NBC TA nº 315, de 24 de Janeiro de 2014

NBC TA Nº 315, DE 24 DE JANEIRO DE 2014

DOU 29.01.2014

Dá nova redação à NBC TA 315 que dispõe sobre a identificação e a avaliação dos riscos de distorção relevante por meio do entendimento da entidade e do seu ambiente.

O CONSELHO FEDERAL DE CONTABILIDADE, no exercício de suas atribuições legais e regimentais e com fundamento no disposto na alínea "f" do art. 6º do Decreto-Lei nº 9.295/46, alterado pela Lei nº 12.249/10, faz saber que foi aprovada em seu Plenário a seguinte Norma Brasileira de Contabilidade (NBC):

NBC TA 315 - IDENTIFICAÇÃO E AVALIAÇÃO DOS RISCOS DE DISTORÇÃO RELEVANTE POR MEIO DO ENTENDIMENTO DA ENTIDADE E DO SEU AMBIENTE

Introdução

Alcance

1. Esta Norma trata da responsabilidade do auditor na identificação e avaliação dos riscos de distorção relevante nas demonstrações contábeis por meio do entendimento da entidade e do seu ambiente, inclusive do controle interno da entidade.

Data de vigência

2. Esta Norma aplica-se à auditoria de demonstrações contábeis, conforme definido no item 33.

Objetivo

3. O objetivo do auditor é identificar e avaliar os riscos de distorção relevante independentemente se causados por fraude ou erro, nos níveis da demonstração contábil e das afirmações, por meio do entendimento da entidade e do seu ambiente, inclusive do controle interno da entidade, proporcionando assim uma base para o planejamento e a implementação das respostas aos riscos identificados de distorção relevante.

Definições

4. Para fins das normas de auditoria, os termos têm os seguintes significados:

Afirmações são declarações da administração, explícitas ou não, que estão incorporadas às demonstrações contábeis, utilizadas pelo auditor para considerar os diferentes tipos de distorções potenciais que possam ocorrer.

Risco de negócio é o risco que resulta de condições, eventos, circunstâncias, ações ou falta de ações significativas que possam afetar adversamente a capacidade da entidade de alcançar seus objetivos e executar suas estratégias, ou do estabelecimento de objetivos ou estratégias inadequadas.

Controle interno é o processo planejado, implementado e mantido pelos responsáveis pela governança, administração e outros empregados para fornecer segurança razoável quanto à realização dos objetivos da entidade no que se refere à confiabilidade dos relatórios financeiros, efetividade e eficiência das operações e conformidade com leis e regulamentos aplicáveis. O termo "controles" refere-se a quaisquer aspectos de um ou mais dos componentes do controle interno.

Procedimentos de avaliação de riscos são os procedimentos de auditoria aplicados para a obtenção do entendimento da entidade e do seu ambiente, incluindo o controle interno da entidade, para a identificação e avaliação dos riscos de distorção relevante, independentemente se causados por fraude ou erro, nos níveis das demonstrações contábeis e das afirmações.

Risco significativo é o risco de distorção relevante identificado e avaliado que, no julgamento do auditor, requer consideração especial na auditoria.

Requisitos

Procedimentos de avaliação de risco e atividades relacionadas

5. O auditor deve aplicar procedimentos de avaliação de riscos para fornecer uma base para a identificação e avaliação de riscos de distorção relevante nos níveis das demonstrações contábeis e das afirmações. Os procedimentos de avaliação de riscos por si só, porém, não fornecem evidências de auditoria apropriada e suficiente para suportar a opinião da auditoria (ver itens A1 a A5).

6. Os procedimentos de avaliação de riscos incluem:

(a) indagações à administração, às pessoas apropriadas da auditoria interna (se houver essa função) e a outros na entidade que, no julgamento do auditor, possam ter informações com possibilidade de auxiliar na identificação de riscos de distorção relevante causados por fraude ou erro (ver itens A7 a A13);

(b)procedimentos analíticos (ver itens A14 a A17);

7. O auditor deve considerar se as informações obtidas no processo de aceitação ou continuidade do cliente são relevantes para a identificação de riscos de distorção relevante.

8. Se o sócio do trabalho executou outros trabalhos para a entidade, ele deve considerar se as informações obtidas nesses trabalhos são relevantes para a identificação de riscos de distorção relevante.

