5. Execução do Plano de Auditoria

Transcrição

1 5. Execução do Plano de Auditoria 5.1. Avaliar a Eficácia do Desenho e da Operação de Controle Interno Conforme discutimos no item 04, é necessário que a equipe de auditores obtenha e documente o entendimento do controle interno de uma cooperativa que seja suficiente para avaliar o risco de demonstração materialmente errônea, seja devido a erro ou a fraude. Esse entendimento também auxilia a equipe de auditores na determinação da extensão em que ela pretende confiar nos controles para cada risco razoavelmente possível. Essa confiança pretendida sobre os controles internos e a avaliação dos riscos inerentes determinam a natureza, a época e a extensão dos procedimentos substantivos a serem efetuados em resposta a um risco em particular O risco de controle é aquele em que um erro material não será prevenido ou detectado em tempo hábil pelos controles internos de uma cooperativa. É uma função da eficácia do desenho e da operação do controle interno. A avaliação do risco de controle é o processo de avaliação da eficácia do controle interno para prevenir ou detectar erros materiais. Quanto menor o nível de risco de controle avaliado, maior a garantia necessária a ser proporcionada por testes de controle e maior a redução potencial em nossos procedimentos de auditoria substantivos Quando os controles nos níveis da cooperativa e das atividades são desenhados de modo eficaz, é necessário que a equipe de auditores teste a eficácia operacional dos controleschave para os riscos razoavelmente possíveis Embora os padrões de risco fiquem abaixo dos testes de controle obrigatórios, eles exigem que a equipe de auditores inclua os testes dos controles internos como parte da estratégia de auditoria onde isso for apropriado. Da mesma forma, quando os controles tiverem sido desenhados de modo eficaz e o walkthrough fornecer prova de que os controles foram implementados, a equipe de auditores deve, normalmente, testar esses controles Ao avaliar a eficácia do desenho, a equipe de auditores considera quaisquer pontos identificados na etapa de levantamentos e desenho. Essa avaliação ajuda a equipe de auditores a determinar a extensão em que ela pode confiar nos controles para responder aos riscos identificados. Em seguida são realizados walkthroughs para verificação da implementação e sucesso dos controles e se positivo, realizados testes para determinar se o controle interno está funcionando de modo eficaz. Se estiver operando eficazmente, a equipe de auditores confirma a pretendida confiança sobre os controles internos e pode reduzir a extensão dos procedimentos substantivos em resposta aos riscos razoavelmente possíveis A equipe de auditores da Cnac não deve testar os controles quando: Uma fraqueza material no nível da cooperativa afeta a operação dos controles no nível das atividades relacionada a um risco específico; Os controles no nível das atividades relacionados a um risco específico não estão desenhados de modo eficaz (isto é, existe uma fraqueza material); Os controles no nível das atividades provavelmente não estão funcionando de modo eficaz; 83

2 Testes sobre a eficácia operacional seriam ineficientes Ao decidir não testar os controles, a equipe de auditores deve considerar se pode ser obtida prova suficiente de auditoria para responder ao risco a partir apenas dos procedimentos de auditoria substantivos É necessário que a equipe de auditores vá além de obter uma compreensão do controle interno e testar determinados controles quanto à eficácia operacional quando somente os procedimentos substantivos não seriam eficazes. Quando os controles não tiverem sido desenhados de modo eficaz, a equipe de auditores deve determinar se existe uma limitação de escopo Conforme discutido anteriormente, a equipe de auditores deve obter e documentar um entendimento dos controles no nível da cooperativa e no nível das atividades. Os controles no nível das atividades devem ser documentados para processos muito importantes e um pouco importantes associados aos riscos razoavelmente possíveis. Depois que esses controles tiverem sido compreendidos e documentados, a equipe de auditores deve avaliar a eficácia do desenho. A eficácia do desenho está relacionada aos controles apropriados serem implementados para prevenir e detectar erros ou fraude É importante avaliar a eficácia do desenho tanto dos controles no nível da cooperativa quanto dos controles no nível das atividades. Os controles no nível da cooperativa em geral têm um efeito abrangente em vários saldos de contas ou classes de transações e, portanto, podem afetar muitos postulados. Os controles no nível das atividades, ao contrário, afetam diretamente os postulados relacionados a saldo de conta e classe de transações específicas. Por exemplo, determinados controles sobre a guarda de contratos de operações de crédito estão diretamente relacionados ao postulado de existência, mas a nenhum outro postulado Se os controles no nível da cooperativa não forem desenhados de modo eficaz, a equipe de auditores deve avaliar a respectiva deficiência para determinar se é um erro material. Caso seja uma deficiência material, a equipe deve determinar se esta afeta diretamente o desenho ou o funcionamento dos controles no nível das atividades relacionados a quaisquer riscos razoavelmente possíveis. Se afetar, não será possível obter garantia dos testes de controle no nível das atividades para reduzir os procedimentos substantivos para os riscos afetados. Entretanto, se a equipe de auditores determinar que a fraqueza material no nível da cooperativa não afeta diretamente o desenho ou o funcionamento dos controles no nível das atividades relacionadas a quaisquer riscos razoavelmente possíveis, talvez seja possível confiar nos controles sobre os riscos razoavelmente possíveis testando a eficácia operacional dos controles-chave no nível das atividades associados a eles Quando as deficiências de eficácia do desenho de controle no nível da cooperativa são identificadas, a equipe de auditores deve analisar se essas deficiências podem gerar erros nas demonstrações contábeis. Se isso ocorrer, os procedimentos de auditoria substantivos devem ser desenhados para responder aos riscos identificados. Essa ação é necessária independentemente de a equipe de auditores determinar que os controles no nível das atividades são afetados pelas deficiências dos controles no nível de cooperativa. 84

