início > contabilidade Ano XXIII - 18 de agosto de 2022


QR - Mobile Link
NBC-TA-315 APLICAÇÃO E OUTROS MATERIAIS EXPLICATIVOS

NBC - NORMAS BRASILEIRAS DE CONTABILIDADE

NBC-T - NORMAS TÉCNICAS

NBC-TA - NORMAS TÉCNICAS DE AUDITORIA INDEPENDENTE

NBC-TA-315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE POR MEIO DO ENTENDIMENTO DA ENTIDADE E DO SEU AMBIENTE

APLICAÇÃO E OUTROS MATERIAIS EXPLICATIVOS - item A1 - A241

SUMÁRIO:

Coletânea por Américo G Parada Fº - Contador - Coordenador do COSIFE

NORMAS CORRELACIONADAS

  • NBC-TA-200 - Objetivos Gerais do Auditor Independente e a Condução da Auditoria em Conformidade com Normas de Auditoria
  • NBC-TA-220 - Controle de Qualidade da Auditoria de Demonstrações Contábeis
  • NBC-TA-230 - Documentação de Auditoria (Papéis de Trabalho)
  • NBC-TA-240 - Responsabilidade do Auditor em Relação a Fraude, no Contexto da Auditoria de Demonstrações Contábeis
  • NBC-TA-250 - Consideração de Leis e Regulamentos na Auditoria de Demonstrações Contábeis
  • NBC-TA-260 - Comunicação com os Responsáveis pela Governança
  • NBC-TA-300 - Planejamento da Auditoria de Demonstrações Contábeis
  • NBC-TA-320 - Materialidade no Planejamento e na Execução da Auditoria
  • NBC-TA-330 - Resposta do Auditor aos Riscos Avaliados (Compliance - Auditoria Interna)
  • NBC-TA-550 - Partes Relacionadas
  • NBC-TA-610 - Utilização do Trabalho de Auditoria Interna (Compliance - ABR - Auditoria Baseada em Riscos)
  • NBC-TA-705 - Modificações na Opinião do Auditor Independente

Aplicação e outros materiais explicativos - item A1 - A241

Definições (ver item 12) - item A1 - A10

  1. Afirmações - item A1
  2. Controles - item A2 - A5
  3. Controles de processamento de informações - item A6
  4. Fatores de risco inerentes - item A7 - A8
  5. Afirmações relevantes - item A9
  6. Risco significativo - A10

Afirmações (ver item 12(a)) - item A1

A1. Categorias de afirmações são utilizadas pelos auditores para considerar os diferentes tipos de distorções potenciais que podem ocorrer na identificação e avaliação dos riscos de distorção relevante e na resposta aos mesmos. Exemplos dessas categorias de afirmações estão descritos no item A190. As afirmações diferem das representações formais exigidas pela NBC TA 580 - Representações Formais para confirmar certos assuntos ou suportar outra evidência de auditoria.

Controles (ver item 12(c)) - item A2 - A5

A2. Controles estão embutidos nos componentes do sistema de controles internos da entidade.

A3. Políticas são implementadas por meio de ações do pessoal da entidade ou por meio da restrição do pessoal para tomar medidas que poderiam conflitar com essas políticas.

A4. Procedimentos podem ser autorizados por meio de documentação formal ou outra comunicação da administração ou dos responsáveis pela governança ou podem resultar de comportamentos que não são autorizados, mas condicionados pela cultura da entidade. Os procedimentos podem ser impostos por meio de ações permitidas pelos aplicativos de TI usados pela entidade ou por outros aspectos do ambiente de TI da entidade.

A5. Controles podem ser diretos ou indiretos. Os controles diretos são aqueles que são precisos o suficiente para tratar dos riscos de distorção relevante no nível da afirmação. Os controles indiretos são aqueles que suportam os controles diretos.

Controles de processamento de informações (ver item 12(e)) - item A6

A6. Os riscos à integridade das informações decorem da suscetibilidade à implementação ineficaz das políticas de informações da entidade, que são políticas que definem os fluxos de informações, registros e processos de apresentação de relatórios no sistema de informação da entidade. Os controles de processamento de informações são procedimentos que suportam a implementação efetiva das políticas de informações da entidade. Os controles de processamento de informações podem ser automatizados (isto é, embutidos nos aplicativos de TI) ou manuais (por exemplo, controles de entrada ou de saída) e podem contar com outros controles, incluindo outros controles de processamento de informações ou controles gerais de TI.

Fatores de risco inerentes (ver item 12(f)) - item A7 - A8

O Apêndice 2 descreve as considerações adicionais relacionadas com o entendimento dos fatores de risco inerentes.

A7. Os fatores de risco inerentes podem ser qualitativos ou quantitativos e afetam a suscetibilidade das afirmações a distorções. Os fatores de risco inerentes qualitativos relacionados com a preparação das informações exigidas pela estrutura de relatório financeiro aplicável incluem: • complexidade; • subjetividade; • mudança; • incerteza; ou • suscetibilidade à distorção devido à tendenciosidade da administração ou a outros fatores de risco de fraude à medida que eles afetam o risco inerente.

A8. Outros fatores de risco inerentes que afetam a suscetibilidade à distorção de uma afirmação sobre uma classe de transações, saldo contábil ou divulgação podem incluir: • a importância quantitativa ou qualitativa de uma classe de transações, saldo contábil ou divulgação; ou • o volume ou uma falta de uniformidade na composição dos itens a serem processados por meio da classe de transações ou saldo contábil ou a serem refletidos na divulgação.

Afirmações relevantes (ver item 12(h)) - item A9

A9. Um risco de distorção relevante pode estar relacionado com mais de uma afirmação e, nesse caso, todas as afirmações com as quais esse risco se relaciona são afirmações relevantes. Se uma afirmação não tem um risco identificado de distorção relevante, então ela não é uma afirmação relevante.

Risco significativo (ver item 12(l)) - A10

A10. A importância pode ser descrita como a importância relativa de um assunto e é julgada pelo auditor no contexto no qual o assunto está sendo considerado. Para o risco inerente, a importância pode ser considerada no contexto de como, e no grau em que, os fatores de risco inerentes afetam a combinação da probabilidade de uma distorção correr com a magnitude da distorção potencial caso ela ocorra.

Procedimentos de avaliação de riscos e atividades relacionadas (ver itens de 13 a 18) - item A11 - A47

  • Por que a obtenção de evidência de auditoria de forma não tendenciosa é importante - item A14 - A21
    • Fontes da evidência de auditoria - item A15
    • Escalabilidade - item A16 - A18
    • Tipos de procedimentos de avaliação de riscos - item A19 - A20
    • Ferramentas e técnicas automatizadas - item A21
  • Indagações junto à administração e a outros da entidade - item A22 - A24
    • Por que as indagações são dirigidas à administração e a outros da entidade? - item A22 - A23
    • Considerações específicas para entidades do setor público - item A24
  • Indagações junto à função de auditoria interna - item A25 - A26
    • Por que as indagações são dirigidas à função de auditoria interna (caso esse departamento exista)
    • Considerações específicas para entidades do setor público - item A26
  • Procedimentos analíticos - item A27 - A31
    • Por que os procedimentos analíticos são realizados como procedimento de avaliação de riscos - item A27 - A280
    • Tipos de procedimentos analíticos - item A29 - A30
    • Ferramentas e técnicas automatizadas - item A31
  • Observação e inspeção - item A32 - A36
    • Por que a observação e a inspeção são realizadas como procedimentos de avaliação de riscos - item A32
    • Escalabilidade - item A33
    • Observação e inspeção como procedimentos de avaliação de riscos - item A34
    • Ferramentas e técnicas automatizadas - item A35
    • Considerações específicas para entidades do setor público - item A36
  • Informações de outras fontes - item A37 - A38
    • Por que o auditor considera as informações de outras fontes - item A37
    • Outras fontes relevantes - item A38
  • Informações da experiência anterior do auditor com a entidade e auditorias anteriores - item A39 - A41
    • Por que as informações de auditorias anteriores são importantes para a auditoria atual - item A39
    • Natureza das informações de auditorias anteriores - item A40 - A41
  • Discussão entre a equipe encarregada do trabalho - item A42 - A47
    • Por que a equipe encarregada do trabalho precisa discutir a aplicação da estrutura de relatório financeiro aplicável e a suscetibilidade das demonstrações contábeis da entidade à distorção relevante - item A42 - A43
    • Escalabilidade - item A44 - A45
    • Discussão das divulgações na estrutura de relatório financeiro aplicável - item A46
    • Considerações específicas para entidades do setor público - item A47

A11. Os riscos de distorção relevante a serem identificados e avaliados incluem tanto aqueles causados por fraude como aqueles causados por erro e ambos são cobertos por esta Norma.
Entretanto, a importância da fraude é tamanha que requisitos e orientações adicionais estão incluídos na NBC TA 240, itens de 13 a 28, com relação aos procedimentos de avaliação de riscos e atividades relacionadas para se obter informações que são utilizadas na identificação e avaliação dos riscos de distorção relevante devido a fraude.

Além disso, as seguintes normas fornecem requisitos e orientações adicionais para a identificação e avaliação de riscos de distorção relevante relacionados com assuntos ou circunstâncias específicas:

  1. NBC TA 540 - Auditoria de Estimativas Contábeis e Divulgações Relacionadas com relação a estimativas contábeis;
  2. NBC TA 550 com relação a relações e transações com partes relacionadas;
  3. NBC TA 570 - Continuidade Operacional com relação à continuidade operacional; e
  4. NBC TA 600 - Considerações Especiais - Auditorias de Demonstrações Contábeis de Grupos, Incluindo o Trabalho dos Auditores dos Componentes com relação às demonstrações contábeis do grupo.

A12. O ceticismo profissional é necessário para a avaliação crítica de evidência de auditoria obtida na realização dos procedimentos de avaliação de riscos e auxilia o auditor a permanecer atento à evidência de auditoria que não é tendenciosa no sentido de comprovar a existência de riscos ou que possam ser contraditórias à existência de riscos.
O ceticismo profissional é uma postura que é aplicada pelo auditor ao fazer julgamentos profissionais que então fornecem a base para as suas ações.
O auditor aplica o julgamento profissional ao determinar quando ele tem evidência de auditoria que fornece uma base apropriada para a avaliação de risco.

A13. A aplicação do ceticismo profissional pelo auditor pode incluir:

  1. questionamento de informações contraditórias e a confiabilidade dos documentos;
  2.  consideração de respostas a indagações e outras informações obtidas da administração e dos responsáveis pela governança;
  3. atenção a condições que podem indicar uma distorção possível devido a fraude ou erro; e
  4.  consideração de se a evidência de auditoria obtida suporta a identificação e a avaliação do auditor dos riscos de distorção relevante à luz da natureza e das circunstâncias da entidade.

Por que a obtenção de evidência de auditoria de forma não tendenciosa é importante (ver item 13) - item A14 - A21

A14. O planejamento e a realização de procedimentos de avaliação de riscos para obter evidência de auditoria para suportar a identificação e a avaliação dos riscos de distorção relevante de forma não tendenciosa podem auxiliar o auditor na identificação de informações potencialmente contraditórias, que pode auxiliar o auditor no exercício do ceticismo profissional na identificação e avaliação dos riscos de distorção relevante.

Fontes da evidência de auditoria (ver item 13) - item A15

A15. O planejamento e a realização de procedimentos de avaliação de riscos para obter evidência de auditoria de forma não tendenciosa pode envolver a obtenção de evidência de diversas fontes de dentro e de fora da entidade. Entretanto, o auditor não é requerido a realizar uma busca exaustiva para identificar todas as possíveis fontes de evidência de auditoria. Além das informações de outras fontes, fontes de informações para os procedimentos de avaliação de risco podem incluir (ver itens A37 e A38):

  1. interações com a administração, com os responsáveis pela governança e com outro pessoal-chave da entidade, como os auditores internos;
  2. determinadas partes externas, como reguladores, sejam elas obtidas direta ou indiretamente;
  3. informações sobre a entidade disponíveis para o público como, por exemplo, comunicados à imprensa emitidos pela entidade para analistas ou reuniões de grupos de investidores, relatórios de analistas ou informações sobre a atividade de negociação.

Independentemente da fonte de informações, o auditor considera a relevância e a confiabilidade das informações a serem usadas como evidência de auditoria, de acordo com a NBC TA 500 - Evidência de Auditoria, item 7.

Escalabilidade (ver item 13) - item A16 - A18

A16. A natureza e a extensão dos procedimentos de avaliação de riscos variam com base na natureza e nas circunstâncias da entidade (por exemplo, a formalidade das políticas e procedimentos, e os processos e sistemas da entidade). O auditor usa o julgamento profissional para determinar a natureza e a extensão dos procedimentos de avaliação de riscos a serem realizados para atender aos requisitos desta Norma.

A17. Embora a extensão na qual as políticas e procedimentos e os processos e sistemas da entidade é formalizada possa variar, o auditor ainda é requerido a obter o entendimento, de acordo com os itens 19, 21, 22, 24, 25 e 26. Exemplos: Algumas entidades, incluindo entidades menos complexas, e particularmente as entidades administradas pelos proprietários, podem não ter estabelecido processos e sistemas estruturados (por exemplo, processo de avaliação de riscos ou processo para monitorar o sistema de controles internos) ou pode ter estabelecido processos ou sistemas com documentação limitada ou com falta de consistência no modo como eles são realizados. Quando esses sistemas e processos não são formalizados, o auditor ainda pode conseguir realizar procedimentos de avaliação de riscos por meio de observação e indagação. Espera-se que outras entidades, geralmente entidades mais complexas, tenham políticas e procedimentos mais formalizados e documentados. O auditor pode usar essa documentação na realização de procedimentos de avaliação de riscos.

A18. A natureza e a extensão dos procedimentos de avaliação de riscos a serem realizados na primeira vez que o trabalho é realizado podem ser mais amplas do que os procedimentos realizados para trabalho recorrente. Em períodos subsequentes, o auditor pode se concentrar nas mudanças que ocorreram desde o período anterior.

Tipos de procedimentos de avaliação de riscos (ver item 14) - item A19 - A20

A19. A NBC TA 500, itens de A14 a A17 e de A21 a A25, explica os tipos de procedimentos de auditoria que podem ser realizados para se obter evidência de auditoria a partir de procedimentos de avaliação de riscos e procedimentos adicionais de auditoria. A natureza, a época e a extensão dos procedimentos de auditoria podem ser afetadas pelo fato de que alguns dados contábeis e outras evidências podem estar disponíveis apenas em formato eletrônico ou apenas em determinados momentos (NBC TA 500, item A12). O auditor pode realizar procedimentos substantivos ou testes de controles, de acordo com a NBC TA 330, concomitantemente com procedimentos de avaliação de riscos quando isso for eficiente. A evidência de auditoria obtida que suporta a identificação e a avaliação dos riscos de distorção relevante também pode suportar a detecção de distorções no nível da afirmação ou a avaliação da efetividade operacional dos controles.

A20. Embora o auditor seja requerido a realizar todos os procedimentos de avaliação de riscos descritos no item 14 para obter o entendimento necessário da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos (ver de itens 19 a 26), ele não tem que realizar todos eles para cada aspecto desse entendimento. Outros procedimentos podem ser realizados quando as informações a serem obtidas podem ser úteis na identificação dos riscos de distorção relevante. Exemplos desses procedimentos podem incluir indagações junto aos assessores jurídicos externos, supervisores externos da entidade ou de especialistas em avaliação que a entidade tenha utilizado.

Ferramentas e técnicas automatizadas (ver item 14) - item A21

A21. Ao utilizar ferramentas e técnicas automatizadas, o auditor pode realizar os procedimentos de avaliação de riscos em grandes volumes de dados (do razão geral, dos razões auxiliares ou outros dados operacionais), incluindo para análise, recálculos, reexecução ou conciliações.

Indagações junto à administração e a outros da entidade (ver item 14(a)) - item A22 - A24

Por que as indagações são dirigidas à administração e a outros da entidade? - item A22 - A23

A22. As informações obtidas pelo auditor para suportar uma base apropriada para a identificação e a avaliação dos riscos e o planejamento de procedimentos adicionais de auditoria podem ser obtidas por meio de indagações junto à administração e aos responsáveis pelos relatórios financeiros.

A23. As indagações junto à administração e aos responsáveis pelos relatórios financeiros e a outros indivíduos apropriados da entidade e outros empregados com diferentes níveis de autoridade, podem oferecer para o auditor diferentes perspectivas na identificação e avaliação dos riscos de distorção relevante.

Exemplos:

  1. Indagações dirigidas aos responsáveis pela governança podem auxiliar o auditor a entender a extensão da supervisão por parte dos responsáveis pela governança sobre a elaboração das demonstrações contábeis pela administração. A NBC TA 260 - Comunicação com os Responsáveis pela Governança, item 4(b), identifica a importância da efetiva comunicação recíproca para ajudar o auditor a obter informações dos responsáveis pela governança nesse sentido.
  2. As indagações junto aos profissionais responsáveis por iniciar, processar ou registrar transações complexas ou não usuais podem auxiliar o auditor a avaliar a adequação da seleção e aplicação de determinadas políticas contábeis.
  3. As indagações dirigidas aos assessores jurídicos internos podem fornecer informações sobre assuntos como litígios, conformidade com leis e regulamentos, conhecimento ou suspeita de fraude que afeta a entidade, garantias, obrigações pós-venda, acordos (como empreendimentos conjuntos) com parceiros comerciais e o significado de termos contratuais.
  4. As indagações dirigidas ao pessoal de marketing ou vendas podem fornecer informações sobre mudanças nas estratégias de marketing da entidade, suas tendências de vendas ou seus acordos contratuais com clientes.
  5. As indagações dirigidas ao departamento de gestão de riscos (ou àqueles que desempenham essas funções) podem fornecer informações sobre os riscos operacionais e regulatórios que podem afetar os relatórios financeiros.
  6. As indagações dirigidas ao pessoal de TI podem fornecer informações sobre mudanças no sistema, falhas no sistema ou controles ou outros riscos relacionados com TI.

Considerações específicas para entidades do setor público - item A24

A24. Ao fazer indagações junto àqueles que podem ter informações que provavelmente ajudarão na identificação dos riscos de distorção relevante, os auditores de entidades do setor público podem obter informações de fontes adicionais, como de auditores que estão envolvidos na realização de outras auditorias relacionadas com a entidade.

Indagações junto à função de auditoria interna. - item A25 - A26

O Apêndice 4 descreve as considerações para o entendimento da função de auditoria interna da entidade.

Por que as indagações são dirigidas à função de auditoria interna (caso esse departamento exista)? - item A25

A25. Se uma entidade tem um função de auditoria interna, as indagações junto aos indivíduos apropriados do departamento podem auxiliar o auditor no entendimento da entidade, do seu ambiente e do seu sistema de controles internos na identificação e avaliação de riscos.

Considerações específicas para entidades do setor público - item A26

A26. Os auditores de entidades do setor público, geralmente, têm responsabilidades adicionais com relação aos controles internos e à conformidade com leis e regulamentos aplicáveis. Indagações junto aos indivíduos apropriados da função de auditoria interna podem ajudar os auditores na identificação do risco de não conformidade relevante com leis e regulamentos aplicáveis e do risco de deficiências de controles relacionados com os relatórios financeiros.

Procedimentos analíticos (ver item14(b)) - item A27 - A31

Por que os procedimentos analíticos são realizados como procedimento de avaliação de riscos? - item A27

A27. Os procedimentos analíticos podem auxiliar a identificar inconsistências, transações ou eventos não usuais, valores, índices e tendências que indicam assuntos que possam ter implicações na auditoria. As relações não usuais ou inesperadas que são identificadas podem auxiliar o auditor a identificar riscos de distorção relevante, especialmente riscos de distorção relevante devido à fraude.

A28. Os procedimentos analíticos realizados como procedimentos de avaliação de riscos podem, portanto, auxiliar na identificação e avaliação dos riscos de distorção relevante ao identificar aspectos da entidade dos quais o auditor não tinha conhecimento ou entendimento como os fatores de risco inerentes, como mudanças, afetam a susceptibilidade das afirmações à distorção.

