GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5. PLANEAMENTO DA AUDITORIA E AVALIAÇÃO DO RISCO

Transcrição

1 5. PLANEAMENTO DA AUDITORIA E AVALIAÇÃO DO RISCO 47

2 Atividade Objetivo Documentação 1 Executar procedimentos preliminares Decidir se se aceita o cliente ou trabalho Lista de fatores de risco Independência Carta de compromisso/ Contrato Avaliação do risco Planear a auditoria Executar procedimentos de avaliação do risco Desenvolver estratégia global e plano de auditoria 2 Identificar e avaliar RDM 3 através do conhecimento da entidade Materialidade Reuniões da equipa de auditoria Estratégia global auditoria Riscos de negócio e de fraude, e outros riscos significativos Conceção/implementação de controlos internos relevantes RDM avaliados ao: Nível das DF Nível da asserção Conceber respostas globais e procedimentos adicionais de auditoria Desenvolver respostas apropriadas aos RDM avaliados Atualizar estratégia global Respostas globais Plano de auditoria que relacione os RDM avaliados com os procedimentos adicionais de auditoria Implementar respostas aos RDM avaliados Reduzir o risco de auditoria a um nível aceitavelmente baixo Trabalho efetuado Resultados da auditoria Supervisão do pessoal Revisão dos papéis de trabalho Avaliar a prova de auditoria É necessário trabalho adicional? Determinar qual o trabalho adicional necessário (se algum) Fatores de risco e procedimentos de auditoria novos/revistos Alterações à materialidade Comunicação dos resultados Conclusões dos procedimentos efetuados Preparar o relatório de auditoria Formar uma opinião com base nos resultados da auditoria Decisões significativas Relatório de auditoria assinado Notas: 1. Ver a ISA 230 para uma lista mais completa da documentação exigida 2. O planeamento (ISA 300) é um processo contínuo e iterativo durante a auditoria 3. RDM = Riscos de Distorção Material 48

3 5.1. Auditoria baseada no risco Conteúdo Auditoria baseada no risco Objetivos do auditor, elementos básicos e abordagem para a execução de uma auditoria baseada no risco. ISA relevante Enquadramento Imagem Avaliação do Risco Planear a auditoria Executar procedimentos de avaliação do risco Resposta ao Risco Conceber procedimentos adicionais de auditoria Executar procedimentos adicionais de auditoria Relato Avaliar a prova de auditoria obtida Preparar o relatório de auditoria Os objetivos gerais do auditor podem ser resumidos como segue: Obter garantia razoável de que as demonstrações financeiras como um todo estão isentas de distorções materiais, devido a fraude ou a erro, permitindo, portanto, que o auditor expresse uma opinião sobre se as demonstrações financeiras estão preparadas em todos os aspetos materiais de acordo com o referencial contabilístico aplicável; e ISA relevante 200 Parágrafos 3,5-11 A42,A47 Relatar sobre as demonstrações financeiras, e efetuar as comunicações referidas nas ISA, de acordo com os resultados da auditoria. Garantia razoável Garantia razoável é um nível de segurança elevado, mas não absoluto. É alcançado quando o auditor obteve prova de auditoria suficiente e apropriada para reduzir o risco de auditoria (ou seja, o risco de que o auditor expresse uma opinião de auditoria inapropriada quando as demonstrações financeiras estão materialmente distorcidas) para um nível aceitavelmente baixo. O auditor não pode proporcionar garantia absoluta devido às limitações inerentes do trabalho. Isto resulta da maior parte da prova de auditoria (sobre a qual o auditor extrai conclusões e baseia a opinião de auditoria) ser mais persuasiva do que conclusiva. 49

4 5.1. Auditoria baseada no risco Limitações inerentes à auditoria O Quadro seguinte descreve algumas das limitações inerentes ao trabalho de auditoria. Quadro Limitações Relacionadas com a natureza do relato financeiro Relacionadas com a natureza da prova de auditoria disponível Razões A preparação das demonstrações financeiras envolve: Julgamentos efetuados pelo órgão de gestão na aplicação do referencial de relato financeiro; e Decisões ou avaliações subjetivas (tais como estimativas) feitas pelo órgão de gestão envolvendo um conjunto de interpretações ou julgamentos aceitáveis. A maior parte do trabalho do auditor na formação da opinião consiste em obter e avaliar prova de auditoria. Esta prova tende a ter um carácter persuasivo em vez de conclusivo. A prova de auditoria é obtida principalmente de procedimentos executados no decurso da auditoria. Pode também incluir informação de outras fontes, tais como: Auditorias anteriores; Procedimentos de controlo de qualidade da firma para aceitação e continuação do cliente; Registos contabilísticos da entidade; e Prova de auditoria preparada por um perito empregado ou contratado pela entidade. Relacionadas com a natureza dos procedimentos de auditoria Os procedimentos de auditoria, mesmo que bem concebidos, não detetam todas as distorções. Considerar o seguinte: Qualquer amostra inferior a 100% de uma população implica um risco de uma distorção não ser detetada; O órgão de gestão ou outros podem não fornecer, intencionalmente ou não, toda a informação necessária. A fraude pode envolver esquemas sofisticados e cuidadosamente organizados e concebidos para a esconder; e Os procedimentos de auditoria usados para acumular prova de auditoria podem não detetar que há informação em falta. Relacionadas com a oportunidade do relato financeiro A relevância e valor da informação financeira tende a diminuir com o tempo e, por isso, é necessário existir um equilíbrio entre a fiabilidade da informação e o seu custo. Os utilizadores das demonstrações financeiras esperam que o auditor forme a sua opinião num período de tempo e a um custo razoável. Consequentemente, é impraticável tratar toda a informação que possa existir, ou investigar todos os assuntos exaustivamente, na assunção de que a informação está errada ou é fraudulenta. Âmbito da auditoria O âmbito do trabalho e a opinião do auditor estão geralmente confinados a determinar se as demonstrações financeiras estão preparadas, em todos os aspetos materiais, de acordo com o referencial de relato financeiro aplicável. Assim, uma opinião não modificada no relatório de auditoria não garante a viabilidade futura da entidade, nem a eficácia ou eficiência com que o órgão de gestão conduziu os negócios da entidade. Qualquer extensão desta necessidade básica da auditoria, tal como quando é exigida por leis ou regulamentos, exigirá que o auditor efetue trabalho adicional e modifique ou expanda o relatório de auditoria. 50

5 Distorções materiais 5.1. Auditoria baseada no risco Uma distorção material (tanto individual como o agregado de todas as distorções não corrigidas, e divulgações nas demonstrações financeiras em falta ou que possam induzir em erro) ocorre quando pode razoavelmente ser esperado que influencie decisões económicas dos utilizadores das demonstrações financeiras. Asserções Asserções são declarações prestadas pelo órgão de gestão, de forma explícita ou outra, que são incorporadas nas demonstrações financeiras. Relacionam-se com o reconhecimento, mensuração e apresentação de classes de transações e acontecimentos, saldos e divulgações nas demonstrações financeiras. Por exemplo, a asserção da plenitude refere-se a que todas as transações e acontecimentos que deviam ser registados foram registados. São usadas pelo auditor para considerar os diferentes tipos de distorções potenciais que podem ocorrer Risco de auditoria Risco de auditoria é o risco de expressar uma opinião de auditoria inapropriada em demonstrações financeiras que estão materialmente distorcidas. O objetivo da auditoria é reduzir este risco a um nível aceitavelmente baixo. O risco de auditoria tem os seguintes elementos chave: Quadro Risco Natureza Fonte Risco inerente e de controlo (risco de distorção material) Risco de deteção As demonstrações financeiras podem conter uma distorção material. O auditor pode não detetar uma distorção material nas demonstrações financeiras. Objetivos/operações da entidade e a conceção/implementação de controlos pelo órgão de gestão. Natureza e extensão dos procedimentos executados pelo auditor. Para reduzir o risco de auditoria para um nível aceitavelmente baixo, um auditor deve: Avaliar o risco de distorção material; e Limitar o risco de deteção. Isto pode ser alcançado efetuando procedimentos que respondam aos riscos de distorção material avaliados, tanto ao nível das demonstrações financeiras como ao nível da asserção para classes de transações, saldos de contas e divulgações. Componentes do risco de auditoria Os componentes risco de auditoria estão descritos no Quadro seguinte. 51

6 5.1. Auditoria baseada no risco Quadro Natureza Descrição Comentário Risco inerente Risco de controlo Risco de deteção A suscetibilidade de uma asserção sobre uma classe de transações, saldo de conta ou divulgação, a uma distorção que possa ser material, individualmente ou quando agregada com outras distorções, antes da consideração de quaisquer controlos relevantes. O risco de uma distorção que possa ocorrer numa asserção sobre uma classe de transações, saldo de conta ou divulgação que possa ser material, individualmente ou quando agregada com outras distorções, não seja prevenida, ou detetada e corrigida atempadamente, pelo controlo interno da entidade. O risco de que os procedimentos efetuados pelo auditor para reduzir o risco de auditoria para um nível aceitavelmente baixo não detetem uma distorção existente e que possa ser material, individualmente ou quando agregada com outras distorções. Inclui acontecimentos ou condições (internos ou externos) que possam resultar numa distorção (erro ou fraude) nas demonstrações financeiras. As fontes de risco (frequentemente categorizadas como risco do negócio ou de fraude) podem surgir dos objetivos da entidade, da natureza das suas operações/indústria, do ambiente regulatório em que opera, da sua dimensão e complexidade. O órgão de gestão concebe controlos para mitigar fatores de risco inerente (de negócio ou de fraude). Uma entidade avalia os seus riscos (avaliação de risco) e depois concebe e implementa controlos apropriados para reduzir a exposição ao risco a um nível tolerável (aceitável). Os controlos podem ser: De natureza geral, tal como a atitude do órgão de gestão relativamente ao controlo, empenho para recrutar pessoal competente, e prevenção de fraude. São geralmente designados por controlos ao nível da entidade; e Específicos à inicialização, processamento ou registo de uma transação em particular. Estes são designados por processos de negócio ao nível da atividade ou controlos de transações. O auditor avalia os riscos de distorção material (risco inerente e de controlo) ao nível das demonstrações financeiras e ao nível da asserção. Os procedimentos de auditoria são depois desenvolvidos para reduzir o risco de auditoria para um nível aceitavelmente baixo. Isto inclui consideração do risco potencial de: Selecionar um procedimento de auditoria inapropriado; Não aplicar apropriadamente um procedimento de auditoria; ou Interpretar erradamente os resultados de um procedimento de auditoria. 52

7 5.1. Auditoria baseada no risco Nota: As ISA definem o risco de distorção material ao nível da asserção como consistindo de dois componentes: risco inerente e risco de controlo. Consequentemente, as ISA geralmente não se referem separadamente ao risco inerente e ao risco de controlo, mas sim a uma avaliação combinada de riscos de distorção material. No entanto, um auditor pode fazer avaliações separadas ou combinadas dos riscos inerente e de controlo, dependendo das técnicas de auditoria preferidas ou de considerações metodológicas ou práticas. Separação do risco do negócio do risco de fraude Muitos riscos inerentes podem resultar simultaneamente em riscos de negócio e riscos de fraude. Por exemplo, um novo sistema de contabilidade pode criar potencial para erros (risco de negócio), mas também proporcionar uma oportunidade para alguém manipular os resultados ou apropriar-se indevidamente de fundos (risco de fraude). Quando é identificado um risco de negócio, é importante considerar se também pode ocasionar um risco de fraude. Se sim, registar e avaliar o risco de fraude separadamente dos fatores de risco do negócio. Caso contrário, é possível que a resposta da auditoria só trate o risco de negócio e não o risco de fraude. Registo dos riscos de fraude A fraude é frequentemente identificada através da análise de: Tendências fora do normal, exceções e transações/acontecimentos estranhos; ou Indivíduo(s) com a motivação, oportunidade e razão para cometer fraude. No caso de serem observados estas circunstâncias (em qualquer fase da auditoria), devem ser registados e avaliados como riscos de fraude, mesmo que pareçam imateriais. O registo destes riscos ajuda a assegurar que serão apropriadamente considerados na altura de preparar uma resposta de auditoria. Sumário dos componentes do risco da auditoria A Imagem seguinte ilustra a inter-relação entre risco e controlo. A barra do risco inerente contém todos os riscos do negócio e de fraude que podem resultar em que as demonstrações financeiras estejam materialmente distorcidas (antes de qualquer consideração sobre controlo interno). A barra do risco de controlo reflete os procedimentos de controlos gerais e específicos postos em vigor pelo órgão de gestão para mitigar o risco de que as demonstrações financeiras estejam distorcidas. A parte em que a barra do risco de controlo não cobre completamente os riscos inerentes é frequentemente designada como risco residual do órgão de gestão, apetência ao risco ou tolerância ao risco. Imagem Objetivo da Entidade Preparar demonstrações financeiras que não estejam materialmente distorcidas Risco Baixo Risco Moderado Risco Alto Risco Inerente Riscos de negócio/fraude que impedem que o objetivo seja atingido Risco de Controlo Resposta do órgão de gestão: Controlos internos que mitiguem os riscos identificados Risco de Distorção Material Risco Residual do órgão de gestão Baixo Exposição ao risco de fraude e erro Alto Nota: O comprimento das barras no Quadro varia conforme as circunstâncias particulares e o perfil de risco da entidade. 53

8 5.1. Auditoria baseada no risco A Imagem seguinte ilustra o papel do auditor na avaliação dos riscos de distorção material nas demonstrações financeiras e na execução de procedimentos de auditoria concebidos para reduzir o risco de auditoria a um nível aceitavelmente baixo. Imagem Objetivo do Auditor Determinar se as demonstrações financeiras da entidade estão isentas de distorção material Risco Baixo Risco Moderado Risco Alto Risco Inerente Onde podem ocorrer distorções materiais nas demonstrações financeiras? Risco de Controlo O controlo interno mitiga o risco inerente identificado? Risco de distorção avaliado Risco de Distorção Material Procedimentos de auditoria concebidos para responder ao risco de distorção identificados Risco de Auditoria reduzido para um nível aceitavelmente baixo Baixo Exposição ao risco de fraude e erro Alto Nota: O comprimento das barras no Quadro varia consoante as circunstâncias particulares e o perfil de risco da entidade, e a natureza da resposta de auditoria Como efetuar uma auditoria baseada no risco Uma auditoria baseada no risco tem três fases principais, ilustrados abaixo. ISA relevante Parágrafos Quadro ,21 Fase Avaliação do risco Resposta ao risco Relato Descrição Executar procedimentos de avaliação de risco para identificar e avaliar os riscos de distorção material nas demonstrações financeiras. Isto inclui a avaliação dos riscos significativos, deficiências de controlo e incumprimentos de leis e regulamentos identificados ou suspeitos que serão abordados na auditoria e comunicados aos encarregados da governação. O auditor também selecionará matérias relevantes de auditoria para inclusão no seu relatório relativamente a todas as auditorias em que se aplica a ISA 701. Conceber e executar procedimentos de auditoria adicionais que respondam aos riscos de distorção material identificados e avaliados, ao nível das demonstrações financeiras e ao nível da asserção. Inclui: Formar uma opinião baseada na prova de auditoria obtida e na avaliação da apresentação e divulgação das demonstrações financeiras; e Preparar e emitir um relatório apropriado às conclusões. 54

9 5.1. Auditoria baseada no risco Uma forma simples de ilustrar os três elementos está descrita abaixo. Imagem Avaliação do risco Que acontecimentos* podem ocorrer que causem uma distorção material nas demonstrações financeiras? Resposta ao risco Os acontecimentos* identificados ocorrerame resultaram em distorção material nas demonstrações financeiras? Relato Queopinião de auditoria, baseada na prova obtida, é apropriada sobre as demonstrações financeiras? * Um acontecimento é um fator de risco de negócio ou de fraude (ver descrição no Quadro 5.1-3). Também inclui riscos resultantes da ausência de controlo interno para mitigar os riscos de distorção material potenciais nas demonstrações financeiras. Avaliação do risco ISA relevante Parágrafos Imagem R 3 Atividade Objetivo Documentação 1 Executar procedimentos preliminares Decidir se se aceita o cliente ou trabalho Lista de fatores de risco Independência Carta de compromisso/ Contrato Avaliação do risco Planear a auditoria Executar procedimentos de avaliação do risco Desenvolver estratégia global e plano de auditoria 2 Identificar e avaliar RDM 3 através do conhecimento da entidade Materialidade Reuniões da equipa de auditoria Estratégia global auditoria Riscos de negócio e de fraude, e outros riscos significativos Conceção/implementação de controlos internos relevantes RDM avaliados ao: Nível das DF Nível da asserção Notas: 1. Ver a ISA 230 para uma lista mais completa da documentação exigida 2. O planeamento (ISA 300) é um processo contínuo e iterativo durante a auditoria 3. RDM = Riscos de Distorção Material 55

10 5.1. Auditoria baseada no risco Uma fase de avaliação de risco eficaz inclui o seguinte: Quadro Requisitos Envolvimento inicial de colaboradores seniores da equipa de auditoria Ênfase no ceticismo profissional Planeamento Discussões na equipa e comunicação contínua Foco na identificação do risco Competência para avaliar a resposta ao risco por parte do órgão de gestão Descrição O sócio responsável pelo trabalho e outros membros chave da equipa de auditoria devem estar ativamente envolvidos no planeamento da auditoria e no planeamento e participação na discussão entre a equipa de trabalho. Isto assegurará que o plano de auditoria beneficia da sua experiência e discernimento. De notar que as ISA usam geralmente o termo auditor como a pessoa que executa o trabalho. Quando uma ISA se quer referir a um requisito ou responsabilidade do sócio responsável pelo trabalho, utiliza o termo "sócio responsável pelo trabalho "em vez de "auditor". Não é de esperar que o auditor ignore a sua experiência passada no que se refere à honestidade e integridade do órgão de gestão e dos encarregados da governação da entidade. No entanto, a ideia de que os membros do órgão de gestão são honestos e têm integridade não isenta o auditor da necessidade de manter ceticismo profissional, nem permite que o auditor se satisfaça com prova de auditoria menos convincente do que a necessária para obter segurança razoável. O tempo gasto a planear a auditoria (desenvolvendo a estratégia global e o plano de auditoria) assegurará que os objetivos de auditoria são atingidos, e que o trabalho se foca em obter prova nas áreas mais sujeitas a distorções potenciais. Uma discussão da equipa de auditoria com o sócio responsável pelo trabalho proporciona uma oportunidade excelente para: Informar o pessoal sobre o cliente em geral e discutir potenciais áreas de risco; Discutir a eficácia da estratégia global de auditoria e do plano de auditoria e fazer as alterações necessárias; Discutir como pode ocorrer fraude e conceber a resposta de auditoria apropriada; e Atribuir responsabilidades pela auditoria e estabelecer calendário. A comunicação contínua entre a equipa de auditoria durante o trabalho também é importante, por exemplo, para discutir como serão tratados assuntos de auditoria, atividades pouco usuais ou possíveis indicadores de fraude. Isto fará com que sejam efetuadas comunicações atempadas ao órgão de gestão, e, se necessário, alterações à estratégia e aos procedimentos de auditoria. O passo mais importante no processo de avaliação de risco é a identificação de todos os riscos relevantes. Se os fatores de risco de negócio e de fraude não são identificados pela auditoria ou se não são avaliados e documentados, não se conceberá uma resposta de auditoria apropriada. Esta é a razão pela qual os procedimentos de avaliação de risco são tão importantes para a eficácia da auditoria. Estes procedimentos também têm de ser executados por pessoal de nível adequado. Um passo chave no processo de avaliação de risco é a avaliação da eficácia das respostas do órgão de gestão (ou seja, a conceção e implementação de controlos), para mitigar os riscos identificados de distorção material nas demonstrações financeiras. Em pequenas entidades, será depositada maior confiança no ambiente de controlo (competência e integridade do órgão de gestão, etc.) e menos nas atividades de controlo tradicionais (tais como segregação de funções, etc.). 56

11 5.1. Auditoria baseada no risco Requisitos Uso de julgamento profissional Descrição Os requisitos das ISA impõem o uso e documentação de julgamentos significativos feitos pelo auditor durante a auditoria. Exemplos típicos das tarefas executadas durante o processo de avaliação de risco incluem: Decidir a aceitação ou continuação do cliente; Desenvolver a estratégia global de auditoria; Estabelecer a materialidade; Avaliar riscos de distorção material, incluindo a identificação de riscos significativos e outras áreas que necessitem consideração da auditoria; e Desenvolver uma expectativa a utilizar na execução de procedimentos analíticos. Resposta ao risco ISA relevante Parágrafos Imagem Atividade Objetivo Documentação 1 Resposta ao do risco Conceber respostas globais e procedimentos adicionais de auditoria Implementar respostas aos RDM avaliados Desenvolver respostas apropriadas aos RDM 2 avaliados Reduzir o risco de auditoria a um nível aceitavelmente baixo Atualizar estratégia global Respostas globais Plano de auditoria que relacione os RDM avaliados com os procedimentos adicionais de auditoria Trabalho efetuado Resultados da auditoria Supervisão do pessoal Revisão dos papéis de trabalho Notas: 1. Ver a ISA 230 para uma lista mais completa da documentação exigida 2. RDM = Riscos de Distorção Material Nesta fase, o auditor considera as razões (risco inerente e de controlo) para a avaliação de risco ao nível das demonstrações financeiras e ao nível da asserção (para cada classe de transações, acontecimentos, saldos de contas e divulgações), e desenvolve respostas de auditoria adequadas. A resposta do auditor aos riscos avaliados de distorção material está documentada num plano de auditoria que: Contém uma resposta global aos riscos identificados ao nível das demonstrações financeiras; Identifica as áreas materiais das demonstrações financeiras; e Contém a natureza, oportunidade e extensão de procedimentos de auditoria específicos, concebidos para dar resposta ao risco avaliado de distorção material ao nível da asserção. 57

12 5.1. Auditoria baseada no risco As respostas globais destinam-se a dar resposta a riscos avaliados de distorção material ao nível das demonstrações financeiras. Estas respostas incluirão a alocação e supervisão de pessoal adequado, a necessidade de uso de ceticismo profissional, a extensão de corroboração exigida para as explicações/declarações do órgão de gestão, a consideração do tipo de procedimentos de auditoria a executar, e que documentação deve ser examinada como prova de transações materiais. Os procedimentos de auditoria adicionais consistem geralmente em procedimentos substantivos tais como testes de detalhe, procedimentos analíticos e testes aos controlos (quando há uma expectativa de que os controlos operaram eficazmente durante o período). Alguns assuntos que o auditor deve considerar ao planear o conjunto de procedimentos de auditoria para responder a riscos identificados incluem os seguintes: Uso de testes aos controlos Identificar controlos internos relevantes que, se testados, reduziriam a necessidade/âmbito de outros procedimentos de auditoria substantivos. Regra geral, a dimensão da amostra para controlos é frequentemente bastante menor do que a de testes substantivos a um fluxo de transações. Assumindo que os controlos operaram consistentemente e que os desvios são pouco prováveis, o uso de testes aos controlos pode resultar em menos trabalho. Não há, no entanto, requisitos para testar a eficácia operacional dos controlos internos (diretos ou indiretos). Identificar quaisquer asserções que não possam ser testadas apenas por procedimentos substantivos. Por exemplo, a plenitude das vendas numa pequena entidade, e situações onde existe um processamento de transações altamente automatizado com pouca ou nenhuma intervenção manual (tais como vendas na Internet). Procedimentos analíticos substantivos São procedimentos em que a quantia total de um fluxo de transações pode ser prevista de forma fiável com base na evidência existente. Esta expectativa é comparada com a quantia constante nos registos contabilísticos e a extensão de qualquer distorção é facilmente identificada (ver Capítulo 6.3). Nalguns casos, se o risco avaliado para uma determinada asserção é baixo, o auditor pode determinar que bastam procedimentos analíticos substantivos para proporcionar prova de auditoria suficiente e apropriada. Imprevisibilidade É a necessidade de incorporar um elemento de imprevisibilidade nos procedimentos executados, por exemplo, quando em resposta a um risco de distorção material devido a possível fraude. Por exemplo, visitas a lugares onde estão a ser efetuadas contagens de inventário sem aviso prévio, ou executar sem avisar alguns procedimentos antes do final do ano. A imprevisibilidade também deve ser considerada relativamente à informação a dar ao órgão de gestão relativamente aos procedimentos de auditoria planeados e a sua oportunidade. Derrogação dos controlos pelo órgão de gestão A necessidade de procedimentos de auditoria específicos para tratar a possibilidade de derrogação dos controlos pelo órgão de gestão. Ver exemplo de programa de trabalho no Capítulo Riscos significativos A resposta da auditoria a riscos significativos que foram identificados. (Ver Capítulo 5.9). 58

13 5.1. Auditoria baseada no risco Relato ISA relevante Parágrafos Imagem R 6 Voltar à avaliação do risco 2 Atividade Objetivo Documentação 1 Relato Avaliar a prova de auditoria É necessário trabalho adicional? Determinar qual o trabalho adicional necessário (se algum) Fatores de risco e procedimentos de auditoria novos/revistos Alterações à materialidade Comunicação dos resultados Conclusões dos procedimentos efetuados Preparar o relatório de auditoria Formar uma opinião com base nos resultados da auditoria Decisões significativas Relatório de auditoria assinado Notas: 1. Ver a ISA 230 para uma lista mais completa da documentação exigida 2. O planeamento (ISA 300) é um processo contínuo e iterativo durante a auditoria A fase final da auditoria é avaliar a prova de auditoria obtida e determinar se é suficiente e apropriada para reduzir o risco de auditoria a um nível aceitavelmente baixo. É importante que nesta fase da auditoria se determine: Qualquer mudança no nível avaliado do risco; Se as conclusões extraídas do trabalho executado são apropriadas; Se foram encontradas circunstâncias suspeitas; e Se foram avaliados apropriadamente riscos adicionais (não identificados anteriormente) e se foram executados procedimentos de auditoria adicionais como necessário. Uma reunião da equipa de auditoria (próxima do final do trabalho de campo) não é um requisito específico das ISA, mas pode ser útil para discutir os resultados da auditoria, identificar qualquer indicação de fraude e determinar a necessidade (se alguma) de executar procedimentos de auditoria adicionais. Quando todos os procedimentos tiverem sido executados e as conclusões obtidas: Os resultados da auditoria devem ser comunicados ao órgão de gestão e aos encarregados da governação; e Deve ser formarda a opinião de auditoria e tomada uma decisão para a redação apropriada do relatório de auditoria. 59

