NBC - NORMAS BRASILEIRAS DE CONTABILIDADE
NBC-T - NORMAS TÉCNICAS
NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE

NBC-TA-315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE POR MEIO DO ENTENDIMENTO DA ENTIDADE E DO SEU AMBIENTE

APÊNDICE 1 - COMPONENTES DO CONTROLE INTERNO (ver itens 4(c), 14 a 24 e A76 a A117)

1. Este Apêndice explica em mais detalhes os componentes do controle interno, como expostos nos itens 4(c), 14 a 24 e A76 a A117, na medida em que se relacionam com a auditoria de demonstrações contábeis.

1. Ambiente de controle
2. Processo de avaliação de risco da entidade
3. Sistema de informação, incluindo processos de negócio relacionados relevantes para as demonstrações contábeis e comunicação
4. Atividades de controle
5. Monitoramento de controles

Ambiente de controle

2. O ambiente de controle abrange os seguintes elementos:

(a) Comunicação, integridade e valores éticos. A efetividade dos controles não pode estar acima da integridade e dos valores éticos das pessoas que os criam, administram e monitoram. A integridade e a conduta ética são o produto dos padrões éticos e da conduta da entidade, como são comunicados e reforçados na prática. As ações da administração para eliminar ou mitigar oportunidades ou tentações que possam levar os empregados a se envolverem em atos desonestos, ilegais ou não éticos reforçam a integridade e os valores éticos. A comunicação de políticas da entidade sobre integridade e valores éticos pode incluir a comunicação de padrões de conduta para os empregados por meio de declarações de política e códigos de conduta, por exemplo.

(b) Compromisso com a competência. Competência é o conhecimento e as habilidades necessárias para a realização de tarefas que definem o trabalho do indivíduo.

(c) Participação dos responsáveis pela governança. A consciência de controle da entidade é influenciada significativamente pelos responsáveis pela governança. A importância da responsabilidade dos responsáveis pela governança é reconhecida em códigos de prática e outras leis e regulamentos ou orientação produzida em benefício dos responsáveis pela governança. Outras responsabilidades dos responsáveis pela governança incluem a supervisão de como foi projetado e como são efetivamente operados os canais de comunicação de denúncia e do processo de revisão da efetividade do controle interno da entidade.

(d) Filosofia e estilo operacional da administração. A filosofia e o estilo operacional da administração abrangem ampla série de características. Por exemplo, as posturas e as ações da administração para com as demonstrações contábeis podem manifestar-se por meio da seleção conservadora ou agressiva de princípios contábeis alternativos, ou consciência e conservadorismo com os quais são elaboradas as estimativas contábeis.

(e) Estrutura organizacional. Estabelecer uma estrutura organizacional pertinente inclui a consideração de áreas-chave de autoridade e responsabilidade e linhas de reporte apropriadas. A adequação da estrutura organizacional da entidade depende, em parte, do seu tamanho e da natureza de suas atividades.

(f) Atribuição de autoridade e responsabilidade. A atribuição de autoridade e responsabilidade pode incluir políticas relacionadas com práticas de negócio apropriadas, conhecimento e experiência do pessoal-chave, assim como recursos fornecidos para a execução desses objetivos. Além disso, pode incluir políticas e comunicações voltadas para assegurar que todas as pessoas da entidade compreendam os objetivos da entidade, saibam como as suas ações individuais se inter-relacionam, contribuam para esses objetivos e reconheçam como e pelo que serão considerados responsáveis.

(g) Políticas e práticas de recursos humanos. As políticas e práticas de recursos humanos muitas vezes demonstram assuntos importantes em relação à consciência de controle da entidade. Por exemplo, os padrões para recrutar os indivíduos mais qualificados - com ênfase no histórico educacional, experiência de trabalho anterior, realizações passadas e evidências de integridade e conduta ética - demonstram o compromisso da entidade com pessoas competentes e dignas de confiança. Políticas de treinamento que comuniquem perspectivas de funções e responsabilidades e incluam práticas tais como cursos e seminários que ilustrem os níveis de desempenho e conduta esperados. Promoções suportadas por avaliações periódicas de desempenho demonstram o compromisso da entidade com a promoção do pessoal qualificado a níveis mais elevados de responsabilidade.