9. Quando o auditor pretende usar as informações obtidas em sua experiência prévia junto à entidade e em procedimentos de auditoria executados em auditorias anteriores, o auditor deve determinar se as mudanças que ocorreram desde a auditoria anterior podem afetar a sua importância para a auditoria corrente (ver itens A19 e A20).

10. O sócio do trabalho e outros membros-chave da equipe encarregada do trabalho devem discutir a suscetibilidade de distorção relevante nas demonstrações contábeis da entidade e a utilização da estrutura de relatório financeiro aplicável aos fatos e circunstâncias da entidade. O sócio do trabalho deve determinar quais assuntos devem ser comunicados aos membros da equipe encarregada do trabalho não envolvidos na discussão (ver itens A21 a A23).

Entendimento necessário da entidade e do seu ambiente, inclusive do controle interno

Entidade e o seu ambiente

11. O auditor deve obter entendimento do seguinte:

(a) fatores do setor de atividade, regulamentares e outros fatores externos relevantes, incluindo a estrutura de relatório financeiro aplicável (ver itens A24 a A29);

(b) a natureza da entidade, incluindo:

(i) suas operações;

(ii) suas estruturas societária e de governança;

(iii) os tipos de investimento que a entidade está fazendo e planeja fazer, incluindo investimentos em entidades de propósito específico; e

(iv) a maneira como a entidade é estruturada e como é financiada;

para possibilitar ao auditor entender as classes de transações, saldos de contas e divulgações esperadas nas demonstrações contábeis (ver itens A30 a A34);

(c) a seleção e a aplicação pela entidade de políticas contábeis, inclusive as razões para mudanças nessas políticas. O auditor deve avaliar se as políticas contábeis da entidade são apropriadas para o negócio e compatíveis com a estrutura de relatório financeiro aplicável e com as políticas contábeis usadas no setor de atividade da entidade (ver item A35);

(d) os objetivos e estratégias da entidade e os riscos de negócio relacionados que possam resultar em risco de distorção relevante (ver itens A36 a A42);

(e) a mensuração e a revisão do desempenho das operações da entidade (ver itens A43 a A48).

Controle interno da entidade

12. O auditor deve obter entendimento do controle interno relevante para a auditoria. Embora seja mais provável que a maioria dos controles relevantes para a auditoria esteja relacionada com as demonstrações contábeis, nem todos os controles que se relacionam com as demonstrações contábeis são relevantes para a auditoria. É uma questão de julgamento profissional de o auditor determinar se um controle, individualmente ou em combinação com outros, é relevante para a auditoria (ver itens A49 a A72).

Natureza e extensão do entendimento dos controles relevantes

13. Na obtenção do entendimento dos controles que são relevantes para a auditoria, o auditor deve avaliar o desenho desses controles e determinar se eles foram implementados, por meio da execução de procedimentos, além de indagações junto ao pessoal da entidade (ver itens A73 a A75).

Componentes do controle interno

Ambiente de controle

14. O auditor deve obter entendimento do ambiente de controle.

Como parte da obtenção deste entendimento, o auditor deve avaliar se:

(a) a administração, com a supervisão geral dos responsáveis pela governança, criou e manteve uma cultura de honestidade e conduta ética; e

(b) os pontos fortes no ambiente de controle fornecem coletivamente fundamento apropriado para os outros componentes do controle interno, e se os outros componentes não são prejudicados por deficiências no ambiente de controle (ver itens A76 a A86).

Processo de avaliação de risco da entidade

15. O auditor deve buscar entender se a entidade tem processo para:

(a) identificar riscos de negócio relevantes que afetam as demonstrações contábeis;

(b) estimar a significância dos riscos;

(d) decidir sobre ações em resposta a esses riscos (ver item A87).

16. Se a entidade estabeleceu tal processo (daqui em diante, "processo de avaliação de risco da entidade"), o auditor deve obter entendimento desse processo e de seus resultados. Se o auditor identificar riscos de distorção relevante que a administração deixou de identificar, o auditor deve avaliar se havia risco subjacente, do tipo que o auditor esperava que fosse identificado pelo processo de avaliação de risco da entidade. Se houver tal risco, o auditor deve obter entendimento do por que o processo deixou de identificá-lo e deve avaliar se o processo é apropriado às suas circunstâncias ou deve determinar se há uma deficiência significativa nos controles internos relacionados ao processo de avaliação de risco da entidade.

