NBC - NORMAS BRASILEIRAS DE CONTABILIDADE
NBC-T - NORMAS TÉCNICAS
NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE
NBC-TA-315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE
NBC-TA-315 - PARTE 2 - APLICAÇÃO E OUTROS MATERIAIS EXPLICATIVOS - item A1 - A241
PARTE 2C: Obtenção de entendimento da entidade, do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos - item A48 - A183
PARTE C1: Entidade e seu ambiente (ver item 19(a)) - item A56 - A183
Os apêndices de 1 a 6 descrevem considerações adicionais relacionadas com a obtenção de entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos.
Coletânea por Américo G Parada Fº - Contador - Coordenador do COSIFE
Estrutura organizacional, propriedade, governança e modelo de negócio da entidade (ver item 19(a)(i)) - item A56 - A58
Estrutura organizacional e propriedade da entidade - item A56
A56. O entendimento da estrutura organizacional e da propriedade da entidade pode permitir que o auditor entenda assuntos como:
Ferramentas e técnicas automatizadas - item A57
A57. O auditor pode usar ferramentas e técnicas automatizadas para entender os fluxos de transações e o processamento como parte dos seus procedimentos para entender o sistema de informações. O resultado desses procedimentos pode ser que a auditor obtenha informações sobre a estrutura organizacional da entidade ou sobre aqueles com quem a entidade conduza negócios (por exemplo, fornecedores, clientes, partes relacionadas).
Considerações específicas para entidades do setor público - item A58
A58. A propriedade de entidade do setor público pode não ter a mesma relevância que tem no setor privado porque as decisões relacionadas com a entidade podem ser tomadas fora da entidade como resultado de processo político. Portanto, a administração pode não ter controle sobre certas decisões que são tomadas. Assuntos que podem ser relevantes incluem o entendimento da capacidade da entidade de tomar decisões unilaterais, e da capacidade de outras entidades do setor público de controlar ou influenciar a autoridade e a direção estratégica da entidade.
Exemplo:
Uma entidade do setor público pode estar sujeita a leis ou outras diretivas de autoridades que requerem que ela obtenha aprovação de partes externas da entidade da sua estratégia e objetivos antes de implementá-los. Portanto, questões relacionadas com entendimento da estrutura legal da entidade podem incluir leis e regulamentos aplicáveis e a classificação da entidade (ou seja, se a entidade é ministério, departamento, agência ou outro tipo de entidade).
Governança - item A59 - A60
Por que o auditor obtém entendimento da governança? - item A59
A59. O entendimento da governança da entidade pode auxiliar o auditor a entender a capacidade da entidade de fornecer supervisão apropriada do seu sistema de controles internos. Entretanto, esse entendimento também pode fornecer evidência de deficiências que podem indicar um aumento da suscetibilidade das demonstrações contábeis da entidade aos riscos de distorção relevante.
Entendimento da governança da entidade - item A60
A60. Assuntos que podem ser relevantes para o auditor considerar na obtenção de entendimento da governança da entidade incluem:
Modelo de negócio da entidade - item A61 - A67
O Apêndice 1 descreve considerações adicionais para a obtenção de entendimento da entidade e do seu modelo de negócio, assim como considerações adicionais para a auditoria de entidades de propósito específico.
Por que o auditor obtém entendimento do modelo de negócio da entidade? - item A61
A61. O entendimento dos objetivos, da estratégia e do modelo de negócio da entidade auxilia o auditor a entender a entidade em nível estratégico e a entender os riscos do negócio que a entidade toma e enfrenta. O entendimento dos riscos do negócio que têm efeito nas demonstrações contábeis auxilia o auditor a identificar os riscos de distorção relevante uma vez que a maioria dos riscos do negócio terá, em algum momento, consequências financeiras e, portanto, efeito nas demonstrações contábeis.
Exemplos:
O modelo de negócio da entidade pode contar com o uso de TI de diferentes formas:
Para ambas as entidades, os riscos do negócio decorrentes de modelo de negócio significativamente diferente seriam, substancialmente, diferentes, apesar do fato de que ambas as entidades vendem calçados.
Entendimento do modelo de negócio da entidade - item A62 - A65
A62. Nem todos os aspectos do modelo de negócio são relevantes para o entendimento do auditor. Os riscos do negócio são mais abrangentes do que os riscos de distorção relevante das demonstrações contábeis embora os riscos do negócio incluam estes últimos. O auditor não tem responsabilidade de entender ou identificar todos os riscos do negócio porque nem todos os riscos do negócio geram riscos de distorção relevante.
A63. Os riscos do negócio que aumentam a suscetibilidade dos riscos de distorção relevante podem decorrer:
A64. Exemplos de assuntos que o auditor pode considerar na obtenção de entendimento do modelo de negócio, dos objetivos, das estratégias e dos respectivos riscos do negócio da entidade que podem resultar em risco de distorção relevante das demonstrações contábeis incluem:
A65. Normalmente, a administração identifica os riscos do negócio e desenvolve abordagens para tratar deles. Esse processo de avaliação de riscos é parte do sistema de controles internos da entidade e é discutido no item 22 e nos itens de A109 a A113.
Considerações específicas para entidades do setor público - item A66 - A67
A66. As entidades que atuam no setor público podem gerar e entregar valor de maneiras diferentes para os que geram riqueza, mas que ainda terão um “modelo de negócio” com um objetivo específico. Assuntos para os quais os auditores do setor público podem obter entendimento que são relevantes para o modelo de negócio da entidade incluem: • conhecimento das atividades relevantes do governo, incluindo os respectivos programas; • objetivos e estratégias do programa, incluindo elementos da política pública.
A67. Para as auditorias das entidades do setor público, os “objetivos da administração” podem ser influenciados pelos requisitos de demonstrar a prestação de contas públicas e podem incluir objetivos que têm sua fonte em lei, regulamento ou outra autoridade.
Fatores do setor de atividade, regulatórios e outros fatores externos (ver item 19(a)(ii)) - item A68 - A73
Fatores do setor de atividade - item A68 - A69
A68. Os fatores relevantes do setor de atividade incluem as condições próprias do setor, como ambiente de concorrência, relações com fornecedores e clientes e desenvolvimentos tecnológicos. Assuntos que o auditor pode considerar incluem:
A69. O setor de atividade no qual a entidade atua pode gerar riscos específicos de distorção relevante decorrentes da natureza do negócio ou do grau de regulamentação. Exemplo: No setor de construção, os contratos de longo prazo podem envolver estimativas significativas de receitas e despesas que geram riscos de distorção relevante. Nesses casos, é importante que a equipe encarregada do trabalho inclua membros com conhecimento e experiência relevantes suficientes (NBC-TA-220, item 14).
Fatores regulatórios - item A70 - A71
A70. Os fatores regulatórios relevantes incluem o ambiente regulatório. O ambiente regulatório abrange, entre outros assuntos, a estrutura de relatório financeiro aplicável e o ambiente jurídico e político e quaisquer mudanças nos mesmos. Assuntos que o auditor pode considerar incluem:
A71. A NBC-TA-250, item 13, inclui alguns requisitos específicos relacionados com a estrutura legal e regulatória aplicável para a entidade e a indústria ou o setor em que a entidade atua.
Considerações específicas para entidades do setor público - item A72
A72. Para as auditorias de entidades do setor público, leis ou regulamentos podem afetar as operações da entidade. Esses elementos podem ser uma consideração essencial na obtenção de entendimento da entidade e do seu ambiente.
Outros fatores externos - item A73
A73. Outros fatores externos que afetam a entidade e que o auditor pode considerar incluem as condições econômicas gerais, as taxas de juros, a disponibilidade de financiamento e a inflação ou a reavaliação cambial.
Medidas usadas pela administração para avaliar o desempenho financeiro da entidade - item A74 - A81
Por que o auditor entende as medidas utilizadas pela administração? - item A74 - A75
A74. O entendimento das medidas da entidade auxilia o auditor a considerar se essas medidas, sejam elas utilizadas externa ou internamente, cria pressões na entidade para que ela alcance metas de desempenho. Essas pressões podem motivar a administração a tomar medidas que aumentam a suscetibilidade à distorção devido à tendência da administração ou a fraude (por exemplo, para melhorar o desempenho do negócio ou para, intencionalmente, distorcer as demonstrações contábeis) (ver NBC-TA-240 para requisitos e orientação com relação aos riscos de fraude).
A75. Medidas também podem indicar para o auditor a probabilidade de riscos de distorção relevante das respectivas informações nas demonstrações contábeis. Por exemplo, medidas de desempenho podem indicar que a entidade teve aumento rápido não usual de sua rentabilidade quando comparado com outras entidades do mesmo setor de atividade.
Medidas utilizadas pela administração - item A76 - A77
A76. A administração e outros geralmente mensuram e revisam os assuntos que consideram importantes. As indagações junto à administração podem revelar que ela confia em determinados indicadores-chave, sejam eles disponíveis para o público ou não, para avaliar o desempenho financeiro e agir. Nesses casos, o auditor pode identificar medidas de desempenho relevantes, internas ou externas, ao considerar as informações que a rir o seu negócio. Se essas indagações indicarem ausência de medida ou revisão de desempenho, pode haver um maior risco de que distorções não sejam detectadas ou corrigidas.
A77. Os indicadores-chave utilizados para avaliar o desempenho financeiro podem incluir:
Escalabilidade (ver item 19(a)(iii)) - item A78
A78. Os procedimentos realizados para entender as medidas da entidade podem variar de acordo com o porte ou a complexidade da entidade, assim como com o envolvimento dos proprietários oela governança na administração da entidade.
Exemplos:
Outras considerações - item A79 - A80
A79. As partes externas também podem rever e analisar o desempenho financeiro da entidade, particularmente para entidades cujas informações financeiras estão disponíveis para o público. O auditor também pode considerar as informações disponíveis para o público para auxiliá-lo a entender melhor o negócio ou a identificar informações contraditórias, como informações de:
Essas informações financeiras podem ser geralmente obtidas da entidade que está sendo auditada.
A80. A mensuração e a revisão do desempenho econômico não é ao mesmo que a do monitoramento do sistema de controles internos (discutido como componente do sistema de controles internos nos itens de A114 a A122), embora seus propósitos possam se sobrepor:
Em alguns casos, entretanto, os indicadores de desempenho também fornecem informações que permitem que a administração identifique deficiências nos controles.
Considerações específicas para entidades do setor público - item A81
A81. Além de considerar as medidas relevantes usadas por entidade do setor público para avaliar o desempenho financeiro da entidade, os auditores das entidades do setor público também podem considerar informações não financeiras, como o alcance de resultados de benefícios públicos (por exemplo, número de pessoas assistidas por programa específico).
Estrutura de relatório financeiro aplicável (ver item 19(b)) - item A82 - A84
Entendimento da estrutura de relatório financeiro aplicável e das políticas contábeis da entidade - item A82 - A83
A82. Assuntos que o auditor pode considerar ao obter entendimento da estrutura de relatório financeiro aplicável da entidade e de como ela se aplica no contexto da natureza e das circunstâncias da entidade e de seu ambiente incluem:
A83. A obtenção de entendimento da entidade e do seu ambiente pode auxiliar o auditor a considerar quando mudanças nos relatórios financeiros da entidade (por exemplo, em relação a períodos anteriores) podem ser esperadas.
Exemplo:
Se a entidade teve uma combinação de negócios significativa no período, o auditor provavelmente esperaria mudanças nas classes de transações, saldos contábeis e divulgações associadas com essa combinação de negócios. Alternativamente, se não houve mudanças significativas na estrutura de relatório financeiro durante o período, o entendimento do auditor pode ajudar a confirmar que o entendimento obtido no período anterior ainda é aplicável.
Considerações específicas para entidades do setor público - item A84
A84. A estrutura de relatório financeiro aplicável em entidade do setor público é determinada pelas estruturas legislativas e regulatórias relevantes para cada jurisdição ou área geográfica. Assuntos que podem ser considerados na aplicação pela entidade dos requisitos de relatório financeiro aplicáveis e no modo como se aplicam no contexto da natureza e das circunstâncias da entidade e do seu ambiente incluem se a entidade aplica o regime de competência ou regime de caixa de acordo com as Normas Internacionais de Contabilidade do Setor Público, ou regime misto.
O Apêndice 2 fornece exemplos de eventos e condições que podem gerar riscos de distorção relevante, categorizados por fator de risco inerente.
Por que o auditor entende os fatores de risco inerentes ao entender a entidade e seu ambiente e a estrutura de relatório financeiro aplicável? - item A85 - A86
A85. O entendimento da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável auxilia o auditor a identificar eventos ou condições cujas características podem afetar a suscetibilidade de afirmações sobre classes de transações, saldos contábeis ou divulgações à distorção. Essas características são fatores de risco inerentes.
Os fatores de risco inerentes podem afetar a suscetibilidade de afirmações à distorção influenciando a probabilidade de ocorrência de distorção ou a magnitude da distorção caso ocorra.
O entendimento de como os fatores de risco inerentes afetam a suscetibilidade de afirmações à distorção pode auxiliar o auditor no entendimento preliminar da probabilidade ou magnitude de distorções, o que o auxilia a identificar os riscos de distorção relevante no nível da afirmação, de acordo com o item 28(b).
O entendimento do grau em que os fatores de risco inerentes afetam a suscetibilidade de afirmações à distorção também auxilia o auditor na avaliação da probabilidade e da magnitude de possíveis distorções ao avaliar o risco inerente, de acordo com o item 31(a).
Consequentemente, o entendimento dos fatores de risco inerentes também pode auxiliar o auditor no planejamento e na realização de procedimentos adicionais de auditoria de acordo com a NBC-TA-330.
A86. A identificação pelo auditor dos riscos de distorção relevante no nível da afirmação e a avaliação do risco inerente também podem ser influenciadas pela evidência de auditoria obtida por ele na realização de outros procedimentos de avaliação de risco, de procedimentos adicionais de auditoria ou no cumprimento de outros requisitos das normas de auditoria (ver itens A95, A103, A111, A121, A124 e A151).
Efeito dos fatores de risco inerentes sobre uma classe de transações, saldo contábil ou divulgação - item A87 - A89
A87. A extensão da suscetibilidade de uma classe de transações, saldo contábil ou divulgação à distorção decorrente de complexidade ou subjetividade está muitas vezes estreitamente relacionada com a extensão em que ela está sujeita à mudança ou à incerteza.
Exemplo:
Se a entidade tem uma estimativa contábil baseada em premissas, cuja seleção está sujeita a julgamento significativo, é provável que a mensuração da estimativa contábil seja afetada tanto pela subjetividade quanto pela incerteza.
A88. Quanto maior a extensão em que uma classe de transações, saldo contábil ou divulgação é suscetível à distorção devido a complexidade ou subjetividade, maior a necessidade do auditor de aplicar ceticismo profissional.
Além disso, quando uma classe de transações, saldo contábil ou divulgação é suscetível à distorção devido à complexidade, subjetividade, mudança ou incerteza, esses fatores de risco inerentes podem criar a oportunidade para o viés da administração, seja não intencional ou intencional, e afetar a suscetibilidade à distorção devido ao viés da administração.
A identificação de riscos de distorção relevante pelo auditor, e a avaliação do risco inerente no nível da afirmação, também são afetadas pelas inter-relações entre os fatores de risco inerentes.
A89. As condições e os eventos que podem afetar a suscetibilidade à distorção devido ao viés da administração podem afetar também a suscetibilidade à distorção decorrente de outros fatores de risco de fraude.
Consequentemente, essas informações podem ser relevantes para utilização, de acordo com o item 25 da NBC-TA-240, que requer que o auditor avalie se as informações obtidas de outros procedimentos de avaliação de risco e atividades relacionadas indicam a presença de um ou mais fatores de risco de fraude.
