NBC - NORMAS BRASILEIRAS DE CONTABILIDADE

NBC-P - NORMAS PROFISSIONAIS - ÍNDICE GERAL

NBC-PA - NORMAS PROFISSIONAIS - AUDITORIA INDEPENDENTE (Revisada em 16-04-2024)

NBC-PA-400 - INDEPENDÊNCIA PARA TRABALHO DE AUDITORIA E REVISÃO

SEÇÃO 600 - PRESTAÇÃO DE SERVIÇOS QUE NÃO SÃO DE ASSEGURAÇÃO PARA CLIENTE DE AUDITORIA

SUBSEÇÃO 606 - SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO - itens 606.1 - 606.6

• Introdução
• Requisitos e material de aplicação
  • Descrição dos serviços
• Risco de assunção de responsabilidade da administração na prestação de serviços de tecnologia da informação
• Potenciais ameaças a partir da prestação de serviços de tecnologia da informação
  • Todos os clientes de auditoria
  • Clientes de auditoria que são entidades de interesse público
  • Clientes de auditoria que são entidades de interesse público

Todos os itens desta página foram alterados pela Revisão NBC 17/2022.

Introdução

606.1 Além dos requisitos e do material de aplicação específicos nesta Subseção, os requisitos e o material de aplicação nos itens de 600.1 a R600.27A1 são pertinentes para a aplicação da estrutura conceitual na prestação de serviços de TI para cliente de auditoria.

Requisitos e material de aplicação

Descrição dos serviços

606.2A1 Os serviços de TI incluem o projeto ou a implementação de sistemas de hardware ou software. Os sistemas de TI podem:

1. (a) agregar dados fonte;
2. (b) fazer parte dos controles internos sobre relatórios financeiros; ou
3. (c) gerar informações que afetam os registros contábeis ou as demonstrações contábeis, incluindo as respectivas divulgações.

Entretanto, os sistemas de TI também podem envolver assuntos que não estão relacionados com os registros contábeis ou com os controles internos sobre os relatórios financeiros ou das demonstrações contábeis do cliente de auditoria.

Risco de assunção de responsabilidade da administração na prestação de serviços de tecnologia da informação

606.3 O item R400.13 impede a firma ou a firma em rede de assumir responsabilidade da administração. Na prestação de serviços de TI para cliente de auditoria, a firma ou a firma em rede deve estar satisfeita que:

• (a) o cliente reconhece sua responsabilidade por estabelecer e monitorar o sistema de controles internos;
• (b) o cliente atribui a responsabilidade de tomar todas as decisões administrativas relacionadas com o desenvolvimento e com a implementação do sistema de hardware ou software a empregado qualificado, de preferência da alta administração;
• (c) o cliente toma todas as decisões relacionadas com o processo de projeto e implementação;
• (d) o cliente avalia a adequação e os resultados do projeto e da implementação do sistema; e
• (e) o cliente é responsável pela operação do sistema (hardware ou software) e pelos dados que usa ou gera.

Potenciais ameaças a partir da prestação de serviços de tecnologia da informação

• Todos os clientes de auditoria
• Clientes de auditoria que são entidades de interesse público
• Clientes de auditoria que são entidades de interesse público

Todos os clientes de auditoria

606.4A1 A prestação de serviços de tecnologia da informação (TI) para cliente de auditoria pode criar ameaça de autorrevisão quando há risco de que os resultados dos serviços afetem a auditoria das demonstrações contábeis sobre as quais a firma emitirá uma opinião

606.4A2 A prestação dos serviços de TI a seguir geralmente não cria ameaça, desde que as pessoas na firma ou na firma em rede não assumam responsabilidade da administração:

• (a) projeto ou implementação de sistemas de TI que não estão relacionados com os controles internos sobre relatórios financeiros;
• (b) projeto ou implementação de sistemas de TI que não geram informações que formam parte dos registros contábeis ou das demonstrações contábeis; e
• (c) implementação de software de prateleira para a apresentação de relatórios sobre as informações contábeis ou financeiras que não foi desenvolvido pela firma ou por firma em rede se a personalização necessária para atender às necessidades do cliente não for significativa

606.4A3 Os fatores relevantes, na identificação de ameaça de autorrevisão, criada pela prestação de serviços de TI para cliente de auditoria, e na avaliação do nível dessa ameaça, incluem:

• • a natureza do serviço;
• • a natureza dos sistemas de TI e até que ponto o serviço de TI impacta ou interage com os registros contábeis, os controles internos sobre os relatórios financeiros ou as demonstrações contábeis do cliente; e
• • o nível de confiança que será depositado nos sistemas de TI específicos como parte da auditoria.

Quando uma ameaça de autorrevisão for identificada para cliente de auditoria que é entidade de interesse público, o item R606.6 se aplica.

Clientes de auditoria que são entidades de interesse público

606.5A1 Um exemplo de ação que pode ser salvaguarda no tratamento de ameaça de autorrevisão criada pela prestação de serviço de TI para cliente de auditoria que não é entidade de interesse público é o uso de profissionais que não são membros da equipe de auditoria para executar o serviço.

Clientes de auditoria que são entidades de interesse público

R606.6 A firma ou a firma em rede não deve prestar serviços de TI para cliente de auditoria que é entidade de interesse público se a prestação desses serviços pode criar ameaça de autorrevisão (ver itens R600.14 e R600.16).

606.6A1 Exemplos de serviços que são proibidos porque criam ameaça de autorrevisão incluem serviços que envolvem o projeto ou a implementação de sistemas de TI que:

1. fazem parte dos controles internos sobre relatórios financeiros; ou
2. geram informações para os registros contábeis ou as demonstrações contábeis do cliente sobre as quais a firma emitirá uma opinião