ACSS. Administração Central do Sistema de Saúde, I.P. Manual de Auditoria Interna Parte II Hospitais

Transcrição

1 Administração Central do Sistema de Saúde, I.P. Hospitais

2 Página: 2 de 44 I. Histórico do documento Data Versão Descrição Autor Aprovação 1/02/ MAI aprovado Versão 1 ACSS

3 Página: 3 de 44 II. Objectivos Objectivos do manual O propósito deste documento é disponibilizar à Função Auditoria Interna dos Hospitais (e/ou outras Unidades de Saúde com as devidas adaptações) um guia sobre: Os princípios da Função Auditoria Interna; O seu posicionamento no seio da Organização; A gestão da Função Auditoria Interna; e A gestão das acções (projectos) de Auditoria Interna. Estrutura do manual Este manual divide-se em três volumes: Parte I Princípios, conceitos e standards de desempenho da Função Auditoria Interna Metodologias e técnicas de trabalho de auditoria e exemplos de documentos I Questionários de controlo interno e programas de trabalho standard Responsabilidades de manutenção e aprovação do manual Compete ao responsável pelo Departamento de Auditoria da ACSS proceder à sua manutenção e actualização, e obter a respectiva aprovação do Conselho Directivo da ACSS. É da responsabilidade do Conselho de Administração do Hospital, sob proposta da ACSS, proceder à sua aprovação e implementação.

4 Página: 4 de 44 III. Índice 1. Documentação do trabalho de auditoria - Fase de Planeamento Exemplos de Plano de Anual de Auditoria Avaliação de Risco e Auditoria No âmbito de auditoria de conformidade (controlo interno) Template de uma matriz de risco e controlos No âmbito de auditoria a demonstrações/dados financeiros Documentação do trabalho de auditoria Fase de Execução Índice standard de papeis de trabalho Exemplo de preenchimento de um papel de trabalho Formas de documentação de um sistema de controlo interno Questionários padronizados Narrativas Fluxogramas Simbologia de fluxogramas Exemplo de flowchart horizontal Exemplo de flowchart vertical Amostragem Meios de Selecção de Elementos para Teste Amostragem em Auditoria Características e Concepção da Amostra e Risco de Amostragem Amostragem estatística vs Amostragem não estatística Dimensão da Amostra Métodos de Selecção da Amostra Documentação do trabalho de auditoria Fase de Reporte...40

5 Página: 5 de Modelo de relatório de auditoria...40

6 Página: 6 de Documentação do trabalho de auditoria - Fase de Planeamento 1.1. Exemplos de Plano de Anual de Auditoria

7 Página: 7 de 44

8 Página: 8 de Avaliação de Risco e Auditoria No âmbito de auditoria de conformidade (controlo interno) A implementação e definição de processos de gestão de risco é da responsabilidade do Conselho de Administração. Tais processos deverão ser mantidos de forma adequada e eficiente ao longo do tempo. Os processos de gestão de risco deverão considerar os seguintes conceitos: Definição de objectivos Deverão ser definidos objectivos que suportem e estejam alinhados com a missão da entidade e a sua sensibilidade ao risco ao nível estratégico, estabelecendo uma base de suporte para a definição dos objectivos específicos de operações, reporte e conformidade. Os objectivos estratégicos e os objectivos de controlo (operações, reporte e conformidade) a atingir em cada processo (Produção e gestão utentes, facturação e contas a receber, etc), classificam-se da seguinte forma: o Objectivos estratégicos de alto nível, alinhados com e de suporte à missão da entidade e que reflectem as opções dos responsáveis dos processos sobre as formas como a organização deverá agir para acrescentar valor aos stakeholders. o Objectivos de operações relacionados com a eficácia e eficiência das operações da entidade incluindo o desempenho, realização de resultados positivos e salvaguarda dos recursos e que variam conforme a escolha dos responsáveis dos processos em relação à estrutura e desempenho. o Objectivos de reporte preparação de reporte fiável tanto externo como interno quer de informação financeira quer não financeira. o Objectivos de conformidade aderência à legislação e regulamentos aos quais uma entidade está sujeita e dependentes de factores externos, como por exemplo regulamentação ambiental. Identificação de eventos Deverão ser identificados os eventos externos e internos que, caso ocorram, poderão comprometer a realização dos objectivos da entidade. Os eventos podem ser classificados como oportunidades (com impacte positivo) ou riscos (com impacte negativo).