Obtenção de entendimento do sistema de controles internos da entidade (ver itens de 21 a 27) - item A90 - A93
O Apêndice 3 descreve mais detalhadamente a natureza do sistema de controles internos da entidade e as limitações inerentes dos controles internos, respectivamente. O Apêndice 3 fornece, também, explicações adicionais sobre os componentes do sistema de controles internos para fins das normas de auditoria.
A90. O entendimento do sistema de controles internos da entidade pelo auditor é obtido por meio de procedimentos de avaliação de risco realizados para entender e avaliar cada um dos componentes do sistema de controles internos, conforme definidos nos itens de 21 a 27.
A91. Os componentes do sistema de controles internos da entidade para fins desta Norma podem não refletir, necessariamente, o modo como a entidade planeja, implementa e mantém seu sistema de controles internos ou como ela pode classificar um componente específico.
As entidades podem usar diferentes terminologias ou estruturas para descrever os diversos aspectos do sistema de controles internos.
Para fins de uma auditoria, os auditores também podem usar diferentes terminologias ou estruturas desde que todos os componentes descritos nesta Norma sejam abordados.
Escalabilidade - item A92
A92. O modo como o sistema de controles internos da entidade é planejado, implementado e mantido varia com o porte e a complexidade da entidade. Por exemplo, entidades menos complexas podem usar controles menos estruturados ou mais simples (isto é, políticas e procedimentos) para alcançarem seus objetivos.
Considerações específicas para entidades do setor público - item A93
A93. Auditores do setor público muitas vezes têm responsabilidades adicionais no que se refere ao controle interno, por exemplo, emitir relatório sobre o cumprimento de código de prática estabelecido ou sobre gastos versus orçamento. Auditores do setor público também podem ter responsabilidade de emitir relatório sobre conformidade com leis, regulamentos ou outras normas. Como resultado, suas considerações sobre o sistema de controles internos podem ser mais abrangentes e detalhadas.
Tecnologia da informação nos componentes do sistema de controles internos da entidade - item A94 - A95
O Apêndice 5 fornece mais orientações sobre a compreensão do uso de TI pela entidade nos componentes do sistema de controle interno
A94. O objetivo geral e o alcance da auditoria não diferem se a entidade opera em um ambiente principalmente manual, completamente automatizado ou que envolve a combinação de elementos manuais e automatizados (isto é, controles manuais e automatizados e outros recursos usados no sistema de controles internos da entidade). Entendimento da natureza dos componentes do sistema de controles internos da entidade
A95. Ao avaliar a efetividade do projeto dos controles e se eles foram implementados (ver itens de A175 a A181), o entendimento do auditor de cada um dos componentes do sistema de controles internos da entidade fornece entendimento preliminar sobre o modo como a entidade identifica os riscos do negócio e como responde aos mesmos. Esse entendimento também pode influenciar a identificação e a avaliação pelo auditor dos riscos de distorção relevante de diferentes maneiras (ver item A86). Isso auxilia o auditor no planejamento e na realização de procedimentos adicionais de auditoria, incluindo planos para testar a efetividade operacional dos controles.
Por exemplo:
Ambiente de controle, processo de avaliação de riscos da entidade e processo de monitoramento do sistema de controles internos pela entidade (ver itens de 21 a 24) - item A96 - A98
A96. Os controles no ambiente de controle, no processo de avaliação de riscos da entidade e no processo de monitoramento do sistema de controles internos pela entidade são basicamente controles indiretos (isto é, controles que não são suficientemente precisos para evitar, detectar ou corrigir distorções no nível da afirmação, mas que suportam outros controles e podem, portanto, ter efeito indireto sobre a probabilidade de distorção ser detectada ou evitada tempestivamente).
Entretanto, alguns controles nesses componentes também podem ser controles diretos.
Por que o auditor deve entender o ambiente de controle, o processo de avaliação de riscos da entidade e o processo de monitoramento do sistema de controles internos da entidade? - item A97 - A98
A97. O ambiente de controle fornece o fundamento geral para a operação dos outros componentes do sistema de controles internos. O ambiente de controle não evita, detecta ou corrige diretamente as distorções. Ele pode, contudo, influenciar a efetividade dos controles nos outros componentes do sistema de controles internos.
Da mesma forma, o processo de avaliação de riscos da entidade e seu processo de monitoramento do sistema de controles internos são planejados para operarem de maneira a também suportarem todo o sistema de controles internos.
A98. Pelo fato de esses componentes serem fundamentais para o sistema de controles internos da entidade, qualquer deficiência na sua operação pode ter efeitos generalizados sobre a elaboração das demonstrações contábeis. Portanto, o entendimento e as avaliações desses componentes pelo auditor afetam a sua identificação e avaliação dos riscos de distorção relevante no nível das demonstrações contábeis e podem afetar, também, a identificação e avaliação de risco de distorção relevante no nível da afirmação.
Riscos de distorção relevante no nível das demonstrações contábeis afetam o planejamento de respostas gerais pelo auditor, incluindo, conforme explicado na NBC-TA-330, itens de A1 a A3, a uma influência na natureza, época e extensão dos seus procedimentos adicionais.
Obtenção de entendimento do ambiente de controle (ver item 21) - item A99 - A102
Escalabilidade - item A99 - A100
A99. A natureza do ambiente de controle em entidade menos complexa tende a ser diferente do ambiente de controle em entidade mais complexa.
Por exemplo, os responsáveis pela governança em entidades menos complexas podem não incluir membro independente ou externo, e a função de governança pode ser desempenhada diretamente pelo sócio-diretor onde não há outros proprietários.
Consequentemente, algumas considerações sobre o ambiente de controle da entidade podem ser menos relevantes ou não ser aplicáveis.
A100. Adicionalmente, a evidência de auditoria para elementos do ambiente de controle em entidades menos complexas pode não estar disponível em forma documental, em particular quando a comunicação entre a administração e outros profissionais é informal, mas a evidência ainda pode ser adequadamente relevante e confiável nas circunstâncias.
Exemplos:
Entendimento do ambiente de controle (ver item 21(a)) - item A101 - A102
A101. A evidência de auditoria para o entendimento do ambiente de controle pelo auditor pode ser obtida por meio da combinação de indagações e outros procedimentos de avaliação de risco (isto é, corroborando as indagações por meio de observação ou inspeção de documentos).
A102. Ao considerar a extensão em que a administração demonstra compromisso com integridade e valores éticos, o auditor pode obter entendimento por meio de indagações à administração e aos empregados e considerando informações de fontes externas sobre:
Avaliação do ambiente de controle (ver item 21(b)) - item A103 - A108
Por que o auditor avalia o ambiente de controle? - item A 103
A103. A avaliação do auditor de como a entidade demonstra comportamento consistente com o compromisso da entidade com integridade e valores éticos, se o ambiente de controle fornece fundamento apropriado para os outros componentes do sistema de controles internos da entidade, e se quaisquer deficiências de controle identificadas prejudicam os outros componentes do sistema de controles internos, auxilia o auditor a identificar potenciais problemas nos outros componentes do sistema de controles internos.
Isso porque o ambiente de controle é fundamental para os outros componentes do sistema de controles internos da entidade.
Essa avaliação também pode auxiliar o auditor a entender os riscos a que a entidade está exposta e, portanto, a identificar e avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).
Avaliação do ambiente de controle pelo auditor - item A104 - A108
A104. A avaliação do ambiente de controle pelo auditor é baseada no entendimento obtido, de acordo com o item 21(a).
A105. Algumas entidades podem ser dirigidas por uma única pessoa que pode exercer diversas decisões a seu critério. As ações e atitudes desse indivíduo podem ter efeito generalizado na cultura da entidade que, por sua vez, pode ter efeito generalizado no ambiente de controle. Esse efeito pode ser positivo ou negativo.
Exemplo:
O envolvimento direto de um único indivíduo pode ser a chave para possibilitar a entidade a cumprir seu objetivo de crescimento e outros objetivos, e pode também contribuir significativamente para um sistema de controles internos efetivo.
Por outro lado, essa concentração de conhecimento e autoridade também pode levar a uma maior suscetibilidade à distorção decorrente de transgressão de controles pela administração.
A106. O auditor pode considerar como diferentes elementos do ambiente de controle podem ser influenciados pela filosofia e estilo operacional da alta administração levando em consideração o envolvimento de membros independentes dos responsáveis pela governança.
A107. Embora o ambiente de controle possa fornecer fundamento apropriado para o sistema de controles internos e possa ajudar a reduzir o risco de fraude, ambiente de controle adequado não é necessariamente um inibidor de fraude eficaz.
Exemplo:
Políticas e procedimentos de recursos humanos direcionados à contratação de profissionaiscompetentes das áreas financeira, contábil e de TI podem mitigar o risco de erros no processamento e no registro de informações financeiras.
Entretanto, essas políticas e procedimentos podem não mitigar a transgressão de controles pela altaadministração (por exemplo, superavaliação de receitas).
A108. A avaliação do ambiente de controle pelo auditor, no que esteja relacionada com o uso de TI pela entidade, pode incluir assuntos como:
Obtenção de entendimento do processo de avaliação de riscos da entidade (ver itens 22 e 23) - item A109 - A113
Entendimento do processo de avaliação de riscos da entidade - item A109 - A110
A109. Conforme explicado no item A62, nem todos os riscos de negócio geram riscos de distorção relevante.
Ao entender como a administração e os responsáveis pela governança identificaram os riscos do negócio relevantes para a elaboração das demonstrações contábeis e como decidiram sobre as ações para tratar esses riscos, os assuntos que o auditor pode considerar incluem como a administração ou, conforme apropriado, os responsáveis pela governança:
A110. O auditor pode considerar as implicações desses riscos do negócio para a elaboração das demonstrações contábeis da entidade e outros aspectos do sistema de controles internos.
Avaliação do processo de avaliação de riscos da entidade - item A111
Por que o auditor avalia se o processo de avaliação de riscos da entidade é apropriado
A111. A análise do processo de avaliação de riscos da entidade pelo auditor pode auxiliá-lo a entender onde a entidade identificou riscos que podem ocorrer, e como a entidade respondeu a esses riscos. A avaliação do auditor sobre como a entidade identifica os riscos de seu negócio e como ela avalia e trata esses riscos auxilia o auditor a entender se os riscos a que a entidade está exposta foram identificados, avaliados e tratados, conforme apropriado, de acordo com a natureza e a complexidade da entidade. Essa avaliação também pode auxiliar o auditor a identificar e a avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).
Avaliação sobre a adequação do processo de avaliação de riscos da entidade (ver item 22(b)) - item A112
A112. A avaliação do auditor sobre a adequação do processo de avaliação de riscos da entidade é baseada no entendimento obtido, de acordo com o item 22(a).
Escalabilidade - item A113
A113. Se o processo de avaliação de riscos da entidade é adequado às circunstâncias da entidade, considerando a natureza e complexidade da entidade, é uma questão de julgamento profissional do auditor. Exemplo: Em algumas entidades menos complexas e, particularmente, em entidades administradas pelo proprietário, pode ser feita uma avaliação de riscos apropriada por meio do envolvimento direto da administração ou do gerente-proprietário (por exemplo, o gerente ou gerente-proprietário pode dedicar tempo de forma rotineira para monitorar as atividades dos concorrentes e outros desdobramentos no mercado para identificar os riscos emergentes do negócio). A evidência dessa avaliação de risco nesses tipos de entidades muitas vezes não é documentada formalmente, mas pode ficar evidente nas discussões que o auditor tem com a administração que ela realmente realiza procedimentos de avaliação de risco.
Obtenção de entendimento do processo da entidade de monitoramento do sistema de controles internos da entidade (ver item 24) - item A114 - A118
Escalabilidade - item A114 - A115
A114. Em entidades menos complexas, e particularmente em entidades administradas pelo sócio-diretor, o entendimento pelo auditor do processo de monitoramento da entidade para monitorar o sistema de controles internos é muitas vezes focado em como a administração ou o sócio-diretor está diretamente envolvido nas operações, uma vez que pode não haver outras atividades de monitoramento.
Exemplo:
A administração pode receber reclamações de clientes sobre imprecisões em suas faturas mensais que alertam o gerente-proprietário para questões relacionadas com a época em que os pagamentos pelos clientes são reconhecidos nos registros contábeis.
A115. Para entidades em que não há processo formal de monitoramento do sistema de controles internos, o entendimento do processo de monitoramento do sistema de controles internos pode incluir entender revisões periódicas das informações contábeis da administração que são desenhadas para contribuir em como a entidade previne ou detecta distorções.
Entendimento do processo da entidade de monitoramento do sistema de controles internos - item A116 - A117
A116. Assuntos que podem ser relevantes para o auditor considerar no entendimento de como a entidade monitora seu sistema de controles internos incluem: • o desenho das atividades de monitoramento, por exemplo, se o monitoramento é periódico ou contínuo; • a realização e a frequência das atividades de monitoramento; • a avaliação tempestiva dos resultados das atividades de monitoramento para determinar se os controles foram efetivos; e • como deficiências identificadas foram tratadas por meio de ações corretivas apropriadas, incluindo a comunicação tempestiva dessas deficiências aos responsáveis por tomar as ações corretivas.
A117. O auditor também pode considerar como o processo da entidade de monitoramento do sistema de controles internos endereça o monitoramento dos controles de processamento de informações que envolvem o uso de TI, que podem incluir, por exemplo:
Entendimento da função de auditoria interna da entidade - item A118
O Apêndice 4 descreve considerações adicionais para o entendimento da função de auditoria interna da entidade
A118. As indagações do auditor junto aos indivíduos apropriados da função de auditoria interna o auxiliam a obter entendimento da natureza das responsabilidades da função de auditoria interna.
Se o auditor determinar que tais responsabilidades da função de auditoria interna estão relacionadas com a elaboração do relatório financeiro da entidade, ele pode obter entendimento adicional das atividades realizadas, ou a serem realizadas, pela função de auditoria interna por meio da revisão do plano de auditoria interna para o período, se houver, e discutir esse plano com os indivíduos apropriados da auditoria interna.
Esse entendimento, juntamente com as informações obtidas pelas indagações do auditor, pode também fornecer informações diistema de controles inretamente relevantes para a sua identificação e avaliação dos riscos de distorção relevante.
Se, com base no entendimento preliminar do auditor independente sobre a função de auditoria interna, ele espera utilizar o trabalho da auditoria interna para modificar a natureza ou a época, ou reduzir a extensão dos procedimentos de auditoria a serem realizados, a NBC-TA-610 - Utilização do Trabalho de Auditoria Interna é aplicável.
Outras fontes de informação usadas no processo da entidade para monitorar o sistema de controles internos - item A119 - A120
Entendimento das fontes de informação (ver item 24(b)) - item A119
A119. As atividades de monitoramento da administração podem usar informações de comunicações de partes externas, tais como reclamações de clientes ou comentários de reguladores que podem indicar problemas ou destacar áreas que necessitam de melhorias.
A120. O entendimento pelo auditor das fontes de informação usadas pela entidade para o monitoramento do seu sistema de controles internos, incluindo se as informações usadas são relevantes e confiáveis, o auxilia a avaliar se o processo da entidade para monitorar o sistema de controles internos é apropriado.
Se a administração assumir que as informações usadas para o monitoramento são relevantes e confiáveis sem ter uma base para essa premissa, erros que podem existir nas informações podem potencialmente levar a administração a tirar conclusões incorretas com base em suas atividades de monitoramento.
Avaliação do processo da entidade para monitoramento do sistema de controles internos (ver item 24(c)) - item A121 - A122
A121. A avaliação do auditor sobre como a entidade realiza avaliações contínuas e separadas para monitorar a efetividade dos controles o auxilia a entender se os outros componentes do sistema de controles internos da entidade estão presentes e em funcionamento e, portanto, auxilia no entendimento dos outros componentes do sistema de controles internos da entidade. Essa avaliação também pode auxiliar o auditor a identificar e avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).
Avaliação se o processo de monitoramento da entidade para monitorar o sistema de controles é apropriado (ver item 24(c)) - item A122
A122. A avaliação pelo auditor da adequação do processo dea entidade para monitorarde dododododo sistema de controles internos é baseada no entendimento dessedo auditor sobre o desseprocesso da entidade para monitorar o sternos.
Sistema de informações e comunicação, e atividades de controle (ver itens 25 e 26) - item A123 - A130
A123. Os controles nos componentes sistema de informações e comunicação, e atividades de controle são primariamente controles diretos (isto é, controles que são suficientemente precisos para evitar, detectar ou corrigir distorções no nível da afirmação).
Por que o auditor deve entender o sistema de informações e comunicação, e controles no componente de atividades de controle? - item A124 - A125
A124. O auditor deve entender o sistema de informações e comunicação da entidade porque o entendimento das políticas da entidade que definem os fluxos de transações e outros aspectos das atividades de processamento de informações da entidade relevantes para a elaboração das demonstrações contábeis, e a avaliação de se o componente suporta adequadamente a elaboração das demonstrações contábeis da entidade, suportam a identificação e avaliação pelo auditor dos riscos de distorção relevante no nível da afirmação.
Esse entendimento e essa avaliação também podem resultar na identificação dos riscos de distorção relevante no nível das demonstrações contábeis quando os resultados dos procedimentos do auditor são inconsistentes com as expectativas em relação ao sistema de controles internos da entidade que podem ter sido baseadas em informações obtidas no processo de aceitação ou continuação do trabalho (ver item A86).
A125. O auditor deve identificar controles específicos no componente de atividades de controle, e avaliar o desenho bem como determinar se os controles foram implementados, uma vez que isso auxilia o seu entendimento sobre a abordagem da administração para tratar certos riscos e, portanto, fornece uma base para o planejamento e a realização de procedimentos adicionais de auditoria em resposta a esses riscos, conforme requerido pela NBC-TA-330.
Quanto mais alto no spectrum de risco inerente um risco for avaliado, mais persuasiva deverá ser a evidência de auditoria. Mesmo quando o auditor não planeja testar a efetividade operacional dos controles identificados, o seu entendimento ainda pode afetar o planejamento da natureza, época e extensão de procedimentos de auditoria substantivos em resposta aos riscos de distorção relevante relacionados.
Natureza iterativa do entendimento e da avaliação pelo auditor do sistema de informações e comunicação, e das atividades de controle - item A126 - A130
A126. Conforme explicado no item A49, o entendimento pelo auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, pode auxiliá-lo a desenvolver expectativas iniciais em relação a classes de transações, saldos contábeis e divulgações que podem ser classes de transações, saldos contábeis e divulgações significativas.
Ao obter entendimento do componente do sistema de informações e comunicação, de acordo com o item 25(a), o auditor pode usar essas expectativas iniciais para determinar a extensão do entendimento a ser obtido sobre as atividades de processamento de informações da entidade.
A127. O entendimento do sistema de informações pelo auditor inclui o entendimento das políticas que definem os fluxos de informações relacionadas com as classes de transações, saldos contábeis e divulgações significativas da entidade e outros aspectos relacionados com as atividades de processamento de informações da entidade.
Essas informações e as informações obtidas da avaliação do sistema de informações pelo auditor podem confirmar ou influenciar ainda mais as suas expectativas em relação a classes de transações, saldos contábeis e divulgações significativas identificadas inicialmente (ver item A126).
A128. Ao obter entendimento de como informações relacionadas com classes de transações, saldos contábeis e divulgações significativas fluem (incluindo entrada e saída) pelo sistema de informações da entidade, o auditor também pode identificar controles no componente de atividades de controle que devem ser identificados, de acordo com o item 26(a).
A identificação e a avaliação pelo auditor dos controles no componente de atividades de controle podem primeiramente focar em controles dos lançamentos contábeis e controles que o auditor planeja testar a efetividade operacional para planejar a natureza, a época e a extensão dos procedimentos substantivos.
A129. A avaliação dos riscos inerentes pelo auditor também pode influenciar a identificação de controles no componente de atividades de controle.
Por exemplo, a identificação pelo auditor de controles relacionados com riscos significativos pode ser identificável apenas quando ele avaliou os riscos inerentes no nível da afirmação, de acordo com o item 31.
Além disso, os controles que tratam riscos para os quais o auditor determinou que apenas procedimentos substantivos não fornecem evidência de auditoria apropriada e suficiente, de acordo com o item 33, também podem ser identificáveis somente quando as suas avaliações de riscos inerentes tiverem sido realizadas.
A130. A identificação e a avaliação dos riscos de distorção relevante pelo auditor no nível da afirmação são influenciadas:
Obtenção de entendimento do sistema de informações e comunicação (ver item 25) - item A131 - A143
O Apêndice 3, itens de 15 a 19, fornece considerações adicionais relacionadas com o sistema de informações e comunicação.
Escalabilidade - item A131
A131. O sistema de informações e os processos de negócio relacionados, em entidades menos complexas, são provavelmente menos sofisticados do que em entidades maiores e tendem a envolver um ambiente de TI menos complexo.
Entretanto, o papel do sistema de informações é igualmente importante.
Entidades menos complexas com envolvimento direto da administração podem não precisar de extensas descrições de procedimentos contábeis, registros contábeis sofisticados ou políticas por escrito.
O entendimento dos aspectos relevantes do sistema de informações da entidade pode, portanto, requerer menos esforço na auditoria de entidade menos complexa e pode envolver mais indagações do que observação ou inspeção de documentação.
A necessidade de obter entendimento, contudo, continua importante para fornecer uma base para o planejamento de procedimentos de auditoria adicionais, de acordo com a NBC-TA-330, e pode ainda auxiliar o auditor a identificar e avaliar os riscos de distorção relevante (ver item A86).
Obtenção de entendimento do sistema de informações (ver item 25(a)) - item A132 - A137
A132. O sistema de controles internos da entidade inclui aspectos que estão relacionados com os objetivos de apresentação de relatórios da entidade, incluindo objetivos de apresentação de seus relatórios financeiros, mas pode incluir também aspectos relacionados com seus objetivos de operações e de conformidade, quando esses aspectos são relevantes para a apresentação de relatórios financeiros.
O entendimento de como a entidade inicia transações e captura informações como parte do entendimento do auditor sobre o sistema de informações pode incluir informações sobre os sistemas da entidade (suas políticas), desenhados para tratar os objetivos de conformidade e de operações porque essas informações são relevantes para a elaboração das demonstrações contábeis.
Além disso, algumas entidades podem ter sistemas de informações altamente integrados de modo que controles possam ser desenhados de maneira a atingir simultaneamente os objetivos de relatório financeiro, de conformidade, operacionais e a combinações dos mesmos.
A133. O entendimento do sistema de informações da entidade também inclui o entendimento dos recursos a serem usados nas atividades de processamento de informações da entidade.
As informações sobre os recursos humanos envolvidos que podem ser relevantes para o entendimento dos riscos à integridade do sistema de informações incluem:
A134. Assuntos que o auditor pode considerar ao obter entendimento das políticas que definem os fluxos de informações relacionadas com as significativas classes de transações, saldos contábeis e divulgações da entidade no componente de sistema de informações e comunicação incluem a natureza:
A135. A obtenção de entendimento dos processos de negócio da entidade, que inclui como as transações são originadas, auxilia o auditor a obter entendimento do sistema de informações da entidade de modo apropriado às circunstâncias da entidade.
A136. O entendimento do sistema de informações pelo auditor pode ser obtido de várias maneiras e pode incluir:
A137. O auditor também pode usar técnicas automatizadas para obter acesso direto ou baixar as bases de dados (download) do sistema de informações da entidade que armazenam registros contábeis de transações.
