PROCEDIMENTOS DE AVALIAÇÃO DE RISCO E ATIVIDADES RELACIONADAS

...

O sistema de controle interno da entidade possui elementos manuais e muitas vezes elementos automatizados. A TI, de modo geral, beneficia esse controle como facilitando a análise adicional das informações, mas também coloca riscos, por exemplo, com a falha na realização de modificações necessárias em sistemas ou programas. Os elementos manuais podem ser menos confiáveis pois podem ser mais facilmente contornados, ignorados ou transgredidos e mais propensos a erros e enganos simples.

A natureza e extensão do entendimento de controles relevantes deve ser conhecida pelo auditor, que deve avaliar o desenho de um controle e verifica se ele é capaz de impedir ou detectar e também corrigir distorções relevantes. Um controle planejado inadequadamente pode representar uma deficiência significativa no controle interno. Na implementação dos controles relevantes pode-se incluir indagações junto ao pessoal da entidade; observação da aplicação de controles específicos; inspeção de documentos e relatórios; e acompanhamento das transações por meio de sistema de informação relevante para as demonstrações contábeis.

O auditor precisa obter entendimento dos componentes do controle interno, o ambiente de controle, que incluem: a comunicação e aplicação de valores de integridade ética; compromisso com a competência; participação dos responsáveis pela governança; filosofia e estilo operacional da administração; estrutura organizacional; atribuição de autoridade e responsabilidade; e políticas e práticas de recursos humanos.

Precisa também buscar entender o processo de avaliação de risco da entidade, se a entidade tem processo para: identificar riscos de negócio relevantes para os objetivos das demonstrações; estimar a significância dos riscos; avaliar a probabilidade de sua ocorrência; e decidir sobre ações em resposta a esses riscos. Caso a entidade tenha esse processo, se o auditor identificar riscos de erro relevante que a administração deixou de identificar, ele deve obter o entendimento do por que o processo deixou de identifica-lo e deve avaliar se o processo é adequado. Caso não tenha, o auditor deve discutir com a administração se os riscos de negócio relevantes para os objetivos de demonstrações contábeis foram identificados e como foram tratados.

Outro fator, necessário para o entendimento do auditor é como a entidade comunica as funções e responsabilidades sobre demonstrações e assuntos significativos relacionados com esses relatórios, tanto a comunicação entre a administração e os responsáveis da governança, quanto a comunicação externa, como com órgãos reguladores. A comunicação pode assumir formas como as de manuais de política e de relatório financeiro e canais de comunicação abertos ajudam a assegurar que exceções sejam reportadas e tratadas.

Também precisa ter entendimento das principais atividades que a entidade utiliza para monitorar o controle interno e como são iniciadas as ações corretivas para as deficiências.

O auditor deve incluir na documentação de auditoria (NBC TA 230 – Documentação de Auditoria, itens 8 a 11 e A6):

(a) a discussão entre a equipe encarregada do trabalho quando requerido pelo item 10, e as decisões significativas alcançadas;

(b) elementos-chave do entendimento obtido referentes a cada um dos aspectos da entidade e do seu ambiente especificados no item 11 e de cada um dos componentes do controle interno especificados nos itens 14 a 24; as fontes de informações a partir das quais foi obtido o entendimento; e procedimentos de avaliação de riscos executados;

(c) os riscos identificados e avaliados de distorção relevante nas demonstrações contábeis como exigido pelo item 25; e

(d) os riscos identificados e controles relacionados a respeito dos quais o auditor tenha obtido entendimento, como resultado dos requerimentos dos itens 27 a 30 (ver itens A131 a A134).