3 Por exemplo, a equipe de auditores avaliou os sistemas contábeis que iniciam, processam e registram as transações envolvendo receita e concluíram que os controles foram desenhados de modo eficaz. A equipe testou os controles-chave e concluiu pela confiança dos controles preliminarmente pretendida. A equipe de auditores também identificou as deficiências no nível da cooperativa nos processos de emissão de relatórios financeiros, mas concluiu que as deficiências não impactavam o funcionamento dos controles no nível das atividades. Entretanto, a equipe de auditores desenhou procedimentos de auditoria substantivos para endereçar o risco de quebra de controle pela administração nos relatórios contábeis depois que toda a atividade de receita fosse compilada no razão geral contábil O auditor deve testar a eficácia do desenho do controle para determinar se os controles da cooperativa são operacionalizados por pessoas competentes e com a devida autoridade para garantir a eficácia, para realizar os objetivos de controle e para prevenir e detectar erros e fraudes que poderiam resultar em erro material sobre as demonstrações contábeis. Por exemplo, Uma cooperativa de menor porte ou menos complexa pode realizar os seus objetivos de controle de uma maneira diferente em relação a uma grande cooperativa. Por exemplo, uma cooperativa de menor porte pode ter menos funcionários na área de contabilidade, reduzindo a possibilidade de uma adequada segregação de funções e obrigando a cooperativa a implementar controles alternativos para realizar os seus objetivos de controle. Em tais circunstâncias, o auditor deve avaliar se esses controles alternativos são eficazes Procedimentos que o auditor executa para testar a eficácia do desenho incluem uma combinação de indagação ao pessoal apropriado, observação das operações da cooperativa e inspeção da documentação importante. Walkthroughs que incluam estes procedimentos normalmente são suficientes para avaliar a eficácia do desenho Os fatores a seguir devem ser levados em consideração pela equipe de auditores na avaliação da eficácia do desenho: Controles ausentes; Funções incompatíveis (isto é, falta de segregação de funções); Combinação inadequada de controles (por exemplo, ausência de controles de monitoramento, muitos controles não documentados); Ausência de controles de segurança de acesso (isto é, restringir o acesso aos dados e programas ao pessoal adequado). Considerações Adicionais de Avaliação de Pontos Identificados A equipe de auditores é a maior responsável pela avaliação dos pontos identificados e por determinar se existem deficiências adicionais não identificadas no processo de desenho dos controles. A seguir são mostradas considerações adicionais para auxiliar a equipe de auditores na avaliação e conclusão da eficácia do desenho: Os controles operacionais que existem sem um controle de monitoramento relacionado pode ser uma indicação de um ambiente de controle sem a supervisão apropriada; A ausência de controles fundamentais pode ser uma indicação de um ambiente em que os controles de operação e de monitoramento não podem operar de modo eficaz; 85