9 Página: 9 de 44 Avaliação do risco Deverão ser avaliados os riscos, associados a objectivos, em termos de probabilidade de ocorrência e impacte, de forma a determinar como deverão ser geridos. Os riscos deverão ser avaliados quanto a risco inerente e risco residual. Probabilidade de ocorrência representa a possibilidade de um dado evento se verificar. Impacte representa o efeito do evento ocorrer o qual deverá ser medido utilizando a mesma unidade definida para o objectivo respectivo. Risco Inerente risco existente sem ter em conta as acções que podem ser efectuadas para diminuir a probabilidade de ocorrência ou o impacte. Risco residual risco remanescente após a definição de respostas ao risco. Resposta ao risco Deverão ser seleccionadas as respostas ao risco, (eliminação, aceitação, redução ou partilha) e desenvolvido um conjunto de acções de forma a alinhar os riscos com a sensibilidade ao risco da entidade. Actividades de controlo Deverão ser estabelecidas e executadas políticas e procedimentos de controlo de forma a assegurar que as respostas ao risco são efectuadas de forma efectiva. Informação e comunicação Em redor destas actividades existem sistemas de informação e comunicação ou divulgação. Estes permitem que as pessoas da entidade capturem e permutem a informação necessária para conduzir, gerir e controlar as operações. Monitorização O processo de gestão de risco, na sua globalidade, deverá ser controlado devendo ser efectuadas modificações sempre que necessário. Desta forma, o sistema pode reagir de forma dinâmica, modificando-se sempre que as condições o requeiram. A monitorização é efectuada por actividades contínuas e/ou avaliações periódicas. Deverão ser implementadas actividades de monitorização de forma a periodicamente avaliar o risco, verificar a eficácia dos controlos para os gerir e elaborados relatórios periódicos de acompanhamento e avaliação dos resultados para o Conselho de Administração.

10 Página: 10 de 44 O processo de gestão de risco inclui, entre outras, as seguintes actividades: Análise de políticas empresariais e de minutas das actas do conselho de administração de forma a identificar quais as estratégias empresariais, a filosofia de gestão de risco e sua metodologia, a apetência para o risco e a aceitação do mesmo; Entrevistas com a administração, directores de primeira linha e operacionais, de forma a identificar os objectivos sectoriais, riscos relacionados e as actividades de minimização do risco e monitorização de controlo pela gestão; Definição de prioridades quanto aos métodos e as técnicas para testar e validar as exposições, em Função do impacte e da probabilidade de ocorrência dos riscos; Análise de relatórios previamente emitidos sobre avaliação de risco; Avaliação e adequação dos canais de informação para as actividades de monitorização de risco; Análise das acções tomadas para solucionar as questões levantadas pelos processos de gestão de risco, e recomendação de melhorias; A Auditoria Interna deverá: Auxiliar o Conselho de Administração no exame, avaliação, informação e recomendação de melhorias sobre a adequação e eficácia dos processos de gestão de risco, nomeadamente, na identificação e avaliação de eventos e apoio na definição de metodologias de implementação de gestão de risco e controlo. Executar acções de auditoria, no sentido de validar os controlos implementados na mitigação dos riscos/eventos identificados e geridos no processo de gestão de riscos. A avaliação dos riscos e exposições que possam afectar os processos a serem auditados deverão influenciar a estratégia de auditoria. O auditor interno deverá estabelecer programas de trabalho para verificar se as actividades de controlo instituídas são adequadas para gerir ou minimizar o efeito dos riscos. O RAI deverá comunicar ao Conselho de Administração, os resultados da avaliação do processo de gestão do risco efectuada, de forma a transmitir o grau de exposição existente e eventual impacte na consecução dos objectivos da Organização.

