O CONSELHO FEDERAL DE CONTABILIDADE, considerando o processo de convergência das Normas Brasileiras de Contabilidade aos padrões internacionais e que, mediante acordo firmado com a IFAC que autorizou, no Brasil, o CFC e o IBRACON – Instituto dos Auditores Independentes do Brasil, como tradutores de suas normas e publicações, outorgando os direitos de realizar tradução, publicação e distribuição das normas internacionais em formato eletrônico, no exercício de suas atribuições legais e regimentais e com fundamento no disposto na alínea “f” do Art. 6º do Decreto-Lei n.º 9.295/46, alterado pela Lei n.º 12.249/10, faz saber que foi aprovada em seu Plenário a seguinte Norma Brasileira de Contabilidade (NBC), elaborada de acordo com a sua equivalente internacional ISA 315 da IFAC:

NBC TA 315 (R2) – IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE

Esta Norma deve ser lida em conjunto com a NBC TA 200 – Objetivos Gerais do Auditor Independente e a Condução da Auditoria em Conformidade com Normas de Auditoria.

Introdução

Alcance

1. Esta Norma trata da responsabilidade do auditor na identificação e avaliação dos riscos de distorção relevante nas demonstrações contábeis. Principais conceitos

2. A NBC TA 200 - Objetivos Gerais do Auditor Independente e a Condução da Auditoria em Conformidade com Normas de Auditoria, itens 13(c) e 17, trata dos objetivos gerais do auditor na condução da auditoria de demonstrações contábeis, inclusive para obter evidência de auditoria apropriada e suficiente para reduzir o risco de auditoria a um nível baixo aceitável.

O risco de auditoria é uma função dos riscos de distorção relevante e do risco de detecção.

A NBC TA 200, item A37, explica que os riscos de distorção relevante podem existir em dois níveis: no nível geral das demonstrações contábeis e no nível da afirmação para classes de transações, saldos contábeis e divulgações.

3. A NBC TA 200, itens 15 e 16, requer que o auditor exerça julgamento profissional no planejamento e execução da auditoria e para planejar e executar a auditoria com ceticismo profissional, reconhecendo que pode haver circunstâncias que causam distorção relevante nas demonstrações contábeis.

4. Os riscos no nível geral da demonstração contábil referem-se às demonstrações contábeis como um todo e que afetam potencialmente muitas afirmações. Os riscos de distorção relevante no nível da afirmação consistem em dois componentes: risco inerente e risco de controle:

• O risco inerente é descrito como sendo a suscetibilidade de uma afirmação a respeito de uma classe de transação, saldo contábil ou divulgação, a uma distorção que pode ser relevante, individualmente ou em conjunto com outras distorções, antes da consideração de quaisquer controles relacionados.

• O risco de controle é descrito como sendo o risco de que uma distorção que pode ocorrer em uma afirmação a respeito de uma classe de transação, saldo contábil ou divulgação e que pode ser relevante, individualmente ou em conjunto com outras distorções, não seja prevenida, detectada e corrigida tempestivamente pelos controles internos da entidade.

5. A NBC TA 200, item A46 e NBC TA 330 – Resposta do Auditor aos Riscos Avaliados, item 6, explica que os riscos de distorção relevante são avaliados no nível da afirmação para que se determine a natureza, a época e a extensão dos procedimentos adicionais de auditoria necessários para a obtenção de evidência de auditoria apropriada e suficiente. Para os riscos identificados de distorção relevante no nível de afirmação, uma avaliação separada do risco inerente e do risco de controle é exigida por esta Norma. Conforme explicado na NBC TA 200, o risco inerente é maior para algumas afirmações e classes relacionadas de transações, saldos contábeis e divulgações do que para outras. A extensão na qual o risco inerente varia é chamada nesta Norma de "spectrum do risco inerente".

6. Os riscos de distorção relevante identificados e avaliados pelo auditor incluem tanto aqueles causados por erro como aqueles causados por fraude. Embora ambos sejam abordados por esta Norma, a importância da fraude é tamanha que requisitos e orientações adicionais estão incluídos na NBC TA 240 – Responsabilidade do Auditor em Relação a Fraude, no Contexto da Auditoria de Demonstrações Contábeis com relação aos procedimentos de avaliação de riscos e atividades relacionadas para se obter informações que são utilizadas na identificação e avaliação dos riscos de distorção relevante devido a fraude e na resposta aos mesmos.

7. O processo de identificação e avaliação de riscos por parte do auditor é interativo e dinâmico. O entendimento do auditor da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos são interdependentes dos conceitos dos requisitos para identificar e avaliar os riscos de distorção relevante.

Na obtenção do entendimento requerido por esta Norma, as expectativas iniciais dos riscos podem ser desenvolvidas e podem ser mais refinadas à medida que o auditor evolui por meio do processo de identificação e avaliação dos riscos. Além disso, esta Norma e a NBC TA 330 - Resposta do Auditor aos Riscos Avaliados requerem que o auditor revise as avaliações de riscos e modifique as respostas gerais adicionais e os procedimentos adicionais de auditoria, com base em evidência de auditoria obtida a partir da realização de procedimentos adicionais de auditoria, de acordo com a NBC TA 330, ou se novas informações forem obtidas.

8. A NBC TA 330, item 5, requer que o auditor planeje e implemente respostas gerais para tratar dos riscos avaliados de distorção relevante no nível das demonstrações contábeis. A NBC TA 330 explica ainda que a avaliação dos riscos de distorção relevante no nível das demonstrações contábeis por parte do auditor e as respostas gerais do auditor são afetadas pelo seu entendimento do ambiente de controle. A NBC TA 330, item 6, também requer que o auditor planeje e realize procedimentos adicionais de auditoria cuja natureza, época e extensão se baseiem nos riscos avaliados de distorção relevante no nível da afirmação e respondam a eles.

Escalabilidade

9. A NBC TA 200, item A69, afirma que algumas normas incluem considerações de escalabilidade que ilustram a aplicação dos requisitos para todas as entidades independentemente de se sua natureza e circunstâncias forem menos ou mais complexas.

Esta Norma é direcionada à auditoria de todas as entidades, independentemente do porte ou da complexidade e o material de aplicação inclui considerações específicas tanto para entidades menos complexas quanto para entidades mais complexas, conforme apropriado.

Embora o porte de uma entidade possa ser um indicativo de sua complexidade, algumas entidades menores podem ser complexas e algumas entidades maiores podem ser menos complexas.

Data de vigência

10. Esta Norma aplica-se a auditoria de demonstrações contábeis de períodos iniciados em, ou após, 1º de janeiro de 2022.

Objetivo

11. O objetivo do auditor é identificar e avaliar os riscos de distorção relevante independentemente de se causados por fraude ou erro, nos níveis das demonstrações contábeis e da afirmação, proporcionando assim uma base para o planejamento e a implementação das respostas aos riscos avaliados de distorção relevante.

Definições

12. Para fins das normas de auditoria, os termos abaixo têm os seguintes significados:

(a) Afirmações são representações, explícitas ou de outra forma, relacionadas com o reconhecimento, a mensuração, a apresentação e a divulgação de informações nas demonstrações contábeis que são inerentes à representação da administração de que as demonstrações contábeis são elaboradas de acordo com a estrutura de relatório financeiro aplicável. As afirmações são utilizadas pelo auditor para considerar os diferentes tipos de distorções potenciais que podem ocorrer na identificação e avaliação dos riscos de distorção relevante e na resposta aos mesmos (ver item A1).

(b) Risco de negócio – um risco que resulta de condições, eventos, circunstâncias, ações ou falta de ações significativas que podem afetar adversamente a capacidade da entidade de alcançar seus objetivos e executar suas estratégias, ou do estabelecimento de objetivos ou estratégias inapropriadas.

(c) Controles – políticas ou procedimentos que uma entidade estabelece para alcançar os objetivos de controle da administração ou dos responsáveis pela governança. Nesse contexto (ver itens de A2 a A5):

(i) políticas são declarações do que deve, ou não deve, ser feito em uma entidade para se efetuar o controle. Essas declarações podem ser documentadas, explicitamente apresentadas em comunicados, ou implícitas em ações e decisões

(ii) procedimentos são ações para implementar as políticas.

(d) Controles gerais de tecnologia da informação (TI) são os controles sobre os processos de TI da entidade que suportam a operação adequada contínua do ambiente de TI, incluindo o funcionamento efetivo continuado dos controles de processamento de informações e a integridade das informações (ou seja, a integridade, a precisão e a validade das informações) no sistema de informações da entidade. Ver também a definição de Ambiente de TI.

(e) Controles de processamento de informações são os controles relacionados com o processamento das informações em aplicativos de TI ou processos manuais de informações no sistema de informação da entidade que abordam diretamente os riscos à integridade das informações (ou seja, a integridade, a precisão e a validade das transações e outras informações) (ver item A6).

(f) Fatores de risco inerentes são características de eventos ou condições que afetam a suscetibilidade à distorção, independentemente de se causada por fraude ou erro, de uma afirmação relevante sobre uma classe de transações, saldo contábil ou divulgação, antes da consideração dos controles. Esses fatores podem ser qualitativos ou quantitativos e incluem complexidade, subjetividade, mudanças, incertezas ou susceptibilidade à distorção devido à tendência da administração ou a outros fatores de risco de fraude na medida em que eles afetam o risco inerente (ver itens A7 e A8 e NBC TA 240, itens de A24 a A27).

(g) Ambiente de TI são aplicativos de TI e a infraestrutura de suporte de TI, assim como os processos de TI e o pessoal envolvido nesses processos, que uma entidade utiliza para suportar as operações comerciais e alcançar estratégias de negócios. Para fins desta Norma:

(i) aplicativo de TI é um programa ou um conjunto de programas que é utilizado na iniciação, no processamento, no registro e na divulgação de transações ou informações. Os aplicativos de TI incluem depósitos de dados e geradores de relatórios;

(ii) A infraestrutura de TI inclui a rede, os sistemas operacionais e os bancos de dados e seus respectivos hardwares e softwares;

(iii) processos de TI são os processos da entidade para gerenciar o acesso ao ambiente de TI, gerenciar alterações nos programas ou alterações no ambiente de TI e gerenciar operações de TI.

(h) Afirmações relevantes – Uma afirmação sobre uma classe de transações, saldo contábeis ou divulgação é relevante quando ela tem um risco identificado de distorção relevante. A determinação de se uma afirmação é uma afirmação relevante é feita antes da consideração de quaisquer controles relacionados (ou seja, o risco inerente) (ver item A9).

(i) Riscos oriundos do uso de TI é a susceptibilidade dos controles de processamento de informações ao desenho ou à operação ineficiente, ou os riscos à integridade das informações (ou seja, a integridade, a precisão e a validade das transações e outras informações) no sistema de informação da entidade, devido ao desenho ou à operação ineficiente de controles nos processos de TI da entidade (ver Ambiente de TI).

(j) Procedimentos de avaliação de riscos são procedimentos de auditoria planejados e realizados para identificar e avaliar os riscos de distorção relevante independentemente de se causados por fraude ou erro nos níveis das demonstrações contábeis e da afirmação.

(k) Classe significativa de transações, saldo contábil ou divulgação é a classe de transações, saldo contábil ou divulgação para a qual há apenas uma ou mais afirmações relevantes.

(l) Risco significativo é o risco identificado de distorção relevante (ver item A10):

(i) para o qual a avaliação do risco inerente está próxima ao limite superior do spectrum de risco inerente devido à extensão na qual os fatores de risco inerentes afetam a combinação de probabilidade de ocorrência da distorção e a magnitude da distorção potencial caso ocorra a distorção; ou

(ii) ele deve ser tratado como risco significativo de acordo com os requisitos de outras normas de auditoria (ver NBC TA 240, item 28, e NBC TA 550 – Partes Relacionadas, item 18).

(m) Sistema de controle interno é o sistema planejado, implementado e mantido pelos responsáveis pela governança, pela administração e por outros empregados para fornecer segurança razoável quanto ao alcance dos objetivos da entidade no que se refere à confiabilidade dos relatórios financeiros, à efetividade e eficiência das operações e à conformidade com leis e regulamentos aplicáveis. Para fins das normas de auditoria, o sistema de controles internos consiste de cinco componentes interrelacionados:

(i) ambiente de controle;

(ii) processo de avaliação de riscos da entidade;

(iii) processo da entidade para monitorar o sistema de controles internos;

(iv) sistema de informação e comunicação; e

(v) atividades de controle.

Requisitos

Procedimentos de avaliação de riscos e atividades relacionadas

13. O auditor deve planejar e realizar procedimentos de avaliação de riscos para obter evidência de auditoria que forneça uma base adequada para (ver itens de A11 a A18):

(a) a identificação e a avaliação dos riscos de distorção relevante, independentemente de se causados por fraude ou erro, nos níveis das demonstrações contábeis e da afirmação; e

(b) o planejamento de procedimentos adicionais de auditoria de acordo com a NBC TA 330.

O auditor deve planejar e realizar procedimentos de avaliação de riscos de forma não tendenciosa em relação à obtenção de evidência de auditoria que possa ser comprobatória ou em relação à exclusão de evidência de auditoria que possa ser contraditória (ver item A14).

14. Os procedimentos de avaliação de riscos devem incluir (ver itens de A19 a A21):

(a) indagações junto à administração e a outros indivíduos apropriados da entidade, incluindo indivíduos da função de auditoria interna (caso essa função exista) (ver itens de A22 a A26);

(b) procedimentos analíticos (ver itens de A27 a A31);

(c) observação e inspeção (ver itens de A32 a A36).

Informações de outras fontes

15. Na obtenção de evidência de auditoria, de acordo com o item 13, o auditor deve considerar as informações de (ver itens de A37 a A38):

(a) procedimentos do auditor com relação à aceitação ou à continuação da relação com o cliente ou do trabalho de auditoria; e

(b) quando aplicável, outros trabalhos realizados pelo sócio do trabalho para a entidade.

16. Quando o auditor pretende usar as informações obtidas a partir da experiência anterior do auditor com a entidade e de procedimentos de auditoria realizados em auditorias anteriores, o auditor deve avaliar se essas informações continuam sendo relevantes e confiáveis como evidência de auditoria para a auditoria atual (ver itens de A39 a A41).

Discussão da equipe encarregada do trabalho

17. O sócio do trabalho e outros membros-chave da equipe encarregada do trabalho devem discutir a aplicação da estrutura de relatório financeiro aplicável e a suscetibilidade das demonstrações contábeis da entidade à distorção relevante (ver itens de A42 a A47).

18. Quando houver membros da equipe não envolvidos na discussão com o time de auditoria, o sócio do trabalho deve determinar quais assuntos devem ser comunicados a esses membros.

Obtenção de entendimento da entidade, do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos (ver itens A48 e A49)

Entendimento da entidade, do seu ambiente e da estrutura de relatório financeiro aplicável (ver itens de A50 a A55)

19. O auditor deve realizar procedimentos de avaliação de riscos para obter entendimento:

(a) dos seguintes aspectos da entidade e do seu ambiente:

(i) a estrutura organizacional, de propriedade e de governança da entidade e do seu modelo de negócio, incluindo a extensão na qual o modelo de negócio integra a utilização de TI (ver itens de A56 a A67);

(ii) setor de atividade, regulamentares e outros fatores externos (ver itens de A68 a A73); e

(iii) as medidas utilizadas, internamente e externamente, para avaliar o desempenho financeiro da entidade (ver itens de A74 a A81);

(b) a estrutura de relatório financeiro aplicável, e as políticas contábeis da entidade e as razões para qualquer mudança nessas políticas (ver itens de A82 a A84); e

(c) como os fatores de risco inerentes afetam a suscetibilidade das afirmações à distorção, e o grau em que isso acontece, na elaboração das demonstrações contábeis de acordo com a estrutura de relatório financeiro aplicável, com base no entendimento obtido nas alíneas (a) e (b) (ver itens de A85 a A89).

20. O auditor deve avaliar se as políticas contábeis da entidade são apropriadas e consistentes com a estrutura de relatório financeiro aplicável.

Entendimento dos componentes do sistema de controles internos da entidade (ver itens de A90 a A95)

Ambiente de controles, o processo de avaliação de riscos da entidade e o processo da entidade para monitorar o sistema de controles internos (ver itens de A96 a A98)

Ambiente de controle

21. O auditor deve obter entendimento do ambiente de controles relevante para a preparação das demonstrações contábeis por meio da realização de procedimentos de avaliação de riscos, mediante (ver itens A99 e A100):

(a) entendimento do conjunto de controles, processos e estruturas que endereçam (ver itens A101 e A102):

(i) como as responsabilidades de supervisão da administração são desempenhadas, tais como a cultura da entidade e o compromisso da administração com valores de integridade e éticos;

(ii) quando os responsáveis pela governança estão separados da administração, a independência dos responsáveis pela governança e a supervisão do sistema de controles internos da entidade realizada por eles;

(iii) a atribuição de autoridade e responsabilidade da entidade;

(iv) como a entidade atrai, desenvolve e retém indivíduos competentes; e

(v) como a entidade responsabiliza os indivíduos pelos seus deveres na busca pelos objetivos do sistema de controles internos;

(b) avaliação se (ver itens de A103 a A108):

(i) administração, com a supervisão dos responsáveis pela governança, criou e manteve uma cultura de honestidade e comportamento ético;

(ii) o ambiente de controle fornece uma base apropriada para os outros componentes do sistema de controles internos da entidade considerando a natureza e a complexidade da entidade; e

(iii) deficiências nos controles identificadas no ambiente de controle enfraquecem os outros componentes do sistema de controles internos da entidade.

Processo de avaliação de riscos da entidade

22. O auditor deve obter entendimento do processo de avaliação de riscos da entidade relevante para a preparação das demonstrações contábeis por meio da realização de procedimentos de avaliação de risco mediante:

(a) entendimento do processo da entidade para (ver itens A109 e A110):

(i) identificar os riscos do negócio relevantes para os objetivos dos relatórios financeiros (ver item A62);

(ii) avaliar a importância desses riscos, incluindo a probabilidade de sua ocorrência; e

(iii) endereçar esses riscos; e

(b) análise se o processo de avaliação de riscos da entidade é apropriado para as circunstâncias da entidade, considerando a sua natureza e a complexidade (ver itens de A111 a A113).

23. Se o auditor identificar riscos de distorção relevante que a administração deixou de identificar, ele deve:

(a) determinar se esses riscos são do tipo que o auditor espera que tivessem sido identificados pelo processo de avaliação de riscos da entidade e, caso afirmativo, obter entendimento do motivo pelo qual o processo de avaliação de riscos da entidade deixou de identificar esses riscos de distorção relevante; e

(b) considerar as implicações para a avaliação do auditor no item 22(b).

Processo da entidade para monitorar o sistema de controles internos

24. O auditor deve obter entendimento do processo da entidade para monitorar o sistema de controles internos relevante para a preparação das demonstrações contábeis por meio da realização de procedimentos de avaliação de risco, mediante (ver itens A114 e A115):

(a) entendimento desses aspectos do processo da entidade que tratam:

(i) das avaliações contínuas e separadas para monitorar a efetividade dos controles e a identificação e correção das deficiências dos controles identificadas (ver itens A116 e A117); e

(ii) da função de auditoria interna da entidade, se houver, incluindo sua natureza, suas responsabilidades e suas atividades (ver item A118);

(b) entendimento das fontes das informações usadas no processo da entidade para monitorar o sistema de controles internos e o embasamento sobre o qual a administração considera as informações suficientemente confiáveis para esse propósito (ver itens A119 e A120);

(c) avaliação de se o processo da entidade para monitorar o sistema de controles internos é apropriado para as circunstâncias da entidade, considerando a natureza e a complexidade da entidade (ver itens A121 e A122).

Sistema de informação e comunicação, e atividades de controle (ver itens de A123 a A130)

Sistema de informação e comunicação

25. O auditor deve obter entendimento do sistema de informação e comunicação relevante para a elaboração das demonstrações contábeis por meio da realização de procedimentos de avaliação de risco mediante (ver item A131):

(a) entendimento das atividades de processamento das informações da entidade, incluindo seus dados e informações, dos recursos a serem usados nessas atividades e das políticas que definem, para as classes significativas de transações, saldos contábeis e divulgações (ver itens de A132 a A143):

(i) como as informações fluem por meio do sistema de informação da entidade, incluindo como:

a. transações são iniciadas e as informações a seu respeito são registradas, processadas, corrigidas conforme necessário, incorporadas no razão geral e apresentadas nas demonstrações contábeis; e

b. informações sobre eventos e condições, exceto transações, são capturadas, processadas e divulgadas nas demonstrações contábeis;

(ii) os registros contábeis, as contas específicas nas demonstrações contábeis e outros registros de suporte relacionados com os fluxos de informações no sistema de informação;

(iii) o processo de apresentação de relatórios financeiros usado para preparar as demonstrações contábeis da entidade, incluindo divulgações; e

(iv) os recursos da entidade, incluindo o ambiente de TI, relevantes para a alínea (a)(i) a (iii);

(b) entendimento de como a entidade comunica assuntos importantes que suportam a elaboração das demonstrações contábeis e as respectivas responsabilidades de apresentação de relatório no sistema de informação e em outros componentes do sistema de controles internos (ver itens A144 a 145):

(i) entre as pessoas na entidade, incluindo como os papéis e as responsabilidades de apresentação de relatório são comunicados;

(ii) entre a administração e os responsáveis pela governança; e

(iii) com partes externas, como com autoridades reguladoras; e

(c) avaliação de se o sistema de informação e comunicação da entidade suporta, de maneira apropriada, a elaboração das demonstrações contábeis da entidade de acordo com a estrutura de relatório financeiro aplicável (ver item A146).

Atividades de controle

26. O auditor deve obter entendimento do componente das atividades de controle, por meio da realização de procedimentos de avaliação de riscos, mediante (ver itens de A147 a A157);

(a) identificação de controles que tratam dos riscos de distorção relevante no nível de afirmação no componente das atividades de controle, como segue:

(i) controles que tratam de um risco que é determinado como sendo risco significativo (ver itens A158 e A159);

(ii) controles sobre lançamentos no livro diário, inclusive lançamentos no livro diário não rotineiros usados para registrar transações ou ajustes não usuais (ver itens A160 e A161);

(iii) controles para os quais o auditor planeja testar a efetividade operacional para determinar a natureza, a época e a extensão do teste substantivo, que deve incluir os controles que tratam dos riscos para os quais somente os procedimentos substantivos não fornecem evidência de auditoria apropriada e suficiente (ver itens de A162 a A164); e

(iv) outros controles que o auditor considera como sendo apropriados para permitir que ele atenda aos objetivos do item 13 com relação aos riscos no nível da afirmação com base no seu julgamento profissional (ver item A165);

(b) com base nos controles identificados na alínea (a), identificação dos aplicativos de TI e de outros aspectos do ambiente de TI da entidade que estão sujeitos aos riscos decorrentes do uso de TI (ver itens de A166 a A172);

(c) para esses aplicativos de TI e outros aspectos do ambiente de TI identificados na alínea

(b), a identificação (ver itens A173 e A174):

(i) dos riscos relacionados decorrentes do uso de TI; e

(ii) dos controles gerais de TI da entidade que tratam desses riscos; e

(d) para cada controle identificado nas alíneas (a) ou (c)(ii) (ver itens de A175 a A181):

(i) avaliar se o controle é efetivamente planejado para tratar do risco de distorção relevante no nível da afirmação ou efetivamente planejado para suportar a operação de outros controles; e

(ii) determinar se o controle foi implementado mediante a realização de procedimentos além da indagação junto ao pessoal da entidade.

Deficiências de controle no sistema de controles internos da entidade

27. Com base na avaliação do auditor de cada um dos componentes do sistema de controles internos da entidade, o auditor deve determinar se uma ou mais deficiências de controle foram identificadas (ver itens A182 e A183).

Identificação e avaliação dos riscos de distorção relevante (ver itens A184 e A185)

Identificação dos riscos de distorção relevante

28. O auditor deve identificar os riscos de distorção relevante e determinar se eles existem (ver itens de A186 a A192):

(a) no nível das demonstrações contábeis (ver itens de A193 a A200); ou

(b) no nível da afirmação para classes de transações, saldos contábeis e divulgações (ver item A201).

29. O auditor deve determinar as afirmações relevantes e as respectivas classes de transações, saldos contábeis e divulgações significativas (ver itens de A202 a A204).

Avaliação dos riscos de distorção relevante no nível das demonstrações contábeis

30. Para os riscos identificados de distorção relevante no nível das demonstrações contábeis, o auditor deve avaliar os riscos e (ver itens de A193 a A200):

(a) determinar se esses riscos afetam a avaliação dos riscos no nível da afirmação; e

(b) avaliar a natureza e a extensão de seu efeito generalizado nas demonstrações contábeis.

Avaliação dos riscos de distorção relevante no nível da afirmação

Avaliação do risco inerente (ver itens de A205 a A217)

31. Para os riscos identificados de distorção relevante no nível da afirmação, o auditor deve avaliar o risco inerente mediante a avaliação da probabilidade e da magnitude da distorção.

Ao fazê-lo, o auditor deve levar em consideração o modo e o grau em que:

(a) fatores de risco inerentes afetam a suscetibilidade das afirmações relevantes à distorção; e

(b) os riscos de distorção relevante no nível das demonstrações contábeis afetam a avaliação do risco inerente para os riscos de demonstrações contábeis no nível da afirmação (ver itens A215 e A216).

32. O auditor deve determinar se qualquer um dos riscos avaliados de distorção relevante são riscos significativos (ver itens de A218 a A221).

33. O auditor deve determinar se somente os procedimentos substantivos não conseguem fornecer evidência de auditoria apropriada e suficiente para qualquer um dos riscos de distorção relevante no nível da afirmação (ver itens de A222 a A225).

Avaliação do risco de controle

34. Se o auditor planeja testar a efetividade operacional dos controles, ele deve avaliar o risco de controle. Se o auditor não planeja testar a efetividade operacional dos controles, a sua avaliação do risco de controle é tal que a avaliação do risco de distorção relevante é a mesma que a avaliação do risco inerente (ver itens de A226 a A229).

Avaliação da evidência de auditoria obtida a partir dos procedimentos de avaliação de riscos

35. O auditor deve avaliar se a evidência de auditoria obtida a partir dos procedimentos de avaliação de riscos fornece uma base apropriada para a identificação e a avaliação dos riscos de distorção relevante. Se não, ele deve realizar procedimentos adicionais de avaliação de riscos até que a evidência de auditoria tenha sido obtida para fornecer tal base.

Ao identificar e avaliar os riscos de distorção relevante, o auditor deve levar em consideração toda a evidência de auditoria obtida a partir dos procedimentos de avaliação de riscos, independentemente de se ela corrobora ou contradiz as afirmações feitas pela administração (ver itens de A230 a A232).

Classes de transações, saldos contábeis e divulgações que não são significativas, mas que são relevantes

36. Para classes de transações, saldos contábeis ou divulgações relevantes que não foram determinados como sendo classes de transações, saldos contábeis ou divulgações significativas, o auditor deve avaliar se a sua determinação ainda é apropriada (ver itens de A233 a A235).

Revisão da avaliação de riscos

37. Se o auditor obtém novas informações que não são consistentes com a evidência de auditoria sobre a qual ele originalmente baseou a identificação ou avaliação dos riscos de distorção relevante, ele deve rever a identificação ou a avaliação (ver item A236).

Documentação

38. O auditor deve incluir na documentação de auditoria (ver itens de A237 a A241 e NBC TA

230 – Documentação de Auditoria, itens de 8 a 11, A6 e A7):

(a) a discussão entre a equipe encarregada do trabalho e as decisões significativas alcançadas;

(b) elementos-chave do entendimento do auditor, de acordo com os itens 19, 21, 22, 24 e 25, as fontes de informações a partir das quais o entendimento do auditor foi obtido e os procedimentos de avaliação de riscos realizados;

(c) a avaliação do plano dos controles identificados e a determinação de se esses controles foram implementados de acordo com os requisitos no item 26; e

(d) a identificação e a avaliação dos riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação, incluindo os riscos significativos e os riscos para os quais somente os procedimentos substantivos não conseguem fornecer evidência de auditoria apropriada e suficiente, e a lógica utilizada para os julgamentos significativos feitos.

Vigência

Esta Norma deve ser aplicada aos relatórios de auditoria emitidos sobre as demonstrações contábeis referentes aos exercícios ou períodos que se findam em, ou após, 31 de dezembro de 2022, e revoga a NBC TA 315 e a NBC TA 315 (R1), publicadas no DOU, Seção 1, de 29/1/2014 e 5/9/2016, respectivamente.

Brasília, 19 de agosto de 2021

Contador Zulmir Ivânio Breda

Presidente

Ata CFC n.º 1.077.

Aplicação e outros materiais explicativos

Definições (ver item 12)

Afirmações (ver item 12(a))

A1. Categorias de afirmações são utilizadas pelos auditores para considerar os diferentes tipos de distorções potenciais que podem ocorrer na identificação e avaliação dos riscos de distorção relevante e na resposta aos mesmos. Exemplos dessas categorias de afirmações
estão descritos no item A190. As afirmações diferem das representações formais exigidas pela NBC TA 580 – Representações Formais para confirmar certos assuntos ou suportar outra evidência de auditoria.

Controles (ver item 12(c))

A2. Controles estão embutidos nos componentes do sistema de controles internos da entidade.

A3. Políticas são implementadas por meio de ações do pessoal da entidade ou por meio da restrição do pessoal para tomar medidas que poderiam conflitar com essas políticas.

A4. Procedimentos podem ser autorizados por meio de documentação formal ou outra comunicação da administração ou dos responsáveis pela governança ou podem resultar de comportamentos que não são autorizados, mas condicionados pela cultura da entidade. Os procedimentos podem ser impostos por meio de ações permitidas pelos aplicativos de TI usados pela entidade ou por outros aspectos do ambiente de TI da entidade.

A5. Controles podem ser diretos ou indiretos. Os controles diretos são aqueles que são precisos o suficiente para tratar dos riscos de distorção relevante no nível da afirmação. Os controles indiretos são aqueles que suportam os controles diretos.

Controles de processamento de informações (ver item 12(e))

A6. Os riscos à integridade das informações decorem da suscetibilidade à implementação ineficaz das políticas de informações da entidade, que são políticas que definem os fluxos de informações, registros e processos de apresentação de relatórios no sistema de informação da entidade. Os controles de processamento de informações são procedimentos que suportam a implementação efetiva das políticas de informações da entidade. Os controles de processamento de informações podem ser automatizados (isto é, embutidos nos aplicativos de TI) ou manuais (por exemplo, controles de entrada ou de saída) e podem contar com outros controles, incluindo outros controles de processamento de informações ou controles gerais de TI.