4 A falta de controles preventivos pode indicar excesso de confiança nos controles detectivos para identificar erros ou transações fraudulentas; A falta de controles detectivos pode indicar excesso de confiança nos controles preventivos. Embora os controles preventivos sejam normalmente preferidos em relação aos controles detectivos, quando os controles detectivos estão ausentes, a equipe de auditores deve avaliar o risco de ocultação ou fraude por parte da administração da cooperativa; A falta de controles automatizados pode levar a um maior risco de erro humano e pode resultar em operações ineficientes; onde os controles gerais de TI têm fraquezas, a força dos controles manuais preventivos se torna mais importante A ausência de controles chaves que gerenciariam riscos específicos deve ser avaliada em relação a outros controles que gerenciam o mesmo risco. A ausência geral de controles relacionados ao objetivo de controle em um processo conectado a um risco razoavelmente possível é uma indicação de deficiência no controle interno sobre a emissão de relatórios contábeis. Determinar a Confiança Pretendida nos Controles A equipe de auditores determina a extensão em que pretende confiar nos controles para cada risco razoavelmente possível. A equipe de auditores deve fazer essa determinação baseada na eficácia do desenho dos controles no nível da cooperativa e das atividades As equipes de auditoria devem documentar a confiança pretendida nos controles através de sua avaliação de riscos no nível de postulado Embora somente uma abordagem substantiva seja possível, efetuar testes de controle frequentemente melhora a relação de custo/benefício em uma estratégia de auditoria. Quando existirem controles-chave relacionados aos riscos razoavelmente possíveis que, se forem eficazes, justifiquem a alteração da natureza, da época e da extensão dos procedimentos de auditoria substantivos, a equipe de auditores deve mudar a confiança pretendida no controle e documentar que testes de controles serão efetuados para verificar que os controles operam eficazmente e assim, efetuar os testes dos controleschave. Por outro lado, se as fraquezas materiais que afetam diretamente os riscos razoavelmente possíveis forem identificadas, os testes dos controles não devem ser realizados O processamento automatizado das operações pode requerer o teste de controles para determinados riscos razoavelmente possíveis. Por exemplo, em um ambiente automatizado a ausência de uma trilha de auditoria tradicional pode tornar difícil ou impossível testar um risco razoavelmente possível de modo substantivo sem verificar a existência de controles internos eficazes Deve ser levado em consideração o período do ano em que os vários testes serão realizados. Os testes de controle têm alguma flexibilidade com relação ao momento em que podem ser realizados e é comum realizá-los quando a equipe de auditores da Cnac tem uma maior disponibilidade. 86

5 Extensão dos Testes para Suportar uma Confiança Pretendida no Controle Os padrões profissionais exigem que testes de controle suportem uma avaliação de risco do controle definido como baixo As deficiências do controle no nível da cooperativa devem ser avaliadas cuidadosamente para determinar se os riscos razoavelmente possíveis serão impactados diretamente. Por exemplo, as deficiências do controle geral de TI devem ser avaliadas para determinar se impactam a eficácia operacional dos controles automatizados no nível das atividades Quando a equipe de auditores concluir que as deficiências de controle no nível da cooperativa não impactam a operação eficaz dos controles no nível das atividades associados aos riscos razoavelmente possíveis, é admissível testar e confiar nos controles no nível das atividades. Entretanto, podem ser necessários documentação e testes adicionais para determinar se as deficiências do controle não impactam a operação dos controles no nível das atividades. No exemplo acima, a equipe de auditores determinaria se as deficiências no controle geral de TI afetaram a eficácia operacional do controle automatizado ao analisar se a natureza, a época e a extensão dos testes de controle realizados devem ser modificadas Além disso, conforme discutido anteriormente, a equipe de auditores também deve elaborar procedimentos de auditoria substantivos para responder aos riscos impostos pelas deficiências de controle no nível da cooperativa O teste dos controles no nível da cooperativa não é requerido para confiar nos controles relativos aos riscos razoavelmente possíveis Os controles no nível de cooperativa variam de natureza e nível de precisão: Certos controles relacionados com o Ambiente de Controle têm um impacto importante, mas indireto, sobre a probabilidade de que um erro será detectado ou prevenido em tempo hábil. Estes controles podem afetar alterações na natureza, época e extensão na execução de outros testes de controle; Certos controles relacionados com o Monitoramento são importantes para identificar quebras de controle no nível de atividades, mas não com a precisão e oportunidade desejadas para prevenir ou detectar um erro material em um postulado crítico. Entretanto quando esses controles operam eficazmente podem permitir uma redução nos testes de outros controles; Certos controles no nível de atividade podem estar desenhados para operar com a precisão desejada para prevenir e detectar em tempo hábil os erros relevantes sobre postulados críticos. Se um controle no nível de cooperativa endereça e mitiga suficientemente o risco de erro relevante, o auditor não precisará executar outros testes de controle relativo a esse risco Para confiar nos controles sobre riscos razoavelmente possíveis, os controles no nível das atividades relacionados a esse risco devem ser elaborados, implementados e funcionarem de modo eficaz. A eficácia operacional é estabelecida com a realização dos testes de controle Os testes de eficácia operacional dos controles no nível das atividades envolvem a seleção de controles-chave e a determinação dos tipos de testes que serão realizados. Os controles no nível das atividades são testados em cada processo muito importante e os 87

