início > contabilidade Ano XX - 23 de agosto de 2019



QR - Mobile Link
NBC-TA-402 - CONSIDERAÇÕES DE AUDITORIA PARA A ENTIDADE QUE UTILIZA ORGANIZAÇÃO PRESTADORA DE SERVIÇOS

NBC - NORMAS BRASILEIRAS DE CONTABILIDADE
NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE

RESOLUÇÃO CFC 1.215/2009

NBC-TA-402 - CONSIDERAÇÕES DE AUDITORIA PARA A ENTIDADE QUE UTILIZA ORGANIZAÇÃO PRESTADORA DE SERVIÇOS

  • INTRODUÇÃO
    • Alcance - item 1 - 5
    • Data de vigência - item 6
  • OBJETIVO - item 7
  • DEFINIÇÕES - item 8
  • REQUISITOS
    • Obtenção de entendimento dos serviços prestados por uma organização prestadora de serviços, incluindo controle interno - item 9 - 14
    • Respostas aos riscos avaliados de distorção relevante - item 15 - 17
    • Relatório Tipo 1 e Relatório Tipo 2 que excluem os serviços de uma organização subcontratada para prestação de serviços - item 18
    • Fraude, não conformidade com leis e regulamentos e distorções não corrigidas em relação às atividades na organização prestadora de serviços - item 19
    • Emissão de relatório pelo auditor da usuária dos serviços - item 20 - 22
  • APLICAÇÃO E OUTROS MATERIAIS EXPLICATIVOS
    • Obtenção de entendimento dos serviços prestados por uma organização prestadora de serviços, incluindo controle interno - item A1 - A23
    • Respostas aos riscos avaliados de distorção relevante - item A24 - A39
    • Relatório Tipo 1 e Relatório Tipo 2 que excluem os serviços de uma organização subcontratada para prestação de serviços - item A40
    • Fraude, não conformidade com leis e regulamentos e distorções não corrigidas em relação às atividades na organização prestadora de serviços - item A41
    • Emissão de relatório pelo auditor da usuária dos serviços - item A42 - A44

Esta Norma deve ser lida juntamente com a NBC-TA-200 - Objetivos Gerais do Auditor Independente e a Condução da Auditoria em Conformidade com Normas de Auditoria.


INTRODUÇÃO

  • Alcance - item 1 - 5
  • Data de vigência - item 6

Alcance

1. Esta Norma trata da responsabilidade do auditor da usuária dos serviços em obter evidência de auditoria apropriada e suficiente quando a entidade utiliza os serviços de uma ou mais organizações prestadoras de serviços. Especificamente, esta Norma expande a explicação de como o auditor da usuária dos serviços aplica as NBC TAs 315 e a 330 na obtenção do entendimento da entidade que utilizar uma organização prestadora de serviços, incluindo o entendimento do controle interno que seja relevante para a auditoria, suficiente para identificar e avaliar os riscos de distorção relevante, e no planejamento e na execução de procedimentos adicionais de auditoria que respondam a esses riscos.

2. Muitas entidades terceirizam aspectos de seu negócio a organizações que prestam serviços desde a execução de tarefa específica, sob a orientação da entidade, até a substituição de unidades inteiras de seu negócio ou funções, como a função de conformidade fiscal (compliance). Muitos dos serviços prestados por essas organizações fazem parte das operações de negócios da entidade; entretanto, nem todos esses serviços são relevantes para a auditoria.

3. Os serviços prestados por uma organização prestadora de serviços são relevantes para a auditoria das demonstrações contábeis da entidade quando esses serviços, e os controles sobre eles, fazem parte do sistema de informações da entidade usuária de tais serviços, incluindo os respectivos processos de negócio, relevante para a elaboração das demonstrações e dos relatórios contábeis. Embora a maioria dos controles da organização prestadora de serviços esteja provavelmente relacionada à elaboração de relatórios contábeis, pode haver outros controles que também podem ser relevantes para a auditoria, como controles sobre a salvaguarda de ativos. Os serviços prestados por uma organização prestadora de serviços são parte do sistema de informações da entidade usuária desses serviços (doravante entidade usuária ou entidade), e inclui os respectivos processos de negócio, relevante para a elaboração de relatórios contábeis se esses serviços afetam algum dos elementos a seguir:

(a) as classes de transações nas operações da entidade usuária que são significativas para as suas demonstrações contábeis;

(b) os procedimentos, envolvendo os sistemas de tecnologia da informação (TI) e sistemas manuais, pelos quais as transações da entidade usuária são iniciadas, registradas, processadas, corrigidas conforme necessário e divulgadas nas demonstrações contábeis;

(c) os respectivos registros contábeis, sejam na forma eletrônica ou manual, que suportam as informações e contas específicas nas demonstrações contábeis da entidade usuária, que são usadas para iniciar, registrar, processar e comunicar as transações dessa entidade, incluindo a correção de informações incorretas e como as informações são transferidas para o razão geral;

(d) como o sistema de informações da entidade usuária captura os eventos e as condições, além de transações, que são significativas para as demonstrações contábeis;

(e) o processo de relatórios financeiros usado para elaborar as demonstrações contábeis da entidade usuária, incluindo estimativas contábeis e divulgações significativas; e

(f) controles sobre os lançamentos no livro diário, incluindo lançamentos fora do padrão usados para registrar transações ou ajustes não usuais ou não recorrentes.

4. A natureza e a extensão do trabalho a ser executado pelo auditor da usuária em relação aos serviços prestados por uma organização prestadora de serviços dependem da natureza e importância desses serviços para a entidade usuária e da relevância desses serviços para a auditoria.

5. Esta Norma não se aplica a serviços prestados por instituições financeiras que são limitados ao processamento de transações, para uma conta da entidade mantida na instituição financeira, que são especificamente autorizadas pela entidade, como o processamento de transações de conta corrente por um banco ou o processamento de operações com títulos e valores mobiliários por um corretor. Além disso, esta Norma não se aplica à auditoria de transações decorrentes de direitos de propriedade financeira em outras entidades, como sociedades, corporações e sociedades de controle compartilhado, quando os direitos de propriedade são contabilizados e reportados aos titulares dos direitos.

Data de vigência

6. Esta Norma é aplicável a auditorias de demonstrações contábeis para períodos iniciados em ou após 1º. de janeiro de 2010.


OBJETIVO
- item 7

7. Os objetivos do auditor da usuária, quando a entidade usuária utiliza os serviços de uma organização prestadora de serviços, são:

(a) obter entendimento da natureza e importância dos serviços prestados pela organização prestadora de serviços e seus efeitos sobre o controle interno da entidade usuária para a auditoria, suficiente para identificar e avaliar os riscos de distorção relevante; e

(b) planejar e executar procedimentos adicionais de auditoria que respondam a esses riscos.


DEFINIÇÕES
- item 8

8. Para fins das normas de auditoria, os termos a seguir têm os seguintes significados:

Controles complementares da entidade usuária são controles que a organização prestadora de serviços assume que serão implementados pelas entidades usuárias, por ocasião do projeto de seu serviço, e que, caso seja necessário para alcançar os objetivos de controle, são identificados na descrição do sistema da entidade usuária.