14 5.1. Auditoria baseada no risco Benefícios de uma auditoria baseada no risco Alguns benefícios da abordagem baseada no risco estão resumidos no Quadro abaixo. Quadro Benefícios Flexibilidade do momento em que o trabalho de auditoria tem de ser executado O esforço da equipa de auditoria foca-se em áreas chave Procedimentos de auditoria focados em riscos específicos Compreender o controlo interno Comunicação atempada de assuntos de interesse do órgão de gestão Descrição Como os procedimentos de avaliação de risco não envolvem testes de detalhe às transações e/ou saldos, podem ser feitos muito antes do fecho do ano, assumindo que não são esperadas mudanças operacionais importantes. Isto pode ajudar a distribuir o trabalho de auditoria ao longo do ano. Pode proporcionar ao cliente mais tempo para responder a deficiências do controlo interno e a outros pedidos antes do início do trabalho de campo final. No entanto, se não existir informação financeira intercalar, os procedimentos analíticos de avaliação de risco terão de ser executados mais tarde. Ao compreender onde os riscos de distorção material podem ocorrer nas demonstrações financeiras, o auditor pode dirigir o esforço da equipa de auditoria para áreas de alto risco e talvez possa reduzir o trabalho em áreas de baixo risco. Isto também ajuda a assegurar que os recursos humanos são alocados de maneira eficaz. Os procedimentos de auditoria adicionais são concebidos para responder aos riscos avaliados. Em consequência, os testes de detalhe que apenas tratam riscos em termos gerais podem ser reduzidos ou mesmo eliminados. A compreensão exigida do controlo interno permite que o auditor tome decisões informadas sobre se testa ou não a eficácia operacional do controlo interno. Os testes aos controlos (para os quais alguns controlos podem só ser testados uma vez em cada três auditorias 3 ) resultam frequentemente na execução de menos trabalho do que o que seria necessário para testes de detalhe. (Ver Capítulo 6.4) Uma melhor compreensão do controlo interno pode permitir que o auditor identifique deficiências no controlo interno (tais como no ambiente de controlo e nos controlos gerais de TI) que não foram previamente reconhecidos. A comunicação destas deficiências ao órgão de gestão em tempo oportuno permite-lhes que tomem as ações apropriadas, o que é do seu interesse. Pode também poupar tempo na execução da auditoria As ISA numa auditoria a PME As ISA não distinguem a abordagem de auditoria exigida para uma pequena entidade da exigida para uma grande entidade que empregue milhares de pessoas. Uma auditoria é uma auditoria. Em consequência, a abordagem básica à auditoria não muda apenas porque a entidade é pequena. ISA relevante Parágrafos 200 A65-A68 Para além disto, as ISA contêm alguns parágrafos com considerações específicas em auditorias de PME. Estes parágrafos proporcionam orientação que é útil para a aplicação dos requisitos das ISA no contexto de uma auditoria a PME. Algumas sugestões para implementar com sucesso as ISA em pequenas entidades estão incluídas no Quadro seguinte. 3 Teste a alguns controlos em cada auditoria para evitar que os controlos em que o auditor pretende confiar sejam testados num único período de auditoria e não sejam testados nos dois períodos subsequentes. 60

15 5.1. Auditoria baseada no risco Quadro Dedicar algum tempo à leitura das ISA e à formação do pessoal Falhas na compreensão dos requisitos podem levar ao seguinte: A fase da avaliação de risco tornar-se um acrescento ao trabalho substantivo de auditoria efetuado. Deve ser a avaliação de risco que leva à seleção de procedimentos de auditoria a executar, não uma lista padronizada de procedimentos que possam ser aplicadas a qualquer entidade. O propósito da avaliação de risco é focar o esforço de auditoria em áreas onde há um maior risco de distorção material nas demonstrações financeiras, e não em áreas de menor risco. Tornar o que devia ser uma auditoria simples num projeto complexo e demorado. Isto pode acontecer se o esforço se foca em completar questionários e checklists padrão, em vez de usar julgamento profissional para distribuir o trabalho de acordo com a dimensão e a complexidade da entidade a auditar e dos riscos envolvidos. Não cumprir um requisito das ISA ( o auditor deve ). 2. Dedicar algum tempo a planear bem, mesmo em trabalhos pequenos Tem sido dito que uma hora gasta no planeamento pode poupar muitas mais na execução. Um planeamento de auditoria eficaz é frequentemente a diferença entre uma auditoria de qualidade dentro do orçamento e uma auditoria de fraca qualidade que excede o orçamento. Isto não implica necessariamente ter reuniões de equipas específicas no escritório. Em trabalhos muito pequenos, o planeamento pode ser efetuado através de curtas discussões no início do trabalho e à medida que a auditoria progride. Aspetos chave a incluir no planeamento: Encorajar o pessoal a identificar áreas onde os procedimentos de auditoria habituais pareçam excessivos relativamente ao risco de distorção existente. Assegurar que cada membro do pessoal compreende a necessidade e propósito da documentação que lhe cabe preparar. O pessoal pode perder muitas horas a preencher formulários que não compreende. Discutir a possibilidade de fraude. Encorajar o pessoal a ser cético e inquisitivo, e a colocar questões, observações, ou mencionar assuntos não explicados. Discutir a existência de partes relacionadas e a natureza/dimensão das transações. Considerar se a documentação de auditoria preparada em períodos anteriores pode ser simplesmente atualizada para as alterações que ocorreram, em vez de ser preparada de novo. A documentação e avaliação de fatores de risco e controlos internos relevantes devem ser suficientes para permitir ao auditor atualizar a compreensão da entidade em períodos subsequentes e focar a sua atenção em novas tendências da indústria, novos riscos inerentes e controlos internos revistos. 3. Avaliar o ambiente de controlo Dedicar algum tempo à compreensão dos controlos internos transversais que são parte do ambiente de controlo. Estes controlos são bastante diferentes de controlos sobre as transações; têm a ver com a integridade e ética, governo das sociedades, competência do pessoal, a atitude da gestão em relação ao controlo, prevenção de fraude, gestão do risco e monitorização dos controlos. Se a atitude da liderança é fraca, a derrogação dos controlos pelo órgão de gestão pode facilmente ocorrer, e mesmo os melhores controlos de transações de processos tais como compras e vendas podem ser subvertidos. 4. Ambicionar uma melhoria contínua Alguns auditores têm uma tendência para seguir cegamente o exemplo do auditor anterior, tendo como resultado um dossier de auditoria que é o espelho do dossier do ano anterior. Uma abordagem mais apropriada é rever e questionar o trabalho feito em anos anteriores, e identificar mudanças que tornem a auditoria mais eficaz e eficiente. 61

16 (Esta página foi intencionalmente deixada em branco) 62

17 5.2. Asserções das demonstrações financeiras Conteúdo Asserções das demonstrações financeiras Uso das asserções do órgão de gestão na auditoria ISA relevante 315R Enquadramento Quando o órgão de gestão faz uma declaração ao auditor tal como as demonstrações financeiras como um todo estão apresentadas de forma verdadeira e apropriada de acordo com o referencial de relato financeiro aplicável, a frase na realidade contém um determinado número de asserções incluídas. Estas asserções (do órgão de gestão) relacionam-se com o reconhecimento, mensuração, apresentação de classes de transações e acontecimentos, saldos de contas e divulgações nas demonstrações financeiras. Exemplos de asserções do órgão de gestão incluem: Todos os ativos das demonstrações financeiras existem; Todas as vendas e prestações de serviços foram registadas; Os inventários estão registados pelo valor apropriado; Os valores a pagar representam obrigações da entidade; Todas as transações registadas ocorreram no período que está a ser examinado; e Todas as quantias estão apresentadas de forma adequada nas demonstrações financeiras. Isto inclui a agregação/desagregação apropriada e descrição clara de transações, saldos e acontecimentos. Inclui também as respetivas divulgações serem relevantes e compreensíveis no contexto do referencial de relato financeiro aplicável; e A apresentação de quantias ou divulgações não tornar obscura informação útil ou resultar em informação enganadora. Estas asserções são frequentemente resumidas em palavras como plenitude, existência, ocorrência, rigor, valorização, apresentação, etc. Por exemplo, o órgão de gestão pode afirmar ao auditor que o saldo da conta de vendas nos registos contabilísticos contém todas as transações de vendas (asserção da plenitude), as transações ocorreram e são válidas (asserção da ocorrência/existência), e as transações foram registadas adequadamente nos registos contabilísticos e no período contabilístico apropriado (asserções de rigor e corte) Descrição das asserções ISA relevante O parágrafo A124 da ISA 315R descreve as categorias das asserções que podem ser usadas pelo auditor ao considerar os diferentes tipos de distorções potenciais. Estas categorias estão descritas no Quadro seguinte. 315R Parágrafos 4(a) 63

18 5.2. Asserções das demonstrações financeiras Quadro Classes de transações e acontecimentos, e divulgações relacionadas, no período a auditar Saldos de contas no final do período Asserção Ocorrência Plenitude Rigor Corte Classificação Apresentação Asserção Existência Direitos e obrigações Plenitude Rigor, valorização e imputação Classificação Apresentação Descrição As transações e acontecimentos registados ou divulgados ocorreram e dizem respeito à entidade. Todas as transações e acontecimentos que deveriam ser registados foram registados, e todas as divulgações relacionadas que deveriam ter sido incluídas nas demonstrações financeiras foram incluídas, no contexto dos requisitos do referencial de relato financeiro aplicável. As quantias e outra informação relativa a transações e acontecimentos registados foram registadas apropriadamente, e as divulgações relacionadas foram apropriadamente mensuradas e descritas, no contexto dos requisitos do referencial de relato financeiro aplicável. As transações e acontecimentos foram registados no período contabilístico correto. As transações e acontecimentos foram registados nas contas apropriadas. As transações e acontecimentos foram apropriadamente agregados ou desagregados e claramente descritos, e as divulgações relacionadas são relevantes e compreensíveis, no contexto dos requisitos do referencial de relato financeiro aplicável. Descrição Os ativos, passivos e interesses de capital próprio existem. A entidade detém ou controla os direitos aos ativos e os passivos são as obrigações da entidade. Todos os ativos, passivos e interesses de capital próprio que deveriam ter sido registados foram registados, e todas as divulgações relacionadas que deveriam ter sido incluídas nas demonstrações financeiras foram incluídas, no contexto dos requisitos do referencial de relato financeiro aplicável. Os ativos, passivos e interesses de capital próprio estão incluídos nas demonstrações financeiras por quantias apropriadas e quaisquer ajustamentos de valorização ou imputação estão apropriadamente registados, e as divulgações relacionadas foram apropriadamente mensuradas e descritas, no contexto dos requisitos do referencial de relato financeiro aplicável. Os ativos, passivos e interesses de capital próprio foram registados nas contas apropriadas. Os ativos, passivos e interesses de capital próprio foram apropriadamente agregados ou desagregados e claramente descritos, e as divulgações relacionadas são relevantes e compreensíveis, no contexto dos requisitos do referencial de relato financeiro aplicável. 64

19 5.2. Asserções das demonstrações financeiras As asserções acima descritas podem ser adaptadas, conforme apropriado, quando se consideram as potenciais distorções nas divulgações que não estejam diretamente relacionadas com as classes de transações, acontecimentos ou saldos de contas registados. Por exemplo, pode ser exigido pelo referencial de relato financeiro que a entidade divulgue a exposição a riscos resultantes de uma transação que ainda não esteja registada nas demonstrações financeiras. A aplicabilidade das asserções às áreas das demonstrações financeiras está resumida abaixo. Quadro Asserções Classes de transações Saldos de contas Existência/ocorrência Plenitude Direitos e obrigações Rigor e imputação Valorização Corte Classificação Apresentação Asserções combinadas A ISA 315 (Revista) permite que um auditor use as asserções exatamente como descritas atrás, ou que as expresse de forma diferente, desde que todos os aspetos descritos acima sejam cobertos. Para que o uso de asserções seja mais fácil de aplicar, este Guia combinou algumas das asserções de forma a que sejam aplicáveis nas três categorias (isto é, saldos, transações e divulgações). As quatro asserções combinadas e as asserções individuais a que respeitam estão apresentadas no Quadro seguinte. Quadro Asserções combinadas Classes de transações Saldos de contas Plenitude (P) Plenitude Plenitude Rigor e Valorização (RV) Rigor Corte Classificação Rigor Valorização Imputação Classificação Existência (E) Ocorrência Existência Direitos e Obrigações Apresentação (A) Apresentação Apresentação Nota: Quando um auditor decide combinar asserções tal como resumido acima, é importante lembrar que a asserção existência também inclui direitos e obrigações. o Quadro seguinte proporciona uma descrição das quatro asserções combinadas usadas neste Guia. Quadro

20 5.2. Asserções das demonstrações financeiras Asserção combinada Plenitude (P) Rigor e Valorização (RV) Existência (E) Apresentação (A) Descrição Tudo o que deve ser registado e divulgado nas demonstrações financeiras foi incluído. Não há ativos, passivos, transações, ou acontecimentos por registar; não há divulgações em falta ou incompletas nas demonstrações financeiras, no contexto do referencial de relato financeiro aplicável. Os ativos, passivos e interesses de capital próprio estão incluídos nas demonstrações financeiras pela quantia apropriada; quaisquer ajustamentos de valorização ou imputação resultantes estão apropriadamente registados, e as respetivas divulgações foram apropriadamente mensuradas e descritas, no contexto do referencial de relato financeiro aplicável. Estas asserções são também relativas a transações na parte aplicável. Tudo o que está registado ou divulgado nas demonstrações financeiras existe à data de referência. Os ativos, passivos, transações registadas, e outros assuntos incluídos nas notas às demonstrações financeiras existem, ocorreram e pertencem à entidade, no contexto do referencial de relato financeiro aplicável. Os ativos, passivos, transações e acontecimentos estão apropriadamente agregados ou desagregados e claramente descritos, e as divulgações relacionadas são relevantes e compreensíveis, no contexto do referencial de relato financeiro aplicável. Imagem Asserções combinadas Dimensão do erro Plenitude (transações ou divulgações em falta) Existência (transações ou divulgações não válidas ou inexistência de direitos/obrigações) Rigor & valorização (valorização, imputação, registo/mensuração, corte, classificação ou descrição nas divulgações inexatos) Quantia correta Subvalorizado + Sobrevalorizado - Apresentação (as transações e saldos estão apropriadamente agregados/desagregados e claramente descritos. As divulgações relacionadas são relevantes e compreensíveis no contexto do referencial de relato financeiro aplicável) 66

21 5.2. Asserções das demonstrações financeiras Uso de asserções na auditoria Tal como referido anteriormente, as demonstrações financeiras contêm asserções incorporadas (ou subjacentes). As asserções podem ser usadas pelo auditor na avaliação dos riscos ao nível das demonstrações financeiras e ao nível da asserção. Ver comentários no Quadro seguinte. ISA relevante Parágrafos 315R 25 Quadro Avaliar riscos ao: Nível das demonstrações financeiras Nível da asserção Comentário Os riscos de distorção material ao nível das demonstrações financeiras tendem a ser abrangentes e, portanto, estão relacionados com todas as asserções. Por exemplo, se o colaborador responsável pelos registos contabilísticos não possuir os conhecimentos técnicos necessários, é possível que ocorram erros nas demonstrações financeiras. No entanto, a natureza desses erros não se limita a um saldo de conta, um ciclo de transações ou uma divulgação. Para além disso, o erro provavelmente não se limita a uma asserção tal como a plenitude das vendas. Pode igualmente estar relacionado com asserções tais como rigor, existência e valorização. Os riscos ao nível da asserção relacionam-se com saldos de contas individuais num determinado momento (isto é, no fim do período), classes de transações (para o período) e apresentação e divulgação nas demonstrações financeiras. A relevância de cada asserção para um saldo de conta individual (ou classe de transações, ou apresentação e divulgação) varia em função das características do saldo e dos riscos potenciais de distorção material. Por exemplo, ao considerar a asserção de valorização, o auditor pode avaliar o risco de distorção em contas a pagar como baixo; no entanto, para os inventários, em que se tem de considerar a possibilidade de obsolescência, o auditor avaliaria o risco de valorização como alto. Outro exemplo é uma situação em que o risco de distorção material relacionado com a plenitude (itens em falta) no saldo de inventários é baixo, mas é alto em relação ao saldo de vendas. A diferença entre os dois níveis de avaliação de risco está parcialmente ilustrada na Imagem seguinte. Imagem Ao nível das demonstrações financeiras Riscos aplicáveis a múltiplas asserções Demonstrações financeiras (como um todo) Risco de negócio Baixo Risco de fraude Mod Ao nível da asserção (parcial) Saldo de contas Inventários Caixa e DO Contas a pagar Classes de transações Rédito Gastos Apresentação e divulgação Compromissos Partes relacionadas Asserções relevantes (avaliar o risco para cada asserção) P E RV A Baixo Mod Alto Baixo Nota: Esta imagem usa as asserções combinadas descritas no ponto

22 5.2. Asserções das demonstrações financeiras As asserções são usadas pelo auditor para formar as bases para: Considerar os diferentes tipos de distorções que possam ocorrer; Avaliar os riscos de distorção material; e Conceber procedimentos de auditoria adicionais que respondam aos riscos avaliados. Quadro Uso de Asserções Considerar tipos de distorções potenciais Avaliar riscos de distorção material Conceber procedimentos de auditoria Procedimentos Executar procedimentos de avaliação de risco para identificar possíveis riscos de distorção material. Por exemplo, o auditor pode questionar o seguinte: Os ativos existem? (Existência) São propriedade da entidade? (Direitos e obrigações) Todas as transações de vendas estão apropriadamente registadas? (Plenitude) O saldo de inventários foi ajustado relativamente a itens com pouco movimento ou obsoletos? (Rigor/Valorização) O saldo de contas a pagar inclui todos os passivos conhecidos no final do período? (Plenitude) As transações foram registadas no período correto? (Corte) As divulgações são relevantes e compreensíveis no contexto do referencial de relato financeiro aplicável? (Apresentação) O risco de distorção material é a combinação do risco inerente e do risco de controlo. O processo de avaliação inclui: Risco inerente Identificar distorções potenciais e as asserções envolvidas e depois avaliar a possibilidade e magnitude da ocorrência do risco. Risco de controlo Identificar e avaliar o controlo interno relevante que mitiga o risco avaliado e se destina às asserções subjacentes. O passo final é conceber procedimentos de auditoria que respondam aos riscos avaliados por asserção. Por exemplo, se há um risco alto de que a rubrica de clientes esteja sobreavaliada devido à inclusão de saldos inexistentes (asserção de existência), os procedimentos de auditoria devem ser concebidos especificamente para tratar a asserção da existência. Se a plenitude das vendas é um risco, o auditor pode conceber um teste aos controlos relacionados com a asserção da plenitude. 68

23 5.3. Estratégia global de auditoria Conteúdo Estratégia global de auditoria ISA relevante Orientação para desenvolver uma estratégia e plano global para a auditoria Enquadramento O planeamento é importante para assegurar que o trabalho é efetuado de forma eficiente e eficaz e que o risco de auditoria é reduzido para um nível aceitavelmente baixo. O planeamento não é uma fase isolada da auditoria. É um processo contínuo e iterativo que começa após o fim da auditoria anterior e continua até à finalização da auditoria corrente. ISA relevante Parágrafos ,7-11 Os benefícios do planeamento da auditoria estão referidos no Quadro seguinte. Quadro Benefícios do planeamento da auditoria Os membros da equipa assimilam a experiência do sócio e outros membros experientes. O trabalho tem os recursos apropriados e é organizado e gerido de forma eficiente. A experiência obtida de trabalhos anteriores é adequadamente utilizada. As áreas significativas da auditoria têm a atenção apropriada. São identificados e resolvidos problemas potenciais em tempo oportuno. A documentação do dossier de auditoria é revista em tempo oportuno. O trabalho efetuado por outros é coordenado (outros auditores, especialistas, etc.). Existem dois níveis de planeamento da auditoria como se ilustra na Imagem seguinte. Imagem Planeamento da auditoria Avaliação do risco Resposta ao risco Relato Estratégia global de auditoria Características do trabalho Objetivos de relato Fatores significativos e experiência (materialidade, fatores de risco, etc. Natureza, oportunidade e extensão dos recursos necessários Atualizar continuamente os planos de auditoria como necessário Plano de auditoria detalhado Natureza, oportunidade e extensão dos procedimentos planeados Procedimentos de avaliação do risco Procedimentos adicionais de auditoria Transações 69

24 5.3. Estratégia global de auditoria O desenvolvimento da estratégia global de auditoria começa no início do trabalho e tal estratégia é completada e depois atualizada com base nas informações obtidas de: Experiência anterior com a entidade; Atividades preliminares (aceitação e continuação de trabalhos e clientes); Reuniões com o cliente sobre alterações desde o ano anterior e resultados operacionais do ano corrente; Outros trabalhos (permitidos) efetuados para o cliente durante o ano; Reuniões e discussões da equipa de trabalho; Outras fontes externas como artigos e notícias da comunicação social e Internet; e Nova informação obtida, procedimentos de auditoria não conseguidos ou novas circunstâncias detetadas durante o trabalho que alterem a estratégia previamente planeada. O plano detalhado de auditoria começará um pouco mais tarde quando forem planeados os procedimentos de avaliação do risco e quando existir informação suficiente sobre os riscos avaliados para desenvolver respostas apropriadas de auditoria. Os requisitos para desenvolver um plano detalhado de auditoria estão especificados no Capítulo 6.2. As auditorias de pequenas entidades geralmente utilizam pequenas equipas de trabalho. Este facto facilita a coordenação e a comunicação entre os respetivos membros e o desenvolvimento da estratégia global de auditoria pode ser mais direta. A documentação da estratégia global de auditoria de pequenas entidades pode ser consubstanciada na forma de um memorando que inclua: A natureza do trabalho e o calendário previsto; Os assuntos identificados na auditoria do período anterior; O que alterou no período corrente; Quaisquer revisões exigidas na estratégia global de auditoria ou no plano de auditoria; e Responsabilidades específicas atribuídas a cada membro da equipa. O planeamento do período corrente pode começar com um memorando preparado no final da auditoria anterior. Contudo, o memorando precisa de ser atualizado no período corrente com base nas discussões com o sóciogerente e nos resultados das reuniões da equipa Desenvolvimento da estratégia global de auditoria A estratégia global de auditoria é o registo das decisões chave consideradas necessárias para planear adequadamente a auditoria e comunicar matérias significativas à equipa de trabalho. A estratégia documentará as decisões que surjam das tarefas de planeamento mostradas no Quadro seguinte. De notar que os detalhes específicos da avaliação do risco e dos procedimentos de auditoria adicionais a efetuar serão documentados no plano detalhado de auditoria. 70

25 5.3. Estratégia global de auditoria Quadro Tarefas básicas Tarefas iniciais Descrição Executar atividades preliminares (aceitação e continuação de clientes e definir termos do trabalho). Recolher informação relevante sobre a entidade tal como resultados operacionais correntes, resultados de trabalhos anteriores e alterações significativas no ano corrente. Alocar recursos ao trabalho, incluindo, quando aplicável, o revisor de controlo de qualidade do trabalho e especialistas necessários. Marcar a reunião da equipa de auditoria (incluindo o sócio responsável) para discutir a suscetibilidade das demonstrações financeiras a distorções materiais (incluindo fraude). Determinar as datas apropriadas em que cada tarefa do trabalho de auditoria deve ocorrer (contagens físicas, procedimentos de avaliação do risco, confirmações externas, as datas previstas das visitas ao cliente e as reuniões para discutir os resultados da Avaliação dos riscos e respostas aos riscos avaliados Determinar a materialidade para as demonstrações financeiras como um todo e a materialidade de execução. Determinar a natureza, oportunidade e extensão dos procedimentos de avaliação do risco e quem os executará. Depois de terem sido avaliados os riscos ao nível das demonstrações financeiras, desenvolver uma resposta global (ver Capítulo 6.1). Incluir também o impacto desta tarefa nos procedimentos de auditoria adicionais a efetuar. Comunicar aos encarregados da governação, quando aplicável, uma súmula geral do âmbito e datas planeados da auditoria. Atualizar a alterar a estratégia e plano de auditoria conforme necessário à luz de novas circunstâncias. Divulgações das demonstrações financeiras Considerar a necessidade de conhecer, logo no início da auditoria, as divulgações das demonstrações financeiras esperadas para que seja dada a atenção apropriada no planeamento do trabalho a efetuar (por exemplo, necessidade de contratar um perito do auditor) e na prova de auditoria necessária. Isto também ajudará o auditor a determinar os efeitos na auditoria de divulgações novas ou revistas que: Sejam exigidas em resultado de alterações no ambiente da entidade, na situação financeira ou nos negócios (por exemplo, uma combinação de atividades empresariais); Resultem de alterações no referencial de relato financeiro aplicável; ou Se relacionem com matérias que o auditor deseje discutir com os encarregados da governação. Quando os riscos de distorção material tiverem sido identificados e avaliados, a estratégia global (incluindo datas, recursos e supervisão) pode ser finalizada, e desenvolvido o plano de auditoria detalhado. O plano detalhado indicará os procedimentos de auditoria adicionais exigidos ao nível da asserção que respondam aos riscos identificados e avaliados. Após o começo do trabalho, podem ser necessárias alterações à estratégia global e ao plano detalhado para responder a novas circunstâncias, resultados da auditoria ou outra informação obtida. Estas alterações devem ser documentadas com as respetivas justificações nos papéis de auditoria, nomeadamente nos documentos de estratégia global e plano de auditoria. 71

26 5.3. Estratégia global de auditoria Apresenta-se a seguir um exemplo da possível estrutura em formato tabular de um documento com a Estratégia global de auditoria (meramente ilustrativo) nos termos do parágrafo 8 da ISA Exemplo Estratégia Global de Auditoria Cliente: Exercício findo em: Preparado por: Revisto por: Fatores Comentários Refª PT Características do trabalho Tipo de sociedade, acionistas/sócios, natureza do negócio. Referencial de relato financeiro aplicável. Requisitos de relato específicos do setor. Necessidade de peritos do auditor com conhecimentos especializados para abordar áreas de auditoria complexas, específicas e de risco alto. Prova exigida de organizações de serviços, por exemplo, serviços de contabilidade. Utilização de prova obtida em auditorias anteriores, por exemplo, procedimentos de avaliação de risco e testes aos controlos. Efeito das TI nos procedimentos de auditoria (disponibilidade de dados e uso de técnicas de auditoria assistidas por computador). Necessidade de introduzir o elemento de imprevisibilidade na execução dos procedimentos de auditoria. Disponibilidade dos dados e do pessoal da entidade. Objetivos do relato, calendário da auditoria e comunicações Destinatários do relatório e prazos da entidade. Datas das reuniões com o órgão de gestão e os encarregados da governação para discutir: A natureza, oportunidade e extensão do trabalho de auditoria, incluindo datas das contagens físicas, confirmações externas e outros procedimentos. O estado do trabalho de auditoria durante o seu decurso. O relatório de auditoria e outras comunicações como cartas de recomendações. Datas das reuniões/comunicações entre os membros da equipa de trabalho para discutir: Fatores de risco da entidade (do negócio e de fraude). Natureza, oportunidade e extensão do trabalho a efetuar. Revisão do trabalho efetuado. 72