6 testes devem ser considerados nos processos um pouco importantes. Como os testes dos controles no nível das atividades são usados para reduzir a natureza, a época e a extensão dos testes substantivos, é crítico que os processos muito importantes sejam identificados corretamente Identificar os controles-chave Introdução Os controles-chave são os controles que a equipe de auditores seleciona para testar a eficácia operacional. A equipe de auditores deve documentar em sua matriz de risco quais são os controles-chave. A equipe de auditores deve testar os controles-chave em cada processo muito importante e deve considerar a possibilidade de testar os controles-chave em processos um pouco importantes relacionados a cada risco razoavelmente possível Nem todos os controles que são implementados em um processo são designados como chave (e, portanto, testados). Ao analisar quais controles são chave, os controles devem: Atuar nos mesmos riscos em que os procedimentos de auditoria substantivos atuam e cujo escopo substantivo será reduzido se os controles estiverem funcionando de modo eficaz. Por exemplo, muitas cooperativas têm procedimentos de controle eficazes sobre revisão de propostas antes da liberação dos créditos. Esses procedimentos de controle reduzem diretamente a probabilidade de erros na integridade de itens registrados. Similarmente, os procedimentos substantivos podem ser reduzidos mediante o teste desses controles; Serem desenhados para evitar ou detectar erros materiais em riscos específicos de demonstrações contábeis (os controles que atingirão esse objetivo variarão de acordo com a natureza dos negócios); Serem capazes de ser testados pelo exame de provas documentais, por meio de perguntas e observação, amostra, reexecução ou uso de técnicas de auditoria com auxílio de computador Não precisam ser testados todos os controles para um processo que é implementado e pertinente a um objetivo em um ciclo de transações. Se houver dois ou mais controles coincidentes e qualquer um deles satisfizerem o objetivo do controle individualmente, será necessário testar somente um controle. Da mesma forma, a equipe de auditores frequentemente deve selecionar o controle mais econômico para teste Além disso, um controle específico pode estar relacionado a vários riscos em um ciclo. Esse procedimento de controle estaria sujeito a uma série de testes de controle que forneceriam provas quanto ao funcionamento desse controle para todos os riscos relacionados. Os testes de controle não são repetidos para cada risco A equipe de auditores deve documentar se o controle for crítico na sua matriz de avaliação, definindo o controle como controle-chave. Este método ajudará a equipe de auditores a obter uma lista de todos os controles-chaves relacionados aos riscos razoavelmente possíveis A decisão de qual controle será selecionado para teste, depende de quais controles, individual ou combinadamente, endereçam os riscos avaliados como causadores de erros relevantes em postulados críticos. Este procedimento independe da característica do 88