11 Página: 11 de Template de uma matriz de risco e controlos Objectivo Tipo Indicadores de medida Tolerância Evento (Risco) Risco Inerente Risco Residual Actividades de controlo Resposta Custo ao risco Prob. Imp. Prob. Imp. Actividade Tipo M/A (1) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (1) Descrição do objectivo de controlo (2) Tipo de objectivo de controlo: Estratégico (E); Operacional (O); Reporte (R); Conformidade (C) (3) Indicadores para medição da materialização do risco (4) Níveis de tolerância mínimos para tomada de acções (5) Descrição do risco potencial (6) Probabilidade de risco inerente (antes implementação de controlos): Alto (A); Médio(M); Baixo (B) (7) Impacte de risco inerente (antes implementação de controlos): Alto (A); Médio(M); Baixo (B) (8) Custo de implementação do controlo (9) Resposta ao risco: Reduzir; Partilhar; Aceitar e monitorizar (10) Probabilidade de risco residual (após a implementação de controlos): Alto (A); Médio(M); Baixo (B) (11) Impacte de risco residual (após a implementação de controlos): Alto (A); Médio(M); Baixo (B) (12) Descrição da actividade de controlo (13) Tipo de controlo: Preventivo (P) ou Detectivo (D) (14) Controlo Manual (M) ou Automático (A)

12 Página: 12 de No âmbito de auditoria a demonstrações/dados financeiros Após a recolha de elementos que permita obter/actualizar uma razoável compreensão da actividade da entidade e dos seus sistemas de controlo interno e contabilístico, o auditor estará então em condições de desenvolver a estratégia de auditoria, bem como proceder à sua execução, de acordo com a metodologia que se segue: Apreensão do Risco Inerente Corresponde à identificação da susceptibilidade de um saldo de conta ou uma classe de transacções, a uma distorção que possa ser materialmente relevante, individualmente ou quando agregada com distorções em outros saldos ou classes, assumindo que não existiam os respectivos controlos internos. Nesta fase é necessário identificar o risco inerente e distribuí-lo pelas áreas relevantes das demonstrações financeiras, após a determinação das mesmas, conforme se indica mais à frente (ver II ) e pelas principais asserções. No caso de auditorias recorrentes a uma mesma entidade, em cada ano, é necessário reavaliar o risco inerente em relação a cada unidade de auditoria. Esta avaliação pode ser efectuada com base num Questionário de Avaliação do Risco Inerente, que inclui um conjunto de perguntas críticas desenhadas para identificar a existência de factores conducentes a um incremento de risco, cujo modelo apresentamos de seguida: QUESTIONÁRIO DE AVALIAÇÃO DO RISCO INERENTE (GLOBAL) 1. ASPECTOS DE GESTÃO 1.1 É a entidade gerida efectiva e eficientemente? São corrigidos os pontos fracos do controle interno? Estão os serviços de contabilidade adequadamente dotados de pessoal? Há frequentes alterações nas actividades da entidade? Verificam-se com frequência mudanças da administração? Existem pessoas de tal modo dominantes que ultrapassem os controles em vigor? Existe uma estrutura hierárquica e uma correcta subdivisão de funções definida para a instituição? 1.8 Outros assuntos relacionados com a gestão (discriminar) 2. ASPECTOS DO NEGÓCIO Sim Não Pontuação 0 5 0?

13 Página: 13 de Está a entidade inserida num sector em crescimento? 2.2 Está a entidade inserida num sector onde existe um forte peso ao nível das decisões políticas tomadas? 2.3 Está o funcionamento da entidade dependente do montante de verba orçamental atríbuida pelo Estado ao sector? 2.4 Está a entidade dependente de um pequeno número de fornecedores? 2.5 Está a entidade dependente de um reduzido número de clientes/utentes? 2.6. Existe legislação específica que regulamente o funcionamento da entidade nos seus vários níveis? 2.7 Outros assuntos relacionados com a actividade da entidade (discriminar) 3. ASPECTOS FINANCEIROS E CONTABILÍSTICOS 3.1 É o capital circulante (Disponibilidades + Créditos + Existências menos Débitos a c.p.) adequado? 3.2 Existem razões que possam por em causa a viabilidade da entidade? 3.3 Tem-se mantido estável o nível dos proveitos da entidade? 3.4 Verifica-se alguma circunstância extraordinária que obrigue a entidade a apresentar um montante mínimo de resultados (remunerações de direcção/administração, publicação de contas previsionais, pressões políticas, etc.)? 3.5 Existem pressões para que as Demonstrações Financeiras sejam rápida e ligeiramente preparadas? (existem prazos de entrega de documentação junto do IGIF e Direcção Geral do Orçamento) 3.6 Existem activos ou passivos significativos cuja valorização esteja baseada somente em critérios definidos pela Administração? 3.7. Outros aspectos relacionados com assuntos financeiros e contabilísticos (discriminar)? ? ?

