NBC-TA-402 - CONSIDERAÇÕES SOBRE ORGANIZAÇÃO PRESTADORA DE SERVIÇOS - AUDITORIA DE QUALIDADE PELOS PARES

NBC - NORMAS BRASILEIRAS DE CONTABILIDADE

NBC-T - NORMAS TÉCNICAS

NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE

NBC-TA-402 - CONSIDERAÇÕES DE AUDITORIA PARA A ENTIDADE QUE UTILIZA ORGANIZAÇÃO PRESTADORA DE SERVIÇOS

APLICAÇÃO E OUTROS MATERIAIS EXPLICATIVOS

Obtenção de UM entendimento dos serviços fornecidos por uma organização de serviços, incluindo controle interno - item A1 - A23 (Nova Redação dada pelo item 11 da Revisão NBC 20/2023 - Vigora a partir de 01/01/2024)

• Fontes de informação - item A1 - A2
• Natureza dos serviços prestados pela organização prestadora de serviços - item A3 - A4
• Considerações específicas para entidades de pequeno porte - item A5
• Natureza e materialidade das transações processadas pela organização prestadora de serviços - item A6
• Grau de interação entre as atividades da organização prestadora de serviços e as da entidade usuária - item A7
• Natureza da relação entre a entidade usuária e a organização prestadora de serviços - item A8 - A9
• Considerações específicas para entidades do setor público - item A10 - A11
• Entendimento dos controles relacionados com serviços prestados pela organização prestadora de serviços - item A12 - A14
• Procedimentos adicionais quando não for possível obter entendimento suficiente da entidade usuária - item A15 - A20
• Utilização do Relatório Tipo 1 ou Relatório Tipo 2 para permitir o entendimento da organização prestadora de serviços pelo auditor da usuária dos serviços - item A21 - A23

Fontes de informação (ver item 9)

A1. Informações sobre a natureza dos serviços prestados por uma organização prestadora de serviços podem ser obtidas de uma ampla variedade de fontes, como:

• manuais do usuário;
• visões gerais dos sistemas;
• manuais técnicos;
• contrato ou acordo entre a entidade usuária e a organização prestadora de serviços;
• relatórios das organizações prestadoras de serviços, auditores internos ou autoridades regulatórias sobre os controles dessas organizações;
• relatórios do auditor da organização prestadora de serviços, incluindo cartas da administração, se disponíveis.

A2. O conhecimento obtido por meio da experiência do auditor da usuária com a organização prestadora de serviços, por exemplo, experiência com outros trabalhos de auditoria, também pode ser útil para obter entendimento da natureza dos serviços prestados por essa organização. Isso pode ser especialmente útil se os serviços e controles sobre esses serviços prestados pela organização são altamente padronizados.

Natureza dos serviços prestados pela organização prestadora de serviços (ver item 9(a))

A3. A entidade usuária pode utilizar uma organização prestadora de serviços, como uma organização que processa transações e mantém a respectiva responsabilidade pelo processamento, ou registra transações e processa os respectivos dados. Organizações prestadoras de serviços que prestam esses serviços incluem, por exemplo, departamentos fiduciários de bancos que investem e administram ativos de planos de benefícios a empregados; instituições financeiras hipotecárias que prestam serviços relacionados com hipotecas para terceiros; e prestadores de serviços que fornecem pacotes de aplicativos de software e ambiente tecnológico que permite aos clientes processar transações financeiras e operacionais.

A4. Exemplos de serviços prestados por organizações prestadoras de serviços que são relevantes para a auditoria incluem:

• manutenção dos registros contábeis da entidade usuária.
• gestão de ativos.
• início, registro ou processamento de transações como agente da entidade usuária.

Considerações específicas para entidades de pequeno porte

A5. As entidades de pequeno porte podem usar serviços externos de escrituração contábil que vão desde o processamento de certas transações (por exemplo, pagamento de contribuições trabalhistas) e a manutenção dos respectivos registros contábeis até a elaboração de suas demonstrações contábeis. O uso dessas organizações prestadoras de serviços para a elaboração das demonstrações contábeis não isenta a administração da entidade de pequeno porte e, quando apropriado, dos responsáveis pela governança de sua responsabilidade pelas demonstrações contábeis (NBC-TA-200, itens 4, A2 e A3).

Natureza e materialidade das transações processadas pela organização prestadora de serviços (ver item 9(b))

A6. A organização prestadora de serviços pode estabelecer políticas e procedimentos que afetam o controle interno da entidade usuária. Essas políticas e procedimentos são, pelo menos em parte, separadas física e operacionalmente da entidade usuária. A importância dos controles da organização prestadora de serviços para os controles da entidade usuária depende da natureza dos serviços prestados, incluindo a natureza e a materialidade das transações que ela processa para a entidade usuária. Em certas situações, as transações processadas e as contas afetadas pela organização prestadora de serviços podem não parecer relevantes para as demonstrações contábeis da entidade usuária, mas a natureza das transações processadas pode ser significativa e o auditor da usuária pode determinar que seja necessário o entendimento desses controles nessas circunstâncias.