7 controle, ou seja, pode ser um controle no nível de cooperativa, um controle no nível de atividades, pode ser preventivo e ou detectivo e outros. Avaliação dos Controles-Chave Para determinar a eficácia operacional, a equipe de auditores se preocupa com vários fatores (por exemplo, como o controle foi aplicado, se o controle foi realizado durante todo o período, se a pessoa adequada realizou o controle e outros). Os testes de controle que serão aplicados são assuntos relacionados ao julgamento profissional O tipo de teste variará com base na natureza do controle, seja ele documentado ou não documentado e no julgamento da equipe de auditores. Os tipos de testes a seguir servem para que a auditoria avalie a eficácia operacional: Indagação e observação; Amostragem; Reexecução; Técnicas de auditoria assistidas por computador (TAACs); Administração da cooperativa - reexecuta; Gerência da cooperativa - somente revisa A natureza do controle (documentado ou não documentado) é um dos fatores que determina o tipo de teste que pode ser aplicado ao controle. Por exemplo, embora as amostragens permitam que a equipe de auditores teste a operação efetiva de um controle durante um período de tempo prolongado, ele somente pode ser usado se o controle for documentado Para um controle não documentado, a equipe de auditores somente pode realizar testes de indagação e observação para obter provas de que o controle funcionou de modo eficaz durante o período sob exame. Uma confiança pretendida no controle não pode ser suportada apenas pelos testes manuais dos controles não documentados usando a indagação e observação A natureza dos testes de eficácia que fornecerão a adequada evidência depende, em larga escala, da natureza do controle a ser testado, inclusive se a operação do controle resulta em evidência documentada de sua operacionalização. Evidência documentada da operação de alguns controles, tal como o estilo de gerenciamento e filosofia da gerência, pode não existir. Por exemplo, Uma cooperativa de menor porte ou menos complexa pode ter um nível de documentação baixo com relação à operação de seus controles. Nessas situações, testar os controles através de indagação, combinado com outros procedimentos, tais como observação das atividades, inspeção da documentação que existir ou reexecução de certos controles, podem suportar uma evidência suficiente sobre a eficácia, ou não, de um controle. Os controles automatizados dependem dos controles gerais de TI para fins de confiabilidade, consistência, continuidade, precisão e documentação de que funcionaram de modo eficaz durante o período. Antes de testar os controles automatizados no nível das atividades, a equipe de auditores deve avaliar os controles gerais de TI para confirmar que eles sejam implementados e desenhados de modo eficaz. 89

8 Para controles manuais documentados, a equipe de auditores pode escolher o teste mais apropriado dependendo das circunstâncias. Como os controles que operam mais frequentemente requerem mais testes, o caminho mais eficaz para testar estes controles é empregar a amostragem. Por outro lado, controles que operam com menor frequência, requerem menos testes. Nestas circunstâncias, a equipe de auditores normalmente faz a reexecução. A seguinte tabela prescreve o número de testes requeridos para controles manuais documentados: Frequência do controle Tipo de teste a efetuar Processo um pouco importante Processo muito importante Diário Amostragem Semanal Reexecução 3 5 Mensal Reexecução 2 2 Trimestral Reexecução 1 2 Anual Reexecução Após o tipo de teste ser definido, a equipe de auditores deve revisar o plano de auditoria e definir os procedimentos a serem realizados Controles-chave não são selecionados para controles de segurança de acesso no nível de atividades. De fato, esses controles são todos testados no programa geral Testes de Controles Gerais de TI Para obter uma compreensão do controle interno e avaliar a eficácia do desenho, a equipe de auditores deve ter realizado indagações, observado o desempenho do controle interno e realizado testes de walkthroughs. Alguns desses procedimentos podem ser qualificados como testes de controle, mas podem não proporcionar prova suficiente para avaliar a eficácia operacional. Da mesma forma, antes de ajustar os testes de controle, a equipe de auditores deve considerar os procedimentos realizados e os testes adicionais exigidos para avaliar a eficácia operacional Walkthrough normalmente consiste de uma combinação de indagação a uma pessoa apropriada, observação das operações da cooperativa, inspeção da documentação importante e a reexecução do controle e pode suportar a evidência suficiente da eficácia operacional, dependendo do risco associado ao controle sendo testado, dos procedimentos feitos como parte do walkthrough e dos resultados desses procedimentos. Indagação e Observação Ao realizar os procedimentos de indagação e observação, a equipe de auditores avalia o desempenho do controle por meio de indagações junto ao pessoal apropriado da cooperativa e por meio da observação da aplicação do controle. Os detalhes dos testes de controle realizados com o uso de indagação e observação geralmente incluem a reexecução. Ao fazê-lo, a equipe de auditores avalia a exatidão das informações sujeitas ao controle inspecionando os dados, documentos, relatórios ou arquivos eletrônicos pertinentes Ao realizar a indagação e observação, a equipe de auditores geralmente considera: Quais os procedimentos de controle que são operados normalmente; 90