17. Se a entidade não estabeleceu tal processo ou se possui processo informal, o auditor deve discutir com a administração se os riscos de negócio relevantes que afetam as demonstrações contábeis foram identificados e como foram tratados. O auditor deve avaliar se a ausência de processo de avaliação de risco documentado é apropriada nas circunstâncias ou determinar se a ausência de tal documentação representa uma deficiência significativa no controle interno (ver item A88).

Sistema de informação, incluindo processos de negócio relacionados, relevantes para as demonstrações contábeis e sua comunicação

18. O auditor deve obter entendimento do sistema de informação, inclusive dos processos de negócio relacionados, relevantes para as demonstrações contábeis, incluindo as seguintes áreas:

(a) as classes de transações nas operações da entidade que sejam significativas para as demonstrações contábeis;

(b) os procedimentos, tanto de tecnologia de informação (TI) quanto de sistemas manuais, pelos quais essas transações são iniciadas, registradas, processadas, corrigidas conforme a necessidade, transferidas para o razão geral e divulgadas nas demonstrações contábeis;

(c) os respectivos registros contábeis, informações-suporte e contas específicas nas demonstrações contábeis utilizados para iniciar, registrar, processar e reportar transações; isto inclui a correção de informações incorretas e a maneira como as informações são transferidas para o razão geral. Os registros podem estar em forma manual ou eletrônica;

(d) como o sistema de informações captura eventos e condições que são significativos para as demonstrações contábeis, que não sejam transações;

(e) o processo usado para elaborar as demonstrações contábeis da entidade, inclusive estimativas e divulgações contábeis significativas; e

(f) controles em torno de lançamentos de diário, inclusive lançamentos de diário não rotineiros usados para registrar transações ou ajustes não usuais (ver itens A89 a A93).

19. O auditor deve obter entendimento de como a entidade comunica as funções e responsabilidades sobre as demonstrações contábeis e assuntos significativos relacionados com essas demonstrações, incluindo (ver itens A94 e A95):

(a) comunicações entre a administração e os responsáveis pela governança; e

(b) comunicações externas, tais como as comunicações com os órgãos reguladores.

Atividades de controle relevantes para a auditoria

20. O auditor deve obter entendimento das atividades de controle relevantes para a auditoria, que são aquelas que o auditor julga necessário entender para avaliar os riscos de distorção relevante no nível da afirmação e desenhar procedimentos adicionais de auditoria em resposta aos riscos avaliados. A auditoria não requer entendimento de todas as atividades de controle relacionadas a cada classe significativa de transações, saldo de conta e divulgação nas demonstrações contábeis ou a toda afirmação relevante nessas demonstrações (ver itens A96 a A102).

21. No entendimento das atividades de controle da entidade, o auditor deve obter entendimento de como a entidade respondeu aos riscos decorrentes de TI (ver itens A103 a A105).

Monitoramento dos controles

22. O auditor deve obter entendimento das principais atividades que a entidade utiliza para monitorar o controle interno relevante para as demonstrações contábeis, inclusive àquelas relacionadas às atividades de controle relevantes para a auditoria e como a entidade inicia ações corretivas para as deficiências nos seus controles (ver itens A106 a A108).

23. Se a entidade tem auditoria interna (ver definição no item 14 da NBC TA 610 - Utilização do Trabalho de Auditoria Interna), o auditor independente deve obter entendimento da natureza das responsabilidades da auditoria interna, da sua posição hierárquica na organização e das atividades executadas ou a serem executadas (ver itens A109 a A116).

24. O auditor deve obter entendimento das fontes das informações usadas nas atividades de monitoramento da entidade e do embasamento sobre o qual a administração considera as informações suficientemente confiáveis para esse propósito (ver item A117).

Identificação e avaliação dos riscos de distorção relevante

25. O auditor deve identificar e avaliar os riscos de distorção relevante:

(a) no nível das demonstrações contábeis (ver itens A118 a A121); e

(b) no nível de afirmação para classes de transações, saldos de conta e divulgações (ver itens A122 a A126);

para fornecer uma base para a concepção e a execução de procedimentos adicionais de auditoria.