27 5.3. Estratégia global de auditoria Cliente: Exercício findo em: Preparado por: Revisto por: Fatores Comentários Refª PT Fatores significativos Materialidade (global, por classes particulares de transações, saldos de contas ou divulgações e materialidade de execução definida em uma ou mais quantias). Avaliação preliminar do risco ao nível das demonstrações financeiras e seu impacto na auditoria. Identificação preliminar de: Classes de transações, saldos de contas e divulgações significativas e materiais, e Áreas onde pode existir maior risco de distorção material. Forma como se chama a atenção da equipa de auditoria para manter uma mente interrogativa e para exercer ceticismo profissional quando recolhe e avalia prova de auditoria. Resultados relevantes de auditorias anteriores, incluindo deficiências de controlo interno identificadas e medidas tomadas pelo órgão de gestão para as tratar. Discussões com o pessoal da firma que prestou outros serviços (permitidos) à entidade. Prova da atitude do órgão de gestão no que respeita ao controlo interno e importância dada ao controlo interno em geral em toda a entidade. Volume de negócios, o qual pode indicar se é mais eficiente para o auditor confiar no controlo interno. Resultados de atividades preliminares Alterações significativas e desenvolvimentos Desenvolvimentos significativos na atividade, incluindo nas TI e nos processos do negócio, alterações no pessoal chave de gestão bem como investimentos, fusões e desinvestimentos. Desenvolvimentos significativos no setor, por exemplo, alterações de regulamentos no setor, e novos requisitos de relato. Alterações significativas no referencial de relato financeiro, nomeadamente nas normas de contabilidade. Outros desenvolvimentos relevantes, como alterações na legislação aplicável. 73

28 5.3. Estratégia global de auditoria Cliente: Exercício findo em: Preparado por: Revisto por: Fatores Comentários Refª PT Natureza, oportunidade e extensão dos recursos necessários A equipa de auditoria, incluindo, quando necessário, o revisor do controlo de qualidade do trabalho. Distribuição do trabalho de auditoria aos membros da equipa, incluindo a alocação de elementos com experiência apropriada a áreas onde possa haver risco alto de distorção material. Orçamento do trabalho tendo em conta os recursos planeados alocar. Se a entidade tiver componentes (por exemplo, subsidiárias), devem ser tomados em consideração os procedimentos adicionais de planeamento referidos no Apêndice da ISA 300 e os requisitos da ISA 600. Para pequenas entidades os documentos da estratégia e plano de auditoria não necessitam ser extensos ou complexos. Relativamente aos programas de trabalho, e nas situações em que não há muitos controlos relevantes para auditoria, podem ser usados programas simplificados (nalguns casos pode ser útil a utilização de checklists) sendo, no entanto, fundamental que esses estes programas sejam claros e que se encontrem devidamente adaptados às circunstâncias de cada trabalho, incluindo as avaliações de risco pelo auditor Comunicação do plano de auditoria ao órgão de gestão e encarregados da governação A comunicação contínua do auditor com o órgão de gestão e os encarregados da governação, e vice-versa, pode ter um papel importante no processo da auditoria. Uma boa comunicação acerca do âmbito e calendário da auditoria pode ajudar o órgão de gestão e encarregados da governação a: Compreenderem as consequências do trabalho do auditor; Discutirem questões associadas ao risco, incluindo riscos significativos identificados pelo auditor; Compreenderem o conceito de materialidade; e Identificarem áreas em que seja pedido ao auditor que execute procedimentos adicionais. Este diálogo pode também ajudar o auditor a compreender melhor a entidade e o seu ambiente. Porém, deve tomar-se cuidado para não se comprometer a eficácia da auditoria. Por exemplo, comunicar a natureza e o calendário exatos dos procedimentos de auditoria detalhados pode reduzir a eficácia desses procedimentos tornando-os demasiado previsíveis. Os assuntos que o auditor pode considerar nesta comunicação incluem: Como o auditor se propõe abordar os riscos significativos de distorção material devido a fraude ou a erro; Quando aplicável, se vão ser comunicadas MRA de acordo com a ISA 701 e, em caso afirmativo, as primeiras impressões acerca das matérias que poderão ser matérias relevantes de auditoria. A abordagem do auditor relativamente ao controlo interno relevante para a auditoria; e A aplicação da materialidade no contexto da auditoria. Outros assuntos que pode ser apropriado discutir incluem: A estratégia e objetivos da entidade e os riscos do negócio associados que possam resultar em distorções 74

29 5.3. Estratégia global de auditoria materiais; Assuntos que os encarregados da governação consideram merecer atenção especial durante a auditoria e quaisquer áreas onde eles solicitem que sejam efetuados procedimentos adicionais; Comunicações importantes com os reguladores; Atitudes, conhecimento e ações dos encarregados da governação relativos aos processos que o órgão de gestão tem para identificar e responder aos riscos de erro ou fraude na entidade e o controlo interno implementado para mitigar esses riscos, incluindo a forma como os encarregados da governação supervisionam a eficácia do controlo interno; As ações dos encarregados da governação em resposta ao desenvolvimento de normas de contabilidade, práticas de governo societário e outras matérias associadas; e As respostas dos encarregados da governação a comunicações anteriores com o auditor. De notar que esta comunicação não altera a responsabilidade exclusiva do auditor quanto ao estabelecimento da estratégia global e do plano de auditoria, incluindo a natureza, oportunidade e extensão dos procedimentos necessários para obter prova de auditoria suficiente e apropriada. Podem ser exigidas outras comunicações por lei ou regulamento, ou a pedido da entidade. A ISA 265 estabelece os requisitos para comunicar deficiências significativas identificadas no controlo interno. 75

30 (Esta página foi intencionalmente deixada em branco) 76

31 5.4. Materialidade Conteúdo Materialidade Aplicar o conceito de materialidade de forma apropriada durante o planeamento e execução da auditoria. Determinação e uso da materialidade. ISA relevante Enquadramento A materialidade é uma matéria de julgamento profissional e está relacionada com a importância da informação das demonstrações financeiras para as tomadas de decisão dos utilizadores das demonstrações financeiras. O conceito de materialidade reconhece que alguns assuntos, individualmente ou de forma agregada, são importantes para as pessoas que tomam decisões económicas baseadas nas demonstrações financeiras. Isto pode incluir decisões tais como investir, comprar, fazer negócios, ou emprestar dinheiro à entidade. ISA relevante Parágrafos Este Capítulo respeita ao uso da materialidade na auditoria em geral e dá orientações adicionais em como estabelecer quantias específicas de materialidade para usar no decurso da auditoria. Imagem Uso da Materialidade na Auditoria Avaliação do risco Determinar: Materialidade para as demonstrações financeiras como um todo Materialidade de execução. Planear que procedimentos de avaliação do risco efetuar. Identificar e avaliar os riscos de distorção material Resposta ao risco Determinar a natureza, oportunidade e extensão de procedimentos adicionais de auditoria. Rever a materialidade em resultado de mudanças de circunstâncias durante a auditoria. Relato Avaliar o efeito de distorções não corrigidas Formar a opinião do relatório do auditor Se uma distorção (ou a quantia agregada de distorções) é suficientemente significativa para mudar ou influenciar a decisão de uma pessoa informada, é porque é material. Não mudando ou influenciando, a distorção é geralmente considerada como não material. A materialidade que possa constituir a melhor estimativa de limite acima do qual as demonstrações estariam em geral materialmente distorcidas, é a materialidade para as demonstrações financeiras como um todo. Para efeitos deste Guia, este termo foi abreviado para materialidade global. Como se percebe, e resulta do referido nas normas, esse limite na realidade não existe (a materialidade de uma distorção é apreciada à luz das circunstâncias e depende da natureza e dimensão). No entanto, é essencial para o planeamento da auditoria que consiga ser estimada uma quantia acima da qual as distorções são consideradas relevantes. A materialidade aplica-se não apenas a quantias nas demonstrações financeiras, mas também a divulgações não quantitativas. Por exemplo, a descrição dos eventos ou circunstâncias que deram origem ao reconhecimento de uma 77

32 5.4. Materialidade perda por imparidade pode ser material para os utilizadores das demonstrações financeiras. Nota: A determinação da materialidade para as demonstrações financeiras como um todo ( materialidade global para efeitos deste Guia) não é baseada em qualquer avaliação do risco de auditoria. Ela é determinada em relação aos utilizadores das demonstrações financeiras. Vamos assumir que a decisão de um grupo de utilizadores das demonstrações financeiras é influenciada por uma distorção que atinge, em geral, uma quantia de Є nas demonstrações financeiras. Esta seria a materialidade para as demonstrações financeiras como um todo (ou materialidade global). Qualquer distorção individual ou agregação de distorções individuais que exceda a quantia de Є resultará, em geral, numa distorção material das demonstrações financeiras. A responsabilidade do auditor é reduzir para um nível aceitavelmente baixo a probabilidade que o agregado de distorções não corrigidas e não detetadas nas demonstrações financeiras exceder a materialidade para as demonstrações financeiras como um todo. Se o auditor apenas planeia executar procedimentos de auditoria que identifiquem distorções individuais que excedam Є, há o risco de o valor agregado de distorções não materiais não identificadas durante a auditoria exceder o limite de Є de materialidade. O auditor precisa, portanto, de executar trabalho adicional que seja suficiente para permitir uma margem ou folga para possíveis distorções não detetadas. O objetivo da materialidade de execução é proporcionar essa folga. A materialidade de execução permite ao auditor estabelecer quantias de materialidade (baseadas na materialidade global, mas mais baixas) que reflitam a avaliação de risco para as diversas áreas das demonstrações financeira. Estas quantias mais baixas proporcionam uma folga de segurança entre a materialidade de execução usada para determinar a natureza e extensão dos procedimentos de auditoria a serem executados e a materialidade global. No exemplo acima, o auditor, utilizando julgamento profissional, pode decidir que uma materialidade de execução de 6.000Є será utilizada na determinação da extensão dos procedimentos de auditoria a executar. A folga de 4.000Є (10.000Є 6.000Є) entre a materialidade de execução e a materialidade global proporciona uma margem de segurança para distorções não detetadas que porventura existam Utilizadores das demonstrações financeiras A materialidade é usada tanto na preparação como na auditoria das demonstrações financeiras. A materialidade para as demonstrações financeiras como um todo (materialidade global) é frequentemente explicada (tal como nas normas de relato financeiro) em termos tais como os incluídos no Quadro seguinte. Quadro Influência na tomada de decisões Circunstâncias envolventes Necessidades comuns dos utilizadores As distorções, incluindo omissões, são consideradas materiais se, individualmente ou em termos agregados, pode razoavelmente ser esperado que influenciem as decisões económicas de utilizadores tomadas com base nas demonstrações financeiras. Julgamentos sobre a materialidade são feitos em função das circunstâncias envolventes, e são afetados pela dimensão e natureza da distorção ou pela combinação de ambas. Julgamentos sobre assuntos que são materiais para os utilizadores das demonstrações financeiras são baseados na consideração das necessidades de informação financeira dos utilizadores como um grupo. O possível efeito de distorções em utilizadores individuais específicos, cujas necessidades podem variar muito, não é considerado. 78

33 5.4. Materialidade O auditor determina a materialidade baseado na sua perceção das necessidades dos utilizadores. Ao aplicar o seu julgamento profissional é razoável assumir que os utilizadores das demonstrações financeiras: Têm um conhecimento razoável do negócio, atividades económicas, contabilidade, e estão dispostos a estudar a informação contida nas demonstrações financeiras com diligência razoável; Compreendem que as demonstrações financeiras são preparadas e auditadas tendo em consideração níveis de materialidade; Reconhecem as incertezas inerentes à mensuração de quantias baseadas no uso de estimativas, julgamento, e consideração de acontecimentos futuros; e Tomam decisões económicas razoáveis com base na informação das demonstrações financeiras Natureza das distorções As distorções podem surgir de um conjunto de causas e podem ter como base o seguinte: Dimensão a quantia monetária envolvida (quantitativa); Natureza do item (qualitativa); e Circunstâncias envolventes à ocorrência. Imagem Dimensão das distorções (Quantitativa e qualitativa) Informações sobre o assunto As distorções são materiais A decisão seria alterada ou afetada Utilizador razoável Limite da materialidade As distorções são imateriais A decisão não seria alterada ou afetada Quadro Distorções típicas Erros e fraudes identificados na preparação das DF; Desvios das normas contabilísticas aplicáveis; Erros e fraudes cometidas pelos empregados ou pelo órgão de gestão; Preparação de estimativas incorretas ou inapropriadas; ou Descrições inapropriadas ou incorretas de políticas contabilísticas ou de divulgações. 79

34 5.4. Materialidade A materialidade não é um número absoluto. Representa uma área cinzenta entre o que muito provavelmente não é material e o que muito provavelmente é material. Consequentemente, a avaliação do que é material é sempre uma questão de julgamento profissional. Nota: Há um requisito para acumular as distorções encontradas durante a auditoria, a não ser que estas sejam claramente triviais. Claramente trivial não é o mesmo que não material. Assuntos triviais são claramente inconsequentes, quer quando considerados individualmente quer quando agregados, e independentemente de serem julgados quanto à sua dimensão, natureza ou circunstâncias. Fatores qualitativos Nalgumas situações, um assunto bem abaixo do nível quantitativo da materialidade pode ser determinado como material com base na natureza do item ou das circunstâncias relacionadas com a distorção. Quando considera se as distorções em divulgações qualitativas podem ser materiais, o auditor pode considerar fatores relevantes tais como: Quadro Fator Natureza das transações durante o período Diversas pequenas distorções Circunstâncias da entidade Referencial de relato financeiro aplicável Natureza da entidade Exemplos Algumas transações com partes relacionadas podem ser muito significativas para um utilizador das demonstrações financeiras. Uma série de itens individualmente imateriais pode tornar-se material após agregação. Por exemplo: Uma concentração de atividades empresariais ou desinvestimento significativo durante o período; Covenants quando a entidade se encontra em dificuldades financeiras; Acontecimentos ou circunstâncias que levaram ao reconhecimento de uma perda por imparidade. Uma nova norma de relato financeiro pode exigir novas divulgações qualitativas significativas para a entidade. Algumas divulgações resultantes da natureza da entidade podem ser importantes para os utilizadores das demonstrações financeiras. Por exemplo, as divulgações do risco de liquidez nas demonstrações financeiras de uma instituição financeira. 80

35 5.4. Materialidade Materialidade e risco de auditoria A materialidade (depois de determinada tal como indicado acima) passa a relacionar-se com o risco de auditoria. A materialidade e o risco são considerados conjuntamente durante o processo de auditoria. O risco de auditoria é a possibilidade de o auditor expressar uma opinião de auditoria inapropriada sobre demonstrações financeiras que estão materialmente distorcidas. Quadro Componentes do Risco de Auditoria Riscos de Distorção Material (RDM) Risco de deteção O risco de as demonstrações financeiras estarem materialmente distorcidas antes do início do trabalho de auditoria. Estes riscos são considerados ao nível das demonstrações financeiras (frequentemente riscos globais, afetando muitas asserções) e ao nível da asserção, que é relativa a classes de transações, saldos de contas, e divulgações. O RDM é uma combinação do risco inerente (RI) e do risco de controlo (RC), que pode ser resumido como RI x RC = RDM. O risco de o auditor não detetar uma distorção que existe numa asserção que possa ser material. O risco de deteção (RD) é determinado através de: Um bom planeamento da auditoria; Execução de procedimentos de auditoria que respondem aos riscos de distorção material identificados; Afetação apropriada do pessoal de auditoria; Aplicação de ceticismo profissional; e Supervisão e revisão do trabalho de auditoria executado. O risco de deteção nunca pode ser reduzido a zero, devido às limitações inerentes aos procedimentos de auditoria executados, ao julgamento humano (profissional) exigido, e à natureza da prova examinada. O risco de auditoria (RA) pode ser apresentado como: RA = RDM x RD A materialidade e o risco de auditoria são considerados durante a auditoria: Na identificação e avaliação de riscos de distorção material; Na determinação da natureza, oportunidade e extensão de procedimentos de auditoria adicionais; Na determinação da revisão da materialidade (global e de execução) após obtenção de informação durante a auditoria, que teria ocasionado uma quantia (ou quantias) diferentes se o auditor tivesse conhecimento dessa informação inicialmente; e Na avaliação do efeito das distorções não corrigidas, se algumas, nas demonstrações financeiras e na formação da opinião do auditor. 81

36 5.4. Materialidade Determinar os níveis de materialidade Imagem Determinar a materialidade com base nos utilizadores das DF Materialidade para as demonstrações financeiras como um todo (global) Quantia a partir da qual as distorções podem influenciar as decisões dos utilizadores das DF Materialidade específica Quantias mais baixas do que a materialidade global a partir das quais as distorções de determinadas rubricas das DF podem influenciar as decisões de determinados utilizadores 0 xx yy 2. Determinar a materialidade de execução baseado no risco de auditoria Materialidade de execução para as demonstrações financeiras como um todo Materialidade de execução específica margem de segurança margem de segurança para distorções não identificadas 0 xx yy Nota: Os termos materialidade global e materialidade específica utilizados na Imagem acima e no texto abaixo são utilizados para efeitos deste Guia e não são termos utilizados nas ISA. A materialidade global refere-se à materialidade para as demonstrações financeiras como um todo e a materialidade específica refere-se à materialidade para classes de transações particulares, saldos de contas, ou divulgações. ISA relevante Parágrafos ,6 As decisões do auditor relacionadas com a materialidade são a base para a avaliação do risco e determinação da extensão dos procedimentos de auditoria necessários. No início da auditoria, o auditor efetua um julgamento sobre a dimensão e natureza das distorções que devem ser consideradas materiais. Isto inclui estabelecer as quantias de materialidade tais como descritas no Quadro seguinte. Estabelecer quantias de materialidade Quadro

37 5.4. Materialidade Materialidade global Materialidade de execução global Materialidade específica Materialidade de execução específica A materialidade global refere-se às demonstrações financeiras como um todo. Baseia-se no que pode razoavelmente ser esperado que influencie as decisões económicas dos utilizadores das demonstrações financeiras, tomadas com base na informação aí incluída. Pode ser alterada durante a auditoria se o auditor toma conhecimento de informação que teria provocado que tivesse determinado uma quantia diferente para a materialidade, caso tivesse tido conhecimento inicial dessa informação. A materialidade global é baseada nas necessidades comuns dos vários utilizadores das demonstrações financeiras como um grupo. Consequentemente, o possível efeito em utilizadores individuais específicos, cujas necessidades podem variar de forma significativa, não é tomado em consideração. A materialidade de execução é estabelecida por uma quantia mais baixa do que a materialidade global. A materialidade de execução permite que o auditor responda a avaliação de riscos específicos (sem mudar a materialidade global), e reduz a um nível adequadamente baixo a probabilidade de o agregado das distorções não corrigidas e não detetadas exceder a materialidade global. A materialidade de execução será alterada conforme os resultados da auditoria (tais como a revisão sobre a avaliação de risco). A materialidade específica é estabelecida para classes de transações, saldos de contas, ou divulgações em que poderia ser razoavelmente esperado que distorções de quantias mais baixas que o valor da materialidade global influenciassem decisões económicas de utilizadores, tomadas com base nas demonstrações financeiras. Pode estar relacionada com áreas sensíveis como por exemplo uma divulgação particular (por exemplo, remuneração do órgão de gestão, dados específicos da indústria), cumprimento de legislação ou determinados termos de um contrato, ou transações nas quais se baseiam bónus). A materialidade de execução específica segue o mesmo conceito que a materialidade de execução, exceto o facto de ser estabelecida em relação à materialidade específica e não à materialidade global. Materialidade para as demonstrações financeiras como um todo A materialidade para as demonstrações financeiras como um todo (materialidade global) é baseada na perceção do auditor sobre as necessidades de informação financeira dos utilizadores das demonstrações financeiras. Utilizando julgamento profissional, a auditoria estabelece a materialidade pelo valor mais alto de distorções que provavelmente não influenciam as decisões económicas dos utilizadores das demonstrações financeiras. Uma vez estabelecida, a quantia de materialidade global torna-se um dos fatores pelos quais o sucesso ou falha da auditoria será julgado. Por exemplo, assumindo que a materialidade global foi estabelecida em Є. Se, em resultado da execução de procedimentos de auditoria: Não foram identificadas distorções será emitida uma opinião não modificada. Foram identificadas pequenas distorções (imateriais), mas não corrigidas será emitida provavelmente uma opinião não modificada. Foram encontradas distorções não corrigidas excedendo a materialidade (de Є) e o órgão de gestão não fez os ajustamentos necessários será emitida provavelmente uma opinião com reservas ou uma opinião adversa. Caso contrário, será necessário documentar por que razão a opinião não foi modificada. 83

38 5.4. Materialidade Existem erros não corrigidos excedendo a materialidade (de Є) mas não foram detetados pela auditoria será então emitida uma opinião de auditoria não modificada, mas provavelmente está inapropriada. Os auditores são por vezes tentados a baixar a quantia da materialidade global quando o risco de distorção material é avaliado como alto. Isto não será, no entanto, apropriado, uma vez que a materialidade global está relacionada com as necessidades dos utilizadores das demonstrações financeiras, não com o nível de risco de auditoria envolvido. Se o risco de auditoria fosse tido em consideração ao estabelecer a materialidade global, uma auditoria de alto risco teria uma materialidade global mais baixa do que a de uma entidade de dimensão semelhante com risco de auditoria baixo. Assumindo que as necessidades de informação dos utilizadores das demonstrações financeiras são as mesmas, estabelecer uma quantia mais baixa para a materialidade global pode resultar em: Proporcionar uma expectativa aos utilizadores das demonstrações financeiras que distorções mais baixas (do que é na realidade necessário) nas demonstrações financeiras serão identificadas pela auditoria; e Trabalho de auditoria adicional para assegurar que o risco de auditoria foi reduzido a um nível apropriadamente baixo. Uma vez que a materialidade global é estabelecida em relação às necessidades dos utilizadores das demonstrações financeiras, não se altera em função dos resultados da auditoria e de mudanças na avaliação dos riscos. A materialidade global precisa de ser atualizada quando o auditor toma conhecimento de informação que faria com que a determinação inicial da materialidade fosse uma quantia (ou quantias) diferente. Na conclusão da auditoria, a materialidade global será usada para avaliar o efeito das distorções identificadas nas demonstrações financeiras e a adequação da opinião no relatório de auditoria. O ponto de partida para a materialidade global passa geralmente pela aplicação de uma percentagem sobre um indicador de referência escolhido. A natureza do indicador de referência e a percentagem a aplicar são baseados no julgamento profissional. Por exemplo, numa entidade com um sócio-gerente em que o sócio obtém grande parte do resultado antes de impostos sob a forma de remuneração, um indicador de referência tal como o resultado antes de remunerações e impostos poderá ser mais relevante. Quadro Considerar Identificação do indicador de referência adequado Utilizadores Determinar quem são os utilizadores das demonstrações financeiras mais prováveis. Incluirá os proprietários da entidade (e outros acionistas) e os encarregados da governação, instituições financeiras, outros financiadores, empregados, clientes, credores e agências e departamentos governamentais. 84

39 5.4. Materialidade Considerar Expectativas específicas dos utilizadores Identificar quaisquer expectativas específicas dos utilizadores conforme segue: Mensuração ou divulgação de itens tal como transações com partes relacionadas, remuneração do órgão de gestão, e cumprimento de leis e regulamentos sensíveis; Divulgações específicas da indústria tal como custos de exploração numa entidade mineira e custos de pesquisa numa entidade farmacêutica; Acontecimentos significativos ou contingências. Isto pode incluir divulgação de acontecimentos como investimentos, desinvestimentos, reestruturações ou quantias significativas relativas a litígios contra a entidade; e Existência de covenants em acordos de financiamento, em especial aqueles em que a entidade está muito próxima de incumprimento. Se a existência de um pequeno erro não corrigido der origem a que o covenant seja violado, este facto pode ter um efeito significativo nas demonstrações financeiras e poderá, na pior das hipóteses, afetar o uso apropriado do pressuposto da continuidade na preparação das demonstrações financeiras. Elementos das demonstrações financeiras relevantes Quais são os principais elementos das demonstrações financeiras de interesse para os utilizadores (ex. resultados, ativos, passivos, capital próprio, rédito e gastos)? Natureza da entidade Considerar a natureza da entidade, onde a entidade se situa no seu ciclo de vida (crescimento, maturidade, declínio, etc.), e o ambiente económico e da indústria em que a entidade opera. Necessidade de ajustamentos São necessários ajustamentos para normalizar a base do indicador de referência antes de efetuar o cálculo da materialidade? Por exemplo, rendimentos de operações em continuação podem ser ajustados por: Itens de rédito/gastos não usuais ou não recorrentes; e Itens tal como bónus do órgão de gestão, os quais podem ser baseados nos resultados antes dos bónus ou simplesmente pagos para reduzir o resultado da entidade. Principal foco dos utilizadores Qual a informação nos itens das demonstrações financeiras que atrai a atenção dos utilizadores? Por exemplo, os utilizadores interessados: Em avaliar o desempenho financeiro dirigirão a sua atenção para lucros, réditos ou ativos líquidos; e Nos recursos utilizados para atingir determinados objetivos ou fins irão dirigir a sua atenção para a natureza e dimensão do rédito e gastos. Financiamento Como é que a entidade é financiada? Se for financiada apenas por dívida (em vez de capital próprio), os utilizadores podem dar mais atenção aos ativos dados como garantia e reclamações do que aos resultados da entidade. 85

40 5.4. Materialidade Considerar Volatilidade Quão volátil é o indicador de referência? Por exemplo, um indicador de referência baseado nos resultados pode geralmente ser apropriado, mas se a entidade estiver a operar próximo do break-even em cada período (tal como lucros ou prejuízos reduzidos) ou os seus resultados flutuarem significativamente, esse indicador pode não ser uma base apropriada para determinar a materialidade. Alternativas É necessário um indicador de referência alternativo para abordar uma circunstância específica? Os indicadores de referência podem incluir ativo corrente, ativo circulante, ativo total, rendimentos totais, lucro bruto, capital próprio e fluxos de caixa das atividades operacionais. Materialidade de execução A materialidade de execução é uma ferramenta de auditoria. Ela permite ao auditor abordar os riscos de distorção em saldos de contas, classes de transações, e divulgações sem ter que mudar a materialidade global. Enquanto que a materialidade global e a materialidade específica são determinadas em relação aos utilizadores das demonstrações financeiras, a materialidade de execução é definida numa quantia inferior. As quantias estabelecidas para a materialidade de execução são sempre inferiores (baseado no julgamento profissional) à materialidade definida para as demonstrações financeiras como um todo. Esta(s) quantia(s) inferior(es) estabelece(m) assim uma margem de segurança entre a materialidade utilizada para determinar a natureza e extensão dos testes (baseada na materialidade de execução) e a materialidade para as demonstrações financeiras como um todo (materialidade global). Estabelecer uma quantia adequada para a materialidade de execução assegura que é executada a quantidade adequada de procedimentos. Quanto mais baixa a quantia, mais trabalho será executado. Por exemplo, se a materialidade global for Є e os procedimentos de auditoria forem planeados para detetar todos os erros que excedam Є, é possível não detetar um erro de, digamos, 8.000Є. Se existissem três desses erros, totalizando Є, as demonstrações financeiras estariam materialmente distorcidas. No entanto, se a materialidade de execução fosse estabelecida a Є, seria muito mais provável que pelo menos um desses erros de 8.000Є fosse detetado. Mesmo que só um desses erros fosse identificado e corrigido, a distorção restante de Є seria inferior à materialidade global, e as demonstrações financeiras como um todo não estariam materialmente distorcidas. Estabelecer uma quantia apropriada para a materialidade de execução implica o exercício de julgamento profissional - baseado em fatores de risco específico identificados, conhecimento da entidade e quaisquer situações identificadas em auditorias anteriores - e não é um simples cálculo mecânico tal como uma percentagem (por exemplo, 75%) da materialidade global. No entanto, com base nas circunstâncias particulares da entidade a ser auditada, pode ser estabelecida como uma quantia única para as demonstrações financeiras como um todo, ou como quantias específicas para alguns saldos, transações e divulgações. Por exemplo, se tiver sido identificado um risco alto de erros na valorização dos inventários, a materialidade de execução pode ser reduzida por forma a ser executado trabalho adicional para identificar a extensão das distorções. Pelo contrário, se o risco de distorção material no saldo de contas a receber for avaliado como baixo, a materialidade de execução pode ser aumentada, resultando em menos trabalho substantivo sobre o referido saldo. 86

