulatórios, do modelo operacional da entidade, da estrutura legal da entidade ou da combinação dos dois.

2. Este Apêndice explica mais detalhadamente os componentes, bem como as limitações do sistema de controles internos da entidade, conforme definidos nos itens 12(m), de 21 a 26 e de A90 a A181, à medida que estejam relacionados com a auditoria de demonstrações contábeis.

3. O sistema de controles internos da entidade inclui aspectos que estão relacionados com os objetivos de apresentação de relatórios da entidade, incluindo objetivos de apresentação de seus relatórios financeiros, mas pode incluir também aspectos relacionados com seus objetivos das operações ou de conformidade, quando esses aspectos são relevantes para a apresentação de relatórios financeiros.

Exemplo:

Controles de conformidade com leis e regulamentos podem ser relevantes para a apresentação de relatórios financeiros quando esses controles são relevantes para a elaboração pela entidade de divulgações sobre contingências nas demonstrações contábeis.

Componentes do sistema de controles internos da entidade

Ambiente de controle

4. O ambiente de controle inclui as funções de governança e administração e as atitudes, conscientização e ações dos responsáveis pela governança e da administração referentes ao sistema de controles internos da entidade e sua importância na entidade.
O ambiente de controle determina o tom da organização, influenciando a conscientização de seu pessoal em relação aos controles e fornece o fundamento geral para a operação dos outros componentes do sistema de controles internos da entidade.

5. A conscientização sobre controle da entidade é influenciada pelos responsáveis pela governança, porque um dos seus papéis é contrabalançar as pressões sobre a administração em relação a relatórios financeiros que possam surgir de demandas do mercado ou modelos de remuneração. A eficácia do desenho do ambiente de controle em relação à participação dos responsáveis pela governança, portanto, é influenciada por assuntos como:

1. sua independência em relação à administração e sua capacidade de avaliar as ações da administração;
2. se eles entendem as transações e os negócios da entidade;
3. a extensão em que avaliam se as demonstrações contábeis são elaboradas de acordo com a estrutura de relatório financeiro aplicável, incluindo se as demonstrações contábeis incluem divulgações adequadas.

6. O ambiente de controle abrange os seguintes elementos:

• (a) Como as responsabilidades da administração são realizadas, tais como criar e manter
  a cultura da entidade e demonstrar o compromisso da administração com a integridade e os valores éticos.
  A efetividade dos controles não pode estar acima da integridade e dos valores éticos das pessoas que os criam, administram e monitoram.
  A integridade e a conduta ética são o produto dos padrões éticos e da conduta da entidade, como são comunicados (por exemplo, por meio de declarações de políticas) e reforçados na prática (por exemplo, por meio de ações da administração para eliminar ou reduzir incentivos ou tentações que possam levar o pessoal a envolver-se em atos desonestos, ilegais ou antiéticos).
  A comunicação de políticas da entidade sobre integridade e valores éticos pode incluir a comunicação de padrões de conduta para os empregados por meio de declarações de política, códigos de conduta e de exemplos.
• (b) Quando os responsáveis pela governança são separados da administração, como eles demonstram independência em relação à administração e exercem supervisão do sistema de controles internos da entidade.
  A conscientização sobre controle da entidade é influenciada pelos responsáveis pela governança.
  As considerações podem incluir se existem indivíduos suficientes que sejam independentes da administração e objetivas em suas avaliações e tomadas de decisão, o modo como os responsáveis pela governança identificam e aceitam responsabilidades de supervisão e se eles permanecem responsáveis pela supervisão do projeto, da implementação e da condução do sistema de controles internos da entidade pela administração.
  A importância das responsabilidades dos responsáveis pela governança é reconhecida em códigos de conduta e outras leis e regulamentos ou orientação produzida em benefício dos responsáveis pela governança.
  Outras responsabilidades dos responsáveis pela governança incluem a supervisão do desenho e da operação eficaz dos procedimentos de canais de denúncia.
• (c) O modo como a entidade atribui autoridade e responsabilidade em busca dos seus objetivos.
  Isso pode incluir considerações sobre:
  • áreas-chave de autoridade e responsabilidade e linhas de reporte apropriadas;
  •  políticas relacionadas com práticas de negócio apropriadas, conhecimento e experiência do pessoal-chave, assim como recursos fornecidos para o desempenho de funções; e
  • políticas e comunicações voltadas para assegurar que todo pessoal compreenda os objetivos da entidade, saiba como as suas ações individuais se interrelacionam, contribuem para esses objetivos e reconheçam como e pelo que serão considerados responsáveis.
• (d) Como a entidade atrai, desenvolve e retém indivíduos competentes alinhados com seus objetivos.
  Isso inclui o modo como a entidade assegura que os indivíduos tenham o conhecimento e as habilidades necessárias para a realização de tarefas que definem o trabalho do indivíduo, tais como:
  • padrões para recrutar os indivíduos mais qualificados – com ênfase em formação acadêmica, experiência de trabalho anterior, realizações passadas e evidências de integridade e comportamento ético;
  • políticas de treinamento que comuniquem perspectivas de funções e responsabilidades e incluam práticas, tais como cursos e seminários que ilustrem os níveis de desempenho e conduta esperados; e
  • avaliações periódicas de desempenho, levando a promoções que demonstram o compromisso da entidade com a promoção do pessoal qualificado a níveis mais elevados de responsabilidade.
• (e) Como a entidade responsabiliza os indivíduos em busca dos objetivos do sistema de controles internos da entidade.
   Isso pode ser feito por meio de, por exemplo:
  •  mecanismos para comunicar e responsabilizar os indivíduos pelo cumprimento das responsabilidades de controle e implementar ações corretivas conforme necessário;
  • estabelecer medidas de desempenho, incentivos e recompensas para os responsáveis pelo sistema de controles internos da entidade, incluindo o modo como as medidas são avaliadas e mantida sua relevância;
  • o modo como as pressões associadas com o alcance dos objetivos de controle afeta as responsabilidades do indivíduo e as medidas de desempenho; e
  • o modo como os indivíduos são disciplinados, conforme necessário.