Tipos de procedimentos analíticos - item A29 - A30

A29. Os procedimentos analíticos realizados como procedimentos de avaliação de riscos podem:

  1. Incluir tanto informações financeiras como não financeiras, como, por exemplo, a relação entre as vendas e a metragem do espaço para vendas ou o volume de bens vendidos (não financeira).
  2. Usar dados agregados em alto nível. Consequentemente, os resultados desses procedimentos analíticos podem fornecer uma indicação inicial ampla sobre a probabilidade de distorção relevante.

Exemplo: Na auditoria de muitas entidades, incluindo aquelas com modelos de negócios, processos e sistema de informações menos complexos, o auditor pode realizar uma simples comparação das informações, como a variação nos saldos contábeis intermediários ou mensais em relação aos saldos de períodos anteriores, para obter uma indicação de áreas de riscos potencialmente maiores.

A30. Esta Norma trata do uso de procedimentos analíticos pelo auditor como procedimentos de avaliação de riscos. A NBC TA 520 - Procedimentos Analíticos trata do uso de procedimentos analíticos pelo auditor como procedimentos substantivos (procedimentos analíticos substantivos) e da responsabilidade do auditor de realizar procedimentos analíticos próximo ao fim da auditoria. Consequentemente, os procedimentos analíticos realizados como procedimentos de avaliação de riscos não precisam ser realizados de acordo com os requisitos da NBC TA 520. Entretanto, os requisitos e o material de aplicação da NBC TA 520 podem fornecer orientações úteis para o auditor na realização de procedimentos analíticos como parte dos procedimentos de avaliação de riscos.

Ferramentas e técnicas automatizadas - item A31

A31. Os procedimentos analíticos podem ser realizados mediante a utilização de uma série de ferramentas ou técnicas, que podem ser automatizadas. A aplicação de procedimentos analíticos automatizados aos dados pode ser chamada de analítica de dados. Exemplo: O auditor pode usar uma planilha para realizar uma comparação dos valores realmente registrados com os valores orçados, ou pode realizar um procedimento mais avançado mediante a extração de dados do sistema de informações da entidade, e analisar ainda mais esses dados utilizando técnicas de visualização para identificar classes de transações, saldos contábeis ou divulgações para as quais procedimentos adicionais de avaliação de riscos específicos podem ser justificados.

Observação e inspeção (ver item 14(c)) - item A32 - A36

Por que a observação e a inspeção são realizadas como procedimentos de avaliação de riscos? - item A32

A32. A observação e a inspeção podem suportar, comprovar ou contradizer as indagações junto à administração e a outros e podem também fornecer informações sobre a entidade e o seu ambiente.

Escalabilidade - item A33

A33. Quando as políticas ou os procedimentos não são documentados, ou quando a entidade tem controles menos formalizados, o auditor ainda pode obter alguma evidência de auditoria para suportar a identificação e a avaliação dos riscos de distorção relevante por meio da observação ou inspeção da realização do controle.

Exemplos:

  1. o auditor pode obter um entendimento dos controles da contagem de estoque, mesmo que eles não tenham sido documentados pela entidade, por meio de observação direta;
  2. o auditor pode observar a segregação de funções;
  3. o auditor pode observar a senhas que são inseridas.

Observação e inspeção como procedimentos de avaliação de riscos - item A34

A34. Os procedimentos de avaliação de riscos podem incluir a observação ou a inspeção do que segue:

  1. as operações da entidade;
  2. documentos internos (como planos e estratégias de negócio), registros e manuais de controles internos;
  3. relatórios preparados pela administração (como relatórios trimestrais da administração e demonstrações contábeis intermediárias) e pelos responsáveis pela governança (como atas das reuniões do conselho de administração);
  4. as dependências e instalações fabris da entidade;
  5. as informações obtidas de fontes externas, como revistas especializadas ou de economia, relatórios de analistas, bancos ou agências de classificação de risco, publicações regulatórias ou financeiras; ou outros documentos externos sobre o desempenho financeiro da entidade (como aqueles mencionados no item A79);
  6. os comportamentos e as ações da administração ou dos responsáveis pela governança (como a observação de reunião do comitê de auditoria).

Ferramentas e técnicas automatizadas - item A35

A35. As ferramentas ou as técnicas automatizadas também podem ser usadas para observar ou inspecionar, em especial, ativos, por exemplo, por meio do uso de ferramentas de observação remota (por exemplo, drone).

Considerações específicas para entidades do setor público - item A36

A36. Os procedimentos de avaliação de riscos realizados pelos auditores de entidades do setor público também podem incluir a observação e a inspeção de documentos preparados pela administração para fins legais como, por exemplo, documentos relacionados com relatórios de desempenho obrigatórios.

Informações de outras fontes (ver item 15) - item A37 - A38

Por que o auditor considera as informações de outras fontes? - Item A37

A37. As informações obtidas de outras fontes podem ser relevantes para a identificação e avaliação dos riscos de distorção relevante mediante o fornecimento de informações e opiniões sobre:

  1.  a natureza da entidade e seus riscos do negócio e o que pode ter mudado em relação aos períodos anteriores;
  2. a integridade e os valores éticos da administração e dos responsáveis pela governança que também podem ser relevantes para o entendimento do auditor do ambiente de controle;
  3. a estrutura de relatório financeiro aplicável e sua aplicação à natureza e às circunstâncias da entidade.

Outras fontes relevantes - item A38

A38. Outras fontes de informações relevantes incluem:

  1. procedimentos do auditor com relação à aceitação ou à continuação da relação com o cliente ou do trabalho de auditoria, de acordo com a NBC TA 220 - Controle de Qualidade da Auditoria de Demonstrações Contábeis, item 12, incluindo as conclusões alcançadas a respeito;
  2. outros trabalhos realizados para a entidade pelo sócio do trabalho. O sócio do trabalho pode ter obtido conhecimento relevante para a auditoria, inclusive sobre a entidade e o seu ambiente, na realização de outros trabalhos para a entidade. Esses trabalhos podem incluir trabalhos de procedimentos pré-acordados ou outros trabalhos de auditoria ou asseguração, incluindo trabalhos que tratam dos requisitos adicionais para a apresentação de relatórios na jurisdição.

Informações da experiência anterior do auditor com a entidade e auditorias anteriores (ver item 16) - item A39 - A41

Por que as informações de auditorias anteriores são importantes para a auditoria atual? - item A39

A39. A experiência anterior do auditor com a entidade e com procedimentos de auditoria realizados em auditorias anteriores podem fornecer para o auditor informações que são relevantes para a determinação pelo auditor da natureza e da extensão dos procedimentos de avaliação de riscos e para a identificação e avaliação dos riscos de distorção relevante.

Natureza das informações de auditorias anteriores - item A40 - A41

A40. A experiência anterior do auditor com a entidade e com procedimentos de auditoria realizados em auditorias anteriores podem fornecer para o auditor informações sobre assuntos como:

  1. distorções passadas e se elas foram corrigidas tempestivamente;
  2. a natureza da entidade e do seu ambiente e o seu sistema de controles internos (incluindo deficiências nos controles);
  3. mudanças significativas que a entidade ou suas operações possam ter sofrido desde o período financeiro anterior;
  4. esses tipos específicos de transações e outros eventos ou saldos contábeis (e divulgações relacionadas) para os quais o auditor teve dificuldade para realizar os procedimentos de auditoria necessários como, por exemplo, devido à sua complexidade.

A41. O auditor tem que determinar se as informações obtidas à partir da experiência anterior do auditor com a entidade e de procedimentos de auditoria realizados em auditorias anteriores continuam sendo relevantes e confiáveis, se ele pretende usar essas informações para fins da auditoria atual. Se a natureza ou as circunstâncias da entidade mudaram, ou novas informações foram obtidas, as informações de períodos anteriores podem não ser mais relevantes para a auditoria atual. Para determinar se ocorreram mudanças que podem afetar a relevância ou a confiabilidade dessas informações, o auditor pode ter que fazer indagações e realizar outros procedimentos de auditoria apropriados, como um “passo a passo” dos sistemas relevantes. Se as informações não forem confiáveis, o auditor pode considerar a realização de procedimentos adicionais que são apropriados nas circunstâncias.

Discussão entre a equipe encarregada do trabalho (ver itens 17 e 18) - item A42 - A47

Por que a equipe encarregada do trabalho precisa discutir a aplicação da estrutura de relatório financeiro aplicável e a suscetibilidade das demonstrações contábeis da entidade à distorção relevante? - item A42 - A43

A42. A discussão entre a equipe encarregada do trabalho sobre a aplicação da estrutura de relatório financeiro aplicável e a suscetibilidade das demonstrações contábeis da entidade à distorção relevante:

  1. Fornece uma oportunidade para que os membros mais experientes da equipe encarregada do trabalho, incluindo o sócio do trabalho, compartilhem suas informações com base no seu conhecimento da entidade. O compartilhamento de informações contribui para um melhor entendimento por parte de todos os membros da equipe encarregada do trabalho.
  2. Permite que os membros da equipe encarregada do trabalho troquem informações sobre o risco de negócio ao qual a entidade está sujeita, o modo como os fatores de risco inerentes podem afetar a susceptibilidade à distorção de classes de transações, saldos contábeis e divulgações, e sobre o modo como e quando as demonstrações contábeis podem estar suscetíveis à distorção relevante devido a fraude ou erro.
  3. Auxilia os membros da equipe encarregada do trabalho a obter um melhor entendimento do potencial de distorção relevante das demonstrações contábeis nas áreas específicas atribuídas a eles e a entender o modo como os resultados dos procedimentos de auditoria que eles realizam podem afetar outros aspectos da auditoria, incluindo as decisões sobre a natureza, a época e a extensão de procedimentos adicionais de auditoria. Em particular, a discussão auxilia os membros da equipe encarregada do trabalho na consideração adicional de informações contraditórias com base no entendimento próprio de cada membro da natureza e das circunstâncias da entidade.
  4. Fornece uma base na qual os membros da equipe encarregada do trabalho se comunicam e compartilham novas informações obtidas durante toda a auditoria que podem afetar a avaliação dos riscos de distorção relevante ou os procedimentos de auditoria realizados para tratar desses riscos.

A NBC TA 240, item 16, requer que a discussão da equipe encarregada do trabalho enfatize especialmente o modo como e quando as demonstrações contábeis da entidade podem estar suscetíveis à distorção relevante devido a fraude, inclusive o modo como a fraude pode ocorrer.

A43. O ceticismo profissional é necessário para a avaliação crítica da evidência de auditoria e uma robusta e aberta discussão da equipe encarregada do trabalho, incluindo para auditorias recorrentes, pode levar à melhor identificação e avaliação dos riscos de distorção relevante. Outro resultado da discussão pode ser que o auditor identifique áreas específicas da auditoria para as quais o exercício do ceticismo profissional pode ser particularmente importante e pode levar ao envolvimento de membros mais experientes da equipe encarregada do trabalho que são adequadamente capacitados para estarem envolvidos na realização dos procedimentos de auditoria relacionados com essas áreas.

Escalabilidade - item A44 - A45

A44. Quando o trabalho é realizado por um único indivíduo, como único profissional (isto é, quando uma discussão da equipe encarregada do trabalho não é possível), a consideração dos assuntos mencionados nos itens A42 e A46, entretanto, pode auxiliar o auditor na identificação de onde pode haver riscos de distorção relevante.

A45. Quando um trabalho é realizado por uma grande equipe de trabalho, como para a auditoria de demonstrações contábeis de um grupo, nem sempre é necessário ou prático que a discussão inclua todos os membros em uma única discussão (por exemplo, em uma auditoria em diversos locais), nem é necessário que todos os membros da equipe encarregada do trabalho sejam informados de todas as decisões tomadas na discussão. O sócio do trabalho pode discutir assuntos com membros-chave da equipe encarregada do trabalho, incluindo, se considerado apropriado, aqueles com habilidades ou conhecimentos específicos, e aqueles responsáveis pelas auditorias de componentes, enquanto delega discussões com outros, levando em consideração a extensão da comunicação considerada necessária com toda a equipe encarregada do trabalho. Um plano de comunicação, acordado pelo sócio do trabalho, pode ser útil.

Discussão das divulgações na estrutura de relatório financeiro aplicável - item A46

A46. Como parte da discussão entre a equipe encarregada do trabalho, a consideração dos requisitos de divulgação da estrutura de relatório financeiro aplicável auxilia na identificação antecipada na auditoria de onde pode haver riscos de distorção relevante em relação às divulgações, mesmo em circunstâncias em que a estrutura de relatório financeiro aplicável exige somente divulgações simplificadas. Assuntos que a equipe encarregada do trabalho pode discutir incluem:

  1. mudanças nas exigências de relatórios financeiros que podem resultar em divulgações novas ou revisadas significativas;
  2. mudanças no ambiente, na condição financeira ou nas atividades da entidade que podem resultar em divulgações novas ou revisadas significativas, por exemplo, uma combinação de negócios significativa no período da auditoria;
  3. divulgações para as quais a obtenção de evidência de auditoria apropriada e suficiente pode ter sido difícil no passado; e
  4. divulgações sobre assuntos complexos, incluindo aqueles que envolvem julgamento significativo da administração quanto a qual informação deve ser divulgada.

Considerações específicas para entidades do setor público - item A47

A47. Como parte da discussão entre a equipe encarregada do trabalho dos auditores de entidades do setor público, pode-se também considerar objetivos adicionais mais abrangentes, e os riscos relacionados, decorrentes da autorização da auditoria ou das obrigações para as entidades do setor público.

Obtenção de entendimento da entidade, do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos (ver item de 19 a 27) - item  A48 - A183

Os apêndices de 1 a 6 descrevem considerações adicionais relacionadas com a obtenção de entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos.

  • Obtenção do entendimento requerido - item  A48 - A49
  • Por que o entendimento da entidade, do seu ambiente e da estrutura de relatório financeiro aplicável é necessário - item  A50 - A51
  • Escalabilidade -  - item  A52 - A55
  • Entidade e seu ambiente- item  A56 - A183
    • Estrutura organizacional, propriedade, governança e modelo de negócio da entidade - item  A56 - A58
    • Governança - item  A59 - A60
    • Modelo de negócio da entidade - item  A61 - A67
    • Fatores do setor de atividade, regulatórios e outros fatores externos - item  A68 - A73
    • Medidas usadas pela administração para avaliar o desempenho financeiro da entidade - item A74 - A81
    • Estrutura de relatório financeiro aplicável - item A82 - A93
    • Tecnologia da informação nos componentes do sistema de controles internos da entidade - item A94 - A95
    • Ambiente de controle, processo de avaliação de riscos da entidade e processo de monitoramento do sistema de controles internos pela entidade - item A96 - A98
    • Obtenção de entendimento do ambiente de controle - item A99 - A108
    • Obtenção de entendimento do processo de avaliação de riscos da entidade - item A109 - A113
    • Obtenção de entendimento do processo da entidade de monitoramento do sistema de controles internos da entidade - item A114 - A118
    • Outras fontes de informação usadas no processo da entidade para monitorar o sistema de controles internos - item A119 - A130
    • Obtenção de entendimento do sistema de informações e comunicação - item A131 - A143
    • Obtenção de entendimento da comunicação da entidade  - item A144 - A146
    • Atividades de controle - item A147 - A157
    • Controles que tratam os riscos de distorção relevante no nível da afirmação - item A158 - A165
    • Identificação de aplicativos de TI e outros aspectos do ambiente de TI, riscos decorrentes do uso de TI e controles gerais de TI - item A166 - A183

Obtenção do entendimento requerido (ver itens de 19 a 27) - item A48 - A49

A48. A obtenção de entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos é um processo dinâmico e interativo de coleta, atualização e análise de informações e ele continua durante toda a auditoria. Portanto, as expectativas do auditor podem mudar à medida que novas informações forem obtidas.

A49. O entendimento do auditor da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável também pode auxiliá-lo a desenvolver expectativas iniciais sobre as classes de transações, saldos contábeis e divulgações que podem ser classes de transações, saldos contábeis e divulgações significativas. Essas classes de transações, saldos contábeis e divulgações formam a base para o escopo do entendimento do auditor do sistema de informações da entidade.

Por que o entendimento da entidade, do seu ambiente e da estrutura de relatório financeiro aplicável é necessário (ver itens 19 e 20) - item A50 - A51

A50. O entendimento do auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, auxilia o auditor a entender aos eventos e às condições que são relevantes para a entidade, e a identificar o modo como os fatores de risco inerentes afetam a susceptibilidade das afirmações à distorção na preparação das demonstrações contábeis de acordo com a estrutura de relatório financeiro aplicável e o grau em que isso ocorre. Essas informações estabelecem uma estrutura de referência na qual o auditor identifica e avalia os riscos de distorção relevante. Essa estrutura de referência também auxilia o auditor a planejar a auditoria e a exercer o julgamento e o ceticismo profissional durante toda a auditoria, por exemplo, ao:

  1. identificar e avaliar os riscos de distorção relevante das demonstrações contábeis de acordo com a NBC TA 315 ou outras normas relevantes (por exemplo, relacionadas com riscos de fraude de acordo com a NBC TA 240 ou ao identificar ou avaliar os riscos relacionados com estimativas contábeis de acordo com a NBC TA 540);
  2. realizar procedimentos para auxiliar a identificar casos de não conformidade com leis e regulamentos que possam ter um efeito relevante nas demonstrações contábeis de acordo com a NBC TA 250 - Consideração de Leis e Regulamentos na Auditoria de Demonstrações Contábeis, item 14;
  3. avaliar se as demonstrações contábeis fornecem divulgações adequadas de acordo com a NBC TA 700 - Formação de Opinião e Emissão do Relatório do Auditor Independente sobre as Demonstrações Contábeis, item 13(e);
  4. determinar a materialidade de planejamento e execução de acordo com a NBC TA 320 - Materialidade no Planejamento e na Execução da Auditoria, itens 10 e 11; ou
  5. considerar a adequação da seleção e aplicação das políticas contábeis e a adequação das divulgações das demonstrações contábeis.

A51. O entendimento do auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, também informa o modo como o auditor planeja e realiza os procedimentos adicionais de auditoria, por exemplo, ao:

  1. desenvolver expectativas de uso ao realizar procedimentos analíticos, de acordo com a NBC TA 520, item 5;
  2. planejar e realizar procedimentos adicionais de auditoria para obter evidência de auditoria apropriada e suficiente, de acordo com a NBC TA 330; e
  3. avaliar a adequação e a suficiência da evidência de auditoria obtida (por exemplo, relacionada com as premissas ou com as representações verbais e formais da administração).

Escalabilidade - item  A52 - A55

A52. A natureza e a extensão do entendimento necessário é um assunto do julgamento profissional do auditor e varia de entidade para entidade com base na natureza e nas circunstâncias da entidade, incluindo:

  1. o porte e a complexidade da entidade, incluindo o seu ambiente de TI;
  2. a experiência anterior do auditor com a entidade;
  3. a natureza dos sistemas e processos da entidade, incluindo se eles estão formalizados ou não; e
  4. a natureza e a forma da documentação da entidade.

A53. Os procedimentos de avaliação de riscos do auditor para obter o entendimento necessário podem ser menos extensos em auditorias de entidades menos complexas e mais extensos para entidades mais complexas. Espera-se que a profundidade do entendimento que é exigido do auditor seja menor do que aquela da administração na gestão da entidade.

A54. Algumas estruturas de relatório financeiro aplicável permitem que entidades menores forneçam divulgações mais simples e menos detalhadas nas demonstrações contábeis. Entretanto, isso não desobriga o auditor da responsabilidade de obter entendimento da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável na medida em que ele se aplica à entidade.

A55. O uso de TI por parte da entidade e a natureza e a extensão das mudanças no ambiente de TI também podem afetar as habilidades especializadas que são necessárias para auxiliar na obtenção do entendimento necessário.