Grau de interação entre as atividades da organização prestadora de serviços e as da entidade usuária (ver item 9(c))

A7. A importância dos controles da organização prestadora de serviços para os controles da entidade usuária também depende do grau de interação entre as atividades da organização prestadora de serviços e as da entidade usuária. O grau de interação refere-se à extensão em que a entidade usuária consegue e opta por implementar controles efetivos sobre o processamento executado pela organização prestadora de serviços. Por exemplo, existe um alto grau de interação entre as atividades da entidade usuária e as da organização prestadora de serviços quando a entidade usuária autoriza transações e a organização prestadora de serviços processa e contabiliza essas transações. Nessas circunstâncias, pode ser praticável para a entidade usuária implementar controles efetivos sobre essas transações. Por outro lado, quando a organização prestadora de serviços inicia ou inicialmente registra, processa e contabiliza as transações da entidade usuária, há menor grau de interação entre as duas organizações. Nessas circunstâncias, a entidade usuária pode não conseguir ou não optar por implementar controles efetivos sobre essas transações e pode confiar em controles da organização prestadora de serviços.

Natureza da relação entre a entidade usuária e a organização prestadora de serviços (ver item 9(d))

A8. O contrato ou acordo entre a entidade usuária e a organização prestadora de serviços pode prever assuntos como:

• as informações a serem fornecidas para a entidade usuária e as responsabilidades por iniciar transações relacionadas com as atividades assumidas pela organização prestadora de serviços;
• a aplicação de requisitos dos órgãos reguladores referentes à forma dos registros a serem mantidos ou ao seu acesso;
• a indenização, se houver, a ser fornecida à entidade usuária no caso de não cumprimento dos serviços;
• se a organização prestadora de serviços fornecerá um relatório sobre os seus controles e, em caso positivo, se esse relatório seria tipo 1 ou tipo 2;
• se o auditor da usuária tem direito de acesso aos registros contábeis da entidade usuária mantidos pela organização prestadora de serviços e às outras informações necessárias para a condução da auditoria; e
• se o acordo permite a comunicação direta entre o auditor da usuária e o auditor da organização prestadora de serviços.

A9. Há uma relação direta entre a organização prestadora de serviços e a entidade usuária, assim como entre a organização prestadora de serviços e o seu auditor. Essas relações não criam necessariamente uma relação direta entre o auditor da usuária e o auditor da prestadora de serviços. Quando não há relação direta entre esses auditores, suas comunicações são geralmente conduzidas por meio da entidade usuária e da organização prestadora de serviços. Uma relação direta também pode ser criada entre o auditor da usuária e o auditor da organização prestadora de serviços levando em consideração os aspectos de ética e de confidencialidade. O auditor da usuária, por exemplo, pode utilizar o auditor da organização prestadora de serviços para executar procedimentos em seu nome, como:

• (a) testes de controles na organização prestadora de serviços; ou
• (b) procedimentos substantivos sobre as transações e os saldos das demonstrações contábeis da entidade usuária mantidas pela organização prestadora de serviços.

Considerações específicas para entidades do setor público

A10. Auditores do setor público geralmente possuem amplos direitos de acesso estabelecidos pela legislação. Entretanto, pode haver situações em que esses direitos de acesso não estão disponíveis, por exemplo, quando a organização prestadora de serviços está localizada em uma jurisdição diferente. Nesses casos, o auditor do setor público pode precisar obter entendimento da legislação aplicável para determinar se é possível obter o devido direito de acesso. O auditor do setor público também pode obter ou pedir que a entidade usuária incorpore direitos de acesso em quaisquer acertos contratuais entre a entidade usuária e a organização prestadora de serviços.

A11. Auditores do setor público também podem usar outro auditor para executar testes de controles ou procedimentos substantivos em relação ao cumprimento de leis, regulamentos ou outra autoridade.

Entendimento dos controles relacionados com serviços prestados pela organização prestadora de serviços (ver item 10)

A12. A entidade usuária pode estabelecer controles sobre os serviços prestados pela organização prestadora de serviços que podem ser testados pelo auditor da usuária e podem permiti-lo concluir que os controles da entidade usuária estão operando de maneira efetiva para algumas ou todas as respectivas afirmações, independentemente dos controles existentes na organização prestadora de serviços. Se, por exemplo, a entidade usuária usa uma organização prestadora de serviços para processar suas transações de folha de pagamento, a entidade usuária pode estabelecer controles sobre o envio e recebimento de informações sobre folha de pagamento que podem evitar ou detectar distorções relevantes. Esses controles podem incluir:

• comparar os dados enviados à organização prestadora de serviços com os relatórios de informações recebidos dessa organização após o processamento dos dados;
• recalcular uma amostra de valores da folha de pagamento para verificar a exatidão desses valores e revisar o total da folha de pagamento em termos de razoabilidade.

A13. Nessa situação, o auditor da usuária pode realizar testes dos controles da entidade usuária sobre o processamento de folha de pagamento que forneceria uma base para o auditor da usuária concluir que os controles da entidade usuária estão operando de maneira efetiva para as afirmações relacionadas com folha de pagamento.

