Ano XXV - 24 de agosto de 2024

QR Code - Mobile Link
início   |   contabilidade
NBC-TA-315 - IDENTIFICAÇÃO DOS RISCOS DE DISTORÇÃO - AUDITORIA - Estrutura, governança e modelo de negócio

NBC - NORMAS BRASILEIRAS DE CONTABILIDADE

NBC-T - NORMAS TÉCNICAS

NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE

NBC-TA-315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE

NBC-TA-315 - PARTE 2 - APLICAÇÃO E OUTROS MATERIAIS EXPLICATIVOS - item A1 - A241

PARTE 2C: Obtenção de entendimento da entidade, do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos - item  A48 - A183

PARTE C1: Entidade e seu ambiente (ver item 19(a)) - item  A56 - A183

Os apêndices de 1 a 6 descrevem considerações adicionais relacionadas com a obtenção de entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos.

Coletânea por Américo G Parada Fº - Contador - Coordenador do COSIFE

Estrutura organizacional, propriedade, governança e modelo de negócio da entidade (ver item 19(a)(i)) - item  A56 - A58

Estrutura organizacional e propriedade da entidade - item  A56

A56. O entendimento da estrutura organizacional e da propriedade da entidade pode permitir que o auditor entenda assuntos como:

  1. A complexidade da estrutura da entidade.
    Exemplo:
    A entidade pode ser uma única entidade ou a estrutura da entidade pode incluir controladas, divisões ou outros componentes em diversos locais. Ainda, a estrutura legal pode ser diferente da estrutura operacional. Estruturas complexas geralmente introduzem fatores que podem dar origem à maior suscetibilidade a riscos de distorção relevante. Essas questões podem incluir se o ágio, os empreendimentos conjuntos, os investimentos ou as entidades de propósito específico são contabilizados de forma adequada e se foi feita a divulgação adequada dessas questões nas demonstrações contábeis.
  2. A propriedade e as relações entre proprietários e outras pessoas ou entidades, incluindo partes relacionadas. Esse entendimento pode auxiliar na determinação de se as transações com partes relacionadas foram adequadamente identificadas, contabilizadas e adequadamente divulgadas nas demonstrações contábeis (NBC-TA-550).
  3. A distinção entre proprietários, responsáveis pela governança e administração.
    Exemplo:
    Em entidades menos complexas, os proprietários da entidade podem estar envolvidos na administração da entidade, portanto, há pouca ou nenhuma distinção. Por outro lado, como no caso de algumas empresas de capital aberto, pode haver distinção clara entre administração, proprietários da entidade e responsáveis pela governança.
  4. A estrutura e a complexidade do ambiente de TI da entidade.
    Exemplos:
    A entidade pode:
    1. Ter diversos sistemas de TI legados em diferentes empresas que não estão bem integrados, resultando em ambiente de TI complexo.
    2. Usar fornecedores de serviços externos ou internos para aspectos do seu ambiente de TI (por exemplo, terceirizar a hospedagem do seu ambiente de TI ou usar um centro de serviço compartilhado para a administração centralizada dos processos de TI em um grupo).

Ferramentas e técnicas automatizadas - item  A57

A57. O auditor pode usar ferramentas e técnicas automatizadas para entender os fluxos de transações e o processamento como parte dos seus procedimentos para entender o sistema de informações. O resultado desses procedimentos pode ser que a auditor obtenha informações sobre a estrutura organizacional da entidade ou sobre aqueles com quem a entidade conduza negócios (por exemplo, fornecedores, clientes, partes relacionadas).

Considerações específicas para entidades do setor público - item  A58

A58. A propriedade de entidade do setor público pode não ter a mesma relevância que tem no setor privado porque as decisões relacionadas com a entidade podem ser tomadas fora da entidade como resultado de processo político. Portanto, a administração pode não ter controle sobre certas decisões que são tomadas. Assuntos que podem ser relevantes incluem o entendimento da capacidade da entidade de tomar decisões unilaterais, e da capacidade de outras entidades do setor público de controlar ou influenciar a autoridade e a direção estratégica da entidade.

Exemplo:

Uma entidade do setor público pode estar sujeita a leis ou outras diretivas de autoridades que requerem que ela obtenha aprovação de partes externas da entidade da sua estratégia e objetivos antes de implementá-los. Portanto, questões relacionadas com entendimento da estrutura legal da entidade podem incluir leis e regulamentos aplicáveis e a classificação da entidade (ou seja, se a entidade é ministério, departamento, agência ou outro tipo de entidade).

Governança - item  A59 - A60

Por que o auditor obtém entendimento da governança? - item  A59

A59. O entendimento da governança da entidade pode auxiliar o auditor a entender a capacidade da entidade de fornecer supervisão apropriada do seu sistema de controles internos. Entretanto, esse entendimento também pode fornecer evidência de deficiências que podem indicar um aumento da suscetibilidade das demonstrações contábeis da entidade aos riscos de distorção relevante.

Entendimento da governança da entidade - item  A60

A60. Assuntos que podem ser relevantes para o auditor considerar na obtenção de entendimento da governança da entidade incluem:

  1. se alguns responsáveis pela governança, ou todos eles, estão envolvidos na administração da entidade; • a existência (e separação) de conselho não executivo, se houver, da administração executiva;
  2. se os responsáveis pela governança ocupam cargos que são parte integrante da estrutura legal da entidade como, por exemplo, membros do conselho;
  3. a existência de subgrupos dos responsáveis pela governança, como comitê de auditoria e as responsabilidades desse grupo;
  4. as responsabilidades dos responsáveis pela governança pela supervisão do relatório financeiro, incluindo a aprovação das demonstrações contábeis.

Modelo de negócio da entidade - item  A61 - A67

O Apêndice 1 descreve considerações adicionais para a obtenção de entendimento da entidade e do seu modelo de negócio, assim como considerações adicionais para a auditoria de entidades de propósito específico.

Por que o auditor obtém entendimento do modelo de negócio da entidade? - item A61

A61. O entendimento dos objetivos, da estratégia e do modelo de negócio da entidade auxilia o auditor a entender a entidade em nível estratégico e a entender os riscos do negócio que a entidade toma e enfrenta. O entendimento dos riscos do negócio que têm efeito nas demonstrações contábeis auxilia o auditor a identificar os riscos de distorção relevante uma vez que a maioria dos riscos do negócio terá, em algum momento, consequências financeiras e, portanto, efeito nas demonstrações contábeis.

Exemplos:

O modelo de negócio da entidade pode contar com o uso de TI de diferentes formas:

  1. a entidade vende calçados a partir de uma loja física e usa um sistema avançado de estoque e ponto de venda para registrar a venda dos calçados; ou
  2. a entidade vende calçados online de modo que todas as transações de venda são processadas em ambiente de TI, incluindo a iniciação das transações por meio de site.

Para ambas as entidades, os riscos do negócio decorrentes de modelo de negócio significativamente diferente seriam, substancialmente, diferentes, apesar do fato de que ambas as entidades vendem calçados.

Entendimento do modelo de negócio da entidade - item A62 - A65

A62. Nem todos os aspectos do modelo de negócio são relevantes para o entendimento do auditor. Os riscos do negócio são mais abrangentes do que os riscos de distorção relevante das demonstrações contábeis embora os riscos do negócio incluam estes últimos. O auditor não tem responsabilidade de entender ou identificar todos os riscos do negócio porque nem todos os riscos do negócio geram riscos de distorção relevante.

A63. Os riscos do negócio que aumentam a suscetibilidade dos riscos de distorção relevante podem decorrer:

  1. de objetivos ou estratégias inapropriadas, de execução ineficaz de estratégias, o de mudanças ou complexidade;
  2. do não reconhecimento da necessidade de mudança que também pode gerar risco do negócio, por exemplo:
    1. o desenvolvimento de novos produtos ou serviços que podem fracassar;
    2. o mercado que, mesmo desenvolvido com sucesso, é inadequado para suportar o produto ou serviço; ou
    3. defeitos no produto ou serviço que podem resultar em responsabilidade legal e risco à reputação;
  3. de incentivos para a administração e pressões sobre a administração que podem resultar em tendência intencional ou não intencional da administração e, portanto, afetar a razoabilidade de premissas significativas e as expectativas da administração ou dos responsáveis pela governança.

A64. Exemplos de assuntos que o auditor pode considerar na obtenção de entendimento do modelo de negócio, dos objetivos, das estratégias e dos respectivos riscos do negócio da entidade que podem resultar em risco de distorção relevante das demonstrações contábeis incluem:

  1. desenvolvimentos no setor de atividade, como falta de pessoal ou de perícia para tratar das mudanças no setor de atividade;
  2. novos produtos e serviços que podem levar a uma maior responsabilidade pelo produto;
  3. expansão do negócio da entidade e a demanda não tiver sido estimada com precisão;
  4. novos requisitos de contabilidade onde tiver havido implementação incompleta ou inadequada;
  5. requisitos regulatórios que resultam em uma maior exposição legal;
  6. requisitos de financiamento atuais e prospectivos, como perda do financiamento devido à incapacidade da entidade de atender aos requisitos;
  7. uso de TI, como a implementação de novo sistema de TI que afetará tanto às operações quanto o relatório financeiro; ou
  8. os efeitos da implementação de estratégia, particularmente quaisquer efeitos que levarão a novos requisitos de contabilidade.

A65. Normalmente, a administração identifica os riscos do negócio e desenvolve abordagens para tratar deles. Esse processo de avaliação de riscos é parte do sistema de controles internos da entidade e é discutido no item 22 e nos itens de A109 a A113.

Considerações específicas para entidades do setor público - item A66 - A67

A66. As entidades que atuam no setor público podem gerar e entregar valor de maneiras diferentes para os que geram riqueza, mas que ainda terão um “modelo de negócio” com um objetivo específico. Assuntos para os quais os auditores do setor público podem obter entendimento que são relevantes para o modelo de negócio da entidade incluem: • conhecimento das atividades relevantes do governo, incluindo os respectivos programas; • objetivos e estratégias do programa, incluindo elementos da política pública.

A67. Para as auditorias das entidades do setor público, os “objetivos da administração” podem ser influenciados pelos requisitos de demonstrar a prestação de contas públicas e podem incluir objetivos que têm sua fonte em lei, regulamento ou outra autoridade.

Fatores do setor de atividade, regulatórios e outros fatores externos (ver item 19(a)(ii)) - item A68 - A73

Fatores do setor de atividade - item A68 - A69

A68. Os fatores relevantes do setor de atividade incluem as condições próprias do setor, como ambiente de concorrência, relações com fornecedores e clientes e desenvolvimentos tecnológicos. Assuntos que o auditor pode considerar incluem:

  1. o mercado e a concorrência, incluindo a demanda, a capacidade e a concorrência de preços;
  2. atividade cíclica ou sazonal;
  3. tecnologia de produtos relacionada com os produtos da entidade;
  4. fornecimento e custo de energia.

A69. O setor de atividade no qual a entidade atua pode gerar riscos específicos de distorção relevante decorrentes da natureza do negócio ou do grau de regulamentação. Exemplo: No setor de construção, os contratos de longo prazo podem envolver estimativas significativas de receitas e despesas que geram riscos de distorção relevante. Nesses casos, é importante que a equipe encarregada do trabalho inclua membros com conhecimento e experiência relevantes suficientes (NBC-TA-220, item 14).

Fatores regulatórios - item A70 - A71

A70. Os fatores regulatórios relevantes incluem o ambiente regulatório. O ambiente regulatório abrange, entre outros assuntos, a estrutura de relatório financeiro aplicável e o ambiente jurídico e político e quaisquer mudanças nos mesmos. Assuntos que o auditor pode considerar incluem:

  1. estrutura regulatória para um setor de atividade regulamentado como, por exemplo, requisitos prudenciais, incluindo as respectivas divulgações;
  2. legislação e regulamentação que afetam significativamente as operações da entidade como, por exemplo, leis e regulamentações trabalhistas;
  3. legislação e regulamentos tributários;
  4. políticas governamentais que afetam, no presente, a condução do negócio da entidade, como políticas monetárias, inclusive controles de câmbio, políticas fiscais e de incentivos financeiros (por exemplo, programas de subvenções governamentais) e políticas de tarifas ou de restrições comerciais;
  5. exigências ambientais que afetam o setor de atividade e o negócio da entidade.

A71. A NBC-TA-250, item 13, inclui alguns requisitos específicos relacionados com a estrutura legal e regulatória aplicável para a entidade e a indústria ou o setor em que a entidade atua.

Considerações específicas para entidades do setor público - item A72

A72. Para as auditorias de entidades do setor público, leis ou regulamentos podem afetar as operações da entidade. Esses elementos podem ser uma consideração essencial na obtenção de entendimento da entidade e do seu ambiente.

Outros fatores externos - item A73

A73. Outros fatores externos que afetam a entidade e que o auditor pode considerar incluem as condições econômicas gerais, as taxas de juros, a disponibilidade de financiamento e a inflação ou a reavaliação cambial.

Medidas usadas pela administração para avaliar o desempenho financeiro da entidade - item A74 - A81

Por que o auditor entende as medidas utilizadas pela administração? - item A74 - A75

A74. O entendimento das medidas da entidade auxilia o auditor a considerar se essas medidas, sejam elas utilizadas externa ou internamente, cria pressões na entidade para que ela alcance metas de desempenho. Essas pressões podem motivar a administração a tomar medidas que aumentam a suscetibilidade à distorção devido à tendência da administração ou a fraude (por exemplo, para melhorar o desempenho do negócio ou para, intencionalmente, distorcer as demonstrações contábeis) (ver NBC-TA-240 para requisitos e orientação com relação aos riscos de fraude).

A75. Medidas também podem indicar para o auditor a probabilidade de riscos de distorção relevante das respectivas informações nas demonstrações contábeis. Por exemplo, medidas de desempenho podem indicar que a entidade teve aumento rápido não usual de sua rentabilidade quando comparado com outras entidades do mesmo setor de atividade.

Medidas utilizadas pela administração - item A76 - A77

A76. A administração e outros geralmente mensuram e revisam os assuntos que consideram importantes. As indagações junto à administração podem revelar que ela confia em determinados indicadores-chave, sejam eles disponíveis para o público ou não, para avaliar o desempenho financeiro e agir. Nesses casos, o auditor pode identificar medidas de desempenho relevantes, internas ou externas, ao considerar as informações que a rir o seu negócio. Se essas indagações indicarem ausência de medida ou revisão de desempenho, pode haver um maior risco de que distorções não sejam detectadas ou corrigidas.

A77. Os indicadores-chave utilizados para avaliar o desempenho financeiro podem incluir:

  1. indicadores-chave de desempenho (financeiros e não financeiros) e os principais índices, tendências e estatísticas operacionais;
  2. análise de desempenho financeiro período a período;
  3. orçamentos, projeções, análises de variações, informações por segmento e divisional, departamental ou outros relatórios de desempenho de nível;
  4. medidas de desempenho do empregado e políticas de incentivos remuneratórios;
  5. comparações do desempenho da entidade com aquele da concorrência.

Escalabilidade (ver item 19(a)(iii)) - item A78

A78. Os procedimentos realizados para entender as medidas da entidade podem variar de acordo com o porte ou a complexidade da entidade, assim como com o envolvimento dos proprietários oela governança na administração da entidade.

Exemplos:

  1. Para algumas entidades menos complexas, os termos dos empréstimos bancários da entidade (por exemplo, cláusulas restritivas) podem estar vinculados às medidas específicas de desempenho relacionadas com o desempenho ou com a posição financeira da entidade (por exemplo, valor máximo de capital de giro). O entendimento do auditor das medidas de desempenho utilizadas pelo banco pode auxiliá-lo a identificar áreas em que há maior suscetibilidade ao risco de distorção relevante.
  2. Para algumas entidades cuja natureza e circunstâncias são mais complexas, como aquelas que atuam no setor de seguros ou bancário, o desempenho ou a posição financeira podem ser mensurados em relação a requisitos regulatórios (por exemplo, requisitos de índice regulatório, como adequação de capital e índices de liquidez). O entendimento do auditor dessas medidas de desempenho pode auxiliá-lo a identificar áreas em que há maior suscetibilidade ao risco de distorção relevante.

Outras considerações - item A79 - A80

A79. As partes externas também podem rever e analisar o desempenho financeiro da entidade, particularmente para entidades cujas informações financeiras estão disponíveis para o público. O auditor também pode considerar as informações disponíveis para o público para auxiliá-lo a entender melhor o negócio ou a identificar informações contraditórias, como informações de:

  1. analistas ou agências de classificação de crédito;
  2. notícias e outras mídias, incluindo as redes sociais;
  3. autoridades tributárias;
  4. órgãos reguladores;
  5. sindicatos;
  6. provedores de financiamentos.

Essas informações financeiras podem ser geralmente obtidas da entidade que está sendo auditada.

A80. A mensuração e a revisão do desempenho econômico não é ao mesmo que a do monitoramento do sistema de controles internos (discutido como componente do sistema de controles internos nos itens de A114 a A122), embora seus propósitos possam se sobrepor:

  1. a mensuração e a revisão do desempenho são dirigidas a se o desempenho do negócio atende aos objetivos estabelecidos pela administração (ou terceiros);
  2. por outro lado, o monitoramento do sistema de controles internos se preocupa com o monitoramento da efetividade dos controles, incluindo aqueles relacionados com a mensuração e a revisão do desempenho financeiro pela administração.

Em alguns casos, entretanto, os indicadores de desempenho também fornecem informações que permitem que a administração identifique deficiências nos controles.

Considerações específicas para entidades do setor público - item A81

A81. Além de considerar as medidas relevantes usadas por entidade do setor público para avaliar o desempenho financeiro da entidade, os auditores das entidades do setor público também podem considerar informações não financeiras, como o alcance de resultados de benefícios públicos (por exemplo, número de pessoas assistidas por programa específico).

Estrutura de relatório financeiro aplicável (ver item 19(b)) - item A82 - A84

Entendimento da estrutura de relatório financeiro aplicável e das políticas contábeis da entidade - item A82 - A83

A82. Assuntos que o auditor pode considerar ao obter entendimento da estrutura de relatório financeiro aplicável da entidade e de como ela se aplica no contexto da natureza e das circunstâncias da entidade e de seu ambiente incluem:

  1. as práticas de relatório financeiro da entidade em termos da estrutura de relatório financeiro aplicável, tais como: o princípios contábeis e práticas específicas do setor de atividade, inclusive para classes de transações, saldos contábeis e divulgações relacionadas específicas do setor de atividade nas demonstrações contábeis (por exemplo, no caso de bancos, empréstimos e investimentos e, no caso da indústria farmacêutica, pesquisa e desenvolvimento);
    1. reconhecimento de receita;
    2. contabilização de instrumentos financeiros, incluindo perdas de crédito relacionadas;
    3. ativos, passivos e transações em moeda estrangeira;
    4. contabilização de transações não usuais ou complexas, inclusive aquelas em áreas controversas ou emergentes (por exemplo, contabilização para criptomoedas);
  2. o entendimento da seleção e da aplicação de políticas contábeis pela entidade, incluindo quaisquer mudanças nas mesmas e as razões das mudanças, pode abranger assuntos como:
    1. os métodos que a entidade usa para reconhecer, mensurar, apresentar e divulgar transações significativas e não usuais;
    2. o efeito de políticas contábeis significativas em áreas controversas ou emergentes para as quais não há orientação abalizada ou consenso;
    3. mudanças no ambiente, tais como mudanças na estrutura de relatório financeiro aplicável ou reformas tributárias que podem necessitar de mudança nas políticas contábeis da entidade;
    4. normas de relatório financeiro e leis e regulamentos que são novos para a entidade e quando e como a entidade deve adotar ou cumprir esses requisitos.

A83. A obtenção de entendimento da entidade e do seu ambiente pode auxiliar o auditor a considerar quando mudanças nos relatórios financeiros da entidade (por exemplo, em relação a períodos anteriores) podem ser esperadas.

Exemplo:

Se a entidade teve uma combinação de negócios significativa no período, o auditor provavelmente esperaria mudanças nas classes de transações, saldos contábeis e divulgações associadas com essa combinação de negócios. Alternativamente, se não houve mudanças significativas na estrutura de relatório financeiro durante o período, o entendimento do auditor pode ajudar a confirmar que o entendimento obtido no período anterior ainda é aplicável.

Considerações específicas para entidades do setor público - item A84

A84. A estrutura de relatório financeiro aplicável em entidade do setor público é determinada pelas estruturas legislativas e regulatórias relevantes para cada jurisdição ou área geográfica. Assuntos que podem ser considerados na aplicação pela entidade dos requisitos de relatório financeiro aplicáveis e no modo como se aplicam no contexto da natureza e das circunstâncias da entidade e do seu ambiente incluem se a entidade aplica o regime de competência ou regime de caixa de acordo com as Normas Internacionais de Contabilidade do Setor Público, ou regime misto.

Como os fatores de risco afetam a suscetibilidade da afirmação à distorção (ver item 19(c)) - item A85 - A89

O Apêndice 2 fornece exemplos de eventos e condições que podem gerar riscos de distorção relevante, categorizados por fator de risco inerente.

Por que o auditor entende os fatores de risco inerentes ao entender a entidade e seu ambiente e a estrutura de relatório financeiro aplicável? - item A85 - A86

A85. O entendimento da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável auxilia o auditor a identificar eventos ou condições cujas características podem afetar a suscetibilidade de afirmações sobre classes de transações, saldos contábeis ou divulgações à distorção. Essas características são fatores de risco inerentes.
Os fatores de risco inerentes podem afetar a suscetibilidade de afirmações à distorção influenciando a probabilidade de ocorrência de distorção ou a magnitude da distorção caso ocorra.
O entendimento de como os fatores de risco inerentes afetam a suscetibilidade de afirmações à distorção pode auxiliar o auditor no entendimento preliminar da probabilidade ou magnitude de distorções, o que o auxilia a identificar os riscos de distorção relevante no nível da afirmação, de acordo com o item 28(b).
O entendimento do grau em que os fatores de risco inerentes afetam a suscetibilidade de afirmações à distorção também auxilia o auditor na avaliação da probabilidade e da magnitude de possíveis distorções ao avaliar o risco inerente, de acordo com o item 31(a).
Consequentemente, o entendimento dos fatores de risco inerentes também pode auxiliar o auditor no planejamento e na realização de procedimentos adicionais de auditoria de acordo com a NBC-TA-330.

A86. A identificação pelo auditor dos riscos de distorção relevante no nível da afirmação e a avaliação do risco inerente também podem ser influenciadas pela evidência de auditoria obtida por ele na realização de outros procedimentos de avaliação de risco, de procedimentos adicionais de auditoria ou no cumprimento de outros requisitos das normas de auditoria (ver itens A95, A103, A111, A121, A124 e A151).

Efeito dos fatores de risco inerentes sobre uma classe de transações, saldo contábil ou divulgação - item A87 - A89

A87. A extensão da suscetibilidade de uma classe de transações, saldo contábil ou divulgação à distorção decorrente de complexidade ou subjetividade está muitas vezes estreitamente relacionada com a extensão em que ela está sujeita à mudança ou à incerteza.

Exemplo:

Se a entidade tem uma estimativa contábil baseada em premissas, cuja seleção está sujeita a julgamento significativo, é provável que a mensuração da estimativa contábil seja afetada tanto pela subjetividade quanto pela incerteza.

A88. Quanto maior a extensão em que uma classe de transações, saldo contábil ou divulgação é suscetível à distorção devido a complexidade ou subjetividade, maior a necessidade do auditor de aplicar ceticismo profissional.
Além disso, quando uma classe de transações, saldo contábil ou divulgação é suscetível à distorção devido à complexidade, subjetividade, mudança ou incerteza, esses fatores de risco inerentes podem criar a oportunidade para o viés da administração, seja não intencional ou intencional, e afetar a suscetibilidade à distorção devido ao viés da administração.
A identificação de riscos de distorção relevante pelo auditor, e a avaliação do risco inerente no nível da afirmação, também são afetadas pelas inter-relações entre os fatores de risco inerentes.

A89. As condições e os eventos que podem afetar a suscetibilidade à distorção devido ao viés da administração podem afetar também a suscetibilidade à distorção decorrente de outros fatores de risco de fraude.
Consequentemente, essas informações podem ser relevantes para utilização, de acordo com o item 25 da NBC-TA-240, que requer que o auditor avalie se as informações obtidas de outros procedimentos de avaliação de risco e atividades relacionadas indicam a presença de um ou mais fatores de risco de fraude.

Obtenção de entendimento do sistema de controles internos da entidade (ver itens de 21 a 27) - item A90 - A93

O Apêndice 3 descreve mais detalhadamente a natureza do sistema de controles internos da entidade e as limitações inerentes dos controles internos, respectivamente. O Apêndice 3 fornece, também, explicações adicionais sobre os componentes do sistema de controles internos para fins das normas de auditoria.

A90. O entendimento do sistema de controles internos da entidade pelo auditor é obtido por meio de procedimentos de avaliação de risco realizados para entender e avaliar cada um dos componentes do sistema de controles internos, conforme definidos nos itens de 21 a 27.

A91. Os componentes do sistema de controles internos da entidade para fins desta Norma podem não refletir, necessariamente, o modo como a entidade planeja, implementa e mantém seu sistema de controles internos ou como ela pode classificar um componente específico.
As entidades podem usar diferentes terminologias ou estruturas para descrever os diversos aspectos do sistema de controles internos.
Para fins de uma auditoria, os auditores também podem usar diferentes terminologias ou estruturas desde que todos os componentes descritos nesta Norma sejam abordados.

Escalabilidade - item A92

A92. O modo como o sistema de controles internos da entidade é planejado, implementado e mantido varia com o porte e a complexidade da entidade. Por exemplo, entidades menos complexas podem usar controles menos estruturados ou mais simples (isto é, políticas e procedimentos) para alcançarem seus objetivos.

Considerações específicas para entidades do setor público - item A93

A93. Auditores do setor público muitas vezes têm responsabilidades adicionais no que se refere ao controle interno, por exemplo, emitir relatório sobre o cumprimento de código de prática estabelecido ou sobre gastos versus orçamento. Auditores do setor público também podem ter responsabilidade de emitir relatório sobre conformidade com leis, regulamentos ou outras normas. Como resultado, suas considerações sobre o sistema de controles internos podem ser mais abrangentes e detalhadas.

Tecnologia da informação nos componentes do sistema de controles internos da entidade - item A94 - A95

O Apêndice 5 fornece mais orientações sobre a compreensão do uso de TI pela entidade nos componentes do sistema de controle interno

A94. O objetivo geral e o alcance da auditoria não diferem se a entidade opera em um ambiente principalmente manual, completamente automatizado ou que envolve a combinação de elementos manuais e automatizados (isto é, controles manuais e automatizados e outros recursos usados no sistema de controles internos da entidade). Entendimento da natureza dos componentes do sistema de controles internos da entidade

A95. Ao avaliar a efetividade do projeto dos controles e se eles foram implementados (ver itens de A175 a A181), o entendimento do auditor de cada um dos componentes do sistema de controles internos da entidade fornece entendimento preliminar sobre o modo como a entidade identifica os riscos do negócio e como responde aos mesmos. Esse entendimento também pode influenciar a identificação e a avaliação pelo auditor dos riscos de distorção relevante de diferentes maneiras (ver item A86). Isso auxilia o auditor no planejamento e na realização de procedimentos adicionais de auditoria, incluindo planos para testar a efetividade operacional dos controles.

Por exemplo:

  1. é mais provável que o entendimento do ambiente de controle da entidade pelo auditor, o processo de avaliação de riscos da entidade e o processo de monitoramento dos componentes de controle afetem a identificação e a avaliação dos riscos de distorção relevante no nível das demonstrações contábeis;
  2. é mais provável que o entendimento do sistema de informações e da comunicação da entidade pelo auditor, e o componente de atividades de controle da entidade afetem a identificação e a avaliação dos riscos de distorção relevante no nível da afirmação.

Ambiente de controle, processo de avaliação de riscos da entidade e processo de monitoramento do sistema de controles internos pela entidade (ver itens de 21 a 24) - item A96 - A98

A96. Os controles no ambiente de controle, no processo de avaliação de riscos da entidade e no processo de monitoramento do sistema de controles internos pela entidade são basicamente controles indiretos (isto é, controles que não são suficientemente precisos para evitar, detectar ou corrigir distorções no nível da afirmação, mas que suportam outros controles e podem, portanto, ter efeito indireto sobre a probabilidade de distorção ser detectada ou evitada tempestivamente).
Entretanto, alguns controles nesses componentes também podem ser controles diretos.

Por que o auditor deve entender o ambiente de controle, o processo de avaliação de riscos da entidade e o processo de monitoramento do sistema de controles internos da entidade? - item A97 - A98

A97. O ambiente de controle fornece o fundamento geral para a operação dos outros componentes do sistema de controles internos. O ambiente de controle não evita, detecta ou corrige diretamente as distorções. Ele pode, contudo, influenciar a efetividade dos controles nos outros componentes do sistema de controles internos.
Da mesma forma, o processo de avaliação de riscos da entidade e seu processo de monitoramento do sistema de controles internos são planejados para operarem de maneira a também suportarem todo o sistema de controles internos.

A98. Pelo fato de esses componentes serem fundamentais para o sistema de controles internos da entidade, qualquer deficiência na sua operação pode ter efeitos generalizados sobre a elaboração das demonstrações contábeis. Portanto, o entendimento e as avaliações desses componentes pelo auditor afetam a sua identificação e avaliação dos riscos de distorção relevante no nível das demonstrações contábeis e podem afetar, também, a identificação e avaliação de risco de distorção relevante no nível da afirmação.
Riscos de distorção relevante no nível das demonstrações contábeis afetam o planejamento de respostas gerais pelo auditor, incluindo, conforme explicado na NBC-TA-330, itens de A1 a A3, a uma influência na natureza, época e extensão dos seus procedimentos adicionais.

Obtenção de entendimento do ambiente de controle (ver item 21) - item A99 - A102

Escalabilidade - item A99 - A100

A99. A natureza do ambiente de controle em entidade menos complexa tende a ser diferente do ambiente de controle em entidade mais complexa.
Por exemplo, os responsáveis pela governança em entidades menos complexas podem não incluir membro independente ou externo, e a função de governança pode ser desempenhada diretamente pelo sócio-diretor onde não há outros proprietários.
Consequentemente, algumas considerações sobre o ambiente de controle da entidade podem ser menos relevantes ou não ser aplicáveis.

A100. Adicionalmente, a evidência de auditoria para elementos do ambiente de controle em entidades menos complexas pode não estar disponível em forma documental, em particular quando a comunicação entre a administração e outros profissionais é informal, mas a evidência ainda pode ser adequadamente relevante e confiável nas circunstâncias.

Exemplos:

  1. A estrutura organizacional em entidade menos complexa tende a ser mais simples e pode incluir pequeno número de empregados envolvidos em funções relacionadas com relatórios financeiros.
  2. Se a função de governança é desempenhada diretamente pelo gerente-proprietário, o auditor pode determinar que a independência dos responsáveis pela governança não é relevante.
  3. Entidades menos complexas podem não ter código de conduta por escrito, mas, em vez disso, desenvolver uma cultura que enfatize a importância da integridade e comportamento ético por meio de comunicações verbais e exemplo da administração. Consequentemente, as atitudes, conscientização e ações da administração ou do gerente-proprietário são de especial importância para o entendimento do auditor sobre o ambiente de controle de entidade menos complexa.

Entendimento do ambiente de controle (ver item 21(a)) - item A101 - A102

A101. A evidência de auditoria para o entendimento do ambiente de controle pelo auditor pode ser obtida por meio da combinação de indagações e outros procedimentos de avaliação de risco (isto é, corroborando as indagações por meio de observação ou inspeção de documentos).

A102. Ao considerar a extensão em que a administração demonstra compromisso com integridade e valores éticos, o auditor pode obter entendimento por meio de indagações à administração e aos empregados e considerando informações de fontes externas sobre:

  1. como a administração comunica aos empregados suas visões sobre práticas de negócios e comportamento ético; e
  2. inspeção do código de conduta por escrito da administração e observação se a administração atua de maneira a suportar esse código.

Avaliação do ambiente de controle (ver item 21(b)) - item A103 - A108

Por que o auditor avalia o ambiente de controle? - item A 103

A103. A avaliação do auditor de como a entidade demonstra comportamento consistente com o compromisso da entidade com integridade e valores éticos, se o ambiente de controle fornece fundamento apropriado para os outros componentes do sistema de controles internos da entidade, e se quaisquer deficiências de controle identificadas prejudicam os outros componentes do sistema de controles internos, auxilia o auditor a identificar potenciais problemas nos outros componentes do sistema de controles internos.
Isso porque o ambiente de controle é fundamental para os outros componentes do sistema de controles internos da entidade.
Essa avaliação também pode auxiliar o auditor a entender os riscos a que a entidade está exposta e, portanto, a identificar e avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).

Avaliação do ambiente de controle pelo auditor - item A104 - A108

A104. A avaliação do ambiente de controle pelo auditor é baseada no entendimento obtido, de acordo com o item 21(a).

A105. Algumas entidades podem ser dirigidas por uma única pessoa que pode exercer diversas decisões a seu critério. As ações e atitudes desse indivíduo podem ter efeito generalizado na cultura da entidade que, por sua vez, pode ter efeito generalizado no ambiente de controle. Esse efeito pode ser positivo ou negativo.

Exemplo:

O envolvimento direto de um único indivíduo pode ser a chave para possibilitar a entidade a cumprir seu objetivo de crescimento e outros objetivos, e pode também contribuir significativamente para um sistema de controles internos efetivo.
Por outro lado, essa concentração de conhecimento e autoridade também pode levar a uma maior suscetibilidade à distorção decorrente de transgressão de controles pela administração.

A106. O auditor pode considerar como diferentes elementos do ambiente de controle podem ser influenciados pela filosofia e estilo operacional da alta administração levando em consideração o envolvimento de membros independentes dos responsáveis pela governança.

A107. Embora o ambiente de controle possa fornecer fundamento apropriado para o sistema de controles internos e possa ajudar a reduzir o risco de fraude, ambiente de controle adequado não é necessariamente um inibidor de fraude eficaz.

Exemplo:

Políticas e procedimentos de recursos humanos direcionados à contratação de profissionaiscompetentes das áreas financeira, contábil e de TI podem mitigar o risco de erros no processamento e no registro de informações financeiras.
Entretanto, essas políticas e procedimentos podem não mitigar a transgressão de controles pela altaadministração (por exemplo, superavaliação de receitas).

A108. A avaliação do ambiente de controle pelo auditor, no que esteja relacionada com o uso de TI pela entidade, pode incluir assuntos como:

  1. se a governança sobre TI é compatível com a natureza e a complexidade da entidade e suas operações de negócio habilitadas por TI, incluindo a complexidade ou maturidade da plataforma ou arquitetura tecnológica da entidade e a extensão em que a entidade confia em aplicativos de TI para suportar seus relatórios financeiros;
  2. a estrutura organizacional de gestão em relação a TI e os recursos alocados (por exemplo, se a entidade investiu em ambiente de TI apropriado e em aprimoramentos necessários, ou se foi contratada uma quantidade suficiente de indivíduos adequadamente qualificados, inclusive quando a entidade usa software comercial (com ou sem modificações limitadas)).

Obtenção de entendimento do processo de avaliação de riscos da entidade (ver itens 22 e 23) - item A109 - A113

Entendimento do processo de avaliação de riscos da entidade - item A109 - A110

A109. Conforme explicado no item A62, nem todos os riscos de negócio geram riscos de distorção relevante.
Ao entender como a administração e os responsáveis pela governança identificaram os riscos do negócio relevantes para a elaboração das demonstrações contábeis e como decidiram sobre as ações para tratar esses riscos, os assuntos que o auditor pode considerar incluem como a administração ou, conforme apropriado, os responsáveis pela governança:

  1. especificaram os objetivos da entidade com precisão e clareza suficientes para possibilitar a identificação e avaliação dos riscos relacionados aos objetivos;
  2. identificaram os riscos para cumprir os objetivos da entidade e analisaram os riscos como base para determinar como eles devem ser tratados; e
  3. consideraram o potencial para fraude ao considerar os riscos para atingir os objetivos da entidade (NBC-TA-240, item 18).

A110. O auditor pode considerar as implicações desses riscos do negócio para a elaboração das demonstrações contábeis da entidade e outros aspectos do sistema de controles internos.

Avaliação do processo de avaliação de riscos da entidade - item A111

Por que o auditor avalia se o processo de avaliação de riscos da entidade é apropriado

A111. A análise do processo de avaliação de riscos da entidade pelo auditor pode auxiliá-lo a entender onde a entidade identificou riscos que podem ocorrer, e como a entidade respondeu a esses riscos. A avaliação do auditor sobre como a entidade identifica os riscos de seu negócio e como ela avalia e trata esses riscos auxilia o auditor a entender se os riscos a que a entidade está exposta foram identificados, avaliados e tratados, conforme apropriado, de acordo com a natureza e a complexidade da entidade. Essa avaliação também pode auxiliar o auditor a identificar e a avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).

Avaliação sobre a adequação do processo de avaliação de riscos da entidade (ver item 22(b)) - item A112

A112. A avaliação do auditor sobre a adequação do processo de avaliação de riscos da entidade é baseada no entendimento obtido, de acordo com o item 22(a).

Escalabilidade - item A113

A113. Se o processo de avaliação de riscos da entidade é adequado às circunstâncias da entidade, considerando a natureza e complexidade da entidade, é uma questão de julgamento profissional do auditor. Exemplo: Em algumas entidades menos complexas e, particularmente, em entidades administradas pelo proprietário, pode ser feita uma avaliação de riscos apropriada por meio do envolvimento direto da administração ou do gerente-proprietário (por exemplo, o gerente ou gerente-proprietário pode dedicar tempo de forma rotineira para monitorar as atividades dos concorrentes e outros desdobramentos no mercado para identificar os riscos emergentes do negócio). A evidência dessa avaliação de risco nesses tipos de entidades muitas vezes não é documentada formalmente, mas pode ficar evidente nas discussões que o auditor tem com a administração que ela realmente realiza procedimentos de avaliação de risco.

Obtenção de entendimento do processo da entidade de monitoramento do sistema de controles internos da entidade (ver item 24) - item A114 - A118

Escalabilidade - item A114 - A115

A114. Em entidades menos complexas, e particularmente em entidades administradas pelo sócio-diretor, o entendimento pelo auditor do processo de monitoramento da entidade para monitorar o sistema de controles internos é muitas vezes focado em como a administração ou o sócio-diretor está diretamente envolvido nas operações, uma vez que pode não haver outras atividades de monitoramento.

Exemplo:

A administração pode receber reclamações de clientes sobre imprecisões em suas faturas mensais que alertam o gerente-proprietário para questões relacionadas com a época em que os pagamentos pelos clientes são reconhecidos nos registros contábeis.

A115. Para entidades em que não há processo formal de monitoramento do sistema de controles internos, o entendimento do processo de monitoramento do sistema de controles internos pode incluir entender revisões periódicas das informações contábeis da administração que são desenhadas para contribuir em como a entidade previne ou detecta distorções.

Entendimento do processo da entidade de monitoramento do sistema de controles internos - item A116 - A117

A116. Assuntos que podem ser relevantes para o auditor considerar no entendimento de como a entidade monitora seu sistema de controles internos incluem: • o desenho das atividades de monitoramento, por exemplo, se o monitoramento é periódico ou contínuo; • a realização e a frequência das atividades de monitoramento; • a avaliação tempestiva dos resultados das atividades de monitoramento para determinar se os controles foram efetivos; e • como deficiências identificadas foram tratadas por meio de ações corretivas apropriadas, incluindo a comunicação tempestiva dessas deficiências aos responsáveis por tomar as ações corretivas.

A117. O auditor também pode considerar como o processo da entidade de monitoramento do sistema de controles internos endereça o monitoramento dos controles de processamento de informações que envolvem o uso de TI, que podem incluir, por exemplo:

  1. controles para monitorar ambientes de TI complexos que: o avaliam a efetividade contínua do desenho dos controles de processamento de dados e os modificam, conforme apropriado, no caso de mudanças nas condições; ou o avaliam a efetividade operacional dos controles de processamento de informações;
  2. controles que monitoram as permissões aplicadas em controles de processamento de informações que reforcem a segregação de funções;
  3. controles que monitoram como erros ou deficiências de controle relacionados com a automação da apresentação de relatórios financeiros são identificados e tratados.

Entendimento da função de auditoria interna da entidade - item A118

O Apêndice 4 descreve considerações adicionais para o entendimento da função de auditoria interna da entidade

A118. As indagações do auditor junto aos indivíduos apropriados da função de auditoria interna o auxiliam a obter entendimento da natureza das responsabilidades da função de auditoria interna.
Se o auditor determinar que tais responsabilidades da função de auditoria interna estão relacionadas com a elaboração do relatório financeiro da entidade, ele pode obter entendimento adicional das atividades realizadas, ou a serem realizadas, pela função de auditoria interna por meio da revisão do plano de auditoria interna para o período, se houver, e discutir esse plano com os indivíduos apropriados da auditoria interna.
Esse entendimento, juntamente com as informações obtidas pelas indagações do auditor, pode também fornecer informações diistema de controles inretamente relevantes para a sua identificação e avaliação dos riscos de distorção relevante.
Se, com base no entendimento preliminar do auditor independente sobre a função de auditoria interna, ele espera utilizar o trabalho da auditoria interna para modificar a natureza ou a época, ou reduzir a extensão dos procedimentos de auditoria a serem realizados, a NBC-TA-610 - Utilização do Trabalho de Auditoria Interna é aplicável.

Outras fontes de informação usadas no processo da entidade para monitorar o sistema de controles internos - item A119 - A120

Entendimento das fontes de informação (ver item 24(b)) - item A119

A119. As atividades de monitoramento da administração podem usar informações de comunicações de partes externas, tais como reclamações de clientes ou comentários de reguladores que podem indicar problemas ou destacar áreas que necessitam de melhorias.

Por que o auditor deve entender as fontes de informação usadas para o monitoramento do sistema de controles internos pela entidade? - item A120

A120. O entendimento pelo auditor das fontes de informação usadas pela entidade para o monitoramento do seu sistema de controles internos, incluindo se as informações usadas são relevantes e confiáveis, o auxilia a avaliar se o processo da entidade para monitorar o sistema de controles internos é apropriado.
Se a administração assumir que as informações usadas para o monitoramento são relevantes e confiáveis sem ter uma base para essa premissa, erros que podem existir nas informações podem potencialmente levar a administração a tirar conclusões incorretas com base em suas atividades de monitoramento.

Avaliação do processo da entidade para monitoramento do sistema de controles internos (ver item 24(c)) - item A121 - A122

Por que o auditor avalia se o processo de monitoramento da entidade para monitorar o sistema de controles internos é apropriado? - item A121

A121. A avaliação do auditor sobre como a entidade realiza avaliações contínuas e separadas para monitorar a efetividade dos controles o auxilia a entender se os outros componentes do sistema de controles internos da entidade estão presentes e em funcionamento e, portanto, auxilia no entendimento dos outros componentes do sistema de controles internos da entidade. Essa avaliação também pode auxiliar o auditor a identificar e avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).

Avaliação se o processo de monitoramento da entidade para monitorar o sistema de controles é apropriado (ver item 24(c)) - item A122

A122. A avaliação pelo auditor da adequação do processo dea entidade para monitorarde dododododo sistema de controles internos é baseada no entendimento dessedo auditor sobre o desseprocesso da entidade para monitorar o sternos.

Sistema de informações e comunicação, e atividades de controle (ver itens 25 e 26) - item A123 - A130

A123. Os controles nos componentes sistema de informações e comunicação, e atividades de controle são primariamente controles diretos (isto é, controles que são suficientemente precisos para evitar, detectar ou corrigir distorções no nível da afirmação).

Por que o auditor deve entender o sistema de informações e comunicação, e controles no componente de atividades de controle? - item A124 - A125

A124. O auditor deve entender o sistema de informações e comunicação da entidade porque o entendimento das políticas da entidade que definem os fluxos de transações e outros aspectos das atividades de processamento de informações da entidade relevantes para a elaboração das demonstrações contábeis, e a avaliação de se o componente suporta adequadamente a elaboração das demonstrações contábeis da entidade, suportam a identificação e avaliação pelo auditor dos riscos de distorção relevante no nível da afirmação.
Esse entendimento e essa avaliação também podem resultar na identificação dos riscos de distorção relevante no nível das demonstrações contábeis quando os resultados dos procedimentos do auditor são inconsistentes com as expectativas em relação ao sistema de controles internos da entidade que podem ter sido baseadas em informações obtidas no processo de aceitação ou continuação do trabalho (ver item A86).

A125. O auditor deve identificar controles específicos no componente de atividades de controle, e avaliar o desenho bem como determinar se os controles foram implementados, uma vez que isso auxilia o seu entendimento sobre a abordagem da administração para tratar certos riscos e, portanto, fornece uma base para o planejamento e a realização de procedimentos adicionais de auditoria em resposta a esses riscos, conforme requerido pela NBC-TA-330.
Quanto mais alto no spectrum de risco inerente um risco for avaliado, mais persuasiva deverá ser a evidência de auditoria. Mesmo quando o auditor não planeja testar a efetividade operacional dos controles identificados, o seu entendimento ainda pode afetar o planejamento da natureza, época e extensão de procedimentos de auditoria substantivos em resposta aos riscos de distorção relevante relacionados.

Natureza iterativa do entendimento e da avaliação pelo auditor do sistema de informações e comunicação, e das atividades de controle - item A126 - A130

A126. Conforme explicado no item A49, o entendimento pelo auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, pode auxiliá-lo a desenvolver expectativas iniciais em relação a classes de transações, saldos contábeis e divulgações que podem ser classes de transações, saldos contábeis e divulgações significativas.
Ao obter entendimento do componente do sistema de informações e comunicação, de acordo com o item 25(a), o auditor pode usar essas expectativas iniciais para determinar a extensão do entendimento a ser obtido sobre as atividades de processamento de informações da entidade.

A127. O entendimento do sistema de informações pelo auditor inclui o entendimento das políticas que definem os fluxos de informações relacionadas com as classes de transações, saldos contábeis e divulgações significativas da entidade e outros aspectos relacionados com as atividades de processamento de informações da entidade.
Essas informações e as informações obtidas da avaliação do sistema de informações pelo auditor podem confirmar ou influenciar ainda mais as suas expectativas em relação a classes de transações, saldos contábeis e divulgações significativas identificadas inicialmente (ver item A126).

A128. Ao obter entendimento de como informações relacionadas com classes de transações, saldos contábeis e divulgações significativas fluem (incluindo entrada e saída) pelo sistema de informações da entidade, o auditor também pode identificar controles no componente de atividades de controle que devem ser identificados, de acordo com o item 26(a).
A identificação e a avaliação pelo auditor dos controles no componente de atividades de controle podem primeiramente focar em controles dos lançamentos contábeis e controles que o auditor planeja testar a efetividade operacional para planejar a natureza, a época e a extensão dos procedimentos substantivos.

A129. A avaliação dos riscos inerentes pelo auditor também pode influenciar a identificação de controles no componente de atividades de controle.
Por exemplo, a identificação pelo auditor de controles relacionados com riscos significativos pode ser identificável apenas quando ele avaliou os riscos inerentes no nível da afirmação, de acordo com o item 31.
Além disso, os controles que tratam riscos para os quais o auditor determinou que apenas procedimentos substantivos não fornecem evidência de auditoria apropriada e suficiente, de acordo com o item 33, também podem ser identificáveis somente quando as suas avaliações de riscos inerentes tiverem sido realizadas.

A130. A identificação e a avaliação dos riscos de distorção relevante pelo auditor no nível da afirmação são influenciadas:

  1. pelo entendimento pelo auditor das políticas da entidade para atividades de processamento de informações no componente de sistema de informações e comunicação; e
  2. pela identificação e avaliação dos controles no componente de atividades de controle pelo auditor

Obtenção de entendimento do sistema de informações e comunicação (ver item 25) - item A131 - A143

O Apêndice 3, itens de 15 a 19, fornece considerações adicionais relacionadas com o sistema de informações e comunicação.

Escalabilidade - item A131

A131. O sistema de informações e os processos de negócio relacionados, em entidades menos complexas, são provavelmente menos sofisticados do que em entidades maiores e tendem a envolver um ambiente de TI menos complexo.
Entretanto, o papel do sistema de informações é igualmente importante.
Entidades menos complexas com envolvimento direto da administração podem não precisar de extensas descrições de procedimentos contábeis, registros contábeis sofisticados ou políticas por escrito.
O entendimento dos aspectos relevantes do sistema de informações da entidade pode, portanto, requerer menos esforço na auditoria de entidade menos complexa e pode envolver mais indagações do que observação ou inspeção de documentação.
A necessidade de obter entendimento, contudo, continua importante para fornecer uma base para o planejamento de procedimentos de auditoria adicionais, de acordo com a NBC-TA-330, e pode ainda auxiliar o auditor a identificar e avaliar os riscos de distorção relevante (ver item A86).

Obtenção de entendimento do sistema de informações (ver item 25(a)) - item A132 - A137

A132. O sistema de controles internos da entidade inclui aspectos que estão relacionados com os objetivos de apresentação de relatórios da entidade, incluindo objetivos de apresentação de seus relatórios financeiros, mas pode incluir também aspectos relacionados com seus objetivos de operações e de conformidade, quando esses aspectos são relevantes para a apresentação de relatórios financeiros.
O entendimento de como a entidade inicia transações e captura informações como parte do entendimento do auditor sobre o sistema de informações pode incluir informações sobre os sistemas da entidade (suas políticas), desenhados para tratar os objetivos de conformidade e de operações porque essas informações são relevantes para a elaboração das demonstrações contábeis.
Além disso, algumas entidades podem ter sistemas de informações altamente integrados de modo que controles possam ser desenhados de maneira a atingir simultaneamente os objetivos de relatório financeiro, de conformidade, operacionais e a combinações dos mesmos.

A133. O entendimento do sistema de informações da entidade também inclui o entendimento dos recursos a serem usados nas atividades de processamento de informações da entidade.
As informações sobre os recursos humanos envolvidos que podem ser relevantes para o entendimento dos riscos à integridade do sistema de informações incluem:

  1. a competência dos indivíduos que realizam o trabalho;
  2. se há recursos adequados; e
  3. se há segregação de funções adequada.

A134. Assuntos que o auditor pode considerar ao obter entendimento das políticas que definem os fluxos de informações relacionadas com as significativas classes de transações, saldos contábeis e divulgações da entidade no componente de sistema de informações e comunicação incluem a natureza:

  • (a) dos dados ou das informações relacionadas com transações, outros eventos e condições a serem processadas;
  • (b) do processamento de informações para manter a integridade dos dados ou das informações; e
  • (c) dos processos de informações, do pessoal e de outros recursos usados no processo de processamento de informações.

A135. A obtenção de entendimento dos processos de negócio da entidade, que inclui como as transações são originadas, auxilia o auditor a obter entendimento do sistema de informações da entidade de modo apropriado às circunstâncias da entidade.

A136. O entendimento do sistema de informações pelo auditor pode ser obtido de várias maneiras e pode incluir:

  1. indagações ao pessoal relevante sobre os procedimentos utilizados para iniciar, registrar, processar e reportar transações ou sobre o processo de apresentação de relatórios financeiros da entidade;
  2. inspeção de políticas, manuais de processos ou outra documentação do sistema de informações da entidade;
  3. observação da realização de políticas ou procedimentos pelo pessoal da entidade; ou
  4. seleção de transações e seu rastreamento ao longo do processo aplicável no sistema de informações (isto é, a realização de um “passo a passo”). Ferramentas e técnicas automatizadas

A137. O auditor também pode usar técnicas automatizadas para obter acesso direto ou baixar as bases de dados (download) do sistema de informações da entidade que armazenam registros contábeis de transações.
Ao aplicar ferramentas ou técnicas automatizadas a essas informações, o auditor pode confirmar o entendimento obtido sobre como as transações fluem pelo sistema de informações, rastreando lançamentos no livro diário ou outros registros digitais relacionados com uma transação específica, ou a população inteira de transações, desde a iniciação nos registros contábeis até o registro no razão geral.
A análise de conjuntos completos ou grandes transações também pode resultar na identificação de variações em relação aos procedimentos de processamento normais ou esperados para essas transações, que podem resultar na identificação de riscos de distorção relevante.

Informações obtidas fora do razão geral e dos razões auxiliares - item A138 - A139

A138. As demonstrações contábeis podem conter informações que são obtidas fora do razão geral e dos razões auxiliares. Exemplos dessas informações que o auditor pode considerar incluem:

  1. informações obtidas de contratos de arrendamento relevantes para as divulgações nas demonstrações contábeis;
  2. informações divulgadas nas demonstrações contábeis produzidas por sistema de gestão de riscos da entidade;
  3. informações sobre o valor justo produzidas por especialistas da administração e divulgadas nas demonstrações contábeis;
  4. informações divulgadas nas demonstrações contábeis que foram obtidas de modelos ou de outros cálculos usados para desenvolver estimativas contábeis, reconhecidas ou divulgadas nas demonstrações contábeis, incluindo informações relacionadas aos dados e premissas subjacentes usadas nesses modelos, tais como: o premissas desenvolvidas internamente que podem afetar a vida útil de ativo; ou o dados como taxas de juros que são afetados por fatores fora do controle da entidade;
  5. informações divulgadas nas demonstrações contábeis sobre análises de sensibilidade derivadas de modelos financeiros que demonstram que a administração considerou premissas alternativas;
  6.  informações reconhecidas ou divulgadas nas demonstrações contábeis que foram obtidas de declarações de impostos e registros da entidade;
  7. informações divulgadas nas demonstrações contábeis obtidas de análises elaboradas para suportar a avaliação da administração sobre a capacidade da entidade de manter sua continuidade operacional, tais como divulgações, se houver, relacionadas com eventos ou condições identificados que podem levantar dúvida significativa quanto à capacidade da entidade de manter sua continuidade operacional (NBC-TA-570, itens 19 e 20).

A139. Certos valores ou divulgações nas demonstrações contábeis da entidade (tais como divulgações sobre risco de crédito, risco de liquidez e risco de mercado) podem estar baseados em informações obtidas do sistema de gestão de riscos da entidade.
Entretanto, o auditor não é requerido a entender todos os aspectos do sistema de gestão de riscos da entidade, e usa julgamento profissional para determinar o entendimento necessário.

Uso de tecnologia da informação no sistema de informações pela entidade - item A140 - A143

Por que o auditor entende o ambiente de TI relevante para o sistema de informações? - item A140 - A141

A140. O entendimento do sistema de informações pelo auditor inclui o ambiente de TI relevante para os fluxos de transações e processamento de informações no sistema de informações da entidade porque o uso pela entidade de aplicativos de TI ou outros aspectos do ambiente de TI podem gerar riscos decorrentes do uso de TI.

A141. O entendimento do modelo de negócio da entidade e como ele integra o uso de TI também pode fornecer contexto útil para a natureza e a extensão de TI esperadas no sistema de informações.

Entendimento do uso de TI pela entidade - item A142 - A143

A142. O entendimento do ambiente de TI pelo auditor pode focar na identificação e no entendimento da natureza e do número de aplicativos de TI específicos e de outros aspectos do ambiente de TI relevantes para os fluxos de transações e processamento de informações no sistema de informações. Mudanças, no fluxo de transações ou em informações no sistema de informações, podem ser resultado de alterações em programas de aplicativos de TI ou alterações diretas de dados em bases de dados envolvidas em processamento ou armazenamento dessas transações ou informações.

A143. O auditor pode identificar os aplicativos de TI e a infraestrutura de suporte de TI ao mesmo tempo em que obtém entendimento como as informações relacionadas com significativas classes de transações, saldos contábeis e divulgações trafegam pelo sistema de informações da entidade.

Obtenção de entendimento da comunicação da entidade (ver item 25(b)) - item A144 - A146

  1. Escalabilidade - item A144 - A145
  2. Avaliação se os aspectos relevantes do sistema de informações suportam a elaboração das demonstrações contábeis da entidade - item A146

Escalabilidade - item A144 - A145

A144. Em entidades maiores e mais complexas, as informações que o auditor pode considerar para entender a comunicação da entidade podem ser obtidas de manuais de políticas e de relatórios financeiros.

A145. Em entidades menos complexas, a comunicação pode ser menos estruturada (por exemplo, manuais formais podem não ser usados) devido aos graus menores de responsabilidade e à maior visibilidade e disponibilidade da administração. Independentemente do porte da entidade, canais de comunicação abertos facilitam que exceções sejam reportadas e tratadas.

Avaliação se os aspectos relevantes do sistema de informações suportam a elaboração das demonstrações contábeis da entidade (ver item 25(c)) - item A146

A146. A avaliação do auditor de se o sistema de informações e a comunicação da entidade suportam adequadamente a elaboração das demonstrações contábeis é baseada no entendimento obtido no item 25(a) e (b).

Atividades de controle (ver item 26) - item A147 - A157

Controles no componente de atividades de controle - item A147 - A152

O Apêndice 3, itens 20 e 21, fornece considerações adicionais relacionadas com atividades de controle.

A147. O componente de atividades de controle inclui controles planejados para assegurar a devida aplicação de políticas (que também são controles) em todos os outros componentes do sistema de controles internos da entidade, e inclui controles diretos e indiretos.

Exemplo:

Os controles estabelecidos pela entidade para assegurar que seu pessoal faça a contagem e o registro anual do estoque físico de maneira adequada estão relacionados diretamente com os riscos de distorção relevante importantes para as afirmações de existência e integridade do saldo contábil do estoque.

A148. A identificação e avaliação pelo auditor dos controles no componente de atividades de controle são focadas em controles de processamento de informações, que são controles aplicados durante o processamento de informações no sistema de informações da entidade que tratam diretamente os riscos à integridade das informações (isto é, a integridade, precisão e validade das transações e outras informações).
Entretanto, o auditor não é é requerido a identificar e avaliar todos os controles de processamento de informações relacionados com as políticas da entidade que definem os fluxos de transações e outros aspectos das atividades de processamento de informações da entidade para as significativas classes de transações, saldos contábeis e divulgações.

A149. Pode haver também controles diretos no ambiente de controle, no processo de avaliação de riscos da entidade ou no processo da entidade de monitoramento do sistema de controles internos, que podem ser identificados, de acordo com o item 26.
Entretanto, quanto mais indireta for a relação entre os controles que suportam outros controles e o controle que está sendo considerado, menos efetivo pode ser esse controle na prevenção, ou detecção e correção, das distorções relacionadas.

Exemplo:

A revisão pelo gerente de vendas do resumo da atividade de vendas para lojas específicas por região normalmente é relacionada apenas indiretamente com os riscos de distorção relevante importantes para a afirmação de integridade para receita de vendas.
Consequentemente, ela pode ser menos efetiva para tratar esses riscos do que controles relacionados mais diretamente com eles, tais como confrontar documentos de embarque com faturas.

A150. O item 26 também requer que o auditor identifique e avalie os controles gerais de TI para aplicativos de TI e outros aspectos do ambiente de TI que ele tenha determinado como sujeitos a riscos decorrentes do uso de TI porque os controles gerais de TI permitem o funcionamento efetivo e contínuo dos controles de processamento de informações.
Um único controle geral de TI não é suficiente para tratar risco de distorção relevante no nível da afirmação.

A151. Os controles que o auditor deve avaliar o planejamento e determinar se foram implementados, de acordo com o item 26, são os seguintes:

  1. controles para os quais o auditor planeja testar a efetividade operacional ao determinar a natureza, a época e a extensão dos procedimentos substantivos.
    A avaliação desses controles fornece a base para o planejamento do auditor testar procedimentos de controle, de acordo com a NBC-TA-330.
    Esses controles também tratam os riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente;
  2. controles que incluem controles que tratam riscos significativos e controles dos lançamentos no livro diário.
    A identificação e avaliação pelo auditor desses controles também podem influenciar o seu entendimento dos riscos de distorção relevante, incluindo a identificação de riscos de distorção relevante adicionais (ver item A95).
    Esse entendimento também fornece base para o auditor planejar a natureza, época eextensão dos procedimentos de auditoria substantivos que respondam aos respectivos riscos avaliados de distorção relevante;
  3. outros controles que o auditor considera apropriados para que ele atinja os objetivos do item 13 com relação aos riscos no nível da afirmação, com base no julgamento profissional do auditor.

A152. Os controles no componente de atividades de controle devem ser identificados quando esses controles atenderem um ou mais critérios incluídos no item 26(a).
Entretanto, quando múltiplos controles atingem o mesmo objetivo, não é necessário identificar cada um dos controles relacionados com esse objetivo.

Tipos de controle no componente de atividades de controle (ver item 26) - item A153 - A155

A153. Exemplos de controles no componente de atividades de controle incluem autorizações e aprovações, conciliações, verificações (tais como verificações de edição e validação ou cálculos automatizados), segregação de funções e controles físicos e lógicos, incluindo aqueles que tratam de salvaguarda de ativos.

A154. Os controles no componente de atividades de controle também podem incluir controles estabelecidos pela administração que tratam os riscos de distorção relevante para divulgações não elaboradas de acordo com a estrutura de relatório financeiro aplicável. Esses controles podem estar relacionados com informações nas demonstrações contábeis que são obtidas do razão geral e dos razões auxiliares.

A155. Independentemente de os controles estarem no ambiente de TI ou em sistemas manuais, eles podem ter vários objetivos e podem ser aplicados em diversos níveis organizacionais e funcionais.

Escalabilidade (ver item 26) - item A156 - A157

A156. Os controles no componente de atividades de controle em entidades menos complexas são provavelmente semelhantes aos de entidades de grande porte, mas a formalidade com que eles operam pode variar. Além disso, em entidades menos complexas, mais controles podem ser aplicados diretamente pela administração.

Exemplo:

A autoridade exclusiva da administração de conceder crédito a clientes e aprovar aquisições significativas pode proporcionar fortes controles dos saldos contábeis e transações importantes.

A157. Pode ser menos praticável estabelecer segregação de funções em entidades menos complexas que possuem menos empregados.
Entretanto, em entidade administrada pelo proprietário, o gerente-proprietário pode ser capaz de supervisionar de maneira mais eficaz por meio de envolvimento direto que em entidade de grande porte, o que pode compensar as oportunidades geralmente menores de segregar funções.
Contudo, conforme também explicado na NBC-TA-240, item 28, o controle da administração por um único indivíduo pode ser uma deficiência de controle potencial, já que há uma oportunidade para que a administração transgrida os controles.

Controles que tratam os riscos de distorção relevante no nível da afirmação (ver item 26(a)) - item A158 - A165

Controles que tratam os riscos determinados como sendo riscos significativos (ver item 26(a)(i)) - item A158 - A159

A158. Independentemente de se o auditor planeja testar a efetividade operacional de controles que endereçam riscos significativos, o entendimento obtido sobre a abordagem da administração para tratar esses riscos pode fornecer uma base para o planejamento e a realização de procedimentos substantivos em resposta a riscos significativos, conforme requerido pela NBC-TA-330, item 21.
Embora os riscos relacionados com questões significativas não rotineiras ou de julgamento muitas vezes tenham menos probabilidade de estar sujeitos a controles rotineiros, a administração pode ter outras respostas para tratar tais riscos.
Consequentemente, o entendimento do auditor em determinar se a entidade planejou e implementou controles para riscos significativos decorrentes de questões não rotineiras ou de julgamento pode incluir determinar se e como a administração responde aos riscos. Essas respostas podem incluir:

  1. controles, como a revisão de premissas pela alta administração ou especialistas;
  2. processos documentados para estimativas contábeis;
  3. aprovação pelos responsáveis pela governança.

Exemplo:

Quando há eventos únicos, tais como notificação judicial, a consideração da resposta da entidade pode incluir assuntos como determinar se a notificação foi submetida a especialistas apropriados (tais como assessores jurídicos internos ou externos), se foi feita uma avaliação do efeito potencial e como se propõe que as circunstâncias sejam divulgadas nas demonstrações contábeis.

A159. A NBC-TA-240, itens 28 e A33, requer que o auditor entenda os controles relacionados com os riscos avaliados de distorção relevante decorrentes de fraude (que são tratados como riscos significativos), e explica mais detalhadamente que é importante que o auditor obtenha entendimento dos controles que a administração planejou, implementou e manteve para prevenir e detectar fraude.

Controles dos lançamentos no livro diário (ver item 26(a)(ii)) - item A160

A160. Os controles que tratam os riscos de distorção relevante no nível da afirmação que se espera identificar em todas as auditorias são os controles dos lançamentos no livro diário porque o modo como a entidade incorpora as informações do processamento de transações no razão geral geralmente envolve o uso de lançamentos no livro diário, sejam eles padrão ou fora do padrão, automatizados ou manuais.
A extensão em que outros controles são identificados pode variar com base na natureza da entidade e na abordagem planejada pelo auditor em relação a procedimentos adicionais de auditoria.

Exemplo:

Na auditoria de entidade menos complexa, o sistema de informações da entidade pode não ser complexo e o auditor pode não planejar confiar na efetividade operacional dos controles.
Além disso, o auditor pode não ter identificado nenhum risco significativo ou quaisquer outros riscos de distorção relevante em relação aos quais é necessário que ele avalie o planejamento dos controles e determine que eles tenham sido implementados.
Em uma auditoria como essa, o auditor pode determinar que não existem controles identificados que não sejam os controles da entidade sobre lançamentos no livro diário.

Ferramentas e técnicas automatizadas - item A161

A161. Em sistemas manuais de razão geral, lançamentos no livro diário fora de padrão podem ser identificados por meio de inspeção de livros razão, livros diários e documentação de suporte.
Quando são usados procedimentos automatizados para manter o razão geral e elaborar as demonstrações contábeis, esses lançamentos podem existir apenas em formato eletrônico e serem, portanto, mais facilmente identificados por meio de técnicas automatizadas.

Exemplo:

Na auditoria de entidade menos complexa, o auditor pode conseguir extrair uma listagem total de todos os lançamentos no livro diário em uma planilha simples.
Pode então ser possível ao auditor separar os lançamentos aplicando vários filtros, tais como valor, nome do preparador ou revisor, lançamentos no livro diário incluídos apenas no balanço patrimonial e na demonstração do resultado, ou visualizar a listagem pela data do lançamento no razão geral, para auxiliá-lo a planejar respostas aos riscos identificados relacionados com lançamentos no livro diário.

Controles para os quais o auditor planeja testar a efetividade operacional (ver item 26(a)(iii)) - item A162 - A164

A162. O auditor determina se existem riscos de distorção relevante no nível da afirmação para os quais não é possível obter evidência de auditoria apropriada e suficiente por meio de procedimentos substantivos isoladamente.
O auditor deve, de acordo com a NBC-TA-330, item 8(b), planejar e realizar testes de controles que tratam esses riscos de distorção relevante quando os procedimentos substantivos isoladamente não conseguem fornecer evidência de auditoria apropriada e suficiente no nível da afirmação.
Como resultado, quando existem esses controles para tratar esses riscos, eles devem ser identificados e avaliados.

A163. Em outros casos, quando o auditor planeja levar em consideração a efetividade operacional dos controles para determinar a natureza, a época e a extensão dos procedimentos substantivos, de acordo com a NBC-TA-330, esses controles também devem ser identificados porque a NBC-TA-330, item 8(a), requer que o auditor planeje e realize testes desses controles.

Exemplos:

O auditor pode planejar testar a efetividade operacional dos controles:

  1. sobre classes de transações rotineiras porque esses testes podem ser mais efetivos ou eficientes para grandes volumes de transações homogêneas;
  2. sobre a integridade e precisão das informações produzidas pela entidade (por exemplo, controles da elaboração de relatórios gerados por sistema), para determinar a confiabilidade dessas informações quando o auditor pretende considerar a efetividade operacional desses controles ao planejar e realizar procedimentos adicionais de auditoria;
  3. relacionados com operações ou objetivos de conformidade, quando eles se referem a dados que o auditor avalia ou usa na aplicação de procedimentos de auditoria.

A164. Os planos do auditor de testar a efetividade operacional dos controles também podem ser influenciados pelos riscos identificados de distorção relevante a nível das demonstrações contábeis.
Por exemplo, se forem identificadas deficiências relacionadas com o ambiente de controle, isso pode afetar as expectativas gerais do auditor sobre a efetividade operacional de controles diretos.

Outros controles que o auditor considera apropriados (ver item 26(a)(iv)) - item A165

A165. Outros controles que o auditor pode considerar apropriado identificar, avaliar o planejamento e determinar a implementação podem incluir:

  1. controles que tratam riscos avaliados como altos no spectrum de risco inerente, mas que não foram determinados como sendo riscos significativos;
  2. controles relacionados com registros detalhados de conciliações com o razão geral; ou
  3. controles complementares da entidade usuária se estiver utilizando uma organização prestadora de serviços (NBC-TA-402 - Considerações de Auditoria para a Entidade que Utiliza Organização Prestadora de Serviços).

Identificação de aplicativos de TI e outros aspectos do ambiente de TI, riscos decorrentes do uso de TI e controles gerais de TI (ver item 26(b) e (c)) - item A166 - A172

O Apêndice 5 inclui exemplos de características de aplicativos de TI e outros aspectos do ambiente de TI, e orientações relacionadas com essas características, que podem ser relevantes na identificação de aplicativos de TI e de outros aspectos do ambiente de TI que estão sujeitos a riscos decorrentes do uso de TI.

Por que o auditor identifica riscos decorrentes do uso de TI e controles gerais de TI relacionados com aplicativos de TI e outros aspectos do ambiente de TI identificados? - item A166

A166. O entendimento dos riscos decorrentes do uso de TI e controles gerais de TI implementados pela entidade para tratar esses riscos pode afetar:

  1. a decisão do auditor sobre testar a efetividade operacional dos controles para tratar os riscos de distorção relevante no nível da afirmação;
    Exemplo:
    Quando os controles gerais de TI não são planejados de maneira efetiva ou implementados adequadamente para tratar os riscos decorrentes do uso de TI (por exemplo, os controles não evitam ou não detectam adequadamente alterações não autorizadas de programas ou acesso não autorizado a aplicativos de TI), isso pode afetar a decisão do auditor de confiar nos controles automatizados nos aplicativos de TI afetados.
  2. a avaliação do auditor do risco de controle no nível da afirmação;
    Exemplo:
    A efetividade operacional contínua de um controle de processamento de informações pode depender de certos controles gerais de TI que evitam ou detectam alterações não autorizadas de programas no controle de processamento de informações de TI (isto é, controles de alteração de programa sobre o aplicativo de TI relacionado). Nessas circunstâncias, a efetividade operacional esperada (ou falta dela) do controle geral de TI pode afetar a avaliação pelo auditor do risco de controle (por exemplo, o risco de controle pode ser maior quando a expectativa é que esses controles gerais de TI não sejam efetivos ou se o auditor não planejar testar os controles gerais de TI).
  3. a estratégia do auditor para testar informações preparadas pela entidade que são produzidas pelos seus aplicativos de TI ou envolvem informações de tais aplicativos;
    Exemplo:
    Quando as informações produzidas pela entidade a serem usadas como evidência de auditoria são produzidas por aplicativos de TI, o auditor pode determinar testar os controles dos relatórios gerados por sistema, incluindo a identificação e o teste dos controles gerais de TI que tratam os riscos de alterações inadequadas ou não autorizadas de programas ou alterações de dados diretamente nos relatórios.
  4. a avaliação do auditor do risco de controle no nível da afirmação; ou
    Exemplo:
    Quando são feitas alterações significativas ou extensas de programação em aplicativo de TI para tratar requisitos de relatório financeiro novos ou revisados da estrutura de relatório financeiro aplicável, isso pode ser indicador da complexidade dos novos requisitos e de seu efeito sobre as demonstrações contábeis da entidade. Quando essas alterações extensas de programação ou de dados ocorrem, é provável que o aplicativo de TI também esteja sujeito a riscos decorrentes do uso de TI.
  5. o planejamento de procedimentos de auditoria adicionais.
    Exemplo:
    Se os controles de processamento de informações dependem de controles gerais de TI, o auditor pode determinar testar a efetividade operacional dos controles gerais de TI, e para isso é necessário planejar testes de controle para esses controles gerais de TI. Se, nas mesmas circunstâncias, o auditor determinar não testar a efetividade operacional dos controles gerais de TI, ou a expectativa é que esses controles gerais de TI não sejam efetivos, os riscos relacionados decorrentes do uso de TI podem precisar ser tratados por meio do planejamento de procedimentos substantivos. Entretanto, os riscos decorrentes do uso de TI podem não ser endereçados quando se referem a riscos para os quais procedimentos substantivos isoladamente não fornecem evidência de auditoria apropriada e suficiente. Nessas circunstâncias, o auditor pode precisar considerar as implicações para a opinião de auditoria.

Identificação de aplicativos de TI sujeitos a riscos decorrentes do uso de TI - item A167 - A169

A167. Para os aplicativos relevantes para o sistema de informações, o entendimento da natureza e complexidade dos processos de TI específicos e dos controles gerais de TI que a entidade possui pode auxiliar o auditor a determinar em quais aplicativos de TI a entidade confia para processar precisamente e manter a integridade das informações em seu sistema de informações.
Esses aplicativos de TI podem estar sujeitos a riscos decorrentes do uso de TI.

A168. A identificação dos aplicativos de TI sujeitos a riscos decorrentes do uso de TI envolve considerar os controles identificados pelo auditor porque esses controles podem envolver o uso de TI ou confiar em TI.
O auditor pode focar em se os aplicativos de TI incluem controles automatizados nos quais a administração confia e que auditor identificou, incluindo controles que tratam os riscos para os quais procedimentos substantivos isoladamente não fornecem evidência de auditoria suficiente e apropriada.
O auditor também pode considerar como as informações são armazenadas e processadas no sistema de informações relacionado com significativas classes de transações, saldos contábeis e divulgações, e se a administração confia nos controles gerais de TI para manter a integridade dessas informações.

A169. Os controles identificados pelo auditor podem depender de relatórios gerados por sistema, caso em que os aplicativos de TI que produzem esses relatórios podem estar sujeitos a riscos decorrentes do uso de TI.
Em outros casos, o auditor pode não planejar confiar em controles dos relatórios gerados por sistema e planejar testar diretamente as entradas e saídas desses relatórios, caso em que ele pode não identificar os aplicativos de TI relacionados como sendo sujeitos a riscos decorrentes de TI.

Escalabilidade - item A170 - A171

A170. A extensão em que o entendimento dos processos de TI pelo auditor, incluindo a extensão em que a entidade possui controles gerais de TI, varia dependendo da natureza e das circunstâncias da entidade e do seu ambiente de TI, bem como com base na natureza e extensão dos controles identificados por ele.
O número de aplicativos de TI sujeitos a riscos decorrentes do uso de TI também varia com base nesses fatores.

Exemplos:

  1. É improvável que a entidade que usa software comercial e não tem acesso ao código fonte para fazer qualquer alteração nos programas tenha um processo para alterações de programa, mas ela pode ter um processo ou procedimentos para configurar o software (por exemplo, o plano de contas, parâmetros ou limites para relatórios financeiros).
    Além disso, a entidade pode ter um processo ou procedimentos para gerenciar o acesso ao aplicativo (por exemplo, um indivíduo designado com acesso administrativo ao software comercial). Nessas circunstâncias, não é provável que a entidade tenha ou necessite de controles gerais de TI formalizados.
  2. Por outro lado, uma entidade de grande porte pode depositar muita confiança na tecnologia da informação, o ambiente de TI pode envolver múltiplos aplicativos de TI e os processos de TI para gerenciar o ambiente de TI podem ser complexos (por exemplo, existe um departamento de TI dedicado que desenvolve e implementa alterações de programas e gerencia direitos de acesso), incluindo a implementação pela entidade de controles gerais de TI formalizados dos seus processos de TI.
  3. Quando a administração não confia em controles automatizados ou controles gerais de TI para processar transações ou manter os dados, e o auditor não identificou nenhum controle automatizado ou outros controles de processamento de informações (ou qualquer controle que dependa de controles gerais de TI), ele pode planejar testar diretamente qualquer informação produzida pela entidade envolvendo TI e pode não identificar nenhum aplicativo de TI que esteja sujeito a riscos decorrentes do uso de TI.
  4. Quando a administração confia em um aplicativo de TI para processar ou manter dados e o volume de dados é significativo, e a administração confia no aplicativo de TI para aplicar controles automatizados que o auditor também identificou, é provável que o aplicativo de TI esteja sujeito a riscos decorrentes do uso de TI.

A171. Quando a entidade tem ambiente de TI mais complexo, a identificação dos aplicativos de TI e de outros aspectos do ambiente de TI, a determinação dos riscos relacionados decorrentes do uso de TI e a identificação dos controles gerais de TI provavelmente requerem o envolvimento de membros da equipe com habilidades especializadas em TI.
Esse envolvimento é provavelmente essencial e pode precisar ser extenso para ambientes de TI complexos.

Identificação de outros aspectos do ambiente de TI sujeitos a riscos decorrentes do uso de TI - item A172

A172. Os outros aspectos do ambiente de TI que podem estar sujeitos a riscos decorrentes do uso de TI incluem a rede, o sistema operacional e as bases de dados e, em certas circunstâncias, as interfaces entre os aplicativos de TI.
Outros aspectos do ambiente de TI geralmente não são identificados quando o auditor não identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI.
Quando o auditor identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI, outros aspectos do ambiente de TI (por exemplo, base de dados, sistema operacional, rede) são provavelmente identificados porque esses aspectos suportam e interagem com os aplicativos de TI identificados.

Identificação de riscos decorrentes do uso de TI e controles gerais de TI (ver item 26(c)) - item A173 - A174

O Apêndice 6 fornece considerações para o entendimento dos controles gerais de TI.

A173. Ao identificar os riscos decorrentes do uso de TI, o auditor pode considerar a natureza do aplicativo de TI identificado ou outros aspectos do ambiente de TI e as razões que o tornam sujeito a riscos decorrentes do uso de TI.
Para alguns aplicativos de TI ou outros aspectos do ambiente de TI identificados, o auditor pode identificar riscos decorrentes do uso de TI aplicáveis que estão relacionados basicamente ao acesso não autorizado ou alterações de programa não autorizadas, ou que tratam riscos relacionados com alterações inadequadas de dados (por exemplo, o risco de alterações inadequadas de dados por meio de acesso direto à base de dados ou à capacidade de manipular diretamente as informações).

A174. A extensão e a natureza dos riscos decorrentes do uso de TI aplicáveis variam dependendo da natureza e das características dos aplicativos de TI identificados e outros aspectos do ambiente de TI.
Os riscos de TI aplicáveis podem ocorrer quando a entidade usa prestadores de serviço externos ou internos para aspectos identificados do seu ambiente de TI (por exemplo, terceirização da hospedagem do seu ambiente de TI ou compartilhamento de centro de serviços para o gerenciamento central dos processos de TI em um grupo).
Riscos decorrentes do uso de TI também podem ser identificados relacionados com segurança cibernética.
É mais provável que haja mais riscos decorrentes do uso de TI quando o volume ou a complexidade dos controles de aplicativos automatizados for maior e a administração depositar mais confiança nesses controles para o efetivo processamento de transações ou a efetiva manutenção da integridade das informações subjacentes.

Avaliação do planejamento e determinação da implementação de controles identificados no componente de atividades de controle (ver item 26(d)) - item A175 - A181

A175. A avaliação do planejamento de controle identificado envolve a consideração do auditor de se o controle, individualmente ou em combinação com outros controles, é capaz de efetivamente evitar, ou detectar e corrigir, as distorções relevantes (isto é, o objetivo do controle).

A176. O auditor determina a implementação de controle identificado estabelecendo que o controle existe e que é usado pela entidade.
Há pouca utilidade em o auditor avaliar a implementação de controle que não foi planejado de maneira efetiva.
Portanto, o auditor avalia primeiro o planejamento do controle. O controle planejado indevidamente pode representar uma deficiência de controle.

A177. Os procedimentos de avaliação de risco para obter evidência de auditoria sobre o planejamento e a implementação de controles identificados no componente de atividades de controle podem incluir:

  1. indagações junto ao pessoal da entidade;
  2. observação da aplicação de controles específicos;
  3. inspeção de documentos e relatórios.

Contudo, a indagação somente não é suficiente para esses fins.

A178. O auditor pode esperar, com base na experiência da auditoria anterior ou em procedimentos de avaliação de risco do período corrente, que a administração não tenha planejado ou implementado de maneira efetiva controles para tratar risco significativo.
Nesses casos, os procedimentos realizados para tratar o requisito no item 26(d) podem envolver determinar se esses controles não foram planejados ou implementados de maneira efetiva.
Se os resultados dos procedimentos indicam que os controles foram planejados ou implementados recentemente, o auditor deve realizar os procedimentos do item 26(b) a (d) para os controles planejados ou implementados recentemente.

A179. O auditor pode concluir que é apropriado testar um controle, que foi planejado e implementado de maneira efetiva, para considerar sua efetividade operacional ao planejar procedimentos substantivos.
Entretanto, quando o controle não foi planejado ou implementado de maneira efetiva, não há nenhum benefício em testá-lo.
Quando o auditor planeja testar o controle, as informações obtidas sobre a extensão em que o controle trata os riscos de distorção relevante são subsídios para a sua avaliação do risco de controle no nível da afirmação.

A180. A avaliação do planejamento e a determinação da implementação de controles identificados no componente de atividades de controle não são suficientes para testar sua efetividade operacional. Entretanto, para os controles automatizados, o auditor pode planejar testar sua efetividade operacional por meio da identificação e do teste dos controles gerais de TI que possibilitam a operação consistente do controle automatizado em vez de realizar testes da efetividade operacional diretamente nos controles automatizados.
A obtenção de evidência de auditoria sobre a implementação de controle manual em determinado momento não fornece evidência de auditoria da efetividade operacional do controle em outros momentos durante o período sob auditoria.
Os testes da efetividade operacional dos controles, incluindo testes de controles indiretos, estão descritos mais detalhadamente na NBC-TA-330, itens de 8 a 11.

A181. Quando o auditor não planeja testar a efetividade operacional dos controles identificados, o seu entendimento ainda pode auxiliar no planejamento da natureza, época e extensão de procedimentos de auditoria substantivos que respondam aos riscos de distorção relevante relacionados.

Exemplo:

Os resultados desses procedimentos de avaliação de risco podem fornecer uma base para a consideração do auditor sobre possíveis desvios em uma população ao planejar amostras de auditoria.

Deficiências de controle no sistema de controles internos da entidade (ver item 27) - item A182 - A183

A182. Ao realizar as avaliações de cada um dos componentes do sistema de controles internos da entidade (ver itens 21(b), 22(b), 24(c), 25(c) e 26(d)), o auditor pode determinar que certas políticas da entidade em componente não são adequadas para a natureza e as circunstâncias da entidade.
Essa determinação pode ser um indicador que auxilia o auditor a identificar deficiências de controle. Se o auditor identificou uma ou mais deficiências de controle, ele pode considerar o efeito dessas deficiências de controle no planejamento de procedimentos adicionais de auditoria, de acordo com a NBC-TA-330.

A183. Se o auditor identificou uma ou mais deficiências de controle, a NBC-TA-265 - Comunicação de Deficiências de Controle Interno, item 8, requer que o auditor determine se elas constituem, individualmente ou em combinação, deficiências significativas.
O auditor usa julgamento profissional para determinar se uma deficiência representa deficiência significativa de controle (NBC-TA-265, itens A6 e A7).

Exemplos:

As circunstâncias que podem indicar a existência de deficiência significativa de controle incluem assuntos tais como:

  1. a identificação de fraude de qualquer magnitude que envolve a alta administração;
  2. processos internos identificados que são inadequados com relação a relatórios e comunicações de deficiências observadas pela auditoria interna;
  3. deficiências comunicadas anteriormente que não foram corrigidas pela administração tempestivamente;
  4. falha da administração em responder a riscos significativos, por exemplo, deixando de implementar controles dos riscos significativos; e
  5. a reapresentação de demonstrações contábeis emitidas anteriormente.


(...)

Quer ver mais? Assine o Cosif Digital!



 

Cosif-e


Política de Privacidade Política de vendas Base legal Mapa do site

Megale Mídia Interativa Ltda. CNPJ 02.184.104/0001-29.
©1999-2024 Cosif-e Digital. Todos os direitos reservados.