Entidade e seu ambiente (ver item 19(a)) - item  A56 - A183

Estrutura organizacional, propriedade, governança e modelo de negócio da entidade (ver item 19(a)(i)) - item  A56 - A58

Estrutura organizacional e propriedade da entidade - item  A56

A56. O entendimento da estrutura organizacional e da propriedade da entidade pode permitir que o auditor entenda assuntos como:

  1. A complexidade da estrutura da entidade.
    Exemplo:
    A entidade pode ser uma única entidade ou a estrutura da entidade pode incluir controladas, divisões ou outros componentes em diversos locais. Ainda, a estrutura legal pode ser diferente da estrutura operacional. Estruturas complexas geralmente introduzem fatores que podem dar origem à maior suscetibilidade a riscos de distorção relevante. Essas questões podem incluir se o ágio, os empreendimentos conjuntos, os investimentos ou as entidades de propósito específico são contabilizados de forma adequada e se foi feita a divulgação adequada dessas questões nas demonstrações contábeis.
  2. A propriedade e as relações entre proprietários e outras pessoas ou entidades, incluindo partes relacionadas. Esse entendimento pode auxiliar na determinação de se as transações com partes relacionadas foram adequadamente identificadas, contabilizadas e adequadamente divulgadas nas demonstrações contábeis (NBC TA 550).
  3. A distinção entre proprietários, responsáveis pela governança e administração.
    Exemplo:
    Em entidades menos complexas, os proprietários da entidade podem estar envolvidos na administração da entidade, portanto, há pouca ou nenhuma distinção. Por outro lado, como no caso de algumas empresas de capital aberto, pode haver distinção clara entre administração, proprietários da entidade e responsáveis pela governança.
  4. A estrutura e a complexidade do ambiente de TI da entidade.
    Exemplos:
    A entidade pode:
    1. Ter diversos sistemas de TI legados em diferentes empresas que não estão bem integrados, resultando em ambiente de TI complexo.
    2. Usar fornecedores de serviços externos ou internos para aspectos do seu ambiente de TI (por exemplo, terceirizar a hospedagem do seu ambiente de TI ou usar um centro de serviço compartilhado para a administração centralizada dos processos de TI em um grupo).

Ferramentas e técnicas automatizadas - item  A57

A57. O auditor pode usar ferramentas e técnicas automatizadas para entender os fluxos de transações e o processamento como parte dos seus procedimentos para entender o sistema de informações. O resultado desses procedimentos pode ser que a auditor obtenha informações sobre a estrutura organizacional da entidade ou sobre aqueles com quem a entidade conduza negócios (por exemplo, fornecedores, clientes, partes relacionadas).

Considerações específicas para entidades do setor público - item  A58

A58. A propriedade de entidade do setor público pode não ter a mesma relevância que tem no setor privado porque as decisões relacionadas com a entidade podem ser tomadas fora da entidade como resultado de processo político. Portanto, a administração pode não ter controle sobre certas decisões que são tomadas. Assuntos que podem ser relevantes incluem o entendimento da capacidade da entidade de tomar decisões unilaterais, e da capacidade de outras entidades do setor público de controlar ou influenciar a autoridade e a direção estratégica da entidade.

Exemplo:

Uma entidade do setor público pode estar sujeita a leis ou outras diretivas de autoridades que requerem que ela obtenha aprovação de partes externas da entidade da sua estratégia e objetivos antes de implementá-los. Portanto, questões relacionadas com entendimento da estrutura legal da entidade podem incluir leis e regulamentos aplicáveis e a classificação da entidade (ou seja, se a entidade é ministério, departamento, agência ou outro tipo de entidade).

Governança - item  A59 - A60

Por que o auditor obtém entendimento da governança? - item  A59

A59. O entendimento da governança da entidade pode auxiliar o auditor a entender a capacidade da entidade de fornecer supervisão apropriada do seu sistema de controles internos. Entretanto, esse entendimento também pode fornecer evidência de deficiências que podem indicar um aumento da suscetibilidade das demonstrações contábeis da entidade aos riscos de distorção relevante.

Entendimento da governança da entidade - item  A60

A60. Assuntos que podem ser relevantes para o auditor considerar na obtenção de entendimento da governança da entidade incluem:

  1. se alguns responsáveis pela governança, ou todos eles, estão envolvidos na administração da entidade; • a existência (e separação) de conselho não executivo, se houver, da administração executiva;
  2. se os responsáveis pela governança ocupam cargos que são parte integrante da estrutura legal da entidade como, por exemplo, membros do conselho;
  3. a existência de subgrupos dos responsáveis pela governança, como comitê de auditoria e as responsabilidades desse grupo;
  4. as responsabilidades dos responsáveis pela governança pela supervisão do relatório financeiro, incluindo a aprovação das demonstrações contábeis.

Modelo de negócio da entidade - item  A61 - A67

O Apêndice 1 descreve considerações adicionais para a obtenção de entendimento da entidade e do seu modelo de negócio, assim como considerações adicionais para a auditoria de entidades de propósito específico.

Por que o auditor obtém entendimento do modelo de negócio da entidade? - item A61

A61. O entendimento dos objetivos, da estratégia e do modelo de negócio da entidade auxilia o auditor a entender a entidade em nível estratégico e a entender os riscos do negócio que a entidade toma e enfrenta. O entendimento dos riscos do negócio que têm efeito nas demonstrações contábeis auxilia o auditor a identificar os riscos de distorção relevante uma vez que a maioria dos riscos do negócio terá, em algum momento, consequências financeiras e, portanto, efeito nas demonstrações contábeis.

Exemplos:

O modelo de negócio da entidade pode contar com o uso de TI de diferentes formas:

  1. a entidade vende calçados a partir de uma loja física e usa um sistema avançado de estoque e ponto de venda para registrar a venda dos calçados; ou
  2. a entidade vende calçados online de modo que todas as transações de venda são processadas em ambiente de TI, incluindo a iniciação das transações por meio de site.

Para ambas as entidades, os riscos do negócio decorrentes de modelo de negócio significativamente diferente seriam, substancialmente, diferentes, apesar do fato de que ambas as entidades vendem calçados.

Entendimento do modelo de negócio da entidade - item A62 - A65

A62. Nem todos os aspectos do modelo de negócio são relevantes para o entendimento do auditor. Os riscos do negócio são mais abrangentes do que os riscos de distorção relevante das demonstrações contábeis embora os riscos do negócio incluam estes últimos. O auditor não tem responsabilidade de entender ou identificar todos os riscos do negócio porque nem todos os riscos do negócio geram riscos de distorção relevante.

A63. Os riscos do negócio que aumentam a suscetibilidade dos riscos de distorção relevante podem decorrer:

  1. de objetivos ou estratégias inapropriadas, de execução ineficaz de estratégias, o de mudanças ou complexidade;
  2. do não reconhecimento da necessidade de mudança que também pode gerar risco do negócio, por exemplo:
    1. o desenvolvimento de novos produtos ou serviços que podem fracassar;
    2. o mercado que, mesmo desenvolvido com sucesso, é inadequado para suportar o produto ou serviço; ou
    3. defeitos no produto ou serviço que podem resultar em responsabilidade legal e risco à reputação;
  3. de incentivos para a administração e pressões sobre a administração que podem resultar em tendência intencional ou não intencional da administração e, portanto, afetar a razoabilidade de premissas significativas e as expectativas da administração ou dos responsáveis pela governança.

A64. Exemplos de assuntos que o auditor pode considerar na obtenção de entendimento do modelo de negócio, dos objetivos, das estratégias e dos respectivos riscos do negócio da entidade que podem resultar em risco de distorção relevante das demonstrações contábeis incluem:

  1. desenvolvimentos no setor de atividade, como falta de pessoal ou de perícia para tratar das mudanças no setor de atividade;
  2. novos produtos e serviços que podem levar a uma maior responsabilidade pelo produto;
  3. expansão do negócio da entidade e a demanda não tiver sido estimada com precisão;
  4. novos requisitos de contabilidade onde tiver havido implementação incompleta ou inadequada;
  5. requisitos regulatórios que resultam em uma maior exposição legal;
  6. requisitos de financiamento atuais e prospectivos, como perda do financiamento devido à incapacidade da entidade de atender aos requisitos;
  7. uso de TI, como a implementação de novo sistema de TI que afetará tanto às operações quanto o relatório financeiro; ou
  8. os efeitos da implementação de estratégia, particularmente quaisquer efeitos que levarão a novos requisitos de contabilidade.

A65. Normalmente, a administração identifica os riscos do negócio e desenvolve abordagens para tratar deles. Esse processo de avaliação de riscos é parte do sistema de controles internos da entidade e é discutido no item 22 e nos itens de A109 a A113.

Considerações específicas para entidades do setor público - item A66 - A67

A66. As entidades que atuam no setor público podem gerar e entregar valor de maneiras diferentes para os que geram riqueza, mas que ainda terão um “modelo de negócio” com um objetivo específico. Assuntos para os quais os auditores do setor público podem obter entendimento que são relevantes para o modelo de negócio da entidade incluem: • conhecimento das atividades relevantes do governo, incluindo os respectivos programas; • objetivos e estratégias do programa, incluindo elementos da política pública.

A67. Para as auditorias das entidades do setor público, os “objetivos da administração” podem ser influenciados pelos requisitos de demonstrar a prestação de contas públicas e podem incluir objetivos que têm sua fonte em lei, regulamento ou outra autoridade.

Fatores do setor de atividade, regulatórios e outros fatores externos (ver item 19(a)(ii)) - item A68 - A73

Fatores do setor de atividade - item A68 - A69

A68. Os fatores relevantes do setor de atividade incluem as condições próprias do setor, como ambiente de concorrência, relações com fornecedores e clientes e desenvolvimentos tecnológicos. Assuntos que o auditor pode considerar incluem:

  1. o mercado e a concorrência, incluindo a demanda, a capacidade e a concorrência de preços;
  2. atividade cíclica ou sazonal;
  3. tecnologia de produtos relacionada com os produtos da entidade;
  4. fornecimento e custo de energia.

A69. O setor de atividade no qual a entidade atua pode gerar riscos específicos de distorção relevante decorrentes da natureza do negócio ou do grau de regulamentação. Exemplo: No setor de construção, os contratos de longo prazo podem envolver estimativas significativas de receitas e despesas que geram riscos de distorção relevante. Nesses casos, é importante que a equipe encarregada do trabalho inclua membros com conhecimento e experiência relevantes suficientes (NBC TA 220, item 14).

Fatores regulatórios - item A70 - A71

A70. Os fatores regulatórios relevantes incluem o ambiente regulatório. O ambiente regulatório abrange, entre outros assuntos, a estrutura de relatório financeiro aplicável e o ambiente jurídico e político e quaisquer mudanças nos mesmos. Assuntos que o auditor pode considerar incluem:

  • estrutura regulatória para um setor de atividade regulamentado como, por exemplo, requisitos prudenciais, incluindo as respectivas divulgações;
  • legislação e regulamentação que afetam significativamente as operações da entidade como, por exemplo, leis e regulamentações trabalhistas;
  • legislação e regulamentos tributários;
  • políticas governamentais que afetam, no presente, a condução do negócio da entidade, como políticas monetárias, inclusive controles de câmbio, políticas fiscais e de incentivos financeiros (por exemplo, programas de subvenções governamentais) e políticas de tarifas ou de restrições comerciais;
  • exigências ambientais que afetam o setor de atividade e o negócio da entidade.

A71. A NBC TA 250, item 13, inclui alguns requisitos específicos relacionados com a estrutura legal e regulatória aplicável para a entidade e a indústria ou o setor em que a entidade atua.

Considerações específicas para entidades do setor público - item A72

A72. Para as auditorias de entidades do setor público, leis ou regulamentos podem afetar as operações da entidade. Esses elementos podem ser uma consideração essencial na obtenção de entendimento da entidade e do seu ambiente.

Outros fatores externos - item A73

A73. Outros fatores externos que afetam a entidade e que o auditor pode considerar incluem as condições econômicas gerais, as taxas de juros, a disponibilidade de financiamento e a inflação ou a reavaliação cambial.

Medidas usadas pela administração para avaliar o desempenho financeiro da entidade - item A74 - A81

Por que o auditor entende as medidas utilizadas pela administração? - item A74 - A75

A74. O entendimento das medidas da entidade auxilia o auditor a considerar se essas medidas, sejam elas utilizadas externa ou internamente, cria pressões na entidade para que ela alcance metas de desempenho. Essas pressões podem motivar a administração a tomar medidas que aumentam a suscetibilidade à distorção devido à tendência da administração ou a fraude (por exemplo, para melhorar o desempenho do negócio ou para, intencionalmente, distorcer as demonstrações contábeis) (ver NBC TA 240 para requisitos e orientação com relação aos riscos de fraude).

A75. Medidas também podem indicar para o auditor a probabilidade de riscos de distorção relevante das respectivas informações nas demonstrações contábeis. Por exemplo, medidas de desempenho podem indicar que a entidade teve aumento rápido não usual de sua rentabilidade quando comparado com outras entidades do mesmo setor de atividade.

Medidas utilizadas pela administração - item A76 - A77

A76. A administração e outros geralmente mensuram e revisam os assuntos que consideram importantes. As indagações junto à administração podem revelar que ela confia em determinados indicadores-chave, sejam eles disponíveis para o público ou não, para avaliar o desempenho financeiro e agir. Nesses casos, o auditor pode identificar medidas de desempenho relevantes, internas ou externas, ao considerar as informações que a entidade usa para gerir o seu negócio. Se essas indagações indicarem ausência de medida ou revisão de desempenho, pode haver um maior risco de que distorções não sejam detectadas ou corrigidas.

A77. Os indicadores-chave utilizados para avaliar o desempenho financeiro podem incluir:

  1. indicadores-chave de desempenho (financeiros e não financeiros) e os principais índices, tendências e estatísticas operacionais;
  2. análise de desempenho financeiro período a período;
  3. orçamentos, projeções, análises de variações, informações por segmento e divisional, departamental ou outros relatórios de desempenho de nível;
  4. medidas de desempenho do empregado e políticas de incentivos remuneratórios;
  5. comparações do desempenho da entidade com aquele da concorrência.

Escalabilidade (ver item 19(a)(iii)) - item A78

A78. Os procedimentos realizados para entender as medidas da entidade podem variar de acordo com o porte ou a complexidade da entidade, assim como com o envolvimento dos proprietários ou dos responsáveis pela governança na administração da entidade.

Exemplos:

  1. Para algumas entidades menos complexas, os termos dos empréstimos bancários da entidade (por exemplo, cláusulas restritivas) podem estar vinculados às medidas específicas de desempenho relacionadas com o desempenho ou com a posição financeira da entidade (por exemplo, valor máximo de capital de giro). O entendimento do auditor das medidas de desempenho utilizadas pelo banco pode auxiliá-lo a identificar áreas em que há maior suscetibilidade ao risco de distorção relevante.
  2. Para algumas entidades cuja natureza e circunstâncias são mais complexas, como aquelas que atuam no setor de seguros ou bancário, o desempenho ou a posição financeira podem ser mensurados em relação a requisitos regulatórios (por exemplo, requisitos de índice regulatório, como adequação de capital e índices de liquidez). O entendimento do auditor dessas medidas de desempenho pode auxiliá-lo a identificar áreas em que há maior suscetibilidade ao risco de distorção relevante.

Outras considerações - item A79 - A80

A79. As partes externas também podem rever e analisar o desempenho financeiro da entidade, particularmente para entidades cujas informações financeiras estão disponíveis para o público. O auditor também pode considerar as informações disponíveis para o público para auxiliá-lo a entender melhor o negócio ou a identificar informações contraditórias, como informações de:

  1. analistas ou agências de classificação de crédito;
  2. notícias e outras mídias, incluindo as redes sociais;
  3. autoridades tributárias;
  4. órgãos reguladores;
  5. sindicatos;
  6. provedores de financiamentos.

Essas informações financeiras podem ser geralmente obtidas da entidade que está sendo auditada.

A80. A mensuração e a revisão do desempenho econômico não é ao mesmo que a do monitoramento do sistema de controles internos (discutido como componente do sistema de controles internos nos itens de A114 a A122), embora seus propósitos possam se sobrepor:

  1. a mensuração e a revisão do desempenho são dirigidas a se o desempenho do negócio atende aos objetivos estabelecidos pela administração (ou terceiros);
  2. por outro lado, o monitoramento do sistema de controles internos se preocupa com o monitoramento da efetividade dos controles, incluindo aqueles relacionados com a mensuração e a revisão do desempenho financeiro pela administração.

Em alguns casos, entretanto, os indicadores de desempenho também fornecem informações que permitem que a administração identifique deficiências nos controles.

Considerações específicas para entidades do setor público - item A81

A81. Além de considerar as medidas relevantes usadas por entidade do setor público para avaliar o desempenho financeiro da entidade, os auditores das entidades do setor público também podem considerar informações não financeiras, como o alcance de resultados de benefícios públicos (por exemplo, número de pessoas assistidas por programa específico).

Estrutura de relatório financeiro aplicável (ver item 19(b)) - item A82 - A84

Entendimento da estrutura de relatório financeiro aplicável e das políticas contábeis da entidade - item A82 - A83

A82. Assuntos que o auditor pode considerar ao obter entendimento da estrutura de relatório financeiro aplicável da entidade e de como ela se aplica no contexto da natureza e das circunstâncias da entidade e de seu ambiente incluem:

  1. as práticas de relatório financeiro da entidade em termos da estrutura de relatório financeiro aplicável, tais como: o princípios contábeis e práticas específicas do setor de atividade, inclusive para classes de transações, saldos contábeis e divulgações relacionadas específicas do setor de atividade nas demonstrações contábeis (por exemplo, no caso de bancos, empréstimos e investimentos e, no caso da indústria farmacêutica, pesquisa e desenvolvimento);
    1. reconhecimento de receita;
    2. contabilização de instrumentos financeiros, incluindo perdas de crédito relacionadas;
    3. ativos, passivos e transações em moeda estrangeira;
    4. contabilização de transações não usuais ou complexas, inclusive aquelas em áreas controversas ou emergentes (por exemplo, contabilização para criptomoedas);
  2. o entendimento da seleção e da aplicação de políticas contábeis pela entidade, incluindo quaisquer mudanças nas mesmas e as razões das mudanças, pode abranger assuntos como:
    1. os métodos que a entidade usa para reconhecer, mensurar, apresentar e divulgar transações significativas e não usuais;
    2. o efeito de políticas contábeis significativas em áreas controversas ou emergentes para as quais não há orientação abalizada ou consenso;
    3. mudanças no ambiente, tais como mudanças na estrutura de relatório financeiro aplicável ou reformas tributárias que podem necessitar de mudança nas políticas contábeis da entidade;
    4. normas de relatório financeiro e leis e regulamentos que são novos para a entidade e quando e como a entidade deve adotar ou cumprir esses requisitos.

A83. A obtenção de entendimento da entidade e do seu ambiente pode auxiliar o auditor a considerar quando mudanças nos relatórios financeiros da entidade (por exemplo, em relação a períodos anteriores) podem ser esperadas.

Exemplo:

Se a entidade teve uma combinação de negócios significativa no período, o auditor provavelmente esperaria mudanças nas classes de transações, saldos contábeis e divulgações associadas com essa combinação de negócios. Alternativamente, se não houve mudanças significativas na estrutura de relatório financeiro durante o período, o entendimento do auditor pode ajudar a confirmar que o entendimento obtido no período anterior ainda é aplicável.

Considerações específicas para entidades do setor público - item A84

A84. A estrutura de relatório financeiro aplicável em entidade do setor público é determinada pelas estruturas legislativas e regulatórias relevantes para cada jurisdição ou área geográfica. Assuntos que podem ser considerados na aplicação pela entidade dos requisitos de relatório financeiro aplicáveis e no modo como se aplicam no contexto da natureza e das circunstâncias da entidade e do seu ambiente incluem se a entidade aplica o regime de competência ou regime de caixa de acordo com as Normas Internacionais de Contabilidade do Setor Público, ou regime misto.

Como os fatores de risco afetam a suscetibilidade da afirmação à distorção (ver item 19(c)) - item A85 - A89

O Apêndice 2 fornece exemplos de eventos e condições que podem gerar riscos de distorção relevante, categorizados por fator de risco inerente.