41 5.4. Materialidade A determinação da materialidade de execução envolve o exercício de julgamento profissional baseado nos fatores que abordam o risco de auditoria, tais como os seguintes: Compreensão da entidade e resultados dos procedimentos de avaliação de risco; Natureza e extensão das distorções identificadas em auditorias anteriores; e Expectativas de distorções possíveis no período corrente. A materialidade de execução como um todo ou para saldos, transações, e divulgações individuais, pode ser alterada durante a auditoria (sem impacto na materialidade global) para refletir revisões na avaliação de risco, resultados da auditoria, e nova informação obtida. Na conclusão da auditoria, a materialidade global será usada para ajudar a avaliar o efeito das distorções identificadas nas demonstrações financeiras e ajudar a decidir qual a opinião a ser expressa no relatório de auditoria (ver Capítulo 7.3 para orientações adicionais). Quando é identificada uma possível distorção, considerar as circunstâncias de ocorrência e o impacto na avaliação do risco/plano de auditoria antes de reconsiderar a materialidade de execução. Materialidade específica Há algumas situações em que há uma expectativa razoável de que as decisões económicas dos utilizadores das demonstrações financeiras sejam influenciadas por distorções de quantias abaixo da materialidade para as demonstrações financeiras como um todo. Quadro Influências na decisão Exemplos possíveis Leis, regulamentos, e requisitos contabilísticos Divulgações chave da indústria Divulgação de acontecimentos significativos e alterações importantes nas operações Divulgações sensíveis nas demonstrações financeiras tais como a remuneração do órgão de gestão e dos encarregados da governação. Transações com partes relacionadas. Não conformidade com condições contratuais, compromissos contratuais, disposições regulamentares e requisitos de reporte estatutário/regulamentar. Alguns tipos de gastos tais como pagamentos ilegais ou despesas de executivos. Custos de exploração e reservas para uma entidade mineira. Custos de Investigação e desenvolvimento para uma entidade farmacêutica. Negócios recentemente adquiridos ou expansão das operações. Operações descontinuadas. Acontecimentos não usuais ou contingências (por exemplo, processos judiciais). Introdução de novos produtos ou serviços. O auditor considera a existência de assuntos tais como os acima descritos para uma ou mais classes de transações, saldos de contas, ou divulgações particulares. O auditor também pode considerar útil obter compreensão sobre as opiniões e 87

42 5.4. Materialidade expectativas do órgão de gestão e dos encarregados da governação. Da mesma forma que a materialidade de execução é definida numa quantia inferior à da materialidade global, a quantia da materialidade de execução específica será determinada pelo auditor numa quantia inferior à materialidade específica Distorções em divulgações qualitativas Quando avalia se as distorções em divulgações qualitativas são materiais, o auditor deve identificar fatores relevantes tais como: As circunstâncias da entidade no período. O referencial de relato financeiro aplicável incluindo quaisquer alterações ocorridas. Divulgações qualitativas que são importantes para os utilizadores das demonstrações financeiras devido à natureza da entidade (por exemplo, cumprimento com covenants de financiamentos). As distorções nas divulgações também são acumuladas para ajudar o auditor na avaliação dos efeitos de tais distorções nas divulgações relevantes das demonstrações financeiras como um todo Distorções triviais Pode ser definida uma quantia abaixo da qual as distorções são consideradas claramente triviais e não necessitam ser acumuladas. Claramente trivial não é outra expressão para não material. As distorções que são claramente triviais serão claramente inconsequentes, quer seja individualmente ou em agregado quer julgadas em termos de qualquer critério de dimensão, natureza ou circunstâncias. As distorções nas divulgações também podem ser claramente triviais seja consideradas individualmente ou agregadas, quer julgadas em termos de qualquer critério de dimensão, natureza ou circunstâncias. Não reduzir a materialidade global baseado em riscos de auditoria elevados Evitar o erro de reduzir a materialidade global devido à avaliação do risco de auditoria como alto. A materialidade global é baseada nas necessidades de informação dos utilizadores, e não de quão arriscado pode ser a auditoria de um saldo em particular. Reduzir a materialidade global implica que: A decisão de um utilizador das demonstrações financeiras é afetada pelo risco de auditoria e não pela informação incluída nas demonstrações financeiras; e Irá ser executado trabalho adicional para assegurar que não existem distorções nas demonstrações financeiras que, individualmente ou de forma agregada, excedam a quantia da materialidade global. A abordagem mais adequada é abordar o risco de auditoria através da definição da materialidade de execução para a classe de transação ou saldo de conta num nível mais baixo. Isto irá assegurar que será executado trabalho suficiente para detetar distorções, sem ter que reduzir o nível da materialidade global. Também cria uma margem de segurança para distorções não identificadas durante a execução do trabalho. Primeiro o auditor deve estabelecer a materialidade global com referência aos utilizadores das demonstrações financeiras e depois estabelecer a materialidade de execução para o objetivo de conceber procedimentos adicionais de auditoria. Divulgações, saldos e situações sensíveis nas demonstrações financeiras Utilizar materialidade de execução específica para conceber procedimentos adicionais de auditoria para abordar riscos e saldos específicos em áreas de auditoria sensíveis. 88

43 5.4. Materialidade Quadro síntese dos níveis de materialidade e sua utilização Os níveis de materialidade e utilização da materialidade de execução encontram-se sintetizados no Quadro abaixo. Quadro Global Específica Execução Objetivo Estabelecer a quantia para ajudar a determinar se as demonstrações financeiras estão isentas de distorções materiais, devido a erro ou fraude. Estabelecer uma quantia ou quantias (inferior à materialidade global) a aplicar a uma classe de transações, saldos de contas ou divulgações particulares em que se pode esperar que uma distorção inferior à materialidade para as demonstrações financeiras como um todo influencie as decisões económicas dos utilizadores. Estabelecer uma quantia ou quantias (inferior à materialidade global ou materialidade específica) que assegure que são identificadas distorções inferiores à materialidade global ou específica, e proporcionar uma margem de segurança ao auditor. Base de cálculo Qual o nível de distorção nas demonstrações financeiras que seria tolerável pelos utilizadores (isto é, não iria afetar as decisões económicas tomadas pelos utilizadores)? Qual o nível de distorção relacionada com circunstâncias especiais de uma classe de transação, saldo de conta ou divulgações que seria expectável que influenciasse as decisões económicas dos utilizadores? Qual a quantidade de trabalho de auditoria que será necessário para: Identificar distorções abaixo da materialidade global ou específica; e Deixar uma margem de segurança suficiente para distorções não detetadas? Orientação A materialidade é uma matéria de julgamento profissional e não um mero exercício matemático. Consequentemente, as ISA não proporcionam orientações adicionais. Determinar uma quantia mais baixa (baseada no julgamento profissional) para a auditoria de áreas das demonstrações financeiras específicas ou sensíveis. As ISA não proporcionam orientações específicas. Uso na auditoria Determinar se as distorções não corrigidas, individualmente ou em termos agregados, excedem a materialidade global. Determinar se as distorções não corrigidas, individualmente ou em termos agregados, excedem a materialidade específica. Avaliar os riscos de distorção material; e Conceber procedimentos de auditoria adicionais para responder aos riscos avaliados. 89

44 5.4. Materialidade Global Específica Execução Revisão à medida que a auditoria progride Uma alteração nas circunstâncias que ocorreu durante a auditoria, por exemplo, uma alienação de uma parte do negócio; Nova informação; ou Uma alteração no conhecimento da entidade e as suas operações como resultado da execução de procedimentos de auditoria adicionais (por exemplo: os resultados operacionais reais divergem significativamente dos esperados). Uma alteração nas circunstâncias específicas. Alterações nos riscos avaliados; Natureza e extensão de distorções detetadas aquando da execução de procedimentos de auditoria adicionais; ou Alteração no conhecimento da entidade. Não obstante as ISA não proporcionarem orientações específicas relativamente à percentagem a aplicar ao indicador de referência adequado, verifica-se a nível internacional a existência de algumas orientações relativamente a esta matéria, salvaguardando, em todas elas, que se trata de orientações que podem ajudar o auditor e não se traduzem em regras a aplicar em todas e quaisquer circunstâncias. Assim, a título de exemplo, o resultado de operações em continuidade (3% a 7%) é muitas vezes usado como tendo uma importância maior para os utilizadores das demonstrações financeiras. Caso este não seja um indicador relevante (por exemplo, para entidades sem fins lucrativos ou em que o lucro não é uma base estável), podem ser consideradas as seguintes percentagens: - Rendimentos ou gastos: 1 a 3% - Ativos: 1 a 3%; - Capital próprio: 3 a 5% Materialidade no planeamento e na avaliação do risco Determinar os vários níveis de materialidade é uma componente chave do processo de planeamento, não sendo este um ato isolado, mas antes um processo contínuo e iterativo. O Quadro seguinte sintetiza o uso da materialidade no planeamento e avaliação do risco. 90

45 5.4. Materialidade Quadro Materialidade Planeamento (Estratégia global e plano de auditoria) Usar a materialidade para: Determinar as áreas das DF que necessitam ser auditadas. Definir o contexto da estratégia global de auditoria. Planear a natureza, oportunidade e extensão de procedimentos de auditoria específicos. Determinar a materialidade específica para classes de transações, saldos de contas ou divulgações particulares onde se pode razoavelmente esperar que distorções inferiores à materialidade global possam influenciar as decisões económicas dos utilizadores. Determinar a materialidade de execução para cada nível de materialidade específica, uma vez que pode ser necessário que o auditor use o nível de materialidade de execução para uma classe de transações, saldo de conta ou divulgação particular, dependendo do nível de risco associado a esse item. Avaliar prova mais recente para determinar a necessidade de quaisquer ajustamentos a qualquer nível de materialidade. Caso seja necessário, o auditor deverá rever a natureza, oportunidade e extensão dos procedimentos em conformidade. Procedimentos de avaliação do risco Reuniões da equipa Identificar os procedimentos de avaliação do risco necessários. Avaliar a magnitude (impacto) dos riscos identificados. Ter em consideração os níveis de materialidade aquando da avaliação da informação obtida. Avaliar os resultados dos procedimentos de avaliação do risco. Assegurar que os membros da equipa compreendem os utilizadores identificados e o que pode razoavelmente esperar-se que altere as suas decisões económicas. Isto pode ajudar no caso de um membro da equipa tomar conhecimento de informação durante a auditoria que teria originado uma quantia diferente na materialidade quando inicialmente determinada. Exemplos de tais situações incluem: Uma decisão de alienar uma grande parte do negócio da entidade, Nova informação ou fatores de risco que teriam afetado a determinação inicial da materialidade, e Uma alteração no conhecimento da entidade e do seu negócio como resultado de procedimentos de auditoria adicionais, por exemplo, quando o resultado real é muito diferente do resultado antecipado. Estabelecer a estratégia global de auditoria. Determinar a extensão dos testes em relação a: Materialidade de execução, e Materialidade de execução específica. Identificar questões de auditoria críticas e áreas chave de auditoria. 91

46 5.4. Materialidade Materialidade na execução de procedimentos de auditoria Os auditores devem considerar a materialidade quando determinam a natureza, oportunidade e extensão dos procedimentos de auditoria, conforme apresentado no Quadro seguinte. Quadro Materialidade Execução de procedimentos de auditoria Usar a materialidade de execução quantitativa para: Identificar os procedimentos de auditoria adicionais necessários. Determinar os itens a selecionar para teste e se devem ser usadas técnicas de amostragem. Apoiar na determinação da dimensão das amostras (exemplo: intervalo de amostragem = precisão (materialidade de execução) fator de confiança). Avaliar a representatividade dos erros da amostra através da extrapolação para a população. Avaliar o agregado dos erros totais ao nível da conta e ao nível das demonstrações financeiras. Avaliar o agregado dos erros totais, incluindo o efeito líquido das distorções não corrigidas no saldo de abertura dos resultados retidos. Avaliar os resultados dos procedimentos. Usar a materialidade qualitativa para: Identificar as divulgações que tenham aspetos qualitativos e que possam ser relevantes quando se avaliam os riscos de distorção material. Pode incluir divulgações sobre: Liquidez e covenants de dívida de uma entidade em dificuldades financeiras. Acontecimentos ou circunstâncias que levem ao reconhecimento de uma perda por imparidade. Fontes de incerteza de estimação, incluindo pressupostos sobre o futuro. Natureza de uma alteração de política contabilística e outras divulgações relevantes que se espera tenham um impacto significativo na posição financeira e desempenho da entidade. Partes relacionadas e transações com partes relacionadas. Análises de sensibilidade, incluindo os efeitos de alterações nos pressupostos utilizados em técnicas de avaliação. Incerteza sobre uma quantia registada ou divulgada. Nota: A estratégia global de auditoria e o plano de auditoria necessitam ser revistos quando: A natureza das distorções identificadas e as circunstâncias da sua ocorrência indicam que podem existir outras distorções que, quando agregadas com as distorções acumuladas durante a auditoria, podem ser materiais; ou O agregado das distorções acumuladas durante a auditoria se aproxima da materialidade. 92

47 5.4. Materialidade Materialidade no relato Antes de emitir uma opinião, o auditor deve: Confirmar a materialidade para as demonstrações financeiras como um todo; Avaliar a natureza e o agregado das distorções identificadas não corrigidas; e Efetuar uma avaliação global sobre se as demonstrações financeiras estão materialmente distorcidas. ISA relevante Parágrafos Quadro Materialidade Relato O auditor deve usar a materialidade para: Avaliar o agregado dos erros totais ao nível da conta e ao nível das demonstrações financeiras. Avaliar o agregado dos erros totais, incluindo o efeito líquido das distorções não corrigidas no saldo de abertura dos resultados acumulados. Quando o agregado das distorções se aproximar da materialidade global ou da materialidade específica, determinar se devem ser executados procedimentos de auditoria adicionais. Solicitar ao órgão de gestão a correção de todas as distorções identificadas. Considerar rever as áreas com maiores distorções. Efetuar julgamentos acerca da natureza e sensibilidade das distorções identificadas, assim como a sua dimensão. Determinar se o relatório de auditoria necessita ser modificado devido a distorções materiais não corrigidas. O agregado das distorções é constituído por: Distorções especificas identificadas pelo auditor resultantes dos testes de auditoria; e Uma estimativa de outras distorções identificadas que não podem ser especificamente quantificadas de outra forma. O auditor solicita depois ao órgão de gestão que registe todas as distorções identificadas. Para mais orientações relativas à avaliação das distorções, ver Capítulo Outras considerações As outras considerações incluem: Comunicar com o órgão de gestão e com os encarregados da governação; Atualizar a materialidade; e Reduzir o nível de materialidade face ao período anterior. Comunicar com o órgão de gestão e com os encarregados da governação O órgão de gestão e os encarregados da governação necessitam compreender as limitações relativas ao grau de precisão que se pode esperar de uma auditoria. Também necessitam ter conhecimento de que não é economicamente viável 93

48 5.4. Materialidade conceber procedimentos de auditoria que proporcionem garantia absoluta de que as demonstrações financeiras não estão materialmente distorcidas. Uma auditoria apenas pode proporcionar garantia razoável a este respeito. Quando, no decurso da auditoria, o auditor identificar distorções, o primeiro passo é solicitar ao órgão de gestão a correção de todas as distorções não corrigidas. Se o órgão de gestão decidir não corrigir determinadas distorções, o auditor deve comunicar o seguinte aos encarregados da governação: Detalhes das distorções não corrigidas e o efeito, individual ou agregado, que estas têm na opinião no relatório de auditoria; Distorções individualmente materiais não corrigidas; e O efeito de distorções não corrigidas relativas a períodos anteriores nas classes de transações, saldos de contas ou divulgações relevantes, e nas demonstrações financeiras como um todo. Atualizar a materialidade No início do trabalho, o auditor determina a materialidade global em relação aos utilizadores das demonstrações financeiras e a materialidade de execução por forma a planear a natureza e extensão dos procedimentos de auditoria. ISA relevante Parágrafos Durante o trabalho, pode ser obtida nova informação que, se conhecida anteriormente, teria dado origem a uma quantia diferente da materialidade global. Tal pode resultar de situações tais como: Decisão de alienar ou adquirir um negócio significativo; Resultados reais significativamente diferentes dos resultados antecipados para o final do período, incluindo rentabilidade, rédito, gastos, ativos e passivos; e Alteração da compreensão da entidade e das suas operações como consequência da execução de procedimentos de auditoria adicionais. Quando é obtida nova informação, o auditor deve considerar a revisão da materialidade global. O auditor deve também considerar a necessidade de rever a materialidade de execução e o impacto da alteração na natureza e extensão dos procedimentos necessários para obter prova de auditoria suficiente e apropriada. Reduzir o nível de materialidade face ao período anterior Quando ocorre uma alteração nas circunstâncias face ao período anterior, o auditor deve considerar o efeito de qualquer distorção nos saldos iniciais de qualquer componente do capital próprio. Por exemplo, quando as vendas e o rendimento são substancialmente inferiores ao do período anterior, pode ser necessário definir uma materialidade mais baixa. Podem existir erros nos saldos de abertura, dado que a auditoria foi anteriormente executada usando um nível de materialidade superior. Para reduzir o risco de ocorrer um erro material nos saldos de abertura do capital próprio, o auditor deve executar procedimentos de auditoria adicionais nos saldos de abertura dos ativos e passivos Documentação da materialidade Uma vez que as quantias de materialidade são baseadas no julgamento profissional do auditor, é importante que os fatores e quantias envolvidos na determinação da materialidade aos vários níveis estejam documentados adequadamente. Isto geralmente ocorre da seguinte forma: ISA relevante Parágrafos Na fase de planeamento, quando são tomadas decisões sobre o volume de trabalho necessário. 94

49 5.4. Materialidade Durante a auditoria, quando, baseado nos resultados da auditoria, podem ser necessárias revisões à materialidade global ou à materialidade específica para classes de transações, saldos de contas, ou divulgações particulares, e respetivas materialidades de execução. A documentação abordará: Os utilizadores das demonstrações financeiras; e Os fatores utilizados ao determinar: O nível de materialidade para as demonstrações financeiras como um todo e, se aplicável, o nível ou níveis de materialidade para classes de transações, saldos de contas, ou divulgações particulares; O nível ou níveis de materialidade de execução; e Qualquer revisão das quantias de materialidade referidas no ponto anterior à medida que a auditoria progride Exemplo Avaliação da Materialidade De seguida apresenta-se um exemplo de documentação relativamente à avaliação da materialidade Os principais utilizadores das demonstrações financeiras são os bancos e os acionistas. A quantia da materialidade usada no ano anterior foi de Ver o PT Refª XX relativamente a quantias de materialidade baseadas nos resultados de operações continuadas, bem como no rédito. Aplicando o nosso julgamento profissional, decidimos basear a materialidade em 5% do resultado antes de impostos ajustado de de bónus de gestão. Foram também consideradas outras bases para o cálculo, tal com o rédito, mas entendemos que o resultado antes de impostos é a quantia mais apropriada tendo em conta os utilizadores das demonstrações financeiras. Para o exercício corrente, a expectativa é usar a quantia de como materialidade global. O conceito de materialidade e sua utilização na auditoria foi discutido em termos gerais com o órgão de gestão. Aplicando o julgamento profissional e a tendo em conta natureza das distorções identificadas em anos anteriores, a materialidade de execução foi estabelecida em Foi estabelecida uma materialidade específica de relativamente a transações com partes relacionadas dada a existência de minoritários que são particularmente sensíveis a distorções nestas transações. Também temos de considerar possíveis distorções nas divulgações das demonstrações financeiras (tanto quantitativas como qualitativas) se se esperar que tais divulgações possam influenciar as decisões económicas dos utilizadores das demonstrações financeiras. A quantia estabelecida para distorções insignificantes foi de Preparado por: Revisto por: Data: Data: 95

50 (Esta página foi intencionalmente deixada em branco) 96

51 5.5. Controlo Interno - Propósito e Componentes Conteúdo Controlo interno: propósito e componentes Dar uma visão geral do objetivo, âmbito e natureza do controlo interno sobre o relato financeiro, incluindo os cinco componentes que devem ser avaliados pelo auditor. ISA relevante 315 (Revista) Enquadramento O controlo interno refere-se aos processos, políticas e procedimentos concebidos pelo órgão de gestão para garantir a fiabilidade do relato financeiro e a preparação de demonstrações financeiras de acordo com o referencial de relato financeiro aplicável. ISA relevante Parágrafos 315R 4(c), O controlo interno é concebido, implementado e mantido pelos encarregados da governação e pelo órgão de gestão para tratar riscos de negócio e de fraude que ameacem a obtenção dos objetivos, tais como a fiabilidade do relato financeiro. Exige-se ao auditor que compreenda como é que a entidade aborda cada um dos cinco componentes do controlo interno relacionados com uma auditoria de demonstrações financeiras. Estes componentes estão descritos no presente Capítulo e nos parágrafos 4(c), e A76-A117 da ISA 315 (Revista). O Apêndice 1 da ISA 315 (Revista) também inclui explicações adicionais para cada um destes componentes. Esta compreensão do controlo interno é necessária para determinar o risco de controlo. A compreensão é necessária independentemente de qualquer decisão do auditor para testar tais controlos como parte da estratégia de auditoria. Nota: Apenas necessitam ser identificados, documentados e avaliados os controlos internos relevantes para a auditoria. Um controlo relevante é aquele que aborda um risco de distorção das demonstrações financeiras Objetivos do controlo interno O controlo interno é a resposta do órgão de gestão para mitigar um risco identificado ou atingir um objetivo de controlo. Há uma relação direta entre os objetivos de uma entidade e o controlo interno que implementa para os assegurar. Depois dos objetivos definidos, é possível identificar e avaliar acontecimentos potenciais (riscos) que prejudiquem esses objetivos. Com base nessa informação, o órgão de gestão pode desenvolver respostas adequadas, as quais incluem a conceção do controlo interno. Os objetivos do controlo interno podem ser agrupados em quatro categorias: Metas estratégicas que suportam a missão da entidade; Relato financeiro (controlo interno sobre o relato financeiro); Operações (controlos operacionais); e Conformidade com leis e regulamentos. O controlo interno relevante para a auditoria é principalmente o relacionado com o relato financeiro. Este refere-se ao objetivo da entidade de preparar demonstrações financeiras para fins externos. Controlos operacionais, por exemplo, produção e turnos de trabalho, controlo de qualidade e conformidade dos empregados com requisitos de saúde e segurança, não são normalmente relevantes para a auditoria, exceto quando: A informação produzida é utilizada num procedimento analítico; ou 97

52 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes A informação é necessária para divulgação nas demonstrações financeiras. Por exemplo, se são utilizadas estatísticas de produção como uma base para procedimentos analíticos, os controlos que asseguram a correção dessa informação são relevantes. Se o incumprimento de algumas leis e regulamentos tem um efeito direto e material nas demonstrações financeiras, os controlos para detetar e relatar esses incumprimentos serão relevantes. Imagem Objetivo da Entidade Preparar demonstrações financeiras que não estejam materialmente distorcidas Identificar riscos de negócio/fraude que impedem que o objetivo seja atingido Resposta do órgão de gestão: Controlos internos que mitiguem os riscos identificados Risco residual do órgão de gestão Baixo Exposição ao risco de fraude e erro Alto A primeira barra na Imagem representa os riscos de negócio e de fraude que podem levar a que as demonstrações financeiras estejam materialmente distorcidas (antes de considerar o controlo interno). A segunda barra reflete os procedimentos de controlo concebidos e implementados pelo órgão de gestão para mitigar os riscos identificados. A área em que a segunda barra não mitiga completamente os riscos identificados é frequentemente designada como o risco residual do órgão de gestão. Idealmente, o órgão de gestão concebe controlos suficientes para assegurar que o risco residual é reduzido para um nível aceitavelmente baixo tanto para efeitos internos de gestão, como para efeitos da auditoria externa. Na prática alguns gestores tendem a possuir uma elevada tolerância ao risco (isto é, menos controlos, resultando num maior risco residual) e outros gestores tendem a ser mais conservadores e conceber controlos para reduzir o risco a um nível praticamente nulo. O objetivo único de um controlo é mitigar risco. Um controlo sem um risco para mitigar é obviamente não relevante. Deste modo, tem que existir um risco antes de ser mitigado por um controlo do órgão de gestão. Contudo, alguns auditores ignoram este facto. Começam a avaliação do controlo interno através da documentação do sistema e controlos existentes antes de dedicar tempo a identificar quais os riscos que realmente necessitam ser mitigados. Esta abordagem pode resultar em muito trabalho desnecessário a documentar processos e controlos, que mais tarde pode revelar-se totalmente irrelevante para os objetivos da auditoria. Componentes do controlo interno 98

53 5.5. Controlo Interno - Propósito e Componentes O termo controlo interno, tal como utilizado na ISA 315 (Revista), é mais vasto que atividades de controlo, tais como, segregação de funções, autorizações e reconciliações de contas. O controlo interno abrange cinco componentes chave: O ambiente de controlo; O processo de avaliação do risco pela entidade; O sistema de informação, incluindo os processos de negócios relacionados, relevantes para o relato financeiro e para comunicação; Atividades de controlo relevantes para a auditoria; e Monitorização do controlo interno. A relação destes componentes com os objetivos de relato financeiro da entidade está ilustrada abaixo. Os cinco componentes do controlo interno Imagem Objetivos do relato financeiro A divisão do controlo interno nestes cinco componentes proporciona um enquadramento útil para que os auditores compreendam os seus diferentes aspetos. Deve, no entanto, ser notado o seguinte: A forma como o sistema de controlo interno está concebido e implementado varia consoante a dimensão e complexidade da entidade. Entidades mais pequenas normalmente usam processos e procedimentos menos formais e mais simples para atingir os objetivos. Os cinco componentes do controlo interno podem não ser tão claramente distintos, no entanto, os seus fins subjacentes são igualmente válidos. Por exemplo, um sóciogerente pode (e na ausência de outro pessoal, deve) executar funções pertencentes a vários componentes do controlo interno. Podem ser usadas terminologia e referências diferentes das utilizadas na ISA 315 (Revista) para descrever os vários aspetos do controlo interno e o seu efeito na auditoria, mas todos devem ser tratados na auditoria. A principal consideração por parte do auditor é se, e como, um controlo específico previne, ou deteta e corrige, distorções materiais em classes de transações, saldos de contas, ou divulgações. Apresenta-se em seguida um sumário dos cinco componentes do controlo interno. 99