A adequação dos assuntos acima será diferente para cada entidade, dependendo do seu porte, da complexidade da sua estrutura e da natureza de suas atividades.

Processo de avaliação de riscos da entidade

7. O processo de avaliação de riscos da entidade é um processo iterativo para identificar e analisar riscos na realização dos objetivos da entidade, e forma a base de como a administração e os responsáveis pela governança determinam os riscos a serem gerenciados.

8. Para fins de demonstrações contábeis, o processo de avaliação de riscos da entidade inclui a maneira como a administração identifica riscos do negócio relevantes para a elaboração de demonstrações contábeis em conformidade com a estrutura de relatório financeiro aplicável à entidade, estima a sua significância, avalia a probabilidade de sua ocorrência e decide por ações para administrar tais riscos e os resultados dessas ações.
Por exemplo, o processo de avaliação de riscos da entidade pode tratar como a entidade considera a possibilidade de existência de transações não registradas ou identifica e analisa estimativas significativas registradas nas demonstrações contábeis.

9. Os riscos relevantes quanto à fidedignidade das demonstrações contábeis incluem eventos externos e internos, transações ou circunstâncias que possam ocorrer e afetar adversamente a capacidade da entidade de iniciar, registrar, processar e reportar dados financeiros compatíveis com as afirmações da administração nas demonstrações contábeis.
A administração pode iniciar planos, programas ou ações para enfrentar riscos específicos ou pode decidir aceitar um risco por causa do custo ou de outras considerações.
Os riscos podem surgir ou se modificar em decorrência de circunstâncias, tais como:

1. Mudanças no ambiente operacional. Mudanças no ambiente regulatório, econômico ou operacional podem resultar em mudanças nas pressões competitivas e riscos significativamente diferentes.
2. Pessoal novo. Pessoal novo pode ter foco ou entendimento diferente do sistema de controles internos da entidade.
3. Sistemas de informações novos ou remodelados. Mudanças rápidas e significativas nos sistemas de informação podem mudar o risco relacionado com o sistema de controles internos da entidade. • Crescimento rápido. A expansão rápida e significativa das operações pode prejudicar os controles e aumentar o risco de falhas nos controles.
4. Nova tecnologia. Incorporar novas tecnologias aos processos de produção ou sistemas de informação pode mudar o risco associado ao sistema de controles internos da entidade.
5. Novos modelos de negócios, produtos ou atividades. Entrar em áreas de negócio ou transações nas quais a entidade tem pouca experiência pode introduzir novos riscos associados ao sistema de controles internos da entidade.
6. Reestruturações societárias. Reestruturações podem ser acompanhadas por redução de pessoal e mudança na supervisão e segregação de funções que podem mudar o risco associado ao sistema de controles internos da entidade.
7. Expansão de operações internacionais. A expansão ou a aquisição de operações internacionais traz riscos novos e muitas vezes sem qualquer paralelo com os riscos anteriores, que podem afetar o controle interno, por exemplo, riscos adicionais ou modificados nas transações em moeda estrangeira.
8. Novas normas contábeis. A adoção de novos princípios contábeis ou modificação de princípios contábeis pode afetar riscos na elaboração de demonstrações contábeis.
9. Uso de TI. Riscos relacionados com: o manutenção da integridade dos dados e processamento de informações; o riscos para a estratégia de negócio da entidade que surgem se a estratégia de TI da entidade não suporta de maneira efetiva a sua estratégia de negócio; ou o mudanças ou interrupções no ambiente de TI da entidade, rotatividade do pessoal de TI, quando a entidade não faz as atualizações necessárias no ambiente de TI ou elas não são feitas em tempo hábil.

