Novo nível de confiança e transparência



Documentos relacionados
Gerenciamento de capital e ICAAP

Escolhendo a melhor opção para sua empresa

Guia das Demonstrações Financeiras Pontos para Fechamento de 2013 Aspectos contábeis

Relatório de asseguração limitada dos auditores independentes

Como melhorar a gestão da sua empresa?

Auditoria da função de gestão de riscos operacionais* 1 de Agosto *connectedthinking

Nossas soluções para o setor sucroenergético

Sistemas de Gestão Ambiental O QUE MUDOU COM A NOVA ISO 14001:2004

Planejando a melhoria de desempenho

O CONSELHO FEDERAL DE CONTABILIDADE, no exercício de suas atribuições legais e regimentais,

NORMA BRASILEIRA DE CONTABILIDADE NBC TSC 4410, DE 30 DE AGOSTO DE 2013

Sustentabilidade Operacional...novos mercados para o setor financeiro

Rumo a novos patamares

NBA 10: INDEPENDÊNCIA DOS TRIBUNAIS DE CONTAS. INTRODUÇÃO [Issai 10, Preâmbulo, e NAT]

PRINCIPAIS MUDANÇAS NAS NORMAS DE AUDITORIA. Claudio Longo Ernst & Young. Campo Grande, 17 de Agosto de 2010

Tópico: Plano e Estratégia. Controle interno e risco de auditoria

Grupo de Coordenação da Transição da Administração da IANA Solicitação de Propostas

Painel 4 - Lucros no Exterior Tributação em Bases Universais Desafios e Oportunidades (Foco na IN- 1520)

Quando utilizar o CPC para Pequenas e Médias

Governança Corporativa

Pós-Graduação em Gerenciamento de Projetos práticas do PMI

Perguntas para avaliar a efetividade do processo de segurança

CONFEDERAÇÃO BRASILEIRA DE TRIATHLON

Governança de TI. ITIL v.2&3. parte 1

Gerenciamento da Integração (PMBoK 5ª ed.)

COMUNICADO TÉCNICO IBRACON Nº 02/2013

DECLARAÇÃO DE POSICIONAMENTO DO IIA: O PAPEL DA AUDITORIA INTERNA

12 dicas sobre relatórios

Rio de Janeiro, 06 de agosto de C /2014.

Resumo das Interpretações Oficiais do TC 176 / ISO

GP Andaimes Sul Locadora Ltda.

PUBLICADO EM 01/08/2015 VÁLIDO ATÉ 31/07/2020

Alimento Seguro. Nosso olhar para o futuro... para transformar o presente

Audiência no Senado Escolha e Contratação da Entidade Aferidora da Qualidade 22 de Março de 2012 Luiz Eduardo Viotti Sócio da PwC

MASTER IN PROJECT MANAGEMENT

Proibida a reprodução.

ISO 9001:2015 Nova versão porque e quando?

AUDITORIA COMO FERRAMENTA DE CONTROLE. Jackson

Gerenciamento de Níveis de Serviço

ISO/IEC 12207: Gerência de Configuração

REGULAMENTO SOBRE A PRESTAÇÃO DE SERVIÇOS PELO REVISOR OFICIAL DE CONTAS E PELO AUDITOR EXTERNO DOS CTT-CORREIOS DE PORTUGAL, S.A. I.

POLÍTICAS DE EDUCAÇÃO CORPORATIVA - NOR 350

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES

F.1 Gerenciamento da integração do projeto

LISTA DE VERIFICAÇAO DO SISTEMA DE GESTAO DA QUALIDADE

Universidade Paulista

Marcia Avruch Tel: (11)

Processos de gerenciamento de projetos em um projeto

Gerenciamento de Projetos Modulo II Ciclo de Vida e Organização do Projeto

Roteiro SENAC. Análise de Riscos. Monitoramento e Controle de Riscos. Monitoramento e Controle de Riscos. Monitoramento e Controle de Riscos

Lista de verificação (Check list) para planejamento e execução de Projetos

1. APRESENTAÇÃO. Em atendimento à U.S. Securities and Exchange Commission SEC, o Comitê. na Sarbanes-Oxley Act.

Manual do Revisor Oficial de Contas. Projecto de Directriz de Revisão/Auditoria 840

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

ECONTEXTO. Auditoria Ambiental e de Regularidade

DEMONSTRAÇÕES FINANCEIRAS COMBINADAS

1 a Jornada de Contabilidade Práticas de Governança Corporativa e Transparência 22 de setembro de 2005

Nota Data 8 de maio de 2013

Processo de Implementação de um Sistema de Gestão da Qualidade

SISTEMAS INTEGRADOS DE GESTÃO PAS 99:2006. Especificação de requisitos comuns de sistemas de gestão como estrutura para a integração

RESOLUÇÃO CFC N.º 1.322/11

ROTEIRO PARA ELABORAÇÃO DE PROJETOS

Por que conhecer o COBIT 5

Os profissionais estão envelhecendo. E agora?

IBRACON NPA nº 08 - Serviços de Auditoria dos Processos de Privatização

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

IECEx DOCUMENTO OPERACIONAL

ECS -ASSESSORIA E CONSULTORIA TÉCNICA. ISO 14001:2015 Tendências da nova revisão

Modulo de Padronização e Qualidade Formação Técnica em Administração

Abordagem de Processo: conceitos e diretrizes para sua implementação

SISTEMA DE GESTÃO AMBIENTAL ABNT NBR ISO 14001

Manual SAGe Versão 1.2 (a partir da versão )

POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS

Acreditamos que a evidência de auditoria obtida é suficiente e apropriada para fundamentar nossa opinião.

OFÍCIO-CIRCULAR/CVM/SIN/SNC/ Nº 01/2012. Rio de Janeiro, 04 de dezembro de 2012

Transcrição:

www.pwc.com/br Novo nível de confiança e transparência Uma perspectiva na transição do SAS 70 para o SSAE 16 e o ISAE 3402

Introdução As organizações que prestam serviços os quais impactam as demonstrações financeiras de seus clientes, geralmente estão sujeitas a auditorias dos processos executadas em nome de seus clientes. O padrão americano Statement on Auditing Standards No. 70 (SAS 70) por muito tempo foi o padrão mais utilizado na realização de auditorias dessa natureza e ofereceu aos prestadores de serviços um mecanismo para apresentação de um parecer de auditoria independente para seus clientes e auditores. Nos Estados Unidos o SAS 70 foi substituído pelo novo padrão Statement on Standards for Attestation Engagements 16 (SSAE 16). Muitos países não possuem seu próprio padrão para a realização desse tipo de auditoria, o que levou à criação de um padrão internacional, denominado International Standard on Assurance Engagements 3402 (ISAE 3402). O padrão internacional fornece uma opção para os prestadores de serviços que necessitam de um padrão de asseguração global para a entrega de relatórios consistentes em nível mundial. No Brasil, o Conselho Federal de Contabilidade (CFC) aprovou a Norma Brasileira de Contabilidade para relatórios de Asseguração de Controles em Organização Prestadora de Serviços (NBC TO 3402), elaborada de acordo com a norma internacional ISAE 3402. Embora as discussões iniciais sobre esses novos padrões considerassem a ampliação do escopo para além das demonstrações financeiras, suas versões finais enfocam nos controles dos prestadores de serviços relevantes para os controles internos de um cliente em relação às suas demonstrações financeiras. Tais padrões vigoram para relatórios com períodos a findar em ou após 15 de junho de 2011. Embora existam algumas diferenças entre o SSAE 16 e o ISAE 3402, esses padrões são substancialmente os mesmos. O enfoque deste documento está nas mudanças do padrão SAS 70 para os novos padrões, SSAE 16, ISAE 3402 e NBC TO 3402 incluindo comentários sobre o impacto dessas atualizações nos prestadores de serviços e seus auditores. Os prestadores de serviços devem considerar o seguinte na preparação para a implementação do novo padrão: 1. Principais semelhanças e diferenças entre o SAS 70 e os novos padrões 2. Avaliação das principais mudanças nos novos padrões 3. Prestadores de serviços subcontrados 4. Principais planos de ação 2 Novo nível de confiança e transparência