Ao aplicar ferramentas ou técnicas automatizadas a essas informações, o auditor pode confirmar o entendimento obtido sobre como as transações fluem pelo sistema de informações, rastreando lançamentos no livro diário ou outros registros digitais relacionados com uma transação específica, ou a população inteira de transações, desde a iniciação nos registros contábeis até o registro no razão geral.
A análise de conjuntos completos ou grandes transações também pode resultar na identificação de variações em relação aos procedimentos de processamento normais ou esperados para essas transações, que podem resultar na identificação de riscos de distorção relevante.
Informações obtidas fora do razão geral e dos razões auxiliares - item A138 - A139
A138. As demonstrações contábeis podem conter informações que são obtidas fora do razão geral e dos razões auxiliares. Exemplos dessas informações que o auditor pode considerar incluem:
A139. Certos valores ou divulgações nas demonstrações contábeis da entidade (tais como divulgações sobre risco de crédito, risco de liquidez e risco de mercado) podem estar baseados em informações obtidas do sistema de gestão de riscos da entidade.
Entretanto, o auditor não é requerido a entender todos os aspectos do sistema de gestão de riscos da entidade, e usa julgamento profissional para determinar o entendimento necessário.
Uso de tecnologia da informação no sistema de informações pela entidade - item A140 - A143
Por que o auditor entende o ambiente de TI relevante para o sistema de informações? - item A140 - A141
A140. O entendimento do sistema de informações pelo auditor inclui o ambiente de TI relevante para os fluxos de transações e processamento de informações no sistema de informações da entidade porque o uso pela entidade de aplicativos de TI ou outros aspectos do ambiente de TI podem gerar riscos decorrentes do uso de TI.
A141. O entendimento do modelo de negócio da entidade e como ele integra o uso de TI também pode fornecer contexto útil para a natureza e a extensão de TI esperadas no sistema de informações.
Entendimento do uso de TI pela entidade - item A142 - A143
A142. O entendimento do ambiente de TI pelo auditor pode focar na identificação e no entendimento da natureza e do número de aplicativos de TI específicos e de outros aspectos do ambiente de TI relevantes para os fluxos de transações e processamento de informações no sistema de informações. Mudanças, no fluxo de transações ou em informações no sistema de informações, podem ser resultado de alterações em programas de aplicativos de TI ou alterações diretas de dados em bases de dados envolvidas em processamento ou armazenamento dessas transações ou informações.
A143. O auditor pode identificar os aplicativos de TI e a infraestrutura de suporte de TI ao mesmo tempo em que obtém entendimento como as informações relacionadas com significativas classes de transações, saldos contábeis e divulgações trafegam pelo sistema de informações da entidade.
Obtenção de entendimento da comunicação da entidade (ver item 25(b)) - item A144 - A146
Escalabilidade - item A144 - A145
A144. Em entidades maiores e mais complexas, as informações que o auditor pode considerar para entender a comunicação da entidade podem ser obtidas de manuais de políticas e de relatórios financeiros.
A145. Em entidades menos complexas, a comunicação pode ser menos estruturada (por exemplo, manuais formais podem não ser usados) devido aos graus menores de responsabilidade e à maior visibilidade e disponibilidade da administração. Independentemente do porte da entidade, canais de comunicação abertos facilitam que exceções sejam reportadas e tratadas.
Avaliação se os aspectos relevantes do sistema de informações suportam a elaboração das demonstrações contábeis da entidade (ver item 25(c)) - item A146
A146. A avaliação do auditor de se o sistema de informações e a comunicação da entidade suportam adequadamente a elaboração das demonstrações contábeis é baseada no entendimento obtido no item 25(a) e (b).
Atividades de controle (ver item 26) - item A147 - A157
Controles no componente de atividades de controle - item A147 - A152
O Apêndice 3, itens 20 e 21, fornece considerações adicionais relacionadas com atividades de controle.
A147. O componente de atividades de controle inclui controles planejados para assegurar a devida aplicação de políticas (que também são controles) em todos os outros componentes do sistema de controles internos da entidade, e inclui controles diretos e indiretos.
Exemplo:
Os controles estabelecidos pela entidade para assegurar que seu pessoal faça a contagem e o registro anual do estoque físico de maneira adequada estão relacionados diretamente com os riscos de distorção relevante importantes para as afirmações de existência e integridade do saldo contábil do estoque.
A148. A identificação e avaliação pelo auditor dos controles no componente de atividades de controle são focadas em controles de processamento de informações, que são controles aplicados durante o processamento de informações no sistema de informações da entidade que tratam diretamente os riscos à integridade das informações (isto é, a integridade, precisão e validade das transações e outras informações).
Entretanto, o auditor não é é requerido a identificar e avaliar todos os controles de processamento de informações relacionados com as políticas da entidade que definem os fluxos de transações e outros aspectos das atividades de processamento de informações da entidade para as significativas classes de transações, saldos contábeis e divulgações.
A149. Pode haver também controles diretos no ambiente de controle, no processo de avaliação de riscos da entidade ou no processo da entidade de monitoramento do sistema de controles internos, que podem ser identificados, de acordo com o item 26.
Entretanto, quanto mais indireta for a relação entre os controles que suportam outros controles e o controle que está sendo considerado, menos efetivo pode ser esse controle na prevenção, ou detecção e correção, das distorções relacionadas.
Exemplo:
A revisão pelo gerente de vendas do resumo da atividade de vendas para lojas específicas por região normalmente é relacionada apenas indiretamente com os riscos de distorção relevante importantes para a afirmação de integridade para receita de vendas.
Consequentemente, ela pode ser menos efetiva para tratar esses riscos do que controles relacionados mais diretamente com eles, tais como confrontar documentos de embarque com faturas.
A150. O item 26 também requer que o auditor identifique e avalie os controles gerais de TI para aplicativos de TI e outros aspectos do ambiente de TI que ele tenha determinado como sujeitos a riscos decorrentes do uso de TI porque os controles gerais de TI permitem o funcionamento efetivo e contínuo dos controles de processamento de informações.
Um único controle geral de TI não é suficiente para tratar risco de distorção relevante no nível da afirmação.
A151. Os controles que o auditor deve avaliar o planejamento e determinar se foram implementados, de acordo com o item 26, são os seguintes:
A152. Os controles no componente de atividades de controle devem ser identificados quando esses controles atenderem um ou mais critérios incluídos no item 26(a).
Entretanto, quando múltiplos controles atingem o mesmo objetivo, não é necessário identificar cada um dos controles relacionados com esse objetivo.
Tipos de controle no componente de atividades de controle (ver item 26) - item A153 - A155
A153. Exemplos de controles no componente de atividades de controle incluem autorizações e aprovações, conciliações, verificações (tais como verificações de edição e validação ou cálculos automatizados), segregação de funções e controles físicos e lógicos, incluindo aqueles que tratam de salvaguarda de ativos.
A154. Os controles no componente de atividades de controle também podem incluir controles estabelecidos pela administração que tratam os riscos de distorção relevante para divulgações não elaboradas de acordo com a estrutura de relatório financeiro aplicável. Esses controles podem estar relacionados com informações nas demonstrações contábeis que são obtidas do razão geral e dos razões auxiliares.
A155. Independentemente de os controles estarem no ambiente de TI ou em sistemas manuais, eles podem ter vários objetivos e podem ser aplicados em diversos níveis organizacionais e funcionais.
Escalabilidade (ver item 26) - item A156 - A157
A156. Os controles no componente de atividades de controle em entidades menos complexas são provavelmente semelhantes aos de entidades de grande porte, mas a formalidade com que eles operam pode variar. Além disso, em entidades menos complexas, mais controles podem ser aplicados diretamente pela administração.
Exemplo:
A autoridade exclusiva da administração de conceder crédito a clientes e aprovar aquisições significativas pode proporcionar fortes controles dos saldos contábeis e transações importantes.