Processo de monitoramento do sistema de controles internos da entidade

10. O monitoramento do sistema de controles internos da entidade é um processo contínuo para avaliar a sua efetividade e tomar as medidas corretivas necessárias em tempo hábil.
O processo de monitoramento do sistema de controles internos da entidade pode envolver atividades contínuas, avaliações separadas (conduzidas periodicamente), ou a combinação das duas.
As atividades de monitoramento contínuo, muitas vezes estão embutidas nas atividades recorrentes normais da entidade e incluem atividades de administração e supervisão regulares.
O processo da entidade, provavelmente, varia em escopo e frequência dependendo da avaliação dos riscos pela entidade.

11. Os objetivos e o alcance da função de auditoria interna, normalmente, incluem atividades planejadas para avaliar ou monitorar a efetividade do sistema de controles internos da entidade (Apêndice 4 desta Norma e NBC-TA-610).
O processo de monitoramento do sistema de controles internos da entidade pode incluir atividades como revisão pela administração para determinar se as conciliações bancárias estão sendo elaboradas tempestivamente, avaliação pelos auditores internos do cumprimento pelo pessoal de vendas das políticas da entidade nos termos de contratos de venda e supervisão pelo departamento jurídico do cumprimento das políticas de ética ou prática de negócios da entidade.
O monitoramento também é feito para assegurar que os controles continuem a operar efetivamente ao longo do tempo.
Por exemplo, se a tempestividade e a exatidão das conciliações bancárias não forem monitoradas, é provável que os empregados parem de elaborá-las.

12. Os controles relacionados com o processo de monitoramento do sistema de controles internos da entidade, incluindo aqueles que monitoram os controles automatizados subjacentes, podem ser automatizados, manuais ou a combinação dos dois.
Por exemplo, a entidade pode usar controles de monitoramento automatizados sobre acesso à determinada tecnologia com relatórios automatizados sobre atividade não usual para a administração, que investiga manualmente as anormalidades identificadas.

13. Ao distinguir entre atividade de monitoramento e controle relacionado com o sistema de informações, são considerados os detalhes subjacentes da atividade, especialmente quando a atividade envolve algum nível de revisão de supervisão.
Revisões de supervisão não são automaticamente classificadas como atividades de monitoramento e pode ser uma questão de julgamento se a revisão é classificada como controle relacionado com o sistema de informações ou como atividade de monitoramento.
Por exemplo, a intenção de um controle mensal de integridade pode ser detectar e corrigir erros, enquanto uma atividade de monitoramento indagaria o motivo de os erros estarem ocorrendo e atribuiria à administração a responsabilidade de corrigir o processo para evitar futuros erros.
Em temos simples, o controle relacionado com o sistema de informações responde a um risco específico, enquanto a atividade de monitoramento avalia se os controles em cada um dos cinco componentes do sistema de controles internos da entidade estão operando conforme pretendido.

14. As atividades de monitoramento podem incluir o uso de informações de comunicações de partes externas que possam indicar problemas ou destacar áreas com necessidade de aprimoramento.
Os clientes confirmam implicitamente dados de faturamento ao pagarem suas faturas ou reclamarem de seus valores ou encargos.
Além disso, os reguladores podem comunicar-se com a entidade a respeito de assuntos que afetam o funcionamento do seu sistema de controles internos, por exemplo, comunicações a respeito de análises de agências reguladoras bancárias.
A administração também pode considerar comunicações referentes ao sistema de controles internos da entidade vindas de auditores externos ao realizar atividades de monitoramento.