Fatores de risco inerentes (ver item 12(f))

Apêndice 2 descreve as considerações adicionais relacionadas com o entendimento dos fatores de risco inerentes.

A7. Os fatores de risco inerentes podem ser qualitativos ou quantitativos e afetam a suscetibilidade das afirmações a distorções. Os fatores de risco inerentes qualitativos relacionados com a preparação das informações exigidas pela estrutura de relatório financeiro aplicável incluem:

• complexidade;

• subjetividade;

• mudança;

• incerteza; ou

• suscetibilidade à distorção devido à tendenciosidade da administração ou a outros fatores de risco de fraude à medida que eles afetam o risco inerente.

A8. Outros fatores de risco inerentes que afetam a suscetibilidade à distorção de uma afirmação sobre uma classe de transações, saldo contábil ou divulgação podem incluir:

• a importância quantitativa ou qualitativa de uma classe de transações, saldo contábil ou divulgação; ou

• o volume ou uma falta de uniformidade na composição dos itens a serem processados por meio da classe de transações ou saldo contábil ou a serem refletidos na divulgação.

Afirmações relevantes (ver item 12(h))

A9. Um risco de distorção relevante pode estar relacionado com mais de uma afirmação e, nesse caso, todas as afirmações com as quais esse risco se relaciona são afirmações relevantes. Se uma afirmação não tem um risco identificado de distorção relevante, então
ela não é uma afirmação relevante.

Risco significativo (ver item 12(l))

A10. A importância pode ser descrita como a importância relativa de um assunto e é julgada pelo auditor no contexto no qual o assunto está sendo considerado. Para o risco inerente, a importância pode ser considerada no contexto de como, e no grau em que, os fatores de
risco inerentes afetam a combinação da probabilidade de uma distorção correr com a magnitude da distorção potencial caso ela ocorra.

Procedimentos de avaliação de riscos e atividades relacionadas (ver itens de 13 a 18)

A11. Os riscos de distorção relevante a serem identificados e avaliados incluem tanto aqueles causados por fraude como aqueles causados por erro e ambos são cobertos por esta

Norma. Entretanto, a importância da fraude é tamanha que requisitos e orientações adicionais estão incluídos na NBC TA 240, itens de 13 a 28, com relação aos procedimentos de avaliação de riscos e atividades relacionadas para se obter informações que são
utilizadas na identificação e avaliação dos riscos de distorção relevante devido a fraude.

Além disso, as seguintes normas fornecem requisitos e orientações adicionais para a identificação e avaliação de riscos de distorção relevante relacionados com assuntos ou circunstâncias específicas:

• NBC TA 540 – Auditoria de Estimativas Contábeis e Divulgações Relacionadas com relação a estimativas contábeis;

• NBC TA 550 com relação a relações e transações com partes relacionadas;

• NBC TA 570 – Continuidade Operacional com relação à continuidade operacional; e

• NBC TA 600 – Considerações Especiais – Auditorias de Demonstrações Contábeis de

Grupos, Incluindo o Trabalho dos Auditores dos Componentes com relação às demonstrações contábeis do grupo.

A12. O ceticismo profissional é necessário para a avaliação crítica de evidência de auditoria obtida na realização dos procedimentos de avaliação de riscos e auxilia o auditor a permanecer atento à evidência de auditoria que não é tendenciosa no sentido de comprovar a existência de riscos ou que possam ser contraditórias à existência de riscos. O ceticismo profissional é uma postura que é aplicada pelo auditor ao fazer julgamentos profissionais que então fornecem a base para as suas ações. O auditor aplica o julgamento profissional ao
determinar quando ele tem evidência de auditoria que fornece uma base apropriada para a avaliação de risco.

A13. A aplicação do ceticismo profissional pelo auditor pode incluir:

• questionamento de informações contraditórias e a confiabilidade dos documentos;

• consideração de respostas a indagações e outras informações obtidas da administração e dos responsáveis pela governança;

• atenção a condições que podem indicar uma distorção possível devido a fraude ou erro; e

• consideração de se a evidência de auditoria obtida suporta a identificação e a avaliação do auditor dos riscos de distorção relevante à luz da natureza e das circunstâncias da entidade.

Por que a obtenção de evidência de auditoria de forma não tendenciosa é importante (ver item 13)

A14. O planejamento e a realização de procedimentos de avaliação de riscos para obter evidência de auditoria para suportar a identificação e a avaliação dos riscos de distorção relevante de forma não tendenciosa podem auxiliar o auditor na identificação de informações potencialmente contraditórias, que pode auxiliar o auditor no exercício do ceticismo profissional na identificação e avaliação dos riscos de distorção relevante.

Fontes da evidência de auditoria (ver item 13)

A15. O planejamento e a realização de procedimentos de avaliação de riscos para obter evidência de auditoria de forma não tendenciosa pode envolver a obtenção de evidência de diversas fontes de dentro e de fora da entidade. Entretanto, o auditor não é requerido a realizar uma busca exaustiva para identificar todas as possíveis fontes de evidência de auditoria. Além das informações de outras fontes, fontes de informações para os procedimentos de avaliação de risco podem incluir (ver itens A37 e A38):

• interações com a administração, com os responsáveis pela governança e com outro pessoal-chave da entidade, como os auditores internos;

• determinadas partes externas, como reguladores, sejam elas obtidas direta ou indiretamente;

• informações sobre a entidade disponíveis para o público como, por exemplo, comunicados à imprensa emitidos pela entidade para analistas ou reuniões de grupos de investidores, relatórios de analistas ou informações sobre a atividade de negociação.

Independentemente da fonte de informações, o auditor considera a relevância e a confiabilidade das informações a serem usadas como evidência de auditoria, de acordo com a NBC TA 500 – Evidência de Auditoria, item 7.

Escalabilidade (ver item 13)

A16. A natureza e a extensão dos procedimentos de avaliação de riscos variam com base na natureza e nas circunstâncias da entidade (por exemplo, a formalidade das políticas e procedimentos, e os processos e sistemas da entidade). O auditor usa o julgamento profissional para determinar a natureza e a extensão dos procedimentos de avaliação de riscos a serem realizados para atender aos requisitos desta Norma.

A17. Embora a extensão na qual as políticas e procedimentos e os processos e sistemas da entidade é formalizada possa variar, o auditor ainda é requerido a obter o entendimento, de acordo com os itens 19, 21, 22, 24, 25 e 26.

Exemplos:

Algumas entidades, incluindo entidades menos complexas, e particularmente as entidades administradas pelos proprietários, podem não ter estabelecido processos e sistemas estruturados (por exemplo, processo de avaliação de riscos ou processo para monitorar o sistema de controles internos) ou pode ter estabelecido processos ou sistemas com documentação limitada ou com falta de consistência no modo como eles são realizados.

Quando esses sistemas e processos não são formalizados, o auditor ainda pode conseguir realizar procedimentos de avaliação de riscos por meio de observação e indagação.

Espera-se que outras entidades, geralmente entidades mais complexas, tenham políticas e procedimentos mais formalizados e documentados. O auditor pode usar essa documentação na realização de procedimentos de avaliação de riscos.

A18. A natureza e a extensão dos procedimentos de avaliação de riscos a serem realizados na primeira vez que o trabalho é realizado podem ser mais amplas do que os procedimentos realizados para trabalho recorrente. Em períodos subsequentes, o auditor pode se
concentrar nas mudanças que ocorreram desde o período anterior.

Tipos de procedimentos de avaliação de riscos (ver item 14)

A19. A NBC TA 500, itens de A14 a A17 e de A21 a A25, explica os tipos de procedimentos de auditoria que podem ser realizados para se obter evidência de auditoria a partir de procedimentos de avaliação de riscos e procedimentos adicionais de auditoria. A natureza, a época e a extensão dos procedimentos de auditoria podem ser afetadas pelo fato de que alguns dados contábeis e outras evidências podem estar disponíveis apenas em formato eletrônico ou apenas em determinados momentos (NBC TA 500, item A12). O auditor pode realizar procedimentos substantivos ou testes de controles, de acordo com a NBC TA 330, concomitantemente com procedimentos de avaliação de riscos quando isso for eficiente. A evidência de auditoria obtida que suporta a identificação e a avaliação dos riscos de distorção relevante também pode suportar a detecção de distorções no nível da afirmação ou a avaliação da efetividade operacional dos controles.

A20. Embora o auditor seja requerido a realizar todos os procedimentos de avaliação de riscos descritos no item 14 para obter o entendimento necessário da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos (ver de itens 19 a 26), ele não tem que realizar todos eles para cada aspecto desse entendimento.

Outros procedimentos podem ser realizados quando as informações a serem obtidas podem ser úteis na identificação dos riscos de distorção relevante. Exemplos desses procedimentos podem incluir indagações junto aos assessores jurídicos externos, supervisores externos da entidade ou de especialistas em avaliação que a entidade tenha utilizado.

Ferramentas e técnicas automatizadas (ver item 14)

A21. Ao utilizar ferramentas e técnicas automatizadas, o auditor pode realizar os procedimentos de avaliação de riscos em grandes volumes de dados (do razão geral, dos razões auxiliares ou outros dados operacionais), incluindo para análise, recálculos, reexecução ou
conciliações.

Indagações junto à administração e a outros da entidade (ver item 14(a))

Por que as indagações são dirigidas à administração e a outros da entidade

A22. As informações obtidas pelo auditor para suportar uma base apropriada para a identificação e a avaliação dos riscos e o planejamento de procedimentos adicionais de auditoria podem ser obtidas por meio de indagações junto à administração e aos responsáveis pelos relatórios financeiros.

A23. As indagações junto à administração e aos responsáveis pelos relatórios financeiros e a outros indivíduos apropriados da entidade e outros empregados com diferentes níveis de autoridade, podem oferecer para o auditor diferentes perspectivas na identificação e
avaliação dos riscos de distorção relevante.

Exemplos:

• Indagações dirigidas aos responsáveis pela governança podem auxiliar o auditor a entender a extensão da supervisão por parte dos responsáveis pela governança sobre a elaboração das demonstrações contábeis pela administração. A NBC TA 260 –

Comunicação com os Responsáveis pela Governança, item 4(b), identifica a importância da efetiva comunicação recíproca para ajudar o auditor a obter informações dos responsáveis pela governança nesse sentido.

• As indagações junto aos profissionais responsáveis por iniciar, processar ou registrar transações complexas ou não usuais podem auxiliar o auditor a avaliar a adequação da seleção e aplicação de determinadas políticas contábeis.

• As indagações dirigidas aos assessores jurídicos internos podem fornecer informações sobre assuntos como litígios, conformidade com leis e regulamentos, conhecimento ou suspeita de fraude que afeta a entidade, garantias, obrigações pós-venda, acordos (como
empreendimentos conjuntos) com parceiros comerciais e o significado de termos contratuais.

• As indagações dirigidas ao pessoal de marketing ou vendas podem fornecer informações sobre mudanças nas estratégias de marketing da entidade, suas tendências de vendas ou seus acordos contratuais com clientes.

• As indagações dirigidas ao departamento de gestão de riscos (ou àqueles que desempenham essas funções) podem fornecer informações sobre os riscos operacionais e regulatórios que podem afetar os relatórios financeiros.

• As indagações dirigidas ao pessoal de TI podem fornecer informações sobre mudanças no sistema, falhas no sistema ou controles ou outros riscos relacionados com TI.

Considerações específicas para entidades do setor público

A24. Ao fazer indagações junto àqueles que podem ter informações que provavelmente ajudarão na identificação dos riscos de distorção relevante, os auditores de entidades do setor público podem obter informações de fontes adicionais, como de auditores que estão envolvidos na realização de outras auditorias relacionadas com a entidade.

Indagações junto à função de auditoria interna.

O Apêndice 4 descreve as considerações para o entendimento da função de auditoria interna da entidade.

Por que as indagações são dirigidas à função de auditoria interna (caso esse departamento exista)

A25. Se uma entidade tem um função de auditoria interna, as indagações junto aos indivíduos apropriados do departamento podem auxiliar o auditor no entendimento da entidade, do seu ambiente e do seu sistema de controles internos na identificação e avaliação de riscos.

Considerações específicas para entidades do setor público

A26. Os auditores de entidades do setor público, geralmente, têm responsabilidades adicionais com relação aos controles internos e à conformidade com leis e regulamentos aplicáveis.

Indagações junto aos indivíduos apropriados da função de auditoria interna podem ajudar os auditores na identificação do risco de não conformidade relevante com leis e regulamentos aplicáveis e do risco de deficiências de controles relacionados com os relatórios financeiros.

Procedimentos analíticos (ver item14(b))

Por que os procedimentos analíticos são realizados como procedimento de avaliação de riscos

A27. Os procedimentos analíticos podem auxiliar a identificar inconsistências, transações ou eventos não usuais, valores, índices e tendências que indicam assuntos que possam ter implicações na auditoria. As relações não usuais ou inesperadas que são identificadas podem auxiliar o auditor a identificar riscos de distorção relevante, especialmente riscos de distorção relevante devido à fraude.

A28. Os procedimentos analíticos realizados como procedimentos de avaliação de riscos podem, portanto, auxiliar na identificação e avaliação dos riscos de distorção relevante ao identificar aspectos da entidade dos quais o auditor não tinha conhecimento ou entendimento como os fatores de risco inerentes, como mudanças, afetam a susceptibilidade das afirmações à distorção.

Tipos de procedimentos analíticos

A29. Os procedimentos analíticos realizados como procedimentos de avaliação de riscos podem:

• Incluir tanto informações financeiras como não financeiras, como, por exemplo, a relação entre as vendas e a metragem do espaço para vendas ou o volume de bens vendidos (não financeira).

• Usar dados agregados em alto nível. Consequentemente, os resultados desses procedimentos analíticos podem fornecer uma indicação inicial ampla sobre a probabilidade de distorção relevante.

Exemplo:

Na auditoria de muitas entidades, incluindo aquelas com modelos de negócios, processos e sistema de informações menos complexos, o auditor pode realizar uma simples comparação das informações, como a variação nos saldos contábeis intermediários ou mensais em relação aos saldos de períodos anteriores, para obter uma indicação de áreas de riscos potencialmente maiores.

A30. Esta Norma trata do uso de procedimentos analíticos pelo auditor como procedimentos de avaliação de riscos. A NBC TA 520 – Procedimentos Analíticos trata do uso de procedimentos analíticos pelo auditor como procedimentos substantivos (procedimentos analíticos substantivos) e da responsabilidade do auditor de realizar procedimentos analíticos próximo ao fim da auditoria. Consequentemente, os procedimentos analíticos realizados como procedimentos de avaliação de riscos não precisam ser realizados de acordo com os requisitos da NBC TA 520. Entretanto, os requisitos e o material de aplicação da NBC TA 520 podem fornecer orientações úteis para o auditor na realização de procedimentos analíticos como parte dos procedimentos de avaliação de riscos.

Ferramentas e técnicas automatizadas

A31. Os procedimentos analíticos podem ser realizados mediante a utilização de uma série de ferramentas ou técnicas, que podem ser automatizadas. A aplicação de procedimentos analíticos automatizados aos dados pode ser chamada de analítica de dados.

Exemplo:

O auditor pode usar uma planilha para realizar uma comparação dos valores realmente registrados com os valores orçados, ou pode realizar um procedimento mais avançado mediante a extração de dados do sistema de informações da entidade, e analisar ainda mais esses dados utilizando técnicas de visualização para identificar classes de transações, saldos contábeis ou divulgações para as quais procedimentos adicionais de avaliação de riscos específicos podem ser justificados.

Observação e inspeção (ver item 14(c))

Por que a observação e a inspeção são realizadas como procedimentos de avaliação de riscos

A32. A observação e a inspeção podem suportar, comprovar ou contradizer as indagações junto à administração e a outros e podem também fornecer informações sobre a entidade e o seu ambiente.

Escalabilidade

A33. Quando as políticas ou os procedimentos não são documentados, ou quando a entidade tem controles menos formalizados, o auditor ainda pode obter alguma evidência de auditoria para suportar a identificação e a avaliação dos riscos de distorção relevante por meio da observação ou inspeção da realização do controle.

Exemplos:

• o auditor pode obter um entendimento dos controles da contagem de estoque, mesmo que eles não tenham sido documentados pela entidade, por meio de observação direta;

• o auditor pode observar a segregação de funções;

• o auditor pode observar a senhas que são inseridas.

Observação e inspeção como procedimentos de avaliação de riscos

A34. Os procedimentos de avaliação de riscos podem incluir a observação ou a inspeção do que segue:

• as operações da entidade;

• documentos internos (como planos e estratégias de negócio), registros e manuais de controles internos;

• relatórios preparados pela administração (como relatórios trimestrais da administração e demonstrações contábeis intermediárias) e pelos responsáveis pela governança (como atas das reuniões do conselho de administração);

• as dependências e instalações fabris da entidade;

• as informações obtidas de fontes externas, como revistas especializadas ou de economia, relatórios de analistas, bancos ou agências de classificação de risco, publicações regulatórias ou financeiras; ou outros documentos externos sobre o desempenho financeiro da entidade (como aqueles mencionados no item A79);

• os comportamentos e as ações da administração ou dos responsáveis pela governança (como a observação de reunião do comitê de auditoria).

Ferramentas e técnicas automatizadas

A35. As ferramentas ou as técnicas automatizadas também podem ser usadas para observar ou inspecionar, em especial, ativos, por exemplo, por meio do uso de ferramentas de observação remota (por exemplo, drone).

Considerações específicas para entidades do setor público

A36. Os procedimentos de avaliação de riscos realizados pelos auditores de entidades do setor público também podem incluir a observação e a inspeção de documentos preparados pela administração para fins legais como, por exemplo, documentos relacionados com relatórios de desempenho obrigatórios.

Informações de outras fontes (ver item 15)

Por que o auditor considera as informações de outras fontes

A37. As informações obtidas de outras fontes podem ser relevantes para a identificação e avaliação dos riscos de distorção relevante mediante o fornecimento de informações e opiniões sobre:

• a natureza da entidade e seus riscos do negócio e o que pode ter mudado em relação aos períodos anteriores;

• a integridade e os valores éticos da administração e dos responsáveis pela governança que também podem ser relevantes para o entendimento do auditor do ambiente de controle;

• a estrutura de relatório financeiro aplicável e sua aplicação à natureza e às circunstâncias da entidade.

Outras fontes relevantes

A38. Outras fontes de informações relevantes incluem:

• procedimentos do auditor com relação à aceitação ou à continuação da relação com o cliente ou do trabalho de auditoria, de acordo com a NBC TA 220 – Controle de Qualidade da Auditoria de Demonstrações Contábeis, item 12, incluindo as conclusões alcançadas a respeito;

• outros trabalhos realizados para a entidade pelo sócio do trabalho. O sócio do trabalho pode ter obtido conhecimento relevante para a auditoria, inclusive sobre a entidade e o seu ambiente, na realização de outros trabalhos para a entidade. Esses trabalhos podem incluir trabalhos de procedimentos pré-acordados ou outros trabalhos de auditoria ou asseguração, incluindo trabalhos que tratam dos requisitos adicionais para a apresentação de relatórios na jurisdição.

Informações da experiência anterior do auditor com a entidade e auditorias anteriores (ver item 16)

Por que as informações de auditorias anteriores são importantes para a auditoria atual

A39. A experiência anterior do auditor com a entidade e com procedimentos de auditoria realizados em auditorias anteriores podem fornecer para o auditor informações que são relevantes para a determinação pelo auditor da natureza e da extensão dos procedimentos de avaliação de riscos e para a identificação e avaliação dos riscos de distorção relevante.

Natureza das informações de auditorias anteriores

A40. A experiência anterior do auditor com a entidade e com procedimentos de auditoria realizados em auditorias anteriores podem fornecer para o auditor informações sobre assuntos como:

• distorções passadas e se elas foram corrigidas tempestivamente;

• a natureza da entidade e do seu ambiente e o seu sistema de controles internos (incluindo deficiências nos controles);

• mudanças significativas que a entidade ou suas operações possam ter sofrido desde o período financeiro anterior;

• esses tipos específicos de transações e outros eventos ou saldos contábeis (e divulgações relacionadas) para os quais o auditor teve dificuldade para realizar os procedimentos de auditoria necessários como, por exemplo, devido à sua complexidade.

A41. O auditor tem que determinar se as informações obtidas à partir da experiência anterior do auditor com a entidade e de procedimentos de auditoria realizados em auditorias anteriores continuam sendo relevantes e confiáveis, se ele pretende usar essas informações para fins da auditoria atual. Se a natureza ou as circunstâncias da entidade mudaram, ou novas informações foram obtidas, as informações de períodos anteriores podem não ser mais relevantes para a auditoria atual. Para determinar se ocorreram mudanças que podem afetar a relevância ou a confiabilidade dessas informações, o auditor pode ter que fazer indagações e realizar outros procedimentos de auditoria apropriados, como um “passo a passo” dos sistemas relevantes. Se as informações não forem confiáveis, o auditor pode considerar a realização de procedimentos adicionais que são apropriados nas circunstâncias.

Discussão entre a equipe encarregada do trabalho (ver itens 17 e 18)

Por que a equipe encarregada do trabalho precisa discutir a aplicação da estrutura de relatório financeiro aplicável e a suscetibilidade das demonstrações contábeis da entidade à distorção relevante

A42. A discussão entre a equipe encarregada do trabalho sobre a aplicação da estrutura de relatório financeiro aplicável e a suscetibilidade das demonstrações contábeis da entidade à distorção relevante:

• Fornece uma oportunidade para que os membros mais experientes da equipe encarregada do trabalho, incluindo o sócio do trabalho, compartilhem suas informações com base no seu conhecimento da entidade. O compartilhamento de informações contribui para um melhor entendimento por parte de todos os membros da equipe encarregada do trabalho.

• Permite que os membros da equipe encarregada do trabalho troquem informações sobre o risco de negócio ao qual a entidade está sujeita, o modo como os fatores de risco inerentes podem afetar a susceptibilidade à distorção de classes de transações, saldos contábeis e divulgações, e sobre o modo como e quando as demonstrações contábeis podem estar suscetíveis à distorção relevante devido a fraude ou erro.

• Auxilia os membros da equipe encarregada do trabalho a obter um melhor entendimento do potencial de distorção relevante das demonstrações contábeis nas áreas específicas atribuídas a eles e a entender o modo como os resultados dos procedimentos de auditoria que eles realizam podem afetar outros aspectos da auditoria, incluindo as decisões sobre a natureza, a época e a extensão de procedimentos adicionais de auditoria. Em particular, a discussão auxilia os membros da equipe encarregada do trabalho na consideração adicional de informações contraditórias com base no entendimento próprio de cada membro da natureza e das circunstâncias da entidade.

• Fornece uma base na qual os membros da equipe encarregada do trabalho se comunicam e compartilham novas informações obtidas durante toda a auditoria que podem afetar a avaliação dos riscos de distorção relevante ou os procedimentos de auditoria realizados para tratar desses riscos.

A NBC TA 240, item 16, requer que a discussão da equipe encarregada do trabalho enfatize especialmente o modo como e quando as demonstrações contábeis da entidade podem estar suscetíveis à distorção relevante devido a fraude, inclusive o modo como a fraude pode ocorrer.

A43. O ceticismo profissional é necessário para a avaliação crítica da evidência de auditoria e uma robusta e aberta discussão da equipe encarregada do trabalho, incluindo para auditorias recorrentes, pode levar à melhor identificação e avaliação dos riscos de distorção relevante. Outro resultado da discussão pode ser que o auditor identifique áreas específicas da auditoria para as quais o exercício do ceticismo profissional pode ser particularmente importante e pode levar ao envolvimento de membros mais experientes da equipe encarregada do trabalho que são adequadamente capacitados para estarem envolvidos na realização dos procedimentos de auditoria relacionados com essas áreas.

Escalabilidade

A44. Quando o trabalho é realizado por um único indivíduo, como único profissional (isto é, quando uma discussão da equipe encarregada do trabalho não é possível), a consideração dos assuntos mencionados nos itens A42 e A46, entretanto, pode auxiliar o auditor na identificação de onde pode haver riscos de distorção relevante.

A45. Quando um trabalho é realizado por uma grande equipe de trabalho, como para a auditoria de demonstrações contábeis de um grupo, nem sempre é necessário ou prático que a discussão inclua todos os membros em uma única discussão (por exemplo, em uma auditoria em diversos locais), nem é necessário que todos os membros da equipe encarregada do trabalho sejam informados de todas as decisões tomadas na discussão. O sócio do trabalho pode discutir assuntos com membros-chave da equipe encarregada do trabalho, incluindo, se considerado apropriado, aqueles com habilidades ou conhecimentos específicos, e aqueles responsáveis pelas auditorias de componentes, enquanto delega discussões com outros, levando em consideração a extensão da comunicação considerada necessária com toda a equipe encarregada do trabalho. Um plano de comunicação, acordado pelo sócio do trabalho, pode ser útil.

Discussão das divulgações na estrutura de relatório financeiro aplicável

A46. Como parte da discussão entre a equipe encarregada do trabalho, a consideração dos requisitos de divulgação da estrutura de relatório financeiro aplicável auxilia na identificação antecipada na auditoria de onde pode haver riscos de distorção relevante em relação às divulgações, mesmo em circunstâncias em que a estrutura de relatório financeiro aplicável exige somente divulgações simplificadas. Assuntos que a equipe encarregada do trabalho pode discutir incluem:

• mudanças nas exigências de relatórios financeiros que podem resultar em divulgações novas ou revisadas significativas;

• mudanças no ambiente, na condição financeira ou nas atividades da entidade que podem resultar em divulgações novas ou revisadas significativas, por exemplo, uma combinação de negócios significativa no período da auditoria;

• divulgações para as quais a obtenção de evidência de auditoria apropriada e suficiente pode ter sido difícil no passado; e

• divulgações sobre assuntos complexos, incluindo aqueles que envolvem julgamento significativo da administração quanto a qual informação deve ser divulgada.

Considerações específicas para entidades do setor público

A47. Como parte da discussão entre a equipe encarregada do trabalho dos auditores de entidades do setor público, pode-se também considerar objetivos adicionais mais abrangentes, e os riscos relacionados, decorrentes da autorização da auditoria ou das obrigações para as entidades do setor público.

Obtenção de entendimento da entidade, do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos (ver item de 19 a 27)

Os apêndices de 1 a 6 descrevem considerações adicionais relacionadas com a obtenção de entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos.

Obtenção do entendimento requerido (ver itens de 19 a 27)

A48. A obtenção de entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos é um processo dinâmico e interativo de coleta, atualização e análise de informações e ele continua durante toda a auditoria. Portanto, as expectativas do auditor podem mudar à medida que novas informações forem obtidas.

A49. O entendimento do auditor da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável também pode auxiliá-lo a desenvolver expectativas iniciais sobre as classes de transações, saldos contábeis e divulgações que podem ser classes de transações, saldos contábeis e divulgações significativas. Essas classes de transações, saldos contábeis e divulgações formam a base para o escopo do entendimento do auditor do sistema de informações da entidade.

Por que o entendimento da entidade, do seu ambiente e da estrutura de relatório financeiro aplicável é necessário (ver itens 19 e 20)

A50. O entendimento do auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, auxilia o auditor a entender aos eventos e às condições que são relevantes para a entidade, e a identificar o modo como os fatores de risco inerentes afetam a susceptibilidade das afirmações à distorção na preparação das demonstrações contábeis de acordo com a estrutura de relatório financeiro aplicável e o grau em que isso ocorre.

Essas informações estabelecem uma estrutura de referência na qual o auditor identifica e avalia os riscos de distorção relevante. Essa estrutura de referência também auxilia o auditor a planejar a auditoria e a exercer o julgamento e o ceticismo profissional durante toda a auditoria, por exemplo, ao:

• identificar e avaliar os riscos de distorção relevante das demonstrações contábeis de acordo com a NBC TA 315 ou outras normas relevantes (por exemplo, relacionadas com riscos de fraude de acordo com a NBC TA 240 ou ao identificar ou avaliar os riscos relacionados com estimativas contábeis de acordo com a NBC TA 540);

• realizar procedimentos para auxiliar a identificar casos de não conformidade com leis e regulamentos que possam ter um efeito relevante nas demonstrações contábeis de acordo com a NBC TA 250 – Consideração de Leis e Regulamentos na Auditoria de Demonstrações Contábeis, item 14;

• avaliar se as demonstrações contábeis fornecem divulgações adequadas de acordo com a NBC TA 700 – Formação de Opinião e Emissão do Relatório do Auditor Independente sobre as Demonstrações Contábeis, item 13(e);

• determinar a materialidade de planejamento e execução de acordo com a NBC TA 320 – Materialidade no Planejamento e na Execução da Auditoria, itens 10 e 11; ou

• considerar a adequação da seleção e aplicação das políticas contábeis e a adequação das divulgações das demonstrações contábeis.

A51. O entendimento do auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, também informa o modo como o auditor planeja e realiza os procedimentos adicionais de auditoria, por exemplo, ao:

• desenvolver expectativas de uso ao realizar procedimentos analíticos, de acordo com a NBC TA 520, item 5;

• planejar e realizar procedimentos adicionais de auditoria para obter evidência de auditoria apropriada e suficiente, de acordo com a NBC TA 330; e

• avaliar a adequação e a suficiência da evidência de auditoria obtida (por exemplo, relacionada com as premissas ou com as representações verbais e formais da administração).

Escalabilidade

A52. A natureza e a extensão do entendimento necessário é um assunto do julgamento profissional do auditor e varia de entidade para entidade com base na natureza e nas circunstâncias da entidade, incluindo:

• o porte e a complexidade da entidade, incluindo o seu ambiente de TI;

• a experiência anterior do auditor com a entidade;

• a natureza dos sistemas e processos da entidade, incluindo se eles estão formalizados ou não; e

• a natureza e a forma da documentação da entidade.

A53. Os procedimentos de avaliação de riscos do auditor para obter o entendimento necessário podem ser menos extensos em auditorias de entidades menos complexas e mais extensos para entidades mais complexas. Espera-se que a profundidade do entendimento que é exigido do auditor seja menor do que aquela da administração na gestão da entidade.

A54. Algumas estruturas de relatório financeiro aplicável permitem que entidades menores forneçam divulgações mais simples e menos detalhadas nas demonstrações contábeis. Entretanto, isso não desobriga o auditor da responsabilidade de obter entendimento da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável na medida em que ele se aplica à entidade.

A55. O uso de TI por parte da entidade e a natureza e a extensão das mudanças no ambiente de TI também podem afetar as habilidades especializadas que são necessárias para auxiliar na obtenção do entendimento necessário.