A14. Conforme observado na NBC-TA-315, item 30, com relação a alguns riscos, o auditor da usuária pode julgar que não é possível ou praticável obter evidência de auditoria apropriada e suficiente somente mediante procedimentos substantivos. Esses riscos podem estar relacionados com o registro impreciso ou incompleto de classes de transações rotineiras e saldos contábeis significativos, cujas características frequentemente permitem o processamento altamente automatizado com pouca ou nenhuma intervenção manual. Essas características de processamento automatizado podem estar presentes especialmente quando a entidade usuária utiliza organizações prestadoras de serviços. Nesses casos, os controles da entidade usuária sobre esses riscos são relevantes para a auditoria e o auditor da usuária deve obter entendimento desses controles, e avaliá-los, de acordo com os itens 9 e 10 desta Norma.

Procedimentos adicionais quando não for possível obter UM entendimento suficiente da entidade usuária (ver item 12)

A15. A decisão do auditor da usuária sobre qual procedimento aplicar, individualmente ou combinado, do item 12, para obter as informações necessárias para fornecer uma base para a identificação e a avaliação dos riscos de distorção relevante em relação ao uso da organização prestadora de serviços pela entidade usuária, pode ser influenciada por assuntos como:

• porte da entidade usuária e da organização prestadora de serviços;
• complexidade das transações da entidade usuária e dos serviços prestados pela organização prestadora de serviços;
• localização da organização prestadora de serviços (por exemplo, o auditor da usuária pode usar outro auditor para executar os procedimentos em seu nome na organização prestadora de serviços se a localização dessa organização for distante);
• se é esperado que o(s) procedimento(s) forneça(m) ao auditor da usuária, de maneira eficaz, evidência de auditoria apropriada e suficiente; e
• a natureza da relação entre a entidade usuária e a organização prestadora de serviços.

A16. A organização prestadora de serviços pode contratar um auditor para emitir relatório sobre a descrição e desenho de seus controles (Relatório Tipo 1) ou sobre a descrição e desenho de seus controles e sua efetividade operacional (Relatório Tipo 2). Relatórios Tipo 1 ou Relatório Tipo 2 podem ser emitidos de acordo com as NBC TO específicas ou com normas estabelecidas por uma organização autorizada ou reconhecida (que podem identificá-los por nomes diferentes, como relatórios tipo A ou B).

A17. A disponibilidade do Relatório Tipo 1 ou Relatório Tipo 2 geralmente depende se o contrato entre a organização prestadora de serviços e a entidade usuária prevê esse relatório sobre a organização prestadora de serviços. A organização prestadora de serviços também pode, por razões práticas, disponibilizar o Relatório Tipo 1 ou Relatório Tipo 2 às entidades que utilizarem seus serviços. Em alguns casos, contudo, pode ser que esses relatórios não estejam disponíveis para as entidades usuárias.

A18. Em algumas circunstâncias, a entidade usuária pode terceirizar uma ou mais unidades de negócio ou funções, como por exemplo, todas as suas funções de planejamento e conformidade (compliance) fiscal, ou a função de finanças e contabilidade ou de controladoria para uma ou mais organizações prestadoras de serviços. Considerando a possibilidade de não haver um relatório sobre os controles da organização prestadora de serviços disponível nessas circunstâncias, visitar essa organização pode ser o procedimento mais eficaz para o auditor da usuária obter entendimento dos seus controles, uma vez que é provável que haja uma interação direta entre a administração da entidade usuária a da organização prestadora de serviços.

A19. Outro auditor pode ser utilizado para executar procedimentos que fornecerão as informações necessárias sobre os controles relevantes da organização prestadora de serviços. No caso de ter sido emitido o Relatório Tipo 1 ou Relatório Tipo 2, o auditor da usuária pode usar o auditor da organização prestadora de serviços para executar esses procedimentos uma vez que já existe uma relação entre esse auditor com a organização prestadora de serviços. O auditor que usa o trabalho de outro auditor pode achar a orientação da NBC-TA-600 útil, pois ela se refere ao entendimento sobre outro auditor (incluindo a independência e a competência profissional desse auditor), no envolvimento no trabalho desse outro auditor para planejar a natureza, extensão e época desse trabalho, e à avaliação da suficiência e adequação da evidência de auditoria obtida. (O item 2 da NBC-TA-600 afirma: “Esta Norma, adaptada às circunstâncias, pode ser útil ao auditor independente quando ele envolver outros auditores na auditoria de demonstrações contábeis que não são demonstrações contábeis de grupos. …” Ver também item 19 da NBC-TA-600).  (Alterado pela Revisão NBC 11/2021 - Vigora até 31/12/2021)

 (Nova Redação dada pela Revisão NBC 11/2021 - Vigora a partir de 01/01/2022)

