Prévia do material em texto
Resumo Capítulo 8 - Relevância, Risco e Estratégias Preliminares de Auditoria Três importantes componentes de planejamento de auditoria são: realização de julgamentos preliminares sobre níveis de relevância, consideração de risco de auditoria e desenvolvimento de estratégias preliminares de auditoria Relevância é considerada tanto no nível de demonstração contábil como no saldo de conta, e pode ser expressa em termos quantitativos ou não quantitativos. Existe uma relação inversa entre nível de relevância e volume necessário de evidência. Atualmente, não existem diretrizes oficiais sobre medidas quantitativas de relevância, nas normas de contabilidade ou nas de auditoria. O que costuma ser utilizado na prática é o seguinte: 5 a 10% do lucro antes do imposto de renda (10% para lucros menores, 5% para maiores); 0,5 a 1% do ativo total; 1% do patrimônio líquido; 0,5 a 1% da receita bruta; um percentual variável sobre o ativo total ou a receita, o que for maior. Risco de auditoria é o risco de que o auditor possa inadvertidamente não modificar adequadamente seu parecer sobre demonstrações contábeis que contêm erros ou classificações indevidas materias. Risco inerente é a suscetibilidade de uma afirmação a um erro ou classificação indevida material, supondo que não haja controles. A avaliação do risco inerente exige consideração de questões que podem afetar informações sobre muitas contas, ou mesmo sobre todas elas, e de questões que podem referir-se apenas a uma afirmação sobre uma conta determinada. Exemplos de questões que podem afetar muitas afirmações são: lucratividade da entidade em relação a indústria; sensibilidade de resultados operacionais a fatores econômicos; problemas de continuidade (falta de capital de giro, por exemplo); natureza, causa e valor de erros ou classificações indevidas detectados eu auditoria anterior, conhecidos e prováveis; rotação, reputação, e conhecimentos contábeis de administração; impacto de desenvolvimento tecnológicos sobre as operações e competitividade da companhia. Exemplos de questões que se relacionam com contas especificas são: contas ou transações difíceis de serem auditadas; questões contábeis controversas ou difíceis; suscetibilidade à apropriação indébita de ativos; complexidade de cálculos; extensão de julgamentos relacionados com afirmações; sensibilidade de avaliações a fatores econômicos. Risco de controle é o risco de que um erro ou classificação indevida de materiais que possam constar de uma afirmação não sejam evitados ou detectados tempestivamente pelos controles internos da entidade. Risco de detecção é o risco de que o auditor não detecte um erro ou classificação indevida relevante que existe em uma afirmação. O risco de auditoria pode ser expresso em função de três ou quatro componentes. Os componentes risco inerente e risco de controle estão fora de controle do auditor que, simplesmente os avalia. Muitas vezes é útil expressar risco de detecção como o produto de dois componentes - risco de procedimentos de revisão analítica e risco de testes de detalhes. Controlando esses riscos, o auditor mantém o risco de auditoria em um nível adequadamente baixo, para obter segurança razoável de que as demonstrações contábeis não contêm erros ou classificações indevidas materiais. Níveis mais baixos de risco de procedimentos de revisão analítica e de risco de testes de detalhes indicam que um nível mais alto de segurança é necessário para esse tipo de evidência de auditoria. De acordo com a abordagem de ênfase em testes de detalhes, os componentes da estratégia de auditoria são assim especificados: o nível avaliado planejado de risco de procedimentos de revisão analítica é colocado em um grau alto; o nível avaliado planejado do risco de controle é colocado em um grau alto (ou no grau máximo); o nível de entendimento das partes relevantes dos controles internos é colocado em um grau mínimo; poucos testes de controles são planejados, ou mesmo nenhum; muitos testes substantivos de transações e saldos são planejados, com baixo nível aceitável planejado de risco de detecção. Para a abordagem de um nível avaliado de risco mais baixo de controle, os componentes da estratégia de auditoria podem ser assim especificados: Testes de controles são planejados provavelmente testando controles computadorizados embutidos no sistema do cliente; menos extensos testes substantivos de transações ou saldos são planejados com base em um grau moderado ou alto de nível aceitável planejado de risco de detecção. Diferentes estratégias preliminares de auditoria podem ser adotadas para verificação de afirmações significativas em demonstrações contábeis. Quatro estratégias foram apresentadas, baseadas no nível avaliado planejado de risco inerente e nos riscos de controle, de procedimentos de revisão analítica e de testes de detalhes. O objetivo do auditor é desenvolver uma estratégia que, minimizando o custo da auditoria, permita-lhe (1) obter segurança razoável e (2) Fundamentar o oferecimento de serviços que agregam valor. Capitulo 9 – Entendimento de Controles Internos Controles internos são um processo operado pelo conselho de administração, pela administração e outras pessoas, desenhado para fornecer segurança razoável quanto à consecução de objetivos nas seguintes categorias: Confiabilidade de informações financeiras; obediência (compliance) às leis e regulamentos aplicáveis; eficácia e eficiência de operações. Temos como componentes de controles internos cinco itens que se inter-relacionam: ambiente de controle, “dá o tom” de uma organização, influenciando a consciência de controle das pessoas que nela trabalham. Representa o alicerce dos demais componentes, disciplinando-os e estruturando-os; avaliação de risco, identificação e análise dos riscos relevantes para a consecução dos objetivos da entidade, forma a base para a determinação de como os riscos devem ser administrados; atividades de controle, políticas e procedimentos que ajudam a assegurar que as diretrizes da administração estejam sendo seguidas; informação e comunicação, identificação, captura e troca de informações sob forma e em época tais que permitam que as pessoas cumpram suas responsabilidades; Monitoração, processo que avalia a qualidade do desempenho dos controles internos. O ambiente de controle é o que influencia a consciência de controle das pessoas que nela trabalham. É a fundação para os demais componentes de controles internos, fornecendo disciplina e estrutura. Vários fatores compõem o ambiente de controle de uma entidade, entre os quais: integridade e valores éticos; comprometimento com competência; conselho de administração e comitê de auditoria; estrutura organizacional; filosofia e estilo operacional de administração; atribuição de autoridade e responsabilidade; e políticas e práticas de recursos humanos. Um grande número de organizações tem reconhecido a importância que a administração, os auditores independentes e partes externas (agências reguladoras, por exemplo) à empresa atribuem a controles internos. O segundo padrão de trabalho de campo exige que o auditor obtenha entendimento dos controles internos do cliente em extensão suficiente a poder planejar a auditoria. Isso envolve entendimento do desenho dos controles e se eles se encontram em operação, mas não inclui determinação de sua eficácia. O auditor utiliza o entendimento para identificar tipos de erros ou classificações indevidas potenciais que possam afetar as afirmações da administração em demonstrações contábeis, para considerar os fatores que afetam o risco de presença de tais erros ou classificações indevidas e para desenhar testes substantivos que forneçam segurançarazoável de que eles serão detectados. A maioria das entidades que exigem auditoria utilizam tecnologia da informação em seus sistemas contábeis. O capítulo descreveu alguns métodos usuais de processamento de dados e discutiu os riscos associados com sistemas contábeis computadorizados. A natureza e a extensão dos procedimentos utilizados na obtenção de entendimento são afetados por fatores como a estratégia de auditoria escolhida (abordagens que enfatizam testes substantivos ou abordagem de um nível de risco de controle mais baixo), a experiência anterior com o cliente e o tamanho e complexidade de suas operações. O entendimento do auditor deve ser documentado em papéis de trabalho, com utilização de questionários, fluxogramas e/ou memorandos narrativos. As responsabilidades adicionais do auditor em atender ao segundo padrão de trabalho de campo serão consideradas nos dois capítulos seguintes. Componentes importantes de tecnologia da informação, Hardware, Software e métodos de organização e processamento de dados. Também é importante entender os benefícios e riscos de sistemas de tecnologia da informação. Entre os benefícios, em comparação com sistemas manuais, incluem-se: sistemas de tecnologia da informação podem proporcionar maior coerência de processamento que sistemas manuais, pois submetem todas as transações aos mesmos controles, uniformemente. Relatórios contábeis mais tempestivos podem fornecer a administração meios mais eficazes de análise, supervisão e revisão das operações da empresa. Entre os riscos, também em comparação com sistemas manuais, incluem-se: O sistema de tecnologia da informação produz uma trilha de transação que é disponível para auditoria apenas por um curto período de tempo. Muitas vezes, existe menos evidência documentária do desempenho de procedimentos de controle em sistemas computadorizados. Entre outros. Avaliação de risco para fins de elaboração e apresentação de relatórios financeiros é a identificação, análise e administração dos riscos de uma entidade relevantes para a preparação de demonstrações contábeis que sejam apresentadas adequadamente de acordo com princípios contábeis geralmente aceitos. Capítulo 10 – Avaliação de Risco de Controle/Execução de Testes de Controles A metodologia para avaliação de risco de controle para afirmações sobre classes de transações e sobre saldos de contas constituem parte importante da auditoria de demonstração contábil. A metodologia inclui identificação de erros ou irregularidades potenciais e controles necessários, avaliação de evidência obtida no entendimento dos controles internos, realização de testes de controles e realização da avaliação. Ao completar essa sequência, o auditor geralmente compara o nível real de risco de controle com o nível planejado, para determinar se o nível planejado de testes substantivos deve ser revisto para que obtenha o nível desejado de segurança de que a afirmação não contém erros ou irregularidades relevantes. Este capítulo discutiu técnicas específicas de auditoria computadorizada que podem ser utilizadas para avaliar controles programados em computador. O processo de avaliação de risco de controle varia ligeiramente, a depender de ter sido adotada uma estratégia preliminar de auditoria que enfatize testes substantivos ou uma que considere nível mais baixo de risco de controle. Exigências para documentação do nível avaliado de risco de controle também foram explicadas. Uma avaliação correta de risco de controle é vital para uma auditoria eficaz e eficiente. Finalmente, o auditor fornece valor além do parecer de auditoria, no sentido de que certas reportable conditions descobertas no processo de avaliação de risco de controle devem ser comunicadas ao comitê de auditoria ou a outras pessoas com autoridade e responsabilidade equivalentes. Avaliação de risco de controle é o processo de avaliação da eficácia dos controles internos de uma entidade na prevenção e detecção de erros ou classificações indevidas nas demonstrações contábeis. A importância dos controles internos da organização de serviços para os da organização usuária depende da natureza e relevância das transações que a primeira processa para a última e do grau de interação das atividades de uma e de outra. Quando a organização usuária inicia transações e a organização de serviços as executa e contabiliza, existe alto grau de interação da organização de serviços. Consequentemente, pode ser viável que a organização usuária implante controles eficazes sobre tais transações. Contudo, quando a organização de serviços inicia, executa e contabiliza transações da organização usuária, existe baixo grau de interação, e pode não ser prático que a organização usuária implante controles eficazes sobre tais transações. Obtenção de entendimento. O auditor deve obter entendimento suficiente de cada um dos cinco componentes dos controles internos da entidade para que possa planejar a auditoria. Esse entendimento pode envolver controles colocados em operação pela entidade e pela organização de serviços cujos serviços são parte do tema de informações. Informações sobre os serviços prestados por uma organização de serviços que fazem parte do sistema de informações da organização usuária e outros controles internos podem encontrar-se disponíveis em manuais técnicos, em contratos entre a organização usuária e a organização de serviços e em relatórios sobre os controles da organização de serviços, emitidos por auditores de serviços, auditores internos ou agências reguladoras. Se os serviços e controles da organização de serviços forem altamente padronizados, informações obtidas em experiência anterior do auditor de usuário podem ser úteis para planejar a auditoria. Finalmente, se o auditor de usuário não conseguir obter evidências suficientes à consecução de seus objetivos de auditoria, deverá emitir parecer com ressalva ou com abstenção de opinião sobre as demonstrações contábeis, em razão de limitação de extensão. O auditor de usuário deve investigar a reputação do auditor de serviços em fontes adequadas (AICPA, sociedades estaduais de CPA, conselhos estaduais de contabilidade e outros profissionais), antes de avaliar risco de controle abaixo do nível máximo. Realização de testes substantivo: Auditores de serviços podem ser contratados para realizar testes substantivos em benefício de auditores de usuários. O auditor de serviços pode realizar procedimentos preestabelecidos pela organização usuária e seu auditor e pela organização de serviços e seu auditor. Além disso, podem existir exigências impostas por autoridades governamentais ou por arranjos contratuais segundo os quais auditores de serviços realizem testes substantivos específicos.