Sistema de informações e comunicação

15. O sistema de informações relevante para a elaboração das demonstrações contábeis consiste em atividades e políticas, bem como em registros contábeis e de suporte, planejados e estabelecidos para:

1. iniciar, registrar e processar as transações da entidade (bem como capturar, processar e divulgar informações sobre eventos e condições que não sejam transações) e manter a prestação de contas para os respectivos ativos, passivos e patrimônio líquido;
2. corrigir o processamento incorreto de transações, por exemplo, arquivos automatizados semiativos e procedimentos seguidos para endereçar esses arquivos tempestivamente;
3. processar e contabilizar as transgressões ao sistema ou os desvios dos controles;
4. transferir informações de sistemas de processamento de transações para o razão geral (por exemplo, transferir transações acumuladas de razão auxiliar);
5. capturar e processar informações relevantes para a elaboração das demonstrações contábeis relacionadas com outros eventos e condições além das transações, tais como depreciação e amortização de ativos e modificações na recuperação de contas a receber; e
6. assegurar que as informações que exigem divulgação pela estrutura de relatório financeiro aplicável sejam acumuladas, registradas, processadas, resumidas e, adequadamente, reportadas nas demonstrações contábeis.

16. Processos de negócio da entidade são as atividades destinadas a:

1. desenvolver, comprar, produzir, vender e distribuir os produtos e serviços da entidade;
2. assegurar a conformidade com leis e regulamentos; e
3. registrar informações, inclusive informações contábeis e financeiras. Processos de negócio resultam em transações que são registradas, processadas e reportadas pelo sistema de informações.

17. A qualidade das informações afeta a capacidade da administração de tomar decisões apropriadas na gestão e controle das atividades da entidade e de elaborar demonstrações contábeis confiáveis.

18. A comunicação, que envolve fornecer entendimento de funções e responsabilidades individuais próprias do sistema de controles internos da entidade, pode assumir as formas de manuais de políticas, manuais de relatórios contábeis e financeiros e memorandos.
A comunicação também pode ser feita eletronicamente, verbalmente e por meio de ações da administração.

19. A comunicação pela entidade das funções e responsabilidades e de assuntos significativos relacionados com as informações contábeis envolve fornecer entendimento das funções e responsabilidades individuais próprias do sistema de controles internos da entidade relevantes para a apresentação de relatórios financeiros.
Ela pode incluir assuntos como a extensão em que o pessoal entende o modo como suas atividades associadas ao sistema de informações relacionam-se com o trabalho de outros e a forma de comunicar as exceções ao nível mais alto apropriado na entidade.

Atividades de controle

20. Os controles no componente de atividades de controle são identificados, de acordo com o item 26. Esses controles incluem controles de processamento de informações e controles gerais de TI, que podem ser manuais ou automatizados.
Quanto maior a extensão de controles automatizados ou controles envolvendo recursos automatizados que a administração usa e nos quais confia para a apresentação de seus relatórios financeiros, mais importante pode se tornar para a entidade implementar controles gerais de TI que tratem do funcionamento contínuo dos recursos automatizados dos controles de processamento de informações.
Os controles no componente de atividades de controle podem estar relacionados com o seguinte:

1. Autorização e aprovações.
   1. A autorização afirma que a transação é válida (isto é, ela representa evento econômico real ou está incluída na política da entidade).
   2. A autorização, geralmente, tem a forma de aprovação de nível mais alto da administração ou de verificação e determinação se a transação é válida.
   3. Por exemplo, o supervisor aprova um relatório de despesas depois de analisar se as despesas parecem razoáveis e se estão de acordo com a política.
   4. Um exemplo de aprovação automatizada é quando o custo na fatura é automaticamente comparado com o custo no pedido de compra relacionado dentro do nível de tolerância pré-estabelecido.
   5. As faturas dentro do nível de tolerância são automaticamente aprovadas para pagamento.
   6. As que ficam fora do nível de tolerância são sinalizadas para investigação adicional.
2. Conciliações
   1. Conciliações comparam dois ou mais elementos de dados. Se forem identificadas diferenças, são tomadas medidas para acertar os dados.
   2. As conciliações geralmente tratam da integridade ou precisão das transações de processamento.
3. Verificações
   1. Verificações comparam dois ou mais itens entre si ou comparam um item com uma política, e provavelmente envolvem a ação de acompanhamento quando os dois itens não combinarem ou o item não for compatível com a política.
   2. As verificações, geralmente, tratam da integridade, precisão ou validade das transações de processamento.
4. Controles físicos ou lógicos, incluindo aqueles que tratam da segurança de ativos contra acesso, aquisição, uso e alienação não autorizados.
   São controles que abrangem:
   1. a segurança física dos ativos, incluindo salvaguardas adequadas, tais como instalações seguras para acesso a ativos e registros;
   2. a autorização de acesso a programas de computador e arquivos de dados (isto é, acesso lógico);
   3. a contagem e a comparação periódicas com valores apresentados nos registros de controle (por exemplo, comparar os resultados de contagens de dinheiro, títulos e estoques com registros contábeis).
   4. A extensão em que os controles físicos destinados a impedir roubo de ativos são relevantes para a confiabilidade da elaboração das demonstrações contábeis depende de circunstâncias como quando os ativos são altamente suscetíveis à apropriação indébita.
5. Segregação de funções.
   1. Atribuir a pessoas diferentes as responsabilidades de autorizar e registrar transações, bem como manter a custódia dos ativos.
   2. A segregação de funções destina-se a reduzir as oportunidades que permitam a qualquer pessoa estar em posição de perpetrar e de ocultar erros ou fraudes no curso normal das suas funções.
      Por exemplo, o gerente que autoriza vendas a prazo não é responsável por manter os registros de contas a receber ou manusear recebimentos em dinheiro.
   3. Se uma pessoa é capaz de desempenhar todas essas atividades, ela pode, por exemplo, criar uma venda fictícia que pode não ser detectada. Da mesma forma, vendedores não podem ser capazes de alterar arquivos de preços de produtos ou taxas de comissões.
   4. Algumas vezes, a segregação não é prática e eficaz em termos de custo ou viável. Por exemplo, entidades de menor porte e menos complexas podem não ter recursos suficientes para conseguir a segregação ideal e o custo para contratar pessoal adicional pode ser proibitivo. Nessas situações, a administração pode instituir controles alternativos.
   5. No exemplo acima, se o vendedor pode alterar arquivos de preços de produtos, pode ser implementada uma atividade de controle de detecção por meio da qual pessoal não relacionado com o departamento de vendas revisa periodicamente se, e em quais circunstâncias, o vendedor alterou preços.

21. Certos controles podem depender da existência de controles de supervisão apropriados estabelecidos pela administração ou pelos responsáveis pela governança.
Por exemplo, os controles de autorização podem ser delegados sob diretrizes estabelecidas, tais como critérios de investimento estabelecidos pelos responsáveis pela governança.
Alternativamente, transações não rotineiras, tais como aquisições ou alienações importantes, podem requerer aprovação de alto escalão, inclusive, em alguns casos, a dos acionistas.

Limitações do controle interno

22. O sistema de controles internos da entidade, não importa o quão efetivo, pode fornecer à entidade apenas asseguração razoável quanto ao cumprimento dos objetivos das demonstrações contábeis da entidade.
A probabilidade de seu cumprimento é afetada por limitações inerentes ao controle interno. Estas incluem os pressupostos de que o julgamento humano em tomadas de decisões é falho e de que rupturas no sistema de controles internos da entidade podem ocorrer por erro humano. Por exemplo, pode haver erro na concepção ou na modificação do controle.
Igualmente, a operação de controle pode não ser efetiva, por exemplo, quando as informações apresentadas para os fins do sistema de controles internos da entidade (por exemplo, relatório de exceção) não são usadas, efetivamente, porque o indivíduo responsável pela revisão das informações não compreende o seu propósito ou deixa de tomar a ação apropriada.

23. Adicionalmente, os controles podem ser contornados pelo conluio de duas ou mais pessoas ou podem ser indevidamente transgredidos pela administração. Por exemplo, a administração pode firmar com os clientes contratos paralelos que alterem os termos e as condições dos contratos de venda que são padrão da entidade, o que pode resultar no reconhecimento inadequado de receita.
Também podem ser anulados ou desativados os testes de verificação em aplicativo de TI destinados a identificar e a relatar transações que excedam limites de créditos especificados.

24. Além disso, ao planejar e implementar controles, a administração pode fazer julgamentos sobre a natureza e a extensão dos controles selecionados para serem implementados, bem como a natureza e a extensão dos riscos que ela decide assumir.