Entidade e seu ambiente (ver item 19(a))

Estrutura organizacional, propriedade, governança e modelo de negócio da entidade (ver item 19(a)(i))

Estrutura organizacional e propriedade da entidade

A56. O entendimento da estrutura organizacional e da propriedade da entidade pode permitir que o auditor entenda assuntos como:

• A complexidade da estrutura da entidade.

Exemplo:

A entidade pode ser uma única entidade ou a estrutura da entidade pode incluir controladas, divisões ou outros componentes em diversos locais. Ainda, a estrutura legal pode ser diferente da estrutura operacional. Estruturas complexas geralmente introduzem fatores que podem dar origem à maior suscetibilidade a riscos de distorção relevante. Essas questões podem incluir se o ágio, os empreendimentos conjuntos, os investimentos ou as entidades de propósito específico são contabilizados de forma adequada e se foi feita a divulgação adequada dessas questões nas demonstrações contábeis.

• A propriedade e as relações entre proprietários e outras pessoas ou entidades, incluindo partes relacionadas. Esse entendimento pode auxiliar na determinação de se as transações com partes relacionadas foram adequadamente identificadas, contabilizadas e adequadamente divulgadas nas demonstrações contábeis (NBC TA 550).

• A distinção entre proprietários, responsáveis pela governança e administração.

Exemplo:

Em entidades menos complexas, os proprietários da entidade podem estar envolvidos na administração da entidade, portanto, há pouca ou nenhuma distinção. Por outro lado, como no caso de algumas empresas de capital aberto, pode haver distinção clara entre administração, proprietários da entidade e responsáveis pela governança.

• A estrutura e a complexidade do ambiente de TI da entidade.

Exemplos:

A entidade pode:

• Ter diversos sistemas de TI legados em diferentes empresas que não estão bem integrados, resultando em ambiente de TI complexo.

• Usar fornecedores de serviços externos ou internos para aspectos do seu ambiente de TI (por exemplo, terceirizar a hospedagem do seu ambiente de TI ou usar um centro de serviço compartilhado para a administração centralizada dos processos de TI em um grupo).

Ferramentas e técnicas automatizadas

A57. O auditor pode usar ferramentas e técnicas automatizadas para entender os fluxos de transações e o processamento como parte dos seus procedimentos para entender o sistema de informações. O resultado desses procedimentos pode ser que a auditor obtenha informações sobre a estrutura organizacional da entidade ou sobre aqueles com quem a entidade conduza negócios (por exemplo, fornecedores, clientes, partes relacionadas).

Considerações específicas para entidades do setor público

A58. A propriedade de entidade do setor público pode não ter a mesma relevância que tem no setor privado porque as decisões relacionadas com a entidade podem ser tomadas fora da entidade como resultado de processo político. Portanto, a administração pode não ter controle sobre certas decisões que são tomadas. Assuntos que podem ser relevantes incluem o entendimento da capacidade da entidade de tomar decisões unilaterais, e da capacidade de outras entidades do setor público de controlar ou influenciar a autoridade e a direção estratégica da entidade.

Exemplo:

Uma entidade do setor público pode estar sujeita a leis ou outras diretivas de autoridades que requerem que ela obtenha aprovação de partes externas da entidade da sua estratégia e objetivos antes de implementá-los. Portanto, questões relacionadas com entendimento da estrutura legal da entidade podem incluir leis e regulamentos aplicáveis e a classificação da entidade (ou seja, se a entidade é ministério, departamento, agência ou outro tipo de
entidade).

Governança

Por que o auditor obtém entendimento da governança

A59. O entendimento da governança da entidade pode auxiliar o auditor a entender a capacidade da entidade de fornecer supervisão apropriada do seu sistema de controles internos.

Entretanto, esse entendimento também pode fornecer evidência de deficiências que podem indicar um aumento da suscetibilidade das demonstrações contábeis da entidade aos riscos de distorção relevante.

Entendimento da governança da entidade

A60. Assuntos que podem ser relevantes para o auditor considerar na obtenção de entendimento da governança da entidade incluem:

• se alguns responsáveis pela governança, ou todos eles, estão envolvidos na administração da entidade;

• a existência (e separação) de conselho não executivo, se houver, da administração executiva;

• se os responsáveis pela governança ocupam cargos que são parte integrante da estrutura legal da entidade como, por exemplo, membros do conselho;

• a existência de subgrupos dos responsáveis pela governança, como comitê de auditoria e as responsabilidades desse grupo;

• as responsabilidades dos responsáveis pela governança pela supervisão do relatório financeiro, incluindo a aprovação das demonstrações contábeis.

Modelo de negócio da entidade

O Apêndice 1 descreve considerações adicionais para a obtenção de entendimento da entidade e do seu modelo de negócio, assim como considerações adicionais para a auditoria de entidades de propósito específico.

Por que o auditor obtém entendimento do modelo de negócio da entidade

A61. O entendimento dos objetivos, da estratégia e do modelo de negócio da entidade auxilia o auditor a entender a entidade em nível estratégico e a entender os riscos do negócio que a entidade toma e enfrenta. O entendimento dos riscos do negócio que têm efeito nas demonstrações contábeis auxilia o auditor a identificar os riscos de distorção relevante uma vez que a maioria dos riscos do negócio terá, em algum momento, consequências financeiras e, portanto, efeito nas demonstrações contábeis.

Exemplos:

O modelo de negócio da entidade pode contar com o uso de TI de diferentes formas:

• a entidade vende calçados a partir de uma loja física e usa um sistema avançado de estoque e ponto de venda para registrar a venda dos calçados; ou

• a entidade vende calçados online de modo que todas as transações de venda são processadas em ambiente de TI, incluindo a iniciação das transações por meio de site.

Para ambas as entidades, os riscos do negócio decorrentes de modelo de negócio significativamente diferente seriam, substancialmente, diferentes, apesar do fato de que ambas as entidades vendem calçados.

Entendimento do modelo de negócio da entidade

A62. Nem todos os aspectos do modelo de negócio são relevantes para o entendimento do auditor. Os riscos do negócio são mais abrangentes do que os riscos de distorção relevante das demonstrações contábeis embora os riscos do negócio incluam estes últimos. O auditor não tem responsabilidade de entender ou identificar todos os riscos do negócio porque nem todos os riscos do negócio geram riscos de distorção relevante.

A63. Os riscos do negócio que aumentam a suscetibilidade dos riscos de distorção relevante podem decorrer:

• de objetivos ou estratégias inapropriadas, de execução ineficaz de estratégias, o de mudanças ou complexidade;

• do não reconhecimento da necessidade de mudança que também pode gerar risco do negócio, por exemplo:

• o desenvolvimento de novos produtos ou serviços que podem fracassar;

• o mercado que, mesmo desenvolvido com sucesso, é inadequado para suportar o produto ou serviço; ou

• defeitos no produto ou serviço que podem resultar em responsabilidade legal e risco à reputação;

• de incentivos para a administração e pressões sobre a administração que podem resultar em tendência intencional ou não intencional da administração e, portanto, afetar a razoabilidade de premissas significativas e as expectativas da administração ou dos responsáveis pela governança.

A64. Exemplos de assuntos que o auditor pode considerar na obtenção de entendimento do modelo de negócio, dos objetivos, das estratégias e dos respectivos riscos do negócio da entidade que podem resultar em risco de distorção relevante das demonstrações contábeis incluem:

• desenvolvimentos no setor de atividade, como falta de pessoal ou de perícia para tratar das mudanças no setor de atividade;

• novos produtos e serviços que podem levar a uma maior responsabilidade pelo produto;

• expansão do negócio da entidade e a demanda não tiver sido estimada com precisão;

• novos requisitos de contabilidade onde tiver havido implementação incompleta ou inadequada;

• requisitos regulatórios que resultam em uma maior exposição legal;

• requisitos de financiamento atuais e prospectivos, como perda do financiamento devido à incapacidade da entidade de atender aos requisitos;

• uso de TI, como a implementação de novo sistema de TI que afetará tanto às operações quanto o relatório financeiro; ou

• os efeitos da implementação de estratégia, particularmente quaisquer efeitos que levarão a novos requisitos de contabilidade.

A65. Normalmente, a administração identifica os riscos do negócio e desenvolve abordagens para tratar deles. Esse processo de avaliação de riscos é parte do sistema de controles internos da entidade e é discutido no item 22 e nos itens de A109 a A113.

Considerações específicas para entidades do setor público

A66. As entidades que atuam no setor público podem gerar e entregar valor de maneiras diferentes para os que geram riqueza, mas que ainda terão um “modelo de negócio” com um objetivo específico. Assuntos para os quais os auditores do setor público podem obter entendimento que são relevantes para o modelo de negócio da entidade incluem:

• conhecimento das atividades relevantes do governo, incluindo os respectivos programas;

• objetivos e estratégias do programa, incluindo elementos da política pública.

A67. Para as auditorias das entidades do setor público, os “objetivos da administração” podem ser influenciados pelos requisitos de demonstrar a prestação de contas públicas e podem incluir objetivos que têm sua fonte em lei, regulamento ou outra autoridade.

Fatores do setor de atividade, regulatórios e outros fatores externos (ver item 19(a)(ii))

Fatores do setor de atividade

A68. Os fatores relevantes do setor de atividade incluem as condições próprias do setor, como ambiente de concorrência, relações com fornecedores e clientes e desenvolvimentos tecnológicos. Assuntos que o auditor pode considerar incluem:

• o mercado e a concorrência, incluindo a demanda, a capacidade e a concorrência de preços;

• atividade cíclica ou sazonal;

• tecnologia de produtos relacionada com os produtos da entidade;

• fornecimento e custo de energia.

A69. O setor de atividade no qual a entidade atua pode gerar riscos específicos de distorção relevante decorrentes da natureza do negócio ou do grau de regulamentação.

Exemplo:

No setor de construção, os contratos de longo prazo podem envolver estimativas significativas de receitas e despesas que geram riscos de distorção relevante. Nesses casos, é importante que a equipe encarregada do trabalho inclua membros com conhecimento e experiência relevantes suficientes (NBC TA 220, item 14).

Fatores regulatórios

A70. Os fatores regulatórios relevantes incluem o ambiente regulatório. O ambiente regulatório abrange, entre outros assuntos, a estrutura de relatório financeiro aplicável e o ambiente jurídico e político e quaisquer mudanças nos mesmos. Assuntos que o auditor pode considerar incluem:

• estrutura regulatória para um setor de atividade regulamentado como, por exemplo, requisitos prudenciais, incluindo as respectivas divulgações;

• legislação e regulamentação que afetam significativamente as operações da entidade como, por exemplo, leis e regulamentações trabalhistas;

• legislação e regulamentos tributários;

• políticas governamentais que afetam, no presente, a condução do negócio da entidade, como políticas monetárias, inclusive controles de câmbio, políticas fiscais e de incentivos financeiros (por exemplo, programas de subvenções governamentais) e políticas de tarifas ou de restrições comerciais;

• exigências ambientais que afetam o setor de atividade e o negócio da entidade.

A71. A NBC TA 250, item 13, inclui alguns requisitos específicos relacionados com a estrutura legal e regulatória aplicável para a entidade e a indústria ou o setor em que a entidade atua.

Considerações específicas para entidades do setor público

A72. Para as auditorias de entidades do setor público, leis ou regulamentos podem afetar as operações da entidade.

Esses elementos podem ser uma consideração essencial na obtenção de entendimento da entidade e do seu ambiente.

Outros fatores externos

A73. Outros fatores externos que afetam a entidade e que o auditor pode considerar incluem as condições econômicas gerais, as taxas de juros, a disponibilidade de financiamento e a inflação ou a reavaliação cambial.

Medidas usadas pela administração para avaliar o desempenho financeiro da entidade (ver item 19(a)(iii))

Por que o auditor entende as medidas utilizadas pela administração

A74. O entendimento das medidas da entidade auxilia o auditor a considerar se essas medidas, sejam elas utilizadas externa ou internamente, cria pressões na entidade para que ela alcance metas de desempenho. Essas pressões podem motivar a administração a tomar medidas que aumentam a suscetibilidade à distorção devido à tendência da administração ou a fraude (por exemplo, para melhorar o desempenho do negócio ou para, intencionalmente, distorcer as demonstrações contábeis) (ver NBC TA 240 para requisitos e orientação com relação aos riscos de fraude).

A75. Medidas também podem indicar para o auditor a probabilidade de riscos de distorção relevante das respectivas informações nas demonstrações contábeis. Por exemplo, medidas de desempenho podem indicar que a entidade teve aumento rápido não usual de sua rentabilidade quando comparado com outras entidades do mesmo setor de atividade.

Medidas utilizadas pela administração

A76. A administração e outros geralmente mensuram e revisam os assuntos que consideram importantes. As indagações junto à administração podem revelar que ela confia em determinados indicadores-chave, sejam eles disponíveis para o público ou não, para avaliar o desempenho financeiro e agir. Nesses casos, o auditor pode identificar medidas de desempenho relevantes, internas ou externas, ao considerar as informações que a entidade usa para gerir o seu negócio. Se essas indagações indicarem ausência de medida ou revisão de desempenho, pode haver um maior risco de que distorções não sejam detectadas ou corrigidas.

A77. Os indicadores-chave utilizados para avaliar o desempenho financeiro podem incluir:

• indicadores-chave de desempenho (financeiros e não financeiros) e os principais índices, tendências e estatísticas operacionais;

• análise de desempenho financeiro período a período;

• orçamentos, projeções, análises de variações, informações por segmento e divisional, departamental ou outros relatórios de desempenho de nível;

• medidas de desempenho do empregado e políticas de incentivos remuneratórios;

• comparações do desempenho da entidade com aquele da concorrência.

Escalabilidade (ver item 19(a)(iii))

A78. Os procedimentos realizados para entender as medidas da entidade podem variar de acordo com o porte ou a complexidade da entidade, assim como com o envolvimento dos proprietários ou dos responsáveis pela governança na administração da entidade.

Exemplos:

• Para algumas entidades menos complexas, os termos dos empréstimos bancários da entidade (por exemplo, cláusulas restritivas) podem estar vinculados às medidas específicas de desempenho relacionadas com o desempenho ou com a posição financeira da entidade (por exemplo, valor máximo de capital de giro). O entendimento do auditor das medidas de desempenho utilizadas pelo banco pode auxiliá-lo a identificar áreas em que há maior suscetibilidade ao risco de distorção relevante.

• Para algumas entidades cuja natureza e circunstâncias são mais complexas, como aquelas que atuam no setor de seguros ou bancário, o desempenho ou a posição financeira podem ser mensurados em relação a requisitos regulatórios (por exemplo, requisitos de índice regulatório, como adequação de capital e índices de liquidez). O entendimento do auditor dessas medidas de desempenho pode auxiliá-lo a identificar áreas em que há maior suscetibilidade ao risco de distorção relevante.

Outras considerações

A79. As partes externas também podem rever e analisar o desempenho financeiro da entidade, particularmente para entidades cujas informações financeiras estão disponíveis para o público. O auditor também pode considerar as informações disponíveis para o público para auxiliá-lo a entender melhor o negócio ou a identificar informações contraditórias, como informações de:

• analistas ou agências de classificação de crédito;

• notícias e outras mídias, incluindo as redes sociais

• autoridades tributárias;

• órgãos reguladores;

• sindicatos;

• provedores de financiamentos.

Essas informações financeiras podem ser geralmente obtidas da entidade que está sendo auditada.

A80. A mensuração e a revisão do desempenho econômico não é ao mesmo que a do monitoramento do sistema de controles internos (discutido como componente do sistema de controles internos nos itens de A114 a A122), embora seus propósitos possam se sobrepor:

• a mensuração e a revisão do desempenho são dirigidas a se o desempenho do negócio atende aos objetivos estabelecidos pela administração (ou terceiros);

• por outro lado, o monitoramento do sistema de controles internos se preocupa com o monitoramento da efetividade dos controles, incluindo aqueles relacionados com a mensuração e a revisão do desempenho financeiro pela administração.

Em alguns casos, entretanto, os indicadores de desempenho também fornecem informações que permitem que a administração identifique deficiências nos controles.

Considerações específicas para entidades do setor público

A81. Além de considerar as medidas relevantes usadas por entidade do setor público para avaliar o desempenho financeiro da entidade, os auditores das entidades do setor público também podem considerar informações não financeiras, como o alcance de resultados de benefícios públicos (por exemplo, número de pessoas assistidas por programa específico).

Estrutura de relatório financeiro aplicável (ver item 19(b))

Entendimento da estrutura de relatório financeiro aplicável e das políticas contábeis da entidade

A82. Assuntos que o auditor pode considerar ao obter entendimento da estrutura de relatório financeiro aplicável da entidade e de como ela se aplica no contexto da natureza e das circunstâncias da entidade e de seu ambiente incluem:

• as práticas de relatório financeiro da entidade em termos da estrutura de relatório financeiro aplicável, tais como:

• princípios contábeis e práticas específicas do setor de atividade, inclusive para classes de transações, saldos contábeis e divulgações relacionadas específicas do setor de atividade nas demonstrações contábeis (por exemplo, no caso de bancos,empréstimos e investimentos e, no caso da indústria farmacêutica, pesquisa e desenvolvimento);

• reconhecimento de receita;

• contabilização de instrumentos financeiros, incluindo perdas de crédito relacionadas;

• ativos, passivos e transações em moeda estrangeira;

• contabilização de transações não usuais ou complexas, inclusive aquelas em áreas controversas ou emergentes (por exemplo, contabilização para criptomoedas);

• entendimento da seleção e da aplicação de políticas contábeis pela entidade, incluindo quaisquer mudanças nas mesmas e as razões das mudanças, pode abranger assuntos como:

• os métodos que a entidade usa para reconhecer, mensurar, apresentar e divulgar transações significativas e não usuais;

• o efeito de políticas contábeis significativas em áreas controversas ou emergentes para as quais não há orientação abalizada ou consenso;

• mudanças no ambiente, tais como mudanças na estrutura de relatório financeiro aplicável ou reformas tributárias que podem necessitar de mudança nas políticas contábeis da entidade;

• normas de relatório financeiro e leis e regulamentos que são novos para a entidade e quando e como a entidade deve adotar ou cumprir esses requisitos.

A83. A obtenção de entendimento da entidade e do seu ambiente pode auxiliar o auditor a considerar quando mudanças nos relatórios financeiros da entidade (por exemplo, em relação a períodos anteriores) podem ser esperadas.

Exemplo:

Se a entidade teve uma combinação de negócios significativa no período, o auditor provavelmente esperaria mudanças nas classes de transações, saldos contábeis e divulgações associadas com essa combinação de negócios. Alternativamente, se não houve mudanças significativas na estrutura de relatório financeiro durante o período, o entendimento do auditor pode ajudar a confirmar que o entendimento obtido no período anterior ainda é aplicável.

Considerações específicas para entidades do setor público

A84. A estrutura de relatório financeiro aplicável em entidade do setor público é determinada pelas estruturas legislativas e regulatórias relevantes para cada jurisdição ou área geográfica. Assuntos que podem ser considerados na aplicação pela entidade dos requisitos de relatório financeiro aplicáveis e no modo como se aplicam no contexto da natureza e das circunstâncias da entidade e do seu ambiente incluem se a entidade aplica o regime de competência ou regime de caixa de acordo com as Normas Internacionais de Contabilidade do Setor Público, ou regime misto.

Como os fatores de risco afetam a suscetibilidade da afirmação à distorção (ver item 19(c))

O Apêndice 2 fornece exemplos de eventos e condições que podem gerar riscos de distorção relevante, categorizados por fator de risco inerente.

Por que o auditor entende os fatores de risco inerentes ao entender a entidade e seu ambiente e a estrutura de relatório financeiro aplicável

A85. O entendimento da entidade e do seu ambiente e da estrutura de relatório financeiro aplicável auxilia o auditor a identificar eventos ou condições cujas características podem afetar a suscetibilidade de afirmações sobre classes de transações, saldos contábeis ou divulgações à distorção. Essas características são fatores de risco inerentes. Os fatores de risco inerentes podem afetar a suscetibilidade de afirmações à distorção influenciando a probabilidade de ocorrência de distorção ou a magnitude da distorção caso ocorra. O entendimento de como os fatores de risco inerentes afetam a suscetibilidade de afirmações à distorção pode auxiliar o auditor no entendimento preliminar da probabilidade ou magnitude de distorções, o que o auxilia a identificar os riscos de distorção relevante no nível da afirmação, de acordo com o item 28(b). O entendimento do grau em que os fatores de risco inerentes afetam a suscetibilidade de afirmações à distorção também auxilia o auditor na avaliação da probabilidade e da magnitude de possíveis distorções ao avaliar o risco inerente, de acordo com o item 31(a). Consequentemente, o entendimento dos fatores de risco inerentes também pode auxiliar o auditor no planejamento e na realização de procedimentos adicionais de auditoria de acordo com a NBC TA 330.

A86. A identificação pelo auditor dos riscos de distorção relevante no nível da afirmação e a avaliação do risco inerente também podem ser influenciadas pela evidência de auditoria obtida por ele na realização de outros procedimentos de avaliação de risco, de procedimentos adicionais de auditoria ou no cumprimento de outros requisitos das normas de auditoria (ver itens A95, A103, A111, A121, A124 e A151).

Efeito dos fatores de risco inerentes sobre uma classe de transações, saldo contábil ou divulgação

A87. A extensão da suscetibilidade de uma classe de transações, saldo contábil ou divulgação à distorção decorrente de complexidade ou subjetividade está muitas vezes estreitamente relacionada com a extensão em que ela está sujeita à mudança ou à incerteza.

Exemplo:

Se a entidade tem uma estimativa contábil baseada em premissas, cuja seleção está sujeita a julgamento significativo, é provável que a mensuração da estimativa contábil seja afetada tanto pela subjetividade quanto pela incerteza.

A88. Quanto maior a extensão em que uma classe de transações, saldo contábil ou divulgação é suscetível à distorção devido a complexidade ou subjetividade, maior a necessidade do auditor de aplicar ceticismo profissional. Além disso, quando uma classe de transações, saldo contábil ou divulgação é suscetível à distorção devido à complexidade, subjetividade, mudança ou incerteza, esses fatores de risco inerentes podem criar a oportunidade para o viés da administração, seja não intencional ou intencional, e afetar a suscetibilidade à distorção devido ao viés da administração. A identificação de riscos de distorção relevante pelo auditor, e a avaliação do risco inerente no nível da afirmação, também são afetadas pelas interrelações entre os fatores de risco inerentes.

A89. As condições e os eventos que podem afetar a suscetibilidade à distorção devido ao viés da administração podem afetar também a suscetibilidade à distorção decorrente de outros fatores de risco de fraude.

Consequentemente, essas informações podem ser relevantes para utilização, de acordo com o item 25 da NBC TA 240, que requer que o auditor avalie se as informações obtidas de outros procedimentos de avaliação de risco e atividades relacionadas indicam a presença de um ou mais fatores de risco de fraude.

Obtenção de entendimento do sistema de controles internos da entidade (ver itens de 21 a 27)

O Apêndice 3 descreve mais detalhadamente a natureza do sistema de controles internos da entidade e as limitações inerentes dos controles internos, respectivamente. O Apêndice 3 fornece, também, explicações adicionais sobre os componentes do sistema de controles internos para fins das normas de auditoria.

A90. O entendimento do sistema de controles internos da entidade pelo auditor é obtido por meio de procedimentos de avaliação de risco realizados para entender e avaliar cada um dos componentes do sistema de controles internos, conforme definidos nos itens de 21 a 27.

A91. Os componentes do sistema de controles internos da entidade para fins desta Norma podem não refletir, necessariamente, o modo como a entidade planeja, implementa e mantém seu sistema de controles internos ou como ela pode classificar um componente específico. As entidades podem usar diferentes terminologias ou estruturas para descrever os diversos aspectos do sistema de controles internos. Para fins de uma auditoria, os auditores também podem usar diferentes terminologias ou estruturas desde que todos os componentes descritos nesta Norma sejam abordados.

Escalabilidade

A92. O modo como o sistema de controles internos da entidade é planejado, implementado e mantido varia com o porte e a complexidade da entidade. Por exemplo, entidades menos complexas podem usar controles menos estruturados ou mais simples (isto é, políticas e procedimentos) para alcançarem seus objetivos.

Considerações específicas para entidades do setor público

A93. Auditores do setor público muitas vezes têm responsabilidades adicionais no que se refere ao controle interno, por exemplo, emitir relatório sobre o cumprimento de código de prática estabelecido ou sobre gastos versus orçamento. Auditores do setor público também podem ter responsabilidade de emitir relatório sobre conformidade com leis, regulamentos ou outras normas. Como resultado, suas considerações sobre o sistema de controles internos podem ser mais abrangentes e detalhadas.

Tecnologia da informação nos componentes do sistema de controles internos da entidade

O Apêndice 5 fornece mais orientações sobre a compreensão do uso de TI pela entidade nos componentes do sistema de controle interno

A94. O objetivo geral e o alcance da auditoria não diferem se a entidade opera em um ambiente principalmente manual, completamente automatizado ou que envolve a combinação de elementos manuais e automatizados (isto é, controles manuais e automatizados e outros recursos usados no sistema de controles internos da entidade).

Entendimento da natureza dos componentes do sistema de controles internos da entidade

A95. Ao avaliar a efetividade do projeto dos controles e se eles foram implementados (ver itens de A175 a A181), o entendimento do auditor de cada um dos componentes do sistema de controles internos da entidade fornece entendimento preliminar sobre o modo como a entidade identifica os riscos do negócio e como responde aos mesmos. Esse entendimento também pode influenciar a identificação e a avaliação pelo auditor dos riscos de distorção relevante de diferentes maneiras (ver item A86). Isso auxilia o auditor no planejamento e na realização de procedimentos adicionais de auditoria, incluindo planos para testar a efetividade operacional dos controles. Por exemplo:

• é mais provável que o entendimento do ambiente de controle da entidade pelo auditor, o processo de avaliação de riscos da entidade e o processo de monitoramento dos componentes de controle afetem a identificação e a avaliação dos riscos de distorção relevante no nível das demonstrações contábeis;

• é mais provável que o entendimento do sistema de informações e da comunicação da entidade pelo auditor, e o componente de atividades de controle da entidade afetem a identificação e a avaliação dos riscos de distorção relevante no nível da afirmação.

Ambiente de controle, processo de avaliação de riscos da entidade e processo de monitoramento do sistema de controles internos pela entidade (ver itens de 21 a 24)

A96. Os controles no ambiente de controle, no processo de avaliação de riscos da entidade e no processo de monitoramento do sistema de controles internos pela entidade são basicamente controles indiretos (isto é, controles que não são suficientemente precisos para evitar, detectar ou corrigir distorções no nível da afirmação, mas que suportam outros controles e podem, portanto, ter efeito indireto sobre a probabilidade de distorção ser detectada ou evitada tempestivamente). Entretanto, alguns controles nesses componentes também podem ser controles diretos.

Por que o auditor deve entender o ambiente de controle, o processo de avaliação de riscos da entidade e o processo de monitoramento do sistema de controles internos da entidade

A97. O ambiente de controle fornece o fundamento geral para a operação dos outros componentes do sistema de controles internos. O ambiente de controle não evita, detecta ou corrige diretamente as distorções. Ele pode, contudo, influenciar a efetividade dos controles nos outros componentes do sistema de controles internos. Da mesma forma, o processo de avaliação de riscos da entidade e seu processo de monitoramento do sistema de controles internos são planejados para operarem de maneira a também suportarem todo o sistema de controles internos.

A98. Pelo fato de esses componentes serem fundamentais para o sistema de controles internos da entidade, qualquer deficiência na sua operação pode ter efeitos generalizados sobre a elaboração das demonstrações contábeis. Portanto, o entendimento e as avaliações desses componentes pelo auditor afetam a sua identificação e avaliação dos riscos de distorção relevante no nível das demonstrações contábeis e podem afetar, também, a identificação e avaliação de risco de distorção relevante no nível da afirmação. Riscos de distorção relevante no nível das demonstrações contábeis afetam o planejamento de respostas gerais pelo auditor, incluindo, conforme explicado na NBC TA 330, itens de A1 a A3, a uma influência na natureza, época e extensão dos seus procedimentos adicionais.

Obtenção de entendimento do ambiente de controle (ver item 21)

Escalabilidade

A99. A natureza do ambiente de controle em entidade menos complexa tende a ser diferente do ambiente de controle em entidade mais complexa. Por exemplo, os responsáveis pela governança em entidades menos complexas podem não incluir membro independente ou externo, e a função de governança pode ser desempenhada diretamente pelo sócio-diretor onde não há outros proprietários. Consequentemente, algumas considerações sobre o ambiente de controle da entidade podem ser menos relevantes ou não ser aplicáveis.

A100. Adicionalmente, a evidência de auditoria para elementos do ambiente de controle em entidades menos complexas pode não estar disponível em forma documental, em particular quando a comunicação entre a administração e outros profissionais é informal, mas a evidência ainda pode ser adequadamente relevante e confiável nas circunstâncias.

Exemplos:

• A estrutura organizacional em entidade menos complexa tende a ser mais simples e pode incluir pequeno número de empregados envolvidos em funções relacionadas com relatórios financeiros.

• Se a função de governança é desempenhada diretamente pelo gerente-proprietário, o auditor pode determinar que a independência dos responsáveis pela governança não é relevante.

• Entidades menos complexas podem não ter código de conduta por escrito, mas, em vez disso, desenvolver uma cultura que enfatize a importância da integridade e comportamento ético por meio de comunicações verbais e exemplo da administração.

Consequentemente, as atitudes, conscientização e ações da administração ou do gerente-proprietário são de especial importância para o entendimento do auditor sobre o ambiente de controle de entidade menos complexa.

Entendimento do ambiente de controle (ver item 21(a))

A101. A evidência de auditoria para o entendimento do ambiente de controle pelo auditor pode ser obtida por meio da combinação de indagações e outros procedimentos de avaliação de risco (isto é, corroborando as indagações por meio de observação ou inspeção de documentos).

A102. Ao considerar a extensão em que a administração demonstra compromisso com integridade e valores éticos, o auditor pode obter entendimento por meio de indagações à administração e aos empregados e considerando informações de fontes externas sobre:

• como a administração comunica aos empregados suas visões sobre práticas de negócios e comportamento ético; e

• inspeção do código de conduta por escrito da administração e observação se a administração atua de maneira a suportar esse código.