1 Principais semelhanças e diferenças entre o SAS 70 e os novos padrões Semelhanças O escopo tem enfoque em controles internos relevantes para as demonstrações financeiras das organizações usuárias dos serviços. Os relatórios do Tipo 1 e do Tipo 2 podem ser emitidos pelo auditor do prestador de serviços. Os relatórios podem conter (inclusive method) ou não conter (carve-out method) os serviços prestados por empresas subcontratadas pelo prestador de serviços. A descrição dos controles do prestador de serviços elaborada de acordo com o SAS 70 pode geralmente ser utilizada como base para a descrição do sistema de acordo com o SSAE 16 e o ISAE 3402. O relatório emitido pelo auditor sobre os serviços prestados é restrito à administração do prestador de serviços, às organizações usuárias e aos auditores das organizações usuárias. Diferenças Os novos padrões são padrões de asseguração, não padrões de auditoria; outros padrões de auditoria devem ser utilizados para endereçar os requisitos do auditor da organização usuária do serviço. É requerido que a administração forneça uma afirmação por escrito. As empresas subcontratadas pelo prestador de serviços devem fornecer uma afirmação similar por escrito quando o método inclusivo (inclusive method)for utilizado. Em um relatório Tipo 2, o auditor do prestador dos serviços opina sobre a adequação do desenho dos controles relacionados aos objetivos de controles para todo o período avaliado. O auditor da organização de serviço deve informar se utilizou algum trabalho da Auditoria Interna (ou outro trabalho elaborado pela administração) no relatório. O formato do parecer do auditor do prestador de serviços mudou. Avaliação geral das principais mudanças nos novos padrões Os novos padrões incluem alguns novos requisitos e mudanças com relação ao padrão SAS 70. Para cada uma das principais mudanças aqui discutidas, fornecemos uma avaliação da diferença com relação ao SAS 70 e o nível de esforço que será requerido do prestador de serviços para implementar a mudança. Em resumo, nossa visão geral é a de que o impacto das mudanças nos prestadores de serviços não será relevante PwC 3

2 Avaliação das principais mudanças nos novos padrões Afirmação da administração De acordo com os novos padrões, o prestador de serviços assume algumas responsabilidades adicionais. A mais evidente é a exigência de fornecer uma afirmação por escrito que declara que os controles são apresentados adequadamente, desenhados apropriadamente e estão operando de maneira efetiva para alcançar os objetivos de controle descritos. A afirmação da administração será anexada à descrição do sistema da administração e documentada no relatório. A afirmação da administração deve ser baseada em critérios apropriados. A administração deve selecionar os critérios a serem utilizados para fazer sua afirmação e deve demonstrá-los na afirmação. O auditor do prestador de serviços é impedido de emitir um relatório se a administração não fornecer uma afirmação por escrito. Os novos padrões fornecem critérios adequados típicos e exemplo de afirmação tornando este requisito simples de ser implementado. A administração deve ter uma base razoável para sua afirmação, que pode ser obtida por meio de atividades de monitoramento que forneçam evidência do desenho e efetividade operacional dos controles. A carta de representação da administração que era assinada na conclusão de um trabalho realizado de acordo com o SAS 70 passa a incluir os itens requeridos na afirmação da administração. Diferenças com relação ao SAS 70 Nível de esforço Baixo Médio Alto Descrição do sistema Além de uma afirmação por escrito, a administração é responsável por preparar sua descrição do sistema de prestações dos serviços ( o sistema ). O sistema é definido conforme as políticas e os procedimentos desenhados, implementados e documentados pela administração para fornecer aos seus clientes os serviços cobertos pelo relatório do auditor. A descrição da administração deve identificar (conforme aplicável): os serviços abrangidos; o período de cobertura do relatório; a descrição das classes de transações processadas; os objetivos de controle e controles relacionados; controles sob responsabilidade do usuário que são complementares aos controles da prestação de serviço; controles executados pela empresa subcontratada pelo prestador de serviços (quando escolhido o método inclusivo); o processo utilizado para preparar relatórios para os clientes; mudanças no sistema durante o período abrangido pelo relatório; e outros aspectos do ambiente de controles do prestador de serviços, processos de avaliação de riscos, sistema de informação e comunicação, e monitoramento de controles, conforme definido pelo framework de controles internos COSO Committee of Sponsoring Organizations, que poderiam ser relevantes para as organizações usuárias. O diagrama abaixo ilustra os elementos que a administração deve considerar ao descrever o fluxo de transações por meio do sistema Iniciar Autorizar Registrar Processar o registro 4 Novo nível de confiança e transparência