14 Página: 14 de ASPECTOS RELACIONADOS COM A AUDITORIA 4.1 O relacionamento profissional do auditor com a entidade objecto de auditoria tem sido marcado pela franqueza e cordialidade? 4.2 No caso da entidade estar sujeita a supervisão de outra entidade, ou de ser uma subsidiária ou associada existem circunstâncias ou pressões sofridas que possam afectar a auditoria dessa entidade ou de qualquer outra entidade relacionada? 5. TRANSACCOES NÃO USUAIS 5.1 Existem transacções pouco vulgares relacionadas com o fecho das contas de associadas, participadas ou entidades sob supervisão directa ou que exercem essa supervisão? 5.2 Temos conhecimento de que existam transacções significativas com associadas, participadas ou outras entidades de supervisão ou sobre as quais é exercida supervisão? 5.3 Existem outros tipos de transacções que possam ser consideradas invulgares? CONTABILIDADE 6.1 São os registos contabilísticos de uma maneira geral adequados e têm suporte documental referente às transacções, aos activos e passivos da entidade? 6.2 A informação que é extraída dos diversas ferramentas informáticas utilizadas (GEMA, RHV, entre outros) é devidamente integrada no programa informático de contabilidade (SDIC) e é feito com regularidade o cruzamento dessa informação Sensibilidade ao Risco: Baixa 0 38 pontos Média pontos Alta + de 57 pontos

15 Página: 15 de 44 Instruções de preenchimento: A pontuação relativa a cada questão deve variar entre os limites indicados à frente de cada questão. Exemplo: Relativamente à questão: 1.1 É a entidade gerida efectiva e eficientemente? Considerando que a mesma é muito bem gerida a pontuação a atribuir deverá ser 0 ou 1, se a qualidade da gestão é boa a pontuação a atribuir deve variar entre 1 e 2, entre 3 e 4, para média e entre 4 e 5 para má. É possível adicionar ou suprimir questões, mas nesse caso é necessário rever as pontuações que servem de guia para a determinação da sensibilidade ao risco e que estão referidas no final do questionário. As respostas às questões devem, sempre que possível, ser suportadas em papéis de trabalho. De referir que é conveniente que tanto o questionário como os papéis de trabalho auxiliar devem conter a referenciação cruzada da respectiva indexação. É improvável que o risco inerente tenha igual impacte potencial sobre cada uma das áreas das demonstrações financeiras e sobre todas as asserções de uma mesma área. Uma vez identificadas as componentes do risco inerente, consideramos: quais as áreas, por exemplo, que podem ser afectadas por esse risco; e quais as principais asserções, (por uma questão de simplificação do processo é normal restringir as análises a asserções principais: integralidade (também designada por plenitude), existência/ocorrência, mensuração e valorização) para cada área ou conjunto de transacções podem ser afectadas por cada uma das componentes do risco identificadas. Todos estes factores são tomados em consideração para chegar a uma avaliação do risco inerente que poderemos definir como Alto, Médio ou Baixo para cada asserção.