A19. Outro auditor pode ser usado para executar procedimentos que fornecerão as informações necessárias sobre os controles relevantes na organização de serviços relacionados aos serviços prestados à entidade usuária. Se um relatório do tipo 1 ou tipo 2 tiver sido emitido, o auditor usuário pode utilizar o auditor de serviços para realizar esses procedimentos, uma vez que o auditor de serviços tem uma relação existente com a organização de serviços. O auditor usuário que utiliza o trabalho de outro auditor pode considerar as orientações da Norma 220 úteis uma vez que ela se refere à determinação da competência e das capacidades do outro auditor (incluindo a independência desse auditor, à direção e supervisão do outro auditor, da natureza, época e extensão do trabalho atribuído ao outro auditor, e na avaliação da adequação e suficiência da evidência de auditoria obtida. (Nova Redação dada pelo item 11 da Revisão NBC 20/2023 - Vigora a partir de 01/01/2024)

A20. A entidade usuária pode usar uma organização prestadora de serviços que, por sua vez, subcontrata outra organização prestadora de serviços para prestar alguns dos serviços a uma entidade usuária que faz parte do sistema de informações relevante para a elaboração de relatórios financeiros da entidade usuária. A organização prestadora de serviços subcontratada pode ser uma organização separada ou ter alguma relação com a organização prestadora de serviços. O auditor da usuária pode ter que considerar os controles da organização subcontratada para prestação de serviços. Em situações em que são utilizadas uma ou mais organizações subcontratadas, a interação entre as atividades da entidade usuária e as da organização prestadora de serviços é ampliada para incluir a interação entre a entidade usuária, a organização prestadora de serviços e as organizações subcontratadas para prestação de serviços. O grau dessa interação, bem como a natureza e a materialidade das transações processadas pela organização prestadora de serviços e pelas organizações subcontratadas para prestação de serviços, são os fatores mais importantes a serem considerados pelo auditor na determinação da importância dos controles da organização prestadora de serviços e das organizações subcontratadas, para os controles da entidade usuária.

Utilização do Relatório Tipo 1 ou Relatório Tipo 2 para permitir o entendimento da organização prestadora de serviços pelo auditor da usuária dos serviços (ver itens 13 e 14)

A21. O auditor da usuária pode fazer indagações sobre o auditor da organização prestadora de serviços para o órgão profissional a que pertence o auditor dessa organização ou a outros auditores independentes e indagar se o auditor da organização prestadora de serviços está sujeito à supervisão regulatória. O auditor dessa organização pode estar atuando em uma jurisdição que segue normas diferentes em relação aos relatórios sobre controles da organização prestadora de serviços e o auditor pode obter informações sobre as normas seguidas pelo auditor da organização prestadora de serviços junto ao órgão que determina essas normas.

A22. O Relatório Tipo 1 ou Relatório Tipo 2, juntamente com as informações sobre a entidade usuária, pode auxiliar o auditor da usuária a obter entendimento:

• (a) dos aspectos dos controles da organização prestadora de serviços que podem afetar o processamento das transações da entidade usuária, incluindo o uso de organizações subcontratadas para prestação de serviços;
• (b) do fluxo de transações significativas pela organização prestadora de serviços para determinar em quais etapas do processo das transações poderiam ocorrer distorções relevantes nas demonstrações contábeis da entidade usuária;
• (c) dos objetivos dos controles da organização prestadora de serviços que são relevantes para as afirmações nas demonstrações contábeis da entidade usuária; e
• (d) se os controles da organização prestadora de serviços foram adequadamente desenhados e implementados para evitar ou detectar erros de processamento que poderiam resultar em distorções relevantes nas demonstrações contábeis da entidade usuária.

O relatório do Tipo 1 ou Tipo 2 pode auxiliar o auditor da usuária a obter entendimento suficiente para identificar e avaliar os riscos de distorção relevante. Entretanto, o Relatório Tipo 1 não fornece nenhuma evidência da efetividade operacional dos controles relevantes.

 (Alterado pela Revisão NBC 11/2021 - Vigora até 31/12/2021)

 (Nova Redação dada pela Revisão NBC 11/2021 - Vigora a partir de 01/01/2022)

A23. O Relatório Tipo 1 ou Relatório Tipo 2 datado ou correspondente a um período fora do período de apresentação de relatório da entidade usuária pode auxiliar o auditor da usuária a obter entendimento preliminar dos controles implementados na organização prestadora de serviços se o relatório for complementado com informações atuais adicionais de outras fontes. Se a descrição dos controles pela organização prestadora de serviços é de uma data ou corresponde a um período anterior ao início do período sob auditoria, o auditor da usuária pode realizar procedimentos para atualizar as informações no Relatório Tipo 1 ou Relatório Tipo 2, como:

• discutir as mudanças na organização prestadora de serviços com o pessoal da entidade usuária que poderia saber sobre essas mudanças;
• revisar a documentação e correspondência atuais emitidas pela organização prestadora de serviços; ou
• discutir as mudanças com o pessoal da organização prestadora de serviços.

Respostas aos riscos avaliados de distorção relevante (ver item 15) - item A24 - A39

A24. O fato do uso de uma organização prestadora de serviços aumentar o risco de distorção relevante da entidade usuária depende da natureza dos serviços prestados e dos controles sobre esses serviços. Em alguns casos, o uso de uma organização prestadora de serviços pode diminuir o risco de distorção relevante da entidade usuária, especialmente se a própria entidade usuária não possui a especialização necessária para assumir atividades específicas, como início, processamento e registro de transações, ou não tem os recursos adequados (por exemplo, um sistema de TI).

A25. Quando a organização prestadora de serviços mantém elementos relevantes dos registros contábeis da entidade usuária, pode ser necessário o acesso direto a esses registros pelo auditor da usuária para obter evidência de auditoria apropriada e suficiente para as operações de controle sobre esses registros, ou para comprovar as transações e os saldos registrados nesses registros, ou ambos. Esse acesso pode envolver a inspeção física dos registros nas instalações da organização prestadora de serviços ou o exame de registros da entidade usuária ou de outra localidade mantidos eletronicamente, ou ambos. Quando se consegue o acesso direto eletronicamente, o auditor pode obter evidência sobre a adequação dos controles executados pela organização prestadora de serviços sobre a integridade dos dados da entidade usuária pelos quais a organização prestadora de serviços é responsável.

A26. Ao determinar a natureza e a extensão da evidência de auditoria a ser obtida em relação aos saldos que representam ativos mantidos ou transações assumidas por uma organização prestadora de serviços em nome da entidade usuária, os seguintes procedimentos podem ser considerados pelo auditor da usuária:

• (a) Inspeção dos registros e documentos mantidos pela entidade usuária: a confiabilidade dessa fonte de evidência é determinada pela natureza e extensão dos registros contábeis e pela documentação suporte retida pela entidade usuária. Em alguns casos, a entidade usuária pode não manter registros detalhados independentes ou documentação de transações específicas assumidas em seu nome.
• (b) Inspeção dos registros e documentos mantidos pela organização prestadora de serviços: o acesso do auditor da usuária aos registros da organização prestadora de serviços pode ser estabelecido como parte dos arranjos contratuais entre a entidade usuária e a organização prestadora de serviços. O auditor também pode utilizar outro auditor em seu nome para conseguir acesso aos registros da entidade usuária mantidos pela organização prestadora de serviços.
• (c) Obtenção de confirmações de saldos e transações pela organização prestadora de serviços: quando a entidade usuária mantém registros independentes de saldos e transações, a confirmação com a organização prestadora de serviços corroborando os registros da entidade usuária pode constituir evidência de auditoria confiável em relação à existência das transações e dos ativos envolvidos. Por exemplo, quando são utilizadas diversas organizações prestadoras de serviços, como um gestor de investimentos e um custodiante, e essas organizações mantêm registros independentes, o auditor da usuária pode confirmar saldos com essas organizações para comparar essas informações com as dos registros independentes da entidade usuária. Se a entidade usuária não mantém registros independentes, as informações obtidas em confirmações com a organização prestadora de serviços são apenas uma afirmação do que está refletido nos registros mantidos pela própria organização prestadora de serviços. Portanto, essas confirmações isoladamente não constituem evidência de auditoria confiável. Nessas circunstâncias, o auditor da usuária pode considerar como alternativa identificar uma fonte de evidência independente.
• (d) Execução de procedimentos analíticos sobre os registros mantidos pela entidade usuária ou sobre os relatórios recebidos da organização prestadora de serviços: a eficácia dos procedimentos analíticos provavelmente varia por afirmação e será afetada pela extensão e pelos detalhes das informações disponíveis.

A27. Outro auditor pode executar procedimentos de natureza substantiva em benefício dos auditores da entidade usuária. Esse trabalho pode envolver a execução por outro auditor de procedimentos acordados pela entidade usuária e seu auditor e pela organização prestadora de serviços e seu auditor. Os resultados decorrentes dos procedimentos executados por outro auditor são revisados pelo auditor da entidade usuária para determinar se eles constituem evidência de auditoria apropriada e suficiente. Além disso, pode haver requisitos impostos por autoridades governamentais ou por meio de cláusulas contratuais pelos quais o auditor da organização prestadora de serviços realiza procedimentos requeridos de natureza substantiva. Os resultados da aplicação dos procedimentos requeridos aos saldos e transações processadas pela organização prestadora de serviços podem ser utilizados pelos auditores da usuária como parte da evidência necessária para suportar suas opiniões de auditoria. Nessas circunstâncias, pode ser útil que o auditor da usuária e o auditor da organização prestadora de serviços concordem, antes de executar os procedimentos, quanto à documentação de auditoria ou ao acesso à documentação de auditoria que será fornecida ao auditor da usuária.

A28. Em certas circunstâncias, especificamente quando a entidade terceiriza algumas ou todas as suas funções financeiras para uma organização prestadora de serviços, o auditor da usuária pode se deparar com uma situação em que uma parte significativa da evidência de auditoria está na organização prestadora de serviços. Pode ser necessário que o auditor da usuária ou outro auditor em seu nome realize procedimentos substantivos na organização prestadora de serviços. O auditor da organização prestadora de serviços pode fornecer o Relatório Tipo 2 e, além disso, pode executar procedimentos substantivos em nome do auditor da usuária. O envolvimento de outro auditor não altera a responsabilidade do auditor da usuária de obter evidência de auditoria apropriada e suficiente para conseguir uma base razoável para suportar sua opinião. Consequentemente, a consideração do auditor da usuária acerca da obtenção de evidência de auditoria apropriada e suficiente e se ele precisa executar procedimentos substantivos adicionais inclui o seu envolvimento, ou a respectiva evidência, com a orientação, supervisão e execução dos procedimentos substantivos por outro auditor.

Testes de controles (ver item 16)

A29. É requerido do auditor da usuária, segundo a NBC-TA-330, item 8, elaborar e executar testes de controles para obter evidência de auditoria apropriada e suficiente sobre a efetividade operacional de controles relevantes em certas circunstâncias. No contexto de uma organização prestadora de serviços, esse requisito se aplica quando:

• (a) a avaliação, do auditor da usuária, dos riscos de distorção relevante inclui a expectativa de que os controles da organização prestadora de serviços estejam operando de maneira efetiva (ou seja, o auditor da usuária pretende confiar na efetividade operacional dos controles da organização prestadora de serviços na determinação da natureza, época e extensão dos procedimentos substantivos); ou
• (b) os procedimentos substantivos, isoladamente ou combinados com testes de efetividade operacional dos controles da entidade usuária, não podem fornecer evidência de auditoria apropriada e suficiente no nível de afirmações.

 (Alterado pela Revisão NBC 11/2021 - Vigora até 31/12/2021)

 (Nova Redação dada pela Revisão NBC 11/2021 - Vigora a partir de 01/01/2022)

A30. Se o Relatório Tipo 2 não estiver disponível, o auditor da usuária pode entrar em contato com a organização prestadora de serviços por meio da entidade usuária para requerer que seja contratado um auditor pela organização prestadora de serviços para fornecer o Relatório Tipo 2 que inclua testes da efetividade operacional dos controles relevantes, ou o auditor da usuária pode utilizar outro auditor para executar procedimentos na organização prestadora de serviços que testem a efetividade operacional desses controles. O auditor da usuária pode, também, visitar a organização prestadora de serviços e realizar testes dos controles relevantes se a organização prestadora de serviços concordar. As avaliações de riscos do auditor da usuária baseiam-se na evidência combinada fornecida pelo trabalho de outro auditor e pelos procedimentos realizados pelo próprio auditor da usuária.

 (Alterado pela Revisão NBC 11/2021 - Vigora até 31/12/2021)

 (Nova Redação dada pela Revisão NBC 11/2021 - Vigora a partir de 01/01/2022)

Utilização do Relatório Tipo 2 como evidência de auditoria de que os controles da organização prestadora de serviços estão operando de maneira efetiva (ver item 17)

A31. A finalidade do Relatório Tipo 2 pode ser satisfazer as necessidades de diferentes auditores das entidades usuárias. Portanto, os testes de controles e os resultados descritos no relatório do auditor da organização prestadora de serviços podem não ser relevantes para afirmações que são significativas nas demonstrações contábeis da entidade usuária. Os testes de controles relevantes e os resultados relevantes são avaliados para determinar que o relatório do auditor da organização prestadora de serviços fornece evidência de auditoria apropriada e suficiente sobre a efetividade dos controles para suportar a avaliação de riscos do auditor da usuária. Com isso, o auditor da usuária pode considerar os seguintes fatores:

• (a) o período coberto pelos testes de controles e o tempo decorrido desde a realização desses testes;
• (b) o alcance do trabalho do auditor da organização prestadora de serviços e os serviços e processos cobertos, os controles testados e os testes que foram realizados, e como os controles testados estão relacionados com os controles da entidade usuária; e
• (c) os resultados desses testes de controle e a opinião do auditor da organização prestadora de serviços sobre a efetividade operacional dos controles.

A32. Para certas afirmações, quanto menor o período coberto por um teste específico e quanto maior o tempo decorrido desde a execução do teste, menos evidência de auditoria pode ser fornecida pelo teste. Ao comparar o período coberto pelo Relatório Tipo 2 com o período de apresentação de relatório contábil da entidade usuária, o auditor da entidade usuária pode concluir que o Relatório Tipo 2 oferece menos evidência de auditoria se existir uma pequena sobreposição do período coberto pelo Relatório Tipo 2 e o período para o qual o auditor da entidade usuária pretende confiar nesse relatório. Nesse caso, o Relatório Tipo 2 cobrindo um período anterior ou subsequente pode fornecer evidência de auditoria adicional. Em outros casos, o auditor da usuária pode determinar que é necessário executar, ou usar outro auditor para executar, testes dos controles na organização prestadora de serviços para obter evidência de auditoria apropriada e suficiente sobre a efetividade operacional desses controles.

A33. Pode ser necessário, também, que o auditor da usuária obtenha evidência adicional sobre mudanças significativas nos controles relevantes da organização prestadora de serviços fora do período coberto pelo Relatório Tipo 2 ou determinar a realização de procedimentos adicionais de auditoria. Os fatores relevantes na determinação de qual evidência de auditoria adicional obter sobre os controles da organização prestadora de serviços, que estavam em operação fora do período coberto pelo relatório do auditor da organização prestadora de serviços, podem incluir:

• a importância dos riscos de distorção relevante avaliados no nível de afirmações;
• os controles específicos que foram testados durante o período intermediário e suas mudanças significativas desde que foram testados, incluindo mudanças no sistema de informações, nos processos e de pessoal;
• o grau de evidência de auditoria obtido sobre a efetividade operacional desses controles;
• a duração do período remanescente;
• a redução da extensão dos procedimentos substantivos adicionais, pretendida pelo auditor da usuária, com base na confiança nos controles; e
• a eficácia do ambiente de controle e do monitoramento dos controles na entidade usuária.

 (Alterado pela Revisão NBC 11/2021 - Vigora até 31/12/2021)

 (Nova Redação dada pela Revisão NBC 11/2021 - Vigora a partir de 01/01/2022)

A34. Pode ser obtida evidência adicional de auditoria, por exemplo, estendendo os testes dos controles pelo período remanescente ou testando o monitoramento dos controles pela entidade.

 (Alterado pela Revisão NBC 11/2021 - Vigora até 31/12/2021)

 (Nova Redação dada pela Revisão NBC 11/2021 - Vigora a partir de 01/01/2022)

A35. Se o período de teste do auditor da organização prestadora de serviços está completamente fora do período de apresentação dos relatórios contábeis da entidade usuária, o auditor da entidade usuária não conseguirá confiar nesses testes para concluir que os controles da entidade usuária estão operando de maneira efetiva porque eles não fornecem evidência do período de auditoria atual sobre a efetividade dos controles, a menos que sejam executados outros procedimentos.

A36. Em certas circunstâncias, um serviço prestado pela organização prestadora de serviços pode ser elaborado supondo-se que certos controles serão implementados pela entidade usuária. Por exemplo, o serviço pode ser elaborado supondo-se que a entidade usuária terá controles para autorizar as transações antes de serem enviadas para serem processadas pela organização prestadora de serviços. Nessa situação, a descrição dos controles pela organização prestadora de serviços pode incluir uma descrição desses controles complementares da entidade usuária. O auditor da usuária considera se esses controles complementares da entidade usuária são relevantes para o serviço prestado à entidade usuária.

A37. Se o auditor da entidade usuária acredita que o relatório do auditor da organização prestadora de serviços pode não fornecer evidência de auditoria apropriada e suficiente, por exemplo, se o relatório do auditor da organização prestadora de serviços não contém uma descrição dos testes dos controles realizados e dos respectivos resultados, o auditor da entidade usuária pode complementar o entendimento dos procedimentos e conclusões do auditor da organização prestadora de serviços entrando em contato com a organização prestadora de serviços, por meio da entidade usuária, para solicitar uma discussão com o auditor da organização prestadora de serviços sobre o alcance e os resultados do seu trabalho. Além disso, se o auditor da entidade usuária achar necessário, ele pode entrar em contato com a organização prestadora de serviços, por meio da entidade usuária, para solicitar que o auditor da organização prestadora de serviços execute procedimentos nessa organização. Alternativamente, o auditor da entidade usuária, ou outro auditor por sua solicitação, pode executar esses procedimentos.

A38. O Relatório Tipo 2 do auditor da organização prestadora de serviços identifica os resultados dos testes, incluindo as exceções e outras informações que podem afetar as conclusões do auditor da entidade usuária. As exceções observadas pelo auditor da organização prestadora de serviços ou uma opinião modificada nesse Relatório Tipo 2 não significa automaticamente que esse Relatório Tipo 2 não será útil para a auditoria das demonstrações contábeis da entidade usuária na avaliação dos riscos de distorção relevante. Em vez disso, as exceções e o assunto que geraram uma opinião modificada no Relatório Tipo 2 são levadas em consideração na avaliação do auditor da usuária dos testes dos controles realizados pelo auditor da organização prestadora de serviços. Ao considerar as exceções e o assunto que geraram uma opinião modificada, o auditor da usuária pode discutir esses assuntos com o auditor da organização prestadora de serviços. Essa discussão depende da entidade usuária entrar em contato com a organização prestadora de serviços e obter a aprovação dessa organização para que haja esse contato.

Comunicação de deficiências do controle interno identificadas durante a auditoria

A39. O auditor da usuária deve comunicar por escrito e tempestivamente as deficiências significativas do controle interno identificadas durante a auditoria à administração e aos responsáveis pela governança (NBC-TA-265, itens 9 e 10). O auditor da usuária também deve comunicar tempestivamente à administração em um nível apropriado de responsabilidade, outras deficiências do controle interno identificadas durante a auditoria que, no seu julgamento profissional, são de importância suficiente para merecer a atenção da administração (NBC-TA-265, item 10). Os assuntos que o auditor da usuária pode identificar durante a auditoria e comunicar à administração e aos responsáveis pela governança da entidade usuária incluem:

• qualquer monitoramento de controles que pode ser implementado pela entidade usuária, incluindo aqueles identificados em decorrência de se obter o Relatório Tipo 1 ou Relatório Tipo 2;
• exemplos de controles complementares da entidade usuária citados no Relatório Tipo 1 ou Relatório Tipo 2, mas que não são implementados na entidade usuária; e
• controles que podem ser necessários na organização prestadora de serviços e que não parecem ter sido implementados ou que não são cobertos especificamente pelo Relatório Tipo 2.

 (Alterado pela Revisão NBC 11/2021 - Vigora até 31/12/2021)

 (Nova Redação dada pela Revisão NBC 11/2021 - Vigora a partir de 01/01/2022)

Relatório Tipo 1 e Relatório Tipo 2 que excluem os serviços de uma organização subcontratada para prestação de serviços (ver item 18) - item A40

A40. Se uma organização prestadora de serviços subcontrata outra organização prestadora de serviços, o relatório do auditor da primeira organização pode incluir ou excluir os objetivos de controle relevantes para a organização subcontratada e os respectivos controles na descrição da organização prestadora de serviços, de seu sistema e no alcance do trabalho do seu auditor. Esses dois métodos de elaboração de relatórios são conhecidos como método de inclusão e método de desmembramento (carve out), respectivamente. Se o Relatório Tipo 1 ou Relatório Tipo 2 exclui os controles de uma organização subcontratada para prestação de serviços e os serviços prestados por essa organização são relevantes para a auditoria das demonstrações contábeis da entidade usuária, o auditor da usuária deve aplicar os requisitos desta Norma em relação à organização subcontratada. A natureza e extensão do trabalho a ser executado pelo auditor da usuária em relação aos serviços prestados por uma organização subcontratada para prestação de serviços dependem da natureza e importância desses serviços para a entidade usuária e da relevância desses serviços para a auditoria. A aplicação do requisito do item 9 auxilia o auditor da usuária na determinação do efeito da organização subcontratada para prestação de serviços e da natureza e extensão do trabalho a ser executado.

Fraude, não conformidade com leis e regulamentos e distorções não corrigidas em relação às atividades na organização prestadora de serviços (ver item 19) - item A41

A41. A organização prestadora de serviços pode ter que, segundo os termos do contrato com a entidade usuária, divulgar para as entidades usuárias afetadas qualquer fraude, não conformidade com leis e regulamentos ou distorções não corrigidas atribuíveis à administração ou aos empregados da organização prestadora de serviços. Conforme requerido pelo item 19, o auditor da usuária indaga à administração da entidade usuária sobre se a organização prestadora de serviços comunicou algum desses assuntos e avalia se os assuntos comunicados pela organização prestadora de serviços afetam a natureza, época e extensão dos seus procedimentos adicionais de auditoria. Em certas circunstâncias, o auditor pode requerer informações adicionais para fazer essa avaliação e pode solicitar que a entidade usuária entre em contato com a organização prestadora de serviços para obter as informações necessárias.

Emissão de relatório pelo auditor da entidade usuária dos serviços (ver item 20) - item A42 - A44

A42. Quando o auditor da usuária não consegue obter evidência de auditoria apropriada e suficiente em relação aos serviços relevantes prestados pela organização prestadora de serviços para a auditoria das demonstrações contábeis da entidade usuária, existe uma limitação no alcance da auditoria. Isso ocorre quando:

• o auditor da usuária não consegue obter suficiente entendimento dos serviços prestados pela organização prestadora de serviços e não possui uma base para a identificação e a avaliação dos riscos de distorção relevante;
• a avaliação de riscos do auditor da usuária inclui uma expectativa de que os controles na organização prestadora de serviços estão operando de maneira efetiva, mas o auditor da usuária não consegue obter evidência de auditoria apropriada e suficiente sobre a efetividade operacional desses controles; ou
• somente os registros mantidos na organização prestadora de serviços podem fornecer evidência de auditoria apropriada e suficiente, e o auditor da usuária não consegue obter acesso direto a esses registros.

O fato do auditor da usuária expressar uma opinião com ressalva ou abstenção de opinião depende da sua conclusão sobre se os possíveis efeitos sobre as demonstrações contábeis são relevantes ou disseminados de forma generalizada.

Referência ao trabalho do auditor da organização prestadora de serviços (ver itens 21 e 22)

A43. Em alguns casos, a legislação ou regulamentação de jurisdições fora do Brasil pode requerer uma referência ao trabalho do auditor da organização prestadora de serviços no relatório do auditor da usuária, por exemplo, para fins de transparência no setor público. Nessas circunstâncias, o auditor da usuária pode precisar da permissão do auditor da organização prestadora de serviços antes de fazer essa referência.

A44. O fato da entidade usuária utilizar uma organização prestadora de serviços não altera a responsabilidade do auditor da usuária, de acordo com as normas de auditoria, de obter evidência de auditoria apropriada e suficiente para conseguir uma base razoável para suportar sua opinião. Portanto, o auditor não faz referência ao relatório do auditor da organização prestadora de serviços como base para sua opinião sobre as demonstrações contábeis da entidade usuária. Contudo, quando o auditor expressa uma opinião modificada, decorrente de opinião também modificada em relatório do auditor da organização prestadora de serviços, o auditor da usuária não está impedido de fazer referência ao relatório do auditor da organização prestadora de serviços se essa referência ajuda a explicar a razão da sua opinião modificada. Nessas circunstâncias, o auditor da usuária pode precisar da permissão do auditor da organização prestadora de serviços antes de fazer essa referência.