Processo de avaliação de risco da entidade

3. Para fins de demonstrações contábeis, o processo de avaliação de riscos da entidade inclui a maneira como a administração identifica riscos de negócio relevantes para a elaboração de demonstrações contábeis em conformidade com a estrutura de relatório financeiro aplicável à entidade, estima a sua significância, avalia a probabilidade de sua ocorrência e decide por ações para responder e administrar tais riscos e os resultados dessas ações. Por exemplo, o processo de avaliação de riscos da entidade pode tratar como a entidade considera a possibilidade de existência de transações não registradas ou identifica e analisa estimativas significativas registradas nas demonstrações contábeis.

4. Os riscos relevantes quanto à fidedignidade das demonstrações contábeis incluem eventos externos e internos, transações ou circunstâncias que possam ocorrer e afetar adversamente a capacidade da entidade de iniciar, registrar, processar e reportar dados financeiros compatíveis com as afirmações da administração nas demonstrações contábeis. A administração pode iniciar planos, programas ou ações para enfrentar riscos específicos ou pode decidir aceitar um risco por causa do custo ou de outras considerações. Os riscos podem surgir ou se modificar em decorrência de circunstâncias tais como:

1. Mudanças no ambiente operacional. Mudanças no ambiente regulatório ou operacional podem resultar em mudanças nas pressões competitivas e riscos significativamente diferentes.
2. Mudanças no Pessoal. Novas pessoas podem ter foco ou entendimento diferente do controle interno.
3. Sistemas de informação novos ou remodelados. Mudanças rápidas e significativas nos sistemas de informação podem mudar o risco relacionado ao controle interno.
4. Crescimento rápido. A expansão rápida e significativa das operações pode prejudicar os controles e aumentar o risco de falhas nos controles.
5. Nova tecnologia. Incorporar novas tecnologias aos processos de produção ou sistemas de informação pode mudar o risco associado ao controle interno.
6. Novos modelos de negócio, produtos ou atividades. Entrar em áreas de negócio ou transações com as quais a entidade tem pouca experiência pode introduzir novos riscos associados ao controle interno.
7. Reestruturações corporativas. Reestruturações podem ser acompanhadas por redução de pessoal e mudança na supervisão e segregação de funções que podem mudar o risco associado ao controle interno.
8. Expansão de operações internacionais. A expansão ou aquisição de operações internacionais traz riscos novos e muitas vezes sem qualquer paralelo com os riscos anteriores, que podem afetar o controle interno, por exemplo, riscos adicionais ou modificados nas transações em moeda estrangeira.
9. Novas normas contábeis. A adoção de novos princípios contábeis ou modificação de princípios contábeis pode afetar riscos na elaboração de demonstrações contábeis.

Sistema de informação, incluindo processos de negócio relacionados relevantes para as demonstrações contábeis e comunicação

5. Sistema de informação é composto de infraestrutura (componentes físicos e de hardware), software, pessoas, procedimentos e dados. Muitos sistemas de informação fazem uso extenso de tecnologia da informação (TI).

6. O sistema de informação relevante para objetivos de demonstrações contábeis, que inclui o sistema de relatórios financeiros, abrange métodos e registros que:

1. identificam e registram todas as transações válidas;
2. descrevem tempestivamente as transações com detalhamento suficiente para permitir a classificação apropriada de transações para as demonstrações contábeis;
3. mensuram o valor das transações de forma que permitam registrar o seu apropriado valor monetário nas demonstrações contábeis;
4. determinam o período de tempo em que as transações ocorreram para permitir o registro das transações no período contábil correto;
5. apresentam adequadamente as transações e divulgações relacionadas nas demonstrações contábeis.

7. A qualidade das informações geradas por sistemas afeta a capacidade da administração de tomar decisões apropriadas na gestão e controle das atividades da entidade e na elaboração de demonstrações contábeis confiáveis.

8. A comunicação, que envolve fornecer entendimento de funções e responsabilidades individuais próprias do controle interno sobre as demonstrações contábeis, pode assumir as formas de manuais de políticas, manuais de relatórios contábeis e financeiros e memorandos. A comunicação também pode ser feita eletronicamente, verbalmente e por meio de ações da administração.

Atividades de controle

9. Geralmente, as atividades de controle que podem ser relevantes para a auditoria podem ser classificadas como políticas e procedimentos que pertencem ao seguinte:

1. Revisões de desempenho. Essas atividades de controle incluem revisões e análises de desempenho real versus orçamentos, previsões e desempenho de períodos anteriores; relacionar diferentes conjuntos de dados - operacionais ou contábeis/financeiros - entre si, juntamente com análises das relações e ações investigativas e corretivas; comparar dados internos com fontes externas de informação; e revisão de desempenho funcional ou de atividades.
2. Processamento de informações. Os dois grandes agrupamentos de atividades de controle dos sistemas de informação são os controles de aplicativos, que estão relacionados ao processamento de aplicativos individuais, e os controles gerais de TI, que são políticas e procedimentos que se relacionam com muitos aplicativos e sustentam o funcionamento efetivo dos controles de aplicativos ao ajudar a assegurar a operação adequada contínua dos sistemas de informação. Exemplos de controles de aplicativos incluem checar a exatidão aritmética dos registros, manter e revisar contas, balancetes e controles automatizados como teste de verificação de dados de entrada e checagens de sequência numérica, assim como acompanhamento manual de relatórios de exceções. Exemplos de controles gerais de TI são controles de mudança de programas, controles da implementação de novos lançamentos de pacotes de aplicativos e controles sobre os aplicativos que restringem o acesso ou monitoram o uso de utilidades de sistema que possam modificar dados ou registros financeiros sem deixar uma trilha de auditoria.
3. Controle físico. Controles que abrangem:
   • a segurança física dos ativos, incluindo salvaguardas adequadas como instalações seguras para acesso a ativos e registros;
   • a autorização de acesso a programas de computador e arquivos de dados;
   • a contagem e a comparação periódicas com valores apresentados nos registros de controle (por exemplo, comparar os resultados de contagens de dinheiro, títulos e estoques com registros contábeis).

A extensão, em que os controles físicos destinados a impedir roubo de ativos são relevantes para a confiabilidade da elaboração de demonstrações contábeis e, portanto, da auditoria, depende de circunstâncias como quando os ativos são altamente suscetíveis à apropriação indevida.

• Segregação de funções. Atribuir a pessoas diferentes as responsabilidades de autorizar e registrar transações, bem como manter a custódia dos ativos. A segregação de funções destina-se a reduzir as oportunidades que permitam a qualquer pessoa estar em posição de perpetrar e de ocultar erros ou fraudes no curso normal das suas funções.

10. Certas atividades de controle podem depender da existência de políticas estabelecidas pela alta administração ou pelos responsáveis pela governança. Por exemplo, os controles de autorização podem ser delegados sob diretrizes estabelecidas, tais como critérios de investimento estabelecidos pelos responsáveis pela governança; ou aquisições ou alienações importantes podem requerer aprovação de alto escalão, inclusive, em alguns casos, a dos acionistas/quotistas.

Monitoramento de controles

11. Uma importante responsabilidade da administração é estabelecer e manter o controle interno em base contínua. O monitoramento dos controles inclui considerar se eles estão operando conforme o pretendido e que sejam adequadamente modificados para atender as mudanças de condições. O monitoramento de controles pode incluir atividades como revisão pela administração para determinar se as conciliações bancárias estão sendo elaboradas tempestivamente, avaliação pelos auditores internos do cumprimento pelo pessoal de vendas das políticas da entidade nos termos de contratos de venda, e supervisão pelo departamento jurídico do cumprimento das políticas de ética ou prática de negócios da entidade. O monitoramento também é feito para assegurar que os controles continuem a operar efetivamente ao longo do tempo. Por exemplo, se a tempestividade e a exatidão das conciliações bancárias não forem monitoradas, é provável que os empregados parem de elaborá-las.

12. Auditores internos ou outros que executem funções similares podem contribuir para o monitoramento dos controles da entidade por meio de avaliações separadas. Normalmente, eles fornecem informações com regularidade a respeito do funcionamento do controle interno, concentrando atenção considerável na avaliação da efetividade desses controles e comunicam informações sobre os pontos fortes e deficiências dos controles e apresentam recomendações para aprimorá-los.

13. As atividades de monitoramento podem incluir o uso de informações de partes externas que possam indicar problemas ou ressaltar áreas com necessidade de aprimoramento. Os clientes confirmam implicitamente dados de faturamento ao pagarem suas faturas ou reclamarem de seus valores ou encargos. Além disso, os reguladores podem comunicar-se com a entidade a respeito de assuntos que afetem o funcionamento do controle interno, por exemplo, comunicações a respeito de exames por agências reguladoras bancárias. A administração também pode considerar comunicações referentes ao controle interno vindas de auditores externos ao executar atividades de monitoramento.