Relatório sobre a descrição e desenho de controles em uma organização prestadora de serviços (denominado nesta Norma como Relatório Tipo 1) é um relatório que contém:

(a) uma descrição, elaborada pela administração da organização prestadora de serviços, do seu sistema, dos objetivos de controle e dos respectivos controles que foram planejados ou desenhados e implementados em uma data específica; e

(b) a opinião do auditor dessa organização prestadora de serviços com o objetivo de transmitir segurança razoável sobre: a descrição do sistema da organização, os objetivos de controle, assim como os respectivos controles e a adequação do desenho ou planejamento dos controles para alcançar os objetivos de controle especificados.

Relatório sobre a descrição, desenho e efetividade operacional de controles em uma organização prestadora de serviços (denominado nesta Norma como Relatório Tipo 2) é um relatório que contém:

(a) uma descrição, elaborada pela administração da organização prestadora de serviços, do sistema da organização, dos objetivos do controle, assim como os respectivos controles, de seu desenho e implementação em uma data específica ou durante um período especificado e, em alguns casos, de sua efetividade operacional durante um período especificado; e

(b) um relatório adicional emitido pelo auditor da organização prestadora de serviços com o objetivo de transmitir segurança razoável, que inclui:

I - opinião do auditor da organização prestadora de serviços sobre a descrição do sistema dessa organização, os objetivos de controle, assim como dos respectivos controles, a adequação do desenho dos controles para alcançar os objetivos do controle especificados e sobre sua efetividade operacional; e

II - descrição dos testes de controles aplicados pelo auditor da organização prestadora de serviços e os respectivos resultados.

Auditor da organização prestadora de serviços é um auditor que, por solicitação da organização prestadora de serviços, fornece um relatório de asseguração sobre os controles dessa organização.

Organização prestadora de serviços é uma organização terceirizada (ou segmento de uma organização terceirizada) que presta serviços a entidades usuárias (dos serviços), os quais fazem parte dos sistemas de informações relevantes para o processo de elaboração de demonstrações contábeis dessas entidades usuárias.

Sistema da organização da prestadora de serviços compreende as políticas e os procedimentos desenhados ou planejados, implementados e mantidos pela organização prestadora de serviços para prestar os serviços cobertos pelo relatório do auditor da organização prestadora de serviços.

Organização subcontratada para prestação de serviços é a organização prestadora de serviços subcontratada por outra organização prestadora de serviços para executar alguns dos serviços às entidades usuárias, os quais fazem parte dos sistemas de informações relevantes das entidades que utilizam esses serviços para o processo de elaboração de demonstrações contábeis.

Auditor da usuária é o auditor que examina e emite relatório sobre as demonstrações contábeis da entidade usuária dos serviços terceirizados.

Entidade usuária é a entidade que utiliza uma organização prestadora de serviços e cujas demonstrações contábeis estão sendo auditadas. Nesta Norma, os termos “entidade” ou “entidade usuária” são apresentados para se referir à entidade usuária dos serviços prestados por uma organização.


REQUISITOS

  • Obtenção de entendimento dos serviços prestados por uma organização prestadora de serviços, incluindo controle interno - item 9 - 14
  • Respostas aos riscos avaliados de distorção relevante - item 15 - 17
  • Relatório Tipo 1 e Relatório Tipo 2 que excluem os serviços de uma organização subcontratada para prestação de serviços - item 18
  • Fraude, não conformidade com leis e regulamentos e distorções não corrigidas em relação às atividades na organização prestadora de serviços - item 19
  • Emissão de relatório pelo auditor da usuária dos serviços - item 20 - 22

Obtenção de entendimento dos serviços prestados por uma organização prestadora de serviços, incluindo controle interno

9. Quando obtiver o entendimento da entidade de acordo com a NBC-TA-315, item 11, o auditor da usuária deve obter entendimento de como a entidade usuária utiliza os serviços prestados pela organização prestadora de serviços nas suas operações, incluindo (ver itens A1 e A2):

(a) a natureza dos serviços prestados pela organização prestadora de serviços e a importância desses serviços para a entidade usuária, incluindo o respectivo efeito sobre o seu controle interno (ver itens A3 a A5);

(b) a natureza e a materialidade das transações processadas, contas ou os processos de elaboração de relatórios contábeis afetados pela organização prestadora de serviços (ver item A6);

(c) o grau de interação entre as atividades da organização prestadora de serviços e aquelas da entidade usuária (ver item A7); e

(d) a natureza da relação entre a entidade usuária e a organização prestadora de serviços, incluindo os termos contratuais relevantes para as atividades assumidas pela organização prestadora de serviços (ver itens A8 a A11).

10. Quando obtiver entendimento do controle interno, relevante para a auditoria, de acordo com a NBC-TA-315, item 12, o auditor da usuária deve avaliar o desenho e implementação dos controles relevantes na entidade usuária referentes aos serviços prestados pela organização prestadora de serviços, incluindo os que são aplicados às transações processadas por essa organização (ver itens A12 a A14).

11. O auditor da usuária deve determinar se foi obtido entendimento suficiente da natureza e importância dos serviços prestados pela organização prestadora de serviços e seu efeito sobre o controle interno da entidade usuária para a auditoria, para fornecer uma base para a identificação e a avaliação dos riscos de distorção relevante.

12. Se o auditor da usuária não conseguir obter entendimento suficiente da entidade usuária, ele deve obter esse entendimento por meio de um ou mais dos seguintes procedimentos (ver itens A15 a A20):

(a) obter o Relatório Tipo 1 ou Relatório Tipo 2, caso esteja disponível;

(b) entrar em contato com a organização prestadora de serviços, por meio da entidade usuária, para obter informações específicas;

(c) visitar a organização prestadora de serviços e executar procedimentos que fornecerão as informações necessárias sobre os controles relevantes daquela organização; ou

(d) utilizar outro auditor para executar procedimentos que fornecerão as informações necessárias sobre os controles relevantes da organização prestadora de serviços.

Utilização do Relatório Tipo 1 ou Relatório Tipo 2 para permitir o entendimento da organização prestadora de serviços pelo auditor da usuária

13. Ao determinar a suficiência e a adequação da evidência de auditoria fornecida pelo Relatório Tipo 1 ou Relatório Tipo 2, o auditor da usuária deve estar satisfeito quanto à (ver item A21):

(a) competência profissional do auditor da organização prestadora de serviço e sua independência junto àquela organização; e

(b) adequação das normas segundo as quais foi emitido o Relatório Tipo 1 ou Tipo 2.

14. Se o auditor da usuária planeja utilizar o Relatório Tipo 1 ou Relatório Tipo 2 como evidência de auditoria para permitir o seu entendimento sobre o desenho e implementação dos controles na organização prestadora de serviços, o auditor deve (ver itens A22 e A23):

(a) avaliar a descrição e o desenho dos controles da organização prestadora de serviços para uma data ou para um período apropriado aos objetivos do auditor da usuária;

(b) avaliar a suficiência e adequação da evidência fornecida pelo relatório para o entendimento do controle interno da entidade usuária para a auditoria; e

(c) determinar se os controles complementares da entidade usuária, identificados pela organização prestadora de serviços, são relevantes para a entidade usuária e, em caso positivo, obter entendimento se a entidade usuária elaborou e implementou esses controles.

Respostas aos riscos avaliados de distorção relevante

15. Ao responder aos riscos avaliados de acordo com a NBC-TA-330, o auditor da usuária deve (ver itens A24 a A28):

(a) determinar se há evidência de auditoria apropriada e suficiente disponível sobre as afirmações relevantes das demonstrações contábeis nos registros mantidos na entidade usuária; e

(b) em caso negativo, executar procedimentos adicionais de auditoria para obter evidência de auditoria apropriada e suficiente ou utilizar outro auditor para realizar esses procedimentos na organização prestadora de serviços em seu nome.

Testes de controles

16. Quando a avaliação de riscos do auditor da usuária inclui uma expectativa de que os controles da organização prestadora de serviços estão operando de maneira efetiva, ele deve obter evidência de auditoria sobre a efetividade operacional desses controles por meio de um ou mais dos seguintes procedimentos (ver itens A29 e A30):

(a) obter o Relatório Tipo 2, caso esteja disponível;

(b) executar testes de controles na organização prestadora de serviços; ou

(c) utilizar outro auditor para executar testes de controles na organização prestadora de serviços em seu nome.

Utilização do Relatório Tipo 2 como evidência de auditoria de que os controles da organização prestadora de serviços estão operando de maneira efetiva

17. Se, de acordo com o item 16(a), o auditor da usuária planeja utilizar o Relatório Tipo 2 como evidência de auditoria de que os controles da organização prestadora de serviços estão operando de maneira efetiva, o auditor da usuária deve determinar se o relatório do auditor da organização prestadora de serviços fornece evidência de auditoria apropriada e suficiente sobre a eficácia dos controles para suportar sua avaliação de riscos mediante (ver itens A31 a A39):

(a) avaliar se a descrição, o desenho e a efetividade operacional dos controles da organização prestadora de serviços para uma data ou para um período que seja apropriado aos objetivos do auditor da usuária;

(b) determinar se os controles complementares da entidade usuária identificados pela organização prestadora de serviços são relevantes para a entidade usuária e, em caso positivo, obtenção de entendimento de se a entidade desenhou e implementou esses controles e, em caso positivo, teste sua efetividade operacional;

(c) avaliar a adequação do período coberto pelos testes de controles e o do tempo decorrido desde a realização dos testes de controles; e

(d) avaliar se os testes de controles executados pelo auditor da organização prestadora de serviços e os respectivos resultados, conforme descrito no seu relatório, são relevantes para as afirmações nas demonstrações contábeis da entidade usuária e fornecem evidência de auditoria apropriada e suficiente para suportar a avaliação de riscos do auditor da usuária.

Relatório Tipo 1 e Relatório Tipo 2 que excluem os serviços de uma organização subcontratada para prestação de serviços

18. Se o auditor da usuária planeja utilizar o Relatório Tipo 1 ou Relatório Tipo 2 que exclui os serviços de uma organização subcontratada para prestação de serviços e esses serviços são relevantes para a auditoria das demonstrações contábeis da entidade usuária, o auditor deve aplicar os requisitos desta Norma para os serviços prestados pela organização subcontratada (ver item A40).

Fraude, não conformidade com leis e regulamentos e distorções não corrigidas em relação às atividades na organização prestadora de serviços

19. O auditor da usuária deve indagar à administração da entidade usuária se a organização prestadora de serviços comunicou à entidade usuária, ou se essa entidade tomou conhecimento de outra forma, sobre qualquer fraude, não conformidade com leis e regulamentos ou distorções não corrigidas que afetam suas demonstrações contábeis. O auditor deve avaliar como esses assuntos afetam a natureza, a época e a extensão dos seus procedimentos adicionais de auditoria, incluindo o efeito sobre as suas conclusões e o seu relatório (ver item A41).

Emissão de relatório pelo auditor da usuária dos serviços

20. O auditor da usuária deve modificar sua opinião no relatório de auditoria de acordo com a NBC-TA-705, item 6, se o auditor não conseguir obter evidência de auditoria apropriada e suficiente para a auditoria das demonstrações contábeis da entidade usuária em relação aos serviços prestados pela organização prestadora de serviços (ver item A42).

21. O auditor da usuária não deve fazer referência ao trabalho do auditor da organização prestadora de serviços no seu relatório que contenha uma opinião não modificada, a menos que requerido por lei ou regulamento. Se essa referência for requerida por lei ou regulamento, o relatório do auditor da usuária deve indicar que a referência não reduz a sua responsabilidade pela opinião de auditoria (ver item A43).

22. Se a referência ao trabalho do auditor da organização prestadora de serviços é relevante para o entendimento da modificação na opinião do auditor da usuária, o seu relatório deve indicar que essa referência não reduz sua responsabilidade por essa opinião (ver item A44).


APLICAÇÃO E OUTROS MATERIAIS EXPLICATIVOS

  • Obtenção de entendimento dos serviços prestados por uma organização prestadora de serviços, incluindo controle interno - item A1 - A23
  • Respostas aos riscos avaliados de distorção relevante - item A24 - A39
  • Relatório Tipo 1 e Relatório Tipo 2 que excluem os serviços de uma organização subcontratada para prestação de serviços - item A40
  • Fraude, não conformidade com leis e regulamentos e distorções não corrigidas em relação às atividades na organização prestadora de serviços - item A41
  • Emissão de relatório pelo auditor da usuária dos serviços - item A42 - A44

Obtenção de entendimento dos serviços prestados por uma organização prestadora de serviços, incluindo controle interno

Fontes de informação (ver item 9)

A1. Informações sobre a natureza dos serviços prestados por uma organização prestadora de serviços podem ser obtidas de uma ampla variedade de fontes, como:

  • manuais do usuário;
  • visões gerais dos sistemas;
  • manuais técnicos;
  • contrato ou acordo entre a entidade usuária e a organização prestadora de serviços;
  • relatórios das organizações prestadoras de serviços, auditores internos ou autoridades regulatórias sobre os controles dessas organizações;
  • relatórios do auditor da organização prestadora de serviços, incluindo cartas da administração, se disponíveis.

A2. O conhecimento obtido por meio da experiência do auditor da usuária com a organização prestadora de serviços, por exemplo, experiência com outros trabalhos de auditoria, também pode ser útil para obter entendimento da natureza dos serviços prestados por essa organização. Isso pode ser especialmente útil se os serviços e controles sobre esses serviços prestados pela organização são altamente padronizados.

Natureza dos serviços prestados pela organização prestadora de serviços (ver item 9(a))

A3. A entidade usuária pode utilizar uma organização prestadora de serviços, como uma organização que processa transações e mantém a respectiva responsabilidade pelo processamento, ou registra transações e processa os respectivos dados. Organizações prestadoras de serviços que prestam esses serviços incluem, por exemplo, departamentos fiduciários de bancos que investem e administram ativos de planos de benefícios a empregados; instituições financeiras hipotecárias que prestam serviços relacionados com hipotecas para terceiros; e prestadores de serviços que fornecem pacotes de aplicativos de software e ambiente tecnológico que permite aos clientes processar transações financeiras e operacionais.