54 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes O ambiente de controlo O ambiente de controlo é a base para um controlo interno eficaz, proporcionando disciplina e estrutura para a entidade. Estabelece o tom da organização, influenciando a consciência e sensibilização das pessoas para o controlo. ISA relevante Parágrafos 315R 14 O ambiente de controlo dirige-se às funções de governo societário e de gestão. Trata também das atitudes, consciência e ações dos encarregados da governação e do órgão de gestão relativamente ao controlo interno e à sua importância dentro da entidade. Nota: Os controlos relativos ao ambiente de controlo são geralmente de natureza abrangente. Não se destinam a prevenir, ou detetar e corrigir, uma distorção material de forma direta. Em vez disso, constituem um alicerce importante sobre o qual serão construídos os restantes controlos. A Imagem apresenta os vários elementos do ambiente de controlo que devem ser considerados. De notar que a importância e a ordem (prioridade) destes elementos variam de entidade para entidade. Imagem Comunicação dos valores da entidade e compromisso com a competência Políticas e procedimentos de recursos humanos Os controlos do ambiente de controlo irão influenciar a avaliação do auditor sobre a eficácia de outras atividades de controlo específicas que se destinem a áreas específicas, tais como, transações de compras e vendas. Por exemplo, se o órgão de gestão tem uma atitude negativa em relação ao controlo em geral, isto enfraquece a eficácia de outros controlos mesmo que bem concebidos. A avaliação do auditor da conceção do ambiente de controlo da entidade inclui os elementos abaixo descritos. 100

55 5.5. Controlo Interno - Propósito e Componentes Quadro Elementos chave a abordar Comunicação e imposição de valores éticos incluindo a integridade Compromisso para a competência Participação dos encarregados da governação Filosofia e estilo operacional do órgão de gestão Estrutura organizacional Atribuição de autoridade e responsabilidade Políticas e práticas de recursos humanos Descrição Integridade e outros valores éticos são elementos essenciais (de base), que influenciam a eficácia da conceção, gestão e monitorização dos outros controlos. A consideração pelo órgão de gestão dos níveis de competência para trabalhos específicos e os conhecimentos e capacidades exigidas para esses níveis. Atributos dos encarregados da governação, tais como: A sua independência do órgão de gestão; A sua experiência e capacidade; A extensão do seu envolvimento, a informação que recebem e o escrutínio das atividades; e A pertinência das suas ações, incluindo a medida em que são colocadas perguntas difíceis ao órgão de gestão e a sua interação com auditores internos e externos. A abordagem do órgão de gestão para assumir e gerir riscos de negócio, bem como as suas atitudes e ações relativamente ao relato financeiro, processamento de informação, contabilidade e pessoal. O enquadramento de como as atividades da entidade para prossecução dos objetivos são planeadas, executadas, controladas e revistas. Como é que são atribuídas as funções de autorização e responsabilização para as atividades operacionais, e como é que os esquemas de relato e as hierarquias de autorização são estabelecidas. Recrutamento, orientação, formação, avaliação, aconselhamento, promoções, compensação, e medidas corretivas. Os controlos acima apresentados são gerais para toda a entidade e são frequentemente mais difíceis de avaliar do que as atividades de controlo tradicionais (tais como a segregação de funções). O auditor precisa, portanto, de exercer julgamento profissional na sua avaliação. Os pontos fortes do ambiente de controlo podem compensar ou mesmo substituir controlos de transações fracos em algumas situações. No entanto, as deficiências do ambiente de controlo podem enfraquecer e mesmo anular uma boa conceção em outros componentes de controlo interno. Por exemplo, se não existir uma cultura de honestidade e comportamento ético, um auditor terá de considerar cuidadosamente que tipo de procedimentos (adicionais) de auditoria serão eficazes na identificação de distorções materiais nas demonstrações financeiras. Nalguns casos, o auditor pode concluir que o controlo interno tem tantas deficiências que a sua única opção é renunciar ao trabalho. O ambiente de controlo em PME O ambiente de controlo em pequenas entidades é diferente do de grandes entidades, mas é igualmente importante. Isto é particularmente verdade quando a entidade não tem pessoal ou outros recursos para implementar atividades de controlo tradicionais como, por exemplo, a segregação de funções. Em pequenas entidades o envolvimento ativo de um sócio-gerente competente (um ponto forte do ambiente de controlo) 101

56 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes pode muito bem reduzir a necessidade de outras atividades de controlo. Consequentemente, os pontos fortes do ambiente de controlo podem servir para indiretamente prevenir ou detetar e corrigir alguns tipos de distorções. Por exemplo, quando o sócio-gerente revê e aprova transações individuais antes de completadas, pode estar a prevenir ou a detetar e corrigir um erro ou fraude. No entanto, este ponto forte não mitiga outros riscos tais como a derrogação dos controlos pelo órgão de gestão. Estas entidades têm tipicamente menos documentação disponível para suportar os controlos do ambiente de controlo. Assim, as atitudes, consciência e ações do órgão de gestão determinam a base para avaliar a conceção e implementação do controlo. Por exemplo, grandes entidades podem disponibilizar um código de conduta aos seus colaboradores, com indicação de comportamentos aceitáveis e consequências em caso de violação. Em pequenas entidades podem ser comunicados valores e comportamentos aceitáveis através de comunicação verbal e pelo exemplo do órgão de gestão. Quando não há documentação de suporte para um controlo, o auditor prepara um memorando para o dossier. Por exemplo, relativamente à comunicação e cumprimento de integridade e valores éticos, um auditor pode: Identificar os valores da entidade, comportamentos aceitáveis, e ações de implementação através de discussões com o órgão de gestão. Isto está relacionado com a conceção do controlo. Perguntar a um ou dois empregados o que pensam que são os valores da entidade e os comportamentos aceitáveis e as ações de implementação. Estas entrevistas destinam-se a determinar se os valores e os comportamentos considerados adequados foram comunicados e assegurados. Isto está relacionado com a implementação do controlo. Em pequenas entidades, algumas das áreas chave a considerar na avaliação do ambiente de controlo estão resumidas no Quadro abaixo. Quadro Elemento de controlo Questão chave Controlos possíveis Comunicação e imposição de valores éticos incluindo a integridade Que ações do órgão de gestão se destinam a eliminar ou mitigar incentivos ou tentações que possam levar o pessoal a efetuar ou participar em atos desonestos, ilegais ou não éticos? Demonstração contínua por parte do órgão de gestão, através de palavras e atos, de um compromisso com elevados padrões éticos. O órgão de gestão remove ou reduz incentivos ou tentações que possa levar o pessoal a efetuar ou participar em atos desonestos ou ilegais. Existe um código de conduta ou equivalente que explicita os padrões éticos e comportamento moral. Os empregados compreendem claramente que comportamento é aceitável ou não, e sabem o que fazer quando se deparam com comportamentos não adequados. São tomadas ações corretivas quando necessário. 102

57 5.5. Controlo Interno - Propósito e Componentes Elemento de controlo Questão chave Controlos possíveis Compromisso para a competência Participação dos encarregados da governação (EG) (outros para além do órgão de gestão que é EG) Filosofia e estilo operacional do órgão de gestão O pessoal tem os conhecimentos e capacidades necessárias para executar as suas tarefas? A governação (caso exista) sobre as operações da entidade é eficaz? Quais são as atitudes do órgão de gestão relativamente ao relato financeiro? O órgão de gestão toma as medidas necessárias para assegurar que o pessoal tem os conhecimentos e competências necessários para o seu trabalho. Existem descrições de funções e são usadas de maneira efetiva. O órgão de gestão proporciona ao pessoal acesso a formação em matérias relevantes. Há uma correspondência inicial e contínua das capacidades do pessoal com a sua descrição de funções. A maioria dos EG são independentes do órgão de gestão. Os EG têm experiência adequada, capacidade e competência financeira. Os assuntos significativos e resultados financeiros são comunicados aos EG atempadamente. Os EG efetuam supervisão eficaz sobre as atividades do órgão de gestão. Isto inclui fazer perguntas difíceis e obter resposta. Os EG reúnem numa base regular, e as atas das reuniões são preparadas e vistas atempadamente. O órgão de gestão demonstra atuar por ações e ter uma atitude positiva em relação a: Controlo interno eficaz sobre relato financeiro (incluindo resposta ao risco de derrogação dos controlos pelo órgão de gestão e outras fraudes) Seleção e aplicação de políticas contabilísticas adequadas, Controlos sobre o processamento da informação, e O tratamento do pessoal da contabilidade. O órgão de gestão estabeleceu procedimentos para prevenir o acesso não autorizado ou a destruição de ativos, documentos e registos. O órgão de gestão analisa os riscos do negócio e toma as decisões apropriadas. 103

58 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes Elemento de controlo Questão chave Controlos possíveis Estrutura organizacional Atribuição de autoridade e responsabilidade Políticas e práticas de recursos humanos Foi estabelecida uma estrutura organizacional relevante? As áreas chave de autoridade e responsabilidade foram atribuídas adequadamente? Que normas existem para garantir que: São recrutadas pessoas honestas e competentes? É proporcionada formação para assegurar que as pessoas executam bem o seu trabalho? As promoções dependem do desempenho e sua avaliação? A estrutura organizacional é apropriada para facilitar a obtenção dos objetivos da entidade, funções operacionais e requisitos regulamentares. O órgão de gestão compreende claramente a sua responsabilidade e autoridade para as atividades de negócio, e possui a experiência exigida e níveis de conhecimento adequado para executar a sua função. A estrutura de entidade facilita o fluxo de informação fiável e atempada para as pessoas apropriadas pelo planeamento e controlo das atividades. Funções incompatíveis são segregadas na medida do possível. Há políticas e procedimentos para autorização e aprovação das transações. Existem canais de relato e de responsabilização apropriadas (em relação à dimensão da entidade e à natureza das suas atividades). As descrições de funções incluem responsabilidades relativas a controlos. O órgão de gestão estabelece/aplica normas para recrutar os indivíduos mais qualificados. As práticas de recrutamento incluem entrevistas, verificação de antecedentes, e comunicação de valores, comportamentos esperados e estilo operacional da gestão. O desempenho no trabalho é avaliado periodicamente, os resultados revistos com cada empregado, e são tomadas ações apropriadas. As políticas de formação dirigem-se a cargos e responsabilidades potenciais, a níveis esperados de execução, e evolução das necessidades. 104

59 5.5. Controlo Interno - Propósito e Componentes Avaliação do risco A avaliação do risco é o segundo dos cinco componentes do controlo interno. Um processo de avaliação do risco eficazmente implementado e mantido pelo órgão de gestão proporciona a informação necessária para determinar que riscos de negócio/fraude devem ser geridos, e que ações tomar (se algumas). O órgão de gestão pode iniciar programas ou ações destinados a cobrir riscos específicos, ou pode decidir aceitar um risco devido a considerações de custo ou outras. ISA relevante Parágrafos 315R Se o processo de avaliação de risco pela entidade for apropriado às circunstâncias, isso ajudará o auditor a identificar riscos de distorção material. O processo de avaliação de risco geralmente trata as seguintes questões: Mudanças no ambiente operacional; Novo pessoal sénior; Sistemas de informação novos ou reformulados; Crescimento rápido; Novas tecnologias; Novos modelos de negócio, produtos ou atividades; Reestruturação societária (incluindo desinvestimentos e aquisições); Expansão de operações no estrangeiro; e Novas políticas contabilísticas. Em pequenas entidades onde é pouco provável que exista um processo de avaliação de risco formal, o auditor discute com o órgão de gestão como é que os riscos de negócio são identificados e como são tratados. O auditor deve considerar como é que o órgão de gestão: Identifica riscos relevantes para o relato financeiro; Estima a importância dos riscos; Avalia a possibilidade da sua ocorrência; e Decide sobre as ações para os gerir. O auditor também deve avaliar se a inexistência de um processo de avaliação do risco é apropriada nas circunstâncias, ou determinar se representa uma deficiência significativa no controlo interno. Se o auditor identifica riscos de distorção material que o órgão de gestão não identificou, deve questionar: Porque é que os processos do órgão de gestão falharam? Os processos são apropriados nas circunstâncias? Se existe uma deficiência significativa no processo de avaliação de risco da entidade (ou se não há nenhum processo), tal deve ser comunicado ao órgão de gestão e aos encarregados da governação. Condições e acontecimentos que podem indiciar Riscos de Distorção Material O Apêndice 2 da ISA 315 (Revista) contém uma lista muito útil de possíveis condições e acontecimentos que podem indiciar a existência de riscos de distorção material. 105

60 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes Sistema de informação e comunicação O órgão de gestão (e os encarregados da governação) exigem informação fiável para: Gerir a entidade para efeitos de planeamento, orçamentação, monitorização, desempenho, alocação de recursos, estabelecimento de preços e preparação das demonstrações financeiras); Alcançar objetivos; e Identificar, avaliar e responder a fatores de riscos. ISA relevante Parágrafos 315R Isto exige que seja identificada, recolhida e comunicada/distribuída informação pertinente atempadamente ao pessoal (a todos os níveis da entidade) que precisam dela para tomadas de decisão. Um sistema de informação consiste numa infraestrutura (componentes física e de hardware), software, pessoas, procedimentos e dados. Muitos sistemas de informação utilizam extensivamente tecnologia de informação (TI). Identificam, recolhem, processam e distribuem informação para suportar a realização do relato financeiro e dos objetivos de controlo interno. Um sistema de informação relevante para os objetivos de relato financeiro inclui os processos de negócio da entidade e o sistema contabilístico, tal como explicitado abaixo. Quadro Processos de negócio (vendas, compras, salários, etc.) Sistema contabilístico Outros sistemas de informação Processos de negócio são conjuntos de atividades estruturadas, concebidas para produzir um output específico. Resultam no registo, processamento e relato de transações pelo sistema de informação. Inclui software de contabilidade, folhas de cálculo eletrónicas, outra informação relevante de outras fontes e as políticas e procedimentos utilizados para preparar demonstrações financeiras periódicas e anuais e respetivas divulgações. O apuramento de algumas quantias e a preparação de divulgações das demonstrações financeiras podem exigir o uso de informação que é obtida dentro ou fora do razão geral ou auxiliares. 106

61 5.5. Controlo Interno - Propósito e Componentes Fontes de informação As demonstrações financeiras e divulgações podem conter informação que não é gerada pelo sistema de contabilidade (razão geral) da entidade. Esta informação é geralmente obtida fora do razão geral e razões auxiliares e pode incluir exemplos como: Quadro Natureza da informação Acordos contratuais Incumprimentos Informação de justo valor Avaliações do risco Pressupostos e dados usados para preparar estimativas Análises de sensibilidade Declarações fiscais e registos similares Informação sobre continuidade Exemplos Pode ser divulgada nas demonstrações financeiras informação obtida da leitura de acordos de locação, tal como opções de renovação ou futuros pagamentos da locação. Indícios de incumprimento real ou suspeita de incumprimento de leis e regulamentos relevantes. Informação que pode ser produzida por peritos do órgão de gestão e divulgada nas demonstrações financeiras. Informação divulgada nas demonstrações financeiras que é produzida pelo sistema de gestão do risco da entidade. Por exemplo, o referencial de relato financeiro pode exigir a divulgação de determinados assuntos relacionados com o sistema de gestão do risco da entidade. Informação que foi obtida de modelos, ou de outros cálculos usados para desenvolver estimativas reconhecidas ou divulgadas nas demonstrações financeiras. Isto incluiria informação relacionada com os dados base e pressupostos usados nesses modelos, tais como: Pressupostos desenvolvidos internamente que podem afetar a vida útil de um ativo; ou Dados, como taxas de juro, que são afetados por fatores fora do controlo da entidade. Informação divulgada nas demonstrações financeiras sobre análises de sensibilidade derivada de modelos financeiros, as quais podem demonstrar que o órgão de gestão considerou pressupostos alternativos. Informação reconhecida ou divulgada nas demonstrações financeiras obtidas das declarações fiscais e registos da entidade. Informação obtida de análises preparadas para suportar a avaliação do órgão de gestão relativa à capacidade da entidade para prosseguir em continuidade. Por exemplo, divulgações relacionadas com acontecimentos ou condições que tenham sido identificadas que coloquem dúvidas sobre a capacidade da entidade para prosseguir em continuidade. A extensão do conhecimento exigido sobre o sistema de informação relacionado com o relato financeiro é uma questão de julgamento profissional do auditor. Os fatores a considerar incluem: Fontes de informação usadas, tanto internas como externas; Fiabilidade dos relatórios financeiros usados nas tomadas de decisão; Registos contabilísticos subjacentes e informação de suporte; Como o sistema de informação captura acontecimentos e condições, que não transações, que são significativas para as demonstrações financeiras; 107

62 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes O processo de relato financeiros incluindo a preparação de estimativas, controlos sobre registos de operações diversas e controlos sobre a utilização de folhas de cálculo; e Comunicações entre o órgão de gestão ou os encarregados da governação e terceiros tais como bancos e autoridades reguladoras. Um sistema de informação tem procedimentos, políticas e registos (manuais e automáticos) concebidos para responder aos assuntos indicados na Imagem seguinte. Imagem Inputs Transações, acontecimentos e condições Processos de negócio Sistemas Contabilísticos Outra informação Inicializar, registar, processar e relatar transações (incluindo acontecimentos/condições) e manter responsabilidade (salvaguarda, classificação, mensuração, etc.) para ativos passivos e capital próprio relacionados Resolver o processamento incorreto de transações Processar e manter controlo sobre a derrogação do sistema ou de controlos Transferir informação de sistemas de processamento de transações para o razão geral Capturar informação para outros acontecimentos/condições relevantes (depreciação de ativos, valorização de inventários, contas a receber, etc.) Acumular, registar, processar, sumarizar e relatar apropriadamente outra informação que deva ser divulgada nas demonstrações financeiras Usar lançamentos padronizados e outros para registar transações, estimativas e ajustamentos Informação exigida para áreas e divulgações das demonstrações financeiras obtidas fora do razão geral e auxiliares. Isto incluiria: - Declarações fiscais, relatórios da indústria, dados de taxa de juro, etc. - Dados e pressupostos subjacentes usados no desenvolvimento de estimativas, análises de sensibilidade e avaliações de continuidade. - Informação do justo valor produzida internamente ou por perito do órgão de gestão. Outputs Demonstrações financeiras (incluindo divulgações) Em entidades de maior dimensão, o sistema de informação pode ser complexo, automático e altamente integrado. As pequenas entidades geralmente utilizam aplicações de TI com integração manual ou independente. Ao obter uma compreensão do sistema de informação (incluindo processos de negócio), o auditor aborda (para além da Imagem acima): Processos de negócio; e Aspetos relevantes dos sistemas relacionados com a informação contida nas demonstrações financeiras incluindo divulgações. Isto pode ser obtido dentro ou fora do razão geral e auxiliares. A extensão da compreensão exigida é uma matéria de julgamento profissional do auditor. As matérias a considerar incluem: Atividades de controlo relacionadas com a informação contida nas demonstrações financeiras incluindo divulgações. Contudo, não se exige que o auditor compreenda todas as atividades de controlo, apenas as que são relevantes para o relato financeiro. Extensão do envolvimento ativo do órgão de gestão no relato financeiro. As pequenas entidades podem não necessitar se descrições extensivas de procedimentos contabilísticos, registos contabilísticos sofisticados ou políticas escritas. Extensão da informação, necessária para a auditoria e divulgações das demonstrações financeiras, que o órgão de gestão obteve fora do razão geral e auxiliares. 108

63 5.5. Controlo Interno - Propósito e Componentes O âmbito da compreensão exigida incluiria as situações descritas no Quadro seguinte. Quadro Identificação Fontes de informação utilizadas Como é que a informação é recolhida e processada Questões Que classes de transações são significativas para as demonstrações financeiras? Como é que as transações são iniciadas nos processos de negócio? Que registos contabilísticos (eletrónicos ou manuais) existem? Como é que o sistema contabilístico relevante para o relato financeiro recolhe acontecimentos e condições (para além de classes de transações) que são significativas para as demonstrações financeiras? Isto é particularmente importante quando a informação incluída nas demonstrações financeiras é obtida fora do razão geral e auxiliares. Quais são os processos de relato financeiro usados para: Iniciar, registar, processar e relatar transações gerais e transações não padronizadas (tais como transações com partes relacionadas, etc.); e Preparar as demonstrações financeiras, incluindo estimativas contabilísticas significativas e divulgações? Que procedimentos se destinam a identificar: Riscos de distorção material associados à derrogação inapropriada de controlos, incluindo o uso de lançamentos contabilísticos padronizados ou não; Derrogação ou suspensão de controlos automáticos; e Identificação de exceções e relato das ações tomadas para as remediar? Como é que a informação produzida é utilizada Como é que a entidade comunica as funções, as responsabilidades e os assuntos significativos relacionados com o relato financeiro? Que relatórios são produzidos regularmente pelo sistema de informação, e como são usados para gerir a entidade? Que informação é proporcionada pelo órgão de gestão aos encarregados da governação (se diferentes do órgão de gestão) e outros, por exemplo, autoridades reguladoras? Comunicação A comunicação é um componente chave de um sistema de informação bem-sucedido. Se a informação é para ser usada no processo de tomada de decisão e para permitir o funcionamento do controlo interno, precisa de ser comunicada atempadamente (tanto interna como externamente) às pessoas apropriadas. A comunicação interna eficaz ajuda o pessoal da entidade a entender claramente os objetivos do controlo interno, os processos de negócio em uso, e as suas funções e responsabilidades individuais. Também os ajuda a compreenderem a medida em que as suas atividades se relacionam com o trabalho dos outros e a forma de relatar exceções para o nível mais alto apropriado dentro da entidade. A comunicação pode ser informal (verbal) ou formal (por exemplo, documentada em manuais de políticas e de relato financeiro). A comunicação interna entre o órgão de gestão e os empregados é geralmente mais fácil e menos formal nas entidades mais pequenas, por existirem menos níveis e menor número de pessoas e haver uma maior presença e disponibilidade da gestão sénior. Uma comunicação externa eficaz assegura que os assuntos que afetem o alcance dos objetivos do relato financeiro são 109

64 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes comunicados a terceiros relevantes, tais como stakeholders chave, instituições financeiras, reguladores e outros. Falta de documentação dos sistemas de TI As pequenas entidades podem ter informação e sistemas de comunicação menos sofisticados e documentados. Se o órgão de gestão não tem descrições de procedimentos contabilísticos, registos contabilísticos sofisticados ou diretrizes escritas, a compreensão exigida ao auditor será obtida através de inquérito e observação em vez de ser através de revisão da documentação Atividades de controlo As atividades de controlo são as políticas e procedimentos que ajudam a assegurar que as diretrizes do órgão de gestão são cumpridas. São exemplos, nomeadamente, os controlos para assegurar que não são expedidas mercadorias para clientes com alto risco de crédito, ou que apenas são feitas compras devidamente autorizadas. Estes controlos destinam-se a cobrir riscos que, se não forem mitigados, ameaçam o cumprimento dos objetivos da entidade. ISA relevante Parágrafos 315R As atividades de controlo (tanto em sistemas informáticos como em sistemas manuais) são concebidas para mitigar os riscos envolvidos em atividades diárias tais como processamento de transações (processos de negócio tais como vendas, compras e salários) e salvaguarda de ativos. As atividades de controlo relevantes para a auditoria incluem controlos estabelecidos pelo órgão de gestão que abordam as divulgações preparadas em conformidade com o referencial de relato financeiro aplicável adicionalmente aos controlos que abordam os riscos relacionados com saldos de contas e transações. Os processos de negócio são conjuntos estruturados de atividades concebidas para produzir um output específico. Os controlos de processos de negócio podem geralmente ser classificados como preventivos, de deteção e corretivos, ou compensatórios ou de orientação, tal como sumarizado abaixo. Quadro Classificação dos controlos Controlos preventivos Controlos de deteção Controlos compensatórios Controlos de orientação (p ex., políticas) Descrição Evitam erros ou irregularidades. Identificam erros ou irregularidades depois da sua ocorrência, originando uma ação corretiva. Proporcionam alguma garantia nos casos em que recursos escassos não permitem controlos mais diretos. Guiam as ações na direção dos objetivos desejados. 110

65 5.5. Controlo Interno - Propósito e Componentes A natureza dos controlos dos processos de negócio varia com os riscos envolvidos e com a aplicação específica. Os controlos típicos ao nível dos processos de negócio incluem os mencionados abaixo. Quadro Controlos Descrição Exemplos Segregação de funções Controlos de autorização Reconciliações de contas Controlos de aplicação TI Revisão dos resultados reais Controlos físicos Estes controlos podem reduzir as oportunidades para uma pessoa estar simultaneamente na posição de efetuar e esconder erros ou fraude. Definem quem tem a autoridade para aprovar transações e acontecimentos rotineiros ou não rotineiros Inclui preparação e revisão atempada das reconciliações e a tomada de quaisquer ações corretivas que sejam necessárias. Estes controlos estão programados nas aplicações de TI tais como compras ou vendas. Incluem controlos completamente automáticos e semiautomáticos. Estes controlos envolvem a revisão regular e a análise dos resultados reais em relação aos orçamentados, previsões e execução do período anterior. Também envolvem a comparação de diferentes conjuntos de dados (operacionais ou financeiros) um com o outro, e a comparação de dados internos com fontes externas de informação. Devem ser investigadas variações não esperadas e aplicadas medidas corretivas. Estes controlos são referentes à segurança física dos ativos e ao acesso permitido às instalações da entidade, registos contabilísticos, programas de computador e ficheiros de dados. O empregado responsável pelo processamento das contas a receber não tem acesso aos recebimentos por caixa. Atribuição de responsabilidade para autorizar: Recrutamento de novos empregados; Efetuar investimentos; Encomendar bens e serviços; e Conceder crédito a clientes. Reconciliações bancárias, transações de vendas, saldos intragrupo, contas de regularização, etc. Testes à precisão aritmética dos registos e a preços das faturas, testes à introdução de dados, testes à sequência numérica, e produção de relatórios de exceção para revisão pelo órgão de gestão. Análise de resultados operacionais, comparação de resultados reais com os orçamentados, investigação de variações. Estes controlos referem-se à segurança dos ativos (fechaduras nas portas e acesso restrito ao inventário/registos) e à comparação dos resultados de contagens periódicas de caixa, títulos e inventário com os registos contabilísticos. 111

