NBC - NORMAS BRASILEIRAS DE CONTABILIDADE
NBC-T - NORMAS TÉCNICAS
NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE
NBC-TA-315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE POR MEIO DO ENTENDIMENTO DA ENTIDADE E DO SEU AMBIENTE
PARTE 1: INTRODUÇÃO - REQUISITOS
INTRODUÇÃO - item 1 - 12
REQUISITOS - item 13 - 37
Esta Norma deve ser lida em conjunto com a NBC-TA-200 - Objetivos Gerais do Auditor Independente e a Condução da Auditoria em Conformidade com Normas de Auditoria.
Coletânea por Américo G Parada Fº - Contador - Coordenador do COSIFE
INTRODUÇÃO - item 1 - 12
ALCANCE - item 1
1. Esta Norma trata da responsabilidade do auditor na identificação e avaliação dos riscos de distorção relevante nas demonstrações contábeis.
PRINCIPAIS CONCEITOS - item 2 - 8
2. A NBC-TA-200 - Objetivos Gerais do Auditor Independente e a Condução da Auditoria em Conformidade com Normas de Auditoria, itens 13(c) e 17, trata dos objetivos gerais do auditor na condução da auditoria de demonstrações contábeis, inclusive para obter evidência de auditoria apropriada e suficiente para reduzir o risco de auditoria a um nível baixo aceitável.
O risco de auditoria é uma função dos riscos de distorção relevante e do risco de detecção.
A NBC-TA-200, item A37, explica que os riscos de distorção relevante podem existir em dois níveis: no nível geral das demonstrações contábeis e no nível da afirmação para classes de transações, saldos contábeis e divulgações.
3. A NBC-TA-200, itens 15 e 16, requer que o auditor exerça julgamento profissional no planejamento e execução da auditoria e para planejar e executar a auditoria com ceticismo profissional, reconhecendo que pode haver circunstâncias que causam distorção relevante nas demonstrações contábeis
4. Os riscos no nível geral da demonstração contábil referem-se às demonstrações contábeis como um todo e que afetam potencialmente muitas afirmações.
Os riscos de distorção relevante no nível da afirmação consistem em dois componentes: risco inerente e risco de controle:
- O risco inerente é descrito como sendo a suscetibilidade de uma afirmação a respeito de uma classe de transação, saldo contábil ou divulgação, a uma distorção que pode ser relevante, individualmente ou em conjunto com outras distorções, antes da consideração de quaisquer controles relacionados.
- O risco de controle é descrito como sendo o risco de que uma distorção que pode ocorrer em uma afirmação a respeito de uma classe de transação, saldo contábil ou divulgação e que pode ser relevante, individualmente ou em conjunto com outras distorções, não seja prevenida, detectada e corrigida tempestivamente pelos controles internos da entidade.
5. A NBC-TA-200, item A46 e NBC-TA-330 - Resposta do Auditor aos Riscos Avaliados, item 6, explica que os riscos de distorção relevante são avaliados no nível da afirmação para que se determine a natureza, a época e a extensão dos procedimentos adicionais de auditoria necessários para a obtenção de evidência de auditoria apropriada e suficiente.
Para os riscos identificados de distorção relevante no nível de afirmação, uma avaliação separada do risco inerente e do risco de controle é exigida por esta Norma.
Conforme explicado na NBC-TA-200, o risco inerente é maior para algumas afirmações e classes relacionadas de transações, saldos contábeis e divulgações do que para outras.
A extensão na qual o risco inerente varia é chamada nesta Norma de "spectrum do risco inerente".
6. Os riscos de distorção relevante identificados e avaliados pelo auditor incluem tanto aqueles causados por erro como aqueles causados por fraude.
Embora ambos sejam abordados por esta Norma, a importância da fraude é tamanha que requisitos e orientações adicionais estão incluídos na NBC-TA-240 - Responsabilidade do Auditor em Relação a Fraude, no Contexto da Auditoria de Demonstrações Contábeis com relação aos procedimentos de avaliação de riscos e atividades relacionadas para se obter informações que são utilizadas na identificação e avaliação dos riscos de distorção relevante devido a fraude e na resposta aos mesmos.
7. O processo de identificação e avaliação de riscos por parte do auditor é interativo e dinâmico.
O entendimento do auditor da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos são interdependentes dos conceitos dos requisitos para identificar e avaliar os riscos de distorção relevante.