A4. Exemplos de serviços prestados por organizações prestadoras de serviços que são relevantes para a auditoria incluem:

  • manutenção dos registros contábeis da entidade usuária.
  • gestão de ativos.
  • início, registro ou processamento de transações como agente da entidade usuária.

Considerações específicas para entidades de pequeno porte

A5. As entidades de pequeno porte podem usar serviços externos de escrituração contábil que vão desde o processamento de certas transações (por exemplo, pagamento de contribuições trabalhistas) e a manutenção dos respectivos registros contábeis até a elaboração de suas demonstrações contábeis. O uso dessas organizações prestadoras de serviços para a elaboração das demonstrações contábeis não isenta a administração da entidade de pequeno porte e, quando apropriado, dos responsáveis pela governança de sua responsabilidade pelas demonstrações contábeis (NBC-TA-200, itens 4, A2 e A3).

Natureza e materialidade das transações processadas pela organização prestadora de serviços (ver item 9(b))

A6. A organização prestadora de serviços pode estabelecer políticas e procedimentos que afetam o controle interno da entidade usuária. Essas políticas e procedimentos são, pelo menos em parte, separadas física e operacionalmente da entidade usuária. A importância dos controles da organização prestadora de serviços para os controles da entidade usuária depende da natureza dos serviços prestados, incluindo a natureza e a materialidade das transações que ela processa para a entidade usuária. Em certas situações, as transações processadas e as contas afetadas pela organização prestadora de serviços podem não parecer relevantes para as demonstrações contábeis da entidade usuária, mas a natureza das transações processadas pode ser significativa e o auditor da usuária pode determinar que seja necessário o entendimento desses controles nessas circunstâncias.

Grau de interação entre as atividades da organização prestadora de serviços e as da entidade usuária (ver item 9(c))

A7. A importância dos controles da organização prestadora de serviços para os controles da entidade usuária também depende do grau de interação entre as atividades da organização prestadora de serviços e as da entidade usuária. O grau de interação refere-se à extensão em que a entidade usuária consegue e opta por implementar controles efetivos sobre o processamento executado pela organização prestadora de serviços. Por exemplo, existe um alto grau de interação entre as atividades da entidade usuária e as da organização prestadora de serviços quando a entidade usuária autoriza transações e a organização prestadora de serviços processa e contabiliza essas transações. Nessas circunstâncias, pode ser praticável para a entidade usuária implementar controles efetivos sobre essas transações. Por outro lado, quando a organização prestadora de serviços inicia ou inicialmente registra, processa e contabiliza as transações da entidade usuária, há menor grau de interação entre as duas organizações. Nessas circunstâncias, a entidade usuária pode não conseguir ou não optar por implementar controles efetivos sobre essas transações e pode confiar em controles da organização prestadora de serviços.

Natureza da relação entre a entidade usuária e a organização prestadora de serviços (ver item 9(d))

A8. O contrato ou acordo entre a entidade usuária e a organização prestadora de serviços pode prever assuntos como:

  • as informações a serem fornecidas para a entidade usuária e as responsabilidades por iniciar transações relacionadas com as atividades assumidas pela organização prestadora de serviços;
  • a aplicação de requisitos dos órgãos reguladores referentes à forma dos registros a serem mantidos ou ao seu acesso;
  • a indenização, se houver, a ser fornecida à entidade usuária no caso de não cumprimento dos serviços;
  • se a organização prestadora de serviços fornecerá um relatório sobre os seus controles e, em caso positivo, se esse relatório seria tipo 1 ou tipo 2;
  • se o auditor da usuária tem direito de acesso aos registros contábeis da entidade usuária mantidos pela organização prestadora de serviços e às outras informações necessárias para a condução da auditoria; e
  • se o acordo permite a comunicação direta entre o auditor da usuária e o auditor da organização prestadora de serviços.

A9. Há uma relação direta entre a organização prestadora de serviços e a entidade usuária, assim como entre a organização prestadora de serviços e o seu auditor. Essas relações não criam necessariamente uma relação direta entre o auditor da usuária e o auditor da prestadora de serviços. Quando não há relação direta entre esses auditores, suas comunicações são geralmente conduzidas por meio da entidade usuária e da organização prestadora de serviços. Uma relação direta também pode ser criada entre o auditor da usuária e o auditor da organização prestadora de serviços levando em consideração os aspectos de ética e de confidencialidade. O auditor da usuária, por exemplo, pode utilizar o auditor da organização prestadora de serviços para executar procedimentos em seu nome, como:

(a) testes de controles na organização prestadora de serviços; ou

(b) procedimentos substantivos sobre as transações e os saldos das demonstrações contábeis da entidade usuária mantidas pela organização prestadora de serviços.

Considerações específicas para entidades do setor público

A10. Auditores do setor público geralmente possuem amplos direitos de acesso estabelecidos pela legislação. Entretanto, pode haver situações em que esses direitos de acesso não estão disponíveis, por exemplo, quando a organização prestadora de serviços está localizada em uma jurisdição diferente. Nesses casos, o auditor do setor público pode precisar obter entendimento da legislação aplicável para determinar se é possível obter o devido direito de acesso. O auditor do setor público também pode obter ou pedir que a entidade usuária incorpore direitos de acesso em quaisquer acertos contratuais entre a entidade usuária e a organização prestadora de serviços.

A11. Auditores do setor público também podem usar outro auditor para executar testes de controles ou procedimentos substantivos em relação ao cumprimento de leis, regulamentos ou outra autoridade.

Entendimento dos controles relacionados com serviços prestados pela organização prestadora de serviços (ver item 10)

A12. A entidade usuária pode estabelecer controles sobre os serviços prestados pela organização prestadora de serviços que podem ser testados pelo auditor da usuária e podem permiti-lo concluir que os controles da entidade usuária estão operando de maneira efetiva para algumas ou todas as respectivas afirmações, independentemente dos controles existentes na organização prestadora de serviços. Se, por exemplo, a entidade usuária usa uma organização prestadora de serviços para processar suas transações de folha de pagamento, a entidade usuária pode estabelecer controles sobre o envio e recebimento de informações sobre folha de pagamento que podem evitar ou detectar distorções relevantes. Esses controles podem incluir:

  • comparar os dados enviados à organização prestadora de serviços com os relatórios de informações recebidos dessa organização após o processamento dos dados;
  • recalcular uma amostra de valores da folha de pagamento para verificar a exatidão desses valores e revisar o total da folha de pagamento em termos de razoabilidade.

A13. Nessa situação, o auditor da usuária pode realizar testes dos controles da entidade usuária sobre o processamento de folha de pagamento que forneceria uma base para o auditor da usuária concluir que os controles da entidade usuária estão operando de maneira efetiva para as afirmações relacionadas com folha de pagamento.

A14. Conforme observado na NBC-TA-315, item 30, com relação a alguns riscos, o auditor da usuária pode julgar que não é possível ou praticável obter evidência de auditoria apropriada e suficiente somente mediante procedimentos substantivos. Esses riscos podem estar relacionados com o registro impreciso ou incompleto de classes de transações rotineiras e saldos contábeis significativos, cujas características frequentemente permitem o processamento altamente automatizado com pouca ou nenhuma intervenção manual. Essas características de processamento automatizado podem estar presentes especialmente quando a entidade usuária utiliza organizações prestadoras de serviços. Nesses casos, os controles da entidade usuária sobre esses riscos são relevantes para a auditoria e o auditor da usuária deve obter entendimento desses controles, e avaliá-los, de acordo com os itens 9 e 10 desta Norma.

Procedimentos adicionais quando não for possível obter entendimento suficiente da entidade usuária (ver item 12)

A15. A decisão do auditor da usuária sobre qual procedimento aplicar, individualmente ou combinado, do item 12, para obter as informações necessárias para fornecer uma base para a identificação e a avaliação dos riscos de distorção relevante em relação ao uso da organização prestadora de serviços pela entidade usuária, pode ser influenciada por assuntos como:

  • porte da entidade usuária e da organização prestadora de serviços;
  • complexidade das transações da entidade usuária e dos serviços prestados pela organização prestadora de serviços;
  • localização da organização prestadora de serviços (por exemplo, o auditor da usuária pode usar outro auditor para executar os procedimentos em seu nome na organização prestadora de serviços se a localização dessa organização for distante);
  • se é esperado que o(s) procedimento(s) forneça(m) ao auditor da usuária, de maneira eficaz, evidência de auditoria apropriada e suficiente; e
  • a natureza da relação entre a entidade usuária e a organização prestadora de serviços.

A16. A organização prestadora de serviços pode contratar um auditor para emitir relatório sobre a descrição e desenho de seus controles (Relatório Tipo 1) ou sobre a descrição e desenho de seus controles e sua efetividade operacional (Relatório Tipo 2). Relatórios Tipo 1 ou Relatório Tipo 2 podem ser emitidos de acordo com as NBC TO específicas ou com normas estabelecidas por uma organização autorizada ou reconhecida (que podem identificá-los por nomes diferentes, como relatórios tipo A ou B).

A17. A disponibilidade do Relatório Tipo 1 ou Relatório Tipo 2 geralmente depende se o contrato entre a organização prestadora de serviços e a entidade usuária prevê esse relatório sobre a organização prestadora de serviços. A organização prestadora de serviços também pode, por razões práticas, disponibilizar o Relatório Tipo 1 ou Relatório Tipo 2 às entidades que utilizarem seus serviços. Em alguns casos, contudo, pode ser que esses relatórios não estejam disponíveis para as entidades usuárias.

A18. Em algumas circunstâncias, a entidade usuária pode terceirizar uma ou mais unidades de negócio ou funções, como por exemplo, todas as suas funções de planejamento e conformidade (compliance) fiscal, ou a função de finanças e contabilidade ou de controladoria para uma ou mais organizações prestadoras de serviços. Considerando a possibilidade de não haver um relatório sobre os controles da organização prestadora de serviços disponível nessas circunstâncias, visitar essa organização pode ser o procedimento mais eficaz para o auditor da usuária obter entendimento dos seus controles, uma vez que é provável que haja uma interação direta entre a administração da entidade usuária a da organização prestadora de serviços.

A19. Outro auditor pode ser utilizado para executar procedimentos que fornecerão as informações necessárias sobre os controles relevantes da organização prestadora de serviços. No caso de ter sido emitido o Relatório Tipo 1 ou Relatório Tipo 2, o auditor da usuária pode usar o auditor da organização prestadora de serviços para executar esses procedimentos uma vez que já existe uma relação entre esse auditor com a organização prestadora de serviços. O auditor que usa o trabalho de outro auditor pode achar a orientação da NBC-TA-600 útil, pois ela se refere ao entendimento sobre outro auditor (incluindo a independência e a competência profissional desse auditor), no envolvimento no trabalho desse outro auditor para planejar a natureza, extensão e época desse trabalho, e à avaliação da suficiência e adequação da evidência de auditoria obtida. (O item 2 da NBC-TA-600 afirma: “Esta Norma, adaptada às circunstâncias, pode ser útil ao auditor independente quando ele envolver outros auditores na auditoria de demonstrações contábeis que não são demonstrações contábeis de grupos. …” Ver também item 19 da NBC-TA-600).

A20. A entidade usuária pode usar uma organização prestadora de serviços que, por sua vez, subcontrata outra organização prestadora de serviços para prestar alguns dos serviços a uma entidade usuária que faz parte do sistema de informações relevante para a elaboração de relatórios financeiros da entidade usuária. A organização prestadora de serviços subcontratada pode ser uma organização separada ou ter alguma relação com a organização prestadora de serviços. O auditor da usuária pode ter que considerar os controles da organização subcontratada para prestação de serviços. Em situações em que são utilizadas uma ou mais organizações subcontratadas, a interação entre as atividades da entidade usuária e as da organização prestadora de serviços é ampliada para incluir a interação entre a entidade usuária, a organização prestadora de serviços e as organizações subcontratadas para prestação de serviços. O grau dessa interação, bem como a natureza e a materialidade das transações processadas pela organização prestadora de serviços e pelas organizações subcontratadas para prestação de serviços, são os fatores mais importantes a serem considerados pelo auditor na determinação da importância dos controles da organização prestadora de serviços e das organizações subcontratadas, para os controles da entidade usuária.

Utilização do Relatório Tipo 1 ou Relatório Tipo 2 para permitir o entendimento da organização prestadora de serviços pelo auditor da usuária dos serviços (ver itens 13 e 14)

A21. O auditor da usuária pode fazer indagações sobre o auditor da organização prestadora de serviços para o órgão profissional a que pertence o auditor dessa organização ou a outros auditores independentes e indagar se o auditor da organização prestadora de serviços está sujeito à supervisão regulatória. O auditor dessa organização pode estar atuando em uma jurisdição que segue normas diferentes em relação aos relatórios sobre controles da organização prestadora de serviços e o auditor pode obter informações sobre as normas seguidas pelo auditor da organização prestadora de serviços junto ao órgão que determina essas normas.

A22. O Relatório Tipo 1 ou Relatório Tipo 2, juntamente com as informações sobre a entidade usuária, pode auxiliar o auditor da usuária a obter entendimento:

(a) dos aspectos dos controles da organização prestadora de serviços que podem afetar o processamento das transações da entidade usuária, incluindo o uso de organizações subcontratadas para prestação de serviços;

(b) do fluxo de transações significativas pela organização prestadora de serviços para determinar em quais etapas do processo das transações poderiam ocorrer distorções relevantes nas demonstrações contábeis da entidade usuária;

(c) dos objetivos dos controles da organização prestadora de serviços que são relevantes para as afirmações nas demonstrações contábeis da entidade usuária; e

(d) se os controles da organização prestadora de serviços foram adequadamente desenhados e implementados para evitar ou detectar erros de processamento que poderiam resultar em distorções relevantes nas demonstrações contábeis da entidade usuária.