26. Para este propósito, o auditor deve:

(a) identificar riscos ao longo de todo o processo de obtenção do entendimento da entidade e do seu ambiente, inclusive controles relevantes relacionados com os riscos, e considerando as classes de transações, saldos de contas e divulgações nas demonstrações contábeis (ver itens A127 e A128);

(b) avaliar os riscos identificados e avaliar se eles se relacionam de forma generalizada às demonstrações contábeis como um todo e afetam potencialmente muitas afirmações;

(c) relacionar os riscos identificados àquilo que pode dar errado no nível da afirmação, levando em conta os controles relevantes que o auditor pretende testar (ver itens A129 a A131); e

(d) considerar a probabilidade de distorção, inclusive a possibilidade de múltiplas distorções, e se a distorção potencial é de magnitude que possa resultar em distorção relevante.

Risco que exige consideração especial da auditoria 27. Como parte da avaliação de riscos descrita no item 25, o auditor deve determinar se qualquer um dos riscos identificados é, no seu julgamento, um risco significativo. Ao exercer esse julgamento, o auditor deve excluir os efeitos dos controles identificados relacionados ao risco.

28. Ao exercer o julgamento quanto a quais riscos são significativos, o auditor deve considerar pelo menos o seguinte:

(a) se o risco é um risco de fraude;

(b) se o risco está relacionado com recentes e significativos eventos de natureza econômica, contábil ou de outro tipo, e que, portanto, exijam atenção específica;

(d) se o risco envolve transações significativas com partes relacionadas;

(e) o grau de subjetividade na mensuração das informações contábeis relacionadas ao risco, especialmente as mensurações que envolvam uma vasta gama de incerteza de mensuração; e

(f) se o risco envolve transações significativas que estejam fora do curso normal do negócio para a entidade ou que de outra forma pareçam não usual (ver itens A132 a A136).

29. Se o auditor determinou que existe risco significativo, o auditor deve obter entendimento dos controles da entidade, inclusive das atividades de controle, relevantes para esse risco (ver itens A137 a A139).

Risco para o qual procedimentos substantivos sozinhos não fornecem evidências de auditoria suficientes e apropriadas

30. No que diz respeito a alguns riscos, o auditor pode julgar que não é possível ou praticável obter evidências de auditoria suficientes e apropriadas apenas a partir de procedimentos substantivos.

Tais riscos podem relacionar-se com registro impreciso ou incompleto de classes de transações rotineiras e significativas ou saldos de contas, cujas características frequentemente permitem processamento altamente automatizado, com pouca ou nenhuma intervenção manual.

Em tais casos, os controles da entidade sobre esses riscos são relevantes para a auditoria e o auditor deve obter entendimento deles (ver itens A140 a A142).

Revisão da avaliação de risco

31. A avaliação pelo auditor dos riscos de distorção relevante no nível da afirmação pode mudar durante o curso da auditoria, à medida que evidências adicionais de auditoria são obtidas. Nas circunstâncias em que o auditor obtém evidências de auditoria executando procedimentos adicionais, ou se são obtidas novas informações, incompatíveis com as evidências de auditoria em que o auditor originalmente baseou a avaliação, o auditor deve revisar a avaliação e, portanto, modificar os procedimentos adicionais de auditoria planejados (ver item A143).

Documentação

32. O auditor deve incluir na documentação de auditoria (NBC TA 230 - Documentação de Auditoria, itens 8 a 11 e A6):

(a) a evidência da discussão entre os componentes da equipe encarregada do trabalho, quando requerido pelo item 10, e as decisões significativas alcançadas;

(b) os elementos-chave do entendimento obtido referentes a cada um dos aspectos da entidade e do seu ambiente especificados no item 11 e de cada um dos componentes do controle interno especificados nos itens 14 a 24; as fontes de informações a partir das quais foi obtido o entendimento; e os procedimentos de avaliação de riscos executados;

(d) os riscos identificados e os controles relacionados a respeito dos quais o auditor tenha obtido entendimento, como resultado dos requisitos dos itens 27 a 30 (ver itens A144 a A147).

Vigência

33. Esta Norma entra em vigor na data de sua publicação, aplicando-se aos trabalhos contratados a partir dessa data e revoga a Resolução CFC nº 1.212/09, publicada no D.O.U., Seção I, de 4/12/09.

JOSÉ MARTONIO ALVES COELHO

Presidente do Conselho