Avaliação do ambiente de controle (ver item 21(b))

Por que o auditor avalia o ambiente de controle

A103. A avaliação do auditor de como a entidade demonstra comportamento consistente com o compromisso da entidade com integridade e valores éticos, se o ambiente de controle fornece fundamento apropriado para os outros componentes do sistema de controles internos da entidade, e se quaisquer deficiências de controle identificadas prejudicam os outros componentes do sistema de controles internos, auxilia o auditor a identificar potenciais problemas nos outros componentes do sistema de controles internos. Isso porque o ambiente de controle é fundamental para os outros componentes do sistema de controles internos da entidade. Essa avaliação também pode auxiliar o auditor a entender os riscos a que a entidade está exposta e, portanto, a identificar e avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).

Avaliação do ambiente de controle pelo auditor

A104. A avaliação do ambiente de controle pelo auditor é baseada no entendimento obtido, de acordo com o item 21(a).

A105. Algumas entidades podem ser dirigidas por uma única pessoa que pode exercer diversas decisões a seu critério. As ações e atitudes desse indivíduo podem ter efeito generalizado na cultura da entidade que, por sua vez, pode ter efeito generalizado no ambiente de controle. Esse efeito pode ser positivo ou negativo.

Exemplo:

O envolvimento direto de um único indivíduo pode ser a chave para possibilitar a entidade a cumprir seu objetivo de crescimento e outros objetivos, e pode também contribuir significativamente para um sistema de controles internos efetivo. Por outro lado, essa concentração de conhecimento e autoridade também pode levar a uma maior suscetibilidade à distorção decorrente de transgressão de controles pela administração.

A106. O auditor pode considerar como diferentes elementos do ambiente de controle podem ser influenciados pela filosofia e estilo operacional da alta administração levando em consideração o envolvimento de membros independentes dos responsáveis pela governança.

A107. Embora o ambiente de controle possa fornecer fundamento apropriado para o sistema de controles internos e possa ajudar a reduzir o risco de fraude, ambiente de controle adequado não é necessariamente um inibidor de fraude eficaz.

Exemplo:

Políticas e procedimentos de recursos humanos direcionados à contratação de profissionais competentes das áreas financeira, contábil e de TI podem mitigar o risco de erros no processamento e no registro de informações financeiras. Entretanto, essas políticas e procedimentos podem não mitigar a transgressão de controles pela alta- administração (por exemplo, superavaliação de receitas).

A108. A avaliação do ambiente de controle pelo auditor, no que esteja relacionada com o uso de TI pela entidade, pode incluir assuntos como:

• se a governança sobre TI é compatível com a natureza e a complexidade da entidade e suas operações de negócio habilitadas por TI, incluindo a complexidade ou maturidade da plataforma ou arquitetura tecnológica da entidade e a extensão em que a entidade confia em aplicativos de TI para suportar seus relatórios financeiros;

• a estrutura organizacional de gestão em relação a TI e os recursos alocados (por exemplo, se a entidade investiu em ambiente de TI apropriado e em aprimoramentos necessários, ou se foi contratada uma quantidade suficiente de indivíduos adequadamente qualificados, inclusive quando a entidade usa software comercial (com ou sem modificações limitadas)).

Obtenção de entendimento do processo de avaliação de riscos da entidade (ver itens 22 e 23)

Entendimento do processo de avaliação de riscos da entidade (ver item 22(a))

A109. Conforme explicado no item A62, nem todos os riscos de negócio geram riscos de distorção relevante. Ao entender como a administração e os responsáveis pela governança identificaram os riscos do negócio relevantes para a elaboração das demonstrações contábeis e como decidiram sobre as ações para tratar esses riscos, os assuntos que o auditor pode considerar incluem como a administração ou, conforme apropriado, os responsáveis pela governança:

• especificaram os objetivos da entidade com precisão e clareza suficientes para possibilitar a identificação e avaliação dos riscos relacionados aos objetivos;

• identificaram os riscos para cumprir os objetivos da entidade e analisaram os riscos como base para determinar como eles devem ser tratados; e

• consideraram o potencial para fraude ao considerar os riscos para atingir os objetivos da entidade (NBC TA 240, item 18).

A110. O auditor pode considerar as implicações desses riscos do negócio para a elaboração das demonstrações contábeis da entidade e outros aspectos do sistema de controles internos.

Avaliação do processo de avaliação de riscos da entidade (ver item 22(b))

Por que o auditor avalia se o processo de avaliação de riscos da entidade é apropriado

A111. A análise do processo de avaliação de riscos da entidade pelo auditor pode auxiliá-lo a entender onde a entidade identificou riscos que podem ocorrer, e como a entidade respondeu a esses riscos. A avaliação do auditor sobre como a entidade identifica os riscos de seu negócio e como ela avalia e trata esses riscos auxilia o auditor a entender se os riscos a que a entidade está exposta foram identificados, avaliados e tratados, conforme apropriado, de acordo com a natureza e a complexidade da entidade. Essa avaliação também pode auxiliar o auditor a identificar e a avaliar os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).

Avaliação sobre a adequação do processo de avaliação de riscos da entidade (ver item 22(b))

A112. A avaliação do auditor sobre a adequação do processo de avaliação de riscos da entidade é baseada no entendimento obtido, de acordo com o item 22(a).

Escalabilidade

A113. Se o processo de avaliação de riscos da entidade é adequado às circunstâncias da entidade, considerando a natureza e complexidade da entidade, é uma questão de julgamento profissional do auditor.

Exemplo:

Em algumas entidades menos complexas e, particularmente, em entidades administradas pelo proprietário, pode ser feita uma avaliação de riscos apropriada por meio do envolvimento direto da administração ou do gerente-proprietário (por exemplo, o gerente ou gerente-proprietário pode dedicar tempo de forma rotineira para monitorar as atividades dos concorrentes e outros desdobramentos no mercado para identificar os riscos emergentes do negócio). A evidência dessa avaliação de risco nesses tipos de entidades muitas vezes não é documentada formalmente, mas pode ficar evidente nas discussões que o auditor tem com a administração que ela realmente realiza procedimentos de avaliação de risco.

Obtenção de entendimento do processo da entidade de monitoramento do sistema de controles internos da entidade (ver item 24)

Escalabilidade

A114. Em entidades menos complexas, e particularmente em entidades administradas pelo sócio-diretor, o entendimento pelo auditor do processo de monitoramento da entidade para monitorar o sistema de controles internos é muitas vezes focado em como a administração ou o sócio-diretor está diretamente envolvido nas operações, uma vez que pode não haver outras atividades de monitoramento.

Exemplo:

A administração pode receber reclamações de clientes sobre imprecisões em suas faturas mensais que alertam o gerente-proprietário para questões relacionadas com a época em que os pagamentos pelos clientes são reconhecidos nos registros contábeis.

A115. Para entidades em que não há processo formal de monitoramento do sistema de controles internos, o entendimento do processo de monitoramento do sistema de controles internos pode incluir entender revisões periódicas das informações contábeis da administração que são desenhadas para contribuir em como a entidade previne ou detecta distorções.

Entendimento do processo da entidade de monitoramento do sistema de controles internos (ver item 24(a))

A116. Assuntos que podem ser relevantes para o auditor considerar no entendimento de como a entidade monitora seu sistema de controles internos incluem:

• o desenho das atividades de monitoramento, por exemplo, se o monitoramento é periódico ou contínuo;

• a realização e a frequência das atividades de monitoramento;

• a avaliação tempestiva dos resultados das atividades de monitoramento para determinar se os controles foram efetivos; e

• como deficiências identificadas foram tratadas por meio de ações corretivas apropriadas, incluindo a comunicação tempestiva dessas deficiências aos responsáveis por tomar as ações corretivas.

A117. O auditor também pode considerar como o processo da entidade de monitoramento do sistema de controles internos endereça o monitoramento dos controles de processamento de informações que envolvem o uso de TI, que podem incluir, por exemplo:

• controles para monitorar ambientes de TI complexos que:

• avaliam a efetividade contínua do desenho dos controles de processamento de dados e os modificam, conforme apropriado, no caso de mudanças nas condições; ou

• avaliam a efetividade operacional dos controles de processamento de informações;

• controles que monitoram as permissões aplicadas em controles de processamento de informações que reforcem a segregação de funções;

• controles que monitoram como erros ou deficiências de controle relacionados com a automação da apresentação de relatórios financeiros são identificados e tratados.

Entendimento da função de auditoria interna da entidade (ver item 24(a)(ii))

O Apêndice 4 descreve considerações adicionais para o entendimento da função de auditoria interna da entidade

A118. As indagações do auditor junto aos indivíduos apropriados da função de auditoria interna o auxiliam a obter entendimento da natureza das responsabilidades da função de auditoria interna. Se o auditor determinar que tais responsabilidades da função de auditoria interna estão relacionadas com a elaboração do relatório financeiro da entidade, ele pode obter entendimento adicional das atividades realizadas, ou a serem realizadas, pela função de auditoria interna por meio da revisão do plano de auditoria interna para o período, se houver, e discutir esse plano com os indivíduos apropriados da auditoria interna. Esse entendimento, juntamente com as informações obtidas pelas indagações do auditor, pode também fornecer informações diretamente relevantes para a sua identificação e avaliação dos riscos de distorção relevante. Se, com base no entendimento preliminar do auditor independente sobre a função de auditoria interna, ele espera utilizar o trabalho da auditoria interna para modificar a natureza ou a época, ou reduzir a extensão dos procedimentos de auditoria a serem realizados, a NBC TA 610 – Utilização do Trabalho de Auditoria Interna é aplicável.

Outras fontes de informação usadas no processo da entidade para monitorar o sistema de controles internos

Entendimento das fontes de informação (ver item 24(b))

A119. As atividades de monitoramento da administração podem usar informações de comunicações de partes externas, tais como reclamações de clientes ou comentários de reguladores que podem indicar problemas ou destacar áreas que necessitam de melhorias.

Por que o auditor deve entender as fontes de informação usadas para o monitoramento do sistema de controles internos pela entidade

A120. O entendimento pelo auditor das fontes de informação usadas pela entidade para o monitoramento do seu sistema de controles internos, incluindo se as informações usadas são relevantes e confiáveis, o auxilia a avaliar se o processo da entidade para monitorar o sistema de controles internos é apropriado. Se a administração assumir que as informações usadas para o monitoramento são relevantes e confiáveis sem ter uma base para essa premissa, erros que podem existir nas informações podem potencialmente levar a administração a tirar conclusões incorretas com base em suas atividades de monitoramento.

Avaliação do processo da entidade para monitoramento do sistema de controles internos (ver item 24(c))

Por que o auditor avalia se o processo de monitoramento da entidade para monitorar o sistema de controles internos é apropriado

A121. A avaliação do auditor sobre como a entidade realiza avaliações contínuas e separadas para monitorar a efetividade dos controles o auxilia a entender se os outros componentes do sistema de controles internos da entidade estão presentes e em funcionamento e, portanto, auxilia no entendimento dos outros componentes do sistema de controles internos da entidade. Essa avaliação também pode auxiliar o auditor a identificar e avaliar
os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação (ver item A86).

Avaliação se o processo de monitoramento da entidade para monitorar o sistema de controles é apropriado (ver item 24(c))

A122. A avaliação pelo auditor da adequação do processo de a entidade para monitorarde do sistema de controles internos é baseada no entendimento desse do auditor sobre o desse processo da entidade para monitorar o sistema de controles internos.

Sistema de informações e comunicação, e atividades de controle (ver itens 25 e 26)

A123. Os controles nos componentes sistema de informações e comunicação, e atividades de controle são primariamente controles diretos (isto é, controles que são suficientemente precisos para evitar, detectar ou corrigir distorções no nível da afirmação).

Por que o auditor deve entender o sistema de informações e comunicação, e controles no componente de atividades de controle

A124. O auditor deve entender o sistema de informações e comunicação da entidade porque o entendimento das políticas da entidade que definem os fluxos de transações e outros aspectos das atividades de processamento de informações da entidade relevantes para a elaboração das demonstrações contábeis, e a avaliação de se o componente suporta adequadamente a elaboração das demonstrações contábeis da entidade, suportam a identificação e avaliação pelo auditor dos riscos de distorção relevante no nível da afirmação. Esse entendimento e essa avaliação também podem resultar na identificação dos riscos de distorção relevante no nível das demonstrações contábeis quando os resultados dos procedimentos do auditor são inconsistentes com as expectativas em relação ao sistema de controles internos da entidade que podem ter sido baseadas em informações obtidas no processo de aceitação ou continuação do trabalho (ver item A86).

A125. O auditor deve identificar controles específicos no componente de atividades de controle, e avaliar o desenho bem como determinar se os controles foram implementados, uma vez que isso auxilia o seu entendimento sobre a abordagem da administração para tratar certos riscos e, portanto, fornece uma base para o planejamento e a realização de procedimentos adicionais de auditoria em resposta a esses riscos, conforme requerido pela NBC TA 330. Quanto mais alto no spectrum de risco inerente um risco for avaliado, mais persuasiva deverá ser a evidência de auditoria. Mesmo quando o auditor não planeja testar a efetividade operacional dos controles identificados, o seu entendimento ainda pode afetar o planejamento da natureza, época e extensão de procedimentos de auditoria substantivos em resposta aos riscos de distorção relevante relacionados. Natureza iterativa do entendimento e da avaliação pelo auditor do sistema de informações e comunicação, e das atividades de controle.

A126. Conforme explicado no item A49, o entendimento pelo auditor da entidade e do seu ambiente, e da estrutura de relatório financeiro aplicável, pode auxiliá-lo a desenvolver expectativas iniciais em relação a classes de transações, saldos contábeis e divulgações que podem ser classes de transações, saldos contábeis e divulgações significativas. Ao obter entendimento do componente do sistema de informações e comunicação, de acordo com o item 25(a), o auditor pode usar essas expectativas iniciais para determinar a extensão do entendimento a ser obtido sobre as atividades de processamento de informações da entidade.

A127. O entendimento do sistema de informações pelo auditor inclui o entendimento das políticas que definem os fluxos de informações relacionadas com as classes de transações, saldos contábeis e divulgações significativas da entidade e outros aspectos relacionados com as atividades de processamento de informações da entidade. Essas informações e as informações obtidas da avaliação do sistema de informações pelo auditor podem confirmar ou influenciar ainda mais as suas expectativas em relação a classes de transações, saldos contábeis e divulgações significativas identificadas inicialmente (ver item A126).

A128. Ao obter entendimento de como informações relacionadas com classes de transações, saldos contábeis e divulgações significativas fluem (incluindo entrada e saída) pelo sistema de informações da entidade, o auditor também pode identificar controles no componente de atividades de controle que devem ser identificados, de acordo com o item 26(a). A identificação e a avaliação pelo auditor dos controles no componente de atividades de controle podem primeiramente focar em controles dos lançamentos contábeis e controles que o auditor planeja testar a efetividade operacional para planejar a natureza, a época e a extensão dos procedimentos substantivos.

A129. A avaliação dos riscos inerentes pelo auditor também pode influenciar a identificação de controles no componente de atividades de controle. Por exemplo, a identificação pelo auditor de controles relacionados com riscos significativos pode ser identificável apenas quando ele avaliou os riscos inerentes no nível da afirmação, de acordo com o item 31. Além disso, os controles que tratam riscos para os quais o auditor determinou que apenas procedimentos substantivos não fornecem evidência de auditoria apropriada e suficiente, de acordo com o item 33, também podem ser identificáveis somente quando as suas avaliações de riscos inerentes tiverem sido realizadas.

A130. A identificação e a avaliação dos riscos de distorção relevante pelo auditor no nível da afirmação são influenciadas:

• pelo entendimento pelo auditor das políticas da entidade para atividades de processamento de informações no componente de sistema de informações e comunicação; e

• pela identificação e avaliação dos controles no componente de atividades de controle pelo auditor

Obtenção de entendimento do sistema de informações e comunicação (ver item 25)

O Apêndice 3, itens de 15 a 19, fornece considerações adicionais relacionadas com o sistema de informações e comunicação.

Escalabilidade

A131. O sistema de informações e os processos de negócio relacionados, em entidades menos complexas, são provavelmente menos sofisticados do que em entidades maiores e tendem a envolver um ambiente de TI menos complexo. Entretanto, o papel do sistema de informações é igualmente importante. Entidades menos complexas com envolvimento direto da administração podem não precisar de extensas descrições de procedimentos contábeis, registros contábeis sofisticados ou políticas por escrito. O entendimento dos aspectos relevantes do sistema de informações da entidade pode, portanto, requerer menos esforço na auditoria de entidade menos complexa e pode envolver mais indagações do que observação ou inspeção de documentação. A necessidade de obter entendimento, contudo, continua importante para fornecer uma base para o planejamento de procedimentos de auditoria adicionais, de acordo com a NBC TA 330, e pode ainda auxiliar o auditor a identificar e avaliar os riscos de distorção relevante (ver item A86).

Obtenção de entendimento do sistema de informações (ver item 25(a))

A132. O sistema de controles internos da entidade inclui aspectos que estão relacionados com os objetivos de apresentação de relatórios da entidade, incluindo objetivos de apresentação de seus relatórios financeiros, mas pode incluir também aspectos relacionados com seus objetivos de operações e de conformidade, quando esses aspectos são relevantes para a apresentação de relatórios financeiros. O entendimento de como a entidade inicia transações e captura informações como parte do entendimento do auditor sobre o sistema de informações pode incluir informações sobre os sistemas da entidade (suas políticas), desenhados para tratar os objetivos de conformidade e de operações porque essas informações são relevantes para a elaboração das demonstrações contábeis. Além disso, algumas entidades podem ter sistemas de informações altamente integrados de modo que controles possam ser desenhados de maneira a atingir simultaneamente os objetivos de relatório financeiro, de conformidade, operacionais e a combinações dos mesmos.

A133. O entendimento do sistema de informações da entidade também inclui o entendimento dos recursos a serem usados nas atividades de processamento de informações da entidade.

As informações sobre os recursos humanos envolvidos que podem ser relevantes para o entendimento dos riscos à integridade do sistema de informações incluem:

• a competência dos indivíduos que realizam o trabalho;

• se há recursos adequados; e

• se há segregação de funções adequada.

A134. Assuntos que o auditor pode considerar ao obter entendimento das políticas que definem os fluxos de informações relacionadas com as significativas classes de transações, saldos contábeis e divulgações da entidade no componente de sistema de informações e comunicação incluem a natureza:

(a) dos dados ou das informações relacionadas com transações, outros eventos e condições a serem processadas;

(b) do processamento de informações para manter a integridade dos dados ou das informações; e

(c) dos processos de informações, do pessoal e de outros recursos usados no processo de processamento de informações.

A135. A obtenção de entendimento dos processos de negócio da entidade, que inclui como as transações são originadas, auxilia o auditor a obter entendimento do sistema de informações da entidade de modo apropriado às circunstâncias da entidade.

A136. O entendimento do sistema de informações pelo auditor pode ser obtido de várias maneiras e pode incluir:

• indagações ao pessoal relevante sobre os procedimentos utilizados para iniciar, registrar, processar e reportar transações ou sobre o processo de apresentação de relatórios financeiros da entidade;

• inspeção de políticas, manuais de processos ou outra documentação do sistema de informações da entidade;

• observação da realização de políticas ou procedimentos pelo pessoal da entidade; ou

• seleção de transações e seu rastreamento ao longo do processo aplicável no sistema de informações (isto é, a realização de um “passo a passo”).

Ferramentas e técnicas automatizadas

A137. O auditor também pode usar técnicas automatizadas para obter acesso direto ou baixar as bases de dados (download) do sistema de informações da entidade que armazenam registros contábeis de transações. Ao aplicar ferramentas ou técnicas automatizadas a essas informações, o auditor pode confirmar o entendimento obtido sobre como as transações fluem pelo sistema de informações, rastreando lançamentos no livro diário ou outros registros digitais relacionados com uma transação específica, ou a população inteira de transações, desde a iniciação nos registros contábeis até o registro no razão geral. A análise de conjuntos completos ou grandes transações também pode resultar na identificação de variações em relação aos procedimentos de processamento normais ou esperados para essas transações, que podem resultar na identificação de riscos de distorção relevante.

Informações obtidas fora do razão geral e dos razões auxiliares

A138. As demonstrações contábeis podem conter informações que são obtidas fora do razão geral e dos razões auxiliares. Exemplos dessas informações que o auditor pode considerar incluem:

• informações obtidas de contratos de arrendamento relevantes para as divulgações nas demonstrações contábeis;

• informações divulgadas nas demonstrações contábeis produzidas por sistema de gestão de riscos da entidade;

• informações sobre o valor justo produzidas por especialistas da administração e divulgadas nas demonstrações contábeis;

• informações divulgadas nas demonstrações contábeis que foram obtidas de modelos ou de outros cálculos usados para desenvolver estimativas contábeis, reconhecidas ou divulgadas nas demonstrações contábeis, incluindo informações relacionadas aos dados e premissas subjacentes usadas nesses modelos, tais como:

• premissas desenvolvidas internamente que podem afetar a vida útil de ativo; ou

• dados como taxas de juros que são afetados por fatores fora do controle da entidade;

• informações divulgadas nas demonstrações contábeis sobre análises de sensibilidade derivadas de modelos financeiros que demonstram que a administração considerou premissas alternativas;

• informações reconhecidas ou divulgadas nas demonstrações contábeis que foram obtidas de declarações de impostos e registros da entidade;

• informações divulgadas nas demonstrações contábeis obtidas de análises elaboradas para suportar a avaliação da administração sobre a capacidade da entidade de manter sua continuidade operacional, tais como divulgações, se houver, relacionadas com eventos ou condições identificados que podem levantar dúvida significativa quanto à capacidade da entidade de manter sua continuidade operacional (NBC TA 570, itens 19 e 20).

A139. Certos valores ou divulgações nas demonstrações contábeis da entidade (tais como divulgações sobre risco de crédito, risco de liquidez e risco de mercado) podem estar baseados em informações obtidas do sistema de gestão de riscos da entidade. Entretanto, o auditor não é requerido a entender todos os aspectos do sistema de gestão de riscos da entidade, e usa julgamento profissional para determinar o entendimento necessário.

Uso de tecnologia da informação no sistema de informações pela entidade

Por que o auditor entende o ambiente de TI relevante para o sistema de informações

A140. O entendimento do sistema de informações pelo auditor inclui o ambiente de TI relevante para os fluxos de transações e processamento de informações no sistema de informações da entidade porque o uso pela entidade de aplicativos de TI ou outros aspectos do ambiente de TI podem gerar riscos decorrentes do uso de TI.

A141. O entendimento do modelo de negócio da entidade e como ele integra o uso de TI também pode fornecer contexto útil para a natureza e a extensão de TI esperadas no sistema de informações.

Entendimento do uso de TI pela entidade

A142. O entendimento do ambiente de TI pelo auditor pode focar na identificação e no entendimento da natureza e do número de aplicativos de TI específicos e de outros aspectos do ambiente de TI relevantes para os fluxos de transações e processamento de informações no sistema de informações. Mudanças, no fluxo de transações ou em informações no sistema de informações, podem ser resultado de alterações em programas de aplicativos de TI ou alterações diretas de dados em bases de dados envolvidas em processamento ou armazenamento dessas transações ou informações.

A143. O auditor pode identificar os aplicativos de TI e a infraestrutura de suporte de TI ao mesmo tempo em que obtém entendimento como as informações relacionadas com significativas classes de transações, saldos contábeis e divulgações trafegam pelo sistema de informações da entidade.

Obtenção de entendimento da comunicação da entidade (ver item 25(b))

Escalabilidade

A144. Em entidades maiores e mais complexas, as informações que o auditor pode considerar para entender a comunicação da entidade podem ser obtidas de manuais de políticas e de relatórios financeiros.

A145. Em entidades menos complexas, a comunicação pode ser menos estruturada (por exemplo, manuais formais podem não ser usados) devido aos graus menores de responsabilidade e à maior visibilidade e disponibilidade da administração.

Independentemente do porte da entidade, canais de comunicação abertos facilitam que exceções sejam reportadas e tratadas.

Avaliação se os aspectos relevantes do sistema de informações suportam a elaboração das demonstrações contábeis da entidade (ver item 25(c))

A146. A avaliação do auditor de se o sistema de informações e a comunicação da entidade suportam adequadamente a elaboração das demonstrações contábeis é baseada no entendimento obtido no item 25(a) e (b).

Atividades de controle (ver item 26)

Controles no componente de atividades de controle

O Apêndice 3, itens 20 e 21, fornece considerações adicionais relacionadas com atividades de controle.

A147. O componente de atividades de controle inclui controles planejados para assegurar a devida aplicação de políticas (que também são controles) em todos os outros componentes do sistema de controles internos da entidade, e inclui controles diretos e indiretos.

Exemplo:

Os controles estabelecidos pela entidade para assegurar que seu pessoal faça a contagem e o registro anual do estoque físico de maneira adequada estão relacionados diretamente com os riscos de distorção relevante importantes para as afirmações de existência e integridade do saldo contábil do estoque.

A148. A identificação e avaliação pelo auditor dos controles no componente de atividades de controle são focadas em controles de processamento de informações, que são controles aplicados durante o processamento de informações no sistema de informações da entidade que tratam diretamente os riscos à integridade das informações (isto é, a integridade, precisão e validade das transações e outras informações). Entretanto, o auditor não é é requerido a identificar e avaliar todos os controles de processamento de informações relacionados com as políticas da entidade que definem os fluxos de transações e outros aspectos das atividades de processamento de informações da entidade para as significativas classes de transações, saldos contábeis e divulgações.

A149. Pode haver também controles diretos no ambiente de controle, no processo de avaliação de riscos da entidade ou no processo da entidade de monitoramento do sistema de controles internos, que podem ser identificados, de acordo com o item 26. Entretanto, quanto mais indireta for a relação entre os controles que suportam outros controles e o controle que está sendo considerado, menos efetivo pode ser esse controle na prevenção, ou detecção e correção, das distorções relacionadas.

Exemplo:

A revisão pelo gerente de vendas do resumo da atividade de vendas para lojas específicas por região normalmente é relacionada apenas indiretamente com os riscos de distorção relevante importantes para a afirmação de integridade para receita de vendas.

Consequentemente, ela pode ser menos efetiva para tratar esses riscos do que controles relacionados mais diretamente com eles, tais como confrontar documentos de embarque com faturas.

A150. O item 26 também requer que o auditor identifique e avalie os controles gerais de TI para aplicativos de TI e outros aspectos do ambiente de TI que ele tenha determinado como sujeitos a riscos decorrentes do uso de TI porque os controles gerais de TI permitem o funcionamento efetivo e contínuo dos controles de processamento de informações. Um único controle geral de TI não é suficiente para tratar risco de distorção relevante no nível da afirmação.

A151. Os controles que o auditor deve avaliar o planejamento e determinar se foram implementados, de acordo com o item 26, são os seguintes:

• controles para os quais o auditor planeja testar a efetividade operacional ao determinar a natureza, a época e a extensão dos procedimentos substantivos. A avaliação desses controles fornece a base para o planejamento do auditor testar procedimentos de controle, de acordo com a NBC TA 330. Esses controles também tratam os riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente;

• controles que incluem controles que tratam riscos significativos e controles dos lançamentos no livro diário. A identificação e avaliação pelo auditor desses controles também podem influenciar o seu entendimento dos riscos de distorção relevante, incluindo a identificação de riscos de distorção relevante adicionais (ver item A95). Esse entendimento também fornece base para o auditor planejar a natureza, época e extensão dos procedimentos de auditoria substantivos que respondam aos respectivos riscos avaliados de distorção relevante;

• outros controles que o auditor considera apropriados para que ele atinja os objetivos do item 13 com relação aos riscos no nível da afirmação, com base no julgamento profissional do auditor.

A152. Os controles no componente de atividades de controle devem ser identificados quando esses controles atenderem um ou mais critérios incluídos no item 26(a). Entretanto, quando múltiplos controles atingem o mesmo objetivo, não é necessário identificar cada um dos controles relacionados com esse objetivo.

Tipos de controle no componente de atividades de controle (ver item 26)

A153. Exemplos de controles no componente de atividades de controle incluem autorizações e aprovações, conciliações, verificações (tais como verificações de edição e validação ou cálculos automatizados), segregação de funções e controles físicos e lógicos, incluindo aqueles que tratam de salvaguarda de ativos.

A154. Os controles no componente de atividades de controle também podem incluir controles estabelecidos pela administração que tratam os riscos de distorção relevante para divulgações não elaboradas de acordo com a estrutura de relatório financeiro aplicável.

Esses controles podem estar relacionados com informações nas demonstrações contábeis que são obtidas do razão geral e dos razões auxiliares.

A155. Independentemente de os controles estarem no ambiente de TI ou em sistemas manuais, eles podem ter vários objetivos e podem ser aplicados em diversos níveis organizacionais e funcionais.

Escalabilidade (ver item 26)

A156. Os controles no componente de atividades de controle em entidades menos complexas são provavelmente semelhantes aos de entidades de grande porte, mas a formalidade com que eles operam pode variar. Além disso, em entidades menos complexas, mais controles podem ser aplicados diretamente pela administração.

Exemplo:

A autoridade exclusiva da administração de conceder crédito a clientes e aprovar aquisições significativas pode proporcionar fortes controles dos saldos contábeis e transações importantes.

A157. Pode ser menos praticável estabelecer segregação de funções em entidades menos complexas que possuem menos empregados. Entretanto, em entidade administrada pelo proprietário, o gerente-proprietário pode ser capaz de supervisionar de maneira mais eficaz por meio de envolvimento direto que em entidade de grande porte, o que pode compensar as oportunidades geralmente menores de segregar funções. Contudo, conforme também explicado na NBC TA 240, item 28, o controle da administração por um único indivíduo pode ser uma deficiência de controle potencial, já que há uma oportunidade para que a administração transgrida os controles.

Controles que tratam os riscos de distorção relevante no nível da afirmação (ver item 26(a))

Controles que tratam os riscos determinados como sendo riscos significativos (ver item 26(a)(i))

A158. Independentemente de se o auditor planeja testar a efetividade operacional de controles que endereçam riscos significativos, o entendimento obtido sobre a abordagem da administração para tratar esses riscos pode fornecer uma base para o planejamento e a realização de procedimentos substantivos em resposta a riscos significativos, conforme requerido pela NBC TA 330, item 21. Embora os riscos relacionados com questões significativas não rotineiras ou de julgamento muitas vezes tenham menos probabilidade de estar sujeitos a controles rotineiros, a administração pode ter outras respostas para tratar tais riscos. Consequentemente, o entendimento do auditor em determinar se a entidade planejou e implementou controles para riscos significativos decorrentes de questões não rotineiras ou de julgamento pode incluir determinar se e como a administração responde aos riscos. Essas respostas podem incluir:

• controles, como a revisão de premissas pela alta administração ou especialistas;

• processos documentados para estimativas contábeis;

• aprovação pelos responsáveis pela governança.

Exemplo:

Quando há eventos únicos, tais como notificação judicial, a consideração da resposta da entidade pode incluir assuntos como determinar se a notificação foi submetida a especialistas apropriados (tais como assessores jurídicos internos ou externos), se foi feita uma avaliação do efeito potencial e como se propõe que as circunstâncias sejam divulgadas nas demonstrações contábeis.

A159. A NBC TA 240, itens 28 e A33, requer que o auditor entenda os controles relacionados com os riscos avaliados de distorção relevante decorrentes de fraude (que são tratados como riscos significativos), e explica mais detalhadamente que é importante que o auditor obtenha entendimento dos controles que a administração planejou, implementou e manteve para prevenir e detectar fraude.

Controles dos lançamentos no livro diário (ver item 26(a)(ii))

A160. Os controles que tratam os riscos de distorção relevante no nível da afirmação que se espera identificar em todas as auditorias são os controles dos lançamentos no livro diário porque o modo como a entidade incorpora as informações do processamento de transações no razão geral geralmente envolve o uso de lançamentos no livro diário, sejam eles padrão ou fora do padrão, automatizados ou manuais. A extensão em que outros controles são identificados pode variar com base na natureza da entidade e na abordagem planejada pelo auditor em relação a procedimentos adicionais de auditoria.

Exemplo:

Na auditoria de entidade menos complexa, o sistema de informações da entidade pode não ser complexo e o auditor pode não planejar confiar na efetividade operacional dos controles. Além disso, o auditor pode não ter identificado nenhum risco significativo ou quaisquer outros riscos de distorção relevante em relação aos quais é necessário que ele avalie o planejamento dos controles e determine que eles tenham sido implementados. Em uma auditoria como essa, o auditor pode determinar que não existem controles identificados que não sejam os controles da entidade sobre lançamentos no livro diário.

Ferramentas e técnicas automatizadas

A161. Em sistemas manuais de razão geral, lançamentos no livro diário fora de padrão podem ser identificados por meio de inspeção de livros razão, livros diários e documentação de suporte. Quando são usados procedimentos automatizados para manter o razão geral e elaborar as demonstrações contábeis, esses lançamentos podem existir apenas em formato eletrônico e serem, portanto, mais facilmente identificados por meio de técnicas automatizadas.

Exemplo:

Na auditoria de entidade menos complexa, o auditor pode conseguir extrair uma listagem total de todos os lançamentos no livro diário em uma planilha simples. Pode então ser possível ao auditor separar os lançamentos aplicando vários filtros, tais como valor, nome do preparador ou revisor, lançamentos no livro diário incluídos apenas no balanço patrimonial e na demonstração do resultado, ou visualizar a listagem pela data do lançamento no razão geral, para auxiliá-lo a planejar respostas aos riscos identificados relacionados com lançamentos no livro diário.

Controles para os quais o auditor planeja testar a efetividade operacional (ver item 26(a)(iii))

A162. O auditor determina se existem riscos de distorção relevante no nível da afirmação para os quais não é possível obter evidência de auditoria apropriada e suficiente por meio de procedimentos substantivos isoladamente. O auditor deve, de acordo com a NBC TA 330, item 8(b), planejar e realizar testes de controles que tratam esses riscos de distorção relevante quando os procedimentos substantivos isoladamente não conseguem fornecer evidência de auditoria apropriada e suficiente no nível da afirmação. Como resultado, quando existem esses controles para tratar esses riscos, eles devem ser identificados e avaliados.

A163. Em outros casos, quando o auditor planeja levar em consideração a efetividade operacional dos controles para determinar a natureza, a época e a extensão dos procedimentos substantivos, de acordo com a NBC TA 330, esses controles também devem ser identificados porque a NBC TA 330, item 8(a), requer que o auditor planeje e realize testes desses controles.

Exemplos:

O auditor pode planejar testar a efetividade operacional dos controles:

• sobre classes de transações rotineiras porque esses testes podem ser mais efetivos ou eficientes para grandes volumes de transações homogêneas;

• sobre a integridade e precisão das informações produzidas pela entidade (por exemplo, controles da elaboração de relatórios gerados por sistema), para determinar a confiabilidade dessas informações quando o auditor pretende considerar a efetividade operacional desses controles ao planejar e realizar procedimentos adicionais de auditoria;

• relacionados com operações ou objetivos de conformidade, quando eles se referem a dados que o auditor avalia ou usa na aplicação de procedimentos de auditoria.

A164. Os planos do auditor de testar a efetividade operacional dos controles também podem ser influenciados pelos riscos identificados de distorção relevante a nível das demonstrações contábeis. Por exemplo, se forem identificadas deficiências relacionadas com o ambiente de controle, isso pode afetar as expectativas gerais do auditor sobre a efetividade operacional de controles diretos.

Outros controles que o auditor considera apropriados (ver item 26(a)(iv))

A165. Outros controles que o auditor pode considerar apropriado identificar, avaliar o planejamento e determinar a implementação podem incluir:

• controles que tratam riscos avaliados como altos no spectrum de risco inerente, mas que não foram determinados como sendo riscos significativos;

• controles relacionados com registros detalhados de conciliações com o razão geral; ou

• controles complementares da entidade usuária se estiver utilizando uma organização prestadora de serviços (NBC TA 402 – Considerações de Auditoria para a Entidade que Utiliza Organização Prestadora de Serviços).

Identificação de aplicativos de TI e outros aspectos do ambiente de TI, riscos decorrentes do uso de TI e controles gerais de TI (ver item 26(b) e (c))

O Apêndice 5 inclui exemplos de características de aplicativos de TI e outros aspectos do ambiente de TI, e orientações relacionadas com essas características, que podem ser relevantes na identificação de aplicativos de TI e de outros aspectos do ambiente de TI que estão sujeitos a riscos decorrentes do uso de TI.

Identificação de aplicativos de TI e outros aspectos do ambiente de TI (ver item 26(b))

Por que o auditor identifica riscos decorrentes do uso de TI e controles gerais de TI relacionados com aplicativos de TI e outros aspectos do ambiente de TI identificados

A166. O entendimento dos riscos decorrentes do uso de TI e controles gerais de TI implementados pela entidade para tratar esses riscos pode afetar:

• a decisão do auditor sobre testar a efetividade operacional dos controles para tratar os riscos de distorção relevante no nível da afirmação;

Exemplo:

Quando os controles gerais de TI não são planejados de maneira efetiva ou implementados adequadamente para tratar os riscos decorrentes do uso de TI (por exemplo, os controles não evitam ou não detectam adequadamente alterações não autorizadas de programas ou acesso não autorizado a aplicativos de TI), isso pode afetar a decisão do auditor de confiar nos controles automatizados nos aplicativos de TI afetados.

• a avaliação do auditor do risco de controle no nível da afirmação;

Exemplo:

A efetividade operacional contínua de um controle de processamento de informações pode depender de certos controles gerais de TI que evitam ou detectam alterações não autorizadas de programas no controle de processamento de informações de TI (isto é, controles de alteração de programa sobre o aplicativo de TI relacionado). Nessas circunstâncias, a efetividade operacional esperada (ou falta dela) do controle geral de TI pode afetar a avaliação pelo auditor do risco de controle (por exemplo, o risco de controle pode ser maior quando a expectativa é que esses controles gerais de TI não sejam efetivos ou se o auditor não planejar testar os controles gerais de TI).

• a estratégia do auditor para testar informações preparadas pela entidade que são produzidas pelos seus aplicativos de TI ou envolvem informações de tais aplicativos;

Exemplo:

Quando as informações produzidas pela entidade a serem usadas como evidência de auditoria são produzidas por aplicativos de TI, o auditor pode determinar testar os controles dos relatórios gerados por sistema, incluindo a identificação e o teste dos controles gerais de TI que tratam os riscos de alterações inadequadas ou não autorizadas de programas ou alterações de dados diretamente nos relatórios.

• a avaliação do auditor do risco de controle no nível da afirmação; ou

Exemplo:

Quando são feitas alterações significativas ou extensas de programação em aplicativo de TI para tratar requisitos de relatório financeiro novos ou revisados da estrutura de relatório financeiro aplicável, isso pode ser indicador da complexidade dos novos requisitos e de seu efeito sobre as demonstrações contábeis da entidade. Quando essas alterações extensas de programação ou de dados ocorrem, é provável que o aplicativo de TI também esteja sujeito a riscos decorrentes do uso de TI.

• o planejamento de procedimentos de auditoria adicionais.

Exemplo:

Se os controles de processamento de informações dependem de controles gerais de TI, o auditor pode determinar testar a efetividade operacional dos controles gerais de TI, e para isso é necessário planejar testes de controle para esses controles gerais de TI. Se, nas mesmas circunstâncias, o auditor determinar não testar a efetividade operacional dos controles gerais de TI, ou a expectativa é que esses controles gerais de TI não sejam efetivos, os riscos relacionados decorrentes do uso de TI podem precisar ser tratados por meio do planejamento de procedimentos substantivos. Entretanto, os riscos decorrentes do uso de TI podem não ser endereçados quando se referem a riscos para os quais procedimentos substantivos isoladamente não fornecem evidência de auditoria apropriada e suficiente. Nessas circunstâncias, o auditor pode precisar considerar as implicações para a opinião de auditoria.

Identificação de aplicativos de TI sujeitos a riscos decorrentes do uso de TI

A167. Para os aplicativos relevantes para o sistema de informações, o entendimento da natureza e complexidade dos processos de TI específicos e dos controles gerais de TI que a entidade possui pode auxiliar o auditor a determinar em quais aplicativos de TI a entidade confia para processar precisamente e manter a integridade das informações em seu sistema de informações. Esses aplicativos de TI podem estar sujeitos a riscos decorrentes do uso de TI.

A168. A identificação dos aplicativos de TI sujeitos a riscos decorrentes do uso de TI envolve considerar os controles identificados pelo auditor porque esses controles podem envolver o uso de TI ou confiar em TI. O auditor pode focar em se os aplicativos de TI incluem controles automatizados nos quais a administração confia e que auditor identificou, incluindo controles que tratam os riscos para os quais procedimentos substantivos isoladamente não fornecem evidência de auditoria suficiente e apropriada. O auditor também pode considerar como as informações são armazenadas e processadas no sistema de informações relacionado com significativas classes de transações, saldos contábeis e divulgações, e se a administração confia nos controles gerais de TI para manter a integridade dessas informações.

A169. Os controles identificados pelo auditor podem depender de relatórios gerados por sistema, caso em que os aplicativos de TI que produzem esses relatórios podem estar sujeitos a riscos decorrentes do uso de TI. Em outros casos, o auditor pode não planejar confiar em controles dos relatórios gerados por sistema e planejar testar diretamente as entradas e saídas desses relatórios, caso em que ele pode não identificar os aplicativos de TI relacionados como sendo sujeitos a riscos decorrentes de TI.

Escalabilidade

A170. A extensão em que o entendimento dos processos de TI pelo auditor, incluindo a extensão em que a entidade possui controles gerais de TI, varia dependendo da natureza e das circunstâncias da entidade e do seu ambiente de TI, bem como com base na natureza e extensão dos controles identificados por ele. O número de aplicativos de TI sujeitos a riscos decorrentes do uso de TI também varia com base nesses fatores.

Exemplos:

• É improvável que a entidade que usa software comercial e não tem acesso ao código fonte para fazer qualquer alteração nos programas tenha um processo para alterações de programa, mas ela pode ter um processo ou procedimentos para configurar o software (por exemplo, o plano de contas, parâmetros ou limites para relatórios financeiros). Além disso, a entidade pode ter um processo ou procedimentos para gerenciar o acesso ao aplicativo (por exemplo, um indivíduo designado com acesso administrativo ao software comercial). Nessas circunstâncias, não é provável que a entidade tenha ou necessite de controles gerais de TI formalizados.

• Por outro lado, uma entidade de grande porte pode depositar muita confiança na tecnologia da informação, o ambiente de TI pode envolver múltiplos aplicativos de TI e os processos de TI para gerenciar o ambiente de TI podem ser complexos (por exemplo, existe um departamento de TI dedicado que desenvolve e implementa alterações de programas e gerencia direitos de acesso), incluindo a implementação pela entidade de controles gerais de TI formalizados dos seus processos de TI.

• Quando a administração não confia em controles automatizados ou controles gerais de TI para processar transações ou manter os dados, e o auditor não identificou nenhum controle automatizado ou outros controles de processamento de informações (ou qualquer controle que dependa de controles gerais de TI), ele pode planejar testar diretamente qualquer informação produzida pela entidade envolvendo TI e pode não identificar nenhum aplicativo de TI que esteja sujeito a riscos decorrentes do uso de TI.

• Quando a administração confia em um aplicativo de TI para processar ou manter dados e o volume de dados é significativo, e a administração confia no aplicativo de TI para aplicar controles automatizados que o auditor também identificou, é provável que o aplicativo de TI esteja sujeito a riscos decorrentes do uso de TI.

A171. Quando a entidade tem ambiente de TI mais complexo, a identificação dos aplicativos de TI e de outros aspectos do ambiente de TI, a determinação dos riscos relacionados decorrentes do uso de TI e a identificação dos controles gerais de TI provavelmente requerem o envolvimento de membros da equipe com habilidades especializadas em TI.

Esse envolvimento é provavelmente essencial e pode precisar ser extenso para ambientes de TI complexos.

Identificação de outros aspectos do ambiente de TI sujeitos a riscos decorrentes do uso de TI

A172. Os outros aspectos do ambiente de TI que podem estar sujeitos a riscos decorrentes do uso de TI incluem a rede, o sistema operacional e as bases de dados e, em certas circunstâncias, as interfaces entre os aplicativos de TI. Outros aspectos do ambiente de TI geralmente não são identificados quando o auditor não identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI. Quando o auditor identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI, outros aspectos do ambiente de TI (por exemplo, base de dados, sistema operacional, rede) são provavelmente identificados porque esses aspectos suportam e interagem com os aplicativos de TI identificados.

Identificação de riscos decorrentes do uso de TI e controles gerais de TI (ver item 26(c))

O Apêndice 6 fornece considerações para o entendimento dos controles gerais de TI.

A173. Ao identificar os riscos decorrentes do uso de TI, o auditor pode considerar a natureza do aplicativo de TI identificado ou outros aspectos do ambiente de TI e as razões que o tornam sujeito a riscos decorrentes do uso de TI. Para alguns aplicativos de TI ou outros aspectos do ambiente de TI identificados, o auditor pode identificar riscos decorrentes do uso de TI aplicáveis que estão relacionados basicamente ao acesso não autorizado ou alterações de programa não autorizadas, ou que tratam riscos relacionados com alterações inadequadas de dados (por exemplo, o risco de alterações inadequadas de dados por meio de acesso direto à base de dados ou à capacidade de manipular diretamente as informações).

A174. A extensão e a natureza dos riscos decorrentes do uso de TI aplicáveis variam dependendo da natureza e das características dos aplicativos de TI identificados e outros aspectos do ambiente de TI. Os riscos de TI aplicáveis podem ocorrer quando a entidade usa prestadores de serviço externos ou internos para aspectos identificados do seu ambiente de TI (por exemplo, terceirização da hospedagem do seu ambiente de TI ou compartilhamento de centro de serviços para o gerenciamento central dos processos de TI em um grupo). Riscos decorrentes do uso de TI também podem ser identificados relacionados com segurança cibernética. É mais provável que haja mais riscos decorrentes do uso de TI quando o volume ou a complexidade dos controles de aplicativos automatizados for maior e a administração depositar mais confiança nesses controles para o efetivo processamento de transações ou a efetiva manutenção da integridade das informações subjacentes.

Avaliação do planejamento e determinação da implementação de controles identificados no componente de atividades de controle (ver item 26(d))

A175. A avaliação do planejamento de controle identificado envolve a consideração do auditor de se o controle, individualmente ou em combinação com outros controles, é capaz de efetivamente evitar, ou detectar e corrigir, as distorções relevantes (isto é, o objetivo do controle).

A176. O auditor determina a implementação de controle identificado estabelecendo que o controle existe e que é usado pela entidade. Há pouca utilidade em o auditor avaliar a implementação de controle que não foi planejado de maneira efetiva. Portanto, o auditor avalia primeiro o planejamento do controle. O controle planejado indevidamente pode representar uma deficiência de controle.

A177. Os procedimentos de avaliação de risco para obter evidência de auditoria sobre o planejamento e a implementação de controles identificados no componente de atividades de controle podem incluir:

• indagações junto ao pessoal da entidade;

• observação da aplicação de controles específicos;

• inspeção de documentos e relatórios.

Contudo, a indagação somente não é suficiente para esses fins.

A178. O auditor pode esperar, com base na experiência da auditoria anterior ou em procedimentos de avaliação de risco do período corrente, que a administração não tenha planejado ou implementado de maneira efetiva controles para tratar risco significativo. Nesses casos, os procedimentos realizados para tratar o requisito no item 26(d) podem envolver determinar se esses controles não foram planejados ou implementados de maneira efetiva. Se os resultados dos procedimentos indicam que os controles foram planejados ou implementados recentemente, o auditor deve realizar os procedimentos do item 26(b) a (d) para os controles planejados ou implementados recentemente.

A179. O auditor pode concluir que é apropriado testar um controle, que foi planejado e implementado de maneira efetiva, para considerar sua efetividade operacional ao planejar procedimentos substantivos. Entretanto, quando o controle não foi planejado ou implementado de maneira efetiva, não há nenhum benefício em testá-lo. Quando o auditor planeja testar o controle, as informações obtidas sobre a extensão em que o controle trata os riscos de distorção relevante são subsídios para a sua avaliação do risco de controle no nível da afirmação.

A180. A avaliação do planejamento e a determinação da implementação de controles identificados no componente de atividades de controle não são suficientes para testar sua efetividade operacional. Entretanto, para os controles automatizados, o auditor pode planejar testar sua efetividade operacional por meio da identificação e do teste dos controles gerais de TI que possibilitam a operação consistente do controle automatizado em vez de realizar testes da efetividade operacional diretamente nos controles automatizados. A obtenção de evidência de auditoria sobre a implementação de controle manual em determinado momento não fornece evidência de auditoria da efetividade operacional do controle em outros momentos durante o período sob auditoria. Os testes da efetividade operacional dos controles, incluindo testes de controles indiretos, estão descritos mais detalhadamente na NBC TA 330, itens de 8 a 11.

A181. Quando o auditor não planeja testar a efetividade operacional dos controles identificados, o seu entendimento ainda pode auxiliar no planejamento da natureza, época e extensão de procedimentos de auditoria substantivos que respondam aos riscos de distorção relevante relacionados.

Exemplo:

Os resultados desses procedimentos de avaliação de risco podem fornecer uma base para a consideração do auditor sobre possíveis desvios em uma população ao planejar amostras de auditoria.

Deficiências de controle no sistema de controles internos da entidade (ver item 27)

A182. Ao realizar as avaliações de cada um dos componentes do sistema de controles internos da entidade (ver itens 21(b), 22(b), 24(c), 25(c) e 26(d)), o auditor pode determinar que certas políticas da entidade em componente não são adequadas para a natureza e as circunstâncias da entidade. Essa determinação pode ser um indicador que auxilia o auditor a identificar deficiências de controle. Se o auditor identificou uma ou mais deficiências de controle, ele pode considerar o efeito dessas deficiências de controle no planejamento de procedimentos adicionais de auditoria, de acordo com a NBC TA 330.

A183. Se o auditor identificou uma ou mais deficiências de controle, a NBC TA 265 – Comunicação de Deficiências de Controle Interno, item 8, requer que o auditor determine se elas constituem, individualmente ou em combinação, deficiências significativas. O auditor usa julgamento profissional para determinar se uma deficiência representa deficiência significativa de controle (NBC TA 265, itens A6 e A7).

Exemplos:

As circunstâncias que podem indicar a existência de deficiência significativa de controle incluem assuntos tais como:

• a identificação de fraude de qualquer magnitude que envolve a alta administração;

• processos internos identificados que são inadequados com relação a relatórios e comunicações de deficiências observadas pela auditoria interna;

• deficiências comunicadas anteriormente que não foram corrigidas pela administração tempestivamente;

• falha da administração em responder a riscos significativos, por exemplo, deixando de implementar controles dos riscos significativos; e

• a reapresentação de demonstrações contábeis emitidas anteriormente.

Identificação e avaliação dos riscos de distorção relevante (ver itens de 28 a 37)

Por que o auditor identifica e avalia os riscos de distorção relevante

A184. Os riscos de distorção relevante são identificados e avaliados pelo auditor para determinar a natureza, a época e a extensão dos procedimentos adicionais de auditoria necessários para obter evidência de auditoria apropriada e suficiente. Essa evidência possibilita ao auditor expressar uma opinião sobre as demonstrações contábeis em nível aceitavelmente baixo de risco de auditoria.

A185. As informações coletadas por meio dos procedimentos de avaliação de risco realizados são usadas como evidência de auditoria para fornecer a base para a identificação e a avaliação dos riscos de distorção relevante. Por exemplo, a evidência de auditoria, obtida na avaliação do planejamento de controles identificados e na determinação de se esses controles foram implementados no componente de atividades de controle, é usada como evidência de auditoria para suportar a avaliação de risco. Essa evidência também fornece uma base para o auditor planejar respostas gerais para tratar os riscos avaliados de distorção relevante no nível das demonstrações contábeis, bem como planejar e realizar procedimentos adicionais de auditoria, cuja natureza, época e extensão respondam aos riscos avaliados de distorção relevante no nível da afirmação, de acordo com a NBC TA 330.

Identificação dos riscos de distorção relevante (ver item 28)

A186. A identificação dos riscos de distorção relevante é feita antes da consideração de quaisquer controles relacionados (isto é, risco inerente), e é baseada na consideração preliminar pelo auditor de distorções com possibilidade razoável de ocorrerem e, caso ocorram, de serem relevantes (NBC TA 200, item A16).

A187. A identificação dos riscos de distorção relevante também fornece a base para a determinação do auditor de afirmações relevantes, que auxiliam sua determinação das classes de transações, saldos contábeis e divulgações significativas.

Afirmações

Por que o auditor usa afirmações

A188. Ao identificar e avaliar os riscos de distorção relevante, o auditor usa afirmações para considerar os diferentes tipos de possíveis distorções que podem ocorrer. As afirmações para as quais o auditor identificou riscos de distorção relevante relacionados são afirmações relevantes.

Uso de afirmações

A189. Ao identificar e avaliar os riscos de distorção relevante, o auditor pode usar as categorias de afirmações, conforme descrito no item A190(a) e (b) ou expressá-las de forma diferente desde que todos os aspectos descritos abaixo tenham sido abrangidos. O auditor pode escolher combinar as afirmações sobre classes de transações, eventos e divulgações relacionadas, com afirmações sobre saldos contábeis e divulgações relacionadas.

A190. As afirmações usadas pelo auditor ao considerar os diferentes tipos de possíveis distorções que podem ocorrer podem se enquadrar nas seguintes categorias:

(a) afirmações sobre classes de transações, eventos e divulgações relacionadas, para o período sob auditoria:

(i) ocorrência – transações e eventos que foram registrados ou divulgados ocorreram e essas transações e eventos referem-se à entidade;

(ii) integridade – todas as transações e eventos que deviam ser registrados foram registrados e todas as divulgações relacionadas que deviam ser incluídas nas demonstrações contábeis foram incluídas;

(iii) precisão – valores e outros dados relacionados com transações e eventos registrados foram registrados adequadamente, e as divulgações relacionadas foram adequadamente mensuradas e registradas;

(iv) corte – as transações e os eventos foram registrados no período contábil correto;

(v) classificação – as transações e os eventos foram registrados nas contas adequadas;

(vi) apresentação – as transações e os eventos estão adequadamente combinados ou não combinados e claramente descritos, e as divulgações relacionadas são relevantes e compreensíveis no contexto dos requisitos da estrutura de relatório financeiro aplicável;

(b) afirmações sobre saldos contábeis, e divulgações relacionadas, no fim do período:

(i) existência – ativos, passivos e participações societárias existem;

(ii) direitos e obrigações – a entidade detém ou controla os direitos sobre ativos e os passivos são as obrigações da entidade;

(iii) integridade – todos os ativos, passivos e participações societárias que deviam ter sido registrados foram registrados, e todas as divulgações relacionadas que deviam ter sido incluídas nas demonstrações contábeis foram incluídas;

(iv) precisão, valorização e alocação – ativos, passivos e participações societárias estão incluídos nas demonstrações contábeis pelos valores apropriados e quaisquer ajustes resultantes de avaliação ou alocação foram adequadamente registrados, e as divulgações relacionadas foram adequadamente mensuradas e descritas;

(v) classificação - ativos, passivos e participações societárias foram registrados nas contas apropriadas;

(vi) apresentação – ativos, passivos e participações societárias estão adequadamente agregados ou desagregados e claramente descritos, e as divulgações relacionadas são relevantes e compreensíveis no contexto dos requisitos da estrutura de relatório financeiro aplicável.

A191. As afirmações descritas no item A190(a) e (b), adaptadas conforme adequado, também podem ser usadas pelo auditor ao considerar os diferentes tipos de distorções que podem ocorrer em divulgações não diretamente relacionadas com classes de transações, eventos ou saldos contábeis.

Exemplo:

Um exemplo dessa divulgação inclui onde a entidade deve descrever, de acordo com a estrutura de relatório financeiro aplicável, sua exposição a riscos decorrentes de instrumentos financeiros, incluindo o modo como os riscos surgem, objetivos, políticas e processos para gerenciar os riscos e os métodos usados para mensurar os riscos.

Considerações específicas para entidades do setor público

A192. Ao fazer afirmações sobre as demonstrações contábeis de entidades do setor público, além das afirmações expostas no item A190(a) e (b), a administração muitas vezes pode afirmar que as transações e os eventos foram realizados em conformidade com lei, regulamento ou outra autoridade. Tais afirmações podem estar dentro do alcance da auditoria de demonstrações contábeis.

Riscos de distorção relevante no nível das demonstrações contábeis (ver itens 28(a) e 30)

Por que o auditor identifica e avalia os riscos de distorção relevante no nível das demonstrações contábeis

A193. O auditor identifica os riscos de distorção relevante no nível das demonstrações contábeis para determinar se os riscos têm efeito generalizado sobre as demonstrações contábeis e se, portanto, precisariam de resposta geral, de acordo com a NBC TA 330, item 5.

A194. Além disso, os riscos de distorção relevante no nível das demonstrações contábeis também podem afetar as afirmações individuais, e a identificação desses riscos pode auxiliar o auditor a avaliar os riscos de distorção relevante no nível da afirmação e a planejar procedimentos adicionais de auditoria para tratar os riscos identificados.

Identificação e avaliação dos riscos de distorção relevante no nível das demonstrações contábeis

A195. Os riscos de distorção relevante no nível das demonstrações contábeis referem-se a riscos relacionados de maneira generalizada com as demonstrações contábeis como um todo e, potencialmente, afetam muitas afirmações. Os riscos dessa natureza não são necessariamente riscos identificáveis com afirmações específicas no nível de classes de transações, saldos contábeis ou divulgações (por exemplo, risco de que a administração transgrida os controles). Em vez disso, eles representam circunstâncias que podem aumentar de forma generalizada os riscos de distorção relevante no nível da afirmação. A avaliação do auditor de se os riscos identificados se relacionam de forma generalizada com as demonstrações contábeis suporta a sua avaliação dos riscos de distorção relevante no nível das demonstrações contábeis. Em outros casos, diversas afirmações podem ser identificadas como sendo suscetíveis ao risco e podem, portanto, afetar a identificação e avaliação pelo auditor dos riscos de distorção relevante no nível da afirmação.

Exemplo:

A entidade enfrenta perdas operacionais e problemas de liquidez e baseia-se na captação de recursos que ainda não está garantida. Nessas circunstâncias, o auditor pode determinar que a base de continuidade operacional gera risco de distorção relevante no nível das demonstrações contábeis. Nessa situação, a estrutura contábil pode precisar ser aplicada usando uma base de liquidação, que provavelmente afetaria todas as afirmações de forma generalizada.

A196. A identificação e a avaliação dos riscos de distorção relevante pelo auditor no nível das demonstrações contábeis são influenciadas pelo seu entendimento do sistema de controles internos da entidade, em particular o seu entendimento do ambiente de controle, do processo de avaliação de riscos da entidade e do processo da entidade de monitoramento do sistema de controles internos, e:

• o resultado das avaliações relacionadas requeridas pelos itens 21(b), 22(b), 24(c) e 25(c); e

• quaisquer deficiências de controle identificadas de acordo com o item 27.

Em particular, os riscos no nível das demonstrações contábeis podem surgir de deficiências no ambiente de controle ou de eventos externos ou condições, tais como condições econômicas em deterioração.

A197. Os riscos de distorção relevante decorrente de fraude podem ser particularmente relevantes para a consideração pelo auditor dos riscos de distorção relevante no nível das demonstrações contábeis.

Exemplo:

O auditor entende com base em indagações junto à administração que as demonstrações contábeis da entidade são utilizadas em discussões com credores para assegurar financiamento adicional para manter o capital de giro. Portanto, o auditor pode determinar que há uma suscetibilidade maior à distorção decorrente de fatores de risco de fraude que afeta o risco inerente (isto é, a suscetibilidade das demonstrações contábeis à distorção relevante por causa do risco de apresentação de relatório financeiro fraudulento, como superavaliação de ativos e receita e subavaliação de passivos e despesas para assegurar a obtenção de financiamento)

A198. O entendimento do auditor, incluindo as avaliações relacionadas do ambiente de controle e de outros componentes do sistema de controles internos, pode levantar dúvidas quanto à sua capacidade de obter evidência de auditoria sobre a qual basear a opinião de auditoria ou causar a renúncia ao trabalho de auditoria, quando permitida por lei ou regulamento aplicável.

Exemplos:

• Como resultado da avaliação do ambiente de controle da entidade, o auditor tem preocupação a respeito da integridade da administração da entidade, que pode ser séria a ponto de ele concluir que o risco de representações imprecisas e intencionais da administração nas demonstrações contábeis é tal que a auditoria não pode ser conduzida.

• Como resultado da avaliação do sistema de informações e comunicação da entidade, o auditor determina que alterações significativas no ambiente de TI foram mal gerenciadas, com pouca supervisão da administração e dos responsáveis pela governança. O auditor conclui que há preocupações significativas sobre a condição e a confiabilidade dos registros contábeis da entidade. Nessas circunstâncias, o auditor pode determinar que é improvável que haverá evidência de auditoria apropriada e suficiente disponível para suportar uma opinião sem ressalva sobre as demonstrações contábeis.

A199. A NBC TA 705 – Modificação na Opinião do Auditor Independente estabelece requisitos e fornece orientações para determinar se existe a necessidade de o auditor expressar uma opinião com ressalva ou abster-se de emitir opinião ou, conforme necessário em alguns casos, renunciar ao trabalho quando permitido por lei ou regulamento aplicável.

Considerações específicas para entidades do setor público

A200. Para as entidades do setor público, a identificação dos riscos no nível das demonstrações contábeis pode incluir a consideração dos assuntos relacionados com clima político, o interesse público e a sensibilidade ao programa.

Riscos de distorção relevante no nível da afirmação (ver item 28(b))

O Apêndice 2 fornece exemplos, no contexto de fatores de risco inerentes, eventos ou condições, que podem indicar suscetibilidade à distorção que pode ser relevante.

A201. Os riscos de distorção relevante que não se referem de maneira generalizada às demonstrações contábeis são riscos de distorção relevante no nível da afirmação.

Afirmações relevantes e classes de transações, saldos contábeis e divulgações significativas (ver item 29)

Por que as afirmações relevantes e classes de transações, saldos contábeis e divulgações significativas são determinadas

A202. A determinação das afirmações relevantes e classes de transações, saldos contábeis e divulgações significativas fornece a base para o alcance do entendimento pelo auditor do sistema de informações da entidade que deve ser obtido, de acordo com o item 25(a).

Esse entendimento pode ainda auxiliar o auditor a identificar e avaliar os riscos de distorção relevante (ver item A86).

Ferramentas e técnicas automatizadas

A203. O auditor pode usar técnicas automatizadas para auxiliá-lo a identificar classes de transações, saldos contábeis e divulgações significativas.

Exemplos:

• Todo o universo de transações pode ser analisado usando ferramentas e técnicas automatizadas para entender sua natureza, fonte, porte e volume. Ao aplicar técnicas automatizadas, o auditor pode, por exemplo, identificar que uma conta com saldo zero no final do período era composta por diversas transações de compensação e lançamentos no livro diário durante o período, indicando que o saldo contábil ou a classe de transações pode ser significativa (por exemplo, conta de compensação da folha de pagamento). Essa mesma conta pode identificar também reembolsos de despesas à administração (e outros empregados), que poderia ser uma divulgação significativa em função de esses pagamentos serem feitos para partes relacionadas.

• Ao analisar os fluxos de toda a população de transações envolvendo receitas, o auditor pode identificar mais facilmente uma classe de transações significativa que não tenha sido identificada anteriormente.

Divulgações que podem ser significativas

A204. Divulgações significativas incluem divulgações quantitativas e qualitativas para as quais existem uma ou mais afirmações. Exemplos de divulgações com aspectos qualitativos e que podem ter afirmações relevantes e ser, portanto, consideradas significativas pelo auditor incluem divulgações sobre:

• liquidez e acordos de dívida de entidade em dificuldades financeiras;

• eventos ou circunstâncias que levaram ao reconhecimento de perdas por redução ao valor recuperável (impairment);

• principais causas de incerteza de estimativa, incluindo premissas sobre o futuro;

• a natureza de mudança na política contábil e outras divulgações relevantes requeridas pela estrutura de relatório financeiro aplicável, em que, por exemplo, se espera que novos requisitos de relatório financeiro tenham impacto significativo sobre a posição patrimonial e financeira e o desempenho financeiro da entidade;

• acordos de pagamento baseados em ações, incluindo informações sobre como foram determinados os montantes reconhecidos, e outras divulgações relevantes;

• partes relacionadas e transações com partes relacionadas;

• análise de sensibilidade, incluindo os efeitos de mudanças nas premissas usadas nas técnicas de avaliação da entidade com o objetivo de possibilitar aos usuários entenderem a incerteza de mensuração subjacente de valor registrado ou divulgado.

Avaliação dos riscos de distorção relevante no nível da afirmação

Avaliação dos riscos inerentes (ver itens de 31 a 33)

Avaliação da probabilidade e magnitude da distorção (ver item 31)

Por que o auditor avalia a probabilidade e a magnitude da distorção

A205. O auditor avalia a probabilidade e a magnitude da distorção para riscos identificados de distorção relevante porque a significância da combinação da probabilidade da distorção ocorrer e da magnitude da possível distorção, caso ocorra, determina onde no spectrum de risco inerente é avaliado o risco identificado, o que embasa o seu planejamento de procedimentos adicionais de auditoria para tratar do risco.

A206. A avaliação do risco inerente dos riscos identificados de distorção relevante também auxilia o auditor a determinar os riscos significativos. O auditor determina os riscos significativos porque são necessárias respostas específicas aos riscos significativos, de acordo com a NBC TA 330 e outras normas de auditoria.

A207. Os fatores de risco inerentes influenciam a avaliação do auditor da probabilidade e da magnitude da distorção para riscos identificados de distorção relevante no nível da afirmação. Quanto mais suscetível à distorção for uma classe de transações, saldo contábil ou divulgação, mais alto, provavelmente, será o risco inerente. A consideração do grau em que os fatores de risco inerentes afetam a suscetibilidade de uma afirmação à distorção auxilia o auditor a avaliar adequadamente o risco inerente para riscos de distorção relevante no nível da afirmação e a planejar uma resposta mais precisa a esse risco.

Spectrum de risco inerente

A208. Ao avaliar o risco inerente, o auditor usa julgamento profissional para determinar a significância da combinação da probabilidade e da magnitude da distorção.

A209. O risco inerente avaliado relacionado com risco específico de distorção relevante no nível da afirmação representa julgamento dentro de todo o intervalo do spectrum de risco inerente. O julgamento sobre onde, no intervalo avaliado, o risco inerente pode variar com base na natureza, porte e complexidade da entidade, e leva em consideração a probabilidade e a magnitude avaliadas da distorção e dos fatores de risco inerentes.

A210. Ao considerar a probabilidade de distorção, o auditor considera a possibilidade da distorção ocorrer com base na consideração dos fatores de risco inerentes.

A211. Ao considerar a magnitude da distorção, o auditor considera os aspectos qualitativos e quantitativos da possível distorção (isto é, distorções em afirmações sobre classes de transações, saldos contábeis ou divulgações podem ser julgadas relevantes devido ao porte, à natureza ou às circunstâncias).

A212. O auditor usa a significância da combinação de probabilidade e magnitude da possível distorção para determinar onde no spectrum de risco inerente (isto é, intervalo) é avaliado o risco inerente. Quanto maior a combinação de probabilidade e magnitude, mais alto provavelmente será avaliado o risco inerente. Quanto menor a combinação de probabilidade e magnitude, mais baixo provavelmente será avaliado o risco inerente.

A213. Se um risco é avaliado como alto no spectrum de risco inerente não significa que a magnitude e a probabilidade devem ser avaliadas como altas. Na verdade, é a intersecção da magnitude e da probabilidade da distorção relevante no spectrum de risco inerente que determinará se o risco inerente avaliado é mais alto ou mais baixo no spectrum de risco inerente. Um risco inerente avaliado como mais alto também pode surgir de diferentes combinações de probabilidade e magnitude. Por exemplo, um risco inerente avaliado como mais alto pode ser resultado de uma probabilidade mais baixa, mas uma magnitude muito alta.

A214. Para desenvolver estratégias adequadas para responder aos riscos de distorção relevante, o auditor pode designar riscos de distorção relevante dentro de categorias ao longo do spectrum de risco inerente com base em sua avaliação de risco inerente. Essas categorias podem ser descritas de diferentes maneiras. Independentemente do método de categorização usado, a avaliação do risco inerente pelo auditor é adequada quando o planejamento e a implementação de procedimentos adicionais de auditoria para tratar os riscos identificados de distorção relevante no nível da afirmação respondem adequadamente à avaliação do risco inerente e às razões para essa avaliação.

Riscos generalizados de distorção relevante no nível da afirmação (ver item 31(b))

A215. Ao avaliar os riscos identificados de distorção relevante no nível da afirmação, o auditor pode concluir que alguns riscos de distorção relevante estão relacionados de maneira mais generalizada com as demonstrações contábeis como um todo e potencialmente afetam muitas afirmações, caso em que ele pode atualizar a identificação dos riscos de distorção relevante no nível das demonstrações contábeis.

A216. Nas circunstâncias em que os riscos de distorção relevante são identificados como riscos no nível das demonstrações contábeis devido a seu efeito generalizado sobre diversas afirmações, e são identificáveis com afirmações específicas, o auditor deve levar em consideração esses riscos ao avaliar o risco inerente para riscos de distorção relevante no nível da afirmação.

Considerações específicas para entidades do setor público

A217. Ao exercer julgamento profissional quanto à avaliação do risco de distorção relevante, os auditores do setor público podem considerar a complexidade dos regulamentos e orientações e os riscos de não conformidade com autoridades.

Riscos significativos (ver item 32)

Por que riscos significativos são determinados e quais as implicações para a auditoria

A218. A determinação dos riscos significativos permite ao auditor focar mais a atenção nos riscos situados no limite superior do spectrum de risco inerente, por meio da aplicação de certas respostas necessárias, incluindo:

• os controles que tratam os riscos significativos devem ser identificados, de acordo com o item 26(a)(i), com o requisito de avaliar se o controle foi planejado adequadamente e implementado, de acordo com o item 26(d);

• a NBC TA 330, itens 15 e 21, requer que os controles que tratam os riscos significativos sejam testados no período corrente (quando o auditor pretende confiar na efetividade operacional desses controles) e sejam planejados e realizados procedimentos substantivos que respondam especificamente ao risco significativo identificado;

• a NBC TA 330, item 7(b), requer que o auditor obtenha evidência de auditoria mais persuasiva quanto maior for a sua avaliação de risco;

• a NBC TA 260, item 15, requer que sejam comunicados os riscos significativos identificados pelo auditor aos responsáveis pela governança;

• a NBC TA 701 – Comunicação dos Principais Assuntos de Auditoria no Relatório do Auditor Independente, item 9, requer que o auditor leve em consideração os riscos significativos ao determinar os assuntos que requerem sua atenção significativa, que são assuntos que podem ser os principais assuntos de auditoria;

• a revisão tempestiva da documentação de auditoria pelo sócio do trabalho nas devidas etapas durante a auditoria permite que assuntos significativos, incluindo riscos significativos, sejam resolvidos tempestivamente para a satisfação do sócio do trabalho na data ou antes do relatório do auditor (NBC TA 220, itens 17 e A19);

• a NBC TA 600, itens 30 e 31, requer mais envolvimento do sócio do trabalho do grupo, se o risco significativo estiver relacionado com componente em auditoria de grupo e que a equipe encarregada do trabalho do grupo conduza o trabalho requerido no componente pelo auditor do componente.

Determinação dos riscos significativos

A219. Ao determinar os riscos significativos, o auditor pode primeiro identificar os riscos avaliados de distorção relevante que podem ter sido avaliados como mais altos no spectrum de risco inerente para formar a base para considerar quais riscos podem estar próximos do limite superior. Estar próximo do limite superior do spectrum de risco inerente é diferente de uma entidade para outra, e não será necessariamente a mesma coisa para uma entidade em períodos diferentes. Pode depender da natureza e das circunstâncias da entidade para a qual o risco está sendo avaliado.

A220. A determinação de quais riscos avaliados de distorção relevante estão próximos do limite superior do spectrum de risco inerente e são, portanto, riscos significativos, é uma questão de julgamento profissional, a menos que o risco seja de um tipo especificado a ser tratado como risco significativo de acordo com os requisitos de outra norma de auditoria. A NBC TA 240, itens de 26 a 28, estabelece requisitos adicionais e orientações referentes à identificação e à avaliação dos riscos de distorção relevante devido a fraude.

Exemplo:

• Dinheiro em supermercado varejista normalmente seria determinado como tendo grande probabilidade de possível distorção (devido ao risco de apropriação indébita de dinheiro), porém, a magnitude normalmente seria muito baixa (devido ao baixo volume de dinheiro vivo manuseado nas lojas). A combinação desses dois fatores no spectrum de risco inerente provavelmente não resultaria na existência de dinheiro ser determinada como risco significativo.

• Uma entidade está em negociações para vender um segmento do negócio. O auditor considera o efeito sobre a perda do valor recuperável do ágio, e pode determinar que há maior probabilidade de possível distorção e maior magnitude devido ao impacto de fatores de risco inerentes, incerteza e suscetibilidade à tendenciosidade da administração ou a outros fatores de risco de fraude. Isso pode resultar na perda do valor recuperável do ágio ser determinada como sendo significativa.

A221. O auditor também leva em consideração os efeitos relativos dos fatores de risco inerentes ao avaliar o risco inerente. Quanto menor o efeito dos fatores de risco inerentes, menor tende a ser o risco avaliado. Os riscos de distorção relevante que podem ser avaliados como de alto risco inerente e podem, portanto, ser determinados como sendo risco significativo, podem surgir de assuntos como os que seguem:

• transações para as quais existem múltiplos tratamentos contábeis aceitáveis de maneira que haja subjetividade envolvida;

• estimativas contábeis com alta incerteza de estimativa ou modelos complexos;

• complexidade na coleta e no processamento de dados para suportar saldos contábeis;

• saldos contábeis ou divulgações quantitativas que envolvem cálculos complexos;

• princípios contábeis que podem estar sujeitos a diferentes interpretações;

• mudanças nos negócios da entidade que envolvem mudanças na contabilidade, por exemplo, fusões e aquisições.

Riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente (ver item 33)

Por que os riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente devem ser identificados

A222. Devido à natureza do risco de distorção relevante e das atividades de controle que tratam esse risco, em algumas circunstâncias, a única maneira de obter evidência de auditoria apropriada e suficiente é testar a efetividade operacional dos controles.

Consequentemente, há um requisito para que o auditor identifique tais riscos por causa das implicações no planejamento e na realização dos procedimentos adicionais de auditoria, de acordo com a NBC TA 330, item 8, para tratar os riscos de distorção relevante no nível da afirmação.

A223. O item 26(a)(iii) também requer a identificação dos controles que tratam os riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente porque o auditor deve, de acordo com a NBC TA 330, planejar e realizar testes sobre a efetividade operacional desses controles.

Determinação dos riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente

A224. Quando as transações de negócios rotineiras estão sujeitas a processamento altamente automatizado com pouca ou nenhuma intervenção manual, pode não ser possível realizar apenas procedimentos substantivos em relação ao risco. Esse pode ser o caso em circunstâncias onde uma quantidade significativa de informações da entidade é iniciada, registrada, processada ou reportada somente em formato eletrônico, tal como em sistema de informações que envolve alto grau de integração entre seus aplicativos de TI. Nesses casos:

• a evidência de auditoria pode estar disponível apenas em formato eletrônico e sua suficiência e adequação geralmente dependem da efetividade dos controles, da sua precisão e integridade;

• o potencial para que o início ou a alteração inadequada de informações possa ocorrer e não ser detectada pode ser maior se os controles apropriados não estiverem operando efetivamente.

Exemplo:

Normalmente, não é possível obter evidência de auditoria apropriada e suficiente relacionada com receita para entidade de telecomunicações baseada em procedimentos substantivos isoladamente. Isso ocorre porque não existe evidência de chamadas ou de atividade de dados em formato que seja observável. Em vez disso, normalmente são realizados testes substanciais de controles para determinar que a originação e conclusão de chamadas e a atividade de dados foram corretamente capturadas (por exemplo, minutos de chamada ou volume de download) e registradas no sistema de faturamento da entidade.

A225. A NBC TA 540, itens de A87 a A89, fornece orientações adicionais relacionadas com estimativas contábeis de riscos para os quais procedimentos substantivos, isoladamente, não fornecem evidência de auditoria apropriada e suficiente. Em relação a estimativas contábeis isso pode não ser limitado a processamento automatizado, mas pode também ser aplicável a modelos complexos.

Avaliação de risco de controle (ver item 34)

A226. Os planos do auditor de testar a efetividade operacional dos controles são baseados na expectativa de que os controles estejam operando efetivamente, e isso forma a base da avaliação do risco de controle pelo auditor. A expectativa inicial da efetividade operacional dos controles é baseada na avaliação pelo auditor do planejamento dos controles identificados no componente de atividades de controle e na determinação da sua implementação. Uma vez que o auditor tenha testado a efetividade operacional dos controles, de acordo com a NBC TA 330, ele pode confirmar a expectativa inicial sobre a efetividade operacional dos controles. Se os controles não estiverem operando efetivamente conforme esperado, o auditor precisa revisar a avaliação do risco de controle, de acordo com o item 37.

A227. A avaliação do auditor do risco de controle pode ser feita de formas diferentes, dependendo das técnicas ou metodologias de auditoria preferidas e pode ser expressa de diferentes maneiras.

A228. Se o auditor planeja testar a efetividade operacional dos controles, pode ser necessário testar uma combinação de controles para confirmar a sua expectativa de que os controles estão operando efetivamente. O auditor planeja testar controles diretos e indiretos, incluindo controles gerais de TI, e, nesse caso, levar em consideração o efeito combinado esperado dos controles ao avaliar o risco de controle. Na medida em que o controle a ser testado não endereça totalmente o risco inerente avaliado, o auditor determina as implicações para o planejamento dos procedimentos adicionais de auditoria para reduzir o risco de auditoria a um nível aceitavelmente baixo.

A229. Quando o auditor planeja testar a efetividade operacional de controle automatizado, ele pode também planejar testar a efetividade operacional dos controles gerais de TI relevantes que suportam o funcionamento contínuo desse controle automatizado para tratar os riscos decorrentes do uso de TI, e fornecer uma base para a sua expectativa de que os controles operaram efetivamente durante todo o período. Quando o auditor espera que os controles gerais de TI relacionados não sejam efetivos, essa determinação pode afetar a sua avaliação do risco de controle no nível da afirmação e os sue procedimentos adicionais de auditoria podem precisar incluir procedimentos substantivos para tratar os riscos decorrentes do uso de TI aplicáveis. Orientações adicionais sobre os procedimentos que o auditor pode realizar nessas circunstâncias são fornecidas na NBC TA 330, itens de A29 a A32.

Avaliação da evidência de auditoria obtida dos procedimentos de avaliação de risco (ver item 35)

Por que o auditor avalia a evidência de auditoria obtida dos procedimentos de avaliação de risco

A230. A evidência de auditoria obtida da realização dos procedimentos de avaliação de risco fornece a base para a identificação e avaliação dos riscos de distorção relevante. Isso fornece a base para o planejamento do auditor da natureza, época e extensão de procedimentos adicionais de auditoria que respondam aos riscos avaliados de distorção relevante no nível da afirmação, de acordo com a NBC TA 330. Consequentemente, a evidência de auditoria obtida dos procedimentos de avaliação de riscos fornece a base para a identificação e a avaliação de riscos de distorção relevante, independentemente de se causada por fraude ou erro, nos níveis das demonstrações contábeis e da afirmação.

Avaliação da evidência de auditoria

A231. A evidência de auditoria obtida dos procedimentos de avaliação de risco abrange informações que sustentam e corroboram as afirmações da administração e quaisquer informações que contradigam tais afirmações (NBC TA 500, item A5).

Ceticismo profissional

A232. Ao avaliar a evidência de auditoria obtida dos procedimentos de avaliação de risco, o auditor considera se foi obtido entendimento suficiente sobre a entidade e seu ambiente, a estrutura de relatório financeiro aplicável e o sistema de controles internos da entidade para poder identificar os riscos de distorção relevante, bem como se existe evidência contraditória que possa indicar risco de distorção relevante.

Classes de transações, saldos contábeis e divulgações não significativas, porém relevantes (ver item 36)

A233. Conforme explicado na NBC TA 320, item A1, a materialidade e o risco de auditoria são considerados na identificação e avaliação dos riscos de distorção relevante em classes de transações, saldos contábeis e divulgações. A determinação de materialidade pelo auditor é uma questão de julgamento profissional e é afetada pela sua percepção das necessidades de informações financeiras dos usuários das demonstrações contábeis (NBC TA 320, item 4). Para fins desta Norma e do item 18 da NBC TA 330, classes de transações, saldos contábeis ou divulgações são relevantes se houver uma expectativa razoável de que a omissão, a distorção ou a ocultação das informações sobre elas influencie as decisões econômicas dos usuários tomadas com base nas demonstrações contábeis como um todo.

A234. Pode haver classes de transações, saldos contábeis ou divulgações relevantes, mas que não tenham sido determinadas como classes de transações, saldos contábeis ou divulgações significativas (isto é, não existem afirmações relevantes identificadas).

Exemplo:

A entidade pode ter uma divulgação sobre remuneração de executivos para a qual o auditor não identificou risco de distorção relevante. Entretanto, o auditor pode determinar que essa divulgação é relevante com base nas considerações no item A233.

A235. Os procedimentos de auditoria para tratar classes de transações, saldos contábeis ou divulgações relevantes, porém, mas não determinadas como significativas, são tratados na NBC TA 330, item 18. Quando uma classe de transações, saldo contábil ou divulgação é determinada como sendo significativa, conforme requerido no item 29, a classe de transações, o saldo contábil ou a divulgação também são relevantes para os fins do item 18 da NBC TA 330.

Revisão da avaliação de risco (ver item 37)

A236. Durante a auditoria, informações novas ou outras informações que diferem significativamente das informações nas quais a avaliação de risco se baseou podem chamar a atenção do auditor.

Exemplo:

A avaliação de risco da entidade pode ser baseada na expectativa de que certos controles estão operando efetivamente. Ao realizar testes desses controles, o auditor pode obter evidência de auditoria de que eles não estavam operando efetivamente em momentos relevantes durante a auditoria. Da mesma forma, ao realizar procedimentos substantivos, o auditor pode detectar distorções em valores ou frequência maiores do que as detectadas nas avaliações de riscos do auditor. Nessas circunstâncias, a avaliação de risco pode não refletir adequadamente as verdadeiras circunstâncias da entidade e os procedimentos de auditoria adicionais planejados podem não ser efetivos para detectar distorções relevantes.

Os itens 16 e 17 da NBC TA 330 fornecem orientações adicionais sobre avaliação da efetividade operacional dos controles.

Documentação (ver item 38)

A237. Para auditorias recorrentes, certas documentações podem ser reutilizadas e atualizadas, conforme necessário, para refletir mudanças nos negócios ou processos da entidade.

A238. A NBC TA 230, item A7, observa que, entre outras considerações, embora possa não haver uma única maneira pela qual o exercício do julgamento profissional pelo auditor é documentado, a documentação de auditoria pode, no entanto, fornecer evidência do exercício do ceticismo profissional pelo auditor. Por exemplo, quando a evidência de auditoria obtida dos procedimentos de avaliação de risco inclui evidência que tanto corrobora como contradiz as afirmações da administração, a documentação pode incluir o modo como o auditor avaliou essa evidência, incluindo os julgamentos profissionais exercidos para avaliar se a evidência de auditoria fornece uma base adequada para a sua identificação e avaliação dos riscos de distorção relevante. Exemplos de outros requisitos desta Norma para os quais a documentação pode fornecer evidência do exercício do ceticismo profissional pelo auditor incluem:

• item 13, que requer que o auditor planeje e realize procedimentos de avaliação de risco de forma não tendenciosa em relação à obtenção de evidência de auditoria que possa comprovar a existência de riscos ou em relação à exclusão de evidência de auditoria que contradiga a existência de riscos;

• item 17, que requer a discussão entre os membros-chave da equipe encarregada do trabalho sobre a aplicação da estrutura de relatório financeiro aplicável e a suscetibilidade das demonstrações contábeis da entidade à distorção relevante;

• itens 19(b) e 20, que requerem que o auditor obtenha entendimento das razões de quaisquer mudanças nas políticas contábeis da entidade e avalie se as políticas contábeis da entidade são adequadas e consistentes com a estrutura de relatório financeiro aplicável;

• itens 21(b), 22(b), 23(b), 24(c), 25(c), 26(d) e 27, que requerem que o auditor avalie, com base no entendimento obtido requerido, se os componentes do sistema de controles internos da entidade são adequados nas circunstâncias da entidade, considerando a natureza e a complexidade da entidade, e determine se foram identificadas uma ou mais deficiências de controle;

• item 35, que requer que o auditor leve em consideração toda a evidência de auditoria obtida dos procedimentos de avaliação de risco, seja ela comprobatória ou contraditória para afirmações feitas pela administração, e avalie se a evidência de auditoria obtida dos procedimentos de avaliação de risco fornece uma base adequada para a identificação e a avaliação dos riscos de distorção relevante; e

• item 36, que requer que o auditor avalie, quando aplicável, se a determinação pelo auditor de que não existem riscos de distorção relevante para uma classe de transações, saldo contábil ou divulgação relevante continua apropriada.

Escalabilidade

A239. A maneira como os requisitos do item 38 são documentados deve ser determinada pelo auditor usando julgamento profissional.

A240. Pode ser requerida documentação mais detalhada, que seja suficiente para que um auditor experiente, sem experiência prévia com a auditoria, entenda a natureza, a época e a extensão dos procedimentos de auditoria realizados, para suportar a fundamentação para julgamentos difíceis feitos.

A241. Para auditorias de entidades menos complexas, a forma e a extensão da documentação podem ser simples e relativamente concisas. A forma e a extensão da documentação de auditoria são influenciadas pela natureza, porte e complexidade da entidade e seu sistema de controles internos, disponibilidade das informações da entidade e metodologia de auditoria e tecnologia usadas no curso da auditoria. Não é necessário documentar a totalidade do entendimento do auditor sobre a entidade e os assuntos a ela relacionados.

Os principais elementos do entendimento documentado pelo auditor podem incluir aqueles em que ele baseou a avaliação dos riscos de distorção relevante (NBC TA 230, item 8).

Entretanto, o auditor não tem que documentar todos os fatores de risco inerentes levados em consideração na identificação e avaliação dos riscos de distorção relevante no nível da afirmação.

Exemplo:

Em auditorias de entidades menos complexas, a documentação de auditoria pode ser incorporada na documentação do auditor da estratégia geral e do plano de auditoria NBC TA 300 – Planejamento da Auditoria de Demonstrações Contábeis, itens 7, 9 e A11. Da mesma forma, por exemplo, os resultados da avaliação de riscos podem ser documentados separadamente ou como parte da documentação do auditor sobre procedimentos adicionais de auditoria (NBC TA 330, item 28).

Apêndice 1 (ver itens de A61 a A67)

Considerações para entendimento da entidade e do seu modelo de negócio

Este Apêndice explica os objetivos e o alcance do modelo de negócio da entidade e fornece exemplos de assuntos que o auditor pode considerar para entender as atividades da entidade que podem ser incluídas no modelo de negócio. O entendimento pelo auditor do modelo de negócio da entidade, e de como ele é afetado pela sua estratégia de negócio e pelos objetivos do negócio, pode auxiliá-lo a identificar os riscos do negócio que podem ter efeito sobre as demonstrações contábeis. Além disso, ele pode auxiliar o auditor a identificar os riscos de distorção relevante.

Objetivos e alcance do modelo de negócio da entidade

1. O modelo de negócio da entidade descreve como ela considera, por exemplo, sua estrutura organizacional, operações ou escopo de suas atividades, linhas de negócio (incluindo seus concorrentes e clientes), processos, oportunidades de crescimento, globalização, requisitos regulatórios e tecnologias. O modelo de negócio da entidade descreve como a entidade cria, preserva e captura valor financeiro ou mais abrangente para suas partes interessadas.

2. Estratégias são as abordagens pelas quais a administração planeja alcançar os objetivos da entidade, incluindo como a entidade planeja tratar dos riscos e das oportunidades que surgem. As estratégias da entidade são alteradas ao longo do tempo pela administração para responder às mudanças dos seus objetivos e das circunstâncias internas e externas em que ela atua.

3. A descrição de um modelo de negócio normalmente inclui:

• o escopo das atividades da entidade e o motivo de elas serem utilizadas;

• a estrutura da entidade e a escala de suas operações;

• os mercados, aspectos geográficos ou demográficos e as partes da cadeia de valor, em que ela atua, como é seu envolvimento com esses mercados ou aspectos (principais produtos, segmentos de clientes e métodos de distribuição) e em que base ela compete;

• os processos de negócio ou operacionais da entidade (por exemplo, processos relacionados com investimento, financiamento e operacionais) empregados na realização de suas atividades, focando nas partes dos processos de negócio que são importantes na criação, preservação ou captura de valor;

• os recursos (por exemplo, financeiros, humanos, intelectuais, ambientais e tecnológicos), outros subsídios e relações (por exemplo, clientes, concorrentes, fornecedores e empregados) que são necessários ou importantes para o seu sucesso;

• como o modelo de negócio da entidade integra o uso de TI em suas interações com clientes, fornecedores, credores e outras partes interessadas por meio de interfaces de TI e outras tecnologias.

4. Um risco de negócio pode ter consequência imediata para o risco de distorção relevante para classes de transações, saldos contábeis e divulgações no nível da afirmação ou no nível das demonstrações contábeis. Por exemplo, o risco de negócio decorrente da queda significativa no mercado imobiliário pode aumentar o risco de distorção relevante associada com a afirmação de avaliação de credor de empréstimos de médio prazo com garantia de imóveis. Entretanto, o mesmo risco, particularmente em combinação com uma contração econômica severa que aumenta ao mesmo tempo o risco subjacente de perdas de crédito permanentes sobre seus empréstimos, também pode ter consequências de longo prazo. A resultante exposição líquida a perdas de crédito pode levantar dúvida significativa quanto à capacidade da entidade de continuar operando. Se esse for o caso, isso pode ter implicações para a conclusão da administração e do auditor sobre a adequação do uso pela entidade da base de continuidade operacional e sobre a determinação da existência de incerteza significativa. A possibilidade de risco de negócio resultar em risco de distorção relevante é, portanto, considerada com base nas circunstâncias da entidade. Exemplos de eventos e condições que podem gerar riscos de distorção relevante estão indicados no Apêndice 2.

Atividades da entidade

5. Exemplos de assuntos que o auditor pode considerar na obtenção de entendimento das atividades da entidade (incluídas no modelo de negócio da entidade) incluem:

(a) operações do negócio, tais como:

• natureza das fontes de receita, produtos ou serviços e mercados, inclusive envolvimento em comércio eletrônico, como vendas pela internet e atividades de marketing;

• condução das operações (por exemplo, etapas e métodos de produção ou atividades expostas a riscos ambientais);

• alianças, empreendimentos conjuntos e atividades de terceirização;

• dispersão geográfica e segmentação do setor de atividade;

• local de instalações de produção, armazéns e escritórios, bem como local e quantidades dos estoques;

• clientes-chave e fornecedores importantes de bens e serviços, acordos trabalhistas (inclusive a existência de acordos sindicais, de pensão e outros benefícios pós-emprego, tais como pagamentos baseados em ações ou bônus e regulamentação governamental relacionada com aspectos trabalhistas);

• atividades e gastos de pesquisa e desenvolvimento;

• transações com partes relacionadas;

(b) investimentos e atividades de investimento, tais como:

• aquisições ou alienações planejadas ou recentemente realizadas;

• investimentos e vendas de títulos mobiliários e empréstimos;

• atividades de investimento de capital;

• investimentos em entidades não consolidadas, incluindo parcerias não controladas, empreendimentos conjuntos e entidades de propósito específico não controladas;

(c) financiamento e atividades de financiamento, tais como:

• estrutura acionária de subsidiárias e entidades associadas importantes, inclusive estruturas consolidadas e não consolidadas;

• estrutura de dívidas e acordos relacionados, inclusive acordos de financiamento eacordos de arrendamento extrapatrimoniais;

• proprietários beneficiários (por exemplo, reputação e experiência em negócios no país e no exterior) e partes relacionadas;

• uso de instrumentos financeiros derivativos.

Natureza das entidades de propósito específico

6. Entidade de propósito específico (EPE) (também referida como entidade veículo de propósito específico) é uma entidade que geralmente é estabelecida para um propósito restrito e bem definido, tais como para efetuar arrendamento, securitização de ativos financeiros ou para conduzir atividades de pesquisa e desenvolvimento. Pode ter a forma de corporação, agente fiduciário, sociedade ou outros tipos de entidades. A entidade que criou a EPE pode, frequentemente, transferir ativos para esta última (por exemplo, como parte de transações de desreconhecimento (baixa) de ativos financeiros), obter direito de uso sobre seus ativos ou pode prestar serviços a ela, enquanto outras partes podem fornecer recursos à entidade de propósito específico. A NBC TA 550, item A7, indica que, em algumas circunstâncias, a EPE pode ser considerada parte relacionada da entidade.

7. Estruturas de relatórios financeiros, normalmente, especificam condições detalhadas que são consideradas para caracterizar controle ou circunstâncias que requerem que a entidade de propósito específico seja consolidada. A interpretação dos requisitos de tais estruturas normalmente requer conhecimento detalhado dos acordos relevantes envolvendo tais entidades.

Apêndice 2 (ver itens 12 (f), 19 (c), A7, A8 e de A85 a A89)

Entendimento dos fatores de risco inerentes

Este Apêndice fornece explicações adicionais sobre os fatores de risco inerentes, bem como sobre assuntos que o auditor pode considerar para entender e aplicar os fatores de risco inerentes na identificação e avaliação dos riscos de distorção relevante no nível da afirmação.

Fatores de risco inerentes

1. Os fatores de risco inerentes são características de eventos ou condições que afetam a susceptibilidade de uma afirmação sobre uma classe de transações, saldo contábil ou divulgação à distorção, independentemente de se causada por fraude ou erro e antes da consideração dos controles. Esses fatores podem ser qualitativos ou quantitativos e incluem complexidade, subjetividade, alteração, incerteza ou suscetibilidade à distorção devido à tendenciosidade da administração ou a outros fatores de risco de fraude à medida que eles afetam o risco inerente.

Ao obter entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e das políticas contábeis da entidade, de acordo com o item 19(a) e (b), o auditor também entende o modo como os fatores de risco inerentes afetam a suscetibilidade das afirmações à distorção na elaboração das demonstrações contábeis.

2. Os fatores de risco inerentes relacionados com a elaboração de informações requeridas pela estrutura de relatório financeiro aplicável (referidas neste item como “informações requeridas”) incluem:

• Complexidade – decorre da natureza das informações ou do modo como as informações requeridas são elaboradas, incluindo quando esses processos de elaboração são inerentemente mais difíceis de serem aplicados.

Por exemplo, a complexidade pode surgir:

• do cálculo de provisões para abatimentos a fornecedores porque pode ser necessário levar em consideração diferentes termos comerciais com diferentes fornecedores ou muitos termos comerciais inter-relacionados que são todos relevantes no cálculo dos abatimentos devidos; ou

• quando existem diversas fontes de dados em potencial com características diferentes usadas na estimativa contábil, o processamento desses dados envolve muitos passos inter-relacionados e os dados são, portanto, inerentemente mais difíceis de identificar, capturar, acessar, entender ou processar.

• Subjetividade – decorre das limitações inerentes à capacidade de elaborar as informações requeridas de maneira objetiva devido às limitações na disponibilidade de conhecimento ou informações, de forma que a administração pode precisar fazer uma escolha ou um julgamento subjetivo sobre a abordagem apropriada a ser utilizada e as informações resultantes a serem incluídas nas demonstrações contábeis. Por causa das diferentes abordagens na elaboração das informações requeridas, diferentes resultados poderiam surgir da aplicação apropriada dos requisitos da estrutura de relatório financeiro aplicável. À medida que aumentam as limitações de conhecimento ou de dados, também aumenta a subjetividade dos julgamentos que poderiam ser feitos por indivíduos razoavelmente bem informados e independentes, assim como a diversidade dos possíveis resultados desses julgamentos.

• Mudança – é resultado de eventos ou condições que, ao longo do tempo, afetam o negócio da entidade ou os aspectos econômicos, contábeis, regulatórios, setoriais ou outros aspectos do ambiente em que ela atua, quando os efeitos desses eventos ou condições são refletidos nas informações requeridas. Esses eventos ou condições podem ocorrer nos períodos de apresentação de relatórios financeiros ou entre esses períodos.

Por exemplo, a mudança pode ser resultado de desdobramentos nos requisitos da estrutura de relatório financeiro aplicável, ou da entidade e de seu modelo de negócio, ou do ambiente no qual a entidade atua. Essa mudança pode afetar as premissas e os julgamentos da administração, incluindo quando se referem à seleção das políticas contábeis pela administração ou à forma como são feitas as estimativas contábeis ou determinadas as divulgações relacionadas.

• Incerteza – surge quando as informações requeridas não podem ser elaboradas baseadas apenas em dados suficientemente precisos e abrangentes verificáveis por meio de observação direta. Nessas circunstâncias, pode ter que ser feita uma abordagem que aplique o conhecimento disponível para preparar as informações, usando dados observáveis suficientemente precisos e abrangentes, quando estiverem disponíveis, e premissas razoáveis suportadas pelos dados disponíveis mais apropriados quando não estiverem. Restrições com relação à disponibilidade de conhecimento ou dados, que estejam fora do controle da administração (sujeita a restrições de custo, quando aplicável) são fontes de incerteza e seu efeito sobre a elaboração das informações requeridas não pode ser eliminado. Por exemplo, incerteza de estimativa surge quando o valor monetário requerido não pode ser determinado com precisão e o resultado da estimativa não é conhecido antes da data em que as demonstrações contábeis são finalizadas.

• Suscetibilidade à distorção devido à tendenciosidade da administração ou a outros fatores de risco de fraude à medida que eles afetam o risco inerente – a suscetibilidade à tendenciosidade da administração é resultado de condições que criam suscetibilidade à falha da administração, intencional ou não intencional, de manter a neutralidade na elaboração das informações. A tendenciosidade da administração é, muitas vezes, associada a certas condições que têm o potencial de fazer com que a administração não mantenha a neutralidade no exercício do julgamento (indicadores de potencial tendenciosidade da administração), que poderiam levar a uma distorção relevante das informações que seriam fraudulentas no caso de serem intencionais. Esses indicadores incluem incentivos ou pressões à medida que eles afetam o risco inerente (por exemplo, em decorrência de motivação para se atingir um resultado desejado, como meta de lucro ou índice de capital desejado) e oportunidade de não manter a neutralidade. Os fatores relevantes para a suscetibilidade à distorção devido a fraude na forma de apresentação de relatórios financeiros fraudulentos ou apropriação indébita de ativos estão descritos nos itens de A1 a A5 da NBC TA 240.

3. Quando a complexidade é um fator de risco inerente, pode haver necessidade inerente por processos mais complexos para a elaboração das informações, e esses processos podem ser inerentemente mais difíceis de aplicar. Como resultado, a sua aplicação pode requerer habilidades ou conhecimentos especializados e o uso de especialista da administração.

4. Quando o julgamento da administração é mais subjetivo, a suscetibilidade à distorção devido à tendenciosidade da administração, seja não intencional ou intencional, pode aumentar. Por exemplo, pode haver julgamento significativo da administração envolvido na elaboração de estimativas contábeis que foram identificadas como tendo alto grau de incerteza de estimativa, e as conclusões relacionadas com métodos, dados ou premissas podem refletir tendenciosidade não intencional ou intencional da administração.

Exemplos de eventos e condições que podem gerar riscos de distorção relevante

5. Seguem abaixo exemplos de eventos (incluindo transações) e condições que podem indicar a existência de riscos de distorção relevante nas demonstrações contábeis, no nível das demonstrações contábeis ou da afirmação. Os exemplos fornecidos por fator de risco inerente abrangem amplo leque de eventos e condições. Entretanto, nem todos os eventos e condições são relevantes para todo trabalho de auditoria e a lista de exemplos não é necessariamente completa. Os eventos e condições foram classificados pelo fator de risco inerente que pode ter o maior efeito nas circunstâncias. Importante notar que, devido às inter-relações entre os fatores de risco inerentes, os exemplos de eventos e condições também são, provavelmente, sujeitos a outros fatores de risco inerentes em diversos graus ou afetados por eles.

Outros eventos e condições que podem indicar riscos de distorção relevante no nível das demonstrações contábeis:

• falta de pessoal com habilidade adequada em contabilidade e em demonstrações contábeis.

• Deficiências de controle – particularmente no ambiente de controle, processo de avaliação de riscos e processo de monitoramento e, especialmente, aquelas não tratadas pela administração.

• Distorções passadas, história de erros ou valores de ajustes significativos no final do período.

Apêndice 3 (ver itens 12(m), de 21 a 26 e de A90 a A181)

Entendimento do sistema de controles internos da entidade

1. O sistema de controles internos da entidade pode estar refletido nos manuais de políticas e procedimentos, sistemas e formulários, e nas informações embutidas nos mesmos, e é aplicado por pessoas. O sistema de controles internos da entidade é implementado pela administração, pelos responsáveis pela governança e por outros com base na estrutura da entidade. O sistema de controles internos da entidade pode ser aplicado, baseado em decisões da administração, dos responsáveis pela governança, de outros e, no contexto dos requisitos legais ou regulatórios, do modelo operacional da entidade, da estrutura legal da entidade ou da combinação dos dois.

2. Este Apêndice explica mais detalhadamente os componentes, bem como as limitações do sistema de controles internos da entidade, conforme definidos nos itens 12(m), de 21 a 26 e de A90 a A181, à medida que estejam relacionados com a auditoria de demonstrações contábeis.

3. O sistema de controles internos da entidade inclui aspectos que estão relacionados com os objetivos de apresentação de relatórios da entidade, incluindo objetivos de apresentação de seus relatórios financeiros, mas pode incluir também aspectos relacionados com seus objetivos das operações ou de conformidade, quando esses aspectos são relevantes para a apresentação de relatórios financeiros.

Exemplo:

Controles de conformidade com leis e regulamentos podem ser relevantes para a apresentação de relatórios financeiros quando esses controles são relevantes para a elaboração pela entidade de divulgações sobre contingências nas demonstrações contábeis.

Componentes do sistema de controles internos da entidade

Ambiente de controle

4. O ambiente de controle inclui as funções de governança e administração e as atitudes, conscientização e ações dos responsáveis pela governança e da administração referentes ao sistema de controles internos da entidade e sua importância na entidade. O ambiente de controle determina o tom da organização, influenciando a conscientização de seu pessoal em relação aos controles e fornece o fundamento geral para a operação dos outros componentes do sistema de controles internos da entidade.

5. A conscientização sobre controle da entidade é influenciada pelos responsáveis pela governança, porque um dos seus papéis é contrabalançar as pressões sobre a administração em relação a relatórios financeiros que possam surgir de demandas do mercado ou modelos de remuneração. A eficácia do desenho do ambiente de controle em relação à participação dos responsáveis pela governança, portanto, é influenciada por assuntos como:

• sua independência em relação à administração e sua capacidade de avaliar as ações da administração;

• se eles entendem as transações e os negócios da entidade;

• a extensão em que avaliam se as demonstrações contábeis são elaboradas de acordo com a estrutura de relatório financeiro aplicável, incluindo se as demonstrações contábeis incluem divulgações adequadas.

6. O ambiente de controle abrange os seguintes elementos:

(a) Como as responsabilidades da administração são realizadas, tais como criar e manter a cultura da entidade e demonstrar o compromisso da administração com a integridade e os valores éticos. A efetividade dos controles não pode estar acima da integridade e dos valores éticos das pessoas que os criam, administram e monitoram. A integridade e a conduta ética são o produto dos padrões éticos e da conduta da entidade, como são comunicados (por exemplo, por meio de declarações de políticas) e reforçados na prática (por exemplo, por meio de ações da administração para eliminar ou reduzir incentivos ou tentações que possam levar o pessoal a envolver-se em atos desonestos, ilegais ou antiéticos). A comunicação de políticas da entidade sobre integridade e valores éticos pode incluir a comunicação de padrões de conduta para os empregados por meio de declarações de política, códigos de conduta e de exemplos.

(b) Quando os responsáveis pela governança são separados da administração, como eles demonstram independência em relação à administração e exercem supervisão do sistema de controles internos da entidade. A conscientização sobre controle da entidade é influenciada pelos responsáveis pela governança. As considerações podem incluir se existem indivíduos suficientes que sejam independentes da administração e objetivas em suas avaliações e tomadas de decisão, o modo como os responsáveis pela governança identificam e aceitam responsabilidades de supervisão e se eles permanecem responsáveis pela supervisão do projeto, da implementação e da condução do sistema de controles internos da entidade pela administração. A importância das responsabilidades dos responsáveis pela governança é reconhecida em códigos de conduta e outras leis e regulamentos ou orientação produzida em benefício dos responsáveis pela governança. Outras responsabilidades dos responsáveis pela governança incluem a supervisão do desenho e da operação eficaz dos procedimentos de canais de denúncia.

(c) O modo como a entidade atribui autoridade e responsabilidade em busca dos seus objetivos. Isso pode incluir considerações sobre:

• áreas-chave de autoridade e responsabilidade e linhas de reporte apropriadas;

• políticas relacionadas com práticas de negócio apropriadas, conhecimento e experiência do pessoal-chave, assim como recursos fornecidos para o desempenho de funções; e

• políticas e comunicações voltadas para assegurar que todo pessoal compreenda os objetivos da entidade, saiba como as suas ações individuais se inter-relacionam, contribuem para esses objetivos e reconheçam como e pelo que serão considerados responsáveis.

(d) Como a entidade atrai, desenvolve e retém indivíduos competentes alinhados com seus objetivos. Isso inclui o modo como a entidade assegura que os indivíduos tenham o conhecimento e as habilidades necessárias para a realização de tarefas que definem o trabalho do indivíduo, tais como:

• padrões para recrutar os indivíduos mais qualificados – com ênfase em formação acadêmica, experiência de trabalho anterior, realizações passadas e evidências de integridade e comportamento ético;

• políticas de treinamento que comuniquem perspectivas de funções e responsabilidades e incluam práticas, tais como cursos e seminários que ilustrem os níveis de desempenho e conduta esperados; e

• avaliações periódicas de desempenho, levando a promoções que demonstram o compromisso da entidade com a promoção do pessoal qualificado a níveis mais elevados de responsabilidade.

(e) Como a entidade responsabiliza os indivíduos em busca dos objetivos do sistema de controles internos da entidade. Isso pode ser feito por meio de, por exemplo:

• mecanismos para comunicar e responsabilizar os indivíduos pelo cumprimento das responsabilidades de controle e implementar ações corretivas conforme necessário;

• estabelecer medidas de desempenho, incentivos e recompensas para os responsáveis pelo sistema de controles internos da entidade, incluindo o modo como as medidas são avaliadas e mantida sua relevância;

• o modo como as pressões associadas com o alcance dos objetivos de controle afeta as responsabilidades do indivíduo e as medidas de desempenho; e

• o modo como os indivíduos são disciplinados, conforme necessário.

A adequação dos assuntos acima será diferente para cada entidade, dependendo do seu porte, da complexidade da sua estrutura e da natureza de suas atividades.

Processo de avaliação de riscos da entidade

7. O processo de avaliação de riscos da entidade é um processo iterativo para identificar e analisar riscos na realização dos objetivos da entidade, e forma a base de como a administração e os responsáveis pela governança determinam os riscos a serem gerenciados.

8. Para fins de demonstrações contábeis, o processo de avaliação de riscos da entidade inclui a maneira como a administração identifica riscos do negócio relevantes para a elaboração de demonstrações contábeis em conformidade com a estrutura de relatório financeiro aplicável à entidade, estima a sua significância, avalia a probabilidade de sua ocorrência e decide por ações para administrar tais riscos e os resultados dessas ações. Por exemplo, o processo de avaliação de riscos da entidade pode tratar como a entidade considera a possibilidade de existência de transações não registradas ou identifica e analisa estimativas significativas registradas nas demonstrações contábeis.

9. Os riscos relevantes quanto à fidedignidade das demonstrações contábeis incluem eventos externos e internos, transações ou circunstâncias que possam ocorrer e afetar adversamente a capacidade da entidade de iniciar, registrar, processar e reportar dados financeiros compatíveis com as afirmações da administração nas demonstrações contábeis.

A administração pode iniciar planos, programas ou ações para enfrentar riscos específicos ou pode decidir aceitar um risco por causa do custo ou de outras considerações. Os riscos podem surgir ou se modificar em decorrência de circunstâncias, tais como:

• Mudanças no ambiente operacional. Mudanças no ambiente regulatório, econômico ou operacional podem resultar em mudanças nas pressões competitivas e riscos significativamente diferentes.

• Pessoal novo. Pessoal novo pode ter foco ou entendimento diferente do sistema de controles internos da entidade.

• Sistemas de informações novos ou remodelados. Mudanças rápidas e significativas nos sistemas de informação podem mudar o risco relacionado com o sistema de controles internos da entidade.

• Crescimento rápido. A expansão rápida e significativa das operações pode prejudicar os controles e aumentar o risco de falhas nos controles.

• Nova tecnologia. Incorporar novas tecnologias aos processos de produção ou sistemas de informação pode mudar o risco associado ao sistema de controles internos da entidade.

• Novos modelos de negócios, produtos ou atividades. Entrar em áreas de negócio ou transações nas quais a entidade tem pouca experiência pode introduzir novos riscos associados ao sistema de controles internos da entidade.

• Reestruturações societárias. Reestruturações podem ser acompanhadas por redução de pessoal e mudança na supervisão e segregação de funções que podem mudar o risco associado ao sistema de controles internos da entidade.

• Expansão de operações internacionais. A expansão ou a aquisição de operações internacionais traz riscos novos e muitas vezes sem qualquer paralelo com os riscos anteriores, que podem afetar o controle interno, por exemplo, riscos adicionais ou modificados nas transações em moeda estrangeira.

• Novas normas contábeis. A adoção de novos princípios contábeis ou modificação de princípios contábeis pode afetar riscos na elaboração de demonstrações contábeis.

• Uso de TI. Riscos relacionados com:

• manutenção da integridade dos dados e processamento de informações;

• riscos para a estratégia de negócio da entidade que surgem se a estratégia de TI da entidade não suporta de maneira efetiva a sua estratégia de negócio; ou

• mudanças ou interrupções no ambiente de TI da entidade, rotatividade do pessoal de TI, quando a entidade não faz as atualizações necessárias no ambiente de TI ou elas não são feitas em tempo hábil.

Processo de monitoramento do sistema de controles internos da entidade

10. O monitoramento do sistema de controles internos da entidade é um processo contínuo para avaliar a sua efetividade e tomar as medidas corretivas necessárias em tempo hábil. O processo de monitoramento do sistema de controles internos da entidade pode envolver atividades contínuas, avaliações separadas (conduzidas periodicamente), ou a combinação das duas. As atividades de monitoramento contínuo, muitas vezes estão embutidas nas atividades recorrentes normais da entidade e incluem atividades de administração e
supervisão regulares. O processo da entidade, provavelmente, varia em escopo e frequência dependendo da avaliação dos riscos pela entidade.

11. Os objetivos e o alcance da função de auditoria interna, normalmente, incluem atividades planejadas para avaliar ou monitorar a efetividade do sistema de controles internos da entidade (Apêndice 4 desta Norma e NBC TA 610). O processo de monitoramento do sistema de controles internos da entidade pode incluir atividades como revisão pela administração para determinar se as conciliações bancárias estão sendo elaboradas tempestivamente, avaliação pelos auditores internos do cumprimento pelo pessoal de vendas das políticas da entidade nos termos de contratos de venda e supervisão pelo departamento jurídico do cumprimento das políticas de ética ou prática de negócios da entidade. O monitoramento também é feito para assegurar que os controles continuem a operar efetivamente ao longo do tempo. Por exemplo, se a tempestividade e a exatidão das conciliações bancárias não forem monitoradas, é provável que os empregados parem de elaborá-las.

12. Os controles relacionados com o processo de monitoramento do sistema de controles internos da entidade, incluindo aqueles que monitoram os controles automatizados subjacentes, podem ser automatizados, manuais ou a combinação dos dois. Por exemplo, a entidade pode usar controles de monitoramento automatizados sobre acesso à determinada tecnologia com relatórios automatizados sobre atividade não usual para a administração, que investiga manualmente as anormalidades identificadas.

13. Ao distinguir entre atividade de monitoramento e controle relacionado com o sistema de informações, são considerados os detalhes subjacentes da atividade, especialmente quando a atividade envolve algum nível de revisão de supervisão. Revisões de supervisão não são automaticamente classificadas como atividades de monitoramento e pode ser uma questão de julgamento se a revisão é classificada como controle relacionado com o sistema de informações ou como atividade de monitoramento. Por exemplo, a intenção de um controle mensal de integridade pode ser detectar e corrigir erros, enquanto uma atividade de monitoramento indagaria o motivo de os erros estarem ocorrendo e atribuiria à administração a responsabilidade de corrigir o processo para evitar futuros erros.

Em temos simples, o controle relacionado com o sistema de informações responde a um risco específico, enquanto a atividade de monitoramento avalia se os controles em cada um dos cinco componentes do sistema de controles internos da entidade estão operando conforme pretendido.

14. As atividades de monitoramento podem incluir o uso de informações de comunicações de partes externas que possam indicar problemas ou destacar áreas com necessidade de aprimoramento. Os clientes confirmam implicitamente dados de faturamento ao pagarem suas faturas ou reclamarem de seus valores ou encargos. Além disso, os reguladores podem comunicar-se com a entidade a respeito de assuntos que afetam o funcionamento do seu sistema de controles internos, por exemplo, comunicações a respeito de análises de agências reguladoras bancárias. A administração também pode considerar comunicações referentes ao sistema de controles internos da entidade vindas de auditores externos ao realizar atividades de monitoramento.

Sistema de informações e comunicação

15. O sistema de informações relevante para a elaboração das demonstrações contábeis consiste em atividades e políticas, bem como em registros contábeis e de suporte, planejados e estabelecidos para:

• iniciar, registrar e processar as transações da entidade (bem como capturar, processar e divulgar informações sobre eventos e condições que não sejam transações) e manter a prestação de contas para os respectivos ativos, passivos e patrimônio líquido;

• corrigir o processamento incorreto de transações, por exemplo, arquivos automatizados semiativos e procedimentos seguidos para endereçar esses arquivos tempestivamente;

• processar e contabilizar as transgressões ao sistema ou os desvios dos controles;

• transferir informações de sistemas de processamento de transações para o razão geral (por exemplo, transferir transações acumuladas de razão auxiliar);

• capturar e processar informações relevantes para a elaboração das demonstrações contábeis relacionadas com outros eventos e condições além das transações, tais como depreciação e amortização de ativos e modificações na recuperação de contas a receber; e

• assegurar que as informações que exigem divulgação pela estrutura de relatório financeiro aplicável sejam acumuladas, registradas, processadas, resumidas e, adequadamente, reportadas nas demonstrações contábeis.

16. Processos de negócio da entidade são as atividades destinadas a:

• desenvolver, comprar, produzir, vender e distribuir os produtos e serviços da entidade;

• assegurar a conformidade com leis e regulamentos; e

• registrar informações, inclusive informações contábeis e financeiras.

Processos de negócio resultam em transações que são registradas, processadas e reportadas pelo sistema de informações.

17. A qualidade das informações afeta a capacidade da administração de tomar decisões apropriadas na gestão e controle das atividades da entidade e de elaborar demonstrações contábeis confiáveis.

18. A comunicação, que envolve fornecer entendimento de funções e responsabilidades individuais próprias do sistema de controles internos da entidade, pode assumir as formas de manuais de políticas, manuais de relatórios contábeis e financeiros e memorandos. A comunicação também pode ser feita eletronicamente, verbalmente e por meio de ações da administração.

19. A comunicação pela entidade das funções e responsabilidades e de assuntos significativos relacionados com as informações contábeis envolve fornecer entendimento das funções e responsabilidades individuais próprias do sistema de controles internos da entidade relevantes para a apresentação de relatórios financeiros. Ela pode incluir assuntos como a extensão em que o pessoal entende o modo como suas atividades associadas ao sistema de informações relacionam-se com o trabalho de outros e a forma de comunicar as exceções ao nível mais alto apropriado na entidade.

Atividades de controle

20. Os controles no componente de atividades de controle são identificados, de acordo com o item 26. Esses controles incluem controles de processamento de informações e controles gerais de TI, que podem ser manuais ou automatizados. Quanto maior a extensão de controles automatizados ou controles envolvendo recursos automatizados que a administração usa e nos quais confia para a apresentação de seus relatórios financeiros, mais importante pode se tornar para a entidade implementar controles gerais de TI que tratem do funcionamento contínuo dos recursos automatizados dos controles de processamento de informações. Os controles no componente de atividades de controle podem estar relacionados com o seguinte:

• Autorização e aprovações. A autorização afirma que a transação é válida (isto é, ela representa evento econômico real ou está incluída na política da entidade). A autorização, geralmente, tem a forma de aprovação de nível mais alto da administração ou de verificação e determinação se a transação é válida. Por exemplo, o supervisor aprova um relatório de despesas depois de analisar se as despesas parecem razoáveis e se estão de acordo com a política. Um exemplo de aprovação automatizada é quando o custo na fatura é automaticamente comparado com o custo no pedido de compra relacionado dentro do nível de tolerância pré-estabelecido. As faturas dentro do nível de tolerância são automaticamente aprovadas para pagamento. As que ficam fora do nível de tolerância são sinalizadas para investigação adicional.

• Conciliações – Conciliações comparam dois ou mais elementos de dados. Se forem identificadas diferenças, são tomadas medidas para acertar os dados. As conciliações geralmente tratam da integridade ou precisão das transações de processamento.

• Verificações – Verificações comparam dois ou mais itens entre si ou comparam um item com uma política, e provavelmente envolvem a ação de acompanhamento quando os dois itens não combinarem ou o item não for compatível com a política. As verificações, geralmente, tratam da integridade, precisão ou validade das transações de processamento.

• Controles físicos ou lógicos, incluindo aqueles que tratam da segurança de ativos contra acesso, aquisição, uso e alienação não autorizados. São controles que abrangem:

• a segurança física dos ativos, incluindo salvaguardas adequadas, tais como instalações seguras para acesso a ativos e registros;

• a autorização de acesso a programas de computador e arquivos de dados (isto é, acesso lógico);

• a contagem e a comparação periódicas com valores apresentados nos registros de controle (por exemplo, comparar os resultados de contagens de dinheiro, títulos e estoques com registros contábeis).

A extensão em que os controles físicos destinados a impedir roubo de ativos são relevantes para a confiabilidade da elaboração das demonstrações contábeis depende de circunstâncias como quando os ativos são altamente suscetíveis à apropriação indébita.

• Segregação de funções. Atribuir a pessoas diferentes as responsabilidades de autorizar e registrar transações, bem como manter a custódia dos ativos. A segregação de funções destina-se a reduzir as oportunidades que permitam a qualquer pessoa estar em posição de perpetrar e de ocultar erros ou fraudes no curso normal das suas funções.

Por exemplo, o gerente que autoriza vendas a prazo não é responsável por manter os registros de contas a receber ou manusear recebimentos em dinheiro. Se uma pessoa é capaz de desempenhar todas essas atividades, ela pode, por exemplo, criar uma venda fictícia que pode não ser detectada. Da mesma forma, vendedores não podem ser capazes de alterar arquivos de preços de produtos ou taxas de comissões.

Algumas vezes, a segregação não é prática e eficaz em termos de custo ou viável. Por exemplo, entidades de menor porte e menos complexas podem não ter recursos suficientes para conseguir a segregação ideal e o custo para contratar pessoal adicional pode ser proibitivo. Nessas situações, a administração pode instituir controles alternativos. No exemplo acima, se o vendedor pode alterar arquivos de preços de produtos, pode ser implementada uma atividade de controle de detecção por meio da qual pessoal não relacionado com o departamento de vendas revisa periodicamente se, e em quais circunstâncias, o vendedor alterou preços.

21. Certos controles podem depender da existência de controles de supervisão apropriados estabelecidos pela administração ou pelos responsáveis pela governança. Por exemplo, os controles de autorização podem ser delegados sob diretrizes estabelecidas, tais como critérios de investimento estabelecidos pelos responsáveis pela governança.

Alternativamente, transações não rotineiras, tais como aquisições ou alienações importantes, podem requerer aprovação de alto escalão, inclusive, em alguns casos, a dos acionistas.

Limitações do controle interno

22. O sistema de controles internos da entidade, não importa o quão efetivo, pode fornecer à entidade apenas asseguração razoável quanto ao cumprimento dos objetivos das demonstrações contábeis da entidade. A probabilidade de seu cumprimento é afetada por limitações inerentes ao controle interno. Estas incluem os pressupostos de que o julgamento humano em tomadas de decisões é falho e de que rupturas no sistema de controles internos da entidade podem ocorrer por erro humano. Por exemplo, pode haver erro na concepção
ou na modificação do controle. Igualmente, a operação de controle pode não ser efetiva, por exemplo, quando as informações apresentadas para os fins do sistema de controles internos da entidade (por exemplo, relatório de exceção) não são usadas, efetivamente, porque o indivíduo responsável pela revisão das informações não compreende o seu propósito ou deixa de tomar a ação apropriada.

23. Adicionalmente, os controles podem ser contornados pelo conluio de duas ou mais pessoas ou podem ser indevidamente transgredidos pela administração. Por exemplo, a administração pode firmar com os clientes contratos paralelos que alterem os termos e as condições dos contratos de venda que são padrão da entidade, o que pode resultar no reconhecimento inadequado de receita. Também podem ser anulados ou desativados os
testes de verificação em aplicativo de TI destinados a identificar e a relatar transações que excedam limites de créditos especificados.

24. Além disso, ao planejar e implementar controles, a administração pode fazer julgamentos sobre a natureza e a extensão dos controles selecionados para serem implementados, bem como a natureza e a extensão dos riscos que ela decide assumir.

Apêndice 4 (ver itens 14(a), 24(a)(ii), de A25 a A28 e A118)

Considerações para entendimento da função de auditoria interna da entidade

Este Apêndice fornece considerações adicionais relacionadas com o entendimento da função de auditoria interna da entidade, quando essa função existe.

Objetivos e alcance da função de auditoria interna

1. Os objetivos e o alcance da função de auditoria interna, a natureza das suas responsabilidades e a sua situação na organização, incluindo a autoridade e a prestação de contas do departamento, variam amplamente e dependem do tamanho, da complexidade, da estrutura da entidade, dos requisitos da administração e, quando aplicável, dos responsáveis pela governança. Esses assuntos podem ser estabelecidos no plano de auditoria interna ou termos de referência.

2. As responsabilidades da função de auditoria interna podem incluir a realização de procedimentos e a avaliação dos seus resultados para fornecer asseguração à administração e aos responsáveis pela governança quanto ao planejamento e à eficácia da gestão de riscos, do sistema de controles internos da entidade e dos processos de governança. Se assim for, a auditoria interna pode desempenhar um importante papel no processo de monitoramento pela entidade do seu sistema de controles internos. Entretanto, as responsabilidades da função de auditoria interna podem estar focadas na avaliação da economicidade, eficiência e eficácia das operações e, consequentemente, podem não estar diretamente relacionadas com o processo de elaboração das demonstrações contábeis da entidade.

Indagações junto à auditoria interna

3. Se a entidade tem a função de auditoria interna, indagações junto aos indivíduos apropriados do departamento podem fornecer informações úteis para que o auditor obtenha entendimento da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável e do seu sistema de controles internos, e identifique e avalie os riscos de distorção relevante nos níveis das demonstrações contábeis e da afirmação. Ao realizar o seu trabalho, a auditoria interna provavelmente deve ter obtido entendimento das operações e dos riscos do negócio da entidade e pode ter constatado, com base no seu trabalho, deficiências ou riscos de controle, que podem fornecer informações valiosas para o entendimento pelo auditor da entidade e do seu ambiente, da estrutura de relatório financeiro aplicável, do sistema de controles internos da entidade, das suas avaliações de risco ou de outros aspectos da auditoria. Dessa forma, as indagações do auditor independente aos auditores internos são feitas independentemente de ele planejar utilizar o trabalho da auditoria interna para modificar a natureza, a época ou reduzir a extensão dos procedimentos de auditoria a serem realizados (NBC TA 610). Indagações de especial importância podem estar relacionadas com assuntos que a auditoria interna levantou com os responsáveis pela governança e com os resultados atingidos pela auditoria interna no seu próprio processo de avaliação de riscos.

4. Se, com base nas respostas às suas indagações, o auditor entender que há constatações que possam ser relevantes para a elaboração e a auditoria das demonstrações contábeis da entidade, ele pode considerar apropriado ler os respectivos relatórios da auditoria interna.

Exemplos de relatórios da função de auditoria interna que podem ser relevantes incluem os documentos e relatórios de estratégia e planejamento do departamento que foram elaborados para a administração ou para os responsáveis pela governança, descrevendo as constatações provenientes dos exames efetuados pela função de auditoria interna.

5. Além disso, de acordo com a NBC TA 240, item 20, se a auditoria interna fornecer informações para o auditor independente referentes a quaisquer casos reais, suspeitas ou indícios de fraude, ele considera essa informação na identificação de riscos de distorção relevante decorrente de fraude.

6. As indagações são feitas junto aos indivíduos apropriados da função de auditoria interna, que, no julgamento do auditor independente, têm conhecimento, experiência e autoridade apropriados, tais como o principal executivo responsável pela auditoria interna ou, dependendo das circunstâncias, outras pessoas do departamento. O auditor independente pode, também, considerar apropriado realizar reuniões periódicas com esses indivíduos.

Consideração da função de auditoria interna para o entendimento do ambiente de controle

7. Para entender o ambiente de controle, o auditor pode, também, considerar como a administração respondeu às constatações e recomendações da auditoria interna em relação às deficiências identificadas no controle que sejam relevantes para a elaboração das demonstrações contábeis, inclusive se e como essas respostas foram implementadas, e se elas foram subsequentemente avaliadas pela auditoria interna.

Entendimento do papel desempenhado pela função de auditoria interna no processo de monitoramento do sistema de controles internos da entidade

8. Se a natureza das responsabilidades da função de auditoria interna e das suas atividades de asseguração estiver relacionada com as demonstrações contábeis da entidade, o auditor independente pode, também, utilizar tais trabalhos para modificar a natureza ou a época, ou reduzir a extensão dos procedimentos de auditoria a serem realizados diretamente pelo auditor para a obtenção de evidência de auditoria. É mais provável que os auditores utilizem o trabalho da função de auditoria interna da entidade quando, por exemplo, com base na experiência em auditorias anteriores ou nos seus procedimentos de avaliação de riscos, parecer que a entidade tem a função de auditoria interna com recursos adequados e apropriados em relação à complexidade da entidade e à natureza de suas operações e tem um nível de subordinação direta com os responsáveis pela governança.

9. Se, com base no entendimento preliminar do auditor sobre a função de auditoria interna, ele espera utilizar o trabalho desse departamento para modificar a natureza ou a época ou, ainda, reduzir a extensão dos procedimentos de auditoria a serem realizados, a NBC TA 610 é aplicável.

10. Conforme discutido mais detalhadamente na NBC TA 610, as atividades da função de auditoria interna são distintas de outros controles de monitoramento que podem ser relevantes para as demonstrações contábeis, tais como revisões de informações contábeis gerenciais destinadas a contribuir para a prevenção ou detecção de distorção relevante pela entidade.

11. Estabelecer comunicações com as pessoas apropriadas da função de auditoria interna da entidade logo no início do trabalho, mantendo essas comunicações durante todo o trabalho, pode facilitar o efetivo compartilhamento de informações. Isso cria um ambiente em que o auditor independente pode ser informado sobre assuntos significativos de seu interesse, que cheguem ao conhecimento da função de auditoria interna, quando tais questões podem afetar o trabalho do auditor independente. A NBC TA 200, item 7, discute a importância de o auditor independente planejar e executar a auditoria com ceticismo profissional, incluindo a necessidade de permanecer alerta a informações que questionem a confiabilidade dos documentos e das respostas às indagações a serem utilizadas como evidência de auditoria.

Consequentemente, a comunicação com a auditoria interna durante todo o trabalho pode fornecer oportunidades para que os auditores internos levem essas informações à atenção do auditor independente, permitindo que ele considere essas informações na identificação e avaliação de riscos de distorção relevante.

Apêndice 5 (ver itens 25(a), 26(b) e (c), A94 e de A166 a A172)

Considerações para entendimento da tecnologia da informação (TI)

Este Apêndice fornece considerações adicionais que o auditor pode considerar para entender o uso de TI pela entidade em seu sistema de controles internos.

Entendimento do uso pela entidade da tecnologia da informação nos componentes do sistema de controles internos da entidade

1. O sistema de controles internos da entidade contém elementos manuais e elementos automatizados (isto é, controles manuais e automatizados e outros recursos utilizados no sistema de controles internos da entidade). A combinação de elementos manuais e automatizados varia conforme a natureza e a complexidade do uso de TI pela entidade. O uso de TI pela entidade afeta a maneira como as informações relevantes para a elaboração das demonstrações contábeis de acordo com a estrutura de relatório financeiro aplicável são processadas, armazenadas e comunicadas e afeta, portanto, a maneira como o sistema de controles internos da entidade é planejado e implementado. Cada componente do sistema de controles internos da entidade pode usar TI em alguma extensão.

De modo geral, a TI beneficia o sistema de controles internos da entidade, permitindo à entidade:

• aplicar consistentemente regras de negócio pré-definidas e realizar cálculos complexos no processamento de grandes volumes de transações ou dados;

• aprimorar a tempestividade, a disponibilidade e a exatidão das informações;

• facilitar a análise adicional das informações;

• aprimorar a capacidade de monitorar o desempenho das atividades da entidade e de suas políticas e procedimentos;

• reduzir o risco de que os controles sejam transgredidos; e

• aprimorar a capacidade de conseguir segregação eficaz de funções por meio da implementação de controles de segurança em aplicativos de TI, bases de dados e sistemas operacionais.

2. As características dos elementos manuais e automatizados são relevantes para a identificação e a avaliação de riscos de distorção relevante pelo auditor e para os procedimentos adicionais de auditoria baseados nos mesmos. Controles automatizados podem ser mais confiáveis do que controles manuais porque não podem ser facilmente contornados, ignorados ou transgredidos e também são menos propensos a erros simples.

Controles automatizados podem ser mais efetivos que os manuais nas seguintes circunstâncias:

• grande volume de transações recorrentes ou situações em que erros que possam ser previstos ou antecipados possam ser evitados ou detectados e corrigidos, por meio de automação;

• atividades de controle em que maneiras específicas de realizar o controle possam ser adequadamente planejadas e automatizadas.

Entendimento do uso pela entidade da tecnologia da informação no sistema de informações (ver item 25(a))

3. O sistema de informações da entidade pode incluir o uso de elementos manuais e automatizados, que também afetam o modo como as transações são iniciadas, registradas, processadas e comunicadas. Em particular, os procedimentos para iniciar, registrar, processar e comunicar transações podem ser realizados por meio de aplicativos de TI usados pela entidade da forma em que ela configurou esses aplicativos. Além disso, registros no formato de informações digitais podem substituir ou complementar registros em papel.

4. Ao obter entendimento do ambiente de TI relevante para os fluxos de transações e o processamento de informações no sistema de informações, o auditor coleta informações sobre a natureza e as características dos aplicativos de TI usados, bem como da infraestrutura de suporte para TI e do TI. A tabela a seguir inclui exemplos de assuntos que

• auditor pode considerar ao obter entendimento do ambiente de TI, além de exemplos de características típicas de ambientes de TI com base na complexidade dos aplicativos de TI usados no sistema de informações da entidade. Entretanto, essas características são direcionais e podem diferir dependendo da natureza das aplicações de TI específicas em uso pela entidade.

Tecnologias emergentes

5. As entidades podem usar tecnologias emergentes (por exemplo, blockchain (protocolo de confiança), robótica ou inteligência artificial) porque essas tecnologias podem apresentar oportunidades específicas para aumentar as eficiências operacionais ou aprimorar a apresentação de relatórios financeiros. Quando as tecnologias emergentes são usadas no sistema de informações da entidade que são relevantes para a elaboração das demonstrações contábeis, o auditor pode incluir essas tecnologias na identificação de aplicativos de TI e de outros aspectos do ambiente de TI que estão sujeitos a riscos decorrentes do uso de TI. Embora as tecnologias emergentes pareçam ser mais sofisticadas ou complexas em comparação com as tecnologias existentes, as responsabilidades do auditor em relação a aplicativos de TI e controles gerais de TI identificados, de acordo com o item 26(b) e (c), permanecem inalteradas.

Escalabilidade

6. O entendimento do ambiente de TI da entidade pode ser mais facilmente obtido para entidade menos complexa que usa software comercial e quando a entidade não tem acesso ao código-fonte para fazer alterações nos programas. Essas entidades podem não ter profissionais de TI dedicados, mas podem ter uma pessoa designada na função de administrador para fins de conceder acesso aos empregados ou instalar atualizações das aplicações de TI fornecidas pelo fornecedor. Assuntos específicos que o auditor pode considerar para entender a natureza de um pacote comercial de software de contabilidade, que pode ser um único aplicativo de TI usado por entidade menos complexa em seu sistema de informações, podem incluir:

• a extensão em que o software é bem estabelecido e tem boa reputação em termos de confiabilidade;

• a extensão em que é possível para a entidade modificar o código-fonte do software para incluir módulos adicionais (isto é, suplementos) no software de base ou para fazer alterações diretas nos dados;

• a natureza e a extensão das modificações que foram feitas no software. Embora a entidade possa não conseguir modificar o código-fonte do software, muitos pacotes de software permitem configurar (por exemplo, determinar ou alterar parâmetros de reporte).

Geralmente isso não envolve modificações no código-fonte. Contudo, o auditor pode considerar a extensão em que a entidade consegue configurar o software ao considerar a integridade e a precisão das informações produzidas pelo software que são usadas como evidência de auditoria; e

• a extensão em que os dados relacionados com a elaboração das demonstrações contábeis podem ser diretamente acessados (isto é, acesso direto à base de dados sem usar o aplicativo de TI) e o volume de dados que é processado.

Quanto maior o volume de dados, maior a probabilidade de a entidade precisar de controles que tratem da
manutenção da integridade dos dados, que podem incluir controles gerais de TI de acesso não autorizado e alterações nos dados.

7. Ambientes de TI complexos podem incluir aplicativos de TI altamente personalizados ou altamente integrados e podem, portanto, requerer mais esforço para entender os processos de apresentação de relatórios financeiros ou os aplicativos de TI podem estar integrados a outros aplicativos de TI. Essa integração pode envolver aplicativos de TI que são usados nas operações comerciais da entidade e que fornecem informações para os aplicativos de TI relevantes para os fluxos de transações e o processamento de informações no sistema de informações da entidade. Nessas circunstâncias, certos aplicativos de TI usados nas operações comerciais da entidade também podem ser relevantes para a elaboração das demonstrações contábeis. Ambientes de TI complexos também podem requerer
departamentos de TI dedicados com processos de TI estruturados suportados por pessoal com habilidades em desenvolvimento de software e manutenção de ambiente de TI. Em outros casos, a entidade pode usar prestadores de serviço internos ou externos para gerenciar certos aspectos do ambiente de TI ou de processos no ambiente de TI (por exemplo, hospedagem terceirizada).

Identificação de aplicativos de TI sujeitos a riscos decorrentes do uso de TI

8. Por meio do entendimento da natureza e da complexidade do ambiente de TI da entidade, incluindo a natureza e a extensão dos controles de processamento de informações, o auditor pode determinar em quais aplicativos de TI a entidade confia para processar e manter de maneira precisa a integridade das informações financeiras. A identificação dos aplicativos de TI nos quais a entidade confia pode afetar a decisão do auditor de testar os controles automatizados nesses aplicativos, assumindo que esses controles automatizados tratam dos riscos identificados de distorção relevante. Por outro lado, se a entidade não confia no aplicativo de TI, provavelmente os controles automatizados nesse aplicativo não são apropriados ou suficientemente precisos para fins de testes de efetividade operacional.

Os controles automatizados que podem ser identificados, de acordo com o item 26(b), incluem, por exemplo, cálculos ou inserções automatizados, controles de processamento e saídas, tais como uma correlação tripla envolvendo pedido de compra, documento de embarque do fornecedor e fatura do fornecedor. Quando o auditor identifica controles automatizados e determina, por meio do entendimento do ambiente de TI, que a entidade confia no aplicativo de TI que inclui esses controles automatizados, pode ser mais provável que ele identifique o aplicativo de TI como estando sujeito a riscos decorrentes do uso de TI.

9. Ao considerar se os aplicativos de TI para os quais o auditor identificou controles automatizados estão sujeitos a riscos decorrentes do uso de TI, é provável que o auditor considere se e em que extensão a entidade pode ter acesso ao código-fonte que possibilita à administração fazer alterações no programa desses controles ou dos aplicativos de TI. A extensão em que a entidade faz alterações em programas ou configurações e a extensão em que os processos de TI sobre essas alterações são formalizados também podem ser considerações relevantes. É provável, também, que o auditor considere o risco de acesso indevido ou alterações de dados.

10. Os relatórios gerados por sistema que o auditor pode pretender usar como evidência de auditoria podem incluir, por exemplo, relatório de vencimentos de contas a receber ou relatório de avaliação de estoque. Para esses relatórios, o auditor pode obter evidência de auditoria sobre a integridade e a precisão dos relatórios, testando de forma substancial as entradas e saídas do relatório. Em outros casos, o auditor pode planejar testar a efetividade operacional dos controles em relação à elaboração e à manutenção do relatório, caso em que o aplicativo de TI pelo qual ele é produzido está provavelmente sujeito a riscos decorrentes do uso de TI. Além de testar a integridade e precisão do relatório, o auditor pode planejar testar a efetividade operacional dos controles gerais de TI que tratam dos riscos relacionados com alterações inadequadas ou não autorizadas de programas ou de dados referentes ao relatório.

11. Alguns aplicativos de TI podem incluir uma funcionalidade de geração de relatório enquanto algumas entidades também podem utilizar aplicativos separados para geração de relatórios (isto é, geradores de relatório). Nesses casos, o auditor pode precisar determinar as fontes dos relatórios gerados por sistema (isto é, o aplicativo que elabora o relatório e as fontes de dados usadas pelo relatório) para determinar os aplicativos de TI sujeitos a riscos decorrentes do uso de TI.

12. As fontes de dados usadas pelos aplicativos de TI podem ser bases de dados que, por exemplo, podem ser acessadas somente por meio do aplicativo de TI ou pelo pessoal de TI com privilégios de gerenciamento de base de dados. Em outros casos, a fonte de dados pode ser um armazém de dados que pode inclusive ser considerado um aplicativo de TI sujeito a riscos decorrentes do uso de TI.

13. O auditor pode ter identificado um risco para o qual apenas procedimentos substantivos não são suficientes devido ao uso pela entidade de processamento de transações altamente automatizado e sem papel, que pode envolver múltiplos aplicativos de TI integrados. Nessas circunstâncias, os controles identificados pelo auditor provavelmente incluem controles automatizados. Ainda, a entidade pode confiar em controles gerais de TI para manter a integridade das transações processadas e de outras informações usadas no processamento. Nesses casos, os aplicativos de TI envolvidos no processamento e no armazenamento das informações são provavelmente sujeitos a riscos decorrentes do uso de TI.

Computação de usuário final

14. Embora a evidência de auditoria também possa vir na forma de resultado gerado por sistema que é usado em cálculo realizado em uma ferramenta relacionada com computação de usuário final (por exemplo, software de planilha ou bases de dados simples), essas ferramentas normalmente não são identificadas como aplicativos de TI no contexto do item 26(b). O planejamento e a implementação de controles de acesso e alterações às ferramentas relacionadas com computação de usuário final podem ser um desafio, e esses controles raramente são equivalentes aos controles gerais de TI ou tão efetivos quanto eles.

Em vez disso, o auditor pode considerar uma combinação de controles de processamento de informações, levando em consideração o propósito e a complexidade da computação do usuário final envolvidos, tais como:

• controles de processamento de informações sobre a iniciação e o processamento dos dados fonte, incluindo controles automatizados ou de interface relevantes no ponto em que os dados são extraídos (isto é, armazém de dados);

• controles para verificar se a lógica está funcionando conforme pretendido, por exemplo, controles que “comprovem” a extração de dados, tais como conciliação do relatório com os dados dos quais é derivado, comparando os dados individuais do relatório com a fonte e vice versa, e controles que verificam as fórmulas ou macros; ou

• uso de ferramentas de software de validação, que verifica sistematicamente as fórmulas ou macros, tais como ferramentas de integridade de planilhas.

Escalabilidade

15. A capacidade da entidade de manter a integridade das informações armazenadas e processadas no sistema de informações pode variar com base na complexidade e no volume das transações relacionadas e de outras informações. Quanto maior a complexidade e o volume de dados que suportam uma classe de transações, saldo contábil ou divulgação significativa, menor a probabilidade de a entidade manter a integridade dessas informações somente por meio de controles de processamento de informações (por exemplo, controles de entrada e saída ou controles de revisão). Também é menos provável que o auditor seja capaz de obter evidência de auditoria sobre a integridade e a precisão dessas informações somente testando de forma substancial quando essas informações são usadas como evidência de auditoria. Em algumas circunstâncias, quando o volume e a complexidade das transações são menores, a administração pode ter um controle de processamento de informações que é suficiente para verificar a precisão e a integridade dos dados (por exemplo, pedidos de venda individuais processados e faturados podem ser conciliados com as vias impressas originalmente inseridas no aplicativo de TI). Quando a entidade confia em controles gerais de TI para manter a integridade de certas informações usadas pelos aplicativos de TI, o auditor pode determinar que os aplicativos de TI que mantêm essas informações estão sujeitos a riscos decorrentes do uso de TI.

Outros aspectos do ambiente de TI sujeitos a riscos decorrentes do uso de TI

16. Quando o auditor identifica aplicativos de TI sujeitos a riscos decorrentes do uso de TI, outros aspectos do ambiente de TI normalmente também estão sujeitos a riscos decorrentes do uso de TI. A infraestrutura de TI inclui as bases de dados, o sistema operacional e a rede. As bases de dados armazenam os dados usados pelos aplicativos de TI e podem consistir em diversas tabelas de dados inter-relacionadas. Os dados nas bases de dados também podem ser acessados diretamente por meio de sistemas de gerenciamento da base de dados por TI ou por outro pessoal com privilégios de gerenciamento de base de dados. O sistema operacional é responsável por gerenciar as comunicações entre hardware, aplicativos de TI e outros softwares usados na rede. Dessa forma, os aplicativos de TI e as bases de dados podem ser acessados diretamente por meio do sistema operacional. A rede é usada na infraestrutura de TI para transmitir dados e compartilhar informações, recursos e serviços por meio de ligação de comunicações comum. Normalmente, a rede também estabelece uma camada de segurança lógica (habilitada pelo do sistema operacional) para acessar os recursos subjacentes.

17. Quando os aplicativos de TI são identificados pelo auditor como estando sujeitos a riscos decorrentes do uso de TI, as bases de dados que armazenam os dados processados pelo aplicativo de TI identificado também são normalmente identificadas. Da mesma forma, pelo fato de a capacidade do aplicativo de TI operar ser muitas vezes dependente do sistema operacional e de aplicativos de TI e as bases de dados poderem ser diretamente acessadas no sistema operacional, o sistema operacional normalmente está sujeito a riscos decorrentes do uso de TI. A rede pode ser identificada quando ela é um ponto central de acesso aos aplicativos de TI identificados e às bases de dados relacionadas, ou quando o aplicativo de TI interage com fornecedores ou partes externas pela internet, ou quando aplicativos de TI baseados na internet são identificados pelo auditor.

Identificação de riscos decorrentes do uso de TI e controles gerais de TI

18. Exemplos de riscos decorrentes do uso de TI incluem riscos relacionados com confiança inadequada em aplicativos de TI que processam dados de maneira imprecisa ou processam dados imprecisos, ou os dois, tais como:

• acesso não autorizado a dados, que pode resultar em destruição de dados ou modificações inadequadas de dados, incluindo o registro de transações não autorizadas, inexistentes ou o registro incorreto de transações. Podem surgir riscos específicos quando múltiplos usuários têm acesso à base de dados comum;

• a possibilidade de que o pessoal de TI consiga acesso privilegiado além do necessário para realizar os deveres a ele atribuído, rompendo assim a segregação de funções;

• modificações não autorizadas de dados nos arquivos-mestres;

• modificações não autorizadas em aplicativos de TI ou outros aspectos do ambiente de TI;

• falha na realização de modificações necessárias em aplicativos de TI ou outros aspectos do ambiente de TI;

• intervenção manual inadequada;

• perda potencial de dados ou incapacidade de acessar dados como exigido.

19. A consideração do auditor sobre acesso não autorizado pode incluir riscos relacionados com acesso não autorizado por partes internas ou externas (muitas vezes referidos como riscos de segurança cibernética). Esses riscos podem não necessariamente afetar os relatórios financeiros, uma vez que o ambiente de TI da entidade também pode incluir aplicativos de TI e dados relacionados que tratam das necessidades operacionais ou de conformidade. É importante notar que incidentes cibernéticos geralmente ocorrem primeiro por meio do
perímetro e das camadas internas da rede, que tendem a ser removidos do aplicativo de TI, da base de dados e dos sistemas operacionais que afetam a elaboração das demonstrações contábeis. Consequentemente, se as informações sobre uma violação de segurança foram identificadas, o auditor, normalmente, considera até que ponto essa violação tem o potencial de afetar os relatórios financeiros. Se os relatórios financeiros podem ser afetados, o auditor pode decidir entender e testar os controles relacionados para determinar o possível impacto, o escopo de potenciais distorções nas demonstrações contábeis ou pode determinar que a entidade forneceu divulgações adequadas em relação a essa violação de segurança.

20. Além disso, leis e regulamentos, que podem ter efeito direto ou indireto sobre as demonstrações contábeis da entidade, podem incluir legislação de proteção de dados.

Considerar a conformidade da entidade com essas leis e esses regulamentos, de acordo com a NBC TA 250, pode envolver o entendimento dos processos de TI dessa entidade e dos controles gerais de TI implementados pela entidade para tratar das leis e dos regulamentos relevantes.

21. São implementados controles gerais de TI para tratar dos riscos decorrentes do uso de TI. Consequentemente, o auditor usa o entendimento obtido sobre os aplicativos de TI identificados e sobre outros aspectos do ambiente de TI e os riscos decorrentes do uso de TI para determinar os controles gerais de TI a serem identificados. Em alguns casos, a entidade pode usar processos de TI comuns em todo o seu ambiente de TI ou em certos aplicativos de TI, caso em que os riscos comuns decorrentes do uso de TI e os controles gerais comuns podem ser identificados.

22. Em geral, é provável que seja identificada uma quantidade maior de controles gerais de TI relacionados com aplicativos de TI e bases de dados do que com outros aspectos do ambiente de TI. Isso ocorre porque esses aspectos são os mais ligados com o processamento de informações e o armazenamento das informações no sistema de informações da entidade. Ao identificar controles gerais de TI, o auditor pode considerar controles tanto de ações dos usuários finais quanto do pessoal de TI da entidade ou de provedores de serviços de TI.

23. O Apêndice 6 fornece explicações adicionais sobre a natureza dos controles gerais de TI normalmente implementados para diferentes aspectos do ambiente de TI. Além disso, são fornecidos exemplos de controles gerais de TI para diferentes processos de TI.

Apêndice 6 (ver itens 25(c)(ii), A173 e A174)

Considerações para entendimento dos controles gerais de TI

Este Apêndice fornece assuntos adicionais que o auditor pode considerar para entender os controles gerais de TI.

1. A natureza dos controles gerais de TI normalmente implementados para cada um dos aspectos do ambiente de TI:

(a) Aplicativos

Os controles gerais de TI no nível de aplicativos de TI estão relacionados com a natureza e a extensão da funcionalidade do aplicativo e com as rotas de acesso permitidas pela tecnologia. Por exemplo, mais controles são relevantes para aplicativos de TI altamente integrados com opções de segurança complexas do que para aplicativo de TI legado que suporta uma quantidade pequena de saldos contábeis com métodos de acesso somente por meio de transações.

(b) Base de dados

Os controles gerais no nível de base de dados normalmente tratam dos riscos decorrentes do uso de TI relacionados com atualizações não autorizadas para informações de relatórios financeiros na base de dados por meio de acesso direto à base de dados ou execução de script ou programa.

(c) Sistema operacional

Os controles gerais de TI no nível do sistema operacional normalmente tratam dos riscos decorrentes do uso de TI relacionados com acesso administrativo, que podem facilitar a transgressão de outros controles. Isso inclui ações como comprometer as credenciais de outros usuários, adicionar usuários novos não autorizados, carregar malware, executar scripts ou outros programas não autorizados.

(d) Rede

Os controles gerais de TI no nível de rede normalmente tratam dos riscos decorrentes do uso de TI relacionados com segmentação, acesso remoto e autenticação de rede.

Os controles de rede podem ser relevantes quando a entidade tem aplicativos baseados na internet utilizados em relatórios financeiros. Os controles de rede também podem ser relevantes quando a entidade tem relações com parceiros de negócios ou terceirizações significativas, que podem aumentar as transmissões de dados e a necessidade de acesso remoto.

2. Exemplos de controles gerais de TI que podem existir, organizados por processo de TI, incluem:

(a) Processo para gerenciamento de acesso:

• Autenticação

Controles que asseguram que o usuário que está acessando o aplicativo de TI ou outro aspecto do ambiente de TI está usando suas próprias credenciais de login (isto é, o usuário não está usando as credenciais de outro usuário).

• Autorização

Controles que permitem que os usuários acessem as informações necessárias para as responsabilidades do seu trabalho e nada além, que facilitam a apropriada segregação de funções.

• Provisionamento

Controles para autorizar novos usuários e modificações em privilégios de acesso a usuários existentes.

• Desprovisionamento

Controles para remover o acesso de usuários no final ou transferência.

• Acesso privilegiado

Controles de acesso administrativo ou de usuários com amplo acesso.

• Revisões de acesso ao usuário

Controles para recertificar ou avaliar o acesso a usuário para autorização contínua ao longo do tempo.

• Controles de configuração de segurança

Cada tecnologia geralmente tem definições de configuração-chave que auxiliam a restringir o acesso ao ambiente.

• Acesso físico

Controles do acesso físico ao centro de dados e hardware, uma vez que esse acesso pode ser usado para transgredir outros controles.

(b) Processo para gerenciamento de programa ou outras alterações no ambiente de TI:

• Processo de gerenciamento de alterações

Controles do processo de planejamento, programação, teste e migração de alterações para ambiente de produção (isto é, usuário final).

• Segregação de funções durante migração de alterações

Controles que segregam o acesso para fazer e migrar alterações para ambiente de produção.

• Desenvolvimento, aquisição ou implementação de sistemas

Controles do desenvolvimento ou da implementação de aplicativo de TI inicial (ou em relação a outros aspectos do ambiente de TI).

• Conversão de dados

Controles da conversão de dados durante o desenvolvimento, a implementação ou atualizações do ambiente de TI.

(c) Processo de gerenciamento de operações de TI

• Programação de tarefas

Controles do acesso a programação e iniciação de tarefas ou programas que podem afetar os relatórios financeiros.

• Monitoramento de tarefas

Controles para monitorar tarefas ou programas relacionados com relatórios financeiros para uma execução bem sucedida.

• Backup e recuperação

Controles para assegurar que os backups de dados de relatórios financeiros ocorram conforme planejado, que esses dados estejam disponíveis e que possam ser acessados para a recuperação tempestiva no caso de interrupção ou ataque. o Detecção de intrusão Controles para monitorar vulnerabilidades e/ou intrusões no ambiente de TI.

A tabela a seguir apresenta exemplos de controles gerais de TI para tratar de exemplos de riscos decorrentes do uso de TI, incluindo para diferentes aplicativos de TI com base em sua natureza.