Na obtenção do entendimento requerido por esta Norma, as expectativas iniciais dos riscos podem ser desenvolvidas e podem ser mais refinadas à medida que o auditor evolui por meio do processo de identificação e avaliação dos riscos.
Além disso, esta Norma e a NBC-TA-330 - Resposta do Auditor aos Riscos Avaliados requerem que o auditor revise as avaliações de riscos e modifique as respostas gerais adicionais e os procedimentos adicionais de auditoria, com base em evidência de auditoria obtida a partir da realização de procedimentos adicionais de auditoria, de acordo com a NBC-TA-330, ou se novas informações forem obtidas.
8. A NBC-TA-330, item 5, requer que o auditor planeje e implemente respostas gerais para tratar dos riscos avaliados de distorção relevante no nível das demonstrações contábeis.
A NBC-TA-330 explica ainda que a avaliação dos riscos de distorção relevante no nível das demonstrações contábeis por parte do auditor e as respostas gerais do auditor são afetadas pelo seu entendimento do ambiente de controle.
A NBC-TA-330, item 6, também requer que o auditor planeje e realize procedimentos adicionais de auditoria cuja natureza, época e extensão se baseiem nos riscos avaliados de distorção relevante no nível da afirmação e respondam a eles.
ESCALABILIDADE - item 9
9. A NBC-TA-200, item A69, afirma que algumas normas incluem considerações de escalabilidade que ilustram a aplicação dos requisitos para todas as entidades independentemente de se sua natureza e circunstâncias forem menos ou mais complexas.
Esta Norma é direcionada à auditoria de todas as entidades, independentemente do porte ou da complexidade e o material de aplicação inclui considerações específicas tanto para entidades menos complexas quanto para entidades mais complexas, conforme apropriado.
Embora o porte de uma entidade possa ser um indicativo de sua complexidade, algumas entidades menores podem ser complexas e algumas entidades maiores podem ser menos complexas.
DATA DA VIGÊNCIA - item 10
10. Esta Norma aplica-se a auditoria de demonstrações contábeis de períodos iniciados em, ou após, 1º de janeiro de 2022.
A redação deste item 10, diverge do contido no item sobre a
VIGÊNCIA. Mas, interpretando-se as duas formas de dizer ou escrever, parece que o redator desta NBC-TA-315 quis dizer a mesma coisa.
Acima lê-se períodos iniciados em, ou após, 1º de janeiro de 2022.
Abaixo lê-se: exercícios ou períodos que se findam em, ou após, 31 de dezembro de 2022.
Entende-se que os termos exercícios ou períodos referem-se ao ANO CALENDÁRIO = Exercício Fiscal (artigo 16 da Lei 4.750/1985).
Em razão dessa determinação legal, o Exercício Social mencionado no
artigo 175 da Lei 6.404/1976 também deve coincidir com o Ano Calendário = Exercício Fiscal.
Essa mesma obrigatoriedade foi reafirmada nos
artigos 1º e 2º da Lei 9.430/1996.
OBJETIVO - item 11
11.O objetivo do auditor é identificar e avaliar os riscos de distorção relevante independentemente de se causados por fraude ou erro, nos níveis das demonstrações contábeis e da afirmação, proporcionando assim uma base para o planejamento e a implementação das respostas aos riscos avaliados de distorção relevante.
DEFINIÇÕES - item 12
12. Para fins das normas de auditoria, os termos abaixo têm os seguintes significados:
- (a) Afirmações são representações, explícitas ou de outra forma, relacionadas com o reconhecimento, a mensuração, a apresentação e a divulgação de informações nas demonstrações contábeis que são inerentes à representação da administração de que as demonstrações contábeis são elaboradas de acordo com a estrutura de relatório financeiro aplicável. As afirmações são utilizadas pelo auditor para considerar os diferentes tipos de distorções potenciais que podem ocorrer na identificação e avaliação dos riscos de distorção relevante e na resposta aos mesmos (ver item A1).
- (b) Risco de negócio - um risco que resulta de condições, eventos, circunstâncias, ações ou falta de ações significativas que podem afetar adversamente a capacidade da entidade de alcançar seus objetivos e executar suas estratégias, ou do estabelecimento de objetivos ou estratégias inapropriadas.