A157. Pode ser menos praticável estabelecer segregação de funções em entidades menos complexas que possuem menos empregados.
Entretanto, em entidade administrada pelo proprietário, o gerente-proprietário pode ser capaz de supervisionar de maneira mais eficaz por meio de envolvimento direto que em entidade de grande porte, o que pode compensar as oportunidades geralmente menores de segregar funções.
Contudo, conforme também explicado na NBC-TA-240, item 28, o controle da administração por um único indivíduo pode ser uma deficiência de controle potencial, já que há uma oportunidade para que a administração transgrida os controles.
Controles que tratam os riscos de distorção relevante no nível da afirmação (ver item 26(a)) - item A158 - A165
Controles que tratam os riscos determinados como sendo riscos significativos (ver item 26(a)(i)) - item A158 - A159
A158. Independentemente de se o auditor planeja testar a efetividade operacional de controles que endereçam riscos significativos, o entendimento obtido sobre a abordagem da administração para tratar esses riscos pode fornecer uma base para o planejamento e a realização de procedimentos substantivos em resposta a riscos significativos, conforme requerido pela NBC-TA-330, item 21.
Embora os riscos relacionados com questões significativas não rotineiras ou de julgamento muitas vezes tenham menos probabilidade de estar sujeitos a controles rotineiros, a administração pode ter outras respostas para tratar tais riscos.
Consequentemente, o entendimento do auditor em determinar se a entidade planejou e implementou controles para riscos significativos decorrentes de questões não rotineiras ou de julgamento pode incluir determinar se e como a administração responde aos riscos. Essas respostas podem incluir:
Exemplo:
Quando há eventos únicos, tais como notificação judicial, a consideração da resposta da entidade pode incluir assuntos como determinar se a notificação foi submetida a especialistas apropriados (tais como assessores jurídicos internos ou externos), se foi feita uma avaliação do efeito potencial e como se propõe que as circunstâncias sejam divulgadas nas demonstrações contábeis.
A159. A NBC-TA-240, itens 28 e A33, requer que o auditor entenda os controles relacionados com os riscos avaliados de distorção relevante decorrentes de fraude (que são tratados como riscos significativos), e explica mais detalhadamente que é importante que o auditor obtenha entendimento dos controles que a administração planejou, implementou e manteve para prevenir e detectar fraude.
Controles dos lançamentos no livro diário (ver item 26(a)(ii)) - item A160
A160. Os controles que tratam os riscos de distorção relevante no nível da afirmação que se espera identificar em todas as auditorias são os controles dos lançamentos no livro diário porque o modo como a entidade incorpora as informações do processamento de transações no razão geral geralmente envolve o uso de lançamentos no livro diário, sejam eles padrão ou fora do padrão, automatizados ou manuais.
A extensão em que outros controles são identificados pode variar com base na natureza da entidade e na abordagem planejada pelo auditor em relação a procedimentos adicionais de auditoria.
Exemplo:
Na auditoria de entidade menos complexa, o sistema de informações da entidade pode não ser complexo e o auditor pode não planejar confiar na efetividade operacional dos controles.
Além disso, o auditor pode não ter identificado nenhum risco significativo ou quaisquer outros riscos de distorção relevante em relação aos quais é necessário que ele avalie o planejamento dos controles e determine que eles tenham sido implementados.
Em uma auditoria como essa, o auditor pode determinar que não existem controles identificados que não sejam os controles da entidade sobre lançamentos no livro diário.
Ferramentas e técnicas automatizadas - item A161
A161. Em sistemas manuais de razão geral, lançamentos no livro diário fora de padrão podem ser identificados por meio de inspeção de livros razão, livros diários e documentação de suporte.
Quando são usados procedimentos automatizados para manter o razão geral e elaborar as demonstrações contábeis, esses lançamentos podem existir apenas em formato eletrônico e serem, portanto, mais facilmente identificados por meio de técnicas automatizadas.
Exemplo:
Na auditoria de entidade menos complexa, o auditor pode conseguir extrair uma listagem total de todos os lançamentos no livro diário em uma planilha simples.
Pode então ser possível ao auditor separar os lançamentos aplicando vários filtros, tais como valor, nome do preparador ou revisor, lançamentos no livro diário incluídos apenas no balanço patrimonial e na demonstração do resultado, ou visualizar a listagem pela data do lançamento no razão geral, para auxiliá-lo a planejar respostas aos riscos identificados relacionados com lançamentos no livro diário.
Controles para os quais o auditor planeja testar a efetividade operacional (ver item 26(a)(iii)) - item A162 - A164
A162. O auditor determina se existem riscos de distorção relevante no nível da afirmação para os quais não é possível obter evidência de auditoria apropriada e suficiente por meio de procedimentos substantivos isoladamente.
O auditor deve, de acordo com a NBC-TA-330, item 8(b), planejar e realizar testes de controles que tratam esses riscos de distorção relevante quando os procedimentos substantivos isoladamente não conseguem fornecer evidência de auditoria apropriada e suficiente no nível da afirmação.
Como resultado, quando existem esses controles para tratar esses riscos, eles devem ser identificados e avaliados.
A163. Em outros casos, quando o auditor planeja levar em consideração a efetividade operacional dos controles para determinar a natureza, a época e a extensão dos procedimentos substantivos, de acordo com a NBC-TA-330, esses controles também devem ser identificados porque a NBC-TA-330, item 8(a), requer que o auditor planeje e realize testes desses controles.
Exemplos:
O auditor pode planejar testar a efetividade operacional dos controles:
A164. Os planos do auditor de testar a efetividade operacional dos controles também podem ser influenciados pelos riscos identificados de distorção relevante a nível das demonstrações contábeis.
Por exemplo, se forem identificadas deficiências relacionadas com o ambiente de controle, isso pode afetar as expectativas gerais do auditor sobre a efetividade operacional de controles diretos.
Outros controles que o auditor considera apropriados (ver item 26(a)(iv)) - item A165
A165. Outros controles que o auditor pode considerar apropriado identificar, avaliar o planejamento e determinar a implementação podem incluir:
Identificação de aplicativos de TI e outros aspectos do ambiente de TI, riscos decorrentes do uso de TI e controles gerais de TI (ver item 26(b) e (c)) - item A166 - A172
O Apêndice 5 inclui exemplos de características de aplicativos de TI e outros aspectos do ambiente de TI, e orientações relacionadas com essas características, que podem ser relevantes na identificação de aplicativos de TI e de outros aspectos do ambiente de TI que estão sujeitos a riscos decorrentes do uso de TI.
A166. O entendimento dos riscos decorrentes do uso de TI e controles gerais de TI implementados pela entidade para tratar esses riscos pode afetar:
Identificação de aplicativos de TI sujeitos a riscos decorrentes do uso de TI - item A167 - A169
A167. Para os aplicativos relevantes para o sistema de informações, o entendimento da natureza e complexidade dos processos de TI específicos e dos controles gerais de TI que a entidade possui pode auxiliar o auditor a determinar em quais aplicativos de TI a entidade confia para processar precisamente e manter a integridade das informações em seu sistema de informações.
Esses aplicativos de TI podem estar sujeitos a riscos decorrentes do uso de TI.
A168. A identificação dos aplicativos de TI sujeitos a riscos decorrentes do uso de TI envolve considerar os controles identificados pelo auditor porque esses controles podem envolver o uso de TI ou confiar em TI.
O auditor pode focar em se os aplicativos de TI incluem controles automatizados nos quais a administração confia e que auditor identificou, incluindo controles que tratam os riscos para os quais procedimentos substantivos isoladamente não fornecem evidência de auditoria suficiente e apropriada.
O auditor também pode considerar como as informações são armazenadas e processadas no sistema de informações relacionado com significativas classes de transações, saldos contábeis e divulgações, e se a administração confia nos controles gerais de TI para manter a integridade dessas informações.
A169. Os controles identificados pelo auditor podem depender de relatórios gerados por sistema, caso em que os aplicativos de TI que produzem esses relatórios podem estar sujeitos a riscos decorrentes do uso de TI.