Em muitos casos, a maioria dos elementos a serem incluídos na descrição do sistema da administração, já foram incluídos nos relatórios existentes do SAS 70. Nesses casos, não deveria ser requerido esforço de trabalho adicional relevante do prestador de serviços. Diferenças com relação ao SAS 70 Nível de esforço Baixo Médio Alto Identificação de riscos para alcançar os objetivos do controle Semelhante à orientação do SAS 70, a descrição do sistema da administração deve especificar os objetivos de controle e seus controles relacionados. A administração deve identificar os riscos que ameaçam o alcance dos objetivos de controle estabelecidos na descrição do sistema da administração. Os novos padrões permitem que a administração tenha um processo formal ou informal para identificar os riscos relevantes e não exige que a administração inclua explicitamente esses riscos no relatório. No entanto, nossa perspectiva na prática é a de que a administração conduza e documente sua consideração sobre os riscos relevantes. Como muitas empresas já realizaram sua avaliação de riscos como parte da criação dos objetivos de controle e das atividades de controle em seus trabalhos com base no SAS 70, identificar os fatores de riscos relevantes não deve ser um esforço de trabalho adicional significativo. Diferenças com relação ao SAS 70 Nível de esforço Baixo Médio Alto PwC 5

3 Prestadores de serviços subcontratados Assim como no padrão SAS 70, os novos padrões permitem que o prestador de serviços descreva o uso de empresas subcontratadas por meio dos métodos de apresentação inclusivo (inclusive method) ou nãoinclusivo (carve-out method). Ao utilizar o método inclusivo, a descrição do sistema da administração deve incluir uma descrição dos serviços prestados pela empresa subcontratada e distinguí-los claramente. Adicionalmente, a empresa subcontratada está sujeita às mesmas exigências que o prestador de serviços e deve fornecer o seguinte: uma descrição dos objetivos de controle e dos controles relacionados da empresa subcontratada; uma afirmação por escrito, a ser anexada à descrição da administração sobre o sistema do prestador de serviços; e uma carta de representação. Utilizando o trabalho da auditoria interna O auditor do prestador de serviços pode utilizar o trabalho da Auditoria Interna ou de outras funções de controles independentes relacionadas que foram executadas de maneira independente, para suportar seus testes. Entretanto, geralmente é um desafio encontrar um alinhamento suficiente entre o escopo e o cronograma do trabalho realizado pela auditoria interna e o escopo e cronograma do auditor do prestador de serviço. Se o auditor do prestador de serviço conseguir superar esses desafios e confiar nesses trabalhos ao realizar os testes de controles, uma divulgação adicional será requerida no relatório. Diferenças com relação ao SAS 70 A exigência de que a empresa subcontratada forneça uma afirmação por escrito ao se empregar o método inclusivo, pode apresentar o maior desafio de todos, o qual a administração deve coordenar proativamente antes da contratação do trabalho do auditor. A carta de representação que era assinada na conclusão do trabalho do SAS 70 passa a incluir os itens requeridos na afirmação da administração da empresa subcontratada Nível de esforço Baixo Médio Alto Seus clientes podem confiar nos seus serviços? Diferenças com relação ao SAS 70 Nível de esforço Baixo Médio Alto O que você pode fazer para aumentar a confiança deles? Você pretende distinguir a sua marca fornecendo um relatório de asseguração independente para seus clientes? 6 Novo nível de confiança e transparência

4 Principais planos de ação Apresentamos a seguir os principais planos de ação a serem considerados pelo prestador de serviços ao implementar os novos padrões: Auditor do prestador de serviços - Iniciar discussões com os auditores do prestador de serviços para aumentar o seu entendimento sobre os novos padrões e obter esclarecimentos da perspectiva do auditor. Afirmação da administração - Avaliar os processos atuais de monitoramento de controles para determinar se são necessárias melhorias para suportar a afirmação da administração. Descrição do sistema Revisitar as descrições dos controles existentes dentro dos atuais relatórios SAS 70 como base para o desenvolvimento da descrição da administração sobre o sistema do prestador de serviços, incluindo objetivos de controle, riscos e controles relacionados. Empresas subcontratadas Se as empresas subcontratadas serão incluídas na descrição da administração sobre o sistema do prestador de serviços, determinar qual método deve ser utilizado, inclusivo ou não-inclusivo. Se o método inclusivo for utilizado, iniciar conversas com a empresa subcontratada em relação aos seus requisitos de acordo com o novo padrão a ser adotado. PwC 7

Contatos principais Marco Antônio Tel.: [55] (11) 3674 3417 (21) 3232 6112 marco.antonio@br.pwc.com Luiz Ponzoni Tel.: [55] (71) 3319 1900 (81) 3465 8688 luiz.ponzoni@br.pwc.com Francisco Macedo Tel.: [55] (31) 3269 1551 francisco.macedo@br.pwc.com Jerri Ribeiro Tel.: [55] (51) 3378 1700 (41) 3883 1620 jerri.ribeiro@br.pwc.com Edmilson Monutti Tel.: [55] (19) 3794 5401 (16) 2133 6600 edmilson.monutti@br.pwc.com Renata Romariz Diretora Tel.: [55] (11) 3674 3362 renata.romariz@br.pwc.com Fernando Bravo Diretor Tel.: [55] (61) 2196 1817 fernando.bravo@br.pwc.com Esta publicação foi preparada para servir apenas como orientação geral sobre assuntos de interesse, não constituindo recomendação profissional. Você não deve agir com base nas informações contidas nesta publicação sem obter orientação profissional específica. Não fazemos declarações nem damos garantia (expressa ou implícita) quanto à exatidão ou totalidade das informações contidas nesta publicação e, conforme previsto em lei, a PricewaterhouseCoopers Auditores Independentes Ltda., seus membros, empregados e agentes não aceitam nem assumem qualquer obrigação, responsabilidade, ou dever por quaisquer consequências caso você ou qualquer outra pessoa aja, ou deixe de agir, com base nas informações contidas nesta publicação ou por qualquer decisão com base nesta publicação 2011 PricewaterhouseCoopers Serviços Profissionais Ltda. Todos os direitos reservados. Neste documento, PwC refere-se à PricewaterhouseCoopers Serviços Profissionais Ltda, a qual é uma firma membro do network da PricewaterhouseCoopers International Limited, sendo que cada firma membro constitui-se em uma pessoa jurídica totalmente separada e independente. O termo PwC refere-se à rede (network) de firmas membro da PricewaterhouseCoopers International Limited (PwCIL) ou, conforme o contexto determina, a cada uma das firmas membro participantes da rede da PwC. Cada firma membro da rede constitui uma pessoa jurídica separada e independente e que não atua como agente da PwCIL nem de qualquer outra firma membro. A PwCIL não presta serviços a clientes. A PwCIL não é responsável ou se obriga pelos atos ou omissões de qualquer de suas firmas membro, tampouco controla o julgamento profissional das referidas firmas ou pode obrigá-las de qualquer forma. Nenhuma firma membro é responsável pelos atos ou omissões de outra firma membro, nem controla o julgamento profissional de outra firma membro ou da PwCIL, nem pode obrigá-las de qualquer forma. 8 Novo nível de confiança e transparência

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback