NBC - NORMAS BRASILEIRAS DE CONTABILIDADE
NBC-T - NORMAS TÉCNICAS
NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE
NBC-TA-315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE POR MEIO DO ENTENDIMENTO DA ENTIDADE E DO SEU AMBIENTE
APLICAÇÃO E OUTROS MATERIAIS EXPLICATIVOS - item A1 - A241
Coletânea por Américo G Parada Fº - Contador - Coordenador do COSIFE
NORMAS CORRELACIONADAS
Aplicação e outros materiais explicativos - item A1 - A241
Definições (ver item 12) - item A1 - A10
Afirmações (ver item 12(a)) - item A1
A1. Categorias de afirmações são utilizadas pelos auditores para considerar os diferentes tipos de distorções potenciais que podem ocorrer na identificação e avaliação dos riscos de distorção relevante e na resposta aos mesmos. Exemplos dessas categorias de afirmações estão descritos no item A190. As afirmações diferem das representações formais exigidas pela NBC TA 580 - Representações Formais para confirmar certos assuntos ou suportar outra evidência de auditoria.
Controles (ver item 12(c)) - item A2 - A5
A2. Controles estão embutidos nos componentes do sistema de controles internos da entidade.
A3. Políticas são implementadas por meio de ações do pessoal da entidade ou por meio da restrição do pessoal para tomar medidas que poderiam conflitar com essas políticas.
A4. Procedimentos podem ser autorizados por meio de documentação formal ou outra comunicação da administração ou dos responsáveis pela governança ou podem resultar de comportamentos que não são autorizados, mas condicionados pela cultura da entidade. Os procedimentos podem ser impostos por meio de ações permitidas pelos aplicativos de TI usados pela entidade ou por outros aspectos do ambiente de TI da entidade.
A5. Controles podem ser diretos ou indiretos. Os controles diretos são aqueles que são precisos o suficiente para tratar dos riscos de distorção relevante no nível da afirmação. Os controles indiretos são aqueles que suportam os controles diretos.
Controles de processamento de informações (ver item 12(e)) - item A6
A6. Os riscos à integridade das informações decorem da suscetibilidade à implementação ineficaz das políticas de informações da entidade, que são políticas que definem os fluxos de informações, registros e processos de apresentação de relatórios no sistema de informação da entidade. Os controles de processamento de informações são procedimentos que suportam a implementação efetiva das políticas de informações da entidade. Os controles de processamento de informações podem ser automatizados (isto é, embutidos nos aplicativos de TI) ou manuais (por exemplo, controles de entrada ou de saída) e podem contar com outros controles, incluindo outros controles de processamento de informações ou controles gerais de TI.
Fatores de risco inerentes (ver item 12(f)) - item A7 - A8
O Apêndice 2 descreve as considerações adicionais relacionadas com o entendimento dos fatores de risco inerentes.
A7. Os fatores de risco inerentes podem ser qualitativos ou quantitativos e afetam a suscetibilidade das afirmações a distorções. Os fatores de risco inerentes qualitativos relacionados com a preparação das informações exigidas pela estrutura de relatório financeiro aplicável incluem: • complexidade; • subjetividade; • mudança; • incerteza; ou • suscetibilidade à distorção devido à tendenciosidade da administração ou a outros fatores de risco de fraude à medida que eles afetam o risco inerente.
A8. Outros fatores de risco inerentes que afetam a suscetibilidade à distorção de uma afirmação sobre uma classe de transações, saldo contábil ou divulgação podem incluir: • a importância quantitativa ou qualitativa de uma classe de transações, saldo contábil ou divulgação; ou • o volume ou uma falta de uniformidade na composição dos itens a serem processados por meio da classe de transações ou saldo contábil ou a serem refletidos na divulgação.
Afirmações relevantes (ver item 12(h)) - item A9
A9. Um risco de distorção relevante pode estar relacionado com mais de uma afirmação e, nesse caso, todas as afirmações com as quais esse risco se relaciona são afirmações relevantes. Se uma afirmação não tem um risco identificado de distorção relevante, então ela não é uma afirmação relevante.
Risco significativo (ver item 12(l)) - A10
A10. A importância pode ser descrita como a importância relativa de um assunto e é julgada pelo auditor no contexto no qual o assunto está sendo considerado. Para o risco inerente, a importância pode ser considerada no contexto de como, e no grau em que, os fatores de risco inerentes afetam a combinação da probabilidade de uma distorção correr com a magnitude da distorção potencial caso ela ocorra.
Procedimentos de avaliação de riscos e atividades relacionadas (ver itens de 13 a 18) - item A11 - A47
A11. Os riscos de distorção relevante a serem identificados e avaliados incluem tanto aqueles causados por fraude como aqueles causados por erro e ambos são cobertos por esta Norma.
Entretanto, a importância da fraude é tamanha que requisitos e orientações adicionais estão incluídos na NBC TA 240, itens de 13 a 28, com relação aos procedimentos de avaliação de riscos e atividades relacionadas para se obter informações que são utilizadas na identificação e avaliação dos riscos de distorção relevante devido a fraude.
Além disso, as seguintes normas fornecem requisitos e orientações adicionais para a identificação e avaliação de riscos de distorção relevante relacionados com assuntos ou circunstâncias específicas:
A12. O ceticismo profissional é necessário para a avaliação crítica de evidência de auditoria obtida na realização dos procedimentos de avaliação de riscos e auxilia o auditor a permanecer atento à evidência de auditoria que não é tendenciosa no sentido de comprovar a existência de riscos ou que possam ser contraditórias à existência de riscos.
O ceticismo profissional é uma postura que é aplicada pelo auditor ao fazer julgamentos profissionais que então fornecem a base para as suas ações.
O auditor aplica o julgamento profissional ao determinar quando ele tem evidência de auditoria que fornece uma base apropriada para a avaliação de risco.
A13. A aplicação do ceticismo profissional pelo auditor pode incluir:
Por que a obtenção de evidência de auditoria de forma não tendenciosa é importante (ver item 13) - item A14 - A21
A14. O planejamento e a realização de procedimentos de avaliação de riscos para obter evidência de auditoria para suportar a identificação e a avaliação dos riscos de distorção relevante de forma não tendenciosa podem auxiliar o auditor na identificação de informações potencialmente contraditórias, que pode auxiliar o auditor no exercício do ceticismo profissional na identificação e avaliação dos riscos de distorção relevante.
Fontes da evidência de auditoria (ver item 13) - item A15
A15. O planejamento e a realização de procedimentos de avaliação de riscos para obter evidência de auditoria de forma não tendenciosa pode envolver a obtenção de evidência de diversas fontes de dentro e de fora da entidade. Entretanto, o auditor não é requerido a realizar uma busca exaustiva para identificar todas as possíveis fontes de evidência de auditoria. Além das informações de outras fontes, fontes de informações para os procedimentos de avaliação de risco podem incluir (ver itens A37 e A38):
Independentemente da fonte de informações, o auditor considera a relevância e a confiabilidade das informações a serem usadas como evidência de auditoria, de acordo com a NBC TA 500 - Evidência de Auditoria, item 7.
Escalabilidade (ver item 13) - item A16 - A18
A16. A natureza e a extensão dos procedimentos de avaliação de riscos variam com base na natureza e nas circunstâncias da entidade (por exemplo, a formalidade das políticas e procedimentos, e os processos e sistemas da entidade). O auditor usa o julgamento profissional para determinar a natureza e a extensão dos procedimentos de avaliação de riscos a serem realizados para atender aos requisitos desta Norma.
A17. Embora a extensão na qual as políticas e procedimentos e os processos e sistemas da entidade é formalizada possa variar, o auditor ainda é requerido a obter o entendimento, de acordo com os itens 19, 21, 22, 24, 25 e 26. Exemplos: Algumas entidades, incluindo entidades menos complexas, e particularmente as entidades administradas pelos proprietários, podem não ter estabelecido processos e sistemas estruturados (por exemplo, processo de avaliação de riscos ou processo para monitorar o sistema de controles internos) ou pode ter estabelecido processos ou sistemas com documentação limitada ou com falta de consistência no modo como eles são realizados. Quando esses sistemas e processos não são formalizados, o auditor ainda pode conseguir realizar procedimentos de avaliação de riscos por meio de observação e indagação. Espera-se que outras entidades, geralmente entidades mais complexas, tenham políticas e procedimentos mais formalizados e documentados. O auditor pode usar essa documentação na realização de procedimentos de avaliação de riscos.
A18. A natureza e a extensão dos procedimentos de avaliação de riscos a serem realizados na primeira vez que o trabalho é realizado podem ser mais amplas do que os procedimentos realizados para trabalho recorrente. Em períodos subsequentes, o auditor pode se concentrar nas mudanças que ocorreram desde o período anterior.
Tipos de procedimentos de avaliação de riscos (ver item 14) - item A19 - A20
A19. A NBC TA 500, itens de A14 a A17 e de A21 a A25, explica os tipos de procedimentos de auditoria que podem ser realizados para se obter evidência de auditoria a partir de procedimentos de avaliação de riscos e procedimentos adicionais de auditoria. A natureza, a época e a extensão dos procedimentos de auditoria podem ser afetadas pelo fato de que alguns dados contábeis e outras evidências podem estar disponíveis apenas em formato eletrônico ou apenas em determinados momentos (NBC TA 500, item A12). O auditor pode realizar procedimentos substantivos ou testes de controles, de acordo com a NBC TA 330, concomitantemente com procedimentos de avaliação de riscos quando isso for eficiente. A evidência de auditoria obtida que suporta a identificação e a avaliação dos riscos de distorção relevante também pode suportar a detecção de distorções no nível da afirmação ou a avaliação da efetividade operacional dos controles.
A20. Embora o auditor seja requerido a realizar todos os procedimentos de avaliação de riscos descritos no item 14 para obter o entendimento necessário da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos (ver de itens 19 a 26), ele não tem que realizar todos eles para cada aspecto desse entendimento. Outros procedimentos podem ser realizados quando as informações a serem obtidas podem ser úteis na identificação dos riscos de distorção relevante. Exemplos desses procedimentos podem incluir indagações junto aos assessores jurídicos externos, supervisores externos da entidade ou de especialistas em avaliação que a entidade tenha utilizado.
Ferramentas e técnicas automatizadas (ver item 14) - item A21
A21. Ao utilizar ferramentas e técnicas automatizadas, o auditor pode realizar os procedimentos de avaliação de riscos em grandes volumes de dados (do razão geral, dos razões auxiliares ou outros dados operacionais), incluindo para análise, recálculos, reexecução ou conciliações.
Indagações junto à administração e a outros da entidade (ver item 14(a)) - item A22 - A24
Por que as indagações são dirigidas à administração e a outros da entidade? - item A22 - A23
A22. As informações obtidas pelo auditor para suportar uma base apropriada para a identificação e a avaliação dos riscos e o planejamento de procedimentos adicionais de auditoria podem ser obtidas por meio de indagações junto à administração e aos responsáveis pelos relatórios financeiros.
A23. As indagações junto à administração e aos responsáveis pelos relatórios financeiros e a outros indivíduos apropriados da entidade e outros empregados com diferentes níveis de autoridade, podem oferecer para o auditor diferentes perspectivas na identificação e avaliação dos riscos de distorção relevante.
Exemplos:
Considerações específicas para entidades do setor público - item A24
A24. Ao fazer indagações junto àqueles que podem ter informações que provavelmente ajudarão na identificação dos riscos de distorção relevante, os auditores de entidades do setor público podem obter informações de fontes adicionais, como de auditores que estão envolvidos na realização de outras auditorias relacionadas com a entidade.
Indagações junto à função de auditoria interna. - item A25 - A26
O Apêndice 4 descreve as considerações para o entendimento da função de auditoria interna da entidade.
Por que as indagações são dirigidas à função de auditoria interna (caso esse departamento exista)? - item A25
A25. Se uma entidade tem um função de auditoria interna, as indagações junto aos indivíduos apropriados do departamento podem auxiliar o auditor no entendimento da entidade, do seu ambiente e do seu sistema de controles internos na identificação e avaliação de riscos.
Considerações específicas para entidades do setor público - item A26
A26. Os auditores de entidades do setor público, geralmente, têm responsabilidades adicionais com relação aos controles internos e à conformidade com leis e regulamentos aplicáveis. Indagações junto aos indivíduos apropriados da função de auditoria interna podem ajudar os auditores na identificação do risco de não conformidade relevante com leis e regulamentos aplicáveis e do risco de deficiências de controles relacionados com os relatórios financeiros.
Procedimentos analíticos (ver item14(b)) - item A27 - A31
Por que os procedimentos analíticos são realizados como procedimento de avaliação de riscos? - item A27
A27. Os procedimentos analíticos podem auxiliar a identificar inconsistências, transações ou eventos não usuais, valores, índices e tendências que indicam assuntos que possam ter implicações na auditoria. As relações não usuais ou inesperadas que são identificadas podem auxiliar o auditor a identificar riscos de distorção relevante, especialmente riscos de distorção relevante devido à fraude.
A28. Os procedimentos analíticos realizados como procedimentos de avaliação de riscos podem, portanto, auxiliar na identificação e avaliação dos riscos de distorção relevante ao identificar aspectos da entidade dos quais o auditor não tinha conhecimento ou entendimento como os fatores de risco inerentes, como mudanças, afetam a susceptibilidade das afirmações à distorção.
Tipos de procedimentos analíticos - item A29 - A30
A29. Os procedimentos analíticos realizados como procedimentos de avaliação de riscos podem:
Exemplo: Na auditoria de muitas entidades, incluindo aquelas com modelos de negócios, processos e sistema de informações menos complexos, o auditor pode realizar uma simples comparação das informações, como a variação nos saldos contábeis intermediários ou mensais em relação aos saldos de períodos anteriores, para obter uma indicação de áreas de riscos potencialmente maiores.
A30. Esta Norma trata do uso de procedimentos analíticos pelo auditor como procedimentos de avaliação de riscos. A NBC TA 520 - Procedimentos Analíticos trata do uso de procedimentos analíticos pelo auditor como procedimentos substantivos (procedimentos analíticos substantivos) e da responsabilidade do auditor de realizar procedimentos analíticos próximo ao fim da auditoria. Consequentemente, os procedimentos analíticos realizados como procedimentos de avaliação de riscos não precisam ser realizados de acordo com os requisitos da NBC TA 520. Entretanto, os requisitos e o material de aplicação da NBC TA 520 podem fornecer orientações úteis para o auditor na realização de procedimentos analíticos como parte dos procedimentos de avaliação de riscos.
Ferramentas e técnicas automatizadas - item A31
A31. Os procedimentos analíticos podem ser realizados mediante a utilização de uma série de ferramentas ou técnicas, que podem ser automatizadas. A aplicação de procedimentos analíticos automatizados aos dados pode ser chamada de analítica de dados. Exemplo: O auditor pode usar uma planilha para realizar uma comparação dos valores realmente registrados com os valores orçados, ou pode realizar um procedimento mais avançado mediante a extração de dados do sistema de informações da entidade, e analisar ainda mais esses dados utilizando técnicas de visualização para identificar classes de transações, saldos contábeis ou divulgações para as quais procedimentos adicionais de avaliação de riscos específicos podem ser justificados.
Observação e inspeção (ver item 14(c)) - item A32 - A36
Por que a observação e a inspeção são realizadas como procedimentos de avaliação de riscos? - item A32
A32. A observação e a inspeção podem suportar, comprovar ou contradizer as indagações junto à administração e a outros e podem também fornecer informações sobre a entidade e o seu ambiente.
Escalabilidade - item A33
A33. Quando as políticas ou os procedimentos não são documentados, ou quando a entidade tem controles menos formalizados, o auditor ainda pode obter alguma evidência de auditoria para suportar a identificação e a avaliação dos riscos de distorção relevante por meio da observação ou inspeção da realização do controle.
Exemplos:
Observação e inspeção como procedimentos de avaliação de riscos - item A34
A34. Os procedimentos de avaliação de riscos podem incluir a observação ou a inspeção do que segue:
Ferramentas e técnicas automatizadas - item A35
A35. As ferramentas ou as técnicas automatizadas também podem ser usadas para observar ou inspecionar, em especial, ativos, por exemplo, por meio do uso de ferramentas de observação remota (por exemplo, drone).
Considerações específicas para entidades do setor público - item A36
A36. Os procedimentos de avaliação de riscos realizados pelos auditores de entidades do setor público também podem incluir a observação e a inspeção de documentos preparados pela administração para fins legais como, por exemplo, documentos relacionados com relatórios de desempenho obrigatórios.
Informações de outras fontes (ver item 15) - item A37 - A38
Por que o auditor considera as informações de outras fontes? - Item A37
A37. As informações obtidas de outras fontes podem ser relevantes para a identificação e avaliação dos riscos de distorção relevante mediante o fornecimento de informações e opiniões sobre:
Outras fontes relevantes - item A38
A38. Outras fontes de informações relevantes incluem:
Informações da experiência anterior do auditor com a entidade e auditorias anteriores (ver item 16) - item A39 - A41
Por que as informações de auditorias anteriores são importantes para a auditoria atual? - item A39
A39. A experiência anterior do auditor com a entidade e com procedimentos de auditoria realizados em auditorias anteriores podem fornecer para o auditor informações que são relevantes para a determinação pelo auditor da natureza e da extensão dos procedimentos de avaliação de riscos e para a identificação e avaliação dos riscos de distorção relevante.
Natureza das informações de auditorias anteriores - item A40 - A41
A40. A experiência anterior do auditor com a entidade e com procedimentos de auditoria realizados em auditorias anteriores podem fornecer para o auditor informações sobre assuntos como:
A41. O auditor tem que determinar se as informações obtidas à partir da experiência anterior do auditor com a entidade e de procedimentos de auditoria realizados em auditorias anteriores continuam sendo relevantes e confiáveis, se ele pretende usar essas informações para fins da auditoria atual. Se a natureza ou as circunstâncias da entidade mudaram, ou novas informações foram obtidas, as informações de períodos anteriores podem não ser mais relevantes para a auditoria atual. Para determinar se ocorreram mudanças que podem afetar a relevância ou a confiabilidade dessas informações, o auditor pode ter que fazer indagações e realizar outros procedimentos de auditoria apropriados, como um “passo a passo” dos sistemas relevantes. Se as informações não forem confiáveis, o auditor pode considerar a realização de procedimentos adicionais que são apropriados nas circunstâncias.
Discussão entre a equipe encarregada do trabalho (ver itens 17 e 18) - item A42 - A47
A42. A discussão entre a equipe encarregada do trabalho sobre a aplicação da estrutura de relatório financeiro aplicável e a suscetibilidade das demonstrações contábeis da entidade à distorção relevante:
A NBC TA 240, item 16, requer que a discussão da equipe encarregada do trabalho enfatize especialmente o modo como e quando as demonstrações contábeis da entidade podem estar suscetíveis à distorção relevante devido a fraude, inclusive o modo como a fraude pode ocorrer.
A43. O ceticismo profissional é necessário para a avaliação crítica da evidência de auditoria e uma robusta e aberta discussão da equipe encarregada do trabalho, incluindo para auditorias recorrentes, pode levar à melhor identificação e avaliação dos riscos de distorção relevante. Outro resultado da discussão pode ser que o auditor identifique áreas específicas da auditoria para as quais o exercício do ceticismo profissional pode ser particularmente importante e pode levar ao envolvimento de membros mais experientes da equipe encarregada do trabalho que são adequadamente capacitados para estarem envolvidos na realização dos procedimentos de auditoria relacionados com essas áreas.
Escalabilidade - item A44 - A45
A44. Quando o trabalho é realizado por um único indivíduo, como único profissional (isto é, quando uma discussão da equipe encarregada do trabalho não é possível), a consideração dos assuntos mencionados nos itens A42 e A46, entretanto, pode auxiliar o auditor na identificação de onde pode haver riscos de distorção relevante.
A45. Quando um trabalho é realizado por uma grande equipe de trabalho, como para a auditoria de demonstrações contábeis de um grupo, nem sempre é necessário ou prático que a discussão inclua todos os membros em uma única discussão (por exemplo, em uma auditoria em diversos locais), nem é necessário que todos os membros da equipe encarregada do trabalho sejam informados de todas as decisões tomadas na discussão. O sócio do trabalho pode discutir assuntos com membros-chave da equipe encarregada do trabalho, incluindo, se considerado apropriado, aqueles com habilidades ou conhecimentos específicos, e aqueles responsáveis pelas auditorias de componentes, enquanto delega discussões com outros, levando em consideração a extensão da comunicação considerada necessária com toda a equipe encarregada do trabalho. Um plano de comunicação, acordado pelo sócio do trabalho, pode ser útil.
Discussão das divulgações na estrutura de relatório financeiro aplicável - item A46
A46. Como parte da discussão entre a equipe encarregada do trabalho, a consideração dos requisitos de divulgação da estrutura de relatório financeiro aplicável auxilia na identificação antecipada na auditoria de onde pode haver riscos de distorção relevante em relação às divulgações, mesmo em circunstâncias em que a estrutura de relatório financeiro aplicável exige somente divulgações simplificadas. Assuntos que a equipe encarregada do trabalho pode discutir incluem:
Considerações específicas para entidades do setor público - item A47
A47. Como parte da discussão entre a equipe encarregada do trabalho dos auditores de entidades do setor público, pode-se também considerar objetivos adicionais mais abrangentes, e os riscos relacionados, decorrentes da autorização da auditoria ou das obrigações para as entidades do setor público.
Obtenção de entendimento da entidade, do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos (ver item de 19 a 27) - item A48 - A183
Os apêndices de 1 a 6 descrevem considerações adicionais relacionadas com a obtenção de entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos.
Obtenção do entendimento requerido (ver itens de 19 a 27) - item A48 - A49
A48. A obtenção de entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos é um processo dinâmico e interativo de coleta, atualização e análise de informações e ele continua durante toda a auditoria. Portanto, as expectativas do auditor podem mudar à medida que novas informações forem obtidas.
A49. O entendimento do auditor da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável também pode auxiliá-lo a desenvolver expectativas iniciais sobre as classes de transações, saldos contábeis e divulgações que podem ser classes de transações, saldos contábeis e divulgações significativas. Essas classes de transações, saldos contábeis e divulgações formam a base para o escopo do entendimento do auditor do sistema de informações da entidade.
Por que o entendimento da entidade, do seu ambiente e da estrutura de relatório financeiro aplicável é necessário (ver itens 19 e 20) - item A50 - A51
A50. O entendimento do auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, auxilia o auditor a entender aos eventos e às condições que são relevantes para a entidade, e a identificar o modo como os fatores de risco inerentes afetam a susceptibilidade das afirmações à distorção na preparação das demonstrações contábeis de acordo com a estrutura de relatório financeiro aplicável e o grau em que isso ocorre. Essas informações estabelecem uma estrutura de referência na qual o auditor identifica e avalia os riscos de distorção relevante. Essa estrutura de referência também auxilia o auditor a planejar a auditoria e a exercer o julgamento e o ceticismo profissional durante toda a auditoria, por exemplo, ao:
A51. O entendimento do auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, também informa o modo como o auditor planeja e realiza os procedimentos adicionais de auditoria, por exemplo, ao:
Escalabilidade - item A52 - A55
A52. A natureza e a extensão do entendimento necessário é um assunto do julgamento profissional do auditor e varia de entidade para entidade com base na natureza e nas circunstâncias da entidade, incluindo:
A53. Os procedimentos de avaliação de riscos do auditor para obter o entendimento necessário podem ser menos extensos em auditorias de entidades menos complexas e mais extensos para entidades mais complexas. Espera-se que a profundidade do entendimento que é exigido do auditor seja menor do que aquela da administração na gestão da entidade.
A54. Algumas estruturas de relatório financeiro aplicável permitem que entidades menores forneçam divulgações mais simples e menos detalhadas nas demonstrações contábeis. Entretanto, isso não desobriga o auditor da responsabilidade de obter entendimento da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável na medida em que ele se aplica à entidade.
A55. O uso de TI por parte da entidade e a natureza e a extensão das mudanças no ambiente de TI também podem afetar as habilidades especializadas que são necessárias para auxiliar na obtenção do entendimento necessário.
Entidade e seu ambiente (ver item 19(a)) - item A56 - A183
Estrutura de relatório financeiro aplicável - item A82 - A84
Como os fatores de risco afetam a suscetibilidade da afirmação à distorção - item A85 - A89
Obtenção de entendimento do sistema de controles internos da entidade - item A90 - A93
Identificação de riscos decorrentes do uso de TI e controles gerais de TI - item A173 - A174
Estrutura organizacional, propriedade, governança e modelo de negócio da entidade (ver item 19(a)(i)) - item A56 - A58
Estrutura organizacional e propriedade da entidade - item A56
A56. O entendimento da estrutura organizacional e da propriedade da entidade pode permitir que o auditor entenda assuntos como:
Ferramentas e técnicas automatizadas - item A57
A57. O auditor pode usar ferramentas e técnicas automatizadas para entender os fluxos de transações e o processamento como parte dos seus procedimentos para entender o sistema de informações. O resultado desses procedimentos pode ser que a auditor obtenha informações sobre a estrutura organizacional da entidade ou sobre aqueles com quem a entidade conduza negócios (por exemplo, fornecedores, clientes, partes relacionadas).
Considerações específicas para entidades do setor público - item A58
A58. A propriedade de entidade do setor público pode não ter a mesma relevância que tem no setor privado porque as decisões relacionadas com a entidade podem ser tomadas fora da entidade como resultado de processo político. Portanto, a administração pode não ter controle sobre certas decisões que são tomadas. Assuntos que podem ser relevantes incluem o entendimento da capacidade da entidade de tomar decisões unilaterais, e da capacidade de outras entidades do setor público de controlar ou influenciar a autoridade e a direção estratégica da entidade.
Exemplo:
Uma entidade do setor público pode estar sujeita a leis ou outras diretivas de autoridades que requerem que ela obtenha aprovação de partes externas da entidade da sua estratégia e objetivos antes de implementá-los. Portanto, questões relacionadas com entendimento da estrutura legal da entidade podem incluir leis e regulamentos aplicáveis e a classificação da entidade (ou seja, se a entidade é ministério, departamento, agência ou outro tipo de entidade).
Governança - item A59 - A60
Por que o auditor obtém entendimento da governança? - item A59
A59. O entendimento da governança da entidade pode auxiliar o auditor a entender a capacidade da entidade de fornecer supervisão apropriada do seu sistema de controles internos. Entretanto, esse entendimento também pode fornecer evidência de deficiências que podem indicar um aumento da suscetibilidade das demonstrações contábeis da entidade aos riscos de distorção relevante.
Entendimento da governança da entidade - item A60
A60. Assuntos que podem ser relevantes para o auditor considerar na obtenção de entendimento da governança da entidade incluem:
Modelo de negócio da entidade - item A61 - A67
O Apêndice 1 descreve considerações adicionais para a obtenção de entendimento da entidade e do seu modelo de negócio, assim como considerações adicionais para a auditoria de entidades de propósito específico.
Por que o auditor obtém entendimento do modelo de negócio da entidade? - item A61
A61. O entendimento dos objetivos, da estratégia e do modelo de negócio da entidade auxilia o auditor a entender a entidade em nível estratégico e a entender os riscos do negócio que a entidade toma e enfrenta. O entendimento dos riscos do negócio que têm efeito nas demonstrações contábeis auxilia o auditor a identificar os riscos de distorção relevante uma vez que a maioria dos riscos do negócio terá, em algum momento, consequências financeiras e, portanto, efeito nas demonstrações contábeis.
Exemplos:
O modelo de negócio da entidade pode contar com o uso de TI de diferentes formas:
Para ambas as entidades, os riscos do negócio decorrentes de modelo de negócio significativamente diferente seriam, substancialmente, diferentes, apesar do fato de que ambas as entidades vendem calçados.
Entendimento do modelo de negócio da entidade - item A62 - A65
A62. Nem todos os aspectos do modelo de negócio são relevantes para o entendimento do auditor. Os riscos do negócio são mais abrangentes do que os riscos de distorção relevante das demonstrações contábeis embora os riscos do negócio incluam estes últimos. O auditor não tem responsabilidade de entender ou identificar todos os riscos do negócio porque nem todos os riscos do negócio geram riscos de distorção relevante.
A63. Os riscos do negócio que aumentam a suscetibilidade dos riscos de distorção relevante podem decorrer:
A64. Exemplos de assuntos que o auditor pode considerar na obtenção de entendimento do modelo de negócio, dos objetivos, das estratégias e dos respectivos riscos do negócio da entidade que podem resultar em risco de distorção relevante das demonstrações contábeis incluem:
A65. Normalmente, a administração identifica os riscos do negócio e desenvolve abordagens para tratar deles. Esse processo de avaliação de riscos é parte do sistema de controles internos da entidade e é discutido no item 22 e nos itens de A109 a A113.
Considerações específicas para entidades do setor público - item A66 - A67
A66. As entidades que atuam no setor público podem gerar e entregar valor de maneiras diferentes para os que geram riqueza, mas que ainda terão um “modelo de negócio” com um objetivo específico. Assuntos para os quais os auditores do setor público podem obter entendimento que são relevantes para o modelo de negócio da entidade incluem: • conhecimento das atividades relevantes do governo, incluindo os respectivos programas; • objetivos e estratégias do programa, incluindo elementos da política pública.
A67. Para as auditorias das entidades do setor público, os “objetivos da administração” podem ser influenciados pelos requisitos de demonstrar a prestação de contas públicas e podem incluir objetivos que têm sua fonte em lei, regulamento ou outra autoridade.
Fatores do setor de atividade, regulatórios e outros fatores externos (ver item 19(a)(ii)) - item A68 - A73
Fatores do setor de atividade - item A68 - A69
A68. Os fatores relevantes do setor de atividade incluem as condições próprias do setor, como ambiente de concorrência, relações com fornecedores e clientes e desenvolvimentos tecnológicos. Assuntos que o auditor pode considerar incluem:
A69. O setor de atividade no qual a entidade atua pode gerar riscos específicos de distorção relevante decorrentes da natureza do negócio ou do grau de regulamentação. Exemplo: No setor de construção, os contratos de longo prazo podem envolver estimativas significativas de receitas e despesas que geram riscos de distorção relevante. Nesses casos, é importante que a equipe encarregada do trabalho inclua membros com conhecimento e experiência relevantes suficientes (NBC TA 220, item 14).
Fatores regulatórios - item A70 - A71
A70. Os fatores regulatórios relevantes incluem o ambiente regulatório. O ambiente regulatório abrange, entre outros assuntos, a estrutura de relatório financeiro aplicável e o ambiente jurídico e político e quaisquer mudanças nos mesmos. Assuntos que o auditor pode considerar incluem:
A71. A NBC TA 250, item 13, inclui alguns requisitos específicos relacionados com a estrutura legal e regulatória aplicável para a entidade e a indústria ou o setor em que a entidade atua.
Considerações específicas para entidades do setor público - item A72
A72. Para as auditorias de entidades do setor público, leis ou regulamentos podem afetar as operações da entidade. Esses elementos podem ser uma consideração essencial na obtenção de entendimento da entidade e do seu ambiente.
Outros fatores externos - item A73
A73. Outros fatores externos que afetam a entidade e que o auditor pode considerar incluem as condições econômicas gerais, as taxas de juros, a disponibilidade de financiamento e a inflação ou a reavaliação cambial.
Medidas usadas pela administração para avaliar o desempenho financeiro da entidade - item A74 - A81
Por que o auditor entende as medidas utilizadas pela administração? - item A74 - A75
A74. O entendimento das medidas da entidade auxilia o auditor a considerar se essas medidas, sejam elas utilizadas externa ou internamente, cria pressões na entidade para que ela alcance metas de desempenho. Essas pressões podem motivar a administração a tomar medidas que aumentam a suscetibilidade à distorção devido à tendência da administração ou a fraude (por exemplo, para melhorar o desempenho do negócio ou para, intencionalmente, distorcer as demonstrações contábeis) (ver NBC TA 240 para requisitos e orientação com relação aos riscos de fraude).
A75. Medidas também podem indicar para o auditor a probabilidade de riscos de distorção relevante das respectivas informações nas demonstrações contábeis. Por exemplo, medidas de desempenho podem indicar que a entidade teve aumento rápido não usual de sua rentabilidade quando comparado com outras entidades do mesmo setor de atividade.
Medidas utilizadas pela administração - item A76 - A77
A76. A administração e outros geralmente mensuram e revisam os assuntos que consideram importantes. As indagações junto à administração podem revelar que ela confia em determinados indicadores-chave, sejam eles disponíveis para o público ou não, para avaliar o desempenho financeiro e agir. Nesses casos, o auditor pode identificar medidas de desempenho relevantes, internas ou externas, ao considerar as informações que a entidade usa para gerir o seu negócio. Se essas indagações indicarem ausência de medida ou revisão de desempenho, pode haver um maior risco de que distorções não sejam detectadas ou corrigidas.
A77. Os indicadores-chave utilizados para avaliar o desempenho financeiro podem incluir:
Escalabilidade (ver item 19(a)(iii)) - item A78
A78. Os procedimentos realizados para entender as medidas da entidade podem variar de acordo com o porte ou a complexidade da entidade, assim como com o envolvimento dos proprietários ou dos responsáveis pela governança na administração da entidade.
Exemplos:
Outras considerações - item A79 - A80
A79. As partes externas também podem rever e analisar o desempenho financeiro da entidade, particularmente para entidades cujas informações financeiras estão disponíveis para o público. O auditor também pode considerar as informações disponíveis para o público para auxiliá-lo a entender melhor o negócio ou a identificar informações contraditórias, como informações de:
Essas informações financeiras podem ser geralmente obtidas da entidade que está sendo auditada.
A80. A mensuração e a revisão do desempenho econômico não é ao mesmo que a do monitoramento do sistema de controles internos (discutido como componente do sistema de controles internos nos itens de A114 a A122), embora seus propósitos possam se sobrepor:
Em alguns casos, entretanto, os indicadores de desempenho também fornecem informações que permitem que a administração identifique deficiências nos controles.
Considerações específicas para entidades do setor público - item A81
A81. Além de considerar as medidas relevantes usadas por entidade do setor público para avaliar o desempenho financeiro da entidade, os auditores das entidades do setor público também podem considerar informações não financeiras, como o alcance de resultados de benefícios públicos (por exemplo, número de pessoas assistidas por programa específico).
Estrutura de relatório financeiro aplicável (ver item 19(b)) - item A82 - A84
Entendimento da estrutura de relatório financeiro aplicável e das políticas contábeis da entidade - item A82 - A83
A82. Assuntos que o auditor pode considerar ao obter entendimento da estrutura de relatório financeiro aplicável da entidade e de como ela se aplica no contexto da natureza e das circunstâncias da entidade e de seu ambiente incluem:
A83. A obtenção de entendimento da entidade e do seu ambiente pode auxiliar o auditor a considerar quando mudanças nos relatórios financeiros da entidade (por exemplo, em relação a períodos anteriores) podem ser esperadas.
Exemplo:
Se a entidade teve uma combinação de negócios significativa no período, o auditor provavelmente esperaria mudanças nas classes de transações, saldos contábeis e divulgações associadas com essa combinação de negócios. Alternativamente, se não houve mudanças significativas na estrutura de relatório financeiro durante o período, o entendimento do auditor pode ajudar a confirmar que o entendimento obtido no período anterior ainda é aplicável.
Considerações específicas para entidades do setor público - item A84
A84. A estrutura de relatório financeiro aplicável em entidade do setor público é determinada pelas estruturas legislativas e regulatórias relevantes para cada jurisdição ou área geográfica. Assuntos que podem ser considerados na aplicação pela entidade dos requisitos de relatório financeiro aplicáveis e no modo como se aplicam no contexto da natureza e das circunstâncias da entidade e do seu ambiente incluem se a entidade aplica o regime de competência ou regime de caixa de acordo com as Normas Internacionais de Contabilidade do Setor Público, ou regime misto.
O Apêndice 2 fornece exemplos de eventos e condições que podem gerar riscos de distorção relevante, categorizados por fator de risco inerente.
Por que o auditor entende os fatores de risco inerentes ao entender a entidade e seu ambiente e a estrutura de relatório financeiro aplicável? - item A85 - A86
A85. O entendimento da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável auxilia o auditor a identificar eventos ou condições cujas características podem afetar a suscetibilidade de afirmações sobre classes de transações, saldos contábeis ou divulgações à distorção. Essas características são fatores de risco inerentes.
Os fatores de risco inerentes podem afetar a suscetibilidade de afirmações à distorção influenciando a probabilidade de ocorrência de distorção ou a magnitude da distorção caso ocorra.
O entendimento de como os fatores de risco inerentes afetam a suscetibilidade de afirmações à distorção pode auxiliar o auditor no entendimento preliminar da probabilidade ou magnitude de distorções, o que o auxilia a identificar os riscos de distorção relevante no nível da afirmação, de acordo com o item 28(b).
O entendimento do grau em que os fatores de risco inerentes afetam a suscetibilidade de afirmações à distorção também auxilia o auditor na avaliação da probabilidade e da magnitude de possíveis distorções ao avaliar o risco inerente, de acordo com o item 31(a).
Consequentemente, o entendimento dos fatores de risco inerentes também pode auxiliar o auditor no planejamento e na realização de procedimentos adicionais de auditoria de acordo com a NBC TA 330.
A86. A identificação pelo auditor dos riscos de distorção relevante no nível da afirmação e a avaliação do risco inerente também podem ser influenciadas pela evidência de auditoria obtida por ele na realização de outros procedimentos de avaliação de risco, de procedimentos adicionais de auditoria ou no cumprimento de outros requisitos das normas de auditoria (ver itens A95, A103, A111, A121, A124 e A151).
Efeito dos fatores de risco inerentes sobre uma classe de transações, saldo contábil ou divulgação - item A87 - A89
A87. A extensão da suscetibilidade de uma classe de transações, saldo contábil ou divulgação à distorção decorrente de complexidade ou subjetividade está muitas vezes estreitamente relacionada com a extensão em que ela está sujeita à mudança ou à incerteza.
Exemplo:
Se a entidade tem uma estimativa contábil baseada em premissas, cuja seleção está sujeita a julgamento significativo, é provável que a mensuração da estimativa contábil seja afetada tanto pela subjetividade quanto pela incerteza.
A88. Quanto maior a extensão em que uma classe de transações, saldo contábil ou divulgação é suscetível à distorção devido a complexidade ou subjetividade, maior a necessidade do auditor de aplicar ceticismo profissional.
Além disso, quando uma classe de transações, saldo contábil ou divulgação é suscetível à distorção devido à complexidade, subjetividade, mudança ou incerteza, esses fatores de risco inerentes podem criar a oportunidade para o viés da administração, seja não intencional ou intencional, e afetar a suscetibilidade à distorção devido ao viés da administração.
A identificação de riscos de distorção relevante pelo auditor, e a avaliação do risco inerente no nível da afirmação, também são afetadas pelas inter-relações entre os fatores de risco inerentes.
A89. As condições e os eventos que podem afetar a suscetibilidade à distorção devido ao viés da administração podem afetar também a suscetibilidade à distorção decorrente de outros fatores de risco de fraude.
Consequentemente, essas informações podem ser relevantes para utilização, de acordo com o item 25 da NBC TA 240, que requer que o auditor avalie se as informações obtidas de outros procedimentos de avaliação de risco e atividades relacionadas indicam a presença de um ou mais fatores de risco de fraude.
Obtenção de entendimento do sistema de controles internos da entidade (ver itens de 21 a 27) - item A90 - A93
O Apêndice 3 descreve mais detalhadamente a natureza do sistema de controles internos da entidade e as limitações inerentes dos controles internos, respectivamente. O Apêndice 3 fornece, também, explicações adicionais sobre os componentes do sistema de controles internos para fins das normas de auditoria.
A90. O entendimento do sistema de controles internos da entidade pelo auditor é obtido por meio de procedimentos de avaliação de risco realizados para entender e avaliar cada um dos componentes do sistema de controles internos, conforme definidos nos itens de 21 a 27.
A91. Os componentes do sistema de controles internos da entidade para fins desta Norma podem não refletir, necessariamente, o modo como a entidade planeja, implementa e mantém seu sistema de controles internos ou como ela pode classificar um componente específico.
As entidades podem usar diferentes terminologias ou estruturas para descrever os diversos aspectos do sistema de controles internos.
Para fins de uma auditoria, os auditores também podem usar diferentes terminologias ou estruturas desde que todos os componentes descritos nesta Norma sejam abordados.
Escalabilidade - item A92
A92. O modo como o sistema de controles internos da entidade é planejado, implementado e mantido varia com o porte e a complexidade da entidade. Por exemplo, entidades menos complexas podem usar controles menos estruturados ou mais simples (isto é, políticas e procedimentos) para alcançarem seus objetivos.
Considerações específicas para entidades do setor público - item A93
A93. Auditores do setor público muitas vezes têm responsabilidades adicionais no que se refere ao controle interno, por exemplo, emitir relatório sobre o cumprimento de código de prática estabelecido ou sobre gastos versus orçamento. Auditores do setor público também podem ter responsabilidade de emitir relatório sobre conformidade com leis, regulamentos ou outras normas. Como resultado, suas considerações sobre o sistema de controles internos podem ser mais abrangentes e detalhadas.
Tecnologia da informação nos componentes do sistema de controles internos da entidade - item A94 - A95
O Apêndice 5 fornece mais orientações sobre a compreensão do uso de TI pela entidade nos componentes do sistema de controle interno
A94. O objetivo geral e o alcance da auditoria não diferem se a entidade opera em um ambiente principalmente manual, completamente automatizado ou que envolve a combinação de elementos manuais e automatizados (isto é, controles manuais e automatizados e outros recursos usados no sistema de controles internos da entidade). Entendimento da natureza dos componentes do sistema de controles internos da entidade
A95. Ao avaliar a efetividade do projeto dos controles e se eles foram implementados (ver itens de A175 a A181), o entendimento do auditor de cada um dos componentes do sistema de controles internos da entidade fornece entendimento preliminar sobre o modo como a entidade identifica os riscos do negócio e como responde aos mesmos. Esse entendimento também pode influenciar a identificação e a avaliação pelo auditor dos riscos de distorção relevante de diferentes maneiras (ver item A86). Isso auxilia o auditor no planejamento e na realização de procedimentos adicionais de auditoria, incluindo planos para testar a efetividade operacional dos controles.
Por exemplo:
Ambiente de controle, processo de avaliação de riscos da entidade e processo de monitoramento do sistema de controles internos pela entidade (ver itens de 21 a 24) - item A96 - A98
A96. Os controles no ambiente de controle, no processo de avaliação de riscos da entidade e no processo de monitoramento do sistema de controles internos pela entidade são basicamente controles indiretos (isto é, controles que não são suficientemente precisos para evitar, detectar ou corrigir distorções no nível da afirmação, mas que suportam outros controles e podem, portanto, ter efeito indireto sobre a probabilidade de distorção ser detectada ou evitada tempestivamente).
Entretanto, alguns controles nesses componentes também podem ser controles diretos.
Por que o auditor deve entender o ambiente de controle, o processo de avaliação de riscos da entidade e o processo de monitoramento do sistema de controles internos da entidade? - item A97 - A98
A97. O ambiente de controle fornece o fundamento geral para a operação dos outros componentes do sistema de controles internos. O ambiente de controle não evita, detecta ou corrige diretamente as distorções. Ele pode, contudo, influenciar a efetividade dos controles nos outros componentes do sistema de controles internos.
Da mesma forma, o processo de avaliação de riscos da entidade e seu processo de monitoramento do sistema de controles internos são planejados para operarem de maneira a também suportarem todo o sistema de controles internos.
A98. Pelo fato de esses componentes serem fundamentais para o sistema de controles internos da entidade, qualquer deficiência na sua operação pode ter efeitos generalizados sobre a elaboração das demonstrações contábeis. Portanto, o entendimento e as avaliações desses componentes pelo auditor afetam a sua identificação e avaliação dos riscos de distorção relevante no nível das demonstrações contábeis e podem afetar, também, a identificação e avaliação de risco de distorção relevante no nível da afirmação.
Riscos de distorção relevante no nível das demonstrações contábeis afetam o planejamento de respostas gerais pelo auditor, incluindo, conforme explicado na NBC TA 330, itens de A1 a A3, a uma influência na natureza, época e extensão dos seus procedimentos adicionais.
Obtenção de entendimento do ambiente de controle (ver item 21) - item A99 - A102
Escalabilidade - item A99 - A100
A99. A natureza do ambiente de controle em entidade menos complexa tende a ser diferente do ambiente de controle em entidade mais complexa.
Por exemplo, os responsáveis pela governança em entidades menos complexas podem não incluir membro independente ou externo, e a função de governança pode ser desempenhada diretamente pelo sócio-diretor onde não há outros proprietários.
Consequentemente, algumas considerações sobre o ambiente de controle da entidade podem ser menos relevantes ou não ser aplicáveis.
A100. Adicionalmente, a evidência de auditoria para elementos do ambiente de controle em entidades menos complexas pode não estar disponível em forma documental, em particular quando a comunicação entre a administração e outros profissionais é informal, mas a evidência ainda pode ser adequadamente relevante e confiável nas circunstâncias.
Exemplos:
Entendimento do ambiente de controle (ver item 21(a)) - item A101 - A102
A101. A evidência de auditoria para o entendimento do ambiente de controle pelo auditor pode ser obtida por meio da combinação de indagações e outros procedimentos de avaliação de risco (isto é, corroborando as indagações por meio de observação ou inspeção de documentos).
A102. Ao considerar a extensão em que a administração demonstra compromisso com integridade e valores éticos, o auditor pode obter entendimento por meio de indagações à administração e aos empregados e considerando informações de fontes externas sobre:
Avaliação do ambiente de controle (ver item 21(b)) - item A103 - A108
Por que o auditor avalia o ambiente de controle? - item A 103
A103. A avaliação do auditor de como a entidade demonstra comportamento consistente com o compromisso da entidade com integridade e valores éticos, se o ambiente de controle fornece fundamento apropriado para os outros componentes do sistema de controles internos da entidade, e se quaisquer deficiências de controle identificadas prejudicam os outros componentes do sistema de controles internos, auxilia o auditor a identificar potenciais problemas nos outros componentes do sistema de controles internos.
Isso porque o ambiente de controle é fundamental para os outros componentes do sistema de controles internos da entidade.
Essa avaliação também pode auxiliar o auditor a entender os riscos a que a entidade está exposta e, portanto, a identificar e avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).
Avaliação do ambiente de controle pelo auditor - item A104 - A108
A104. A avaliação do ambiente de controle pelo auditor é baseada no entendimento obtido, de acordo com o item 21(a).
A105. Algumas entidades podem ser dirigidas por uma única pessoa que pode exercer diversas decisões a seu critério. As ações e atitudes desse indivíduo podem ter efeito generalizado na cultura da entidade que, por sua vez, pode ter efeito generalizado no ambiente de controle. Esse efeito pode ser positivo ou negativo.
Exemplo:
O envolvimento direto de um único indivíduo pode ser a chave para possibilitar a entidade a cumprir seu objetivo de crescimento e outros objetivos, e pode também contribuir significativamente para um sistema de controles internos efetivo.
Por outro lado, essa concentração de conhecimento e autoridade também pode levar a uma maior suscetibilidade à distorção decorrente de transgressão de controles pela administração.
A106. O auditor pode considerar como diferentes elementos do ambiente de controle podem ser influenciados pela filosofia e estilo operacional da alta administração levando em consideração o envolvimento de membros independentes dos responsáveis pela governança.
A107. Embora o ambiente de controle possa fornecer fundamento apropriado para o sistema de controles internos e possa ajudar a reduzir o risco de fraude, ambiente de controle adequado não é necessariamente um inibidor de fraude eficaz.
Exemplo:
Políticas e procedimentos de recursos humanos direcionados à contratação de profissionaiscompetentes das áreas financeira, contábil e de TI podem mitigar o risco de erros no processamento e no registro de informações financeiras.
Entretanto, essas políticas e procedimentos podem não mitigar a transgressão de controles pela altaadministração (por exemplo, superavaliação de receitas).
A108. A avaliação do ambiente de controle pelo auditor, no que esteja relacionada com o uso de TI pela entidade, pode incluir assuntos como:
Obtenção de entendimento do processo de avaliação de riscos da entidade (ver itens 22 e 23) - item A109 - A113
Entendimento do processo de avaliação de riscos da entidade - item A109 - A110
A109. Conforme explicado no item A62, nem todos os riscos de negócio geram riscos de distorção relevante.
Ao entender como a administração e os responsáveis pela governança identificaram os riscos do negócio relevantes para a elaboração das demonstrações contábeis e como decidiram sobre as ações para tratar esses riscos, os assuntos que o auditor pode considerar incluem como a administração ou, conforme apropriado, os responsáveis pela governança:
A110. O auditor pode considerar as implicações desses riscos do negócio para a elaboração das demonstrações contábeis da entidade e outros aspectos do sistema de controles internos.
Avaliação do processo de avaliação de riscos da entidade - item A111
Por que o auditor avalia se o processo de avaliação de riscos da entidade é apropriado
A111. A análise do processo de avaliação de riscos da entidade pelo auditor pode auxiliá-lo a entender onde a entidade identificou riscos que podem ocorrer, e como a entidade respondeu a esses riscos. A avaliação do auditor sobre como a entidade identifica os riscos de seu negócio e como ela avalia e trata esses riscos auxilia o auditor a entender se os riscos a que a entidade está exposta foram identificados, avaliados e tratados, conforme apropriado, de acordo com a natureza e a complexidade da entidade. Essa avaliação também pode auxiliar o auditor a identificar e a avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).
Avaliação sobre a adequação do processo de avaliação de riscos da entidade (ver item 22(b)) - item A112
A112. A avaliação do auditor sobre a adequação do processo de avaliação de riscos da entidade é baseada no entendimento obtido, de acordo com o item 22(a).
Escalabilidade - item A113
A113. Se o processo de avaliação de riscos da entidade é adequado às circunstâncias da entidade, considerando a natureza e complexidade da entidade, é uma questão de julgamento profissional do auditor. Exemplo: Em algumas entidades menos complexas e, particularmente, em entidades administradas pelo proprietário, pode ser feita uma avaliação de riscos apropriada por meio do envolvimento direto da administração ou do gerente-proprietário (por exemplo, o gerente ou gerente-proprietário pode dedicar tempo de forma rotineira para monitorar as atividades dos concorrentes e outros desdobramentos no mercado para identificar os riscos emergentes do negócio). A evidência dessa avaliação de risco nesses tipos de entidades muitas vezes não é documentada formalmente, mas pode ficar evidente nas discussões que o auditor tem com a administração que ela realmente realiza procedimentos de avaliação de risco.
Obtenção de entendimento do processo da entidade de monitoramento do sistema de controles internos da entidade (ver item 24) - item A114 - A118
Escalabilidade - item A114 - A115
A114. Em entidades menos complexas, e particularmente em entidades administradas pelo sócio-diretor, o entendimento pelo auditor do processo de monitoramento da entidade para monitorar o sistema de controles internos é muitas vezes focado em como a administração ou o sócio-diretor está diretamente envolvido nas operações, uma vez que pode não haver outras atividades de monitoramento.
Exemplo:
A administração pode receber reclamações de clientes sobre imprecisões em suas faturas mensais que alertam o gerente-proprietário para questões relacionadas com a época em que os pagamentos pelos clientes são reconhecidos nos registros contábeis.
A115. Para entidades em que não há processo formal de monitoramento do sistema de controles internos, o entendimento do processo de monitoramento do sistema de controles internos pode incluir entender revisões periódicas das informações contábeis da administração que são desenhadas para contribuir em como a entidade previne ou detecta distorções.
Entendimento do processo da entidade de monitoramento do sistema de controles internos - item A116 - A117
A116. Assuntos que podem ser relevantes para o auditor considerar no entendimento de como a entidade monitora seu sistema de controles internos incluem: • o desenho das atividades de monitoramento, por exemplo, se o monitoramento é periódico ou contínuo; • a realização e a frequência das atividades de monitoramento; • a avaliação tempestiva dos resultados das atividades de monitoramento para determinar se os controles foram efetivos; e • como deficiências identificadas foram tratadas por meio de ações corretivas apropriadas, incluindo a comunicação tempestiva dessas deficiências aos responsáveis por tomar as ações corretivas.
A117. O auditor também pode considerar como o processo da entidade de monitoramento do sistema de controles internos endereça o monitoramento dos controles de processamento de informações que envolvem o uso de TI, que podem incluir, por exemplo:
Entendimento da função de auditoria interna da entidade - item A118
O Apêndice 4 descreve considerações adicionais para o entendimento da função de auditoria interna da entidade
A118. As indagações do auditor junto aos indivíduos apropriados da função de auditoria interna o auxiliam a obter entendimento da natureza das responsabilidades da função de auditoria interna.
Se o auditor determinar que tais responsabilidades da função de auditoria interna estão relacionadas com a elaboração do relatório financeiro da entidade, ele pode obter entendimento adicional das atividades realizadas, ou a serem realizadas, pela função de auditoria interna por meio da revisão do plano de auditoria interna para o período, se houver, e discutir esse plano com os indivíduos apropriados da auditoria interna.
Esse entendimento, juntamente com as informações obtidas pelas indagações do auditor, pode também fornecer informações diretamente relevantes para a sua identificação e avaliação dos riscos de distorção relevante.
Se, com base no entendimento preliminar do auditor independente sobre a função de auditoria interna, ele espera utilizar o trabalho da auditoria interna para modificar a natureza ou a época, ou reduzir a extensão dos procedimentos de auditoria a serem realizados, a NBC TA 610 - Utilização do Trabalho de Auditoria Interna é aplicável.
Outras fontes de informação usadas no processo da entidade para monitorar o sistema de controles internos - item A119 - A120
Entendimento das fontes de informação (ver item 24(b)) - item A119
A119. As atividades de monitoramento da administração podem usar informações de comunicações de partes externas, tais como reclamações de clientes ou comentários de reguladores que podem indicar problemas ou destacar áreas que necessitam de melhorias.
A120. O entendimento pelo auditor das fontes de informação usadas pela entidade para o monitoramento do seu sistema de controles internos, incluindo se as informações usadas são relevantes e confiáveis, o auxilia a avaliar se o processo da entidade para monitorar o sistema de controles internos é apropriado.
Se a administração assumir que as informações usadas para o monitoramento são relevantes e confiáveis sem ter uma base para essa premissa, erros que podem existir nas informações podem potencialmente levar a administração a tirar conclusões incorretas com base em suas atividades de monitoramento.
Avaliação do processo da entidade para monitoramento do sistema de controles internos (ver item 24(c)) - item A121 - A122
A121. A avaliação do auditor sobre como a entidade realiza avaliações contínuas e separadas para monitorar a efetividade dos controles o auxilia a entender se os outros componentes do sistema de controles internos da entidade estão presentes e em funcionamento e, portanto, auxilia no entendimento dos outros componentes do sistema de controles internos da entidade. Essa avaliação também pode auxiliar o auditor a identificar e avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).
Avaliação se o processo de monitoramento da entidade para monitorar o sistema de controles é apropriado (ver item 24(c)) - item A122
A122. A avaliação pelo auditor da adequação do processo dea entidade para monitorarde dododododo sistema de controles internos é baseada no entendimento dessedo auditor sobre o desseprocesso da entidade para monitorar o sistema de controles internos.
Sistema de informações e comunicação, e atividades de controle (ver itens 25 e 26) - item A123 - A130
A123. Os controles nos componentes sistema de informações e comunicação, e atividades de controle são primariamente controles diretos (isto é, controles que são suficientemente precisos para evitar, detectar ou corrigir distorções no nível da afirmação).
Por que o auditor deve entender o sistema de informações e comunicação, e controles no componente de atividades de controle? - item A124 - A125
A124. O auditor deve entender o sistema de informações e comunicação da entidade porque o entendimento das políticas da entidade que definem os fluxos de transações e outros aspectos das atividades de processamento de informações da entidade relevantes para a elaboração das demonstrações contábeis, e a avaliação de se o componente suporta adequadamente a elaboração das demonstrações contábeis da entidade, suportam a identificação e avaliação pelo auditor dos riscos de distorção relevante no nível da afirmação.
Esse entendimento e essa avaliação também podem resultar na identificação dos riscos de distorção relevante no nível das demonstrações contábeis quando os resultados dos procedimentos do auditor são inconsistentes com as expectativas em relação ao sistema de controles internos da entidade que podem ter sido baseadas em informações obtidas no processo de aceitação ou continuação do trabalho (ver item A86).
A125. O auditor deve identificar controles específicos no componente de atividades de controle, e avaliar o desenho bem como determinar se os controles foram implementados, uma vez que isso auxilia o seu entendimento sobre a abordagem da administração para tratar certos riscos e, portanto, fornece uma base para o planejamento e a realização de procedimentos adicionais de auditoria em resposta a esses riscos, conforme requerido pela NBC TA 330.
Quanto mais alto no spectrum de risco inerente um risco for avaliado, mais persuasiva deverá ser a evidência de auditoria. Mesmo quando o auditor não planeja testar a efetividade operacional dos controles identificados, o seu entendimento ainda pode afetar o planejamento da natureza, época e extensão de procedimentos de auditoria substantivos em resposta aos riscos de distorção relevante relacionados.
Natureza iterativa do entendimento e da avaliação pelo auditor do sistema de informações e comunicação, e das atividades de controle - item A126 - A130
A126. Conforme explicado no item A49, o entendimento pelo auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, pode auxiliá-lo a desenvolver expectativas iniciais em relação a classes de transações, saldos contábeis e divulgações que podem ser classes de transações, saldos contábeis e divulgações significativas.
Ao obter entendimento do componente do sistema de informações e comunicação, de acordo com o item 25(a), o auditor pode usar essas expectativas iniciais para determinar a extensão do entendimento a ser obtido sobre as atividades de processamento de informações da entidade.
A127. O entendimento do sistema de informações pelo auditor inclui o entendimento das políticas que definem os fluxos de informações relacionadas com as classes de transações, saldos contábeis e divulgações significativas da entidade e outros aspectos relacionados com as atividades de processamento de informações da entidade.
Essas informações e as informações obtidas da avaliação do sistema de informações pelo auditor podem confirmar ou influenciar ainda mais as suas expectativas em relação a classes de transações, saldos contábeis e divulgações significativas identificadas inicialmente (ver item A126).
A128. Ao obter entendimento de como informações relacionadas com classes de transações, saldos contábeis e divulgações significativas fluem (incluindo entrada e saída) pelo sistema de informações da entidade, o auditor também pode identificar controles no componente de atividades de controle que devem ser identificados, de acordo com o item 26(a).
A identificação e a avaliação pelo auditor dos controles no componente de atividades de controle podem primeiramente focar em controles dos lançamentos contábeis e controles que o auditor planeja testar a efetividade operacional para planejar a natureza, a época e a extensão dos procedimentos substantivos.
A129. A avaliação dos riscos inerentes pelo auditor também pode influenciar a identificação de controles no componente de atividades de controle.
Por exemplo, a identificação pelo auditor de controles relacionados com riscos significativos pode ser identificável apenas quando ele avaliou os riscos inerentes no nível da afirmação, de acordo com o item 31.
Além disso, os controles que tratam riscos para os quais o auditor determinou que apenas procedimentos substantivos não fornecem evidência de auditoria apropriada e suficiente, de acordo com o item 33, também podem ser identificáveis somente quando as suas avaliações de riscos inerentes tiverem sido realizadas.
A130. A identificação e a avaliação dos riscos de distorção relevante pelo auditor no nível da afirmação são influenciadas:
Obtenção de entendimento do sistema de informações e comunicação (ver item 25) - item A131 - A143
O Apêndice 3, itens de 15 a 19, fornece considerações adicionais relacionadas com o sistema de informações e comunicação.
Escalabilidade - item A131
A131. O sistema de informações e os processos de negócio relacionados, em entidades menos complexas, são provavelmente menos sofisticados do que em entidades maiores e tendem a envolver um ambiente de TI menos complexo.
Entretanto, o papel do sistema de informações é igualmente importante.
Entidades menos complexas com envolvimento direto da administração podem não precisar de extensas descrições de procedimentos contábeis, registros contábeis sofisticados ou políticas por escrito.
O entendimento dos aspectos relevantes do sistema de informações da entidade pode, portanto, requerer menos esforço na auditoria de entidade menos complexa e pode envolver mais indagações do que observação ou inspeção de documentação.
A necessidade de obter entendimento, contudo, continua importante para fornecer uma base para o planejamento de procedimentos de auditoria adicionais, de acordo com a NBC TA 330, e pode ainda auxiliar o auditor a identificar e avaliar os riscos de distorção relevante (ver item A86).
Obtenção de entendimento do sistema de informações (ver item 25(a)) - item A132 - A137
A132. O sistema de controles internos da entidade inclui aspectos que estão relacionados com os objetivos de apresentação de relatórios da entidade, incluindo objetivos de apresentação de seus relatórios financeiros, mas pode incluir também aspectos relacionados com seus objetivos de operações e de conformidade, quando esses aspectos são relevantes para a apresentação de relatórios financeiros.
O entendimento de como a entidade inicia transações e captura informações como parte do entendimento do auditor sobre o sistema de informações pode incluir informações sobre os sistemas da entidade (suas políticas), desenhados para tratar os objetivos de conformidade e de operações porque essas informações são relevantes para a elaboração das demonstrações contábeis.
Além disso, algumas entidades podem ter sistemas de informações altamente integrados de modo que controles possam ser desenhados de maneira a atingir simultaneamente os objetivos de relatório financeiro, de conformidade, operacionais e a combinações dos mesmos.
A133. O entendimento do sistema de informações da entidade também inclui o entendimento dos recursos a serem usados nas atividades de processamento de informações da entidade.
As informações sobre os recursos humanos envolvidos que podem ser relevantes para o entendimento dos riscos à integridade do sistema de informações incluem:
A134. Assuntos que o auditor pode considerar ao obter entendimento das políticas que definem os fluxos de informações relacionadas com as significativas classes de transações, saldos contábeis e divulgações da entidade no componente de sistema de informações e comunicação incluem a natureza:
A135. A obtenção de entendimento dos processos de negócio da entidade, que inclui como as transações são originadas, auxilia o auditor a obter entendimento do sistema de informações da entidade de modo apropriado às circunstâncias da entidade.
A136. O entendimento do sistema de informações pelo auditor pode ser obtido de várias maneiras e pode incluir:
A137. O auditor também pode usar técnicas automatizadas para obter acesso direto ou baixar as bases de dados (download) do sistema de informações da entidade que armazenam registros contábeis de transações.
Ao aplicar ferramentas ou técnicas automatizadas a essas informações, o auditor pode confirmar o entendimento obtido sobre como as transações fluem pelo sistema de informações, rastreando lançamentos no livro diário ou outros registros digitais relacionados com uma transação específica, ou a população inteira de transações, desde a iniciação nos registros contábeis até o registro no razão geral.
A análise de conjuntos completos ou grandes transações também pode resultar na identificação de variações em relação aos procedimentos de processamento normais ou esperados para essas transações, que podem resultar na identificação de riscos de distorção relevante.
Informações obtidas fora do razão geral e dos razões auxiliares - item A138 - A139
A138. As demonstrações contábeis podem conter informações que são obtidas fora do razão geral e dos razões auxiliares. Exemplos dessas informações que o auditor pode considerar incluem:
A139. Certos valores ou divulgações nas demonstrações contábeis da entidade (tais como divulgações sobre risco de crédito, risco de liquidez e risco de mercado) podem estar baseados em informações obtidas do sistema de gestão de riscos da entidade.
Entretanto, o auditor não é requerido a entender todos os aspectos do sistema de gestão de riscos da entidade, e usa julgamento profissional para determinar o entendimento necessário.
Uso de tecnologia da informação no sistema de informações pela entidade - item A140 - A143
Por que o auditor entende o ambiente de TI relevante para o sistema de informações? - item A140 - A141
A140. O entendimento do sistema de informações pelo auditor inclui o ambiente de TI relevante para os fluxos de transações e processamento de informações no sistema de informações da entidade porque o uso pela entidade de aplicativos de TI ou outros aspectos do ambiente de TI podem gerar riscos decorrentes do uso de TI.
A141. O entendimento do modelo de negócio da entidade e como ele integra o uso de TI também pode fornecer contexto útil para a natureza e a extensão de TI esperadas no sistema de informações.
Entendimento do uso de TI pela entidade - item A142 - A143
A142. O entendimento do ambiente de TI pelo auditor pode focar na identificação e no entendimento da natureza e do número de aplicativos de TI específicos e de outros aspectos do ambiente de TI relevantes para os fluxos de transações e processamento de informações no sistema de informações. Mudanças, no fluxo de transações ou em informações no sistema de informações, podem ser resultado de alterações em programas de aplicativos de TI ou alterações diretas de dados em bases de dados envolvidas em processamento ou armazenamento dessas transações ou informações.
A143. O auditor pode identificar os aplicativos de TI e a infraestrutura de suporte de TI ao mesmo tempo em que obtém entendimento como as informações relacionadas com significativas classes de transações, saldos contábeis e divulgações trafegam pelo sistema de informações da entidade.
Obtenção de entendimento da comunicação da entidade (ver item 25(b)) - item A144 - A146
Escalabilidade - item A144 - A145
A144. Em entidades maiores e mais complexas, as informações que o auditor pode considerar para entender a comunicação da entidade podem ser obtidas de manuais de políticas e de relatórios financeiros.
A145. Em entidades menos complexas, a comunicação pode ser menos estruturada (por exemplo, manuais formais podem não ser usados) devido aos graus menores de responsabilidade e à maior visibilidade e disponibilidade da administração. Independentemente do porte da entidade, canais de comunicação abertos facilitam que exceções sejam reportadas e tratadas.
Avaliação se os aspectos relevantes do sistema de informações suportam a elaboração das demonstrações contábeis da entidade (ver item 25(c)) - item A146
A146. A avaliação do auditor de se o sistema de informações e a comunicação da entidade suportam adequadamente a elaboração das demonstrações contábeis é baseada no entendimento obtido no item 25(a) e (b).
Atividades de controle (ver item 26) - item A147 - A157
Controles no componente de atividades de controle - item A147 - A152
O Apêndice 3, itens 20 e 21, fornece considerações adicionais relacionadas com atividades de controle.
A147. O componente de atividades de controle inclui controles planejados para assegurar a devida aplicação de políticas (que também são controles) em todos os outros componentes do sistema de controles internos da entidade, e inclui controles diretos e indiretos.
Exemplo:
Os controles estabelecidos pela entidade para assegurar que seu pessoal faça a contagem e o registro anual do estoque físico de maneira adequada estão relacionados diretamente com os riscos de distorção relevante importantes para as afirmações de existência e integridade do saldo contábil do estoque.
A148. A identificação e avaliação pelo auditor dos controles no componente de atividades de controle são focadas em controles de processamento de informações, que são controles aplicados durante o processamento de informações no sistema de informações da entidade que tratam diretamente os riscos à integridade das informações (isto é, a integridade, precisão e validade das transações e outras informações).
Entretanto, o auditor não é é requerido a identificar e avaliar todos os controles de processamento de informações relacionados com as políticas da entidade que definem os fluxos de transações e outros aspectos das atividades de processamento de informações da entidade para as significativas classes de transações, saldos contábeis e divulgações.
A149. Pode haver também controles diretos no ambiente de controle, no processo de avaliação de riscos da entidade ou no processo da entidade de monitoramento do sistema de controles internos, que podem ser identificados, de acordo com o item 26.
Entretanto, quanto mais indireta for a relação entre os controles que suportam outros controles e o controle que está sendo considerado, menos efetivo pode ser esse controle na prevenção, ou detecção e correção, das distorções relacionadas.
Exemplo:
A revisão pelo gerente de vendas do resumo da atividade de vendas para lojas específicas por região normalmente é relacionada apenas indiretamente com os riscos de distorção relevante importantes para a afirmação de integridade para receita de vendas.
Consequentemente, ela pode ser menos efetiva para tratar esses riscos do que controles relacionados mais diretamente com eles, tais como confrontar documentos de embarque com faturas.
A150. O item 26 também requer que o auditor identifique e avalie os controles gerais de TI para aplicativos de TI e outros aspectos do ambiente de TI que ele tenha determinado como sujeitos a riscos decorrentes do uso de TI porque os controles gerais de TI permitem o funcionamento efetivo e contínuo dos controles de processamento de informações.
Um único controle geral de TI não é suficiente para tratar risco de distorção relevante no nível da afirmação.
A151. Os controles que o auditor deve avaliar o planejamento e determinar se foram implementados, de acordo com o item 26, são os seguintes:
A152. Os controles no componente de atividades de controle devem ser identificados quando esses controles atenderem um ou mais critérios incluídos no item 26(a).
Entretanto, quando múltiplos controles atingem o mesmo objetivo, não é necessário identificar cada um dos controles relacionados com esse objetivo.
Tipos de controle no componente de atividades de controle (ver item 26) - item A153 - A155
A153. Exemplos de controles no componente de atividades de controle incluem autorizações e aprovações, conciliações, verificações (tais como verificações de edição e validação ou cálculos automatizados), segregação de funções e controles físicos e lógicos, incluindo aqueles que tratam de salvaguarda de ativos.
A154. Os controles no componente de atividades de controle também podem incluir controles estabelecidos pela administração que tratam os riscos de distorção relevante para divulgações não elaboradas de acordo com a estrutura de relatório financeiro aplicável. Esses controles podem estar relacionados com informações nas demonstrações contábeis que são obtidas do razão geral e dos razões auxiliares.
A155. Independentemente de os controles estarem no ambiente de TI ou em sistemas manuais, eles podem ter vários objetivos e podem ser aplicados em diversos níveis organizacionais e funcionais.
Escalabilidade (ver item 26) - item A156 - A157
A156. Os controles no componente de atividades de controle em entidades menos complexas são provavelmente semelhantes aos de entidades de grande porte, mas a formalidade com que eles operam pode variar. Além disso, em entidades menos complexas, mais controles podem ser aplicados diretamente pela administração.
Exemplo:
A autoridade exclusiva da administração de conceder crédito a clientes e aprovar aquisições significativas pode proporcionar fortes controles dos saldos contábeis e transações importantes.
A157. Pode ser menos praticável estabelecer segregação de funções em entidades menos complexas que possuem menos empregados.
Entretanto, em entidade administrada pelo proprietário, o gerente-proprietário pode ser capaz de supervisionar de maneira mais eficaz por meio de envolvimento direto que em entidade de grande porte, o que pode compensar as oportunidades geralmente menores de segregar funções.
Contudo, conforme também explicado na NBC TA 240, item 28, o controle da administração por um único indivíduo pode ser uma deficiência de controle potencial, já que há uma oportunidade para que a administração transgrida os controles.
Controles que tratam os riscos de distorção relevante no nível da afirmação (ver item 26(a)) - item A158 - A165
Controles que tratam os riscos determinados como sendo riscos significativos (ver item 26(a)(i)) - item A158 - A159
A158. Independentemente de se o auditor planeja testar a efetividade operacional de controles que endereçam riscos significativos, o entendimento obtido sobre a abordagem da administração para tratar esses riscos pode fornecer uma base para o planejamento e a realização de procedimentos substantivos em resposta a riscos significativos, conforme requerido pela NBC TA 330, item 21.
Embora os riscos relacionados com questões significativas não rotineiras ou de julgamento muitas vezes tenham menos probabilidade de estar sujeitos a controles rotineiros, a administração pode ter outras respostas para tratar tais riscos.
Consequentemente, o entendimento do auditor em determinar se a entidade planejou e implementou controles para riscos significativos decorrentes de questões não rotineiras ou de julgamento pode incluir determinar se e como a administração responde aos riscos. Essas respostas podem incluir:
Exemplo:
Quando há eventos únicos, tais como notificação judicial, a consideração da resposta da entidade pode incluir assuntos como determinar se a notificação foi submetida a especialistas apropriados (tais como assessores jurídicos internos ou externos), se foi feita uma avaliação do efeito potencial e como se propõe que as circunstâncias sejam divulgadas nas demonstrações contábeis.
A159. A NBC TA 240, itens 28 e A33, requer que o auditor entenda os controles relacionados com os riscos avaliados de distorção relevante decorrentes de fraude (que são tratados como riscos significativos), e explica mais detalhadamente que é importante que o auditor obtenha entendimento dos controles que a administração planejou, implementou e manteve para prevenir e detectar fraude.
Controles dos lançamentos no livro diário (ver item 26(a)(ii)) - item A160
A160. Os controles que tratam os riscos de distorção relevante no nível da afirmação que se espera identificar em todas as auditorias são os controles dos lançamentos no livro diário porque o modo como a entidade incorpora as informações do processamento de transações no razão geral geralmente envolve o uso de lançamentos no livro diário, sejam eles padrão ou fora do padrão, automatizados ou manuais.
A extensão em que outros controles são identificados pode variar com base na natureza da entidade e na abordagem planejada pelo auditor em relação a procedimentos adicionais de auditoria.
Exemplo:
Na auditoria de entidade menos complexa, o sistema de informações da entidade pode não ser complexo e o auditor pode não planejar confiar na efetividade operacional dos controles.
Além disso, o auditor pode não ter identificado nenhum risco significativo ou quaisquer outros riscos de distorção relevante em relação aos quais é necessário que ele avalie o planejamento dos controles e determine que eles tenham sido implementados.
Em uma auditoria como essa, o auditor pode determinar que não existem controles identificados que não sejam os controles da entidade sobre lançamentos no livro diário.
Ferramentas e técnicas automatizadas - item A161
A161. Em sistemas manuais de razão geral, lançamentos no livro diário fora de padrão podem ser identificados por meio de inspeção de livros razão, livros diários e documentação de suporte.
Quando são usados procedimentos automatizados para manter o razão geral e elaborar as demonstrações contábeis, esses lançamentos podem existir apenas em formato eletrônico e serem, portanto, mais facilmente identificados por meio de técnicas automatizadas.
Exemplo:
Na auditoria de entidade menos complexa, o auditor pode conseguir extrair uma listagem total de todos os lançamentos no livro diário em uma planilha simples.
Pode então ser possível ao auditor separar os lançamentos aplicando vários filtros, tais como valor, nome do preparador ou revisor, lançamentos no livro diário incluídos apenas no balanço patrimonial e na demonstração do resultado, ou visualizar a listagem pela data do lançamento no razão geral, para auxiliá-lo a planejar respostas aos riscos identificados relacionados com lançamentos no livro diário.
Controles para os quais o auditor planeja testar a efetividade operacional (ver item 26(a)(iii)) - item A162 - A164
A162. O auditor determina se existem riscos de distorção relevante no nível da afirmação para os quais não é possível obter evidência de auditoria apropriada e suficiente por meio de procedimentos substantivos isoladamente.
O auditor deve, de acordo com a NBC TA 330, item 8(b), planejar e realizar testes de controles que tratam esses riscos de distorção relevante quando os procedimentos substantivos isoladamente não conseguem fornecer evidência de auditoria apropriada e suficiente no nível da afirmação.
Como resultado, quando existem esses controles para tratar esses riscos, eles devem ser identificados e avaliados.
A163. Em outros casos, quando o auditor planeja levar em consideração a efetividade operacional dos controles para determinar a natureza, a época e a extensão dos procedimentos substantivos, de acordo com a NBC TA 330, esses controles também devem ser identificados porque a NBC TA 330, item 8(a), requer que o auditor planeje e realize testes desses controles.
Exemplos:
O auditor pode planejar testar a efetividade operacional dos controles:
A164. Os planos do auditor de testar a efetividade operacional dos controles também podem ser influenciados pelos riscos identificados de distorção relevante a nível das demonstrações contábeis.
Por exemplo, se forem identificadas deficiências relacionadas com o ambiente de controle, isso pode afetar as expectativas gerais do auditor sobre a efetividade operacional de controles diretos.
Outros controles que o auditor considera apropriados (ver item 26(a)(iv)) - item A165
A165. Outros controles que o auditor pode considerar apropriado identificar, avaliar o planejamento e determinar a implementação podem incluir:
Identificação de aplicativos de TI e outros aspectos do ambiente de TI, riscos decorrentes do uso de TI e controles gerais de TI (ver item 26(b) e (c)) - item A166 - A172
O Apêndice 5 inclui exemplos de características de aplicativos de TI e outros aspectos do ambiente de TI, e orientações relacionadas com essas características, que podem ser relevantes na identificação de aplicativos de TI e de outros aspectos do ambiente de TI que estão sujeitos a riscos decorrentes do uso de TI.
A166. O entendimento dos riscos decorrentes do uso de TI e controles gerais de TI implementados pela entidade para tratar esses riscos pode afetar:
Identificação de aplicativos de TI sujeitos a riscos decorrentes do uso de TI - item A167 - A169
A167. Para os aplicativos relevantes para o sistema de informações, o entendimento da natureza e complexidade dos processos de TI específicos e dos controles gerais de TI que a entidade possui pode auxiliar o auditor a determinar em quais aplicativos de TI a entidade confia para processar precisamente e manter a integridade das informações em seu sistema de informações.
Esses aplicativos de TI podem estar sujeitos a riscos decorrentes do uso de TI.
A168. A identificação dos aplicativos de TI sujeitos a riscos decorrentes do uso de TI envolve considerar os controles identificados pelo auditor porque esses controles podem envolver o uso de TI ou confiar em TI.
O auditor pode focar em se os aplicativos de TI incluem controles automatizados nos quais a administração confia e que auditor identificou, incluindo controles que tratam os riscos para os quais procedimentos substantivos isoladamente não fornecem evidência de auditoria suficiente e apropriada.
O auditor também pode considerar como as informações são armazenadas e processadas no sistema de informações relacionado com significativas classes de transações, saldos contábeis e divulgações, e se a administração confia nos controles gerais de TI para manter a integridade dessas informações.
A169. Os controles identificados pelo auditor podem depender de relatórios gerados por sistema, caso em que os aplicativos de TI que produzem esses relatórios podem estar sujeitos a riscos decorrentes do uso de TI.
Em outros casos, o auditor pode não planejar confiar em controles dos relatórios gerados por sistema e planejar testar diretamente as entradas e saídas desses relatórios, caso em que ele pode não identificar os aplicativos de TI relacionados como sendo sujeitos a riscos decorrentes de TI.
Escalabilidade - item A170 - A171
A170. A extensão em que o entendimento dos processos de TI pelo auditor, incluindo a extensão em que a entidade possui controles gerais de TI, varia dependendo da natureza e das circunstâncias da entidade e do seu ambiente de TI, bem como com base na natureza e extensão dos controles identificados por ele.
O número de aplicativos de TI sujeitos a riscos decorrentes do uso de TI também varia com base nesses fatores.
Exemplos:
A171. Quando a entidade tem ambiente de TI mais complexo, a identificação dos aplicativos de TI e de outros aspectos do ambiente de TI, a determinação dos riscos relacionados decorrentes do uso de TI e a identificação dos controles gerais de TI provavelmente requerem o envolvimento de membros da equipe com habilidades especializadas em TI.
Esse envolvimento é provavelmente essencial e pode precisar ser extenso para ambientes de TI complexos.
Identificação de outros aspectos do ambiente de TI sujeitos a riscos decorrentes do uso de TI - item A172
A172. Os outros aspectos do ambiente de TI que podem estar sujeitos a riscos decorrentes do uso de TI incluem a rede, o sistema operacional e as bases de dados e, em certas circunstâncias, as interfaces entre os aplicativos de TI.
Outros aspectos do ambiente de TI geralmente não são identificados quando o auditor não identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI.
Quando o auditor identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI, outros aspectos do ambiente de TI (por exemplo, base de dados, sistema operacional, rede) são provavelmente identificados porque esses aspectos suportam e interagem com os aplicativos de TI identificados.
Identificação de riscos decorrentes do uso de TI e controles gerais de TI (ver item 26(c)) - item A173 - A174
O Apêndice 6 fornece considerações para o entendimento dos controles gerais de TI.
A173. Ao identificar os riscos decorrentes do uso de TI, o auditor pode considerar a natureza do aplicativo de TI identificado ou outros aspectos do ambiente de TI e as razões que o tornam sujeito a riscos decorrentes do uso de TI.
Para alguns aplicativos de TI ou outros aspectos do ambiente de TI identificados, o auditor pode identificar riscos decorrentes do uso de TI aplicáveis que estão relacionados basicamente ao acesso não autorizado ou alterações de programa não autorizadas, ou que tratam riscos relacionados com alterações inadequadas de dados (por exemplo, o risco de alterações inadequadas de dados por meio de acesso direto à base de dados ou à capacidade de manipular diretamente as informações).
A174. A extensão e a natureza dos riscos decorrentes do uso de TI aplicáveis variam dependendo da natureza e das características dos aplicativos de TI identificados e outros aspectos do ambiente de TI.
Os riscos de TI aplicáveis podem ocorrer quando a entidade usa prestadores de serviço externos ou internos para aspectos identificados do seu ambiente de TI (por exemplo, terceirização da hospedagem do seu ambiente de TI ou compartilhamento de centro de serviços para o gerenciamento central dos processos de TI em um grupo).
Riscos decorrentes do uso de TI também podem ser identificados relacionados com segurança cibernética.
É mais provável que haja mais riscos decorrentes do uso de TI quando o volume ou a complexidade dos controles de aplicativos automatizados for maior e a administração depositar mais confiança nesses controles para o efetivo processamento de transações ou a efetiva manutenção da integridade das informações subjacentes.
Avaliação do planejamento e determinação da implementação de controles identificados no componente de atividades de controle (ver item 26(d)) - item A175 - A181
A175. A avaliação do planejamento de controle identificado envolve a consideração do auditor de se o controle, individualmente ou em combinação com outros controles, é capaz de efetivamente evitar, ou detectar e corrigir, as distorções relevantes (isto é, o objetivo do controle).
A176. O auditor determina a implementação de controle identificado estabelecendo que o controle existe e que é usado pela entidade.
Há pouca utilidade em o auditor avaliar a implementação de controle que não foi planejado de maneira efetiva.
Portanto, o auditor avalia primeiro o planejamento do controle. O controle planejado indevidamente pode representar uma deficiência de controle.
A177. Os procedimentos de avaliação de risco para obter evidência de auditoria sobre o planejamento e a implementação de controles identificados no componente de atividades de controle podem incluir:
Contudo, a indagação somente não é suficiente para esses fins.
A178. O auditor pode esperar, com base na experiência da auditoria anterior ou em procedimentos de avaliação de risco do período corrente, que a administração não tenha planejado ou implementado de maneira efetiva controles para tratar risco significativo.
Nesses casos, os procedimentos realizados para tratar o requisito no item 26(d) podem envolver determinar se esses controles não foram planejados ou implementados de maneira efetiva.
Se os resultados dos procedimentos indicam que os controles foram planejados ou implementados recentemente, o auditor deve realizar os procedimentos do item 26(b) a (d) para os controles planejados ou implementados recentemente.
A179. O auditor pode concluir que é apropriado testar um controle, que foi planejado e implementado de maneira efetiva, para considerar sua efetividade operacional ao planejar procedimentos substantivos.
Entretanto, quando o controle não foi planejado ou implementado de maneira efetiva, não há nenhum benefício em testá-lo.
Quando o auditor planeja testar o controle, as informações obtidas sobre a extensão em que o controle trata os riscos de distorção relevante são subsídios para a sua avaliação do risco de controle no nível da afirmação.
A180. A avaliação do planejamento e a determinação da implementação de controles identificados no componente de atividades de controle não são suficientes para testar sua efetividade operacional. Entretanto, para os controles automatizados, o auditor pode planejar testar sua efetividade operacional por meio da identificação e do teste dos controles gerais de TI que possibilitam a operação consistente do controle automatizado em vez de realizar testes da efetividade operacional diretamente nos controles automatizados.
A obtenção de evidência de auditoria sobre a implementação de controle manual em determinado momento não fornece evidência de auditoria da efetividade operacional do controle em outros momentos durante o período sob auditoria.
Os testes da efetividade operacional dos controles, incluindo testes de controles indiretos, estão descritos mais detalhadamente na NBC TA 330, itens de 8 a 11.
A181. Quando o auditor não planeja testar a efetividade operacional dos controles identificados, o seu entendimento ainda pode auxiliar no planejamento da natureza, época e extensão de procedimentos de auditoria substantivos que respondam aos riscos de distorção relevante relacionados.
Exemplo:
Os resultados desses procedimentos de avaliação de risco podem fornecer uma base para a consideração do auditor sobre possíveis desvios em uma população ao planejar amostras de auditoria.
Deficiências de controle no sistema de controles internos da entidade (ver item 27) - item A182 - A183
A182. Ao realizar as avaliações de cada um dos componentes do sistema de controles internos da entidade (ver itens 21(b), 22(b), 24(c), 25(c) e 26(d)), o auditor pode determinar que certas políticas da entidade em componente não são adequadas para a natureza e as circunstâncias da entidade.
Essa determinação pode ser um indicador que auxilia o auditor a identificar deficiências de controle. Se o auditor identificou uma ou mais deficiências de controle, ele pode considerar o efeito dessas deficiências de controle no planejamento de procedimentos adicionais de auditoria, de acordo com a NBC TA 330.
A183. Se o auditor identificou uma ou mais deficiências de controle, a NBC TA 265 - Comunicação de Deficiências de Controle Interno, item 8, requer que o auditor determine se elas constituem, individualmente ou em combinação, deficiências significativas.
O auditor usa julgamento profissional para determinar se uma deficiência representa deficiência significativa de controle (NBC TA 265, itens A6 e A7).
Exemplos:
As circunstâncias que podem indicar a existência de deficiência significativa de controle incluem assuntos tais como:
Identificação e avaliação dos riscos de distorção relevante (ver itens de 28 a 37) - item A184 - A236
Por que o auditor identifica e avalia os riscos de distorção relevante? - item A184 - A185
A184. Os riscos de distorção relevante são identificados e avaliados pelo auditor para determinar a natureza, a época e a extensão dos procedimentos adicionais de auditoria necessários para obter evidência de auditoria apropriada e suficiente. Essa evidência possibilita ao auditor expressar uma opinião sobre as demonstrações contábeis em nível aceitavelmente baixo de risco de auditoria.
A185. As informações coletadas por meio dos procedimentos de avaliação de risco realizados são usadas como evidência de auditoria para fornecer a base para a identificação e a avaliação dos riscos de distorção relevante.
Por exemplo, a evidência de auditoria, obtida na avaliação do planejamento de controles identificados e na determinação de se esses controles foram implementados no componente de atividades de controle, é usada como evidência de auditoria para suportar a avaliação de risco.
Essa evidência também fornece uma base para o auditor planejar respostas gerais para tratar os riscos avaliados de distorção relevante no nível das demonstrações contábeis, bem como planejar e realizar procedimentos adicionais de auditoria, cuja natureza, época e extensão respondam aos riscos avaliados de distorção relevante no nível da afirmação, de acordo com a NBC TA 330.
Identificação dos riscos de distorção relevante (ver item 28) - item A186 - A187
A186. A identificação dos riscos de distorção relevante é feita antes da consideração de quaisquer controles relacionados (isto é, risco inerente), e é baseada na consideração preliminar pelo auditor de distorções com possibilidade razoável de ocorrerem e, caso ocorram, de serem relevantes (NBC TA 200, item A16).
A187. A identificação dos riscos de distorção relevante também fornece a base para a determinação do auditor de afirmações relevantes, que auxiliam sua determinação das classes de transações, saldos contábeis e divulgações significativas.
Afirmações - item A188 - A192
Por que o auditor usa afirmações? - item A188
A188. Ao identificar e avaliar os riscos de distorção relevante, o auditor usa afirmações para considerar os diferentes tipos de possíveis distorções que podem ocorrer. As afirmações para as quais o auditor identificou riscos de distorção relevante relacionados são afirmações relevantes.
Uso de afirmações - item A189 - A191
A189. Ao identificar e avaliar os riscos de distorção relevante, o auditor pode usar as categorias de afirmações, conforme descrito no item A190(a) e (b) ou expressá-las de forma diferente desde que todos os aspectos descritos abaixo tenham sido abrangidos.
O auditor pode escolher combinar as afirmações sobre classes de transações, eventos e divulgações relacionadas, com afirmações sobre saldos contábeis e divulgações relacionadas.
A190. As afirmações usadas pelo auditor ao considerar os diferentes tipos de possíveis distorções que podem ocorrer podem se enquadrar nas seguintes categorias:
A191. As afirmações descritas no item A190(a) e (b), adaptadas conforme adequado, também podem ser usadas pelo auditor ao considerar os diferentes tipos de distorções que podem ocorrer em divulgações não diretamente relacionadas com classes de transações, eventos ou saldos contábeis.
Exemplo:
Um exemplo dessa divulgação inclui onde a entidade deve descrever, de acordo com a estrutura de relatório financeiro aplicável, sua exposição a riscos decorrentes de instrumentos financeiros, incluindo o modo como os riscos surgem, objetivos, políticas e processos para gerenciar os riscos e os métodos usados para mensurar os riscos.
Considerações específicas para entidades do setor público - item A192
A192. Ao fazer afirmações sobre as demonstrações contábeis de entidades do setor público, além das afirmações expostas no item A190(a) e (b), a administração muitas vezes pode afirmar que as transações e os eventos foram realizados em conformidade com lei, regulamento ou outra autoridade. Tais afirmações podem estar dentro do alcance da auditoria de demonstrações contábeis.
Riscos de distorção relevante no nível das demonstrações contábeis (ver itens 28(a) e 30) - item A193 - A201
Por que o auditor identifica e avalia os riscos de distorção relevante no nível das demonstrações contábeis? - item A193 - A194
A193. O auditor identifica os riscos de distorção relevante no nível das demonstrações contábeis para determinar se os riscos têm efeito generalizado sobre as demonstrações contábeis e se, portanto, precisariam de resposta geral, de acordo com a NBC TA 330, item 5.
A194. Além disso, os riscos de distorção relevante no nível das demonstrações contábeis também podem afetar as afirmações individuais, e a identificação desses riscos pode auxiliar o auditor a avaliar os riscos de distorção relevante no nível da afirmação e a planejar procedimentos adicionais de auditoria para tratar os riscos identificados.
Identificação e avaliação dos riscos de distorção relevante no nível das demonstrações contábeis - item A195 - A199
A195. Os riscos de distorção relevante no nível das demonstrações contábeis referem-se a riscos relacionados de maneira generalizada com as demonstrações contábeis como um todo e, potencialmente, afetam muitas afirmações.
Os riscos dessa natureza não são necessariamente riscos identificáveis com afirmações específicas no nível de classes de transações, saldos contábeis ou divulgações (por exemplo, risco de que a administração transgrida os controles).
Em vez disso, eles representam circunstâncias que podem aumentar de forma generalizada os riscos de distorção relevante no nível da afirmação. A avaliação do auditor de se os riscos identificados se relacionam de forma generalizada com as demonstrações contábeis suporta a sua avaliação dos riscos de distorção relevante no nível das demonstrações contábeis.
Em outros casos, diversas afirmações podem ser identificadas como sendo suscetíveis ao risco e podem, portanto, afetar a identificação e avaliação pelo auditor dos riscos de distorção relevante no nível da afirmação.
Exemplo:
A entidade enfrenta perdas operacionais e problemas de liquidez e baseia-se na captação de recursos que ainda não está garantida.
Nessas circunstâncias, o auditor pode determinar que a base de continuidade operacional gera risco de distorção relevante no nível das demonstrações contábeis.
Nessa situação, a estrutura contábil pode precisar ser aplicada usando uma base de liquidação, que provavelmente afetaria todas as afirmações de forma generalizada.
A196. A identificação e a avaliação dos riscos de distorção relevante pelo auditor no nível das demonstrações contábeis são influenciadas pelo seu entendimento do sistema de controles internos da entidade, em particular o seu entendimento do ambiente de controle, do processo de avaliação de riscos da entidade e do processo da entidade de monitoramento do sistema de controles internos, e:
Em particular, os riscos no nível das demonstrações contábeis podem surgir de deficiências no ambiente de controle ou de eventos externos ou condições, tais como condições econômicas em deterioração.
A197. Os riscos de distorção relevante decorrente de fraude podem ser particularmente relevantes para a consideração pelo auditor dos riscos de distorção relevante no nível das demonstrações contábeis.
Exemplo:
O auditor entende com base em indagações junto à administração que as demonstrações contábeis da entidade são utilizadas em discussões com credores para assegurar financiamento adicional para manter o capital de giro.
Portanto, o auditor pode determinar que há uma suscetibilidade maior à distorção decorrente de fatores de risco de fraude que afeta o risco inerente (isto é, a suscetibilidade das demonstrações contábeis à distorção relevante por causa do risco de apresentação de relatório financeiro fraudulento, como superavaliação de ativos e receita e subavaliação de passivos e despesas para assegurar a obtenção de financiamento)
A198. O entendimento do auditor, incluindo as avaliações relacionadas do ambiente de controle e de outros componentes do sistema de controles internos, pode levantar dúvidas quanto à sua capacidade de obter evidência de auditoria sobre a qual basear a opinião de auditoria ou causar a renúncia ao trabalho de auditoria, quando permitida por lei ou regulamento aplicável.
Exemplos:
A199. A NBC TA 705 - Modificação na Opinião do Auditor Independente estabelece requisitos e fornece orientações para determinar se existe a necessidade de o auditor expressar uma opinião com ressalva ou abster-se de emitir opinião ou, conforme necessário em alguns casos, renunciar ao trabalho quando permitido por lei ou regulamento aplicável.
Considerações específicas para entidades do setor público - item A200
A200. Para as entidades do setor público, a identificação dos riscos no nível das demonstrações contábeis pode incluir a consideração dos assuntos relacionados com clima político, o interesse público e a sensibilidade ao programa.
Riscos de distorção relevante no nível da afirmação (ver item 28(b)) - item A201
O Apêndice 2 fornece exemplos, no contexto de fatores de risco inerentes, eventos ou condições, que podem indicar suscetibilidade à distorção que pode ser relevante.
A201. Os riscos de distorção relevante que não se referem de maneira generalizada às demonstrações contábeis são riscos de distorção relevante no nível da afirmação.
Afirmações relevantes e classes de transações, saldos contábeis e divulgações significativas (ver item 29) - item A202 - A204
A202. A determinação das afirmações relevantes e classes de transações, saldos contábeis e divulgações significativas fornece a base para o alcance do entendimento pelo auditor do sistema de informações da entidade que deve ser obtido, de acordo com o item 25(a). Esse entendimento pode ainda auxiliar o auditor a identificar e avaliar os riscos de distorção relevante (ver item A86).
Ferramentas e técnicas automatizadas - item A203
A203. O auditor pode usar técnicas automatizadas para auxiliá-lo a identificar classes de transações, saldos contábeis e divulgações significativas.
Exemplos:
Divulgações que podem ser significativas - item A204
A204. Divulgações significativas incluem divulgações quantitativas e qualitativas para as quais existem uma ou mais afirmações. Exemplos de divulgações com aspectos qualitativos e que podem ter afirmações relevantes e ser, portanto, consideradas significativas pelo auditor incluem divulgações sobre:
Avaliação dos riscos de distorção relevante no nível da afirmação - item A205 - A236
Avaliação dos riscos inerentes (ver itens de 31 a 33) - item A205 - A217
Avaliação da probabilidade e magnitude da distorção (ver item 31) - item A205 - A207
Por que o auditor avalia a probabilidade e a magnitude da distorção?
A205. O auditor avalia a probabilidade e a magnitude da distorção para riscos identificados de distorção relevante porque a significância da combinação da probabilidade da distorção ocorrer e da magnitude da possível distorção, caso ocorra, determina onde no spectrum de risco inerente é avaliado o risco identificado, o que embasa o seu planejamento de procedimentos adicionais de auditoria para tratar do risco.
A206. A avaliação do risco inerente dos riscos identificados de distorção relevante também auxilia o auditor a determinar os riscos significativos. O auditor determina os riscos significativos porque são necessárias respostas específicas aos riscos significativos, de acordo com a NBC TA 330 e outras normas de auditoria.
A207. Os fatores de risco inerentes influenciam a avaliação do auditor da probabilidade e da magnitude da distorção para riscos identificados de distorção relevante no nível da afirmação.
Quanto mais suscetível à distorção for uma classe de transações, saldo contábil ou divulgação, mais alto, provavelmente, será o risco inerente.
A consideração do grau em que os fatores de risco inerentes afetam a suscetibilidade de uma afirmação à distorção auxilia o auditor a avaliar adequadamente o risco inerente para riscos de distorção relevante no nível da afirmação e a planejar uma resposta mais precisa a esse risco.
Spectrum de risco inerente - item A208 - A214
A208. Ao avaliar o risco inerente, o auditor usa julgamento profissional para determinar a significância da combinação da probabilidade e da magnitude da distorção.
A209. O risco inerente avaliado relacionado com risco específico de distorção relevante no nível da afirmação representa julgamento dentro de todo o intervalo do spectrum de risco inerente.
O julgamento sobre onde, no intervalo avaliado, o risco inerente pode variar com base na natureza, porte e complexidade da entidade, e leva em consideração a probabilidade e a magnitude avaliadas da distorção e dos fatores de risco inerentes.
A210. Ao considerar a probabilidade de distorção, o auditor considera a possibilidade da distorção ocorrer com base na consideração dos fatores de risco inerentes.
A211. Ao considerar a magnitude da distorção, o auditor considera os aspectos qualitativos e quantitativos da possível distorção (isto é, distorções em afirmações sobre classes de transações, saldos contábeis ou divulgações podem ser julgadas relevantes devido ao porte, à natureza ou às circunstâncias).
A212. O auditor usa a significância da combinação de probabilidade e magnitude da possível distorção para determinar onde no spectrum de risco inerente (isto é, intervalo) é avaliado o risco inerente.
Quanto maior a combinação de probabilidade e magnitude, mais alto provavelmente será avaliado o risco inerente.
Quanto menor a combinação de probabilidade e magnitude, mais baixo provavelmente será avaliado o risco inerente.
A213. Se um risco é avaliado como alto no spectrum de risco inerente não significa que a magnitude e a probabilidade devem ser avaliadas como altas.
Na verdade, é a intersecção da magnitude e da probabilidade da distorção relevante no spectrum de risco inerente que determinará se o risco inerente avaliado é mais alto ou mais baixo no spectrum de risco inerente.
Um risco inerente avaliado como mais alto também pode surgir de diferentes combinações de probabilidade e magnitude.
Por exemplo, um risco inerente avaliado como mais alto pode ser resultado de uma probabilidade mais baixa, mas uma magnitude muito alta.
A214. Para desenvolver estratégias adequadas para responder aos riscos de distorção relevante, o auditor pode designar riscos de distorção relevante dentro de categorias ao longo do spectrum de risco inerente com base em sua avaliação de risco inerente.
Essas categorias podem ser descritas de diferentes maneiras. Independentemente do método de categorização usado, a avaliação do risco inerente pelo auditor é adequada quando o planejamento e a implementação de procedimentos adicionais de auditoria para tratar os riscos identificados de distorção relevante no nível da afirmação respondem adequadamente à avaliação do risco inerente e às razões para essa avaliação.
Riscos generalizados de distorção relevante no nível da afirmação (ver item 31(b)) - item A215 - A216
A215. Ao avaliar os riscos identificados de distorção relevante no nível da afirmação, o auditor pode concluir que alguns riscos de distorção relevante estão relacionados de maneira mais generalizada com as demonstrações contábeis como um todo e potencialmente afetam muitas afirmações, caso em que ele pode atualizar a identificação dos riscos de distorção relevante no nível das demonstrações contábeis.
A216. Nas circunstâncias em que os riscos de distorção relevante são identificados como riscos no nível das demonstrações contábeis devido a seu efeito generalizado sobre diversas afirmações, e são identificáveis com afirmações específicas, o auditor deve levar em consideração esses riscos ao avaliar o risco inerente para riscos de distorção relevante no nível da afirmação.
Considerações específicas para entidades do setor público - item A217
A217. Ao exercer julgamento profissional quanto à avaliação do risco de distorção relevante, os auditores do setor público podem considerar a complexidade dos regulamentos e orientações e os riscos de não conformidade com autoridades.
Riscos significativos (ver item 32) - item A218 - A221
Por que riscos significativos são determinados e quais as implicações para a auditoria? - item A218
A218. A determinação dos riscos significativos permite ao auditor focar mais a atenção nos riscos situados no limite superior do spectrum de risco inerente, por meio da aplicação de certas respostas necessárias, incluindo:
Determinação dos riscos significativos - item A219 - A221
A219. Ao determinar os riscos significativos, o auditor pode primeiro identificar os riscos avaliados de distorção relevante que podem ter sido avaliados como mais altos no spectrum de risco inerente para formar a base para considerar quais riscos podem estar próximos do limite superior.
Estar próximo do limite superior do spectrum de risco inerente é diferente de uma entidade para outra, e não será necessariamente a mesma coisa para uma entidade em períodos diferentes.
Pode depender da natureza e das circunstâncias da entidade para a qual o risco está sendo avaliado.
A220. A determinação de quais riscos avaliados de distorção relevante estão próximos do limite superior do spectrum de risco inerente e são, portanto, riscos significativos, é uma questão de julgamento profissional, a menos que o risco seja de um tipo especificado a ser tratado como risco significativo de acordo com os requisitos de outra norma de auditoria.
A NBC TA 240, itens de 26 a 28, estabelece requisitos adicionais e orientações referentes à identificação e à avaliação dos riscos de distorção relevante devido a fraude.
Exemplo:
A221. O auditor também leva em consideração os efeitos relativos dos fatores de risco inerentes ao avaliar o risco inerente.
Quanto menor o efeito dos fatores de risco inerentes, menor tende a ser o risco avaliado.
Os riscos de distorção relevante que podem ser avaliados como de alto risco inerente e podem, portanto, ser determinados como sendo risco significativo, podem surgir de assuntos como os que seguem:
Riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente (ver item 33) - item A222 - A225
Por que os riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente devem ser identificados? - item A222 - A223
A222. Devido à natureza do risco de distorção relevante e das atividades de controle que tratam esse risco, em algumas circunstâncias, a única maneira de obter evidência de auditoria apropriada e suficiente é testar a efetividade operacional dos controles.
Consequentemente, há um requisito para que o auditor identifique tais riscos por causa das implicações no planejamento e na realização dos procedimentos adicionais de auditoria, de acordo com a NBC TA 330, item 8, para tratar os riscos de distorção relevante no nível da afirmação.
A223. O item 26(a)(iii) também requer a identificação dos controles que tratam os riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente porque o auditor deve, de acordo com a NBC TA 330, planejar e realizar testes sobre a efetividade operacional desses controles.
Determinação dos riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente - item A224 - A225
A224. Quando as transações de negócios rotineiras estão sujeitas a processamento altamente automatizado com pouca ou nenhuma intervenção manual, pode não ser possível realizar apenas procedimentos substantivos em relação ao risco.
Esse pode ser o caso em circunstâncias onde uma quantidade significativa de informações da entidade é iniciada, registrada, processada ou reportada somente em formato eletrônico, tal como em sistema de informações que envolve alto grau de integração entre seus aplicativos de TI.
Nesses casos:
Exemplo:
Normalmente, não é possível obter evidência de auditoria apropriada e suficiente relacionada com receita para entidade de telecomunicações baseada em procedimentos substantivos isoladamente. Isso ocorre porque não existe evidência de chamadas ou de atividade de dados em formato que seja observável. Em vez disso, normalmente são realizados testes substanciais de controles para determinar que a originação e conclusão de chamadas e a atividade de dados foram corretamente capturadas (por exemplo, minutos de chamada ou volume de download) e registradas no sistema de faturamento da entidade.
A225. A NBC TA 540, itens de A87 a A89, fornece orientações adicionais relacionadas com estimativas contábeis de riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente. Em relação a estimativas contábeis isso pode não ser limitado a processamento automatizado, mas pode também ser aplicável a modelos complexos.
Avaliação de risco de controle (ver item 34) - item A226 - A229
A226. Os planos do auditor de testar a efetividade operacional dos controles são baseados na expectativa de que os controles estejam operando efetivamente, e isso forma a base da avaliação do risco de controle pelo auditor.
A expectativa inicial da efetividade operacional dos controles é baseada na avaliação pelo auditor do planejamento dos controles identificados no componente de atividades de controle e na determinação da sua implementação.
Uma vez que o auditor tenha testado a efetividade operacional dos controles, de acordo com a NBC TA 330, ele pode confirmar a expectativa inicial sobre a efetividade operacional dos controles.
Se os controles não estiverem operando efetivamente conforme esperado, o auditor precisa revisar a avaliação do risco de controle, de acordo com o item 37.
A227. A avaliação do auditor do risco de controle pode ser feita de formas diferentes, dependendo das técnicas ou metodologias de auditoria preferidas e pode ser expressa de diferentes maneiras.
A228. Se o auditor planeja testar a efetividade operacional dos controles, pode ser necessário testar uma combinação de controles para confirmar a sua expectativa de que os controles estão operando efetivamente.
O auditor planeja testar controles diretos e indiretos, incluindo controles gerais de TI, e, nesse caso, levar em consideração o efeito combinado esperado dos controles ao avaliar o risco de controle.
Na medida em que o controle a ser testado não endereça totalmente o risco inerente avaliado, o auditor determina as implicações para o planejamento dos procedimentos adicionais de auditoria para reduzir o risco de auditoria a um nível aceitavelmente baixo.
A229. Quando o auditor planeja testar a efetividade operacional de controle automatizado, ele pode também planejar testar a efetividade operacional dos controles gerais de TI relevantes que suportam o funcionamento contínuo desse controle automatizado para tratar os riscos decorrentes do uso de TI, e fornecer uma base para a sua expectativa de que os controles operaram efetivamente durante todo o período.
Quando o auditor espera que os controles gerais de TI relacionados não sejam efetivos, essa determinação pode afetar a sua avaliação do risco de controle no nível da afirmação e os sue procedimentos adicionais de auditoria podem precisar incluir procedimentos substantivos para tratar os riscos decorrentes do uso de TI aplicáveis.
Orientações adicionais sobre os procedimentos que o auditor pode realizar nessas circunstâncias são fornecidas na NBC TA 330, itens de A29 a A32.
Avaliação da evidência de auditoria obtida dos procedimentos de avaliação de risco (ver item 35) - item A230 - A 232
Por que o auditor avalia a evidência de auditoria obtida dos procedimentos de avaliação de risco? item A230
A230. A evidência de auditoria obtida da realização dos procedimentos de avaliação de risco fornece a base para a identificação e avaliação dos riscos de distorção relevante.
Isso fornece a base para o planejamento do auditor da natureza, época e extensão de procedimentos adicionais de auditoria que respondam aos riscos avaliados de distorção relevante no nível da afirmação, de acordo com a NBC TA 330.
Consequentemente, a evidência de auditoria obtida dos procedimentos de avaliação de riscos fornece a base para a identificação e a avaliação de riscos de distorção relevante, independentemente de se causada por fraude ou erro, nos níveis das demonstrações contábeis e da afirmação.
Avaliação da evidência de auditoria - item A231
A231. A evidência de auditoria obtida dos procedimentos de avaliação de risco abrange informações que sustentam e corroboram as afirmações da administração e quaisquer informações que contradigam tais afirmações (NBC TA 500, item A5).
Ceticismo profissional - item A232
A232. Ao avaliar a evidência de auditoria obtida dos procedimentos de avaliação de risco, o auditor considera se foi obtido entendimento suficiente sobre a entidade e seu ambiente, a estrutura de relatório financeiro aplicável e o sistema de controles internos da entidade para poder identificar os riscos de distorção relevante, bem como se existe evidência contraditória que possa indicar risco de distorção relevante.
Classes de transações, saldos contábeis e divulgações não significativas, porém relevantes (ver item 36) - item A233 - A235
A233. Conforme explicado na NBC TA 320, item A1, a materialidade e o risco de auditoria são considerados na identificação e avaliação dos riscos de distorção relevante em classes de transações, saldos contábeis e divulgações.
A determinação de materialidade pelo auditor é uma questão de julgamento profissional e é afetada pela sua percepção das necessidades de informações financeiras dos usuários das demonstrações contábeis (NBC TA 320, item 4).
Para fins desta Norma e do item 18 da NBC TA 330, classes de transações, saldos contábeis ou divulgações são relevantes se houver uma expectativa razoável de que a omissão, a distorção ou a ocultação das informações sobre elas influencie as decisões econômicas dos usuários tomadas com base nas demonstrações contábeis como um todo.
A234. Pode haver classes de transações, saldos contábeis ou divulgações relevantes, mas que não tenham sido determinadas como classes de transações, saldos contábeis ou divulgações significativas (isto é, não existem afirmações relevantes identificadas).
Exemplo:
A entidade pode ter uma divulgação sobre remuneração de executivos para a qual o auditor não identificou risco de distorção relevante. Entretanto, o auditor pode determinar que essa divulgação é relevante com base nas considerações no item A233.
A235. Os procedimentos de auditoria para tratar classes de transações, saldos contábeis ou divulgações relevantes, porém, mas não determinadas como significativas, são tratados na NBC TA 330, item 18.
Quando uma classe de transações, saldo contábil ou divulgação é determinada como sendo significativa, conforme requerido no item 29, a classe de transações, o saldo contábil ou a divulgação também são relevantes para os fins do item 18 da NBC TA 330.
Revisão da avaliação de risco (ver item 37) - item A236
A236. Durante a auditoria, informações novas ou outras informações que diferem significativamente das informações nas quais a avaliação de risco se baseou podem chamar a atenção do auditor.
Exemplo:
A avaliação de risco da entidade pode ser baseada na expectativa de que certos controles estão operando efetivamente.
Ao realizar testes desses controles, o auditor pode obter evidência de auditoria de que eles não estavam operando efetivamente em momentos relevantes durante a auditoria.
Da mesma forma, ao realizar procedimentos substantivos, o auditor pode detectar distorções em valores ou frequência maiores do que as detectadas nas avaliações de riscos do auditor.
Nessas circunstâncias, a avaliação de risco pode não refletir adequadamente as verdadeiras circunstâncias da entidade e os procedimentos de auditoria adicionais planejados podem não ser efetivos para detectar distorções relevantes.
Os itens 16 e 17 da NBC TA 330 fornecem orientações adicionais sobre avaliação da efetividade operacional dos controles.
Documentação (ver item 38) - item A237 - A241
A237. Para auditorias recorrentes, certas documentações podem ser reutilizadas e atualizadas, conforme necessário, para refletir mudanças nos negócios ou processos da entidade.
A238. A NBC TA 230, item A7, observa que, entre outras considerações, embora possa não haver uma única maneira pela qual o exercício do julgamento profissional pelo auditor é documentado, a documentação de auditoria pode, no entanto, fornecer evidência do exercício do ceticismo profissional pelo auditor.
Por exemplo, quando a evidência de auditoria obtida dos procedimentos de avaliação de risco inclui evidência que tanto corrobora como contradiz as afirmações da administração, a documentação pode incluir o modo como o auditor avaliou essa evidência, incluindo os julgamentos profissionais exercidos para avaliar se a evidência de auditoria fornece uma base adequada para a sua identificação e avaliação dos riscos de distorção relevante.
Exemplos de outros requisitos desta Norma para os quais a documentação pode fornecer evidência do exercício do ceticismo profissional pelo auditor incluem:
Escalabilidade - item A239 - A241
A239. A maneira como os requisitos do item 38 são documentados deve ser determinada pelo auditor usando julgamento profissional.
A240. Pode ser requerida documentação mais detalhada, que seja suficiente para que um auditor experiente, sem experiência prévia com a auditoria, entenda a natureza, a época e a extensão dos procedimentos de auditoria realizados, para suportar a fundamentação para julgamentos difíceis feitos.
A241. Para auditorias de entidades menos complexas, a forma e a extensão da documentação podem ser simples e relativamente concisas.
A forma e a extensão da documentação de auditoria são influenciadas pela natureza, porte e complexidade da entidade e seu sistema de controles internos, disponibilidade das informações da entidade e metodologia de auditoria e tecnologia usadas no curso da auditoria.
Não é necessário documentar a totalidade do entendimento do auditor sobre a entidade e os assuntos a ela relacionados.
Os principais elementos do entendimento documentado pelo auditor podem incluir aqueles em que ele baseou a avaliação dos riscos de distorção relevante (NBC TA 230, item 8).
Entretanto, o auditor não tem que documentar todos os fatores de risco inerentes levados em consideração na identificação e avaliação dos riscos de distorção relevante no nível da afirmação.
Exemplo:
Em auditorias de entidades menos complexas, a documentação de auditoria pode ser incorporada na documentação do auditor da estratégia geral e do plano de auditoria NBC TA 300 - Planejamento da Auditoria de Demonstrações Contábeis, itens 7, 9 e A11.
Da mesma forma, por exemplo, os resultados da avaliação de riscos podem ser documentados separadamente ou como parte da documentação do auditor sobre procedimentos adicionais de auditoria (NBC TA 330, item 28).