66 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes PME As atividades de controlo são concebidas para prevenir diretamente a ocorrência de uma distorção material, ou para detetar e corrigir um erro depois deste ocorrer. Em pequenas entidades, os conceitos subjacentes às atividades de controlo são provavelmente semelhantes aos de grandes entidades, mas a sua relevância para o auditor pode variar consideravelmente. Considerar o seguinte. Quadro Atividades de controlo em pequenas entidades Documentação informal e limitada Âmbito limitado Os riscos podem ser mitigados pelo ambiente de controlo Divulgações das demonstrações financeiras Comentários Muitos controlos podem operar informalmente e podem não estar bem documentados. Por exemplo, conceder crédito a um cliente pode ser mais dependente do julgamento e conhecimento do gestor do que de num limite de crédito pré-estabelecido. As atividades de controlo (quando existam) são provavelmente relacionadas com as principais transações tais como rédito, compras e gastos com os empregados. Alguns tipos de atividades de controlo podem não ser relevantes por causa de controlos aplicados pelo órgão de gestão. Por exemplo, a aprovação pelo órgão de gestão de transações significativas pode proporcionar controlos sobre saldos de contas e transações importantes, diminuindo ou removendo a necessidade de atividades de controlo mais detalhadas. Algumas distorções nas transações (usualmente tratadas pelas atividades de controlo em grandes entidades) podem ser mitigadas por: Uma cultura organizacional que enfatize a importância do controlo; Empregar pessoal altamente competente; Monitorizar os rendimentos e os gastos comparando com o orçamento; Requerer aprovação do órgão de gestão para todas as transações principais; Monitorizar os indicadores chave de desempenho; e Atribuir responsabilidades ao pessoal de maneira a maximizar a segregação de funções. Exige-se que o auditor compreenda o controlo interno do órgão de gestão relacionado com as divulgações das demonstrações financeiras. Contudo, as divulgações em pequenas entidades podem sem menos detalhadas e menos complexas (isto é, alguns referenciais de relato financeiro permitem às pequenas entidades que apresentem menos divulgações nas demonstrações financeiras). As atividades de controlo relevantes para a auditoria, potencialmente mitigam os seguintes riscos: Riscos significativos Riscos de distorção material identificados e avaliados que, no julgamento do auditor, requeiram especial atenção na auditoria. (ver Capítulo 5.8) Riscos que não podem ser facilmente tratados através de procedimentos substantivos São riscos de distorção material identificados e avaliados para os quais os procedimentos substantivos por si só não proporcionam prova de auditoria suficiente e apropriada. O julgamento do auditor sobre se uma atividade de controlo é relevante para a auditoria é influenciado por: Conhecimento sobre a presença ou ausência de atividades de controlo identificadas noutros componentes do controlo interno. Se um risco particular já foi adequadamente tratado (pelo ambiente de controlo, sistema de 112

67 5.5. Controlo Interno - Propósito e Componentes informação, etc.), não é necessário identificar controlos adicionais. A existência de múltiplas atividades de controlo que alcancem o mesmo objetivo. Não é necessário compreender cada atividade de controlo relacionada com esse objetivo. Aumento na eficiência da auditoria que possa ser obtida através do teste à eficácia de alguns controlos chave. Isto pode ocorrer quando: A obtenção de prova de auditoria através de um teste à eficácia operacional dos controlos pode ser economicamente mais eficiente do que efetuar procedimentos substantivos. Os testes aos controlos geralmente resultam em dimensões de amostras mais pequenas do que as de testes substantivos. Se os controlos são automáticos, uma amostra de um item (assumindo bons controlos gerais de TI) pode ser tudo o que é exigido. Adicionalmente, se o sistema de controlo e o pessoal envolvido não mudou desde o ano passado, pode ser possível (nalgumas condições) limitar o teste de eficácia operacional dos controlos a uma vez em cada três anos. (ver Capítulo 6.4) Os procedimentos substantivos por si só não proporcionam prova de auditoria suficiente e apropriada ao nível da asserção. Por exemplo, a asserção sobre plenitude das vendas pode ser difícil (e por vezes impossível) de provar apenas com procedimentos substantivos. Nestas situações, deve ser identificado o controlo interno que se destine ao risco relacionado com a asserção em causa. Se se espera que o controlo interno funcione eficazmente, a prova de auditoria necessária pode ser obtida através de um teste à eficácia operacional desses controlos Compreender riscos e controlos de TI A maior parte das entidades atualmente utiliza tecnologia de informação (TI) para gerir, controlar e relatar pelo menos parte das suas atividades. As operações de TI são frequentemente geridas por um grupo de apoio central que assegura que o pessoal tem acesso apropriado ao hardware, software, e às aplicações necessárias para desempenho das suas responsabilidades. Em pequenas entidades, a gestão de TI pode ser responsabilidade de apenas uma pessoa, ou mesmo uma pessoa em part-time ou subcontratada. Independentemente da dimensão da entidade, há um número de fatores de risco relacionados com a gestão de TI e com as aplicações, que, se não mitigados, podem resultar numa distorção material nas demonstrações financeiras. Há dois tipos de controlos de TI que necessitam de trabalhar em conjunto para assegurar um processamento de informação completo e preciso: Controlos gerais de TI Estes controlos operam através de todas as aplicações e normalmente consistem numa mistura de controlos automáticos (incorporados nos programas de computador) e controlos manuais (tais como o orçamento de TI e contratos com fornecedores de serviços); e Controlos aplicacionais de TI Estes controlos são controlos automáticos específicos às aplicações (tais como processamento de vendas ou salários). Há um terceiro tipo de controlo, que tem intervenção manual e de TI. Estes controlos podem ser chamados controlos dependentes de TI. O controlo é efetuado manualmente, mas a sua eficácia baseia-se na informação produzida por uma aplicação de TI. Por exemplo, o diretor financeiro pode rever as demonstrações financeiras mensais ou trimestrais (geradas pelo sistema contabilístico) e investigar variações. O Quadro seguinte resume o âmbito dos controlos gerais de TI. 113

68 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes Quadro Controlos gerais de TI Normas, planeamento, políticas, etc. (O ambiente de controlo das TI) Segurança sobre os dados, a infraestrutura de TI, e as operações diárias Acesso a programas e a aplicações de dados Desenvolvimento e alterações de programas Monitorização de operações de TI A estrutura de governação de TI. Como é que os riscos de TI são identificados, mitigados e geridos. O sistema de informação exigido, o plano estratégico (se existir) e o orçamento. Políticas, procedimentos e normas de TI. A estrutura organizacional e a segregação de funções. Planeamento de contingências. Aquisições, instalações, configurações, integração, e manutenção da infraestrutura de TI. Entrega de serviço de informação aos utilizadores. Gestão dos fornecedores de serviços externos. Uso do software do sistema, software de segurança, sistema de gestão de base de dados, e programas utilitários. Rastreamento de incidentes, registos de acesso ao sistema, e monitorização de funções. Emissão/Remoção e segurança de chaves de acesso e identificação de utilizadores. Firewalls de Internet e controlos de acesso remoto. Encriptação de dados e chaves de encriptação. Contas de utilizadores e controlos de privilégios de acessos. Perfis de utilizadores que permitem ou restringem o acesso. Aquisição e implementação de aplicações novas. Desenvolvimento do sistema e metodologia de garantia de qualidade. Manutenção de aplicações existentes, incluindo controlos sobre alterações aos programas. Políticas, procedimentos, inspeções e relatórios de exceção que assegurem: - Que os utilizadores da informação estão a receber dados corretos para as tomadas de decisão; - Conformidade contínua com os controlos gerais de TI; e - Que a TI está ao serviço das necessidades da entidade conforme com os requisitos do negócio. Controlos aplicacionais de TI Os controlos aplicacionais de TI são relativos a uma aplicação de software particular usada ao nível de processo de negócio. Os controlos aplicacionais podem ter uma natureza preventiva ou de deteção, sendo concebidos para assegurar a integridade dos registos contabilísticos. Os controlos aplicacionais típicos referem-se a procedimentos usados para iniciar, registar, processar e reportar transações ou outros dados financeiros. Estes controlos ajudam a assegurar que as transações ocorrem, são autorizadas, registadas e processadas de maneira completa e exata. Exemplos incluem testes à introdução de dados com correção imediata e testes de sequência numérica com emissão de relatórios de exceção para acompanhamento manual. 114

69 5.5. Controlo Interno - Propósito e Componentes Monitorização ISA relevante Parágrafos 315R 22,24 A monitorização avalia a eficácia do desempenho do controlo interno. O objetivo é assegurar que os controlos estão a funcionar de maneira adequada e, em caso negativo, tomar as ações corretivas necessárias. A monitorização proporciona feedback ao órgão de gestão sobre se o sistema de controlo interno: É eficaz na abordagem aos objetivos de controlo indicados; Está implementado adequadamente e é compreendido pelos empregados; É usado e cumprido numa base diária; e Necessita de modificações ou melhorias para refletir alterações em condições. O órgão de gestão realiza a monitorização dos controlos através de atividades contínuas, avaliações separadas ou uma combinação de ambas. A monitorização contínua de atividades em pequenas entidades é informal, e geralmente está incluída nas atividades normais e recorrentes da entidade. Isto inclui a gestão regular e a supervisão de atividades e a revisão de relatórios de exceção que possam ser produzidos pelo sistema de informação. Quando o órgão de gestão está estreitamente envolvido nas operações, identifica com frequência diferenças significativas face aos valores esperados e incorreções nos dados financeiros, e toma medidas corretivas para modificar ou melhorar o controlo. A monitorização periódica (avaliações separadas de áreas específicas dentro da entidade, tais como as efetuadas pela função de auditoria interna numa entidade muito maior) não é comum em pequenas entidades. No entanto, as avaliações periódicas de processos específicos podem ser feitas por empregados qualificados que não estejam diretamente envolvidos nesses processos, ou através da contratação de uma pessoa externa devidamente qualificada. A monitorização das atividades pelo órgão de gestão pode também incluir o uso de informação recebida de terceiros que indiquem problemas ou evidenciem áreas a necessitar de melhorias. Exemplos podem incluir: Reclamações de clientes; Comentários de entidades reguladoras; e Comunicações relacionadas com o controlo interno dos auditores externos e consultores. Fontes de informação usadas para a monitorização Muita da informação usada na monitorização é produzida pelo sistema de informação da entidade. O órgão de gestão pode assumir que esta informação está correta. Se não está, há o risco de o órgão de gestão concluir erradamente, e em consequência tomar más decisões. Tendo isto em atenção, quando o auditor avalia a monitorização dos controlos, é necessário compreender: As fontes de informação relativas às atividades de monitorização; e Porque é que o órgão de gestão considera que a informação é suficientemente fiável para este propósito. 115

70 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes Controlos manuais versus automáticos Na maioria das entidades o sistema de controlo interno consiste numa combinação de controlos manuais e automáticos. Os riscos e benefícios a eles associados estão apresentados no Quadro seguinte. Quadro Benefícios Controlos manuais Usados para monitorizar a eficácia dos controlos automáticos. Adequados quando é necessário exercer julgamento sobre transações de valor elevado, ou fora do normal. Benéficos quando é difícil definir, antecipar ou prever os erros. A mudança de circunstâncias pode exigir uma resposta do controlo fora do âmbito de um controlo automático existente. Controlos automáticos Aplicam consistentemente regras de negócio prédefinidas e executam cálculos complexos no processamento de grandes volumes de transações ou dados. Melhora o cumprimento de prazos, a disponibilidade e exatidão da informação. Facilita análises adicionais de informação. Melhora a monitorização do desempenho das atividades da entidade e das suas políticas e procedimentos. Riscos Reduzem o risco de que o controlo interno seja contornado. Melhoram a capacidade de atingir uma segregação de funções eficaz através da implementação de restrições de acesso apropriado nas aplicações, bases de dados e sistemas operativos. Controlos manuais Menos fiáveis que controlos automáticos, uma vez que são efetuados por pessoas. São mais facilmente ultrapassados, ignorados ou anulados. Sujeitos a erros simples. Não pode ser assumida a consistência de aplicação. São menos apropriados para grandes volumes ou para transações recorrentes, onde seriam mais eficientes controlos automáticos. São menos apropriados para atividades em que podem ser concebidas e implementadas formas específicas de executar o controlo. B Controlos automáticos Pode ser depositada confiança em sistemas ou programas que estão a processar dados de maneira incorreta, a processar dados incorretos, ou ambos. Acesso não autorizado a dados pode resultar em destruição de informação ou em alterações incorretas, incluindo o registo de transações não autorizadas ou inexistentes, ou registo incorreto de transações (podem surgir riscos particulares quando há diversos utilizadores a usar a mesma base de dados). A possibilidade de que o pessoal de TI obtenha privilégios de acessos para além dos necessários para executar as suas funções, minando assim a segregação de funções. Mudanças não autorizadas aos dados dos ficheiros mestre e a sistemas e programas. Falha em efetuar as necessárias mudanças a sistemas ou programas. Intervenção manual inapropriada. Potencial perda de dados ou impossibilidade de acesso quando necessário. 116

71 5.5. Controlo Interno - Propósito e Componentes Quando a entidade tem tanto controlos manuais como automáticos, identificar sempre quem é o responsável pelo funcionamento de cada controlo. Por exemplo, suponha um gerente do armazém que é responsável pela expedição dos produtos. Essa pessoa introduz manualmente os elementos num sistema de vendas que tem uma aplicação de controlo que compara a expedição com a encomenda. Se algo estiver errado, a responsabilidade é do gerente do armazém, do departamento de IT ou da contabilidade? A menos que uma pessoa tenha a responsabilidade por todo o processo, cada uma delas tentará imputar a responsabilidade a outros. Quando essa responsabilidade não estiver definida, considerar: A probabilidade de poderem ocorrer distorções potenciais nas demonstrações financeiras e a sua grandeza; A resposta de auditoria apropriada; e Se o assunto deve ser comunicado ao órgão de gestão Controlos gerais (abordam riscos ao nível das demonstrações financeiras) ISA relevante Parágrafos Alguns dos controlos têm uma natureza abrangente e servem apenas indiretamente para prevenir que ocorra uma distorção ou para detetar e corrigir a mesma após ocorrência. Outros controlos são relativos a riscos de transações específicas (tais como salários, compras e vendas) e são concebidos especificamente para prevenir, ou detetar e corrigir, distorções. Os controlos internos podem ser categorizados como controlos gerais que abordam riscos globais ao nível das demonstrações financeiras, e controlos específicos (transação) que abordam riscos específicos ao nível da asserção. As diferenças entre estas duas categorias ilustram-se a seguir. Imagem R 14(b) Objetivos da entidade Demonstrações financeiras e asserções Gerais Governação Riscos inerentes Específicos Processos Rédito Liderança / gestão Sistemas de informação Processos Compras Processos Pessoal Processos Outros Controlos Transações 117

72 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes Quadro Descrição Controlos gerais (ao nível da entidade) Controlos específicos (transação) Os controlos gerais (ao nível da entidade) abrangem a governação e gestão geral, e servem para estabelecer o ambiente de controlo global da entidade. Os processos de controlo típicos incluem recursos humanos, fraude, avaliação do risco (derrogação de controlos pelo órgão de gestão), gestão geral de TI, preparação das demonstrações financeiras (incluindo demonstrações financeiras e estimativas subjacentes, etc.) e uma monitorização contínua das operações. Em entidades mais pequenas, estes controlos referem-se principalmente às atitudes do órgão de gestão perante a integridade e o controlo. Um conhecimento sólido dos elementos gerais do controlo interno fornece uma base importante para avaliar os controlos relevantes sobre o relato financeiro ao nível da transação (processo de negócio). Por exemplo, se os controlos sobre a integridade dos dados ao nível da entidade forem fracos, isto impactará na fiabilidade de toda a informação produzida pelos sistemas como as vendas, compras e pessoal. Os controlos específicos (processos de negócio) são processos/controlos específicos que são concebidos para assegurar que: As transações são registadas para a preparação das demonstrações financeiras de forma apropriada; Os registos contabilísticos são mantidos com o detalhe razoável para refletir todas as transações e alienações de ativos com exatidão; As receitas e as despesas são realizadas apenas de acordo com as autorizações do órgão de gestão; e A aquisição, utilização ou alienação de ativos não autorizadas, são prevenidas ou detetadas oportunamente. Os processos de controlo de específicos incluem transações de rotina (tais como vendas, compras e pessoal) e transações não rotineiras (tais como aquisição de equipamentos ou custos envolvidos no início de uma nova linha de negócio). A Imagem seguinte mostra a interação dos dois níveis de controlos sobre as transações no seu percurso desde a iniciação e processamento (ao nível da transação) até aos registos contabilísticos (ao nível das demonstrações financeiras) e finalmente nas demonstrações financeiras. De notar que pelo menos três dos cinco componentes do controlo interno consistem principalmente de controlos gerais. 118

73 5.5. Controlo Interno - Propósito e Componentes Imagem Demonstrações financeiras Gerais (nível DF) Riscos e controlos Inclui: Derrogação dos controlos pelo órgão de gestão Controlos gerais de TI Relato financeiro Específicos (nível asserção) Riscos e controlos Inclui: Controlos sobre processos de negócio Controlos físicos Apropriação indevida de ativos Controlos informáticos aplicacionais Transações Notas: 1. A ilustração acima é um guia geral. Nalguns casos, podem ser concebidos controlos gerais para funcionar a um nível de precisão que previna ou detete distorções específicas ao nível do processo de negócio. Por exemplo, um orçamento detalhado aprovado pelos encarregados da governação pode ser usado pelo órgão de gestão para detetar despesas não autorizadas. Noutros casos, podem existir atividades de controlo e partes do sistema de informação que se referem a atividades ao nível da entidade. 2. Controlos ao nível da entidade (tais como compromisso para a competência) podem ser menos tangíveis que os que estão ao nível do negócio (tais como, cruzar bens recebidos com ordens de compra), mas são igualmente críticos na prevenção e deteção de fraude e erros. 3. O processo de relato financeiro inclui procedimentos para: Integrar o total das transações no razão geral; Selecionar e aplicar políticas contabilísticas; Iniciar, autorizar, registar e processar movimentos de diário no razão geral; Registar ajustamentos às demonstrações financeiras recorrentes e não recorrentes; e Preparar as demonstrações financeiras e divulgações relacionadas. 4. Os controlos gerais de TI são semelhantes aos controlos ao nível da entidade, exceto na medida em que se focam nas operações de TI (tais como organização, pessoal, integridade dos dados) e são geridos para toda a entidade. 5. Os controlos aplicacionais de TI são semelhantes aos controlos de transações. Relacionam-se com transações específicas e são processados ao nível do negócio. Os controlos gerais constituem os alicerces nos quais os controlos específicos assentam. Estabelecem a atitude da liderança e as expectativas para o ambiente de controlo da organização em geral. Controlos gerais mal concebidos podem na realidade encorajar diversos tipos de erros e fraudes. Por exemplo, uma entidade pode ter um processo de vendas altamente controlado e eficaz. No entanto, se a gestão de topo tem uma má atitude perante o controlo e por vezes o derrogou, pode acontecer que exista uma distorção material nas demonstrações financeiras. A derrogação dos controlos pelo órgão de gestão e má atitude da liderança são temas comuns nas irregularidades das entidades. 119

74 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes Os controlos gerais também incluem a monitorização dos controlos que avaliam se a atitude da liderança é a pretendida, e a forma como é que as expectativas de controlo estão a ser atingidas. Os controlos gerais (por vezes chamados controlos ao nível da entidade) podem incluir: Controlos relacionados com o ambiente de controlo; Controlos sobre derrogações do órgão de gestão; O processo de avaliação de risco pela entidade; Controlos para monitorizar resultados das operações e outros controlos; Controlos sobre o processo de relato financeiro de fecho; e Políticas destinadas a controlos sobre negócios significativos e práticas de gestão de risco Controlo interno em PME Para além do referido relativamente ao ambiente de controlo no contexto de PME (ver ponto 5.5.3), as entidades de menor dimensão geralmente têm poucos empregados, o que pode limitar a extensão em que: A segregação de funções é praticável; e Está disponível um rastreio de documentação apropriado. O controlo interno em tais entidades resulta geralmente do ambiente de controlo (compromisso do órgão de gestão para com valores éticos, atitude perante o controlo e as suas ações diárias) e não de controlos específicos sobre transações. Avaliar o ambiente de controlo é bastante diferente das atividades de controlo tradicionais, uma vez que envolve uma avaliação do comportamento, atitudes, competência e ações do órgão de gestão. Tais avaliações são geralmente documentadas num memorando ou num questionário. A falta de controlos sobre processos de negócio específicos (devido a recursos e pessoal limitados) é muitas vezes compensada por um alto grau de envolvimento pela gestão (tal como o sócio-gerente). De facto, alguns controlos gerais em entidades mais pequenas podem frequentemente operar a um nível de precisão em que conseguem prevenir ou detetar erros específicos. No entanto, o maior envolvimento da gestão de topo também aumenta o risco de derrogação por parte do órgão de gestão. Isto pode ser tratado através de procedimentos de auditoria adicionais ou da conceção de controlos antifraude adequados. Identificar os controlos gerais Numa auditoria de PME, há a tentação de assumir que o controlo interno não existe e, portanto, não vale a pena o seu conhecimento. Contudo, qualquer entidade que queira continuar a operar terá alguma forma de controlo interno. Por exemplo, qual o gestor que não se preocupa se as vendas a dinheiro são depositadas no banco, ou que os produtos expedidos são faturados? Considerar como é que os controlos gerais podem ser evidenciados Nos casos em que o sócio-gerente ou equivalente aprova transações e revê cuidadosamente os resultados financeiros, o controlo pode ter o efeito de prevenir ou detetar a ocorrência de distorções ao nível da asserção. Se a confiança nesse tipo de controlo reduzir a necessidade de procedimentos substantivos, considerar se pode ser obtida evidência sobre tais controlos, tal como uma assinatura num relatório ou uma reconciliação que indique a revisão ou aprovação. Tal prova pode então ser usada para testar a eficácia operacional do controlo. 120

75 Ausência de controlo interno 5.5. Controlo Interno - Propósito e Componentes Existe, virtualmente, alguma forma de controlo interno em todas as entidades, tal como a competência do sócio-gerente (ambiente de controlo). Pode ser informal e pouco sofisticado, mas, ainda assim, é controlo interno. Uma entidade que não mitigue qualquer dos riscos principais com que se depara (através de componentes de controlo como o ambiente de controlo, avaliação do risco, sistemas de informação, atividades de controlo ou monitorização) é improvável que se mantenha no negócio por muito tempo. Quando não há muitas atividades de controlo que possam ser identificadas, o auditor deve considerar se: É possível abordar as asserções relevantes através da execução de procedimentos de auditoria adicionais que sejam principalmente procedimentos substantivos; ou A ausência de atividades de controlo ou outros componentes de controlo (em casos raros) torna impossível obter prova de auditoria suficiente e apropriada. Outras situações que podem levantar questões sobre como deve ser conduzida a auditoria incluem: Preocupações sobre a integridade, comportamento antiético ou fraca atitude perante o controlo interno do órgão de gestão. As deficiências no ambiente de controlo tendem a enfraquecer controlos que existem noutros componentes de controlo. Também aumenta o risco de deturpação e fraude por parte do órgão de gestão; e Preocupação sobre a condição e fiabilidade dos registos da entidade que tornam improvável que esteja disponível prova de auditoria suficiente e apropriada para suportar uma opinião não modificada. Se existirem estas ou outras preocupações semelhantes, o auditor deve considerar a necessidade de modificar o seu relatório ou renunciar ao trabalho. Se optar pela renúncia, o auditor deve considerar as suas responsabilidades legais, incluindo quaisquer requisitos de relato às pessoas que o nomearam e às autoridades reguladoras. O auditor também deve discutir a renúncia e as respetivas razões com o nível apropriado do órgão de gestão e dos encarregados da governação. Deficiências nos controlos gerais Apesar das deficiências nos controlos gerais não resultarem geralmente numa deficiência imediata ou em distorções nas demonstrações financeiras, têm, no entanto, uma influência significativa na possibilidade de ocorrerem erros ao nível de controlos de processos de negócios. A ausência de bons controlos gerais pode comprometer gravemente outros controlos de processos de negócios e, em consequência, as deficiências significativas nestes controlos devem ser reportadas ao órgão de gestão e aos encarregados da governação Controlos antifraude Nos últimos anos, começou a emergir um novo tipo de controlo interno, por vezes chamado controlo antifraude. Como a maioria de grandes fraudes tende a envolver a gestão de topo, o estabelecimento de programas e controlos antifraude fortes é considerado uma parte importante do ambiente de controlo em grandes entidades. Os controlos antifraudes são como lombas de velocidade destinadas a abrandar o tráfego, mas não a pará-lo. São concebidos para dissuadir mau comportamento antes que ocorra, mas não o pode eliminar completamente. Os controlos antifraude são particularmente relevantes para grandes entidades, mas também podem ser concebidos para desencorajar fraude em pequenas entidades. Podem não impedir a ocorrência de fraude, mas proporcionam um desincentivo poderoso. Fazem com que os perpetradores pensem cuidadosamente sobre as repercussões das suas ações. Os controlos antifraude podem ser concebidos para se dirigirem a todos os cinco componentes de controlo interno. No 121

76 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes entanto, relativamente ao risco de distorção material nas demonstrações financeiras, é colocado ênfase especial na atitude da liderança, que está relacionada com as atitudes e ações do órgão de gestão para com o controlo, e é parte do ambiente do controlo o que influencia a consciência de controlo de todo o pessoal. Uma boa atitude da liderança é considerada de longe o controlo antifraude mais eficaz de todos. Dois exemplos de controlos antifraude aplicáveis em pequenas entidades incluem: Lançamentos de operações diversas Os lançamentos de operações diversas são utilizados muitas vezes pelo órgão de gestão para cometer fraude. Uma política de que os lançamentos de operações diversas acima de um determinado valor devem ser suportados por uma explicação e pela assinatura do gestor (indicando aprovação) é um controlo antifraude simples que pode ser implementado numa entidade de qualquer dimensão. Esta regra dá oportunidade ao responsável pela contabilidade de pedir explicações e obter aprovação do gestor (e obter a assinatura deste). Isto não impedirá um gestor de topo de pedir que seja efetuado um lançamento não apropriado, mas o facto de ter de explicar e aprovar o documento pode ser suficientemente dissuasor para que o pedido não chegue a ser feito. No caso de a aprovação não ser evidenciada, o auditor pode perguntar a razão, o que pode levar a investigação adicional. Segregação de funções Em pequenas entidades, o responsável pela contabilidade ocupa geralmente uma posição de confiança, com supervisão mínima e, portanto, com amplas oportunidades para cometer fraude. Um controlo antifraude possível (embora caro) seria contratar um responsável pela contabilidade em tempo parcial para ocupar o lugar por uma ou mais semanas por ano, enquanto o responsável pela contabilidade está de férias ou a efetuar outras tarefas. A regra de ser substituído pode dissuadir o responsável pela contabilidade de cometer qualquer fraude, e no caso de a fraude já ter ocorrido, proporciona uma oportunidade para a detetar Compreensão dos controlos internos relevantes para a auditoria O Quadro seguinte sumariza os passos necessários para a obtenção da compreensão sobre o controlo interno relevante para a auditoria. Quadro Identificar Riscos específicos de distorção material que necessitam ser mitigados Abordar Os riscos de distorção material potenciais (relacionados com classes de transações significativas, saldos de contas, e divulgações das demonstrações financeiras) que existem ao nível da asserção. Por exemplo: Riscos regulares das transações diárias; Riscos de fraude (tais como derrogação dos controlos pelo órgão de gestão e apropriação indevida de ativos); Riscos de divulgação (informação omissa ou incompleta); Riscos significativos; Riscos não rotineiros (p ex., implementação de um novo sistema contabilístico); e Riscos de julgamento (estimativas, valorizações, etc.). 122

77 5.5. Controlo Interno - Propósito e Componentes Identificar Resposta do órgão de gestão aos riscos identificados de distorção material Deficiências significativas Implementação dos controlos relevantes Indagação sobre o papel da auditoria interna (quando aplicável) Abordar Que atividades de controlo específicas (manuais ou TI, individualmente ou em combinação) previnem, ou detetam e corrigem, erros materiais e fraudes. Este passo não obriga o auditor a identificar todas as atividades de controlo que possam existir. Por exemplo, uma entidade pode ter implementado 15 controlos para tratar um determinado risco. Se o auditor concluir que os primeiros três procedimentos de controlo identificados são suficientes para mitigar o risco envolvido, não é necessário efetuar mais trabalho para identificar e documentar os restantes 12. Falha pelo órgão de gestão em mitigar um risco de distorção material é provável que resulte numa deficiência significativa. Estes devem ser reportados ao órgão de gestão e deve ser desenvolvida uma resposta de auditoria. Envolve procedimentos (para além de inquéritos ao pessoal do cliente) para determinar que controlos relevantes identificados existem na realidade e estão a ser utilizados pela entidade. Isto pode ser feito numa determinada altura, tal como rastrear uma transação através do sistema num dia específico. Não é um teste aos controlos, que é concebido para avaliar se o controlo operou eficazmente durante o período coberto pela auditoria. Quando uma entidade tem a função da auditoria interna o parágrafo 23 da ISA 315 (Revista) exige que o auditor obtenha a compreensão da natureza das responsabilidades da função de auditoria interna, o seu status na organização e as atividades executadas ou a ser executadas Controlos internos relevantes para a auditoria (âmbito da compreensão) Nem todos os controlos são relevantes para a auditoria. O auditor apenas se preocupa em compreender e avaliar os controlos que mitigam um risco de distorção material (devido a fraude ou erro) nas demonstrações financeiras. Isto significa que alguns tipos de controlos podem sair do âmbito da auditoria conforme demonstrado na Imagem abaixo. Estes são controlos que: ISA relevante 315R Parágrafos 4,12, Não estão relacionados com o relato financeiro (tais como controlos operacionais e controlos que abordam o cumprimento da regulamentação); e Mesmo que inexistentes, é pouco provável que ocorra uma distorção material nas demonstrações financeiras. Imagem Controlos relevantes para a auditoria Controlos NÃO relevantes para a auditoria Relato Financeiro: (contas e divulgações das DF significativas) Objetivos operacionais e de cumprimento X Controlos gerais e controlos gerais TI Controlos aplicacionais/ transação (processos de negócio) Controlos aplicacionais/ transação (processos de negócio) Controlos aplicacionais/ transação (processos de negócio) Controlos aplicacionais/ transação (processos de negócio) 123

78 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.5. Controlo Interno - Propósito e Componentes Em alguns casos, pode existir sobreposição entre controlos financeiros e controlos relacionados com as operações e cumprimento de objetivos. São exemplos os controlos sobre dados que o auditor avalia ou usa na aplicação de outros procedimentos de auditoria, tais como: Dados necessários nos procedimentos analíticos (exemplo: estatísticas de produção); Controlos que detetam incumprimento de leis e regulamentos; Controlos sobre a salvaguarda de ativos; e Controlos sobre a totalidade e exatidão da informação produzida que pode ser a base de cálculo de medidas de desempenho chave. Os controlos que seriam sempre relevantes para a auditoria incluem os que mitigam os riscos seguintes: Riscos significativos; Riscos que não podem ser facilmente tratados através de procedimentos substantivos; e Outros riscos que, no julgamento do auditor, podem permitir a ocorrência de distorções materiais. O julgamento do auditor sobre se um controlo em particular é relevante para a auditoria é influenciado por: Conhecimento sobre a presença/ausência de controlos identificados noutros componentes do controlo interno. Se um risco em particular já foi abordado (tal como pelo ambiente de controlo, sistemas de informação, etc.), não há necessidade de identificar quaisquer controlos adicionais que possam existir; A existência de múltiplas atividades de controlo que atingem o mesmo objetivo. Não é necessário obter uma compreensão de cada uma das atividades de controlo relacionadas com esse objetivo; A necessidade de testar a eficácia operacional de determinados controlos chave. Por exemplo, se não existe forma prática de testar a plenitude das vendas (isto é, através da execução de procedimentos substantivos), pode ser exigido testar a eficácia operacional dos controlos; e O impacto que o teste sobre a eficácia operacional dos controlos terá na extensão (isto é, a redução) dos procedimentos substantivos necessários. É necessário julgamento profissional para determinar se um controlo interno, individualmente ou quando combinado com outros, é de facto relevante. 124

79 5.6. Controlo Interno - Compreensão e Avaliação Conteúdo Controlo interno: compreensão e avaliação Orientações quanto aos passos envolvidos na compreensão e avaliação do controlo interno relevante para a auditoria: Avaliar a conceção e implementação do controlo; Documentar usando duas abordagens possíveis. ISA relevante 315 (Revista) Enquadramento Independentemente de serem testados controlos para obter prova de auditoria, é sempre necessário que o auditor, em cada trabalho, avalie a conceção e implementação de controlos. Isto envolve um processo de quatro passos, conforme segue. Quadro Descrição ISA relevante 315 (Revista) Parágrafos 13,29,32 Passo 1 Que riscos exigem ser mitigados? Passo 2 Os controlos concebidos pelo órgão de gestão mitigam o risco? Passo 3 Os controlos existem e estão a funcionar? Passo 4 O funcionamento dos controlos relevantes está documentado? Identificar os riscos inerentes de distorção material (riscos de negócio e de fraude) e se são riscos globais que afetam todas as transações, ou específicos que afetam áreas e asserções particulares das demonstrações financeiras. Identificar quais os processos de negócio existentes (se houver) Entrevistar pessoal da entidade para identificar quais os controlos que mitigam os riscos identificados no Passo 1 acima. Rever os resultados e avaliar se os controlos, de facto, mitigam os riscos. Comunicar ao órgão de gestão e aos encarregados da governação quaisquer deficiências significativas identificadas no controlo interno. Em grandes entidades, este passo pode exigir a referência a, ou a preparação de um sistema de documentação (ver Passo 3 abaixo) para proporcionar algum contexto relativamente à forma como certos controlos funcionam. Observar ou inspecionar o funcionamento dos controlos internos relevantes para assegurar que eles foram, de facto, implementados. De notar que a indagação ao órgão de gestão não é suficiente para avaliar se um controlo relevante foi, de facto, implementado. Este passo pode geralmente ser combinado com o Passo 2 acima. Este passo pode consistir numa simples narrativa descritiva dos principais processos (preparada pelo órgão de gestão da entidade ou pelo auditor) descrevendo o funcionamento dos controlos internos relevantes identificados. Esta documentação não necessita incluir: Uma descrição detalhada do processo de negócio ou a forma como os documentos fluem pela entidade; ou Controlos internos que podem existir, mas que não são relevantes para a auditoria. 125

80 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.6. Controlo Interno - Compreensão e Avaliação O processo de decisão pode ser esquematizado como mostra a Imagem seguinte. Imagem Identificação de riscos Quais os riscos que, se não forem mitigados pelos controlos internos, podem resultar em distorções materiais nas demonstrações financeiras? 2 Avaliação da conceção dos controlos Os controlos são capazes de prevenir ou detetar e corrigir eficazmente as distorções materiais identificadas no Passo 1? Sim Não 3 e 4 Avaliar a implementação dos controlos e documentar os resultados Os controlos existem e a entidade está a usá-los? Sim Não Comunicar ao órgão de gestão e encarregados da governação deficiências significativas no controlo Nota: Independentemente da forma correta como um controlo está concebido e implementado, ele apenas pode proporcionar segurança razoável sobre a realização dos objetivos de uma entidade, quanto à fiabilidade do relato financeiro, devido a algumas limitações inerentes. Tais limitações estão descritas abaixo. Quadro Documentar os resultados e as conclusões atingidas Descrição Limitações do controlo interno Julgamento pessoal e falhas humanas simples (erros). Contorno do controlo interno através de conluio entre duas ou mais pessoas. Derrogação de controlos pelo órgão de gestão, tal como a revisão dos termos de um contrato de venda ou derrogação do limite de crédito de um cliente. 126

81 5.6. Controlo Interno - Compreensão e Avaliação Passo 1 - Que riscos exigem ser mitigados? Imagem Identificar os riscos que necessitam ser mitigados Procedimento de avaliação do risco Que riscos existem (globais ou específicos) que, caso não sejam mitigados por controlos podem causar a ocorrência de uma distorção material? Antes do auditor começar a documentar os controlos que possam existir, o primeiro passo é identificar e depois avaliar os fatores de risco significativos e outros que existam. Caso contrário, a avaliação do controlo interno irá fazer-se sem uma compreensão dos riscos que necessitam ser mitigados pelo controlo interno. Os riscos que necessitam ser mitigados podem ser globais, relacionados com muitas áreas e asserções das demonstrações financeiras, ou específicos, relacionados com áreas e asserções particulares das demonstrações financeiras. A Imagem seguinte sumariza algumas fontes de risco típicas e os tipos de controlos que podem mitigar tais riscos. Imagem O que pode correr mal? Fontes do risco Controlos que mitigam Relatórios financeiros não fiáveis Fatores externos da indústria Natureza da entidade Políticas contabilísticas Objetivos e metas Medidas de desempenho Fraude Controlos e processos abrangentes Controlos gerais de TI Controlos específicos Distorções resultantes da preparação das demonstrações financeiras Estimativas contabilísticas Provisões Políticas contabilísticas Transações não rotineiras, registos de operações diversas, reconciliações Informações necessárias para as divulgações nas DF Controlos abrangentes Controlos gerais de TI Controlos específicos Transações não processadas ou registadas/divulgadas incorretamente Identificação/registo de transações autorizadas Classificação das transações Mensuração, corte, salvaguarda de ativos Controlos específicos Controlos aplicacionais de TI Determinados controlos abrangentes Quando tiver sido preparada uma listagem de fatores de risco por processo de negócio, será útil: Eliminar qualquer fator de risco que provavelmente não resultaria numa distorção material, mesmo que não fosse mitigado; Adaptar a redação dos fatores de risco para a tornar relevante para a entidade em particular; Assegurar que todas as asserções relevantes foram abordadas; e Considerar se existem riscos adicionais (ao nível da entidade e ao nível da transação) que possam resultar numa distorção material caso são sejam mitigados. 127

82 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.6. Controlo Interno - Compreensão e Avaliação Passo 2 Os controlos concebidos pelo órgão de gestão mitigam o risco? Imagem Avaliar a conceção do controlo Identificar/avaliar controlos que mitigam o risco Abordar cada componente do controlo Identificar deficiências significativas no controlo interno Avaliar se um controlo que foi concebido de forma adequada pelo órgão de gestão envolve a avaliação sobre se os controlos identificados (individualmente ou quando combinados com outros controlos) mitigam de facto o fator de risco. Isto envolve considerar se o controlo é capaz, com eficácia: Prevenir em primeiro lugar a ocorrência de distorções materiais; ou Detetar e corrigir distorções materiais após estas terem ocorrido. É recomendável que uma avaliação da conceção do controlo comece pelos controlos gerais. Este tipo de controlos constituem o alicerce fundamental para avaliar a conceção e funcionamento dos controlos específicos (transação). Nesta fase, alguns auditores (em particular quando auditam entidades de maior dimensão e complexidade) podem considerar útil obter alguma informação, preferencialmente preparada pela entidade, que descreva o processo de negócio e o fluxo das transações. Existem duas formas comuns de ligar os controlos internos aos fatores de riscos (ou objetivos de controlo) para os quais foram concebidos. Para efeitos deste Guia, estas abordagens foram designadas: Um risco para múltiplos controlos; e Múltiplos riscos para múltiplos controlos. Um risco para múltiplos controlos Segundo esta abordagem, cada fator de risco é considerado por si próprio sendo identificados todos os controlos que abordam esse risco em particular. Esta abordagem é particularmente útil para fazer a ligação dos fatores de risco globais (nível da entidade) com os controlos. Esta abordagem está ilustrada no Quadro seguinte. 128

83 5.6. Controlo Interno - Compreensão e Avaliação Quadro Rosco / objetivo de controlo Asserção Controlos 1. Fator de risco P Procedimento de controlo A Procedimento de controlo B Procedimento de controlo C Procedimento de controlo D 2. Fator de risco E R Procedimento de controlo E Procedimento de controlo F Procedimento de controlo G Procedimento de controlo H 3. Fator de risco R Procedimento de controlo I Procedimento de controlo J Procedimento de controlo K Procedimento de controlo L 4. Fator de risco P R Procedimento de controlo M Procedimento de controlo N Procedimento de controlo O Procedimento de controlo P Esta abordagem de um risco para múltiplos controlos foi usada muitas vezes para mapear todos os tipos de controlos, incluindo controlos específicos. Contudo, uma vez que um controlo específico pode muitas vezes abordar mais do que um risco (e, portanto, ser repetido diversas vezes nesta abordagem), a matriz múltiplos riscos para múltiplos controlos (ver Quadro 5.6-5) é geralmente considerada mais eficaz para controlos específicos. O exemplo seguinte (Quadro 5.6-4) ilustra como é que a abordagem um risco para múltiplos controlos pode funcionar. Um dos objetivos do ambiente de controlo é a necessidade do órgão de gestão, com a supervisão dos encarregados da governação, criar e manter uma cultura de honestidade e comportamento ético. Este objetivo, enquanto fator de risco, pode significar que órgão de gestão não criou ou manteve uma cultura de honestidade e comportamento ético. Alguns controlos que o órgão de gestão pode conceber e implementar para abordar este risco global podem incluir: O órgão de gestão demonstra continuamente, através das suas palavras e ações, um compromisso com elevadas normas éticas; O órgão de gestão elimina ou reduz incentivos ou tentações que possam levar o pessoal a cometer atos desonestos ou não éticos; Existe um código de conduta ou equivalente que define as normas de ética e comportamento moral esperados; Os empregados compreendem claramente que comportamento é aceitável e não aceitável e sabem o que fazer quando identificam um comportamento impróprio; e Os empregados são sempre sujeitos a ações disciplinares por comportamento impróprio. O auditor analisa primeiro o risco ou objetivo de controlo e depois identifica, possivelmente de uma lista tal como a apresentada acima, qual o controlo, caso exista, que mitiga o risco e pode ser documentado como segue. Nota: A coluna da conceção do controlo salienta os passos que o auditor pode seguir para avaliar a conceção do controlo. 129

84 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.6. Controlo Interno - Compreensão e Avaliação Quadro Componente do Controlo interno (CI) Fator de risco Controlo identificado Conceção do controlo Ambiente de controlo Não é dada ênfase à integridade ou ética O Código de conduta é assinado por todos os empregados anualmente e reforçado por processos disciplinares. Lemos o Código que enfatiza a necessidade de integridade e ética. Podem ser contratados empregados com poucas competências Os conhecimentos e competências exigidas para cada função estão especificados para cada uma delas Revimos as especificações das funções chave, incluindo da contabilidade, as quais nos parecem ser aceitáveis. Avaliação do risco O órgão de gestão é muitas vezes surpreendido por acontecimentos previsíveis. Os riscos de negócio são anualmente identificados e avaliados como parte do planeamento do negócio. Revimos o plano de negócio e os riscos foram identificados, atualizados e avaliados. Uma vez identificados os controlos, o auditor usa o seu julgamento profissional para concluir se a conceção do controlo é suficiente para abordar o fator de risco. Quando forma a conclusão sobre o ambiente de controlo, o parágrafo 14 da ISA 315 (Revista) exige que o auditor avalie se: O órgão de gestão, com a supervisão dos encarregados da governação, criou e manteve uma cultura de honestidade e comportamento ético; e Os pontos fortes dos elementos do ambiente de controlo proporcionam coletivamente uma base apropriada para outros componentes do controlo interno, e se esses outros componentes não são prejudicados por deficiências no ambiente de controlo. Múltiplos riscos para múltiplos controlos Para riscos específicos, a abordagem mais comum para avaliar a conceção é através do uso do que muitas vezes se chama de matriz de conceção do controlo. Estas matrizes permitem ao auditor ver rapidamente: As múltiplas relações que existem entre riscos e controlos; Onde o controlo interno é forte; Onde o controlo interno é fraco; e Os controlos chave que abordam múltiplos riscos/múltiplas asserções e que podem ser testados quanto á eficácia operacional. 130

85 5.6. Controlo Interno - Compreensão e Avaliação Apresenta-se a seguir um exemplo de uma matriz de conceção do controlo. Quadro Processo = Vendas Fatores de risco materiais Risco A Risco B Risco C Risco D Controlos Asserções P E R R P P E chave Controlos Componente do controlo interno Procedimento #1 Ambiente de controlo D Procedimento #2 Sistemas de informação D Procedimento #3 Atividade de controlo P P P Sim Procedimento #4 Monitorização D Procedimento #5 Atividade de controlo P P Sim Procedimento #6 Atividade de controlo Procedimento #7 Sistemas de informação D D D Conceção de controlo OK? Isto é, os controlos identificados mitigam os fatores de risco? Sim Sim Não Sim Chave: P = Controlo preventivo D = Controlo de deteção e correção Nota: A matriz acima contém a seguinte informação: Os fatores de risco que, caso não sejam mitigados, podem resultar numa distorção material nas demonstrações financeiras. As asserções abordadas pelos fatores de risco; e Quando o procedimento de controlo interno aborda o risco na matriz, é registado como sendo preventivo (P) de uma distorção ou como sendo de deteção (D), e depois correção, de uma distorção após ter ocorrido. Esta matriz também pode incluir outra informação: A frequência que o controlo ocorre, por exemplo, continuamente, semanalmente ou mensalmente; Se o controlo é manual ou automático; e A fiabilidade esperada do controlo interno ao longo de um período de tempo. Isto pode incluir, por exemplo, avaliar a competência (e independência de outras funções) da pessoa que executa o controlo, se o controlo é executado oportunamente e se existe histórico de ocorrência de erros. Procedimentos para múltiplos controlos De notar que é improvável que cada procedimento de controlo por si só mitigue um fator de risco importante. Muitas vezes, uma combinação de atividades de controlo, funcionando em conjunto com outros componentes de controlo interno (tal como o ambiente de controlo), será suficiente para abordar o fator de risco. Começar pelos riscos Deve evitar-se a tentação de listar todos os controlos conhecidos e depois associá-los aos riscos. Os riscos vêm primeiro e depois os controlos para mitigar os riscos. É mais eficiente abordar cada risco (ou objetivo de controlo) e depois identificar que controlos existem para o mitigar. Logo que tenham sido identificados controlos suficientes para abordar o risco, não é necessário despender mais tempo para identificar controlos adicionais. 131

86 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.6. Controlo Interno - Compreensão e Avaliação Relacionar controlos com os riscos não só ajuda a avaliar a conceção do controlo, mas também a identificar controlos chave (sobre asserções relevantes) que podem ser potencialmente testadas. Isto irá ajudar o auditor a identificar deficiências de controlos que podem exigir: Comunicação ao órgão de gestão e aos encarregados da governação sobre deficiências significativas no controlo interno de forma oportuna para que possam ser tomadas as medidas corretivas; e Desenvolvimento de uma resposta de auditoria apropriada. Como identificar controlos internos relevantes Os controlos são geralmente identificados através de discussões (entrevistas) com as pessoas responsáveis pela gestão do risco ou de um processo em particular. Em pequenas entidades, será geralmente o sócio-gerente ou um diretor. Apresenta-se a seguir uma abordagem típica para identificar controlos. Quadro Ação Identificar os riscos inerentes Questionar sobre procedimentos de controlo interno que abordam o risco inerente (abordam cada fator de risco, um de cada vez) Documentar os resultados Descrição Identificar os riscos globais (nível da entidade) e específicos (transação) que necessitam ser mitigados através do controlo interno para prevenir ou detetar e corrigir distorções materiais. Questionar o sócio-gerente ou a pessoa responsável sobre quais os controlos internos que existem para mitigar cada um dos fatores de risco. Documentar os controlos identificados nas palavras da pessoa que está a ser entrevistada. Quando tiverem sido identificados controlos suficientes (com base no julgamento profissional) parar de perguntar por controlos adicionais. Não há necessidade de listar todos os outros controlos que possam existir para mitigar o risco, a menos que tenha sido especificamente solicitado para outra finalidade. Os controlos identificados podem ser documentados de diversas formas. Podem ser listados sob cada fator de risco que abordam, ou listados numa matriz de controlo e relacionados com todos os riscos que abordam. A chave é assegurar que os procedimentos de controlo identificados são relacionados com o fator de risco para os quais foram concebidos. Isto permite que seja feita uma avaliação sobre se os controlos identificados mitigam, de facto, o risco. Se for usada a matriz de risco: Registar o procedimento de controlo identificado diretamente na matriz e indicar (quando interceta o risco) se pode prevenir ou detetar e corrigir distorções potenciais; e Considerar se o controlo também pode ser eficaz a mitigar outros fatores de risco. É perfeitamente possível que alguns procedimentos de controlo interno possam prevenir ou detetar e corrigir vários fatores de risco. Quando não tiverem sido identificados controlos para abordar um risco, o auditor irá alertar de imediato o órgão de gestão para a deficiência (provavelmente significativa) de controlo que precisa ser abordada. 132

87 5.6. Controlo Interno - Compreensão e Avaliação Evitar usar controlos genéricos Evitar a tentação de usar listas genéricas de atividades de controlos que são apropriadas para as chamadas entidades típicas. As listagens de controlos standard ou típicos podem demorar muito tempo a ler e compreender e são muitas vezes complexas ou simplesmente irrelevantes para algumas entidades (principalmente as PME). Em vez disso, usá-las como fonte de referência, mas apenas quando necessário. É muito melhor documentar a natureza de cada controlo identificado usando a descrição do próprio cliente. Multitarefa A avaliação da conceção do controlo pode ser combinada com a documentação do controlo (ver Passo 3 atrás) e com a inspeção/observação de documentos que suportem a implementação do controlo (ver Passo 4 a seguir). Por exemplo, se existir uma política de que não podem ser efetuados registos não rotineiros sem autorização, pedir para ver a política existente (avaliar a conceção do controlo) e evidência de aprovação de alguns registos (implementação do controlo). Gestão do risco Muitas entidades atribuem as responsabilidades de gestão do risco por processo (tal como vendas ou compras) em vez de ser por risco. Como resultado, podem existir fatores de risco importantes que caem entre departamentos (tal como vendas, compras e contabilidade) e ninguém é responsável. Se os riscos não forem especificamente identificados e a responsabilidade não for atribuída a alguém, os colaboradores pode culpar-se entre si dizendo Eu pensava que esse risco estava a ser gerido pela Maria ou pelo João, ou o departamento de contabilidade, TI ou vendas, etc. Concluir sobre a conceção do controlo O último passo na avaliação da conceção do controlo é concluir sobre se os controlos identificados mitigam o fator de risco particular exigindo o uso de julgamento profissional. Para cada asserção ou fator de risco relevante, considerar se a resposta do órgão de gestão é suficiente para reduzir o risco de distorção material para um nível aceitavelmente baixo. Se for usada a abordagem da matriz de conceção do controlo, a última linha da matriz pode ser usada para documentar a conclusão sobre se os controlos são ou não suficientes para mitigar cada fator de risco. Na Imagem seguinte apresenta-se a avaliação global do controlo (que aborda os cinco componentes do controlo interno) para os processos considerados relevantes pelo auditor relativamente a uma determinada entidade. Imagem São identificados riscos no relato financeiro Processos ao nível da entidade Processo de vendas Processo de compras Processo de pessoal As políticas contabilísticas são aplicadas de forma consistente O pessoal é competente e conhecedor Existem linhas claras de responsabilidade e autoridade As atividades de controlo são concebidas e implementadas de forma apropriada Existem controlos antifraude para abordar riscos de fraude Os sistemas de informação fornecem dados fiáveis Os controlos são monitorizados Chave: Verde = os riscos subjacentes foram abordados de forma apropriada Amarelo = podem existir alguns problemas Vermelho = deficiências significativas potenciais 133

88 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.6. Controlo Interno - Compreensão e Avaliação Para pequenas entidades, existe uma forma mais fácil de avaliar os controlos específicos. Primeiro, identificar os fatores de risco (ver Passo 1 acima) e a asserção afetada. Depois, em vez de relacionar os controlos com cada fator de risco individual, identificar controlos que abordem as asserções afetadas pelo risco. Se não forem identificados controlos para uma asserção em particular, será necessário desenvolver uma resposta de auditoria substantiva. Se for expectável que os controlos identificados operem eficazmente, a resposta de auditoria pode incluir testes aos controlos relevantes. Por exemplo, o risco de vendas não registadas abordam a asserção plenitude. A identificação de controlos relevantes pode ser limitada aos que abordam a asserção plenitude em geral, e não ao risco específico. Passo 3 - Os controlos que mitigam os fatores de risco estão a funcionar? Imagem Avaliar a implementação do controlo Procedimento de avaliação do risco Assegurar que os controlos (relevantes) identificados se encontram a operar conforme foram concebidos A indagação ao órgão de gestão, por si só, não é suficiente para avaliar a conceção dos procedimentos de controlo ou para determinar se eles foram implementados. Isto porque as pessoas podem genuinamente pensar ou esperar que determinado controlo existe, quando de facto não existe. Uma descrição documentada de controlos (embora bons) que não existem ou que não operam não tem valor para a auditoria. Algumas razões para observar o controlo interno são: Alterações nos processos Os processos alteram ao longo do tempo, resultando em produtos ou serviços novos ou revistos, eficiências na operação, alterações no pessoal e implementação de novas aplicações de TI; O que é desejável O pessoal da entidade pode explicar ao auditor como é que o sistema deve funcionar e não como é que, de facto, funciona; e Falta de conhecimento Alguns aspetos do sistema podem ter sido inadvertidamente negligenciados na obtenção da compreensão do controlo interno. Se existir alguma dúvida sobre se alguns controlos identificados no Passo 2 acima não foram, de facto, implementados, não avaliar a conceção do controlo nem documentar o funcionamento dos controlos até que seja executado algum trabalho para determinar que eles existem e estão a funcionar. Adicionalmente, não dedicar tempo a avaliar controlos que provavelmente não são relevantes ou que foram inadequadamente concebidos. 134

89 5.6. Controlo Interno - Compreensão e Avaliação Os procedimentos de avaliação de risco exigidos para obter prova de auditoria sobre a implementação do controlo podem incluir: Indagações ao pessoal da entidade; Observação ou reexecução da aplicação de controlos específicos; Inspeção de documentos e relatórios; Rastreio uma ou duas transações através do sistema de informação relevante para o relato financeiro. Isto é muitas vezes designado walkthrough. Nota: A avaliação da implementação de um controlo apenas é necessária para controlos relevantes para a auditoria. Um walkthrough não é um teste à eficácia operacional de um controlo. A implementação dos controlos proporciona prova sobre se o controlo está efetivamente a operar num determinado momento. Ela não aborda a eficácia operacional durante o período de tempo a ser auditado. A prova da eficácia operacional (se fizer parte da estratégia de auditoria a desenvolver) é obtida através de testes aos controlos que reúnem prova sobre o funcionamento do controlo durante um período de tempo, por exemplo, um ano. Apenas quando for determinado que o controlo interno relevante para a auditoria está concebido e implementado de forma apropriada é que vale a pena considerar: Quais os testes sobre a eficácia operacional dos controlos (se existentes) que irão reduzir a necessidade de procedimentos substantivos; e Quais os controlos que exigem testes pelo facto de não existir outra forma de obter prova de auditoria suficiente e apropriada. Assegurar que a equipa de auditoria compreende claramente a diferença entre conceção do controlo, implementação do controlo e teste aos controlos. Em resumo: Conceção do controlo Os controlos foram concebidos para mitigar os riscos inerentes? Implementação do controlo Os controlos concebidos estão de facto a funcionar? Os procedimentos de implementação dos controlos devem ser executados em cada período para identificar quaisquer alterações do sistema. Teste aos controlos Os controlos funcionaram de forma eficaz durante um período de tempo especificado? Não existe um requisito para testar a eficácia operacional dos controlos a não ser que não exista forma alternativa (como por exemplo num sistema altamente automatizado e sem papel) para obter a prova de auditoria necessária. A decisão de testar a eficácia operacional dos controlos é, deste modo, uma questão de julgamento profissional. Não ignorar a relação entre a conceção e a implementação do controlo Se existe dúvida sobre se os controlos identificados no Passo 2 acima foram, de facto, implementados, não avaliar a conceção do controlo até que seja executado algum trabalho para determinar se ele existe e está a funcionar. Adicionalmente, se o auditor concluir que a conceção do controlo não é adequada, não faz sentido avaliar a implementação do controlo. É provável que exista uma deficiência significativa. Avaliar a implementação todos os períodos Após a primeira auditoria, fazer primeiro a avaliação da implementação do controlo para determinar o que alterou. Usar a documentação da conceção do controlo obtida em períodos anteriores como ponto de partida. Se for identificada uma alteração no controlo interno, considerar se o novo controlo ou controlo revisto continuam a mitigar o fator de risco, ou se existem novos riscos que necessitam ser mitigados. 135

90 Guide to Using International Standards on Auditing in the Audits of Small- and Medium-Sized Entities Volume 2 Practical Guidance GUIA DE APLICAÇÃO DAS ISA CONCEITOS FUNDAMENTAIS E ORIENTAÇÃO PRÁTICA 5.6. Controlo Interno - Compreensão e Avaliação Passo 4 - A operacionalidade dos controlos relevantes foi documentada? Imagem Documentar os controlos relevantes Documentar a operacionalidade dos controlos relevantes Proporcionar um contexto para a operacionalidade dos controlos desde o início até ao relato financeiro O objetivo deste passo é proporcionar alguma informação sobre a operacionalidade dos controlos relevantes identificados no Passo 2 acima. A extensão da documentação é determinada por julgamento profissional. A documentação resultante irá ajudar o auditor a: Compreender a natureza, funcionamento (iniciação, processamento, registo, etc.) e contexto (tal como quem executa o controlo, quando o controlo é executado, frequência e documentação resultante) dos controlos identificados; e Determinar se é provável que os controlos são fiáveis e funcionam de forma eficaz. Em caso afirmativo, devem ser testados como parte da resposta de auditoria aos riscos avaliados. Se for tomada a decisão de testar a eficácia operacional os controlos, estas documentação também irá ajudar o auditor na conceção do teste, tal como qual a população a usar para a seleção da amostra, quais os atributos do controlo a testar, quem executa o controlo e onde pode ser encontrada a documentação necessária. Aquando da documentação dos controlos relevantes, considerar algumas situações tais como: Como é que as transações significativas são iniciadas, autorizadas, registadas, processadas e relatadas; Fluxo de transações com detalhe suficiente para identificar pontos em que podem ocorrer distorções materiais devido a erro ou fraude; Controlos internos sobre o relato financeiro de fecho, incluindo contabilização de estimativas e divulgações significativas. As formas de documentação pelo órgão de gestão ou pelo auditor são: Narrativas ou memorandos; Fluxogramas; Combinação de fluxogramas e narrativas; e Questionários e checklists. A natureza e extensão da documentação necessária é matéria de julgamento profissional. Os fatores a considerar incluem: A natureza, dimensão e complexidade da entidade e do seu controlo interno, Disponibilidade da informação na entidade, e Metodologia de auditoria e tecnologia usada no decurso de auditoria. A extensão da documentação pode também refletir a experiência e capacidade da equipa de auditoria. Uma auditoria executada por uma equipa menos experiente pode exigir documentação mais detalhada para a apoiar na compreensão apropriada da entidade. 136

91 5.6.5 Atualização da documentação em períodos subsequentes 5.6. Controlo Interno - Compreensão e Avaliação Quando planeia a auditoria de um período subsequente, o auditor pode usar documentação preparada ou obtida num período anterior. Isto envolve a documentação seguinte: Fazer uma cópia dos papéis de trabalho do período anterior como um ponto de partida para atualizar no período corrente. Se não tiverem ocorrido alterações, a conceção será aceitável; Atualizar a listagem dos riscos que necessitam ser mitigados por controlo; Identificar alterações no controlo interno ao nível da entidade e da transação. Isto é atingido através de procedimentos que abordam a implementação do controlo; Quando tiverem sido identificadas alterações (nos riscos ou controlos), determinar se foram concebidos ou implementados novos controlos internos; Atualizar a relação dos controlos internos com o fator de risco apropriado; e Atualizar as conclusões sobre o risco de controlo. Quando for provável que a estratégia de auditoria envolva a confiança na eficácia operacional dos controlos (através de testes aos controlos) e tiverem ocorrido alterações no controlo, será necessário fazer walkthrough às transações que foram processadas antes e após a alteração. Alterações nos controlos gerais Aquando da atualização da documentação dos controlos, considerar cuidadosamente as alterações nos controlos gerais. Estas alterações podem ter um impacto significativo na eficácia operacional de outros controlos específicos, e podem afetar a resposta de auditoria aos riscos avaliados. Por exemplo, a decisão do órgão de gestão de contratar pessoal qualificado para preparar as demonstrações financeiras, pode reduzir de forma considerável o risco de erros na informação financeira e melhorar a eficácia de controlos de transação que podiam ter sido anteriormente prejudicados. Alternativamente, a falha do órgão de gestão em substituir um gestor de TI com poucas competências ou em atribuir poucos recursos à segurança de TI pode enfraquecer outros procedimentos de controlo interno. Em qualquer caso, estas alterações podem dar origem a uma alteração significativa na resposta de auditoria apropriada. 137

92 (Esta página foi intencionalmente deixada em branco) 138

93 5.7. Procedimentos de avaliação do risco Conteúdo A natureza e utilização dos procedimentos de avaliação de risco pelo auditor para identificar e avaliar os riscos de distorção ISA relevante (Revista) Os três tipos de procedimentos de avaliação de risco exigidos pela ISA 315 (Revista) estão ilustrados na Imagem abaixo. Imagem Indagações ao órgão de gestão e a outros Observação e Inspeção Procedimentos Analíticos Enquadramento O objetivo dos procedimentos de avaliação do risco é identificar e avaliar riscos de distorção material. Isto é conseguido através do processo de compreensão da entidade e do seu ambiente, incluindo o seu controlo interno. A informação pode ser obtida de fontes externas, tais como a Internet e publicações comerciais, e de fontes internas tais como discussões com pessoal chave. Esta compreensão da entidade torna-se um processo contínuo e dinâmico com vista a recolher, atualizar e analisar informação durante a auditoria Prova de auditoria ISA relevante Parágrafos 315R 5-6,11-12 Os procedimentos de avaliação do risco proporcionam prova de auditoria relativamente à avaliação dos riscos ao nível das demonstrações financeiras e ao nível da asserção. No entanto, isto não é uma prova isolada. Esta prova é complementada por procedimentos de auditoria adicionais (que respondem aos riscos identificados) tais como testes aos controlos e/ou procedimentos substantivos. Procedimentos exigidos O auditor utiliza o julgamento profissional para determinar os procedimentos de avaliação de risco a executar, e o âmbito ou profundidade da compreensão da entidade que é necessário obter. No primeiro ano em que o auditor executa a auditoria de uma entidade, o trabalho exigido para obter e documentar esta informação requer frequentemente uma 139

94 5.7. Procedimentos de avaliação do risco quantidade de tempo significativa. No entanto, se a informação obtida ficar bem documentada no primeiro ano, o tempo necessário para atualizar a informação em anos seguintes deve ser significativamente inferior ao necessário no primeiro ano. O auditor necessita de executar procedimentos de avaliação de risco suficientes para identificar fatores de risco de negócio e de fraude que possam resultar em distorção material. Isto inclui a consideração de quaisquer acontecimentos ou condições que possam levantar dúvidas significativas sobre a capacidade da entidade para prosseguir em continuidade Os três procedimentos de avaliação do risco Cada um dos três procedimentos de avaliação de risco deve ser executado durante a auditoria, mas não necessariamente para cada aspeto da compreensão exigida. Em muitas situações, os resultados obtidos ao executar um tipo de procedimento podem levar a que seja executado outro. Por exemplo, numa entrevista com o gestor de vendas, pode ser identificado um contrato de venda pouco usual, mas significativo. Isto pode ser seguido de inspeção ao contrato e a uma análise do impacto nas margens de venda. Alternativamente, os resultados obtidos de procedimentos de revisão analítica sobre resultados operacionais preliminares podem originar algumas questões ao órgão de gestão. As respostas a essas questões podem levar à inspeção de alguns documentos ou à observação de algumas atividades Indagações ao órgão de gestão e a outros (incluindo indagações relativas a fraude) Indagações ao órgão de gestão e a outros A indagação é utilizada pelo auditor conjuntamente com outros procedimentos de avaliação de risco para ajudar a identificar riscos de distorção material. O foco das perguntas é a obtenção de compreensão para cada um dos aspetos exigidos tais como referidos nos parágrafos 11 e 12 da ISA 315 (Revista). ISA relevante 240 Parágrafos Geralmente, a maioria da informação das indagações é obtida do órgão de gestão e dos responsáveis pelo relato financeiro. No entanto, indagações a outros dentro da entidade e a empregados com diferentes níveis de autoridade podem proporcionar uma perspetiva diferente, e pode ser útil informação adicional para identificar riscos de distorção material que de contrário poderiam não ser detetados. Por exemplo, uma discussão com o responsável das vendas poderia revelar que algumas transações de venda (no fim do período) foram antecipadas e não foram registadas de acordo com as políticas de reconhecimento do rédito da entidade. As áreas de indagação estão sumarizadas no Quadro seguinte. 140

95 5.7. Procedimentos de avaliação do risco Quadro Entrevista Encarregados da governação (EG) (se não estiverem envolvidos na gestão da entidade) Órgão de gestão e responsáveis pela preparação do relato financeiro Empregados chave (compras, salários, contabilidade, etc.) Marketing ou vendas Auditoria interna Indagar sobre Ambiente no qual são preparadas as demonstrações financeiras. Supervisão dos processos da gestão para identificar e responder aos riscos de fraude ou erro na entidade, e o controlo interno estabelecido pelo órgão de gestão para mitigar esses riscos. Conhecimentos de fraude, real, suspeita, ou alegada, que afete a entidade. Considerar assistir a uma reunião dos encarregados da governação e leitura das atas de reuniões anteriores. Avaliação pelo órgão de gestão do risco de que as demonstrações financeiras possam estar materialmente distorcidas devido a fraude ou erro, incluindo a natureza, extensão e frequência dessas avaliações. Comunicações do órgão de gestão, caso existam, a empregados, relativamente a práticas negociais e comportamento ético. A cultura da entidade (valores e ética). Estilo operacional do órgão de gestão. Planos de incentivos. Potencial para derrogação dos controlos pelo órgão de gestão. Conhecimento ou suspeita de fraude. Como é que as estimativas são preparadas. Se a entidade cumpre as leis e regulamentos. Preparação das demonstrações financeiras e processo de revisão. Comunicações do órgão de gestão, caso existam, aos encarregados da governação. Tendências do negócio e acontecimentos não usuais. A iniciação, processamento e registo de transações complexas ou pouco usuais. A extensão da derrogação dos controlos pelo órgão de gestão (isto é, foi pedido a algum destes empregados que não aplicasse o controlo interno?). O uso de políticas contabilísticas apropriadas e sua aplicação. Estratégias de marketing e tendência das vendas. Incentivos às vendas. Contratos com clientes. A extensão da derrogação dos controlos pelo órgão de gestão (isto é, foi pedido a algum destes empregados que não aplicasse o controlo interno ou as políticas contabilísticas de reconhecimento do rédito?). Âmbito do trabalho e as situações identificadas e recomendações. Identificação e avaliação de possíveis riscos de distorção material. Outros assuntos que podem afetar o trabalho do auditor externo. Potencial para usar o trabalho da função de auditoria interna para obter prova de auditoria. 141

96 5.7. Procedimentos de avaliação do risco Procedimentos analíticos Procedimentos Analíticos Os procedimentos analíticos utilizados como procedimentos de avaliação de risco ajudam a identificar assuntos que têm implicações nas demonstrações financeiras e na auditoria. Alguns exemplos são transações ou acontecimentos, quantias, rácios e tendências pouco usuais. Para além de serem um procedimento de avaliação de risco, os procedimentos analíticos também podem ser usados como procedimentos de auditoria adicionais em: Obter prova sobre uma asserção das demonstrações financeiras. Isto seria um procedimento analítico substantivo e é discutido em maior pormenor no Capítulo 6.3 deste Guia; e Executar uma revisão global das demonstrações financeiras perto do final da auditoria. A maior parte dos procedimentos analíticos não são muito detalhados ou complexos. Usam frequentemente dados agregados a um nível alto, pelo que os resultados podem apenas proporcionar uma indicação inicial sobre a possível existência de uma distorção material. Os passos relativos aos procedimentos analíticos estão resumidos no Quadro seguinte. Quadro O que fazer Identificar relações entre os dados Comparar Avaliar resultados Como fazer Desenvolver expectativas sobre relações plausíveis entre os vários tipos de informação que seja razoável supor que existam. Se possível, utilizar fontes de informação independentes (ou seja, não gerada internamente). A informação financeira e não financeira pode incluir: Demonstrações financeiras para períodos comparáveis; Orçamentos, previsões e extrapolações, incluindo de dados intercalares e anuais; e Informação relativa à indústria em que a entidade opera e condições económicas atuais. Comparar expectativas com os valores registados ou rácios calculados a partir desses valores. Avaliar os resultados. No caso de serem encontradas relações não usuais ou inesperadas, considerar riscos de distorção material potenciais. 142

97 5.7. Procedimentos de avaliação do risco Os resultados destes procedimentos analíticos devem ser considerados conjuntamente com outra informação recolhida para: Identificar os riscos de distorção material relativos a asserções implícitas em rubricas significativas das demonstrações financeiras; e Ajudar a conceber a natureza, oportunidade e extensão de procedimentos de auditoria adicionais. Nota: Algumas entidades mais pequenas podem não conseguir entregar ao auditor informação financeira mensal ou intercalar para a execução de procedimentos analíticos. Nestas circunstâncias, pode ser obtida alguma informação através de indagação, mas indagações mais detalhadas podem ter de esperar até que esteja disponível uma versão inicial das demonstrações financeiras da entidade Observação e inspeção Observação e Inspeção A observação e a inspeção: Suportam as indagações feitas ao órgão de gestão e a outros; e Proporcionam informação adicional sobre a entidade e o seu ambiente. Os procedimentos de observação e inspeção geralmente incluem os procedimentos e aplicações descritos no quadro seguinte. Quadro Procedimento Observação Exemplos de aplicação Considerar observar: Como é que a entidade opera e como está organizada; Instalações e fábricas da entidade; Estilo operacional do órgão de gestão e a sua atitude em relação ao controlo interno; Como funcionam os procedimentos de controlo interno; e Conformidade com políticas chave. 143

98 5.7. Procedimentos de avaliação do risco Procedimento Inspeção Exemplos de aplicação Considerar inspecionar os seguintes documentos: Planos de negócios, estratégia e propostas; Estudos do setor e notícias sobre a entidade na comunicação social; Principais contratos e compromissos; Regulamentos e correspondência com os reguladores; Correspondência com advogados, bancos e outras partes interessadas; Políticas e registos contabilísticos; Manuais de controlo interno; Relatórios preparados pelo órgão de gestão (tais como relatórios de desempenho e demonstrações financeiras intercalares); e Outros relatórios, tais como atas de reuniões dos encarregados da governação, relatórios de consultores, etc Conceção e implementação dos controlos internos Os procedimentos de avaliação do risco também incluem procedimentos utilizados na avaliação da conceção e implementação dos controlos internos relevantes. Os procedimentos relativos ao controlo interno são tratados em mais detalhe no Capítulo Outras fontes de informação sobre riscos Outros procedimentos efetuados pelo auditor podem ser utilizados para a avaliação de risco. Alguns exemplos típicos estão descritos na Quadro seguinte. Quadro Fonte Aceitação ou continuação Trabalho anterior Descrição Informação relevante obtida nos procedimentos preliminares. Experiência relevante de auditorias anteriores e outro tipo de trabalhos efetuados para a entidade. Isto pode incluir: Áreas de preocupação em auditorias anteriores; Pontos fracos do controlo interno; Alterações na estrutura organizacional, processos de negócio, e sistemas de controlo interno; e Distorções anteriores e se foram corrigidas atempadamente. 144

99 5.7. Procedimentos de avaliação do risco Fonte Informação externa Discussões da equipa Descrição Indagações a advogados externos à empresa ou a avaliadores. Revisão de relatórios preparados pelos bancos ou agências de rating. Informação sobre a indústria e estado da economia obtida através de pesquisas na internet, jornais económicos, e publicações financeiras e de entidades reguladoras. Resultados da discussão da equipa (incluindo o sócio) sobre a suscetibilidade das demonstrações financeiras da entidade a distorções materiais, incluindo fraude Procedimentos de avaliação de risco específicos O seguinte Quadro contém uma lista de ISA com procedimentos de avaliação do risco específicos a serem executados em todas as auditorias, quando aplicável. Quadro ISA Título 240 As responsabilidades do Auditor relativas a fraude numa Auditoria de Demonstrações Financeiras 250 (Revista) Consideração de Leis e Regulamentos numa Auditoria de Demonstrações Financeiras 315 (Revista) Identificar e Avaliar os Riscos de Distorção Material Através do Conhecimento da Entidade e do Seu Ambiente 320 A Materialidade no Planeamento e na Execução de uma Auditoria 540 Auditar Estimativas Contabilísticas, Incluindo Estimativas Contabilísticas de Justo Valor e Respetivas Divulgações 550 Partes Relacionadas 560 Acontecimentos Subsequentes 600 Considerações Especiais Auditorias de Demonstrações Financeiras de Grupos (incluindo o Trabalho dos Auditores de Componentes) 145

100 (Esta página foi intencionalmente deixada em branco) 146

101 5.8. Identificação e avaliação dos riscos Conteúdo ISA relevante Como identificar e avaliar os riscos de distorção material nas demonstrações financeiras (Revista) Enquadramento A identificação dos riscos é o alicerce da auditoria. É a base, e uma parte, dos procedimentos do auditor para conhecer a entidade e o seu ambiente. Sem uma compreensão sólida da entidade, o auditor pode não se aperceber de determinados fatores de risco. Por exemplo, se as vendas de um cliente estão a aumentar, seria importante para o auditor saber que as vendas da indústria como um todo estão na verdade em forte declínio. O objetivo da fase de avaliação do risco é identificar fontes de risco, e depois avaliar se eles podem resultar numa distorção material nas demonstrações financeiras. Isto proporciona ao auditor a informação necessária para direcionar os esforços de auditoria para áreas em que o risco de distorção material é maior, e dedicar menos tempo nas áreas de menor risco. A avaliação do risco tem duas partes distintas: Identificação do risco (questionando o que pode correr mal ); e Avaliação do risco (determinando a importância de cada risco). A identificação do risco encontra-se ilustrada na Imagem abaixo. Imagem ISA relevante Parágrafos ,15,17-18,22-24,44 3,11 315R 3,11 Identificação do risco O que pode correr mal e resultar numa distorção nas demonstrações financeiras? Executar procedimentos de avaliação do risco Objetivos da entidade, fatores externos, natureza da entidade, políticas contabilísticas, medidas de desempenho e controlo interno Listar os fatores de risco de negócio e de fraude identificados

102 5.8. Identificação e avaliação dos riscos Primeiro, identificar os riscos Não podem ser avaliados riscos que não tenham sido identificados. Deve evitar-se a tentação, principalmente numa pequena entidade, de assumir que não existem riscos relevantes ou que os riscos de distorção material são os mesmos que no período anterior. Podem existir novos riscos, e a natureza/importância dos riscos anteriormente identificados podem ter alterado. Focar no que alterou face ao período anterior Após a primeira auditoria, focar no que alterou em cada uma das seis fontes de risco (ver Imagem 5.8-7) em vez de começar tudo de novo. Isto irá poupar tempo e focar a atenção na natureza e efeito de novos riscos que existem agora e na revisão de riscos anteriormente identificados. Após a identificação do risco o auditor avalia os riscos identificados e determina a sua importância para a auditoria das demonstrações financeiras. É preferível avaliar os riscos inerentes antes de considerar quaisquer controlos internos que possam mitigar tais riscos. A avaliação de risco envolve considerar dois atributos do risco: Qual é a probabilidade de ocorrer de uma distorção em resultado do risco? Quais seria a magnitude (impacto monetário) se o risco ocorrer? Probabilidade de ocorrer uma distorção Qual é a probabilidade de existir um risco que origine uma distorção? O auditor pode avaliar esta probabilidade simplesmente como alta, média ou baixa, ou pode atribuir uma pontuação numérica, por exemplo, de 1 a 5 (ver Imagem 5.8-3). Uma pontuação numérica proporciona uma avaliação mais precisa. Quanto mais alta a pontuação, mais provável é a existência do risco. Magnitude (impacto monetário) se o risco existir Se o risco existir, qual seria o impacto monetário? Este julgamento necessita ser avaliado considerando uma quantia monetária específica, tal como a materialidade de execução. Caso contrário, pessoas diferentes (com diferentes materialidades em mente) poderiam chegar a conclusões completamente diferentes. Se for usada pontuação numérica para avaliar a probabilidade e magnitude, os números podem ser multiplicados para proporcionar um resultado combinado ou global. Este cálculo pode ser útil ao considerar se existem riscos significativos. Adicionalmente, se for usada uma folha de cálculo eletrónica, a listagem dos riscos pode ser classificada e ordenada por forma a que os riscos mais significativos identificados estejam sempre no topo da lista. Isto pode ser informação útil aquando da revisão do dossier e para assegurar que foi desenvolvida uma resposta adequada para os riscos avaliados. Em pequenas entidades em que o número de fatores de risco é reduzido e a resposta de auditoria já foi determinada, as duas avaliações (probabilidade e magnitude) podem igualmente ser consideradas separadamente, mas documentadas como uma avaliação combinada. Os passos envolvidos na avaliação do risco (usando o critério alto, médio ou baixo) então ilustrados a seguir. 148

103 5.8. Identificação e avaliação dos riscos Imagem Avaliação do risco Listagem de fatores de risco de negócio e risco de fraude identificados É provável que o risco (distorção) identificado ocorra? (Alto, Médio, Baixo) M B A A B Se o risco (distorção) ocorrer, quão material seria para as demonstrações financeiras? (Alta, Média, Baixa) M M A M B Nível de risco avaliado (Alto, Médio, Baixo) M B A M B Os resultados do processo de avaliação de risco também podem ser definidos num gráfico, conforme ilustrado na Imagem abaixo. Imagem Alto impacto Baixa probabilidade Alto impacto Alta probabilidade Impacto (magnitude) do risco Baixo impacto Baixa probabilidade Baixo impacto Alta probabilidade Probabilidade de ocorrência do risco Os riscos situados na área alto impacto (magnitude), elevada probabilidade exigem claramente ações do órgão de gestão para os mitigar. Adicionalmente, estes riscos irão provavelmente ser classificados como significativos, os quais requerem consideração especial de auditoria (ver Capítulo 5.9). 149

104 5.8.2 Tipos de risco Existem duas grandes classificações de risco: Risco de negócio; e Risco de fraude Identificação e avaliação dos riscos A diferença entre risco de negócio e risco de fraude é que o risco de fraude resulta de uma ação deliberada de uma pessoa, conforme ilustrado abaixo. Imagem Risco Baixo Risco Moderado Risco Alto Risco de Negócio Acontecimentos que podem resultar numa distorção material nas DF Risco de fraude Atos intencionais que podem resultar numa distorção material nas DF Baixa DF = Demonstrações financeiras Exposição ao risco Alta Nota: Em muitas situações, o risco pode ser simultaneamente um risco de negócio e um risco de fraude. Por exemplo, a introdução de um novo sistema contabilístico gera incerteza (podem ocorrer erros enquanto o pessoal se familiariza com o novo sistema) e seria classificado como um risco de negócio. Contudo, também pode ser classificado como um risco de fraude uma vez que alguém pode aproveitar a incerteza para apropriação indevida de ativos ou manipular as demonstrações financeiras. Risco de negócio O termo risco de negócio inclui mais do que riscos de distorção material nas demonstrações financeiras. Os riscos de negócio resultam de condições, acontecimentos, circunstâncias, ações ou inações significativas que podem afetar de forma adversa a capacidade da entidade atingir os seus objetivos e executar as suas estratégias. Também pode incluir a definição de objetivos e estratégias não apropriados. O risco de negócio também inclui acontecimentos que resultam da mudança, complexidade ou falha em reconhecer a necessidade de mudança. A mudança pode surgir, por exemplo, de: Desenvolvimento de novos produtos que podem falhar; Um mercado não adequado, mesmo que os novos produtos sejam desenvolvidos com sucesso; ou Falhas em produtos que podem resultar em passivos e prejudicar a reputação da entidade. Risco de fraude O risco de fraude relaciona-se com acontecimentos ou condições que indicam um incentivo ou pressão para cometer fraude ou proporcionam uma oportunidade para cometer fraude. A compreensão pelo auditor dos fatores de risco de negócio e de fraude aumenta a probabilidade de identificação de riscos de distorção material. Contudo, não é responsabilidade do auditor identificar ou avaliar todos os riscos de negócio possíveis. 150