9 Se o controle esteve em funcionamento durante o período; Se o controle é aplicado de modo consistente, inclusive confirmando com terceiros se o procedimento de controle é aplicado de modo consistente e eficaz; Quais os procedimentos alternativos que funcionam em outras circunstâncias (por exemplo, em caso de feriados ou de doença); Se os procedimentos de controle identificaram algum erro; Como e quando os erros são corrigidos; Circunstâncias que podem causar a falha do controle, fazer com que ele seja omitido ou se torne ineficaz; Direitos de acesso e níveis de segurança do pessoal que usa os sistemas automatizados; Se violações da segregação são prováveis ou comuns. Amostragem A amostragem é um método de teste usado para testar a eficácia operacional dos controles manuais documentados. A amostragem geralmente não é aplicável para o teste de um controle realizado mensalmente ou em intervalos periódicos (por exemplo, várias conciliações) devido ao pequeno número de vezes em que o controle é realizado durante o período. Além disso, a amostragem raramente será a metodologia de teste apropriada para aplicar testes nos controles automatizados devido à consistência inerente ao processamento do computador Quando a amostragem é utilizada, o serviço realizado em cada item da amostra abrange tanto o desempenho do controle quanto a exatidão das informações sujeitas ao controle. O desempenho do controle é testado mediante a revisão da documentação e a exatidão das informações é testada pela reexecução do procedimento de controle Um teste da amostra dos controles é uma forma de teste do atributo. A equipe de auditores testa o atributo específico para verificar se o controle foi aplicado corretamente. A equipe de auditores deve definir cuidadosamente um "erro" ou "desvio" para esses objetivos de teste antes de realizar o teste. Para que possa ser aceitável, a amostra deve ser elaborada para representar a população testada e, portanto, deve ser de forma não tendenciosa. Considerações sobre o Tamanho da Amostra para Testes de Controles Um tamanho de amostra é um dos pontos de partida para realizar testes de controle. Esse tamanho de amostra é apropriado porque os resultados dos testes de controle não são a única fonte de evidência para o postulado. Testes substantivos sempre são realizados além dos testes de controle e frequentemente mais de um controle é testado O tempo necessário para os procedimentos substantivos relacionados afetam o tamanho da amostra (quanto mais longe do final do ano os procedimentos substantivos forem realizados, maior será o tamanho da amostra) Deve-se levar em consideração os desvios aceitáveis para cada tamanho de amostra. A tabela a seguir descreve o tamanho da amostra/ e taxa de aceitação do desvio do controle 91

10 (assumindo-se que os procedimentos substantivos sejam executados na data do balanço patrimonial ou próximo dela). Tamanho da amostra Desvios aceitáveis Quando os desvios forem encontrados, a equipe de auditores deve considerar os aspectos qualitativos dos desvios, inclusive: A natureza e a causa dos desvios; A possível relação dos desvios com outras fases da auditoria; Se os desvios são um indicativo de uma deficiência no controle interno A equipe de auditores deve acompanhar quaisquer desvios que sugiram a possibilidade de que ocorreram eventos fraudulentos, ilegais ou questionáveis. De qualquer modo, a equipe de auditores deve relatar os desvios na carta de controle interno. Reexecução Quando a reexecução é usada como método de teste, a equipe de auditores executa (ou reexecuta) o controle para testar o desempenho do controle. Em outras palavras, a equipe de auditores seleciona os itens sobre os quais o controle foi aplicado e reexecuta o controle para determinar se ele estava operando de modo eficaz. A reexecução é um método de teste comumente aplicado aos controles manuais que não operam frequentemente. Por exemplo, a reexecução pode ser usada para testar a eficácia operacional das conciliações bancárias mensais. Esses testes podem ter os seguintes aspectos: Verificar se as conciliações mensais foram realizadas em tempo hábil; Testar ou revisar alguns dos itens da conciliação; Testar no mínimo uma conciliação para determinar como o controle foi realizado e a exatidão das informações sujeitas ao controle, inclusive o acompanhamento apropriado das quantias na conciliação. Técnicas de Auditoria Assistidas por Computador (TAACs) Em um ambiente automatizado, as técnicas de auditoria assistidas por computador (TAAC) podem ser usadas para testar os controles. Os procedimentos das TAAC variam, mas sempre envolvem o questionamento dos dados eletrônicos usando um software de análise de dados Os benefícios do uso de TAACs para realizar testes de controle serão maximizados se as ferramentas de auditoria do computador forem usadas para auxiliar a execução dos procedimentos substantivos. O uso de TAACs para testes de auditoria individuais, sejam eles testes de controle ou testes substantivos, pode não ser econômico. Entretanto, quando são agregados vários testes de auditoria relacionados a uma ou mais áreas de auditoria, o uso de TAACs geralmente é bastante econômico. Além disso, o benefício 92

11 também pode ser maximizado quando as TAACs são usadas ano a ano. Por exemplo, os arquivos do ano anterior de auditoria podem ser mesclados aos arquivos do ano atual de auditoria para identificar as alterações ou os novos itens. Essa comparação pode ajudar a reduzir a população à qual os procedimentos substantivos seriam aplicados. Considerações sobre a Época da Auditoria Como os resultados dos testes de controle afetam a natureza, época e extensão dos testes substantivos relacionados aos riscos razoavelmente possíveis, os testes de controle devem ser concluídos e avaliados antes do início dos testes substantivos O auditor deve obter provas de que os controles permanecem eficazes durante o período em que a auditoria é realizada. Os testes de controle realizados em uma data preliminar geralmente devem ser complementados por testes de controle para o restante do período. Para determinar a natureza e a extensão dos testes a serem realizados, leve em consideração: Os resultados dos testes de controle aplicados no ínterim; Se os controles foram alterados desde os testes de controle anteriores; A extensão do período para o qual a confiança é planejada; A natureza das transações e os itens da conta envolvidos (por exemplo, transações significativas não rotineiras, controles sobre contas ou processos com alto grau de subjetividade ou julgamento); O respectivo teste substantivo relacionado a ser realizado Se a amostragem for usada para testar os controles-chave em uma data preliminar, a indagação e a observação podem ser modos efetivos para verificar se esses controles permanecem eficazes para o período entre o preliminar e o final do ano. Quando o controle interno é alterado durante o período remanescente são necessários testes adicionais Em algumas circunstâncias, tais como quando a avaliação dos fatores acima mencionados indicarem que há um risco pequeno de que o controle pudesse ser ineficaz durante o período de atualização para a data final, apenas questionar o pessoal apropriado pode ser um procedimento suficiente Se o procedimento de controle interno for alterado durante o período em que a auditoria é realizada, a equipe de auditores pode precisar avaliar e testar os controles-chave antes e depois da alteração, dependendo dos outros procedimentos de auditoria realizados. Essa exigência não se aplica aos controles-chave que estiverem vigentes somente em um determinado momento A época para os testes substantivos dos saldos em uma data de ínterim pode ser justificada pelos resultados antecipados dos testes de controle que serão aplicados às transações executadas durante o período em que a auditoria estiver sendo realizada. Nessa situação, entretanto, há um risco de que os desvios descobertos durante o período entre a data de ínterim e o final do ano possam invalidar a confiança pretendida nos controles e resultar na necessidade de testes substantivos adicionais. 93

12 Conclusão sobre os testes de controle Após realizar os testes de controle, a equipe de auditores deve determinar se os resultados fornecem evidência suficiente de que os controles testados operam eficazmente para suportar a confiança pretendida nos controles. A equipe de auditores documenta a avaliação em papel de serviço específico Quando um teste de um controle-chave falha, a equipe de auditores deve determinar que o controle sobre o processo é ineficaz e a confiança pretendida no controle não pode ser alcançada para um risco em particular. Como alternativa, a equipe de auditores pode selecionar e testar controles "compensatórios", se aplicáveis A equipe de auditores deve avaliar todos os desvios para determinar a causa deles, mesmo quando os resultados gerais dos testes suportarem a confiança pretendida nos controles. Essa avaliação deve levar em consideração se o desvio indica a presença de problemas mais importantes, como falha no controle abrangente, fraudes ou quebra dos controles. O efeito do desvio não é mitigado mesmo quando ele é isolado para um tipo específico de transação, um período específico ou para um funcionário específico Quando os procedimentos de amostragem são realizados, deve-se determinar a confiança pretendida nos controles e se esta é aceita com base no tamanho da amostra examinada e nos desvios identificados. Se a equipe de auditores detectar um desvio na aplicação de um procedimento que não seja a amostragem - e não conseguiu identificar e testar a eficácia operacional de outros controles que atingiram o mesmo objetivo - a equipe de auditores não poderá confiar nos controles para esse risco específico A equipe de auditores documenta se a confiança pretendida de controle foi alcançada. Todas as deficiências significativas de controles internos que forem identificadas devem ser relatadas ao nível apropriado da administração da cooperativa em relatório específico Geralmente, uma conclusão de que um controle não está operando eficazmente, pode ser suportada por uma menor evidência que será necessária para suportar uma conclusão de que o controle está operando eficazmente. 94