16 Página: 16 de Documentação do trabalho de auditoria Fase de Execução 2.1. Índice standard de papeis de trabalho Dossier permanente (índice): I. Caracterização da Organização e da actividade; II. Informação financeira e de gestão; III. Informação contabilística e outros elementos de auditoria; IV. Compreensão do sistema de controlo interno; V. Informação estatutária; VI. Relatórios e outra documentação de auditoria; VII. Documentos de prestação de contas; VIII. Obrigações legais, fiscais e parafiscais; Dossier corrente (índice) A. Produção e Gestão de Utentes B. Facturação e Contas a Receber C. Recursos Humanos D. Compras e Contas a Pagar E. Existências F. Imobilizado G. Tesouraria (Pagamentos / Recebimentos) H. Contabilidade e Reporte

17 Página: 17 de Exemplo de preenchimento de um papel de trabalho

18 Página: 18 de 44

19 Página: 19 de Formas de documentação de um sistema de controlo interno Questionários padronizados O questionário padronizado, também conhecido por check-list representa um agregado mais ou menos extenso de medidas de controlo interno e de procedimentos contabilísticos que se deseja estejam em efectividade numa entidade minimamente organizada. Os questionários padronizados são elaborados atendendo aos grandes ramos de actividade, como é por exemplo o sector da Saúde. As áreas cobertas serão todas as existentes na entidade, tendo-se maior preocupação para as áreas relacionadas com a actividade operacional. Cada procedimento tem duas hipóteses de resposta: Sim e Não. Conforme o caso, assinalar-se-á na coluna respectiva, um sinal convencional (por exemplo ) e um outro (por exemplo ), quando existir referência a quaisquer aspectos particulares que devem ser descritos no final de cada questionário, ou em folhas anexas, onde também se deverão incluir exemplares dos principais documentos utilizados na entidade, na respectiva área, a fim de serem arquivados no dossier permanente. Normalmente as questões são estruturadas de forma a que quando a resposta é Não, esta configura um potencial ponto fraco no sistema contabilístico e de controlo interno, que deve ser clarificado e explicado no final do próprio questionário ou em folha anexa. Os questionários padronizados são muito importantes pelas ideias de organização que transmitem, sendo a forma mais fácil e rápida de proceder ao levantamento do Sistema de Controlo Interno. Contudo, são muito limitados por poderem ignorar aspectos muito relevantes e específicos da organização em análise. Devem entenderse como guias orientadores e nunca como formulários únicos. Na parte III do apresentam-se alguns questionários padronizados/adoptados para o sector da Saúde.

20 Página: 20 de Narrativas Uma narrativa consta de uma descrição relativamente detalhada das medidas de controlo interno e dos procedimentos contabilísticos existentes em cada uma das diversas áreas operacionais da entidade. Esta forma de registo tem nítidos benefícios em relação à anterior, embora também apresente alguns inconvenientes como sejam a inclinação para a excessiva pormenorização e consequentemente perda de uma visão rápida e global do conjunto da área descrita e dos seus aspectos mais significativos. Tal como nos questionários padronizados deverão ser incluídos exemplares dos documentos mais importantes.

21 Página: 21 de Fluxogramas Um fluxograma é uma forma de representação gráfica que se auxilia de vários símbolos para apresentar as diversas medidas de controlo interno e procedimentos contabilísticos existentes em cada uma das diferentes áreas operacionais da Organização. Normalmente, a utilização dos fluxogramas é feita para os trabalhos de análise desenvolvidos pelos técnicos de organização e de informática, sendo elaborados de uma forma bastante detalhada. Contudo, o auditor apenas necessita de obter informação sintética que lhe dê a conhecer, de uma forma global, como está implementado o sistema. Existem dois tipos de fluxogramas: Horizontais evidenciam a sucessão dos procedimentos de forma horizontal, os quais atravessam duas ou mais secções envolvidas; Verticais apresentam a sucessão dos procedimentos de forma vertical, normalmente de forma descendente, salientando-se os documentos em detrimento das secções em que o mesmo são originados ou por onde vão circulando. Ambas as tipologias têm vantagens e inconvenientes, sendo de referir que para o auditor o fluxograma horizontal é o suficiente, pois apresenta com mais clareza e num espaço mais reduzido os procedimentos seguidos em cada uma das áreas operacionais, ou seja, possibilita uma visão e avaliação globais. Os fluxogramas apresentam a desvantagem de não serem fáceis de preparar, exigindo o conhecimento de técnicas específicas e obriga à utilização das técnicas anteriormente abordadas (questionários padronizados e narrativas). Contudo, os fluxogramas representam de forma clara, simples e concisa qualquer esquema por mais complexo que seja. A simbologia usada na preparação de fluxogramas não é universal, no entanto, apresentam-se, de seguida, um exemplo de fluxograma e respectiva simbologia que poderá ser adoptada na realização de fluxogramas. O exemplo inclui um fluxograma genérico e um outro mais detalhado sobre um circuito de compras de uma entidade fictícia.

22 Página: 22 de Simbologia de fluxogramas Serviço Procedimento Cod. Proced. Processamento/Operação/Actividade: este símbolo é utilizado sempre que existe uma actividade que produz alteração ao estado inicial dos inputs. (Fluxograma Vertical) O canto inferior direito, indica actividade com execução de controlo. Processamento/Operação/Actividade: este símbolo é utilizado sempre que existe uma actividade que produz alteração ao estado inicial dos inputs. (Fluxograma Horizontal) Documento: este símbolo é utilizado para representar um documento em suporte papel. Multi_Documentos: este símbolo é utilizado para representar dois ou mais documento em suporte papel. Armazenagem: este símbolo aplica-se a pontos do processo onde existe uma armazenagem de controlo, ou seja, é necessário um documento com uma autorização para executar uma operação de movimentação dos itens armazenados. Arquivo de documentos- este símbolo representa um arquivo de documentos em suporte manual/físico. Decisão: este símbolo é utilizado para representar a actividade de decisão, este símbolo é complementado com descritivo onde deverá existir um caracter de interrogação. Limites: este símbolo representa o inicio ou o fim de um processo. Sendo o descritivo a indicar no símbolo os termos INICIO ou FIM

23 Página: 23 de 44 Conexão: este símbolo é normalmente usado para representar uma ligação entre subprocessos/actividades intervenientes no mesmo processo. É normalmente adicionado um caracter (número), indicando a saída (output) e a entrada (input) de outro processo/actividade. Base de Dados: este símbolo representará um conjunto de ficheiros, geridos por um SGBD; Ficheiro informático: este símbolo representa, um ficheiro electrónico ou conjunto de registo/campos de informação. Material: este símbolo representa os artigos/materiais físicos. Material Consulta sistema: este símbolo representa introdução de dados (input) ou consulta de dados via ecrã. Sentido de Fluxo de Informação/Movimentação/Transporte: este símbolo representa uma operação de transporte entre dois pontos do processo, indicando o sentido de fluxo de informação, seja de um produto para stock, seja de um documento para outra área. Transmissão: este símbolo representa uma transmissão imediata de informação sem suporte físico Contabilização: este símbolo representa a contabilização da operação, indicação da conta a débito (à direita) e da conta a crédito (à esquerda)

24 Página: 24 de Exemplo de flowchart horizontal

25 Página: 25 de 44

26 Página: 26 de Exemplo de flowchart vertical

27 Página: 27 de Amostragem Meios de Selecção de Elementos para Teste O auditor ao estabelecer os seus procedimentos de auditoria, deve determinar os meios apropriados para seleccionar os seus elementos para teste, bem como para reunir a evidência de auditoria necessária para alcançar os objectivos dos testes auditoria. Os meios disponíveis para a selecção dos elementos para teste são: Selecção de todos os elementos (100%); Selecção de elementos específicos; Amostragem de auditoria. A decisão do método a utilizar depende das circunstâncias, e a aplicação de qualquer meio ou de combinações de meios acima identificados pode ser apropriada em circunstâncias particulares. Essa decisão deve ser feita com base no risco de auditoria e na eficiência da sua realização, pelo que o auditor deve escolher os métodos mais eficazes para fornecer suficiente e apropriada evidência de auditoria para alcançar os objectivos do teste. A realização de exame a 100% é improvável no caso de testes de controlo, no entanto, é mais comum para testes substantivos, especialmente quando o universo é constituído por um pequeno número de elementos com valor elevado, ou quando o risco inerente e o de controlo são altos e o auditor considera que os restantes meios não fornecem prova de auditoria suficiente e apropriada. Pode ainda ser mais eficiente a utilização de exames a 100%, quando se testa cálculos de natureza repetitiva ou quando o teste pode ser efectuado através de um sistema informatizado, que torna o custo de desenvolvimento do teste económico. O auditor interno pode decidir seleccionar elementos específicos de um determinado universo, com base no conhecimento do negócio, em avaliações preliminares dos riscos inerentes e de controlo, e nas características específicas da população a ser testada. É apropriado efectuar selecção específica de determinados elementos quando: Existam elementos de alto valor ou principais, elementos suspeitos, não usuais, que estejam associados historicamente a erros ou distorções, ou que tenham determinadas características específicas que o auditor queira testar. Seja necessário testar todos os elementos acima de uma certa quantia, para testar uma percentagem significativa do montante total de um saldo de conta ou de uma classe de transacções.

28 Página: 28 de 44 Exista a necessidade de obter informação sobre assuntos tais como o negócio do cliente, a natureza das transacções, sistemas contabilísticos e de controlo interno, através da análise de elementos específicos. Podem ainda ser seleccionados elementos a fim de determinar se um determinado procedimento está ou não a ser executado. Os exames selectivos de elementos específicos de um determinado saldo ou classe de transacções, constituem com frequência uma forma eficiente de obtenção de evidência de auditoria, no entanto, não podem ser considerados como amostragem de auditoria, dado que os resultados obtidos pelos testes realizados aos elementos seleccionados desta forma não podem ser projectados para o universo sobre o qual se pretende concluir. Desta forma é importante o auditor ponderar sobre a necessidade de obter evidência adequada no que concerne ao remanescente da população não testada quando o mesmo for materialmente relevante.

29 Página: 29 de Amostragem em Auditoria Conforme já anteriormente foi referido as análises a efectuar utilizam, frequentemente, formas de aproximação e de teste que devem ser representativas do universo total, na análise de determinadas operações e transacções, com base numa parte daquele universo, parte essa que constitui o que se designa por amostra. Desta forma é possível concluir que a amostragem de auditoria envolve a aplicação de procedimentos de auditoria a menos de 100% dos elementos constantes de um saldo de conta ou de uma classe de transacções de forma tal que todas as unidades de amostragem tenham a mesma hipótese de selecção. Tal facto permite ao auditor obter e avaliar a sua evidência de auditoria acerca de algumas características dos elementos seleccionados a fim de concluir sobre as características da população com base na análise de uma parte da qual a amostra é extraída.

30 Página: 30 de Características e Concepção da Amostra e Risco de Amostragem A amostra deverá fornecer informação suficiente, permitindo retirar conclusões sobre o universo total, devendo assim ser representativa, isto é, os seus elementos devem possuir as características de todos os elementos do universo, devendo, por outro lado ser estável, i.e., os resultados dos testes não devem depender da dimensão da amostra. O auditor deve seleccionar elementos para a amostra com a expectativa de que todas as unidades de amostragem contidas na população tenham uma oportunidade de selecção. Não obstante as características chave da amostra, está sempre presente um risco de amostragem, que é o risco das conclusões obtidas pelo auditor, com base numa amostra, poderem ser diferentes da conclusão atingida se a população total fosse toda ela sujeita ao mesmo procedimento de auditoria. Podem ser identificados dois tipos de risco de amostragem: (i) o risco de se concluir, no caso de um teste de controlo, que o risco de controlo é mais baixo do que realmente é, ou no caso de testes substantivos, que uma distorção materialmente relevante não existe quando de facto existe (afecta a eficácia de auditoria e conduz normalmente a uma opinião inapropriada); e (ii) o risco de se concluir, no caso de um teste de controlo, que risco de controlo é mais alto do que na realidade é, ou no caso de testes substantivos, que uma distorção é materialmente relevante quando de facto não existe (afecta a eficiência dado que conduz a trabalho adicional para estabelecer que as conclusões iniciais estavam incorrectas). Os complementos matemáticos destes riscos designam-se por níveis de confiança. A principal tarefa do auditor é, a este respeito, reduzir o risco de amostragem a um nível aceitável. O risco de não-amostragem advém de factores que levam a uma conclusão errónea por razões não relacionadas com a dimensão da amostra (por exemplo, o revisor/auditor pode interpretar mal e deixar de reconhecer um erro).