- (c) Controles - políticas ou procedimentos que uma entidade estabelece para alcançar os objetivos de controle da administração ou dos responsáveis pela governança. Nesse contexto (ver itens de A2 a A5):
- (i) políticas são declarações do que deve, ou não deve, ser feito em uma entidade para se efetuar o controle. Essas declarações podem ser documentadas, explicitamente apresentadas em comunicados, ou implícitas em ações e decisões
- (ii) procedimentos são ações para implementar as políticas.
- (d) Controles gerais de tecnologia da informação (TI) são os controles sobre os processos de TI da entidade que suportam a operação adequada contínua do ambiente de TI, incluindo o funcionamento efetivo continuado dos controles de processamento de informações e a integridade das informações (ou seja, a integridade, a precisão e a validade das informações) no sistema de informações da entidade. Ver também a definição de Ambiente de TI.
- (e) Controles de processamento de informações são os controles relacionados com o processamento das informações em aplicativos de TI ou processos manuais de informações no sistema de informação da entidade que abordam diretamente os riscos à integridade das informações (ou seja, a integridade, a precisão e a validade das transações e outras informações) (ver item A6).
- (f) Fatores de risco inerentes são características de eventos ou condições que afetam a suscetibilidade à distorção, independentemente de se causada por fraude ou erro, de uma afirmação relevante sobre uma classe de transações, saldo contábil ou divulgação, antes da consideração dos controles. Esses fatores podem ser qualitativos ou quantitativos e incluem complexidade, subjetividade, mudanças, incertezas ou susceptibilidade à distorção devido à tendência da administração ou a outros fatores de risco de fraude na medida em que eles afetam o risco inerente (ver itens A7 e A8 e NBC-TA-240, itens de A24 a A27).
- (g) Ambiente de TI são aplicativos de TI e a infraestrutura de suporte de TI, assim como os processos de TI e o pessoal envolvido nesses processos, que uma entidade utiliza para suportar as operações comerciais e alcançar estratégias de negócios. Para fins desta Norma:
- (i) aplicativo de TI é um programa ou um conjunto de programas que é utilizado na iniciação, no processamento, no registro e na divulgação de transações ou informações. Os aplicativos de TI incluem depósitos de dados e geradores de relatórios;
- (ii) A infraestrutura de TI inclui a rede, os sistemas operacionais e os bancos de dados e seus respectivos hardwares e softwares;
- (iii) processos de TI são os processos da entidade para gerenciar o acesso ao ambiente de TI, gerenciar alterações nos programas ou alterações no ambiente de TI e gerenciar operações de TI.
- (h) Afirmações relevantes - Uma afirmação sobre uma classe de transações, saldo contábeis ou divulgação é relevante quando ela tem um risco identificado de distorção relevante. A determinação de se uma afirmação é uma afirmação relevante é feita antes da consideração de quaisquer controles relacionados (ou seja, o risco inerente) (ver item A9).
- (i) Riscos oriundos do uso de TI é a susceptibilidade dos controles de processamento de informações ao desenho ou à operação ineficiente, ou os riscos à integridade das informações (ou seja, a integridade, a precisão e a validade das transações e outras informações) no sistema de informação da entidade, devido ao desenho ou à operação ineficiente de controles nos processos de TI da entidade (ver Ambiente de TI).
- (j) Procedimentos de avaliação de riscos são procedimentos de auditoria planejados e realizados para identificar e avaliar os riscos de distorção relevante independentemente de se causados por fraude ou erro nos níveis das demonstrações contábeis e da afirmação.
- (k) Classe significativa de transações, saldo contábil ou divulgação é a classe de transações, saldo contábil ou divulgação para a qual há apenas uma ou mais afirmações relevantes. (l) Risco significativo é o risco identificado de distorção relevante (ver item A10):
- (i) para o qual a avaliação do risco inerente está próxima ao limite superior do spectrum de risco inerente devido à extensão na qual os fatores de risco inerentes afetam a combinação de probabilidade de ocorrência da distorção e a magnitude da distorção potencial caso ocorra a distorção; ou
- (ii) ele deve ser tratado como risco significativo de acordo com os requisitos de outras normas de auditoria (ver NBC-TA-240, item 28, e NBC-TA-550 - Partes Relacionadas, item 18).
- (m) Sistema de controle interno é o sistema planejado, implementado e mantido pelos responsáveis pela governança, pela administração e por outros empregados para fornecer segurança razoável quanto ao alcance dos objetivos da entidade no que se refere à confiabilidade dos relatórios financeiros, à efetividade e eficiência das operações e à conformidade com leis e regulamentos aplicáveis. Para fins das normas de auditoria, o sistema de controles internos consiste de cinco componentes interrelacionados:
- (i) ambiente de controle;
- (ii) processo de avaliação de riscos da entidade;
- (iii) processo da entidade para monitorar o sistema de controles internos;
- (iv) sistema de informação e comunicação; e
- (v) atividades de controle.
REQUISITOS - item 13 - 32
Procedimentos de avaliação de risco e atividades relacionadas - item 13 - 18
13. O auditor deve planejar e realizar procedimentos de avaliação de riscos para obter evidência de auditoria que forneça uma base adequada para (ver itens de A11 a A18):
- (a) a identificação e a avaliação dos riscos de distorção relevante, independentemente de se causados por fraude ou erro, nos níveis das demonstrações contábeis e da afirmação; e
- (b) o planejamento de procedimentos adicionais de auditoria de acordo com a NBC-TA-330. O auditor deve planejar e realizar procedimentos de avaliação de riscos de forma não tendenciosa em relação à obtenção de evidência de auditoria que possa ser comprobatória ou em relação à exclusão de evidência de auditoria que possa ser contraditória (ver item A14).
14. Os procedimentos de avaliação de riscos devem incluir (ver itens de A19 a A21):
- (a) indagações junto à administração e a outros indivíduos apropriados da entidade, incluindo indivíduos da função de auditoria interna (caso essa função exista) (ver itens de A22 a A26)
- (b) procedimentos analíticos (ver itens de A27 a A31);
- (c) observação e inspeção (ver itens de A32 a A36).
Informações de outras fontes - item 15 - 16
15. Na obtenção de evidência de auditoria, de acordo com o item 13, o auditor deve considerar as informações de (ver itens de A37 a A38):
- (a) procedimentos do auditor com relação à aceitação ou à continuação da relação com o cliente ou do trabalho de auditoria; e
- (b) quando aplicável, outros trabalhos realizados pelo sócio do trabalho para a entidade.
16. Quando o auditor pretende usar as informações obtidas a partir da experiência anterior do auditor com a entidade e de procedimentos de auditoria realizados em auditorias anteriores, o auditor deve avaliar se essas informações continuam sendo relevantes e confiáveis como evidência de auditoria para a auditoria atual (ver itens de A39 a A41).
Discussão da equipe encarregada do trabalho - item 17 - 18
17. O sócio do trabalho e outros membros-chave da equipe encarregada do trabalho devem discutir a aplicação da estrutura de relatório financeiro aplicável e a suscetibilidade das demonstrações contábeis da entidade à distorção relevante (ver itens de A42 a A47).
18. Quando houver membros da equipe não envolvidos na discussão com o time de auditoria, o sócio do trabalho deve determinar quais assuntos devem ser comunicados a esses membros.
Obtenção de entendimento da entidade, do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos (ver itens A48 e A49) - item 19 - 27
Entendimento da entidade, do seu ambiente e da estrutura de relatório financeiro aplicável (ver itens de A50 a A55) - item 19 - 20
19. O auditor deve realizar procedimentos de avaliação de riscos para obter entendimento:
- (a) dos seguintes aspectos da entidade e do seu ambiente:
- (i) a estrutura organizacional, de propriedade e de governança da entidade e do seu modelo de negócio, incluindo a extensão na qual o modelo de negócio integra a utilização de TI (ver itens de A56 a A67);
- (ii) setor de atividade, regulamentares e outros fatores externos (ver itens de A68 a A73); e (iii) as medidas utilizadas, internamente e externamente, para avaliar o desempenho financeiro da entidade (ver itens de A74 a A81);
- (b) a estrutura de relatório financeiro aplicável, e as políticas contábeis da entidade e as razões para qualquer mudança nessas políticas (ver itens de A82 a A84); e
- (c) como os fatores de risco inerentes afetam a suscetibilidade das afirmações à distorção, e o grau em que isso acontece, na elaboração das demonstrações contábeis de acordo com a estrutura de relatório financeiro aplicável, com base no entendimento obtido nas alíneas (a) e (b) (ver itens de A85 a A89).
20. O auditor deve avaliar se as políticas contábeis da entidade são apropriadas e consistentes com a estrutura de relatório financeiro aplicável.
Entendimento dos componentes do sistema de controles internos da entidade (ver itens de A90 a A95) - item 21 - 27
Ambiente de controles, o processo de avaliação de riscos da entidade e o processo da entidade para monitorar o sistema de controles internos (ver itens de A96 a A98) - item 21 - 24
Ambiente de controle - item 21
21. O auditor deve obter entendimento do ambiente de controles relevante para a preparação das demonstrações contábeis por meio da realização de procedimentos de avaliação de riscos, mediante (ver itens A99 e A100):
- (a) entendimento do conjunto de controles, processos e estruturas que endereçam (ver itens A101 e A102):
- (i) como as responsabilidades de supervisão da administração são desempenhadas, tais como a cultura da entidade e o compromisso da administração com valores de integridade e éticos;
- (ii) quando os responsáveis pela governança estão separados da administração, a independência dos responsáveis pela governança e a supervisão do sistema de controles internos da entidade realizada por eles;
- (iii) a atribuição de autoridade e responsabilidade da entidade;
- (iv) como a entidade atrai, desenvolve e retém indivíduos competentes; e
- (v) como a entidade responsabiliza os indivíduos pelos seus deveres na busca pelos objetivos do sistema de controles internos;
- (b) avaliação se (ver itens de A103 a A108):
- (i) administração, com a supervisão dos responsáveis pela governança, criou e manteve uma cultura de honestidade e comportamento ético;
- (ii) o ambiente de controle fornece uma base apropriada para os outros componentes do sistema de controles internos da entidade considerando a natureza e a complexidade da entidade; e
- (iii) deficiências nos controles identificadas no ambiente de controle enfraquecem os outros componentes do sistema de controles internos da entidade.
Processo de avaliação de riscos da entidade - item 22 - 23
22. O auditor deve obter entendimento do processo de avaliação de riscos da entidade relevante para a preparação das demonstrações contábeis por meio da realização de procedimentos de avaliação de risco mediante:
- (a) entendimento do processo da entidade para (ver itens A109 e A110):
- (i) identificar os riscos do negócio relevantes para os objetivos dos relatórios financeiros (ver item A62);
- (ii) avaliar a importância desses riscos, incluindo a probabilidade de sua ocorrência; e
- (iii) endereçar esses riscos; e
- (b) análise se o processo de avaliação de riscos da entidade é apropriado para as circunstâncias da entidade, considerando a sua natureza e a complexidade (ver itens de A111 a A113).
23. Se o auditor identificar riscos de distorção relevante que a administração deixou de identificar, ele deve:
- (a) determinar se esses riscos são do tipo que o auditor espera que tivessem sido identificados pelo processo de avaliação de riscos da entidade e, caso afirmativo, obter entendimento do motivo pelo qual o processo de avaliação de riscos da entidade deixou de identificar esses riscos de distorção relevante; e
- (b) considerar as implicações para a avaliação do auditor no item 22(b).
Processo da entidade para monitorar o sistema de controles internos - item 24
24. O auditor deve obter entendimento do processo da entidade para monitorar o sistema de controles internos relevante para a preparação das demonstrações contábeis por meio da realização de procedimentos de avaliação de risco, mediante (ver itens A114 e A115):
- (a) entendimento desses aspectos do processo da entidade que tratam:
- (i) das avaliações contínuas e separadas para monitorar a efetividade dos controles e a identificação e correção das deficiências dos controles identificadas (ver itens A116 e A117); e
- (ii) da função de auditoria interna da entidade, se houver, incluindo sua natureza, suas responsabilidades e suas atividades (ver item A118);
- (b) entendimento das fontes das informações usadas no processo da entidade para monitorar o sistema de controles internos e o embasamento sobre o qual a administração considera as informações suficientemente confiáveis para esse propósito (ver itens A119 e A120);
- (c) avaliação de se o processo da entidade para monitorar o sistema de controles internos é apropriado para as circunstâncias da entidade, considerando a natureza e a complexidade da entidade (ver itens A121 e A122).
Sistema de informação e comunicação, e atividades de controle (ver itens de A123 a A130) - item 25 - 27
Sistema de informação e comunicação - item 25
25. O auditor deve obter entendimento do sistema de informação e comunicação relevante para a elaboração das demonstrações contábeis por meio da realização de procedimentos de avaliação de risco mediante (ver item A131):
- (a) entendimento das atividades de processamento das informações da entidade, incluindo seus dados e informações, dos recursos a serem usados nessas atividades e das políticas que definem, para as classes significativas de transações, saldos contábeis e divulgações (ver itens de A132 a A143):
- (i) como as informações fluem por meio do sistema de informação da entidade, incluindo como:
- a. transações são iniciadas e as informações a seu respeito são registradas, processadas, corrigidas conforme necessário, incorporadas no razão geral e apresentadas nas demonstrações contábeis; e
- b. informações sobre eventos e condições, exceto transações, são capturadas, processadas e divulgadas nas demonstrações contábeis;
- (ii) os registros contábeis, as contas específicas nas demonstrações contábeis e outros registros de suporte relacionados com os fluxos de informações no sistema de informação;
- (iii) o processo de apresentação de relatórios financeiros usado para preparar as demonstrações contábeis da entidade, incluindo divulgações; e
- (iv) os recursos da entidade, incluindo o ambiente de TI, relevantes para a alínea (a)(i) a (iii);
- (b) entendimento de como a entidade comunica assuntos importantes que suportam a elaboração das demonstrações contábeis e as respectivas responsabilidades de apresentação de relatório no sistema de informação e em outros componentes do sistema de controles internos (ver itens A144 a 145):
- (i) entre as pessoas na entidade, incluindo como os papéis e as responsabilidades de apresentação de relatório são comunicados;
- (ii) entre a administração e os responsáveis pela governança; e
- (iii) com partes externas, como com autoridades reguladoras; e
- (c) avaliação de se o sistema de informação e comunicação da entidade suporta, de maneira apropriada, a elaboração das demonstrações contábeis da entidade de acordo com a estrutura de relatório financeiro aplicável (ver item A146).
Atividades de controle - item 26
26. O auditor deve obter entendimento do componente das atividades de controle, por meio da realização de procedimentos de avaliação de riscos, mediante (ver itens de A147 a A157);
- (a) identificação de controles que tratam dos riscos de distorção relevante no nível de afirmação no componente das atividades de controle, como segue:
- (i) controles que tratam de um risco que é determinado como sendo risco significativo (ver itens A158 e A159);
- (ii) controles sobre lançamentos no livro diário, inclusive lançamentos no livro diário não rotineiros usados para registrar transações ou ajustes não usuais (ver itens A160 e A161);
- (iii) controles para os quais o auditor planeja testar a efetividade operacional para determinar a natureza, a época e a extensão do teste substantivo, que deve incluir os controles que tratam dos riscos para os quais somente os procedimentos substantivos não fornecem evidência de auditoria apropriada e suficiente (ver itens de A162 a A164); e
- (iv) outros controles que o auditor considera como sendo apropriados para permitir que ele atenda aos objetivos do item 13 com relação aos riscos no nível da afirmação com base no seu julgamento profissional (ver item A165);
- (b) com base nos controles identificados na alínea (a), identificação dos aplicativos de TI e de outros aspectos do ambiente de TI da entidade que estão sujeitos aos riscos decorrentes do uso de TI (ver itens de A166 a A172);
- (c) para esses aplicativos de TI e outros aspectos do ambiente de TI identificados na alínea (b), a identificação (ver itens A173 e A174):
- (i) dos riscos relacionados decorrentes do uso de TI; e
- (ii) dos controles gerais de TI da entidade que tratam desses riscos; e
- (d) para cada controle identificado nas alíneas (a) ou (c)(ii) (ver itens de A175 a A181):
- (i) avaliar se o controle é efetivamente planejado para tratar do risco de distorção relevante no nível da afirmação ou efetivamente planejado para suportar a operação de outros controles; e
- (ii) determinar se o controle foi implementado mediante a realização de procedimentos além da indagação junto ao pessoal da entidade.
Deficiências de controle no sistema de controles internos da entidade - item 27
27. Com base na avaliação do auditor de cada um dos componentes do sistema de controles internos da entidade, o auditor deve determinar se uma ou mais deficiências de controle foram identificadas (ver itens A182 e A183).
Identificação e avaliação dos riscos de distorção relevantee (ver itens A184 e A185) - item 28 - 37
Identificação dos riscos de distorção relevante - item 28 - 29
28. O auditor deve identificar os riscos de distorção relevante e determinar se eles existem (ver itens de A186 a A192):
- (a) no nível das demonstrações contábeis (ver itens de A193 a A200); ou
- (b) no nível da afirmação para classes de transações, saldos contábeis e divulgações (ver item A201).
29. O auditor deve determinar as afirmações relevantes e as respectivas classes de transações, saldos contábeis e divulgações significativas (ver itens de A202 a A204).
Avaliação dos riscos de distorção relevante no nível das demonstrações contábeis - item 30
30. Para os riscos identificados de distorção relevante no nível das demonstrações contábeis, o auditor deve avaliar os riscos e (ver itens de A193 a A200):
- (a) determinar se esses riscos afetam a avaliação dos riscos no nível da afirmação; e
- (b) avaliar a natureza e a extensão de seu efeito generalizado nas demonstrações contábeis.
Avaliação dos riscos de distorção relevante no nível da afirmação - item 31 - 34
Avaliação do risco inerente (ver itens de A205 a A217) - item 31 - 33
31. Para os riscos identificados de distorção relevante no nível da afirmação, o auditor deve avaliar o risco inerente mediante a avaliação da probabilidade e da magnitude da distorção. Ao fazê-lo, o auditor deve levar em consideração o modo e o grau em que:
- (a) fatores de risco inerentes afetam a suscetibilidade das afirmações relevantes à distorção; e
- (b) os riscos de distorção relevante no nível das demonstrações contábeis afetam a avaliação do risco inerente para os riscos de demonstrações contábeis no nível da afirmação (ver itens A215 e A216).
32. O auditor deve determinar se qualquer um dos riscos avaliados de distorção relevante são riscos significativos (ver itens de A218 a A221).
33. O auditor deve determinar se somente os procedimentos substantivos não conseguem fornecer evidência de auditoria apropriada e suficiente para qualquer um dos riscos de distorção relevante no nível da afirmação (ver itens de A222 a A225).
Avaliação do risco de controle - item 34
34. Se o auditor planeja testar a efetividade operacional dos controles, ele deve avaliar o risco de controle. Se o auditor não planeja testar a efetividade operacional dos controles, a sua avaliação do risco de controle é tal que a avaliação do risco de distorção relevante é a mesma que a avaliação do risco inerente (ver itens de A226 a A229)
Avaliação da evidência de auditoria obtida a partir dos procedimentos de avaliação de riscos - item 35
35. O auditor deve avaliar se a evidência de auditoria obtida a partir dos procedimentos de avaliação de riscos fornece uma base apropriada para a identificação e a avaliação dos riscos de distorção relevante.
Se não, ele deve realizar procedimentos adicionais de avaliação de riscos até que a evidência de auditoria tenha sido obtida para fornecer tal base.
Ao identificar e avaliar os riscos de distorção relevante, o auditor deve levar em consideração toda a evidência de auditoria obtida a partir dos procedimentos de avaliação de riscos, independentemente de se ela corrobora ou contradiz as afirmações feitas pela administração (ver itens de A230 a A232).
Classes de transações, saldos contábeis e divulgações que não são significativas, mas que são relevantes - item 36
36. Para classes de transações, saldos contábeis ou divulgações relevantes que não foram determinados como sendo classes de transações, saldos contábeis ou divulgações significativas, o auditor deve avaliar se a sua determinação ainda é apropriada (ver itens de A233 a A235).
Revisão da avaliação de riscos - item 37
37. Se o auditor obtém novas informações que não são consistentes com a evidência de auditoria sobre a qual ele originalmente baseou a identificação ou avaliação dos riscos de distorção relevante, ele deve rever a identificação ou a avaliação (ver item A236).
Documentação - item 38
38. O auditor deve incluir na documentação de auditoria (ver itens de A237 a A241 e NBC-TA-230 - Documentação de Auditoria, itens de 8 a 11, A6 e A7):
- (a) a discussão entre a equipe encarregada do trabalho e as decisões significativas alcançadas;
- (b) elementos-chave do entendimento do auditor, de acordo com os itens 19, 21, 22, 24 e 25, as fontes de informações a partir das quais o entendimento do auditor foi obtido e os procedimentos de avaliação de riscos realizados;
- (c) a avaliação do plano dos controles identificados e a determinação de se esses controles foram implementados de acordo com os requisitos no item 26; e
- (d) a identificação e a avaliação dos riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação, incluindo os riscos significativos e os riscos para os quais somente os procedimentos substantivos não conseguem fornecer evidência de auditoria apropriada e suficiente, e a lógica utilizada para os julgamentos significativos feitos.