Em outros casos, o auditor pode não planejar confiar em controles dos relatórios gerados por sistema e planejar testar diretamente as entradas e saídas desses relatórios, caso em que ele pode não identificar os aplicativos de TI relacionados como sendo sujeitos a riscos decorrentes de TI.
Escalabilidade - item A170 - A171
A170. A extensão em que o entendimento dos processos de TI pelo auditor, incluindo a extensão em que a entidade possui controles gerais de TI, varia dependendo da natureza e das circunstâncias da entidade e do seu ambiente de TI, bem como com base na natureza e extensão dos controles identificados por ele.
O número de aplicativos de TI sujeitos a riscos decorrentes do uso de TI também varia com base nesses fatores.
Exemplos:
A171. Quando a entidade tem ambiente de TI mais complexo, a identificação dos aplicativos de TI e de outros aspectos do ambiente de TI, a determinação dos riscos relacionados decorrentes do uso de TI e a identificação dos controles gerais de TI provavelmente requerem o envolvimento de membros da equipe com habilidades especializadas em TI.
Esse envolvimento é provavelmente essencial e pode precisar ser extenso para ambientes de TI complexos.
Identificação de outros aspectos do ambiente de TI sujeitos a riscos decorrentes do uso de TI - item A172
A172. Os outros aspectos do ambiente de TI que podem estar sujeitos a riscos decorrentes do uso de TI incluem a rede, o sistema operacional e as bases de dados e, em certas circunstâncias, as interfaces entre os aplicativos de TI.
Outros aspectos do ambiente de TI geralmente não são identificados quando o auditor não identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI.
Quando o auditor identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI, outros aspectos do ambiente de TI (por exemplo, base de dados, sistema operacional, rede) são provavelmente identificados porque esses aspectos suportam e interagem com os aplicativos de TI identificados.
Identificação de riscos decorrentes do uso de TI e controles gerais de TI (ver item 26(c)) - item A173 - A174
O Apêndice 6 fornece considerações para o entendimento dos controles gerais de TI.
A173. Ao identificar os riscos decorrentes do uso de TI, o auditor pode considerar a natureza do aplicativo de TI identificado ou outros aspectos do ambiente de TI e as razões que o tornam sujeito a riscos decorrentes do uso de TI.
Para alguns aplicativos de TI ou outros aspectos do ambiente de TI identificados, o auditor pode identificar riscos decorrentes do uso de TI aplicáveis que estão relacionados basicamente ao acesso não autorizado ou alterações de programa não autorizadas, ou que tratam riscos relacionados com alterações inadequadas de dados (por exemplo, o risco de alterações inadequadas de dados por meio de acesso direto à base de dados ou à capacidade de manipular diretamente as informações).
A174. A extensão e a natureza dos riscos decorrentes do uso de TI aplicáveis variam dependendo da natureza e das características dos aplicativos de TI identificados e outros aspectos do ambiente de TI.
Os riscos de TI aplicáveis podem ocorrer quando a entidade usa prestadores de serviço externos ou internos para aspectos identificados do seu ambiente de TI (por exemplo, terceirização da hospedagem do seu ambiente de TI ou compartilhamento de centro de serviços para o gerenciamento central dos processos de TI em um grupo).
Riscos decorrentes do uso de TI também podem ser identificados relacionados com segurança cibernética.
É mais provável que haja mais riscos decorrentes do uso de TI quando o volume ou a complexidade dos controles de aplicativos automatizados for maior e a administração depositar mais confiança nesses controles para o efetivo processamento de transações ou a efetiva manutenção da integridade das informações subjacentes.
Avaliação do planejamento e determinação da implementação de controles identificados no componente de atividades de controle (ver item 26(d)) - item A175 - A181
A175. A avaliação do planejamento de controle identificado envolve a consideração do auditor de se o controle, individualmente ou em combinação com outros controles, é capaz de efetivamente evitar, ou detectar e corrigir, as distorções relevantes (isto é, o objetivo do controle).
A176. O auditor determina a implementação de controle identificado estabelecendo que o controle existe e que é usado pela entidade.
Há pouca utilidade em o auditor avaliar a implementação de controle que não foi planejado de maneira efetiva.
Portanto, o auditor avalia primeiro o planejamento do controle. O controle planejado indevidamente pode representar uma deficiência de controle.
A177. Os procedimentos de avaliação de risco para obter evidência de auditoria sobre o planejamento e a implementação de controles identificados no componente de atividades de controle podem incluir:
Contudo, a indagação somente não é suficiente para esses fins.
A178. O auditor pode esperar, com base na experiência da auditoria anterior ou em procedimentos de avaliação de risco do período corrente, que a administração não tenha planejado ou implementado de maneira efetiva controles para tratar risco significativo.
Nesses casos, os procedimentos realizados para tratar o requisito no item 26(d) podem envolver determinar se esses controles não foram planejados ou implementados de maneira efetiva.
Se os resultados dos procedimentos indicam que os controles foram planejados ou implementados recentemente, o auditor deve realizar os procedimentos do item 26(b) a (d) para os controles planejados ou implementados recentemente.
A179. O auditor pode concluir que é apropriado testar um controle, que foi planejado e implementado de maneira efetiva, para considerar sua efetividade operacional ao planejar procedimentos substantivos.
Entretanto, quando o controle não foi planejado ou implementado de maneira efetiva, não há nenhum benefício em testá-lo.
Quando o auditor planeja testar o controle, as informações obtidas sobre a extensão em que o controle trata os riscos de distorção relevante são subsídios para a sua avaliação do risco de controle no nível da afirmação.
A180. A avaliação do planejamento e a determinação da implementação de controles identificados no componente de atividades de controle não são suficientes para testar sua efetividade operacional. Entretanto, para os controles automatizados, o auditor pode planejar testar sua efetividade operacional por meio da identificação e do teste dos controles gerais de TI que possibilitam a operação consistente do controle automatizado em vez de realizar testes da efetividade operacional diretamente nos controles automatizados.
A obtenção de evidência de auditoria sobre a implementação de controle manual em determinado momento não fornece evidência de auditoria da efetividade operacional do controle em outros momentos durante o período sob auditoria.
Os testes da efetividade operacional dos controles, incluindo testes de controles indiretos, estão descritos mais detalhadamente na NBC-TA-330, itens de 8 a 11.
A181. Quando o auditor não planeja testar a efetividade operacional dos controles identificados, o seu entendimento ainda pode auxiliar no planejamento da natureza, época e extensão de procedimentos de auditoria substantivos que respondam aos riscos de distorção relevante relacionados.
Exemplo:
Os resultados desses procedimentos de avaliação de risco podem fornecer uma base para a consideração do auditor sobre possíveis desvios em uma população ao planejar amostras de auditoria.
Deficiências de controle no sistema de controles internos da entidade (ver item 27) - item A182 - A183
A182. Ao realizar as avaliações de cada um dos componentes do sistema de controles internos da entidade (ver itens 21(b), 22(b), 24(c), 25(c) e 26(d)), o auditor pode determinar que certas políticas da entidade em componente não são adequadas para a natureza e as circunstâncias da entidade.
Essa determinação pode ser um indicador que auxilia o auditor a identificar deficiências de controle. Se o auditor identificou uma ou mais deficiências de controle, ele pode considerar o efeito dessas deficiências de controle no planejamento de procedimentos adicionais de auditoria, de acordo com a NBC-TA-330.
A183. Se o auditor identificou uma ou mais deficiências de controle, a NBC-TA-265 - Comunicação de Deficiências de Controle Interno, item 8, requer que o auditor determine se elas constituem, individualmente ou em combinação, deficiências significativas.
O auditor usa julgamento profissional para determinar se uma deficiência representa deficiência significativa de controle (NBC-TA-265, itens A6 e A7).
Exemplos:
As circunstâncias que podem indicar a existência de deficiência significativa de controle incluem assuntos tais como: