início > contabilidade Ano XX - 23 de maio de 2019



QR - Mobile Link
NBC-TA-265 - COMUNICAÇÃO DE DEFICIÊNCIAS DE CONTROLE INTERNO

NBC - NORMAS BRASILEIRAS DE CONTABILIDADE
NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE

RESOLUÇÃO CFC 1.210/2009

NBC-TA-265 - COMUNICAÇÃO DE DEFICIÊNCIAS DE CONTROLE INTERNO

Esta Norma deve ser lida juntamente com a NBC-TA-200 - Objetivos Gerais do Auditor Independente e a Condução da Auditoria em Conformidade com Normas de Auditoria.

INTRODUÇÃO

  • Alcance - item 1 - 3
  • Data de vigência - item 4

Alcance

1. Esta Norma trata da responsabilidade do auditor de comunicar apropriadamente, aos responsáveis pela governança e à administração, as deficiências de controle interno que foram identificadas na auditoria das demonstrações contábeis. Esta Norma não impõe responsabilidades adicionais ao auditor na obtenção de entendimento do controle interno, assim como no planejamento e na execução de testes de controle além dos requisitos da NBC-TA-315, itens 4 e 12, e da NBC-TA-330. A NBC-TA-260 estabelece requisitos adicionais e fornece orientação sobre a responsabilidade do auditor na comunicação com os responsáveis pela governança em relação à auditoria de demonstrações contábeis.

2. O auditor deve obter entendimento do controle interno relevante para a auditoria ao identificar e avaliar os riscos de distorção relevante (NBC-TA-315, item 12, e itens A60 a A65 da NBC-TA-315 fornecem orientação sobre controles relevantes para a auditoria). Nessas avaliações de risco, o auditor considera o controle interno para planejar os procedimentos de auditoria que são apropriados nas circunstâncias, mas não para fins de expressar uma opinião sobre a eficácia do controle interno. O auditor pode identificar deficiências do controle interno, não somente durante esse processo de avaliação de risco, mas, também, em qualquer outra etapa da auditoria. Esta Norma especifica quais deficiências identificadas pelo auditor devem ser comunicadas aos responsáveis pela governança e à administração.

3. Esta Norma não impede o auditor de comunicar aos responsáveis pela governança e à administração outros assuntos sobre controle interno que o auditor tenha identificado durante a auditoria.

Data de vigência

4. Esta Norma é aplicável a auditoria de demonstrações contábeis para períodos iniciados em ou após 1º. de janeiro de 2010.

OBJETIVO - item 5

5. O objetivo do auditor é comunicar apropriadamente, aos responsáveis pela governança e à administração, as deficiências de controle interno que o auditor identificou durante a auditoria e que, no seu julgamento profissional, são de importância suficiente para merecer a atenção deles.

DEFINIÇÕES - item 6

6. Para fins das normas de auditoria, os termos a seguir possuem os seguintes significados a eles atribuídos:

Deficiência de controle interno existe quando:

I - o controle é planejado, implementado ou operado de tal forma que não consegue prevenir, ou detectar e corrigir tempestivamente, distorções nas demonstrações contábeis; ou

II - falta um controle necessário para prevenir, ou detectar e corrigir tempestivamente, distorções nas demonstrações contábeis.

Deficiência significativa de controle interno é a deficiência ou a combinação de deficiências de controle interno que, no julgamento profissional do auditor, é de importância suficiente para merecer a atenção dos responsáveis pela governança (ver item A5).

REQUISITOS - item 7 - 11

7. O auditor deve determinar se, com base no trabalho de auditoria executado, ele identificou uma ou mais deficiências de controle interno (ver itens A1 a A4).

8. Se o auditor identificou uma ou mais deficiências de controle interno, o auditor deve determinar, com base no trabalho de auditoria executado, se elas constituem, individualmente ou em conjunto, deficiência significativa (ver itens A5 a A11).

9. O auditor deve comunicar tempestivamente por escrito as deficiências significativas de controle interno identificadas durante a auditoria aos responsáveis pela governança (ver itens A12 a A17, item A18 e item A27).

10. O auditor também deve comunicar tempestivamente à administração no nível apropriado de responsabilidade (ver item A19 e item A27):

(a) por escrito, as deficiências significativas de controle interno que o auditor comunicou ou pretende comunicar aos responsáveis pela governança, a menos que não seja apropriado nas circunstâncias comunicar diretamente à administração (ver item A14, itens A20 e A21); e

(b) outras deficiências de controle interno identificadas durante a auditoria que não foram comunicadas à administração ou a outras partes e que, no julgamento profissional do auditor, são de importância suficiente para merecer a atenção da administração (ver itens A22 a A26).

11. O auditor deve incluir na comunicação por escrito das deficiências significativas de controle interno:

(a) descrição das deficiências e explicação de seus possíveis efeitos (ver item A28); e

(b) informações suficientes para permitir que os responsáveis pela governança e a administração entendam o contexto da comunicação. O auditor deve especificamente explicar que (ver itens A29 e A30):

I - o objetivo da auditoria era o de expressar uma opinião sobre as demonstrações contábeis;

II - a auditoria incluiu a consideração do controle interno relevante para a elaboração das demonstrações contábeis com a finalidade de planejar procedimentos de auditoria que são apropriados nas circunstâncias, mas não para fins de expressar uma opinião sobre a eficácia do controle interno; e

III - os assuntos comunicados estão limitados às deficiências que o auditor identificou durante a auditoria e concluiu serem de importância suficiente para comunicar aos responsáveis pela governança.

APLICAÇÃO E OUTROS MATERIAIS EXPLICATIVOS

  • Determinação se foram identificadas deficiências de controle interno - item A1 - A4
    • Considerações específicas para entidades de pequeno porte - itens A3 - A4
  • Deficiências significativas de controle interno - item A5 - A11
  • Comunicação de deficiências de controle interno - item A12 - A30
    • Comunicação de deficiência significativa de controle interno aos responsáveis pela governança - itens A12 - A17
    • Considerações específicas para entidade de pequeno porte - item A18
    • Comunicação de deficiência de controle interno à administração - itens A19
    • Comunicação de deficiência significativa de controle interno à administração - item A20 - A21
    • Comunicação de outras deficiências de controle interno à administração - item A22 - A26
    • Considerações específicas de entidade do setor público - item A27
    • Conteúdo da comunicação de deficiência significativa de controle interno - itens A28 - A30

Determinação se foram identificadas deficiências de controle interno (ver item 7)

A1. Ao determinar se foram identificadas uma ou mais deficiências de controle interno, o auditor pode discutir os fatos e as circunstâncias relevantes das suas observações com o nível adequado da administração. Essa discussão fornece oportunidade para o auditor alertar tempestivamente a administração sobre a existência de deficiências sobre as quais a administração possivelmente não tinha conhecimento. O nível da administração com o qual é apropriado discutir as observações é aquele que está familiarizado com a área de controle interno relacionada e que tem autoridade para tomar as medidas corretivas para quaisquer deficiências de controle interno identificadas. Em algumas circunstâncias, pode não ser apropriado para o auditor discutir as suas constatações diretamente com a administração, por exemplo, se elas parecerem questionar a integridade ou competência da administração (ver item A20).

A2. Ao discutir os fatos e as circunstâncias das suas observações com a administração, o auditor pode obter outras informações relevantes para consideração adicional, como:

  • entendimento da administração das causas reais ou suspeitas das deficiências;
  • exceções decorrentes das deficiências que a administração pode ter observado, por exemplo, distorções que não foram prevenidas pelos controles de tecnologia da informação (TI) relevantes;
  • indicação preliminar da administração de sua resposta às observações.

Considerações específicas para entidades de pequeno porte

A3. Embora os conceitos que suportam as atividades de controle em entidades de pequeno porte sejam provavelmente semelhantes aos de entidades de grande porte, a formalidade com que operam variará. Além disso, as entidades de pequeno porte podem determinar que certos tipos de atividades de controle não são necessários devido aos controles aplicados pela administração. Por exemplo, a autoridade exclusiva da administração de conceder crédito a clientes e aprovar aquisições significativas pode proporcionar o controle efetivo sobre saldos contábeis e transações importantes, diminuindo ou eliminando a necessidade de atividades de controle mais detalhadas.

A4. Além disso, entidades de pequeno porte frequentemente possuem menos empregados, que pode limitar até que ponto a segregação de funções é praticável. Entretanto, em entidade de pequeno porte administrada pelo proprietário, ele pode ser capaz de supervisionar de maneira mais eficaz do que em uma entidade de grande porte. Esse nível mais alto de supervisão da administração deve compensar a maior probabilidade da administração burlar os controles.

Deficiências significativas de controle interno (ver item 6(b) e item 8)

A5. A importância de uma deficiência ou de uma combinação de deficiências de controle interno não depende somente se a distorção realmente ocorreu, mas, também, da probabilidade de que a distorção poderia ocorrer e a possível magnitude da distorção. Portanto, podem existir deficiências significativas mesmo que o auditor não tenha identificado distorções durante a auditoria.

A6. Exemplos de assuntos que o auditor pode considerar ao determinar se a deficiência ou a combinação de deficiências de controle interno constitui deficiência significativa incluem:

  • a probabilidade das deficiências levarem a distorção relevante nas demonstrações contábeis no futuro;
  • a susceptibilidade à perda ou à fraude do respectivo ativo ou passivo;
  • a subjetividade e a complexidade da determinação de valores estimados, como estimativas contábeis a valor de mercado;
  • os valores das demonstrações contábeis expostos às deficiências;
  • o volume de atividade que ocorreu ou poderia ocorrer nos saldos contábeis ou na classe de transações expostas à deficiência ou às deficiências;
  • a importância dos controles para o processo de elaboração de demonstrações contábeis; por exemplo:
    • controle de monitoramento geral (tais como supervisão da administração);
    • controle sobre a prevenção e a detecção de fraude;
    • controle sobre a seleção e a aplicação das principais práticas contábeis;
    • controle sobre transações significativas com partes relacionadas;
    • controle sobre transações significativas fora do curso normal dos negócios da entidade;
    • controles sobre o processo de elaboração de demonstrações contábeis de final de período (tais como controle sobre lançamentos não recorrentes ou não usuais);
  • a causa e a frequência das exceções detectadas em decorrência das deficiências de controle;
  • a interação da deficiência com outras deficiências do controle interno.

A7. Os indicadores de deficiência significativa do controle interno incluem, por exemplo:

  • evidência de aspectos ineficazes do ambiente de controle, como:
    • indicações de que transações significativas, nas quais a administração está financeiramente interessada, não estão sendo apropriadamente analisadas pelos responsáveis pela governança;
    • identificação de fraude da administração, relevante ou não, que não foi prevenida pelo controle interno da entidade;
    • falha da administração ao não implementar medidas corretivas apropriadas para as deficiências significativas anteriormente comunicadas;
  • ausência de processo de avaliação de risco na entidade em que a existência desse processo seria normalmente esperada;
  • evidência de processo de avaliação de risco ineficaz, tais como falha da administração para identificar risco de distorção relevante que o auditor esperaria que o processo de avaliação de risco tivesse identificado;
  • evidência de resposta ineficaz a riscos significativos identificados (por exemplo, ausência de controle sobre esses riscos);
  • distorção detectada pelos procedimentos do auditor que não foi prevenida ou detectada e corrigida, pelo controle interno da entidade;
  • reapresentação de demonstrações contábeis emitidas anteriormente para refletir a correção de distorção relevante devido a erro ou a fraude;
  • evidência da incapacidade da administração de supervisionar a elaboração das demonstrações contábeis.

A8. Os controles podem ser planejados para operarem individualmente ou em conjunto para prevenir, ou detectar e corrigir, as distorções de maneira eficaz (NBC-TA-315, item A66). Controles sobre contas a receber, por exemplo, podem consistir de controles automatizados e manuais elaborados para operarem em conjunto para prevenir, ou detectar e corrigir, distorções no saldo contábil. A deficiência de controle interno, por si só, pode não ser suficientemente importante para se constituir em deficiência significativa. Entretanto, a combinação de deficiências que afeta o mesmo saldo contábil ou a mesma divulgação, a mesma afirmação relevante, ou o mesmo componente do controle interno, pode aumentar os riscos de distorção a ponto de dar origem a uma deficiência significativa.

A9. A legislação ou os regulamentos em algumas jurisdições podem estabelecer requisito (especificamente para auditoria de entidade registrada em bolsa) para que o auditor comunique aos responsáveis pela governança ou a outras partes relevantes (como agências reguladoras) um ou mais tipos específicos de deficiência de controle interno que o auditor tenha identificado durante a auditoria. Quando a legislação ou o regulamento estabelecem termos e definições específicos para esses tipos de deficiência e requer que o auditor use esses termos e definições para fins de comunicação, o auditor usa esses termos e definições nas comunicações de acordo com os requisitos legais ou regulatórios.

A10. Quando a jurisdição estabeleceu termos específicos para tipos de deficiência de controle interno a serem comunicados, mas não definiu esses termos, pode ser necessário que o auditor use julgamento para determinar os assuntos a serem comunicados, em adição ao requisito legal ou regulatório. No Brasil, não existem ainda termos determinados por reguladores específicos. Ao determinar os assuntos a serem comunicados, o auditor pode considerar apropriado os requisitos e a orientação desta Norma. Por exemplo, se a finalidade do requisito legal ou regulatório é o de levar ao conhecimento dos responsáveis pela governança certos assuntos sobre controle interno sobre os quais eles deveriam ter conhecimento, pode ser adequado considerar esses assuntos como sendo geralmente equivalentes às deficiências significativas que devem ser comunicadas aos responsáveis pela governança de acordo com esta Norma.

A11. Os requisitos desta Norma permanecem aplicáveis independentemente de a lei ou o regulamento requerer que o auditor use termos ou definições específicos.

Comunicação de deficiências de controle interno

Comunicação de deficiência significativa de controle interno aos responsáveis pela governança (ver item 9)

A12. A comunicação de deficiências significativas por escrito aos responsáveis pela governança reflete a importância desses assuntos e auxilia os responsáveis pela governança a cumprirem suas responsabilidades de supervisão geral. A NBC-TA-260, item 13, estabelece considerações relevantes sobre comunicação com os responsáveis pela governança quando todos eles estão envolvidos na administração da entidade.

A13. Ao determinar quando emitir a comunicação por escrito, o auditor pode considerar se o recebimento dessa comunicação seria um fator importante para permitir que os responsáveis pela governança desempenhem suas responsabilidades de supervisão geral. Além disso, para entidades registradas em bolsa em certas jurisdições, os responsáveis pela governança podem ter que receber a comunicação por escrito do auditor antes da data de aprovação das demonstrações contábeis para desempenhar responsabilidades específicas em relação ao controle interno, para fins regulatórios ou para atender outros propósitos. Para outras entidades, o auditor pode emitir a comunicação por escrito em uma data posterior. Contudo, neste último caso, considerando que a comunicação por escrito do auditor sobre deficiências significativas faz parte do arquivo de auditoria final, a comunicação por escrito está sujeita ao requisito do item 14 da NBC-TA-230, que requer do auditor a montagem tempestiva do arquivo de auditoria final. A NBC-TA-230 estabelece que o limite de tempo adequado para a conclusão da montagem do arquivo de auditoria final é normalmente de no máximo 60 dias após a data do relatório do auditor independente (NBC-TA-230, item A21).

A14. Independentemente da época da comunicação por escrito de deficiências significativas, o auditor pode comunicá-las verbalmente em primeira instância à administração e, quando apropriado, aos responsáveis pela governança para auxiliá-los a tomar tempestivamente as medidas corretivas para minimizar os riscos de distorção relevante. Contudo, isso não isenta o auditor da responsabilidade de comunicar as deficiências significativas por escrito, conforme requerido por esta Norma.

A15. O nível de detalhes de deficiências significativas a ser comunicado é uma questão de julgamento profissional do auditor nas circunstâncias. Os fatores que o auditor pode considerar ao determinar um nível de detalhe apropriado para a comunicação incluem, por exemplo:

  • a natureza da entidade. Por exemplo, a comunicação requerida para entidade de interesse público pode ser diferente daquela requerida para entidade que não seja de interesse público;
  • o porte e a complexidade da entidade. Por exemplo, a comunicação requerida para entidade complexa pode ser diferente da requerida para entidade que opera um negócio simples;
  • a natureza das deficiências significativas que o auditor identificou;
  • a composição da governança da entidade. Por exemplo, podem ser necessários mais detalhes se os responsáveis pela governança incluem membros que não têm experiência significativa no setor da entidade ou nas áreas afetadas;
  • requisitos legais ou regulatórios relativos à comunicação de tipos específicos de deficiência de controle interno.

A16. A administração e os responsáveis pela governança podem já ter conhecimento de deficiências significativas que o auditor identificou durante a auditoria e optado por não corrigi-las por causa do custo ou de outras considerações. A responsabilidade pela avaliação dos custos e benefícios de implementar medidas corretivas é da administração e dos responsáveis pela governança. Consequentemente, o requisito do item 9 se aplica independentemente de custo ou outras considerações que a administração e os responsáveis pela governança podem considerar relevante para determinar se essas deficiências devem ser corrigidas.

A17. O fato de que o auditor comunicou uma deficiência significativa aos responsáveis pela governança e à administração na auditoria anterior não elimina a necessidade dele repetir a comunicação se ainda não foi tomada medida corretiva. Se a deficiência significativa comunicada anteriormente não foi corrigida, a comunicação do exercício corrente pode repetir a descrição da comunicação anterior, ou simplesmente fazer referência à comunicação anterior. O auditor pode perguntar à administração ou, quando apropriado, aos responsáveis pela governança porque a deficiência significativa ainda não foi corrigida. A falha por não agir, sem explicação racional, pode por si só, representar deficiência significativa.

Considerações específicas para entidade de pequeno porte

A18. No caso de auditoria de entidade de pequeno porte, o auditor pode fazer comunicação aos responsáveis pela governança de forma menos estruturada do que no caso de entidade de grande porte.

Comunicação de deficiência de controle interno à administração (ver item 10)

A19. Normalmente, o nível apropriado da administração é o que tem a responsabilidade e a autoridade para avaliar as deficiências de controle interno e tomar as medidas corretivas necessárias. Para deficiências significativas, o nível adequado é provavelmente o diretor presidente ou diretor financeiro (ou equivalente) uma vez que esses assuntos também devem ser comunicados aos responsáveis pela governança. Para outras deficiências de controle interno, o nível adequado pode ser a administração operacional com envolvimento mais direto nas áreas de controle afetadas e com autoridade para tomar a medida corretiva apropriada.

Comunicação de deficiência significativa de controle interno à administração (ver item 10(a))

A20. Certas deficiências significativas de controle interno identificadas podem colocar em dúvida a integridade ou a competência da administração. Por exemplo, pode haver evidência de fraude ou não conformidade intencional de leis ou regulamentos pela administração, ou a administração pode demonstrar ser incapaz de supervisionar a elaboração adequada de demonstrações contábeis adequadas pode gerar dúvida sobre a competência da administração. Consequentemente, pode não ser apropriado comunicar essas deficiências diretamente à administração.

A21. A NBC-TA-250 estabelece requisitos e fornece orientação sobre a comunicação de suspeita ou efetiva não conformidade com leis e regulamentos, inclusive quando os próprios responsáveis pela governança estão envolvidos na referida não conformidade (ver NBC-TA-250, itens 22 a 28).

A NBC-TA-240, item 41, estabelece requisitos e fornece orientação sobre a comunicação aos responsáveis pela governança quando o auditor identificou fraude ou suspeita de fraude envolvendo a administração.

Comunicação de outras deficiências de controle interno à administração (ver item 10(b))

A22. Durante a auditoria, o auditor pode identificar outras deficiências de controle interno que não são deficiências significativas, mas podem ser de importância suficiente para merecer a atenção da administração. A determinação sobre quais dessas deficiências de controle interno merecem a atenção da administração é uma questão de julgamento profissional do auditor nas circunstâncias, levando em consideração a probabilidade e a possível magnitude de distorções que podem surgir nas demonstrações contábeis em decorrência dessas deficiências.

A23. A comunicação de outras deficiências de controle interno que merecem a atenção da administração não precisa ser por escrito, podendo, portanto, ser verbal. Quando o auditor discutiu os fatos e as circunstâncias das suas constatações com a administração, ele pode considerar que foi feita comunicação verbal das outras deficiências na época dessas discussões. Consequentemente, não precisa ser feita comunicação formal posteriormente.

A24. Se o auditor comunicou à administração as deficiências de controle interno que não sejam deficiências significativas no período anterior e a administração optou por não corrigi-las pelo custo ou por outras razões, o auditor não precisa repetir a comunicação no período corrente. Além disso, não é requerido ao auditor repetir informações sobre essas deficiências se elas foram comunicadas anteriormente à administração por outras partes, como auditores internos ou agências reguladoras. Entretanto, pode ser adequado para o auditor comunicar novamente essas outras deficiências no caso de ter havido mudança da administração, ou de novas informações que chegaram ao seu conhecimento que alteram o entendimento anterior do auditor e da administração sobre as deficiências. Contudo, o fato de a administração não corrigir outras deficiências de controle interno, anteriormente comunicadas, pode se tornar uma deficiência significativa, requerendo que seja comunicada aos responsáveis pela governança. A determinação se esse é o caso depende do julgamento do auditor nas circunstâncias.

A25. Em algumas circunstâncias, os responsáveis pela governança podem solicitar que sejam informados detalhes de outras deficiências do controle interno que o auditor comunicou à administração, ou ser sucintamente informados da natureza das outras deficiências. Alternativamente, o auditor pode considerar adequado informar aos responsáveis pela governança sobre a comunicação das outras deficiências à administração. Em qualquer dos casos, o auditor pode fazer a comunicação verbal ou por escrito aos responsáveis pela governança, conforme adequado.

A26. A NBC-TA-260, item 9, estabelece considerações relevantes sobre comunicação com os responsáveis pela governança quando todos eles estão envolvidos na administração da entidade.

Considerações específicas de entidade do setor público (ver itens 9 e 10)

A27. Auditores do setor público podem ter responsabilidades adicionais de comunicar deficiências de controle interno que foram identificadas durante a auditoria, de diferentes maneiras, em nível de detalhes, e para partes não previstas nesta Norma. Por exemplo, deficiências significativas podem ter que ser comunicadas ao órgão legislativo ou outro órgão executivo. A lei, o regulamento ou outra autoridade também pode determinar que os auditores do setor público comuniquem deficiências de controle interno, independentemente da importância dos possíveis efeitos dessas deficiências. Além disso, a legislação pode requerer que os auditores do setor público comuniquem assuntos relacionados a controles internos de forma mais ampla do que as deficiências de controle interno que devem ser comunicadas de acordo com esta Norma, por exemplo, controles relacionados a cumprimento de determinações das autoridades legislativas, regulamentos ou cláusulas de contratos ou acordos de concessão.

Conteúdo da comunicação de deficiência significativa de controle interno (ver item 11)

A28. Ao explicar os possíveis efeitos das deficiências significativas, o auditor não precisa quantificar esses efeitos. As deficiências significativas podem ser agrupadas para fins de comunicação, quando adequado. O auditor também pode incluir na comunicação por escrito, suas sugestões para medidas corretivas das deficiências, as ações implementadas ou propostas pela administração, assim como informação sobre se o auditor verificou se as ações da administração foram implementadas (follow up pelo auditor).

A29. O auditor pode considerar apropriado incluir as seguintes informações como contexto adicional para a comunicação:

  • indicação de que se o auditor tivesse executado procedimentos mais extensivos sobre o controle interno, ele poderia ter identificado mais deficiências a serem comunicadas, ou concluído que algumas deficiências comunicadas, na verdade, não deveriam ter sido comunicadas;
  • indicação de que essa comunicação foi fornecida aos responsáveis pela governança e que pode não servir para outras finalidades.

A30. A legislação ou a regulamentação pode requerer que o auditor ou a administração forneça uma cópia por escrito da comunicação do auditor sobre as deficiências significativas para as autoridades reguladoras. Nesse caso, a comunicação por escrito do auditor pode identificar essas autoridades reguladoras.


(...)

Quer ver mais! Assine o Cosif Eletrônico.