Por que o auditor entende os fatores de risco inerentes ao entender a entidade e seu ambiente e a estrutura de relatório financeiro aplicável? - item A85 - A86

A85. O entendimento da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável auxilia o auditor a identificar eventos ou condições cujas características podem afetar a suscetibilidade de afirmações sobre classes de transações, saldos contábeis ou divulgações à distorção. Essas características são fatores de risco inerentes.
Os fatores de risco inerentes podem afetar a suscetibilidade de afirmações à distorção influenciando a probabilidade de ocorrência de distorção ou a magnitude da distorção caso ocorra.
O entendimento de como os fatores de risco inerentes afetam a suscetibilidade de afirmações à distorção pode auxiliar o auditor no entendimento preliminar da probabilidade ou magnitude de distorções, o que o auxilia a identificar os riscos de distorção relevante no nível da afirmação, de acordo com o item 28(b).
O entendimento do grau em que os fatores de risco inerentes afetam a suscetibilidade de afirmações à distorção também auxilia o auditor na avaliação da probabilidade e da magnitude de possíveis distorções ao avaliar o risco inerente, de acordo com o item 31(a).
Consequentemente, o entendimento dos fatores de risco inerentes também pode auxiliar o auditor no planejamento e na realização de procedimentos adicionais de auditoria de acordo com a NBC TA 330.

A86. A identificação pelo auditor dos riscos de distorção relevante no nível da afirmação e a avaliação do risco inerente também podem ser influenciadas pela evidência de auditoria obtida por ele na realização de outros procedimentos de avaliação de risco, de procedimentos adicionais de auditoria ou no cumprimento de outros requisitos das normas de auditoria (ver itens A95, A103, A111, A121, A124 e A151).

Efeito dos fatores de risco inerentes sobre uma classe de transações, saldo contábil ou divulgação - item A87 - A89

A87. A extensão da suscetibilidade de uma classe de transações, saldo contábil ou divulgação à distorção decorrente de complexidade ou subjetividade está muitas vezes estreitamente relacionada com a extensão em que ela está sujeita à mudança ou à incerteza.

Exemplo:

Se a entidade tem uma estimativa contábil baseada em premissas, cuja seleção está sujeita a julgamento significativo, é provável que a mensuração da estimativa contábil seja afetada tanto pela subjetividade quanto pela incerteza.

A88. Quanto maior a extensão em que uma classe de transações, saldo contábil ou divulgação é suscetível à distorção devido a complexidade ou subjetividade, maior a necessidade do auditor de aplicar ceticismo profissional.
Além disso, quando uma classe de transações, saldo contábil ou divulgação é suscetível à distorção devido à complexidade, subjetividade, mudança ou incerteza, esses fatores de risco inerentes podem criar a oportunidade para o viés da administração, seja não intencional ou intencional, e afetar a suscetibilidade à distorção devido ao viés da administração.
A identificação de riscos de distorção relevante pelo auditor, e a avaliação do risco inerente no nível da afirmação, também são afetadas pelas inter-relações entre os fatores de risco inerentes.

A89. As condições e os eventos que podem afetar a suscetibilidade à distorção devido ao viés da administração podem afetar também a suscetibilidade à distorção decorrente de outros fatores de risco de fraude.
Consequentemente, essas informações podem ser relevantes para utilização, de acordo com o item 25 da NBC TA 240, que requer que o auditor avalie se as informações obtidas de outros procedimentos de avaliação de risco e atividades relacionadas indicam a presença de um ou mais fatores de risco de fraude.

Obtenção de entendimento do sistema de controles internos da entidade (ver itens de 21 a 27) - item A90 - A93

O Apêndice 3 descreve mais detalhadamente a natureza do sistema de controles internos da entidade e as limitações inerentes dos controles internos, respectivamente. O Apêndice 3 fornece, também, explicações adicionais sobre os componentes do sistema de controles internos para fins das normas de auditoria.

A90. O entendimento do sistema de controles internos da entidade pelo auditor é obtido por meio de procedimentos de avaliação de risco realizados para entender e avaliar cada um dos componentes do sistema de controles internos, conforme definidos nos itens de 21 a 27.

A91. Os componentes do sistema de controles internos da entidade para fins desta Norma podem não refletir, necessariamente, o modo como a entidade planeja, implementa e mantém seu sistema de controles internos ou como ela pode classificar um componente específico.
As entidades podem usar diferentes terminologias ou estruturas para descrever os diversos aspectos do sistema de controles internos.
Para fins de uma auditoria, os auditores também podem usar diferentes terminologias ou estruturas desde que todos os componentes descritos nesta Norma sejam abordados.

Escalabilidade - item A92

A92. O modo como o sistema de controles internos da entidade é planejado, implementado e mantido varia com o porte e a complexidade da entidade. Por exemplo, entidades menos complexas podem usar controles menos estruturados ou mais simples (isto é, políticas e procedimentos) para alcançarem seus objetivos.

Considerações específicas para entidades do setor público - item A93

A93. Auditores do setor público muitas vezes têm responsabilidades adicionais no que se refere ao controle interno, por exemplo, emitir relatório sobre o cumprimento de código de prática estabelecido ou sobre gastos versus orçamento. Auditores do setor público também podem ter responsabilidade de emitir relatório sobre conformidade com leis, regulamentos ou outras normas. Como resultado, suas considerações sobre o sistema de controles internos podem ser mais abrangentes e detalhadas.

Tecnologia da informação nos componentes do sistema de controles internos da entidade - item A94 - A95

O Apêndice 5 fornece mais orientações sobre a compreensão do uso de TI pela entidade nos componentes do sistema de controle interno

A94. O objetivo geral e o alcance da auditoria não diferem se a entidade opera em um ambiente principalmente manual, completamente automatizado ou que envolve a combinação de elementos manuais e automatizados (isto é, controles manuais e automatizados e outros recursos usados no sistema de controles internos da entidade). Entendimento da natureza dos componentes do sistema de controles internos da entidade

A95. Ao avaliar a efetividade do projeto dos controles e se eles foram implementados (ver itens de A175 a A181), o entendimento do auditor de cada um dos componentes do sistema de controles internos da entidade fornece entendimento preliminar sobre o modo como a entidade identifica os riscos do negócio e como responde aos mesmos. Esse entendimento também pode influenciar a identificação e a avaliação pelo auditor dos riscos de distorção relevante de diferentes maneiras (ver item A86). Isso auxilia o auditor no planejamento e na realização de procedimentos adicionais de auditoria, incluindo planos para testar a efetividade operacional dos controles.

Por exemplo:

  1. é mais provável que o entendimento do ambiente de controle da entidade pelo auditor, o processo de avaliação de riscos da entidade e o processo de monitoramento dos componentes de controle afetem a identificação e a avaliação dos riscos de distorção relevante no nível das demonstrações contábeis;
  2. é mais provável que o entendimento do sistema de informações e da comunicação da entidade pelo auditor, e o componente de atividades de controle da entidade afetem a identificação e a avaliação dos riscos de distorção relevante no nível da afirmação.

Ambiente de controle, processo de avaliação de riscos da entidade e processo de monitoramento do sistema de controles internos pela entidade (ver itens de 21 a 24) - item A96 - A98

A96. Os controles no ambiente de controle, no processo de avaliação de riscos da entidade e no processo de monitoramento do sistema de controles internos pela entidade são basicamente controles indiretos (isto é, controles que não são suficientemente precisos para evitar, detectar ou corrigir distorções no nível da afirmação, mas que suportam outros controles e podem, portanto, ter efeito indireto sobre a probabilidade de distorção ser detectada ou evitada tempestivamente).
Entretanto, alguns controles nesses componentes também podem ser controles diretos.

Por que o auditor deve entender o ambiente de controle, o processo de avaliação de riscos da entidade e o processo de monitoramento do sistema de controles internos da entidade? - item A97 - A98

A97. O ambiente de controle fornece o fundamento geral para a operação dos outros componentes do sistema de controles internos. O ambiente de controle não evita, detecta ou corrige diretamente as distorções. Ele pode, contudo, influenciar a efetividade dos controles nos outros componentes do sistema de controles internos.
Da mesma forma, o processo de avaliação de riscos da entidade e seu processo de monitoramento do sistema de controles internos são planejados para operarem de maneira a também suportarem todo o sistema de controles internos.

A98. Pelo fato de esses componentes serem fundamentais para o sistema de controles internos da entidade, qualquer deficiência na sua operação pode ter efeitos generalizados sobre a elaboração das demonstrações contábeis. Portanto, o entendimento e as avaliações desses componentes pelo auditor afetam a sua identificação e avaliação dos riscos de distorção relevante no nível das demonstrações contábeis e podem afetar, também, a identificação e avaliação de risco de distorção relevante no nível da afirmação.
Riscos de distorção relevante no nível das demonstrações contábeis afetam o planejamento de respostas gerais pelo auditor, incluindo, conforme explicado na NBC TA 330, itens de A1 a A3, a uma influência na natureza, época e extensão dos seus procedimentos adicionais.

Obtenção de entendimento do ambiente de controle (ver item 21) - item A99 - A102

Escalabilidade - item A99 - A100

A99. A natureza do ambiente de controle em entidade menos complexa tende a ser diferente do ambiente de controle em entidade mais complexa.
Por exemplo, os responsáveis pela governança em entidades menos complexas podem não incluir membro independente ou externo, e a função de governança pode ser desempenhada diretamente pelo sócio-diretor onde não há outros proprietários.
Consequentemente, algumas considerações sobre o ambiente de controle da entidade podem ser menos relevantes ou não ser aplicáveis.

A100. Adicionalmente, a evidência de auditoria para elementos do ambiente de controle em entidades menos complexas pode não estar disponível em forma documental, em particular quando a comunicação entre a administração e outros profissionais é informal, mas a evidência ainda pode ser adequadamente relevante e confiável nas circunstâncias.

Exemplos:

  1. A estrutura organizacional em entidade menos complexa tende a ser mais simples e pode incluir pequeno número de empregados envolvidos em funções relacionadas com relatórios financeiros.
  2. Se a função de governança é desempenhada diretamente pelo gerente-proprietário, o auditor pode determinar que a independência dos responsáveis pela governança não é relevante.
  3. Entidades menos complexas podem não ter código de conduta por escrito, mas, em vez disso, desenvolver uma cultura que enfatize a importância da integridade e comportamento ético por meio de comunicações verbais e exemplo da administração. Consequentemente, as atitudes, conscientização e ações da administração ou do gerente-proprietário são de especial importância para o entendimento do auditor sobre o ambiente de controle de entidade menos complexa.

Entendimento do ambiente de controle (ver item 21(a)) - item A101 - A102

A101. A evidência de auditoria para o entendimento do ambiente de controle pelo auditor pode ser obtida por meio da combinação de indagações e outros procedimentos de avaliação de risco (isto é, corroborando as indagações por meio de observação ou inspeção de documentos).

A102. Ao considerar a extensão em que a administração demonstra compromisso com integridade e valores éticos, o auditor pode obter entendimento por meio de indagações à administração e aos empregados e considerando informações de fontes externas sobre:

  1. como a administração comunica aos empregados suas visões sobre práticas de negócios e comportamento ético; e
  2. inspeção do código de conduta por escrito da administração e observação se a administração atua de maneira a suportar esse código.

Avaliação do ambiente de controle (ver item 21(b)) - item A103 - A108

Por que o auditor avalia o ambiente de controle? - item A 103

A103. A avaliação do auditor de como a entidade demonstra comportamento consistente com o compromisso da entidade com integridade e valores éticos, se o ambiente de controle fornece fundamento apropriado para os outros componentes do sistema de controles internos da entidade, e se quaisquer deficiências de controle identificadas prejudicam os outros componentes do sistema de controles internos, auxilia o auditor a identificar potenciais problemas nos outros componentes do sistema de controles internos.
Isso porque o ambiente de controle é fundamental para os outros componentes do sistema de controles internos da entidade.
Essa avaliação também pode auxiliar o auditor a entender os riscos a que a entidade está exposta e, portanto, a identificar e avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).

Avaliação do ambiente de controle pelo auditor - item A104 - A108

A104. A avaliação do ambiente de controle pelo auditor é baseada no entendimento obtido, de acordo com o item 21(a).

A105. Algumas entidades podem ser dirigidas por uma única pessoa que pode exercer diversas decisões a seu critério. As ações e atitudes desse indivíduo podem ter efeito generalizado na cultura da entidade que, por sua vez, pode ter efeito generalizado no ambiente de controle. Esse efeito pode ser positivo ou negativo.

Exemplo:

O envolvimento direto de um único indivíduo pode ser a chave para possibilitar a entidade a cumprir seu objetivo de crescimento e outros objetivos, e pode também contribuir significativamente para um sistema de controles internos efetivo.
Por outro lado, essa concentração de conhecimento e autoridade também pode levar a uma maior suscetibilidade à distorção decorrente de transgressão de controles pela administração.

A106. O auditor pode considerar como diferentes elementos do ambiente de controle podem ser influenciados pela filosofia e estilo operacional da alta administração levando em consideração o envolvimento de membros independentes dos responsáveis pela governança.

A107. Embora o ambiente de controle possa fornecer fundamento apropriado para o sistema de controles internos e possa ajudar a reduzir o risco de fraude, ambiente de controle adequado não é necessariamente um inibidor de fraude eficaz.

Exemplo:

Políticas e procedimentos de recursos humanos direcionados à contratação de profissionaiscompetentes das áreas financeira, contábil e de TI podem mitigar o risco de erros no processamento e no registro de informações financeiras.
Entretanto, essas políticas e procedimentos podem não mitigar a transgressão de controles pela altaadministração (por exemplo, superavaliação de receitas).

A108. A avaliação do ambiente de controle pelo auditor, no que esteja relacionada com o uso de TI pela entidade, pode incluir assuntos como:

  1. se a governança sobre TI é compatível com a natureza e a complexidade da entidade e suas operações de negócio habilitadas por TI, incluindo a complexidade ou maturidade da plataforma ou arquitetura tecnológica da entidade e a extensão em que a entidade confia em aplicativos de TI para suportar seus relatórios financeiros;
  2. a estrutura organizacional de gestão em relação a TI e os recursos alocados (por exemplo, se a entidade investiu em ambiente de TI apropriado e em aprimoramentos necessários, ou se foi contratada uma quantidade suficiente de indivíduos adequadamente qualificados, inclusive quando a entidade usa software comercial (com ou sem modificações limitadas)).

Obtenção de entendimento do processo de avaliação de riscos da entidade (ver itens 22 e 23) - item A109 - A113

Entendimento do processo de avaliação de riscos da entidade - item A109 - A110

A109. Conforme explicado no item A62, nem todos os riscos de negócio geram riscos de distorção relevante.
Ao entender como a administração e os responsáveis pela governança identificaram os riscos do negócio relevantes para a elaboração das demonstrações contábeis e como decidiram sobre as ações para tratar esses riscos, os assuntos que o auditor pode considerar incluem como a administração ou, conforme apropriado, os responsáveis pela governança:

  1. especificaram os objetivos da entidade com precisão e clareza suficientes para possibilitar a identificação e avaliação dos riscos relacionados aos objetivos;
  2. identificaram os riscos para cumprir os objetivos da entidade e analisaram os riscos como base para determinar como eles devem ser tratados; e
  3. consideraram o potencial para fraude ao considerar os riscos para atingir os objetivos da entidade (NBC TA 240, item 18).

A110. O auditor pode considerar as implicações desses riscos do negócio para a elaboração das demonstrações contábeis da entidade e outros aspectos do sistema de controles internos.

Avaliação do processo de avaliação de riscos da entidade - item A111

Por que o auditor avalia se o processo de avaliação de riscos da entidade é apropriado

A111. A análise do processo de avaliação de riscos da entidade pelo auditor pode auxiliá-lo a entender onde a entidade identificou riscos que podem ocorrer, e como a entidade respondeu a esses riscos. A avaliação do auditor sobre como a entidade identifica os riscos de seu negócio e como ela avalia e trata esses riscos auxilia o auditor a entender se os riscos a que a entidade está exposta foram identificados, avaliados e tratados, conforme apropriado, de acordo com a natureza e a complexidade da entidade. Essa avaliação também pode auxiliar o auditor a identificar e a avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).

Avaliação sobre a adequação do processo de avaliação de riscos da entidade (ver item 22(b)) - item A112

A112. A avaliação do auditor sobre a adequação do processo de avaliação de riscos da entidade é baseada no entendimento obtido, de acordo com o item 22(a).

Escalabilidade - item A113

A113. Se o processo de avaliação de riscos da entidade é adequado às circunstâncias da entidade, considerando a natureza e complexidade da entidade, é uma questão de julgamento profissional do auditor. Exemplo: Em algumas entidades menos complexas e, particularmente, em entidades administradas pelo proprietário, pode ser feita uma avaliação de riscos apropriada por meio do envolvimento direto da administração ou do gerente-proprietário (por exemplo, o gerente ou gerente-proprietário pode dedicar tempo de forma rotineira para monitorar as atividades dos concorrentes e outros desdobramentos no mercado para identificar os riscos emergentes do negócio). A evidência dessa avaliação de risco nesses tipos de entidades muitas vezes não é documentada formalmente, mas pode ficar evidente nas discussões que o auditor tem com a administração que ela realmente realiza procedimentos de avaliação de risco.

Obtenção de entendimento do processo da entidade de monitoramento do sistema de controles internos da entidade (ver item 24) - item A114 - A118

Escalabilidade - item A114 - A115

A114. Em entidades menos complexas, e particularmente em entidades administradas pelo sócio-diretor, o entendimento pelo auditor do processo de monitoramento da entidade para monitorar o sistema de controles internos é muitas vezes focado em como a administração ou o sócio-diretor está diretamente envolvido nas operações, uma vez que pode não haver outras atividades de monitoramento.

Exemplo:

A administração pode receber reclamações de clientes sobre imprecisões em suas faturas mensais que alertam o gerente-proprietário para questões relacionadas com a época em que os pagamentos pelos clientes são reconhecidos nos registros contábeis.

A115. Para entidades em que não há processo formal de monitoramento do sistema de controles internos, o entendimento do processo de monitoramento do sistema de controles internos pode incluir entender revisões periódicas das informações contábeis da administração que são desenhadas para contribuir em como a entidade previne ou detecta distorções.

Entendimento do processo da entidade de monitoramento do sistema de controles internos - item A116 - A117

A116. Assuntos que podem ser relevantes para o auditor considerar no entendimento de como a entidade monitora seu sistema de controles internos incluem: • o desenho das atividades de monitoramento, por exemplo, se o monitoramento é periódico ou contínuo; • a realização e a frequência das atividades de monitoramento; • a avaliação tempestiva dos resultados das atividades de monitoramento para determinar se os controles foram efetivos; e • como deficiências identificadas foram tratadas por meio de ações corretivas apropriadas, incluindo a comunicação tempestiva dessas deficiências aos responsáveis por tomar as ações corretivas.

A117. O auditor também pode considerar como o processo da entidade de monitoramento do sistema de controles internos endereça o monitoramento dos controles de processamento de informações que envolvem o uso de TI, que podem incluir, por exemplo:

  1. controles para monitorar ambientes de TI complexos que: o avaliam a efetividade contínua do desenho dos controles de processamento de dados e os modificam, conforme apropriado, no caso de mudanças nas condições; ou o avaliam a efetividade operacional dos controles de processamento de informações;
  2. controles que monitoram as permissões aplicadas em controles de processamento de informações que reforcem a segregação de funções;
  3. controles que monitoram como erros ou deficiências de controle relacionados com a automação da apresentação de relatórios financeiros são identificados e tratados.

Entendimento da função de auditoria interna da entidade - item A118

O Apêndice 4 descreve considerações adicionais para o entendimento da função de auditoria interna da entidade

A118. As indagações do auditor junto aos indivíduos apropriados da função de auditoria interna o auxiliam a obter entendimento da natureza das responsabilidades da função de auditoria interna.
Se o auditor determinar que tais responsabilidades da função de auditoria interna estão relacionadas com a elaboração do relatório financeiro da entidade, ele pode obter entendimento adicional das atividades realizadas, ou a serem realizadas, pela função de auditoria interna por meio da revisão do plano de auditoria interna para o período, se houver, e discutir esse plano com os indivíduos apropriados da auditoria interna.
Esse entendimento, juntamente com as informações obtidas pelas indagações do auditor, pode também fornecer informações diretamente relevantes para a sua identificação e avaliação dos riscos de distorção relevante.
Se, com base no entendimento preliminar do auditor independente sobre a função de auditoria interna, ele espera utilizar o trabalho da auditoria interna para modificar a natureza ou a época, ou reduzir a extensão dos procedimentos de auditoria a serem realizados, a NBC TA 610 - Utilização do Trabalho de Auditoria Interna é aplicável.

Outras fontes de informação usadas no processo da entidade para monitorar o sistema de controles internos - item A119 - A120

Entendimento das fontes de informação (ver item 24(b)) - item A119

A119. As atividades de monitoramento da administração podem usar informações de comunicações de partes externas, tais como reclamações de clientes ou comentários de reguladores que podem indicar problemas ou destacar áreas que necessitam de melhorias.

Por que o auditor deve entender as fontes de informação usadas para o monitoramento do sistema de controles internos pela entidade? - item A120

A120. O entendimento pelo auditor das fontes de informação usadas pela entidade para o monitoramento do seu sistema de controles internos, incluindo se as informações usadas são relevantes e confiáveis, o auxilia a avaliar se o processo da entidade para monitorar o sistema de controles internos é apropriado.
Se a administração assumir que as informações usadas para o monitoramento são relevantes e confiáveis sem ter uma base para essa premissa, erros que podem existir nas informações podem potencialmente levar a administração a tirar conclusões incorretas com base em suas atividades de monitoramento.

Avaliação do processo da entidade para monitoramento do sistema de controles internos (ver item 24(c)) - item A121 - A122

Por que o auditor avalia se o processo de monitoramento da entidade para monitorar o sistema de controles internos é apropriado? - item A121

A121. A avaliação do auditor sobre como a entidade realiza avaliações contínuas e separadas para monitorar a efetividade dos controles o auxilia a entender se os outros componentes do sistema de controles internos da entidade estão presentes e em funcionamento e, portanto, auxilia no entendimento dos outros componentes do sistema de controles internos da entidade. Essa avaliação também pode auxiliar o auditor a identificar e avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).

Avaliação se o processo de monitoramento da entidade para monitorar o sistema de controles é apropriado (ver item 24(c)) - item A122

A122. A avaliação pelo auditor da adequação do processo dea entidade para monitorarde dododododo sistema de controles internos é baseada no entendimento dessedo auditor sobre o desseprocesso da entidade para monitorar o sistema de controles internos.

Sistema de informações e comunicação, e atividades de controle (ver itens 25 e 26) - item A123 - A130

A123. Os controles nos componentes sistema de informações e comunicação, e atividades de controle são primariamente controles diretos (isto é, controles que são suficientemente precisos para evitar, detectar ou corrigir distorções no nível da afirmação).

Por que o auditor deve entender o sistema de informações e comunicação, e controles no componente de atividades de controle? - item A124 - A125

A124. O auditor deve entender o sistema de informações e comunicação da entidade porque o entendimento das políticas da entidade que definem os fluxos de transações e outros aspectos das atividades de processamento de informações da entidade relevantes para a elaboração das demonstrações contábeis, e a avaliação de se o componente suporta adequadamente a elaboração das demonstrações contábeis da entidade, suportam a identificação e avaliação pelo auditor dos riscos de distorção relevante no nível da afirmação.
Esse entendimento e essa avaliação também podem resultar na identificação dos riscos de distorção relevante no nível das demonstrações contábeis quando os resultados dos procedimentos do auditor são inconsistentes com as expectativas em relação ao sistema de controles internos da entidade que podem ter sido baseadas em informações obtidas no processo de aceitação ou continuação do trabalho (ver item A86).

A125. O auditor deve identificar controles específicos no componente de atividades de controle, e avaliar o desenho bem como determinar se os controles foram implementados, uma vez que isso auxilia o seu entendimento sobre a abordagem da administração para tratar certos riscos e, portanto, fornece uma base para o planejamento e a realização de procedimentos adicionais de auditoria em resposta a esses riscos, conforme requerido pela NBC TA 330.
Quanto mais alto no spectrum de risco inerente um risco for avaliado, mais persuasiva deverá ser a evidência de auditoria. Mesmo quando o auditor não planeja testar a efetividade operacional dos controles identificados, o seu entendimento ainda pode afetar o planejamento da natureza, época e extensão de procedimentos de auditoria substantivos em resposta aos riscos de distorção relevante relacionados.

Natureza iterativa do entendimento e da avaliação pelo auditor do sistema de informações e comunicação, e das atividades de controle - item A126 - A130

A126. Conforme explicado no item A49, o entendimento pelo auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, pode auxiliá-lo a desenvolver expectativas iniciais em relação a classes de transações, saldos contábeis e divulgações que podem ser classes de transações, saldos contábeis e divulgações significativas.
Ao obter entendimento do componente do sistema de informações e comunicação, de acordo com o item 25(a), o auditor pode usar essas expectativas iniciais para determinar a extensão do entendimento a ser obtido sobre as atividades de processamento de informações da entidade.

A127. O entendimento do sistema de informações pelo auditor inclui o entendimento das políticas que definem os fluxos de informações relacionadas com as classes de transações, saldos contábeis e divulgações significativas da entidade e outros aspectos relacionados com as atividades de processamento de informações da entidade.
Essas informações e as informações obtidas da avaliação do sistema de informações pelo auditor podem confirmar ou influenciar ainda mais as suas expectativas em relação a classes de transações, saldos contábeis e divulgações significativas identificadas inicialmente (ver item A126).

A128. Ao obter entendimento de como informações relacionadas com classes de transações, saldos contábeis e divulgações significativas fluem (incluindo entrada e saída) pelo sistema de informações da entidade, o auditor também pode identificar controles no componente de atividades de controle que devem ser identificados, de acordo com o item 26(a).
A identificação e a avaliação pelo auditor dos controles no componente de atividades de controle podem primeiramente focar em controles dos lançamentos contábeis e controles que o auditor planeja testar a efetividade operacional para planejar a natureza, a época e a extensão dos procedimentos substantivos.

A129. A avaliação dos riscos inerentes pelo auditor também pode influenciar a identificação de controles no componente de atividades de controle.
Por exemplo, a identificação pelo auditor de controles relacionados com riscos significativos pode ser identificável apenas quando ele avaliou os riscos inerentes no nível da afirmação, de acordo com o item 31.
Além disso, os controles que tratam riscos para os quais o auditor determinou que apenas procedimentos substantivos não fornecem evidência de auditoria apropriada e suficiente, de acordo com o item 33, também podem ser identificáveis somente quando as suas avaliações de riscos inerentes tiverem sido realizadas.

A130. A identificação e a avaliação dos riscos de distorção relevante pelo auditor no nível da afirmação são influenciadas:

  1. pelo entendimento pelo auditor das políticas da entidade para atividades de processamento de informações no componente de sistema de informações e comunicação; e
  2. pela identificação e avaliação dos controles no componente de atividades de controle pelo auditor

Obtenção de entendimento do sistema de informações e comunicação (ver item 25) - item A131 - A143

O Apêndice 3, itens de 15 a 19, fornece considerações adicionais relacionadas com o sistema de informações e comunicação.

Escalabilidade - item A131

A131. O sistema de informações e os processos de negócio relacionados, em entidades menos complexas, são provavelmente menos sofisticados do que em entidades maiores e tendem a envolver um ambiente de TI menos complexo.
Entretanto, o papel do sistema de informações é igualmente importante.
Entidades menos complexas com envolvimento direto da administração podem não precisar de extensas descrições de procedimentos contábeis, registros contábeis sofisticados ou políticas por escrito.
O entendimento dos aspectos relevantes do sistema de informações da entidade pode, portanto, requerer menos esforço na auditoria de entidade menos complexa e pode envolver mais indagações do que observação ou inspeção de documentação.
A necessidade de obter entendimento, contudo, continua importante para fornecer uma base para o planejamento de procedimentos de auditoria adicionais, de acordo com a NBC TA 330, e pode ainda auxiliar o auditor a identificar e avaliar os riscos de distorção relevante (ver item A86).

Obtenção de entendimento do sistema de informações (ver item 25(a)) - item A132 - A137

A132. O sistema de controles internos da entidade inclui aspectos que estão relacionados com os objetivos de apresentação de relatórios da entidade, incluindo objetivos de apresentação de seus relatórios financeiros, mas pode incluir também aspectos relacionados com seus objetivos de operações e de conformidade, quando esses aspectos são relevantes para a apresentação de relatórios financeiros.
O entendimento de como a entidade inicia transações e captura informações como parte do entendimento do auditor sobre o sistema de informações pode incluir informações sobre os sistemas da entidade (suas políticas), desenhados para tratar os objetivos de conformidade e de operações porque essas informações são relevantes para a elaboração das demonstrações contábeis.
Além disso, algumas entidades podem ter sistemas de informações altamente integrados de modo que controles possam ser desenhados de maneira a atingir simultaneamente os objetivos de relatório financeiro, de conformidade, operacionais e a combinações dos mesmos.

A133. O entendimento do sistema de informações da entidade também inclui o entendimento dos recursos a serem usados nas atividades de processamento de informações da entidade.
As informações sobre os recursos humanos envolvidos que podem ser relevantes para o entendimento dos riscos à integridade do sistema de informações incluem:

  1. a competência dos indivíduos que realizam o trabalho;
  2. se há recursos adequados; e
  3. se há segregação de funções adequada.

A134. Assuntos que o auditor pode considerar ao obter entendimento das políticas que definem os fluxos de informações relacionadas com as significativas classes de transações, saldos contábeis e divulgações da entidade no componente de sistema de informações e comunicação incluem a natureza:

  • (a) dos dados ou das informações relacionadas com transações, outros eventos e condições a serem processadas;
  • (b) do processamento de informações para manter a integridade dos dados ou das informações; e
  • (c) dos processos de informações, do pessoal e de outros recursos usados no processo de processamento de informações.

A135. A obtenção de entendimento dos processos de negócio da entidade, que inclui como as transações são originadas, auxilia o auditor a obter entendimento do sistema de informações da entidade de modo apropriado às circunstâncias da entidade.

A136. O entendimento do sistema de informações pelo auditor pode ser obtido de várias maneiras e pode incluir:

  1. indagações ao pessoal relevante sobre os procedimentos utilizados para iniciar, registrar, processar e reportar transações ou sobre o processo de apresentação de relatórios financeiros da entidade;
  2. inspeção de políticas, manuais de processos ou outra documentação do sistema de informações da entidade;
  3. observação da realização de políticas ou procedimentos pelo pessoal da entidade; ou
  4. seleção de transações e seu rastreamento ao longo do processo aplicável no sistema de informações (isto é, a realização de um “passo a passo”). Ferramentas e técnicas automatizadas

A137. O auditor também pode usar técnicas automatizadas para obter acesso direto ou baixar as bases de dados (download) do sistema de informações da entidade que armazenam registros contábeis de transações.
Ao aplicar ferramentas ou técnicas automatizadas a essas informações, o auditor pode confirmar o entendimento obtido sobre como as transações fluem pelo sistema de informações, rastreando lançamentos no livro diário ou outros registros digitais relacionados com uma transação específica, ou a população inteira de transações, desde a iniciação nos registros contábeis até o registro no razão geral.
A análise de conjuntos completos ou grandes transações também pode resultar na identificação de variações em relação aos procedimentos de processamento normais ou esperados para essas transações, que podem resultar na identificação de riscos de distorção relevante.

Informações obtidas fora do razão geral e dos razões auxiliares - item A138 - A139

A138. As demonstrações contábeis podem conter informações que são obtidas fora do razão geral e dos razões auxiliares. Exemplos dessas informações que o auditor pode considerar incluem:

  1. informações obtidas de contratos de arrendamento relevantes para as divulgações nas demonstrações contábeis;
  2. informações divulgadas nas demonstrações contábeis produzidas por sistema de gestão de riscos da entidade;
  3. informações sobre o valor justo produzidas por especialistas da administração e divulgadas nas demonstrações contábeis;
  4. informações divulgadas nas demonstrações contábeis que foram obtidas de modelos ou de outros cálculos usados para desenvolver estimativas contábeis, reconhecidas ou divulgadas nas demonstrações contábeis, incluindo informações relacionadas aos dados e premissas subjacentes usadas nesses modelos, tais como: o premissas desenvolvidas internamente que podem afetar a vida útil de ativo; ou o dados como taxas de juros que são afetados por fatores fora do controle da entidade;
  5. informações divulgadas nas demonstrações contábeis sobre análises de sensibilidade derivadas de modelos financeiros que demonstram que a administração considerou premissas alternativas;
  6.  informações reconhecidas ou divulgadas nas demonstrações contábeis que foram obtidas de declarações de impostos e registros da entidade;
  7. informações divulgadas nas demonstrações contábeis obtidas de análises elaboradas para suportar a avaliação da administração sobre a capacidade da entidade de manter sua continuidade operacional, tais como divulgações, se houver, relacionadas com eventos ou condições identificados que podem levantar dúvida significativa quanto à capacidade da entidade de manter sua continuidade operacional (NBC TA 570, itens 19 e 20).

A139. Certos valores ou divulgações nas demonstrações contábeis da entidade (tais como divulgações sobre risco de crédito, risco de liquidez e risco de mercado) podem estar baseados em informações obtidas do sistema de gestão de riscos da entidade.
Entretanto, o auditor não é requerido a entender todos os aspectos do sistema de gestão de riscos da entidade, e usa julgamento profissional para determinar o entendimento necessário.

Uso de tecnologia da informação no sistema de informações pela entidade - item A140 - A143

Por que o auditor entende o ambiente de TI relevante para o sistema de informações? - item A140 - A141

A140. O entendimento do sistema de informações pelo auditor inclui o ambiente de TI relevante para os fluxos de transações e processamento de informações no sistema de informações da entidade porque o uso pela entidade de aplicativos de TI ou outros aspectos do ambiente de TI podem gerar riscos decorrentes do uso de TI.

A141. O entendimento do modelo de negócio da entidade e como ele integra o uso de TI também pode fornecer contexto útil para a natureza e a extensão de TI esperadas no sistema de informações.

Entendimento do uso de TI pela entidade - item A142 - A143

A142. O entendimento do ambiente de TI pelo auditor pode focar na identificação e no entendimento da natureza e do número de aplicativos de TI específicos e de outros aspectos do ambiente de TI relevantes para os fluxos de transações e processamento de informações no sistema de informações. Mudanças, no fluxo de transações ou em informações no sistema de informações, podem ser resultado de alterações em programas de aplicativos de TI ou alterações diretas de dados em bases de dados envolvidas em processamento ou armazenamento dessas transações ou informações.

A143. O auditor pode identificar os aplicativos de TI e a infraestrutura de suporte de TI ao mesmo tempo em que obtém entendimento como as informações relacionadas com significativas classes de transações, saldos contábeis e divulgações trafegam pelo sistema de informações da entidade.

Obtenção de entendimento da comunicação da entidade (ver item 25(b)) - item A144 - A146

  1. Escalabilidade - item A144 - A145
  2. Avaliação se os aspectos relevantes do sistema de informações suportam a elaboração das demonstrações contábeis da entidade - item A146

Escalabilidade - item A144 - A145

A144. Em entidades maiores e mais complexas, as informações que o auditor pode considerar para entender a comunicação da entidade podem ser obtidas de manuais de políticas e de relatórios financeiros.

A145. Em entidades menos complexas, a comunicação pode ser menos estruturada (por exemplo, manuais formais podem não ser usados) devido aos graus menores de responsabilidade e à maior visibilidade e disponibilidade da administração. Independentemente do porte da entidade, canais de comunicação abertos facilitam que exceções sejam reportadas e tratadas.

Avaliação se os aspectos relevantes do sistema de informações suportam a elaboração das demonstrações contábeis da entidade (ver item 25(c)) - item A146

A146. A avaliação do auditor de se o sistema de informações e a comunicação da entidade suportam adequadamente a elaboração das demonstrações contábeis é baseada no entendimento obtido no item 25(a) e (b).

Atividades de controle (ver item 26) - item A147 - A157

Controles no componente de atividades de controle - item A147 - A152

O Apêndice 3, itens 20 e 21, fornece considerações adicionais relacionadas com atividades de controle.

A147. O componente de atividades de controle inclui controles planejados para assegurar a devida aplicação de políticas (que também são controles) em todos os outros componentes do sistema de controles internos da entidade, e inclui controles diretos e indiretos.

Exemplo:

Os controles estabelecidos pela entidade para assegurar que seu pessoal faça a contagem e o registro anual do estoque físico de maneira adequada estão relacionados diretamente com os riscos de distorção relevante importantes para as afirmações de existência e integridade do saldo contábil do estoque.

A148. A identificação e avaliação pelo auditor dos controles no componente de atividades de controle são focadas em controles de processamento de informações, que são controles aplicados durante o processamento de informações no sistema de informações da entidade que tratam diretamente os riscos à integridade das informações (isto é, a integridade, precisão e validade das transações e outras informações).
Entretanto, o auditor não é é requerido a identificar e avaliar todos os controles de processamento de informações relacionados com as políticas da entidade que definem os fluxos de transações e outros aspectos das atividades de processamento de informações da entidade para as significativas classes de transações, saldos contábeis e divulgações.

A149. Pode haver também controles diretos no ambiente de controle, no processo de avaliação de riscos da entidade ou no processo da entidade de monitoramento do sistema de controles internos, que podem ser identificados, de acordo com o item 26.
Entretanto, quanto mais indireta for a relação entre os controles que suportam outros controles e o controle que está sendo considerado, menos efetivo pode ser esse controle na prevenção, ou detecção e correção, das distorções relacionadas.

Exemplo:

A revisão pelo gerente de vendas do resumo da atividade de vendas para lojas específicas por região normalmente é relacionada apenas indiretamente com os riscos de distorção relevante importantes para a afirmação de integridade para receita de vendas.
Consequentemente, ela pode ser menos efetiva para tratar esses riscos do que controles relacionados mais diretamente com eles, tais como confrontar documentos de embarque com faturas.

A150. O item 26 também requer que o auditor identifique e avalie os controles gerais de TI para aplicativos de TI e outros aspectos do ambiente de TI que ele tenha determinado como sujeitos a riscos decorrentes do uso de TI porque os controles gerais de TI permitem o funcionamento efetivo e contínuo dos controles de processamento de informações.
Um único controle geral de TI não é suficiente para tratar risco de distorção relevante no nível da afirmação.

A151. Os controles que o auditor deve avaliar o planejamento e determinar se foram implementados, de acordo com o item 26, são os seguintes:

  1. controles para os quais o auditor planeja testar a efetividade operacional ao determinar a natureza, a época e a extensão dos procedimentos substantivos.
    A avaliação desses controles fornece a base para o planejamento do auditor testar procedimentos de controle, de acordo com a NBC TA 330.
    Esses controles também tratam os riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente;
  2. controles que incluem controles que tratam riscos significativos e controles dos lançamentos no livro diário.
    A identificação e avaliação pelo auditor desses controles também podem influenciar o seu entendimento dos riscos de distorção relevante, incluindo a identificação de riscos de distorção relevante adicionais (ver item A95).
    Esse entendimento também fornece base para o auditor planejar a natureza, época eextensão dos procedimentos de auditoria substantivos que respondam aos respectivos riscos avaliados de distorção relevante;
  3. outros controles que o auditor considera apropriados para que ele atinja os objetivos do item 13 com relação aos riscos no nível da afirmação, com base no julgamento profissional do auditor.

A152. Os controles no componente de atividades de controle devem ser identificados quando esses controles atenderem um ou mais critérios incluídos no item 26(a).
Entretanto, quando múltiplos controles atingem o mesmo objetivo, não é necessário identificar cada um dos controles relacionados com esse objetivo.

Tipos de controle no componente de atividades de controle (ver item 26) - item A153 - A155

A153. Exemplos de controles no componente de atividades de controle incluem autorizações e aprovações, conciliações, verificações (tais como verificações de edição e validação ou cálculos automatizados), segregação de funções e controles físicos e lógicos, incluindo aqueles que tratam de salvaguarda de ativos.

A154. Os controles no componente de atividades de controle também podem incluir controles estabelecidos pela administração que tratam os riscos de distorção relevante para divulgações não elaboradas de acordo com a estrutura de relatório financeiro aplicável. Esses controles podem estar relacionados com informações nas demonstrações contábeis que são obtidas do razão geral e dos razões auxiliares.

A155. Independentemente de os controles estarem no ambiente de TI ou em sistemas manuais, eles podem ter vários objetivos e podem ser aplicados em diversos níveis organizacionais e funcionais.

Escalabilidade (ver item 26) - item A156 - A157

A156. Os controles no componente de atividades de controle em entidades menos complexas são provavelmente semelhantes aos de entidades de grande porte, mas a formalidade com que eles operam pode variar. Além disso, em entidades menos complexas, mais controles podem ser aplicados diretamente pela administração.

Exemplo:

A autoridade exclusiva da administração de conceder crédito a clientes e aprovar aquisições significativas pode proporcionar fortes controles dos saldos contábeis e transações importantes.

A157. Pode ser menos praticável estabelecer segregação de funções em entidades menos complexas que possuem menos empregados.
Entretanto, em entidade administrada pelo proprietário, o gerente-proprietário pode ser capaz de supervisionar de maneira mais eficaz por meio de envolvimento direto que em entidade de grande porte, o que pode compensar as oportunidades geralmente menores de segregar funções.
Contudo, conforme também explicado na NBC TA 240, item 28, o controle da administração por um único indivíduo pode ser uma deficiência de controle potencial, já que há uma oportunidade para que a administração transgrida os controles.

Controles que tratam os riscos de distorção relevante no nível da afirmação (ver item 26(a)) - item A158 - A165

Controles que tratam os riscos determinados como sendo riscos significativos (ver item 26(a)(i)) - item A158 - A159

A158. Independentemente de se o auditor planeja testar a efetividade operacional de controles que endereçam riscos significativos, o entendimento obtido sobre a abordagem da administração para tratar esses riscos pode fornecer uma base para o planejamento e a realização de procedimentos substantivos em resposta a riscos significativos, conforme requerido pela NBC TA 330, item 21.
Embora os riscos relacionados com questões significativas não rotineiras ou de julgamento muitas vezes tenham menos probabilidade de estar sujeitos a controles rotineiros, a administração pode ter outras respostas para tratar tais riscos.
Consequentemente, o entendimento do auditor em determinar se a entidade planejou e implementou controles para riscos significativos decorrentes de questões não rotineiras ou de julgamento pode incluir determinar se e como a administração responde aos riscos. Essas respostas podem incluir:

  1. controles, como a revisão de premissas pela alta administração ou especialistas;
  2. processos documentados para estimativas contábeis;
  3. aprovação pelos responsáveis pela governança.

Exemplo:

Quando há eventos únicos, tais como notificação judicial, a consideração da resposta da entidade pode incluir assuntos como determinar se a notificação foi submetida a especialistas apropriados (tais como assessores jurídicos internos ou externos), se foi feita uma avaliação do efeito potencial e como se propõe que as circunstâncias sejam divulgadas nas demonstrações contábeis.

A159. A NBC TA 240, itens 28 e A33, requer que o auditor entenda os controles relacionados com os riscos avaliados de distorção relevante decorrentes de fraude (que são tratados como riscos significativos), e explica mais detalhadamente que é importante que o auditor obtenha entendimento dos controles que a administração planejou, implementou e manteve para prevenir e detectar fraude.

Controles dos lançamentos no livro diário (ver item 26(a)(ii)) - item A160

A160. Os controles que tratam os riscos de distorção relevante no nível da afirmação que se espera identificar em todas as auditorias são os controles dos lançamentos no livro diário porque o modo como a entidade incorpora as informações do processamento de transações no razão geral geralmente envolve o uso de lançamentos no livro diário, sejam eles padrão ou fora do padrão, automatizados ou manuais.
A extensão em que outros controles são identificados pode variar com base na natureza da entidade e na abordagem planejada pelo auditor em relação a procedimentos adicionais de auditoria.

Exemplo:

Na auditoria de entidade menos complexa, o sistema de informações da entidade pode não ser complexo e o auditor pode não planejar confiar na efetividade operacional dos controles.
Além disso, o auditor pode não ter identificado nenhum risco significativo ou quaisquer outros riscos de distorção relevante em relação aos quais é necessário que ele avalie o planejamento dos controles e determine que eles tenham sido implementados.
Em uma auditoria como essa, o auditor pode determinar que não existem controles identificados que não sejam os controles da entidade sobre lançamentos no livro diário.

Ferramentas e técnicas automatizadas - item A161

A161. Em sistemas manuais de razão geral, lançamentos no livro diário fora de padrão podem ser identificados por meio de inspeção de livros razão, livros diários e documentação de suporte.
Quando são usados procedimentos automatizados para manter o razão geral e elaborar as demonstrações contábeis, esses lançamentos podem existir apenas em formato eletrônico e serem, portanto, mais facilmente identificados por meio de técnicas automatizadas.

Exemplo:

Na auditoria de entidade menos complexa, o auditor pode conseguir extrair uma listagem total de todos os lançamentos no livro diário em uma planilha simples.
Pode então ser possível ao auditor separar os lançamentos aplicando vários filtros, tais como valor, nome do preparador ou revisor, lançamentos no livro diário incluídos apenas no balanço patrimonial e na demonstração do resultado, ou visualizar a listagem pela data do lançamento no razão geral, para auxiliá-lo a planejar respostas aos riscos identificados relacionados com lançamentos no livro diário.

Controles para os quais o auditor planeja testar a efetividade operacional (ver item 26(a)(iii)) - item A162 - A164

A162. O auditor determina se existem riscos de distorção relevante no nível da afirmação para os quais não é possível obter evidência de auditoria apropriada e suficiente por meio de procedimentos substantivos isoladamente.
O auditor deve, de acordo com a NBC TA 330, item 8(b), planejar e realizar testes de controles que tratam esses riscos de distorção relevante quando os procedimentos substantivos isoladamente não conseguem fornecer evidência de auditoria apropriada e suficiente no nível da afirmação.
Como resultado, quando existem esses controles para tratar esses riscos, eles devem ser identificados e avaliados.

A163. Em outros casos, quando o auditor planeja levar em consideração a efetividade operacional dos controles para determinar a natureza, a época e a extensão dos procedimentos substantivos, de acordo com a NBC TA 330, esses controles também devem ser identificados porque a NBC TA 330, item 8(a), requer que o auditor planeje e realize testes desses controles.

Exemplos:

O auditor pode planejar testar a efetividade operacional dos controles:

  1. sobre classes de transações rotineiras porque esses testes podem ser mais efetivos ou eficientes para grandes volumes de transações homogêneas;
  2. sobre a integridade e precisão das informações produzidas pela entidade (por exemplo, controles da elaboração de relatórios gerados por sistema), para determinar a confiabilidade dessas informações quando o auditor pretende considerar a efetividade operacional desses controles ao planejar e realizar procedimentos adicionais de auditoria;
  3. relacionados com operações ou objetivos de conformidade, quando eles se referem a dados que o auditor avalia ou usa na aplicação de procedimentos de auditoria.

A164. Os planos do auditor de testar a efetividade operacional dos controles também podem ser influenciados pelos riscos identificados de distorção relevante a nível das demonstrações contábeis.
Por exemplo, se forem identificadas deficiências relacionadas com o ambiente de controle, isso pode afetar as expectativas gerais do auditor sobre a efetividade operacional de controles diretos.

Outros controles que o auditor considera apropriados (ver item 26(a)(iv)) - item A165

A165. Outros controles que o auditor pode considerar apropriado identificar, avaliar o planejamento e determinar a implementação podem incluir:

  1. controles que tratam riscos avaliados como altos no spectrum de risco inerente, mas que não foram determinados como sendo riscos significativos;
  2. controles relacionados com registros detalhados de conciliações com o razão geral; ou
  3. controles complementares da entidade usuária se estiver utilizando uma organização prestadora de serviços (NBC TA 402 - Considerações de Auditoria para a Entidade que Utiliza Organização Prestadora de Serviços).

Identificação de aplicativos de TI e outros aspectos do ambiente de TI, riscos decorrentes do uso de TI e controles gerais de TI (ver item 26(b) e (c)) - item A166 - A172

O Apêndice 5 inclui exemplos de características de aplicativos de TI e outros aspectos do ambiente de TI, e orientações relacionadas com essas características, que podem ser relevantes na identificação de aplicativos de TI e de outros aspectos do ambiente de TI que estão sujeitos a riscos decorrentes do uso de TI.

Por que o auditor identifica riscos decorrentes do uso de TI e controles gerais de TI relacionados com aplicativos de TI e outros aspectos do ambiente de TI identificados? - item A166

A166. O entendimento dos riscos decorrentes do uso de TI e controles gerais de TI implementados pela entidade para tratar esses riscos pode afetar:

  1. a decisão do auditor sobre testar a efetividade operacional dos controles para tratar os riscos de distorção relevante no nível da afirmação;
    Exemplo:
    Quando os controles gerais de TI não são planejados de maneira efetiva ou implementados adequadamente para tratar os riscos decorrentes do uso de TI (por exemplo, os controles não evitam ou não detectam adequadamente alterações não autorizadas de programas ou acesso não autorizado a aplicativos de TI), isso pode afetar a decisão do auditor de confiar nos controles automatizados nos aplicativos de TI afetados.
  2. a avaliação do auditor do risco de controle no nível da afirmação;
    Exemplo:
    A efetividade operacional contínua de um controle de processamento de informações pode depender de certos controles gerais de TI que evitam ou detectam alterações não autorizadas de programas no controle de processamento de informações de TI (isto é, controles de alteração de programa sobre o aplicativo de TI relacionado). Nessas circunstâncias, a efetividade operacional esperada (ou falta dela) do controle geral de TI pode afetar a avaliação pelo auditor do risco de controle (por exemplo, o risco de controle pode ser maior quando a expectativa é que esses controles gerais de TI não sejam efetivos ou se o auditor não planejar testar os controles gerais de TI).
  3. a estratégia do auditor para testar informações preparadas pela entidade que são produzidas pelos seus aplicativos de TI ou envolvem informações de tais aplicativos;
    Exemplo:
    Quando as informações produzidas pela entidade a serem usadas como evidência de auditoria são produzidas por aplicativos de TI, o auditor pode determinar testar os controles dos relatórios gerados por sistema, incluindo a identificação e o teste dos controles gerais de TI que tratam os riscos de alterações inadequadas ou não autorizadas de programas ou alterações de dados diretamente nos relatórios.
  4. a avaliação do auditor do risco de controle no nível da afirmação; ou
    Exemplo:
    Quando são feitas alterações significativas ou extensas de programação em aplicativo de TI para tratar requisitos de relatório financeiro novos ou revisados da estrutura de relatório financeiro aplicável, isso pode ser indicador da complexidade dos novos requisitos e de seu efeito sobre as demonstrações contábeis da entidade. Quando essas alterações extensas de programação ou de dados ocorrem, é provável que o aplicativo de TI também esteja sujeito a riscos decorrentes do uso de TI.
  5. o planejamento de procedimentos de auditoria adicionais.
    Exemplo:
    Se os controles de processamento de informações dependem de controles gerais de TI, o auditor pode determinar testar a efetividade operacional dos controles gerais de TI, e para isso é necessário planejar testes de controle para esses controles gerais de TI. Se, nas mesmas circunstâncias, o auditor determinar não testar a efetividade operacional dos controles gerais de TI, ou a expectativa é que esses controles gerais de TI não sejam efetivos, os riscos relacionados decorrentes do uso de TI podem precisar ser tratados por meio do planejamento de procedimentos substantivos. Entretanto, os riscos decorrentes do uso de TI podem não ser endereçados quando se referem a riscos para os quais procedimentos substantivos isoladamente não fornecem evidência de auditoria apropriada e suficiente. Nessas circunstâncias, o auditor pode precisar considerar as implicações para a opinião de auditoria.

Identificação de aplicativos de TI sujeitos a riscos decorrentes do uso de TI - item A167 - A169

A167. Para os aplicativos relevantes para o sistema de informações, o entendimento da natureza e complexidade dos processos de TI específicos e dos controles gerais de TI que a entidade possui pode auxiliar o auditor a determinar em quais aplicativos de TI a entidade confia para processar precisamente e manter a integridade das informações em seu sistema de informações.
Esses aplicativos de TI podem estar sujeitos a riscos decorrentes do uso de TI.

A168. A identificação dos aplicativos de TI sujeitos a riscos decorrentes do uso de TI envolve considerar os controles identificados pelo auditor porque esses controles podem envolver o uso de TI ou confiar em TI.
O auditor pode focar em se os aplicativos de TI incluem controles automatizados nos quais a administração confia e que auditor identificou, incluindo controles que tratam os riscos para os quais procedimentos substantivos isoladamente não fornecem evidência de auditoria suficiente e apropriada.
O auditor também pode considerar como as informações são armazenadas e processadas no sistema de informações relacionado com significativas classes de transações, saldos contábeis e divulgações, e se a administração confia nos controles gerais de TI para manter a integridade dessas informações.

A169. Os controles identificados pelo auditor podem depender de relatórios gerados por sistema, caso em que os aplicativos de TI que produzem esses relatórios podem estar sujeitos a riscos decorrentes do uso de TI.
Em outros casos, o auditor pode não planejar confiar em controles dos relatórios gerados por sistema e planejar testar diretamente as entradas e saídas desses relatórios, caso em que ele pode não identificar os aplicativos de TI relacionados como sendo sujeitos a riscos decorrentes de TI.

Escalabilidade - item A170 - A171

A170. A extensão em que o entendimento dos processos de TI pelo auditor, incluindo a extensão em que a entidade possui controles gerais de TI, varia dependendo da natureza e das circunstâncias da entidade e do seu ambiente de TI, bem como com base na natureza e extensão dos controles identificados por ele.
O número de aplicativos de TI sujeitos a riscos decorrentes do uso de TI também varia com base nesses fatores.

Exemplos:

  1. É improvável que a entidade que usa software comercial e não tem acesso ao código fonte para fazer qualquer alteração nos programas tenha um processo para alterações de programa, mas ela pode ter um processo ou procedimentos para configurar o software (por exemplo, o plano de contas, parâmetros ou limites para relatórios financeiros).
    Além disso, a entidade pode ter um processo ou procedimentos para gerenciar o acesso ao aplicativo (por exemplo, um indivíduo designado com acesso administrativo ao software comercial). Nessas circunstâncias, não é provável que a entidade tenha ou necessite de controles gerais de TI formalizados.
  2. Por outro lado, uma entidade de grande porte pode depositar muita confiança na tecnologia da informação, o ambiente de TI pode envolver múltiplos aplicativos de TI e os processos de TI para gerenciar o ambiente de TI podem ser complexos (por exemplo, existe um departamento de TI dedicado que desenvolve e implementa alterações de programas e gerencia direitos de acesso), incluindo a implementação pela entidade de controles gerais de TI formalizados dos seus processos de TI.
  3. Quando a administração não confia em controles automatizados ou controles gerais de TI para processar transações ou manter os dados, e o auditor não identificou nenhum controle automatizado ou outros controles de processamento de informações (ou qualquer controle que dependa de controles gerais de TI), ele pode planejar testar diretamente qualquer informação produzida pela entidade envolvendo TI e pode não identificar nenhum aplicativo de TI que esteja sujeito a riscos decorrentes do uso de TI.
  4. Quando a administração confia em um aplicativo de TI para processar ou manter dados e o volume de dados é significativo, e a administração confia no aplicativo de TI para aplicar controles automatizados que o auditor também identificou, é provável que o aplicativo de TI esteja sujeito a riscos decorrentes do uso de TI.

A171. Quando a entidade tem ambiente de TI mais complexo, a identificação dos aplicativos de TI e de outros aspectos do ambiente de TI, a determinação dos riscos relacionados decorrentes do uso de TI e a identificação dos controles gerais de TI provavelmente requerem o envolvimento de membros da equipe com habilidades especializadas em TI.
Esse envolvimento é provavelmente essencial e pode precisar ser extenso para ambientes de TI complexos.

Identificação de outros aspectos do ambiente de TI sujeitos a riscos decorrentes do uso de TI - item A172

A172. Os outros aspectos do ambiente de TI que podem estar sujeitos a riscos decorrentes do uso de TI incluem a rede, o sistema operacional e as bases de dados e, em certas circunstâncias, as interfaces entre os aplicativos de TI.
Outros aspectos do ambiente de TI geralmente não são identificados quando o auditor não identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI.
Quando o auditor identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI, outros aspectos do ambiente de TI (por exemplo, base de dados, sistema operacional, rede) são provavelmente identificados porque esses aspectos suportam e interagem com os aplicativos de TI identificados.

Identificação de riscos decorrentes do uso de TI e controles gerais de TI (ver item 26(c)) - item A173 - A174

O Apêndice 6 fornece considerações para o entendimento dos controles gerais de TI.

A173. Ao identificar os riscos decorrentes do uso de TI, o auditor pode considerar a natureza do aplicativo de TI identificado ou outros aspectos do ambiente de TI e as razões que o tornam sujeito a riscos decorrentes do uso de TI.
Para alguns aplicativos de TI ou outros aspectos do ambiente de TI identificados, o auditor pode identificar riscos decorrentes do uso de TI aplicáveis que estão relacionados basicamente ao acesso não autorizado ou alterações de programa não autorizadas, ou que tratam riscos relacionados com alterações inadequadas de dados (por exemplo, o risco de alterações inadequadas de dados por meio de acesso direto à base de dados ou à capacidade de manipular diretamente as informações).

A174. A extensão e a natureza dos riscos decorrentes do uso de TI aplicáveis variam dependendo da natureza e das características dos aplicativos de TI identificados e outros aspectos do ambiente de TI.
Os riscos de TI aplicáveis podem ocorrer quando a entidade usa prestadores de serviço externos ou internos para aspectos identificados do seu ambiente de TI (por exemplo, terceirização da hospedagem do seu ambiente de TI ou compartilhamento de centro de serviços para o gerenciamento central dos processos de TI em um grupo).
Riscos decorrentes do uso de TI também podem ser identificados relacionados com segurança cibernética.
É mais provável que haja mais riscos decorrentes do uso de TI quando o volume ou a complexidade dos controles de aplicativos automatizados for maior e a administração depositar mais confiança nesses controles para o efetivo processamento de transações ou a efetiva manutenção da integridade das informações subjacentes.

Avaliação do planejamento e determinação da implementação de controles identificados no componente de atividades de controle (ver item 26(d)) - item A175 - A181

A175. A avaliação do planejamento de controle identificado envolve a consideração do auditor de se o controle, individualmente ou em combinação com outros controles, é capaz de efetivamente evitar, ou detectar e corrigir, as distorções relevantes (isto é, o objetivo do controle).

A176. O auditor determina a implementação de controle identificado estabelecendo que o controle existe e que é usado pela entidade.
Há pouca utilidade em o auditor avaliar a implementação de controle que não foi planejado de maneira efetiva.
Portanto, o auditor avalia primeiro o planejamento do controle. O controle planejado indevidamente pode representar uma deficiência de controle.

A177. Os procedimentos de avaliação de risco para obter evidência de auditoria sobre o planejamento e a implementação de controles identificados no componente de atividades de controle podem incluir:

  1. indagações junto ao pessoal da entidade;
  2. observação da aplicação de controles específicos;
  3. inspeção de documentos e relatórios.

Contudo, a indagação somente não é suficiente para esses fins.

A178. O auditor pode esperar, com base na experiência da auditoria anterior ou em procedimentos de avaliação de risco do período corrente, que a administração não tenha planejado ou implementado de maneira efetiva controles para tratar risco significativo.
Nesses casos, os procedimentos realizados para tratar o requisito no item 26(d) podem envolver determinar se esses controles não foram planejados ou implementados de maneira efetiva.
Se os resultados dos procedimentos indicam que os controles foram planejados ou implementados recentemente, o auditor deve realizar os procedimentos do item 26(b) a (d) para os controles planejados ou implementados recentemente.

A179. O auditor pode concluir que é apropriado testar um controle, que foi planejado e implementado de maneira efetiva, para considerar sua efetividade operacional ao planejar procedimentos substantivos.
Entretanto, quando o controle não foi planejado ou implementado de maneira efetiva, não há nenhum benefício em testá-lo.
Quando o auditor planeja testar o controle, as informações obtidas sobre a extensão em que o controle trata os riscos de distorção relevante são subsídios para a sua avaliação do risco de controle no nível da afirmação.

A180. A avaliação do planejamento e a determinação da implementação de controles identificados no componente de atividades de controle não são suficientes para testar sua efetividade operacional. Entretanto, para os controles automatizados, o auditor pode planejar testar sua efetividade operacional por meio da identificação e do teste dos controles gerais de TI que possibilitam a operação consistente do controle automatizado em vez de realizar testes da efetividade operacional diretamente nos controles automatizados.
A obtenção de evidência de auditoria sobre a implementação de controle manual em determinado momento não fornece evidência de auditoria da efetividade operacional do controle em outros momentos durante o período sob auditoria.
Os testes da efetividade operacional dos controles, incluindo testes de controles indiretos, estão descritos mais detalhadamente na NBC TA 330, itens de 8 a 11.

A181. Quando o auditor não planeja testar a efetividade operacional dos controles identificados, o seu entendimento ainda pode auxiliar no planejamento da natureza, época e extensão de procedimentos de auditoria substantivos que respondam aos riscos de distorção relevante relacionados.

Exemplo:

Os resultados desses procedimentos de avaliação de risco podem fornecer uma base para a consideração do auditor sobre possíveis desvios em uma população ao planejar amostras de auditoria.

Deficiências de controle no sistema de controles internos da entidade (ver item 27) - item A182 - A183

A182. Ao realizar as avaliações de cada um dos componentes do sistema de controles internos da entidade (ver itens 21(b), 22(b), 24(c), 25(c) e 26(d)), o auditor pode determinar que certas políticas da entidade em componente não são adequadas para a natureza e as circunstâncias da entidade.
Essa determinação pode ser um indicador que auxilia o auditor a identificar deficiências de controle. Se o auditor identificou uma ou mais deficiências de controle, ele pode considerar o efeito dessas deficiências de controle no planejamento de procedimentos adicionais de auditoria, de acordo com a NBC TA 330.

A183. Se o auditor identificou uma ou mais deficiências de controle, a NBC TA 265 - Comunicação de Deficiências de Controle Interno, item 8, requer que o auditor determine se elas constituem, individualmente ou em combinação, deficiências significativas.
O auditor usa julgamento profissional para determinar se uma deficiência representa deficiência significativa de controle (NBC TA 265, itens A6 e A7).

Exemplos:

As circunstâncias que podem indicar a existência de deficiência significativa de controle incluem assuntos tais como:

  1. a identificação de fraude de qualquer magnitude que envolve a alta administração;
  2. processos internos identificados que são inadequados com relação a relatórios e comunicações de deficiências observadas pela auditoria interna;
  3. deficiências comunicadas anteriormente que não foram corrigidas pela administração tempestivamente;
  4. falha da administração em responder a riscos significativos, por exemplo, deixando de implementar controles dos riscos significativos; e
  5. a reapresentação de demonstrações contábeis emitidas anteriormente.

Identificação e avaliação dos riscos de distorção relevante (ver itens de 28 a 37) - item A184 - A236

Por que o auditor identifica e avalia os riscos de distorção relevante? - item A184 - A185

A184. Os riscos de distorção relevante são identificados e avaliados pelo auditor para determinar a natureza, a época e a extensão dos procedimentos adicionais de auditoria necessários para obter evidência de auditoria apropriada e suficiente. Essa evidência possibilita ao auditor expressar uma opinião sobre as demonstrações contábeis em nível aceitavelmente baixo de risco de auditoria.

A185. As informações coletadas por meio dos procedimentos de avaliação de risco realizados são usadas como evidência de auditoria para fornecer a base para a identificação e a avaliação dos riscos de distorção relevante.
Por exemplo, a evidência de auditoria, obtida na avaliação do planejamento de controles identificados e na determinação de se esses controles foram implementados no componente de atividades de controle, é usada como evidência de auditoria para suportar a avaliação de risco.
Essa evidência também fornece uma base para o auditor planejar respostas gerais para tratar os riscos avaliados de distorção relevante no nível das demonstrações contábeis, bem como planejar e realizar procedimentos adicionais de auditoria, cuja natureza, época e extensão respondam aos riscos avaliados de distorção relevante no nível da afirmação, de acordo com a NBC TA 330.

Identificação dos riscos de distorção relevante (ver item 28) - item A186 - A187

A186. A identificação dos riscos de distorção relevante é feita antes da consideração de quaisquer controles relacionados (isto é, risco inerente), e é baseada na consideração preliminar pelo auditor de distorções com possibilidade razoável de ocorrerem e, caso ocorram, de serem relevantes (NBC TA 200, item A16).

A187. A identificação dos riscos de distorção relevante também fornece a base para a determinação do auditor de afirmações relevantes, que auxiliam sua determinação das classes de transações, saldos contábeis e divulgações significativas.

Afirmações  - item A188 - A192

Por que o auditor usa afirmações? - item A188

A188. Ao identificar e avaliar os riscos de distorção relevante, o auditor usa afirmações para considerar os diferentes tipos de possíveis distorções que podem ocorrer. As afirmações para as quais o auditor identificou riscos de distorção relevante relacionados são afirmações relevantes.

Uso de afirmações - item A189 - A191

A189. Ao identificar e avaliar os riscos de distorção relevante, o auditor pode usar as categorias de afirmações, conforme descrito no item A190(a) e (b) ou expressá-las de forma diferente desde que todos os aspectos descritos abaixo tenham sido abrangidos.
O auditor pode escolher combinar as afirmações sobre classes de transações, eventos e divulgações relacionadas, com afirmações sobre saldos contábeis e divulgações relacionadas.

A190. As afirmações usadas pelo auditor ao considerar os diferentes tipos de possíveis distorções que podem ocorrer podem se enquadrar nas seguintes categorias:

  • (a) afirmações sobre classes de transações, eventos e divulgações relacionadas, para o período sob auditoria:
    • (i) ocorrência - transações e eventos que foram registrados ou divulgados ocorreram e essas transações e eventos referem-se à entidade;
    • (ii) integridade - todas as transações e eventos que deviam ser registrados foram registrados e todas as divulgações relacionadas que deviam ser incluídas nas demonstrações contábeis foram incluídas;
    • (iii) precisão - valores e outros dados relacionados com transações e eventos registrados foram registrados adequadamente, e as divulgações relacionadas foram adequadamente mensuradas e registradas;
    • (iv) corte - as transações e os eventos foram registrados no período contábil correto;
    • (v) classificação - as transações e os eventos foram registrados nas contas adequadas;
    • (vi) apresentação - as transações e os eventos estão adequadamente combinados ou não combinados e claramente descritos, e as divulgações relacionadas são relevantes e compreensíveis no contexto dos requisitos da estrutura de relatório financeiro aplicável;
  • (b) afirmações sobre saldos contábeis, e divulgações relacionadas, no fim do período:
    • (i) existência - ativos, passivos e participações societárias existem;
    • (ii) direitos e obrigações - a entidade detém ou controla os direitos sobre ativos e os passivos são as obrigações da entidade;
    • (iii) integridade - todos os ativos, passivos e participações societárias que deviam ter sido registrados foram registrados, e todas as divulgações relacionadas que deviam ter sido incluídas nas demonstrações contábeis foram incluídas;
    • (iv) precisão, valorização e alocação - ativos, passivos e participações societárias estão incluídos nas demonstrações contábeis pelos valores apropriados e quaisquer ajustes resultantes de avaliação ou alocação foram adequadamente registrados, e as divulgações relacionadas foram adequadamente mensuradas e descritas;
    • (v) classificação - ativos, passivos e participações societárias foram registrados nas contas apropriadas;
    • (vi) apresentação - ativos, passivos e participações societárias estão adequadamente agregados ou desagregados e claramente descritos, e as divulgações relacionadas são relevantes e compreensíveis no contexto dos requisitos da estrutura de relatório financeiro aplicável.

A191. As afirmações descritas no item A190(a) e (b), adaptadas conforme adequado, também podem ser usadas pelo auditor ao considerar os diferentes tipos de distorções que podem ocorrer em divulgações não diretamente relacionadas com classes de transações, eventos ou saldos contábeis.

Exemplo:

Um exemplo dessa divulgação inclui onde a entidade deve descrever, de acordo com a estrutura de relatório financeiro aplicável, sua exposição a riscos decorrentes de instrumentos financeiros, incluindo o modo como os riscos surgem, objetivos, políticas e processos para gerenciar os riscos e os métodos usados para mensurar os riscos.

Considerações específicas para entidades do setor público - item A192

A192. Ao fazer afirmações sobre as demonstrações contábeis de entidades do setor público, além das afirmações expostas no item A190(a) e (b), a administração muitas vezes pode afirmar que as transações e os eventos foram realizados em conformidade com lei, regulamento ou outra autoridade. Tais afirmações podem estar dentro do alcance da auditoria de demonstrações contábeis.

Riscos de distorção relevante no nível das demonstrações contábeis (ver itens 28(a) e 30) - item A193 - A201

Por que o auditor identifica e avalia os riscos de distorção relevante no nível das demonstrações contábeis? - item A193 - A194

A193. O auditor identifica os riscos de distorção relevante no nível das demonstrações contábeis para determinar se os riscos têm efeito generalizado sobre as demonstrações contábeis e se, portanto, precisariam de resposta geral, de acordo com a NBC TA 330, item 5.

A194. Além disso, os riscos de distorção relevante no nível das demonstrações contábeis também podem afetar as afirmações individuais, e a identificação desses riscos pode auxiliar o auditor a avaliar os riscos de distorção relevante no nível da afirmação e a planejar procedimentos adicionais de auditoria para tratar os riscos identificados.

Identificação e avaliação dos riscos de distorção relevante no nível das demonstrações contábeis - item A195 - A199

A195. Os riscos de distorção relevante no nível das demonstrações contábeis referem-se a riscos relacionados de maneira generalizada com as demonstrações contábeis como um todo e, potencialmente, afetam muitas afirmações.
Os riscos dessa natureza não são necessariamente riscos identificáveis com afirmações específicas no nível de classes de transações, saldos contábeis ou divulgações (por exemplo, risco de que a administração transgrida os controles).
Em vez disso, eles representam circunstâncias que podem aumentar de forma generalizada os riscos de distorção relevante no nível da afirmação. A avaliação do auditor de se os riscos identificados se relacionam de forma generalizada com as demonstrações contábeis suporta a sua avaliação dos riscos de distorção relevante no nível das demonstrações contábeis.
Em outros casos, diversas afirmações podem ser identificadas como sendo suscetíveis ao risco e podem, portanto, afetar a identificação e avaliação pelo auditor dos riscos de distorção relevante no nível da afirmação.

Exemplo:

A entidade enfrenta perdas operacionais e problemas de liquidez e baseia-se na captação de recursos que ainda não está garantida.
Nessas circunstâncias, o auditor pode determinar que a base de continuidade operacional gera risco de distorção relevante no nível das demonstrações contábeis.
Nessa situação, a estrutura contábil pode precisar ser aplicada usando uma base de liquidação, que provavelmente afetaria todas as afirmações de forma generalizada.

A196. A identificação e a avaliação dos riscos de distorção relevante pelo auditor no nível das demonstrações contábeis são influenciadas pelo seu entendimento do sistema de controles internos da entidade, em particular o seu entendimento do ambiente de controle, do processo de avaliação de riscos da entidade e do processo da entidade de monitoramento do sistema de controles internos, e:

  1. o resultado das avaliações relacionadas requeridas pelos itens 21(b), 22(b), 24(c) e 25(c); e
  2.  quaisquer deficiências de controle identificadas de acordo com o item 27.

Em particular, os riscos no nível das demonstrações contábeis podem surgir de deficiências no ambiente de controle ou de eventos externos ou condições, tais como condições econômicas em deterioração.

A197. Os riscos de distorção relevante decorrente de fraude podem ser particularmente relevantes para a consideração pelo auditor dos riscos de distorção relevante no nível das demonstrações contábeis.

Exemplo:

O auditor entende com base em indagações junto à administração que as demonstrações contábeis da entidade são utilizadas em discussões com credores para assegurar financiamento adicional para manter o capital de giro.
Portanto, o auditor pode determinar que há uma suscetibilidade maior à distorção decorrente de fatores de risco de fraude que afeta o risco inerente (isto é, a suscetibilidade das demonstrações contábeis à distorção relevante por causa do risco de apresentação de relatório financeiro fraudulento, como superavaliação de ativos e receita e subavaliação de passivos e despesas para assegurar a obtenção de financiamento)

A198. O entendimento do auditor, incluindo as avaliações relacionadas do ambiente de controle e de outros componentes do sistema de controles internos, pode levantar dúvidas quanto à sua capacidade de obter evidência de auditoria sobre a qual basear a opinião de auditoria ou causar a renúncia ao trabalho de auditoria, quando permitida por lei ou regulamento aplicável.

Exemplos:

  1. Como resultado da avaliação do ambiente de controle da entidade, o auditor tem preocupação a respeito da integridade da administração da entidade, que pode ser séria a ponto de ele concluir que o risco de representações imprecisas e intencionais da administração nas demonstrações contábeis é tal que a auditoria não pode ser conduzida.
  2. Como resultado da avaliação do sistema de informações e comunicação da entidade, o auditor determina que alterações significativas no ambiente de TI foram mal gerenciadas, com pouca supervisão da administração e dos responsáveis pela governança. O auditor conclui que há preocupações significativas sobre a condição e a confiabilidade dos registros contábeis da entidade. Nessas circunstâncias, o auditor pode determinar que é improvável que haverá evidência de auditoria apropriada e suficiente disponível para suportar uma opinião sem ressalva sobre as demonstrações contábeis.

A199. A NBC TA 705 - Modificação na Opinião do Auditor Independente estabelece requisitos e fornece orientações para determinar se existe a necessidade de o auditor expressar uma opinião com ressalva ou abster-se de emitir opinião ou, conforme necessário em alguns casos, renunciar ao trabalho quando permitido por lei ou regulamento aplicável.

Considerações específicas para entidades do setor público - item A200

A200. Para as entidades do setor público, a identificação dos riscos no nível das demonstrações contábeis pode incluir a consideração dos assuntos relacionados com clima político, o interesse público e a sensibilidade ao programa.

Riscos de distorção relevante no nível da afirmação (ver item 28(b)) - item A201

O Apêndice 2 fornece exemplos, no contexto de fatores de risco inerentes, eventos ou condições, que podem indicar suscetibilidade à distorção que pode ser relevante.

A201. Os riscos de distorção relevante que não se referem de maneira generalizada às demonstrações contábeis são riscos de distorção relevante no nível da afirmação.

Afirmações relevantes e classes de transações, saldos contábeis e divulgações significativas (ver item 29) - item A202 - A204

Por que as afirmações relevantes e classes de transações, saldos contábeis e divulgações significativas são determinadas - item A202

A202. A determinação das afirmações relevantes e classes de transações, saldos contábeis e divulgações significativas fornece a base para o alcance do entendimento pelo auditor do sistema de informações da entidade que deve ser obtido, de acordo com o item 25(a). Esse entendimento pode ainda auxiliar o auditor a identificar e avaliar os riscos de distorção relevante (ver item A86).

Ferramentas e técnicas automatizadas - item A203

A203. O auditor pode usar técnicas automatizadas para auxiliá-lo a identificar classes de transações, saldos contábeis e divulgações significativas.

Exemplos:

  1. Todo o universo de transações pode ser analisado usando ferramentas e técnicas automatizadas para entender sua natureza, fonte, porte e volume.
    Ao aplicar técnicas automatizadas, o auditor pode, por exemplo, identificar que uma conta com saldo zero no final do período era composta por diversas transações de compensação e lançamentos no livro diário durante o período, indicando que o saldo contábil ou a classe de transações pode ser significativa (por exemplo, conta de compensação da folha de pagamento).
    Essa mesma conta pode identificar também reembolsos de despesas à administração (e outros empregados), que poderia ser uma divulgação significativa em função de esses pagamentos serem feitos para partes relacionadas.
  2. Ao analisar os fluxos de toda a população de transações envolvendo receitas, o auditor pode identificar mais facilmente uma classe de transações significativa que não tenha sido identificada anteriormente.

Divulgações que podem ser significativas - item A204

A204. Divulgações significativas incluem divulgações quantitativas e qualitativas para as quais existem uma ou mais afirmações. Exemplos de divulgações com aspectos qualitativos e que podem ter afirmações relevantes e ser, portanto, consideradas significativas pelo auditor incluem divulgações sobre:

  1. liquidez e acordos de dívida de entidade em dificuldades financeiras;
  2. eventos ou circunstâncias que levaram ao reconhecimento de perdas por redução ao valor recuperável (impairment);
  3. principais causas de incerteza de estimativa, incluindo premissas sobre o futuro;
  4. a natureza de mudança na política contábil e outras divulgações relevantes requeridas pela estrutura de relatório financeiro aplicável, em que, por exemplo, se espera que novos requisitos de relatório financeiro tenham impacto significativo sobre a posição patrimonial e financeira e o desempenho financeiro da entidade;
  5.  acordos de pagamento baseados em ações, incluindo informações sobre como foram determinados os montantes reconhecidos, e outras divulgações relevantes;
  6. partes relacionadas e transações com partes relacionadas;
  7. análise de sensibilidade, incluindo os efeitos de mudanças nas premissas usadas nas técnicas de avaliação da entidade com o objetivo de possibilitar aos usuários entenderem a incerteza de mensuração subjacente de valor registrado ou divulgado.

Avaliação dos riscos de distorção relevante no nível da afirmação - item A205 - A236

Avaliação dos riscos inerentes (ver itens de 31 a 33) - item A205 - A217

Avaliação da probabilidade e magnitude da distorção (ver item 31) - item A205 - A207

Por que o auditor avalia a probabilidade e a magnitude da distorção?

A205. O auditor avalia a probabilidade e a magnitude da distorção para riscos identificados de distorção relevante porque a significância da combinação da probabilidade da distorção ocorrer e da magnitude da possível distorção, caso ocorra, determina onde no spectrum de risco inerente é avaliado o risco identificado, o que embasa o seu planejamento de procedimentos adicionais de auditoria para tratar do risco.

A206. A avaliação do risco inerente dos riscos identificados de distorção relevante também auxilia o auditor a determinar os riscos significativos. O auditor determina os riscos significativos porque são necessárias respostas específicas aos riscos significativos, de acordo com a NBC TA 330 e outras normas de auditoria.

A207. Os fatores de risco inerentes influenciam a avaliação do auditor da probabilidade e da magnitude da distorção para riscos identificados de distorção relevante no nível da afirmação.
Quanto mais suscetível à distorção for uma classe de transações, saldo contábil ou divulgação, mais alto, provavelmente, será o risco inerente.
A consideração do grau em que os fatores de risco inerentes afetam a suscetibilidade de uma afirmação à distorção auxilia o auditor a avaliar adequadamente o risco inerente para riscos de distorção relevante no nível da afirmação e a planejar uma resposta mais precisa a esse risco.

Spectrum de risco inerente - item A208 - A214

A208. Ao avaliar o risco inerente, o auditor usa julgamento profissional para determinar a significância da combinação da probabilidade e da magnitude da distorção.

A209. O risco inerente avaliado relacionado com risco específico de distorção relevante no nível da afirmação representa julgamento dentro de todo o intervalo do spectrum de risco inerente.
O julgamento sobre onde, no intervalo avaliado, o risco inerente pode variar com base na natureza, porte e complexidade da entidade, e leva em consideração a probabilidade e a magnitude avaliadas da distorção e dos fatores de risco inerentes.

A210. Ao considerar a probabilidade de distorção, o auditor considera a possibilidade da distorção ocorrer com base na consideração dos fatores de risco inerentes.

A211. Ao considerar a magnitude da distorção, o auditor considera os aspectos qualitativos e quantitativos da possível distorção (isto é, distorções em afirmações sobre classes de transações, saldos contábeis ou divulgações podem ser julgadas relevantes devido ao porte, à natureza ou às circunstâncias).

A212. O auditor usa a significância da combinação de probabilidade e magnitude da possível distorção para determinar onde no spectrum de risco inerente (isto é, intervalo) é avaliado o risco inerente.
Quanto maior a combinação de probabilidade e magnitude, mais alto provavelmente será avaliado o risco inerente.
Quanto menor a combinação de probabilidade e magnitude, mais baixo provavelmente será avaliado o risco inerente.

A213. Se um risco é avaliado como alto no spectrum de risco inerente não significa que a magnitude e a probabilidade devem ser avaliadas como altas.
Na verdade, é a intersecção da magnitude e da probabilidade da distorção relevante no spectrum de risco inerente que determinará se o risco inerente avaliado é mais alto ou mais baixo no spectrum de risco inerente.
Um risco inerente avaliado como mais alto também pode surgir de diferentes combinações de probabilidade e magnitude.
Por exemplo, um risco inerente avaliado como mais alto pode ser resultado de uma probabilidade mais baixa, mas uma magnitude muito alta.

A214. Para desenvolver estratégias adequadas para responder aos riscos de distorção relevante, o auditor pode designar riscos de distorção relevante dentro de categorias ao longo do spectrum de risco inerente com base em sua avaliação de risco inerente.
Essas categorias podem ser descritas de diferentes maneiras. Independentemente do método de categorização usado, a avaliação do risco inerente pelo auditor é adequada quando o planejamento e a implementação de procedimentos adicionais de auditoria para tratar os riscos identificados de distorção relevante no nível da afirmação respondem adequadamente à avaliação do risco inerente e às razões para essa avaliação.

Riscos generalizados de distorção relevante no nível da afirmação (ver item 31(b)) - item A215 - A216

A215. Ao avaliar os riscos identificados de distorção relevante no nível da afirmação, o auditor pode concluir que alguns riscos de distorção relevante estão relacionados de maneira mais generalizada com as demonstrações contábeis como um todo e potencialmente afetam muitas afirmações, caso em que ele pode atualizar a identificação dos riscos de distorção relevante no nível das demonstrações contábeis.

A216. Nas circunstâncias em que os riscos de distorção relevante são identificados como riscos no nível das demonstrações contábeis devido a seu efeito generalizado sobre diversas afirmações, e são identificáveis com afirmações específicas, o auditor deve levar em consideração esses riscos ao avaliar o risco inerente para riscos de distorção relevante no nível da afirmação.

Considerações específicas para entidades do setor público - item A217

A217. Ao exercer julgamento profissional quanto à avaliação do risco de distorção relevante, os auditores do setor público podem considerar a complexidade dos regulamentos e orientações e os riscos de não conformidade com autoridades.

Riscos significativos (ver item 32) - item A218 - A221

Por que riscos significativos são determinados e quais as implicações para a auditoria? - item A218

A218. A determinação dos riscos significativos permite ao auditor focar mais a atenção nos riscos situados no limite superior do spectrum de risco inerente, por meio da aplicação de certas respostas necessárias, incluindo:

  1. os controles que tratam os riscos significativos devem ser identificados, de acordo com o item 26(a)(i), com o requisito de avaliar se o controle foi planejado adequadamente e implementado, de acordo com o item 26(d);
  2. a NBC TA 330, itens 15 e 21, requer que os controles que tratam os riscos significativos sejam testados no período corrente (quando o auditor pretende confiar na efetividade operacional desses controles) e sejam planejados e realizados procedimentos substantivos que respondam especificamente ao risco significativo identificado;
  3. a NBC TA 330, item 7(b), requer que o auditor obtenha evidência de auditoria mais persuasiva quanto maior for a sua avaliação de risco;
  4. a NBC TA 260, item 15, requer que sejam comunicados os riscos significativos identificados pelo auditor aos responsáveis pela governança;
  5. a NBC TA 701 - Comunicação dos Principais Assuntos de Auditoria no Relatório do Auditor Independente, item 9, requer que o auditor leve em consideração os riscos significativos ao determinar os assuntos que requerem sua atenção significativa, que são assuntos que podem ser os principais assuntos de auditoria;
  6. a revisão tempestiva da documentação de auditoria pelo sócio do trabalho nas devidas etapas durante a auditoria permite que assuntos significativos, incluindo riscos significativos, sejam resolvidos tempestivamente para a satisfação do sócio do trabalho na data ou antes do relatório do auditor (NBC TA 220, itens 17 e A19);
  7. a NBC TA 600, itens 30 e 31, requer mais envolvimento do sócio do trabalho do grupo, se o risco significativo estiver relacionado com componente em auditoria de grupo e que a equipe encarregada do trabalho do grupo conduza o trabalho requerido no componente pelo auditor do componente.

Determinação dos riscos significativos - item A219 - A221

A219. Ao determinar os riscos significativos, o auditor pode primeiro identificar os riscos avaliados de distorção relevante que podem ter sido avaliados como mais altos no spectrum de risco inerente para formar a base para considerar quais riscos podem estar próximos do limite superior.
Estar próximo do limite superior do spectrum de risco inerente é diferente de uma entidade para outra, e não será necessariamente a mesma coisa para uma entidade em períodos diferentes.
Pode depender da natureza e das circunstâncias da entidade para a qual o risco está sendo avaliado.

A220. A determinação de quais riscos avaliados de distorção relevante estão próximos do limite superior do spectrum de risco inerente e são, portanto, riscos significativos, é uma questão de julgamento profissional, a menos que o risco seja de um tipo especificado a ser tratado como risco significativo de acordo com os requisitos de outra norma de auditoria.
A NBC TA 240, itens de 26 a 28, estabelece requisitos adicionais e orientações referentes à identificação e à avaliação dos riscos de distorção relevante devido a fraude.

Exemplo:

  1. Dinheiro em supermercado varejista normalmente seria determinado como tendo grande probabilidade de possível distorção (devido ao risco de apropriação indébita de dinheiro), porém, a magnitude normalmente seria muito baixa (devido ao baixo volume de dinheiro vivo manuseado nas lojas).
    A combinação desses dois fatores no spectrum de risco inerente provavelmente não resultaria na existência de dinheiro ser determinada como risco significativo.
  2. Uma entidade está em negociações para vender um segmento do negócio.
    O auditor considera o efeito sobre a perda do valor recuperável do ágio, e pode determinar que há maior probabilidade de possível distorção e maior magnitude devido ao impacto de fatores de risco inerentes, incerteza e suscetibilidade à tendenciosidade da administração ou a outros fatores de risco de fraude. Isso pode resultar na perda do valor recuperável do ágio ser determinada como sendo significativa.

A221. O auditor também leva em consideração os efeitos relativos dos fatores de risco inerentes ao avaliar o risco inerente.
Quanto menor o efeito dos fatores de risco inerentes, menor tende a ser o risco avaliado.
Os riscos de distorção relevante que podem ser avaliados como de alto risco inerente e podem, portanto, ser determinados como sendo risco significativo, podem surgir de assuntos como os que seguem:

  1. transações para as quais existem múltiplos tratamentos contábeis aceitáveis de maneira que haja subjetividade envolvida;
  2. estimativas contábeis com alta incerteza de estimativa ou modelos complexos;
  3. complexidade na coleta e no processamento de dados para suportar saldos contábeis;
  4. saldos contábeis ou divulgações quantitativas que envolvem cálculos complexos; • princípios contábeis que podem estar sujeitos a diferentes interpretações;
  5. mudanças nos negócios da entidade que envolvem mudanças na contabilidade, por exemplo, fusões e aquisições.

Riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente (ver item 33) - item A222 - A225

Por que os riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente devem ser identificados? - item A222 - A223

A222. Devido à natureza do risco de distorção relevante e das atividades de controle que tratam esse risco, em algumas circunstâncias, a única maneira de obter evidência de auditoria apropriada e suficiente é testar a efetividade operacional dos controles.
Consequentemente, há um requisito para que o auditor identifique tais riscos por causa das implicações no planejamento e na realização dos procedimentos adicionais de auditoria, de acordo com a NBC TA 330, item 8, para tratar os riscos de distorção relevante no nível da afirmação.

A223. O item 26(a)(iii) também requer a identificação dos controles que tratam os riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente porque o auditor deve, de acordo com a NBC TA 330, planejar e realizar testes sobre a efetividade operacional desses controles.

Determinação dos riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente - item A224 - A225

A224. Quando as transações de negócios rotineiras estão sujeitas a processamento altamente automatizado com pouca ou nenhuma intervenção manual, pode não ser possível realizar apenas procedimentos substantivos em relação ao risco.
Esse pode ser o caso em circunstâncias onde uma quantidade significativa de informações da entidade é iniciada, registrada, processada ou reportada somente em formato eletrônico, tal como em sistema de informações que envolve alto grau de integração entre seus aplicativos de TI.
Nesses casos:

  1. a evidência de auditoria pode estar disponível apenas em formato eletrônico e sua suficiência e adequação geralmente dependem da efetividade dos controles, da sua precisão e integridade;
  2. o potencial para que o início ou a alteração inadequada de informações possa ocorrer e não ser detectada pode ser maior se os controles apropriados não estiverem operando efetivamente.

Exemplo:

Normalmente, não é possível obter evidência de auditoria apropriada e suficiente relacionada com receita para entidade de telecomunicações baseada em procedimentos substantivos isoladamente. Isso ocorre porque não existe evidência de chamadas ou de atividade de dados em formato que seja observável. Em vez disso, normalmente são realizados testes substanciais de controles para determinar que a originação e conclusão de chamadas e a atividade de dados foram corretamente capturadas (por exemplo, minutos de chamada ou volume de download) e registradas no sistema de faturamento da entidade.

A225. A NBC TA 540, itens de A87 a A89, fornece orientações adicionais relacionadas com estimativas contábeis de riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente. Em relação a estimativas contábeis isso pode não ser limitado a processamento automatizado, mas pode também ser aplicável a modelos complexos.

Avaliação de risco de controle (ver item 34) - item A226 - A229

A226. Os planos do auditor de testar a efetividade operacional dos controles são baseados na expectativa de que os controles estejam operando efetivamente, e isso forma a base da avaliação do risco de controle pelo auditor.
A expectativa inicial da efetividade operacional dos controles é baseada na avaliação pelo auditor do planejamento dos controles identificados no componente de atividades de controle e na determinação da sua implementação.
Uma vez que o auditor tenha testado a efetividade operacional dos controles, de acordo com a NBC TA 330, ele pode confirmar a expectativa inicial sobre a efetividade operacional dos controles.
Se os controles não estiverem operando efetivamente conforme esperado, o auditor precisa revisar a avaliação do risco de controle, de acordo com o item 37.

A227. A avaliação do auditor do risco de controle pode ser feita de formas diferentes, dependendo das técnicas ou metodologias de auditoria preferidas e pode ser expressa de diferentes maneiras.

A228. Se o auditor planeja testar a efetividade operacional dos controles, pode ser necessário testar uma combinação de controles para confirmar a sua expectativa de que os controles estão operando efetivamente.
O auditor planeja testar controles diretos e indiretos, incluindo controles gerais de TI, e, nesse caso, levar em consideração o efeito combinado esperado dos controles ao avaliar o risco de controle.
Na medida em que o controle a ser testado não endereça totalmente o risco inerente avaliado, o auditor determina as implicações para o planejamento dos procedimentos adicionais de auditoria para reduzir o risco de auditoria a um nível aceitavelmente baixo.

A229. Quando o auditor planeja testar a efetividade operacional de controle automatizado, ele pode também planejar testar a efetividade operacional dos controles gerais de TI relevantes que suportam o funcionamento contínuo desse controle automatizado para tratar os riscos decorrentes do uso de TI, e fornecer uma base para a sua expectativa de que os controles operaram efetivamente durante todo o período.
Quando o auditor espera que os controles gerais de TI relacionados não sejam efetivos, essa determinação pode afetar a sua avaliação do risco de controle no nível da afirmação e os sue procedimentos adicionais de auditoria podem precisar incluir procedimentos substantivos para tratar os riscos decorrentes do uso de TI aplicáveis.
Orientações adicionais sobre os procedimentos que o auditor pode realizar nessas circunstâncias são fornecidas na NBC TA 330, itens de A29 a A32.

Avaliação da evidência de auditoria obtida dos procedimentos de avaliação de risco (ver item 35) - item A230 - A 232

Por que o auditor avalia a evidência de auditoria obtida dos procedimentos de avaliação de risco? item A230

A230. A evidência de auditoria obtida da realização dos procedimentos de avaliação de risco fornece a base para a identificação e avaliação dos riscos de distorção relevante.
Isso fornece a base para o planejamento do auditor da natureza, época e extensão de procedimentos adicionais de auditoria que respondam aos riscos avaliados de distorção relevante no nível da afirmação, de acordo com a NBC TA 330.
Consequentemente, a evidência de auditoria obtida dos procedimentos de avaliação de riscos fornece a base para a identificação e a avaliação de riscos de distorção relevante, independentemente de se causada por fraude ou erro, nos níveis das demonstrações contábeis e da afirmação.

Avaliação da evidência de auditoria - item A231

A231. A evidência de auditoria obtida dos procedimentos de avaliação de risco abrange informações que sustentam e corroboram as afirmações da administração e quaisquer informações que contradigam tais afirmações (NBC TA 500, item A5).

Ceticismo profissional - item A232

A232. Ao avaliar a evidência de auditoria obtida dos procedimentos de avaliação de risco, o auditor considera se foi obtido entendimento suficiente sobre a entidade e seu ambiente, a estrutura de relatório financeiro aplicável e o sistema de controles internos da entidade para poder identificar os riscos de distorção relevante, bem como se existe evidência contraditória que possa indicar risco de distorção relevante.

Classes de transações, saldos contábeis e divulgações não significativas, porém relevantes (ver item 36) - item A233 - A235

A233. Conforme explicado na NBC TA 320, item A1, a materialidade e o risco de auditoria são considerados na identificação e avaliação dos riscos de distorção relevante em classes de transações, saldos contábeis e divulgações.
A determinação de materialidade pelo auditor é uma questão de julgamento profissional e é afetada pela sua percepção das necessidades de informações financeiras dos usuários das demonstrações contábeis (NBC TA 320, item 4).
Para fins desta Norma e do item 18 da NBC TA 330, classes de transações, saldos contábeis ou divulgações são relevantes se houver uma expectativa razoável de que a omissão, a distorção ou a ocultação das informações sobre elas influencie as decisões econômicas dos usuários tomadas com base nas demonstrações contábeis como um todo.

A234. Pode haver classes de transações, saldos contábeis ou divulgações relevantes, mas que não tenham sido determinadas como classes de transações, saldos contábeis ou divulgações significativas (isto é, não existem afirmações relevantes identificadas).

Exemplo:

A entidade pode ter uma divulgação sobre remuneração de executivos para a qual o auditor não identificou risco de distorção relevante. Entretanto, o auditor pode determinar que essa divulgação é relevante com base nas considerações no item A233.

A235. Os procedimentos de auditoria para tratar classes de transações, saldos contábeis ou divulgações relevantes, porém, mas não determinadas como significativas, são tratados na NBC TA 330, item 18.
Quando uma classe de transações, saldo contábil ou divulgação é determinada como sendo significativa, conforme requerido no item 29, a classe de transações, o saldo contábil ou a divulgação também são relevantes para os fins do item 18 da NBC TA 330.

Revisão da avaliação de risco (ver item 37) - item A236

A236. Durante a auditoria, informações novas ou outras informações que diferem significativamente das informações nas quais a avaliação de risco se baseou podem chamar a atenção do auditor.

Exemplo:

A avaliação de risco da entidade pode ser baseada na expectativa de que certos controles estão operando efetivamente.
Ao realizar testes desses controles, o auditor pode obter evidência de auditoria de que eles não estavam operando efetivamente em momentos relevantes durante a auditoria.
Da mesma forma, ao realizar procedimentos substantivos, o auditor pode detectar distorções em valores ou frequência maiores do que as detectadas nas avaliações de riscos do auditor.
Nessas circunstâncias, a avaliação de risco pode não refletir adequadamente as verdadeiras circunstâncias da entidade e os procedimentos de auditoria adicionais planejados podem não ser efetivos para detectar distorções relevantes.
Os itens 16 e 17 da NBC TA 330 fornecem orientações adicionais sobre avaliação da efetividade operacional dos controles.

Documentação (ver item 38) - item A237 - A241

A237. Para auditorias recorrentes, certas documentações podem ser reutilizadas e atualizadas, conforme necessário, para refletir mudanças nos negócios ou processos da entidade.

A238. A NBC TA 230, item A7, observa que, entre outras considerações, embora possa não haver uma única maneira pela qual o exercício do julgamento profissional pelo auditor é documentado, a documentação de auditoria pode, no entanto, fornecer evidência do exercício do ceticismo profissional pelo auditor.
Por exemplo, quando a evidência de auditoria obtida dos procedimentos de avaliação de risco inclui evidência que tanto corrobora como contradiz as afirmações da administração, a documentação pode incluir o modo como o auditor avaliou essa evidência, incluindo os julgamentos profissionais exercidos para avaliar se a evidência de auditoria fornece uma base adequada para a sua identificação e avaliação dos riscos de distorção relevante.

Exemplos de outros requisitos desta Norma para os quais a documentação pode fornecer evidência do exercício do ceticismo profissional pelo auditor incluem:

  1. item 13, que requer que o auditor planeje e realize procedimentos de avaliação de risco de forma não tendenciosa em relação à obtenção de evidência de auditoria que possa comprovar a existência de riscos ou em relação à exclusão de evidência de auditoria que contradiga a existência de riscos;
  2. item 17, que requer a discussão entre os membros-chave da equipe encarregada do trabalho sobre a aplicação da estrutura de relatório financeiro aplicável e a suscetibilidade das demonstrações contábeis da entidade à distorção relevante;
  3. itens 19(b) e 20, que requerem que o auditor obtenha entendimento das razões de quaisquer mudanças nas políticas contábeis da entidade e avalie se as políticas contábeis da entidade são adequadas e consistentes com a estrutura de relatório financeiro aplicável;
  4. itens 21(b), 22(b), 23(b), 24(c), 25(c), 26(d) e 27, que requerem que o auditor avalie, com base no entendimento obtido requerido, se os componentes do sistema de controles internos da entidade são adequados nas circunstâncias da entidade, considerando a natureza e a complexidade da entidade, e determine se foram identificadas uma ou mais deficiências de controle;
  5. item 35, que requer que o auditor leve em consideração toda a evidência de auditoria obtida dos procedimentos de avaliação de risco, seja ela comprobatória ou contraditória para afirmações feitas pela administração, e avalie se a evidência de auditoria obtida dos procedimentos de avaliação de risco fornece uma base adequada para a identificação e a avaliação dos riscos de distorção relevante; e
  6. item 36, que requer que o auditor avalie, quando aplicável, se a determinação pelo auditor de que não existem riscos de distorção relevante para uma classe de transações, saldo contábil ou divulgação relevante continua apropriada.

Escalabilidade - item A239 - A241

A239. A maneira como os requisitos do item 38 são documentados deve ser determinada pelo auditor usando julgamento profissional.

A240. Pode ser requerida documentação mais detalhada, que seja suficiente para que um auditor experiente, sem experiência prévia com a auditoria, entenda a natureza, a época e a extensão dos procedimentos de auditoria realizados, para suportar a fundamentação para julgamentos difíceis feitos.

A241. Para auditorias de entidades menos complexas, a forma e a extensão da documentação podem ser simples e relativamente concisas.
A forma e a extensão da documentação de auditoria são influenciadas pela natureza, porte e complexidade da entidade e seu sistema de controles internos, disponibilidade das informações da entidade e metodologia de auditoria e tecnologia usadas no curso da auditoria.
Não é necessário documentar a totalidade do entendimento do auditor sobre a entidade e os assuntos a ela relacionados.
Os principais elementos do entendimento documentado pelo auditor podem incluir aqueles em que ele baseou a avaliação dos riscos de distorção relevante (NBC TA 230, item 8).
Entretanto, o auditor não tem que documentar todos os fatores de risco inerentes levados em consideração na identificação e avaliação dos riscos de distorção relevante no nível da afirmação.

Exemplo:

Em auditorias de entidades menos complexas, a documentação de auditoria pode ser incorporada na documentação do auditor da estratégia geral e do plano de auditoria NBC TA 300 - Planejamento da Auditoria de Demonstrações Contábeis, itens 7, 9 e A11.
Da mesma forma, por exemplo, os resultados da avaliação de riscos podem ser documentados separadamente ou como parte da documentação do auditor sobre procedimentos adicionais de auditoria (NBC TA 330, item 28).


(...)

Quer ver mais! Assine o Cosif Eletrônico.