O relatório do Tipo 1 ou Tipo 2 pode auxiliar o auditor da usuária a obter entendimento suficiente para identificar e avaliar os riscos de distorção relevante. Entretanto, o Relatório Tipo 1 não fornece nenhuma evidência da efetividade operacional dos controles relevantes.

A23. O Relatório Tipo 1 ou Relatório Tipo 2 datado ou correspondente a um período fora do período de apresentação de relatório da entidade usuária pode auxiliar o auditor da usuária a obter entendimento preliminar dos controles implementados na organização prestadora de serviços se o relatório for complementado com informações atuais adicionais de outras fontes. Se a descrição dos controles pela organização prestadora de serviços é de uma data ou corresponde a um período anterior ao início do período sob auditoria, o auditor da usuária pode realizar procedimentos para atualizar as informações no Relatório Tipo 1 ou Relatório Tipo 2, como:

  • discutir as mudanças na organização prestadora de serviços com o pessoal da entidade usuária que poderia saber sobre essas mudanças;
  • revisar a documentação e correspondência atuais emitidas pela organização prestadora de serviços; ou
  • discutir as mudanças com o pessoal da organização prestadora de serviços.

Respostas aos riscos avaliados de distorção relevante (ver item 15)

A24. O fato do uso de uma organização prestadora de serviços aumentar o risco de distorção relevante da entidade usuária depende da natureza dos serviços prestados e dos controles sobre esses serviços. Em alguns casos, o uso de uma organização prestadora de serviços pode diminuir o risco de distorção relevante da entidade usuária, especialmente se a própria entidade usuária não possui a especialização necessária para assumir atividades específicas, como início, processamento e registro de transações, ou não tem os recursos adequados (por exemplo, um sistema de TI).

A25. Quando a organização prestadora de serviços mantém elementos relevantes dos registros contábeis da entidade usuária, pode ser necessário o acesso direto a esses registros pelo auditor da usuária para obter evidência de auditoria apropriada e suficiente para as operações de controle sobre esses registros, ou para comprovar as transações e os saldos registrados nesses registros, ou ambos. Esse acesso pode envolver a inspeção física dos registros nas instalações da organização prestadora de serviços ou o exame de registros da entidade usuária ou de outra localidade mantidos eletronicamente, ou ambos. Quando se consegue o acesso direto eletronicamente, o auditor pode obter evidência sobre a adequação dos controles executados pela organização prestadora de serviços sobre a integridade dos dados da entidade usuária pelos quais a organização prestadora de serviços é responsável.

A26. Ao determinar a natureza e a extensão da evidência de auditoria a ser obtida em relação aos saldos que representam ativos mantidos ou transações assumidas por uma organização prestadora de serviços em nome da entidade usuária, os seguintes procedimentos podem ser considerados pelo auditor da usuária:

(a) Inspeção dos registros e documentos mantidos pela entidade usuária: a confiabilidade dessa fonte de evidência é determinada pela natureza e extensão dos registros contábeis e pela documentação suporte retida pela entidade usuária. Em alguns casos, a entidade usuária pode não manter registros detalhados independentes ou documentação de transações específicas assumidas em seu nome.

(b) Inspeção dos registros e documentos mantidos pela organização prestadora de serviços: o acesso do auditor da usuária aos registros da organização prestadora de serviços pode ser estabelecido como parte dos arranjos contratuais entre a entidade usuária e a organização prestadora de serviços. O auditor também pode utilizar outro auditor em seu nome para conseguir acesso aos registros da entidade usuária mantidos pela organização prestadora de serviços.

(c) Obtenção de confirmações de saldos e transações pela organização prestadora de serviços: quando a entidade usuária mantém registros independentes de saldos e transações, a confirmação com a organização prestadora de serviços corroborando os registros da entidade usuária pode constituir evidência de auditoria confiável em relação à existência das transações e dos ativos envolvidos. Por exemplo, quando são utilizadas diversas organizações prestadoras de serviços, como um gestor de investimentos e um custodiante, e essas organizações mantêm registros independentes, o auditor da usuária pode confirmar saldos com essas organizações para comparar essas informações com as dos registros independentes da entidade usuária.

Se a entidade usuária não mantém registros independentes, as informações obtidas em confirmações com a organização prestadora de serviços são apenas uma afirmação do que está refletido nos registros mantidos pela própria organização prestadora de serviços. Portanto, essas confirmações isoladamente não constituem evidência de auditoria confiável. Nessas circunstâncias, o auditor da usuária pode considerar como alternativa identificar uma fonte de evidência independente.

(d) Execução de procedimentos analíticos sobre os registros mantidos pela entidade usuária ou sobre os relatórios recebidos da organização prestadora de serviços: a eficácia dos procedimentos analíticos provavelmente varia por afirmação e será afetada pela extensão e pelos detalhes das informações disponíveis.

A27. Outro auditor pode executar procedimentos de natureza substantiva em benefício dos auditores da entidade usuária. Esse trabalho pode envolver a execução por outro auditor de procedimentos acordados pela entidade usuária e seu auditor e pela organização prestadora de serviços e seu auditor. Os resultados decorrentes dos procedimentos executados por outro auditor são revisados pelo auditor da entidade usuária para determinar se eles constituem evidência de auditoria apropriada e suficiente. Além disso, pode haver requisitos impostos por autoridades governamentais ou por meio de cláusulas contratuais pelos quais o auditor da organização prestadora de serviços realiza procedimentos requeridos de natureza substantiva. Os resultados da aplicação dos procedimentos requeridos aos saldos e transações processadas pela organização prestadora de serviços podem ser utilizados pelos auditores da usuária como parte da evidência necessária para suportar suas opiniões de auditoria. Nessas circunstâncias, pode ser útil que o auditor da usuária e o auditor da organização prestadora de serviços concordem, antes de executar os procedimentos, quanto à documentação de auditoria ou ao acesso à documentação de auditoria que será fornecida ao auditor da usuária.

A28. Em certas circunstâncias, especificamente quando a entidade terceiriza algumas ou todas as suas funções financeiras para uma organização prestadora de serviços, o auditor da usuária pode se deparar com uma situação em que uma parte significativa da evidência de auditoria está na organização prestadora de serviços. Pode ser necessário que o auditor da usuária ou outro auditor em seu nome realize procedimentos substantivos na organização prestadora de serviços. O auditor da organização prestadora de serviços pode fornecer o Relatório Tipo 2 e, além disso, pode executar procedimentos substantivos em nome do auditor da usuária. O envolvimento de outro auditor não altera a responsabilidade do auditor da usuária de obter evidência de auditoria apropriada e suficiente para conseguir uma base razoável para suportar sua opinião. Consequentemente, a consideração do auditor da usuária acerca da obtenção de evidência de auditoria apropriada e suficiente e se ele precisa executar procedimentos substantivos adicionais inclui o seu envolvimento, ou a respectiva evidência, com a orientação, supervisão e execução dos procedimentos substantivos por outro auditor.

Testes de controles (ver item 16)

A29. É requerido do auditor da usuária, segundo a NBC-TA-330, item 8, elaborar e executar testes de controles para obter evidência de auditoria apropriada e suficiente sobre a efetividade operacional de controles relevantes em certas circunstâncias. No contexto de uma organização prestadora de serviços, esse requisito se aplica quando:

(a) a avaliação, do auditor da usuária, dos riscos de distorção relevante inclui a expectativa de que os controles da organização prestadora de serviços estejam operando de maneira efetiva (ou seja, o auditor da usuária pretende confiar na efetividade operacional dos controles da organização prestadora de serviços na determinação da natureza, época e extensão dos procedimentos substantivos); ou

(b) os procedimentos substantivos, isoladamente ou combinados com testes de efetividade operacional dos controles da entidade usuária, não podem fornecer evidência de auditoria apropriada e suficiente no nível de afirmações.

A30. Se o Relatório Tipo 2 não estiver disponível, o auditor da usuária pode entrar em contato com a organização prestadora de serviços por meio da entidade usuária para requerer que seja contratado um auditor pela organização prestadora de serviços para fornecer o Relatório Tipo 2 que inclua testes da efetividade operacional dos controles relevantes, ou o auditor da usuária pode utilizar outro auditor para executar procedimentos na organização prestadora de serviços que testem a efetividade operacional desses controles. O auditor da usuária pode, também, visitar a organização prestadora de serviços e realizar testes dos controles relevantes se a organização prestadora de serviços concordar. As avaliações de riscos do auditor da usuária baseiam-se na evidência combinada fornecida pelo trabalho de outro auditor e pelos procedimentos realizados pelo próprio auditor da usuária.

Utilização do Relatório Tipo 2 como evidência de auditoria de que os controles da organização prestadora de serviços estão operando de maneira efetiva (ver item 17)

A31. A finalidade do Relatório Tipo 2 pode ser satisfazer as necessidades de diferentes auditores das entidades usuárias. Portanto, os testes de controles e os resultados descritos no relatório do auditor da organização prestadora de serviços podem não ser relevantes para afirmações que são significativas nas demonstrações contábeis da entidade usuária. Os testes de controles relevantes e os resultados relevantes são avaliados para determinar que o relatório do auditor da organização prestadora de serviços fornece evidência de auditoria apropriada e suficiente sobre a efetividade dos controles para suportar a avaliação de riscos do auditor da usuária. Com isso, o auditor da usuária pode considerar os seguintes fatores:

(a) o período coberto pelos testes de controles e o tempo decorrido desde a realização desses testes;

(b) o alcance do trabalho do auditor da organização prestadora de serviços e os serviços e processos cobertos, os controles testados e os testes que foram realizados, e como os controles testados estão relacionados com os controles da entidade usuária; e

(c) os resultados desses testes de controle e a opinião do auditor da organização prestadora de serviços sobre a efetividade operacional dos controles.

A32. Para certas afirmações, quanto menor o período coberto por um teste específico e quanto maior o tempo decorrido desde a execução do teste, menos evidência de auditoria pode ser fornecida pelo teste. Ao comparar o período coberto pelo Relatório Tipo 2 com o período de apresentação de relatório contábil da entidade usuária, o auditor da entidade usuária pode concluir que o Relatório Tipo 2 oferece menos evidência de auditoria se existir uma pequena sobreposição do período coberto pelo Relatório Tipo 2 e o período para o qual o auditor da entidade usuária pretende confiar nesse relatório. Nesse caso, o Relatório Tipo 2 cobrindo um período anterior ou subsequente pode fornecer evidência de auditoria adicional. Em outros casos, o auditor da usuária pode determinar que é necessário executar, ou usar outro auditor para executar, testes dos controles na organização prestadora de serviços para obter evidência de auditoria apropriada e suficiente sobre a efetividade operacional desses controles.

A33. Pode ser necessário, também, que o auditor da usuária obtenha evidência adicional sobre mudanças significativas nos controles relevantes da organização prestadora de serviços fora do período coberto pelo Relatório Tipo 2 ou determinar a realização de procedimentos adicionais de auditoria. Os fatores relevantes na determinação de qual evidência de auditoria adicional obter sobre os controles da organização prestadora de serviços, que estavam em operação fora do período coberto pelo relatório do auditor da organização prestadora de serviços, podem incluir:

  • a importância dos riscos de distorção relevante avaliados no nível de afirmações;
  • os controles específicos que foram testados durante o período intermediário e suas mudanças significativas desde que foram testados, incluindo mudanças no sistema de informações, nos processos e de pessoal;
  • o grau de evidência de auditoria obtido sobre a efetividade operacional desses controles;
  • a duração do período remanescente;
  • a redução da extensão dos procedimentos substantivos adicionais, pretendida pelo auditor da usuária, com base na confiança nos controles; e
  • a eficácia do ambiente de controle e do monitoramento dos controles na entidade usuária.

A34. Pode ser obtida evidência adicional de auditoria, por exemplo, estendendo os testes dos controles pelo período remanescente ou testando o monitoramento dos controles pela entidade.

A35. Se o período de teste do auditor da organização prestadora de serviços está completamente fora do período de apresentação dos relatórios contábeis da entidade usuária, o auditor da entidade usuária não conseguirá confiar nesses testes para concluir que os controles da entidade usuária estão operando de maneira efetiva porque eles não fornecem evidência do período de auditoria atual sobre a efetividade dos controles, a menos que sejam executados outros procedimentos.

A36. Em certas circunstâncias, um serviço prestado pela organização prestadora de serviços pode ser elaborado supondo-se que certos controles serão implementados pela entidade usuária. Por exemplo, o serviço pode ser elaborado supondo-se que a entidade usuária terá controles para autorizar as transações antes de serem enviadas para serem processadas pela organização prestadora de serviços. Nessa situação, a descrição dos controles pela organização prestadora de serviços pode incluir uma descrição desses controles complementares da entidade usuária. O auditor da usuária considera se esses controles complementares da entidade usuária são relevantes para o serviço prestado à entidade usuária.

A37. Se o auditor da entidade usuária acredita que o relatório do auditor da organização prestadora de serviços pode não fornecer evidência de auditoria apropriada e suficiente, por exemplo, se o relatório do auditor da organização prestadora de serviços não contém uma descrição dos testes dos controles realizados e dos respectivos resultados, o auditor da entidade usuária pode complementar o entendimento dos procedimentos e conclusões do auditor da organização prestadora de serviços entrando em contato com a organização prestadora de serviços, por meio da entidade usuária, para solicitar uma discussão com o auditor da organização prestadora de serviços sobre o alcance e os resultados do seu trabalho. Além disso, se o auditor da entidade usuária achar necessário, ele pode entrar em contato com a organização prestadora de serviços, por meio da entidade usuária, para solicitar que o auditor da organização prestadora de serviços execute procedimentos nessa organização. Alternativamente, o auditor da entidade usuária, ou outro auditor por sua solicitação, pode executar esses procedimentos.

A38. O Relatório Tipo 2 do auditor da organização prestadora de serviços identifica os resultados dos testes, incluindo as exceções e outras informações que podem afetar as conclusões do auditor da entidade usuária. As exceções observadas pelo auditor da organização prestadora de serviços ou uma opinião modificada nesse Relatório Tipo 2 não significa automaticamente que esse Relatório Tipo 2 não será útil para a auditoria das demonstrações contábeis da entidade usuária na avaliação dos riscos de distorção relevante. Em vez disso, as exceções e o assunto que geraram uma opinião modificada no Relatório Tipo 2 são levadas em consideração na avaliação do auditor da usuária dos testes dos controles realizados pelo auditor da organização prestadora de serviços. Ao considerar as exceções e o assunto que geraram uma opinião modificada, o auditor da usuária pode discutir esses assuntos com o auditor da organização prestadora de serviços. Essa discussão depende da entidade usuária entrar em contato com a organização prestadora de serviços e obter a aprovação dessa organização para que haja esse contato.

Comunicação de deficiências do controle interno identificadas durante a auditoria

A39. O auditor da usuária deve comunicar por escrito e tempestivamente as deficiências significativas do controle interno identificadas durante a auditoria à administração e aos responsáveis pela governança (NBC-TA-265, itens 9 e 10). O auditor da usuária também deve comunicar tempestivamente à administração em um nível apropriado de responsabilidade, outras deficiências do controle interno identificadas durante a auditoria que, no seu julgamento profissional, são de importância suficiente para merecer a atenção da administração (NBC-TA-265, item 10). Os assuntos que o auditor da usuária pode identificar durante a auditoria e comunicar à administração e aos responsáveis pela governança da entidade usuária incluem:

  • qualquer monitoramento de controles que pode ser implementado pela entidade usuária, incluindo aqueles identificados em decorrência de se obter o Relatório Tipo 1 ou Relatório Tipo 2;
  • exemplos de controles complementares da entidade usuária citados no Relatório Tipo 1 ou Relatório Tipo 2, mas que não são implementados na entidade usuária; e
  • controles que podem ser necessários na organização prestadora de serviços e que não parecem ter sido implementados ou que não são cobertos especificamente pelo Relatório Tipo 2.

Relatório Tipo 1 e Relatório Tipo 2 que excluem os serviços de uma organização subcontratada para prestação de serviços (ver item 18)

A40. Se uma organização prestadora de serviços subcontrata outra organização prestadora de serviços, o relatório do auditor da primeira organização pode incluir ou excluir os objetivos de controle relevantes para a organização subcontratada e os respectivos controles na descrição da organização prestadora de serviços, de seu sistema e no alcance do trabalho do seu auditor. Esses dois métodos de elaboração de relatórios são conhecidos como método de inclusão e método de desmembramento (carve out), respectivamente. Se o Relatório Tipo 1 ou Relatório Tipo 2 exclui os controles de uma organização subcontratada para prestação de serviços e os serviços prestados por essa organização são relevantes para a auditoria das demonstrações contábeis da entidade usuária, o auditor da usuária deve aplicar os requisitos desta Norma em relação à organização subcontratada. A natureza e extensão do trabalho a ser executado pelo auditor da usuária em relação aos serviços prestados por uma organização subcontratada para prestação de serviços dependem da natureza e importância desses serviços para a entidade usuária e da relevância desses serviços para a auditoria. A aplicação do requisito do item 9 auxilia o auditor da usuária na determinação do efeito da organização subcontratada para prestação de serviços e da natureza e extensão do trabalho a ser executado.

Fraude, não conformidade com leis e regulamentos e distorções não corrigidas em relação às atividades na organização prestadora de serviços (ver item 19)

A41. A organização prestadora de serviços pode ter que, segundo os termos do contrato com a entidade usuária, divulgar para as entidades usuárias afetadas qualquer fraude, não conformidade com leis e regulamentos ou distorções não corrigidas atribuíveis à administração ou aos empregados da organização prestadora de serviços. Conforme requerido pelo item 19, o auditor da usuária indaga à administração da entidade usuária sobre se a organização prestadora de serviços comunicou algum desses assuntos e avalia se os assuntos comunicados pela organização prestadora de serviços afetam a natureza, época e extensão dos seus procedimentos adicionais de auditoria. Em certas circunstâncias, o auditor pode requerer informações adicionais para fazer essa avaliação e pode solicitar que a entidade usuária entre em contato com a organização prestadora de serviços para obter as informações necessárias.

Emissão de relatório pelo auditor da entidade usuária dos serviços (ver item 20)

A42. Quando o auditor da usuária não consegue obter evidência de auditoria apropriada e suficiente em relação aos serviços relevantes prestados pela organização prestadora de serviços para a auditoria das demonstrações contábeis da entidade usuária, existe uma limitação no alcance da auditoria. Isso ocorre quando:

  • o auditor da usuária não consegue obter suficiente entendimento dos serviços prestados pela organização prestadora de serviços e não possui uma base para a identificação e a avaliação dos riscos de distorção relevante;

  • a avaliação de riscos do auditor da usuária inclui uma expectativa de que os controles na organização prestadora de serviços estão operando de maneira efetiva, mas o auditor da usuária não consegue obter evidência de auditoria apropriada e suficiente sobre a efetividade operacional desses controles; ou

  • somente os registros mantidos na organização prestadora de serviços podem fornecer evidência de auditoria apropriada e suficiente, e o auditor da usuária não consegue obter acesso direto a esses registros.

O fato do auditor da usuária expressar uma opinião com ressalva ou abstenção de opinião depende da sua conclusão sobre se os possíveis efeitos sobre as demonstrações contábeis são relevantes ou disseminados de forma generalizada.

Referência ao trabalho do auditor da organização prestadora de serviços (ver itens 21 e 22)

A43. Em alguns casos, a legislação ou regulamentação de jurisdições fora do Brasil pode requerer uma referência ao trabalho do auditor da organização prestadora de serviços no relatório do auditor da usuária, por exemplo, para fins de transparência no setor público. Nessas circunstâncias, o auditor da usuária pode precisar da permissão do auditor da organização prestadora de serviços antes de fazer essa referência.

A44. O fato da entidade usuária utilizar uma organização prestadora de serviços não altera a responsabilidade do auditor da usuária, de acordo com as normas de auditoria, de obter evidência de auditoria apropriada e suficiente para conseguir uma base razoável para suportar sua opinião. Portanto, o auditor não faz referência ao relatório do auditor da organização prestadora de serviços como base para sua opinião sobre as demonstrações contábeis da entidade usuária. Contudo, quando o auditor expressa uma opinião modificada, decorrente de opinião também modificada em relatório do auditor da organização prestadora de serviços, o auditor da usuária não está impedido de fazer referência ao relatório do auditor da organização prestadora de serviços se essa referência ajuda a explicar a razão da sua opinião modificada. Nessas circunstâncias, o auditor da usuária pode precisar da permissão do auditor da organização prestadora de serviços antes de fazer essa referência.


(...)

Quer ver mais! Assine o Cosif Eletrônico.