D.O.U.: 03.12.2009
Aprova a NBC TA 402 - Considerações de Auditoria para a Entidade que Utiliza Organização Prestadora de Serviços.
O CONSELHO FEDERAL DE CONTABILIDADE, no exercício de suas atribuições legais e regimentais,
CONSIDERANDO o processo de convergência das Normas Brasileiras de Contabilidade aos padrões internacionais;
CONSIDERANDO que o Conselho Federal de Contabilidade é membro associado da IFAC - Federação Internacional de Contadores;
CONSIDERANDO a Política de Tradução e Reprodução de Normas, emitida pela IFAC em dezembro de 2008;
CONSIDERANDO que a IFAC, como parte do serviço ao interesse público, recomenda que seus membros e associados realizem a tradução das suas normas internacionais e demais publicações;
CONSIDERANDO que mediante acordo firmado entre as partes, a IFAC autorizou, no Brasil, como tradutores das suas normas e publicações, o Conselho Federal de Contabilidade e o IBRACON - Instituto dos Auditores Independentes do Brasil;
CONSIDERANDO que a IFAC, conforme cessão de direitos firmado, outorgou aos órgãos tradutores os direitos de realizar a tradução, publicação e distribuição das normas internacionais impressas e em formato eletrônico, resolve:
Art. 1º Aprovar a NBC TA 402 - "Considerações de Auditoria para a Entidade que Utiliza Organização Prestadora de Serviços", elaborada de acordo com a sua equivalente internacional ISA 402.
Art. 2º Esta Resolução entra em vigor nos exercícios iniciados em ou após 1º. de janeiro de 2010.
Art. 3º Observado o disposto no art. 3º da Resolução CFC nº 1.203/09, ficam revogadas a partir de 1º de janeiro de 2010 as disposições em contrário nos termos do art. 4º da mesma resolução.
NORMAS BRASILEIRAS DE CONTABILIDADE
NBC TA 402 - CONSIDERAÇÕES DE AUDITORIA PARA A ENTIDADE QUE UTILIZA ORGANIZAÇÃO PRESTADORA DE SERVIÇOS
Introdução
Alcance
1. Esta Norma trata da responsabilidade do auditor da usuária dos serviços em obter evidência de auditoria apropriada e suficiente quando a entidade utiliza os serviços de uma ou mais organizações prestadoras de serviços. Especificamente, esta Norma expande a explicação de como o auditor da usuária dos serviços aplica as NBC TAs 315 e a 330 na obtenção do entendimento da entidade que utilizar uma organização prestadora de serviços, incluindo o entendimento do controle interno que seja relevante para a auditoria, suficiente para identificar e avaliar os riscos de distorção relevante, e no planejamento e na execução de procedimentos adicionais de auditoria que respondam a esses riscos.
2. Muitas entidades terceirizam aspectos de seu negócio a organizações que prestam serviços desde a execução de tarefa específica, sob a orientação da entidade, até a substituição de unidades inteiras de seu negócio ou funções, como a função de conformidade fiscal (compliance). Muitos dos serviços prestados por essas organizações fazem parte das operações de negócios da entidade; entretanto, nem todos esses serviços são relevantes para a auditoria.
3. Os serviços prestados por uma organização prestadora de serviços são relevantes para a auditoria das demonstrações contábeis da entidade quando esses serviços, e os controles sobre eles, fazem parte do sistema de informações da entidade usuária de tais serviços, incluindo os respectivos processos de negócio, relevante para a ela boração das demonstrações e dos relatórios contábeis. Embora a maioria dos controles da organização prestadora de serviços esteja provavelmente relacionada à elaboração de relatórios contábeis, pode haver outros controles que também podem ser relevantes para a auditoria, como controles sobre a salvaguarda de ativos. Os serviços prestados por uma organização prestadora de serviços são parte do sistema de informações da entidade usuária desses serviços (doravante entidade usuária ou entidade), e inclui os respectivos processos de negócio, relevante para a elaboração de relatórios contábeis se esses serviços afetam algum dos elementos a seguir:
(a) as classes de transações nas operações da entidade usuária que são significativas para as suas demonstrações contábeis;
(b) os procedimentos, envolvendo os sistemas de tecnologia da informação (TI) e sistemas manuais, pelos quais as transações da entidade usuária são iniciadas, registradas, processadas, corrigidas conforme necessário e divulgadas nas demonstrações contábeis;
(c) os respectivos registros contábeis, sejam na forma eletrônica ou manual, que suportam as informações e contas específicas nas demonstrações contábeis da entidade usuária, que são usadas para iniciar, registrar, processar e comunicar as transações dessa entidade, incluindo a correção de informações incorretas e como as informações são transferidas para o razão geral;
(d) como o sistema de informações da entidade usuária captura os eventos e as condições, além de transações, que são significativas para as demonstrações contábeis;
(e) o processo de relatórios financeiros usado para elaborar as demonstrações contábeis da entidade usuária, incluindo estimativas contábeis e divulgações significativas; e
(f) controles sobre os lançamentos no livro diário, incluindo lançamentos fora do padrão usados para registrar transações ou ajustes não usuais ou não recorrentes.
4. A natureza e a extensão do trabalho a ser executado pelo auditor da usuária em relação aos serviços prestados por uma organização prestadora de serviços dependem da natureza e importância desses serviços para a entidade usuária e da relevância desses serviços para a auditoria.
5. Esta Norma não se aplica a serviços prestados por instituições financeiras que são limitados ao processamento de transações, para uma conta da entidade mantida na instituição financeira, que são especificamente autorizadas pela entidade, como o processamento de transações de conta corrente por um banco ou o processamento de operações com títulos e valores mobiliários por um corretor. Além disso, esta Norma não se aplica à auditoria de transações decorrentes de direitos de propriedade financeira em outras entidades, como sociedades, corporações e sociedades de controle compartilhado, quando os direitos de propriedade são contabilizados e reportados aos titulares dos direitos.
Data de vigência
6. Esta Norma é aplicável a auditorias de demonstrações contábeis para períodos iniciados em ou após 1º de janeiro de 2010.
Objetivo
7. Os objetivos do auditor da usuária, quando a entidade usuária utiliza os serviços de uma organização prestadora de serviços, são:
(a) obter entendimento da natureza e importância dos serviços prestados pela organização prestadora de serviços e seus efeitos sobre o controle interno da entidade usuária para a auditoria, suficiente para identificar e avaliar os riscos de distorção relevante; e
(b) planejar e executar procedimentos adicionais de auditoria que respondam a esses riscos.
Definições
8. Para fins das normas de auditoria, os termos a seguir têm os seguintes significados:
Controles complementares da entidade usuária são controles que a organização prestadora de serviços assume que serão implementados pelas entidades usuárias, por ocasião do projeto de seu serviço, e que, caso seja necessário para alcançar os objetivos de controle, são identificados na descrição do sistema da entidade usuária.
Relatório sobre a descrição e desenho de controles em uma organização prestadora de serviços (denominado nesta Norma como Relatório Tipo 1) é um relatório que contém:
(a) uma descrição, elaborada pela administração da organização prestadora de serviços, do seu sistema, dos objetivos de controle e dos respectivos controles que foram planejados ou desenhados e implementados em uma data específica; e
(b) a opinião do auditor dessa organização prestadora de serviços com o objetivo de transmitir segurança razoável sobre: a descrição do sistema da organização, os objetivos de controle, assim como os respectivos controles e a adequação do desenho ou planejamento dos controles para alcançar os objetivos de controle especificados.
Relatório sobre a descrição, desenho e efetividade operacional de controles em uma organização prestadora de serviços (denominado nesta Norma como Relatório Tipo 2) é um relatório que contém:
(a) uma descrição, elaborada pela administração da organização prestadora de serviços, do sistema da organização, dos objetivos do controle, assim como os respectivos controles, de seu desenho e implementação em uma data específica ou durante um período especificado e, em alguns casos, de sua efetividade operacional durante um período especificado; e
(b) um relatório adicional emitido pelo auditor da organização prestadora de serviços com o objetivo de transmitir segurança razoável, que inclui:
(i) opinião do auditor da organização prestadora de serviços sobre a descrição do sistema dessa organização, os objetivos de controle, assim como dos respectivos controles, a adequação do desenho dos controles para alcançar os objetivos do controle especificados e sobre sua efetividade operacional; e
(ii) descrição dos testes de controles aplicados pelo auditor da organização prestadora de serviços e os respectivos resultados.
Auditor da organização prestadora de serviços é um auditor que, por solicitação da organização prestadora de serviços, fornece um relatório de asseguração sobre os controles dessa organização.
Organização prestadora de serviços é uma organização terceirizada (ou segmento de uma organização terceirizada) que presta serviços a entidades usuárias (dos serviços), os quais fazem parte dos sistemas de informações relevantes para o processo de elaboração de demonstrações contábeis dessas entidades usuárias.
Sistema da organização da prestadora de serviços compreende as políticas e os procedimentos desenhados ou planejados, implementados e mantidos pela organização prestadora de serviços para prestar os serviços cobertos pelo relatório do auditor da organização prestadora de serviços.
Organização subcontratada para prestação de serviços é a organização prestadora de serviços subcontratada por outra organização prestadora de serviços para executar alguns dos serviços às entidades usuárias, os quais fazem parte dos sistemas de informações relevantes das entidades que utilizam esses serviços para o processo de elaboração de demonstrações contábeis.
Auditor da usuária é o auditor que examina e emite relatório sobre as demonstrações contábeis da entidade usuária dos serviços terceirizados.
Entidade usuária é a entidade que utiliza uma organização prestadora de serviços e cujas demonstrações contábeis estão sendo auditadas. Nesta Norma, os termos "entidade" ou "entidade usuária" são apresentados para se referir à entidade usuária dos serviços prestados por uma organização.
Requisitos
Obtenção de entendimento dos serviços prestados por uma organização prestadora de serviços, incluindo controle interno
9. Quando obtiver o entendimento da entidade de acordo com a NBC TA 315, item 11, o auditor da usuária deve obter entendimento de como a entidade usuária utiliza os serviços prestados pela organização prestadora de serviços nas suas operações, incluindo (ver itens A1 e A2):
(a) a natureza dos serviços prestados pela organização prestadora de serviços e a importância desses serviços para a entidade usuária, incluindo o respectivo efeito sobre o seu controle interno (ver itens A3 a A5);
(b) a natureza e a materialidade das transações processadas, contas ou os processos de elaboração de relatórios contábeis afetados pela organização prestadora de serviços (ver item A6);
(c) o grau de interação entre as atividades da organização prestadora de serviços e aquelas da entidade usuária (ver item A7); e
(d) a natureza da relação entre a entidade usuária e a organização prestadora de serviços, incluindo os termos contratuais relevantes para as atividades assumidas pela organização prestadora de serviços (ver itens A8 a A11).
10. Quando obtiver entendimento do controle interno, relevante para a auditoria, de acordo com a NBC TA 315, item 12, o auditor da usuária deve avaliar o desenho e implementação dos controles relevantes na entidade usuária referentes aos serviços prestados pela organização prestadora de serviços, incluindo os que são aplicados às transações processadas por essa organização (ver itens A12 a A14).
11. O auditor da usuária deve determinar se foi obtido entendimento suficiente da natureza e importância dos serviços prestados pela organização prestadora de serviços e seu efeito sobre o controle interno da entidade usuária para a auditoria, para fornecer uma base para a identificação e a avaliação dos riscos de distorção relevante.
12. Se o auditor da usuária não conseguir obter entendimento suficiente da entidade usuária, ele deve obter esse entendimento por meio de um ou mais dos seguintes procedimentos (ver itens A15 a A20):
(a) obter o Relatório Tipo 1 ou Relatório Tipo 2, caso esteja disponível;
(b) entrar em contato com a organização prestadora de serviços, por meio da entidade usuária, para obter informações específicas;
(c) visitar a organização prestadora de serviços e executar procedimentos que fornecerão as informações necessárias sobre os controles relevantes daquela organização; ou
(d) utilizar outro auditor para executar procedimentos que fornecerão as informações necessárias sobre os controles relevantes da organização prestadora de serviços.
Utilização do Relatório Tipo 1 ou Relatório Tipo 2 para permitir o entendimento da organização prestadora de serviços pelo auditor da usuária
13. Ao determinar a suficiência e a adequação da evidência de auditoria fornecida pelo Relatório Tipo 1 ou Relatório Tipo 2, o auditor da usuária deve estar satisfeito quanto à (ver item A21):
(a) competência profissional do auditor da organização prestadora de serviço e sua independência junto àquela organização; e
(b) adequação das normas segundo as quais foi emitido o Relatório Tipo 1 ou Tipo 2.
14. Se o auditor da usuária planeja utilizar o Relatório Tipo 1 ou Relatório Tipo 2 como evidência de auditoria para permitir o seu entendimento sobre o desenho e implementação dos controles na organização prestadora de serviços, o auditor deve (ver itens A22 e A23):
(a) avaliar a descrição e o desenho dos controles da organização prestadora de serviços para uma data ou para um período apropriado aos objetivos do auditor da usuária;
(b) avaliar a suficiência e adequação da evidência fornecida pelo relatório para o entendimento do controle interno da entidade usuária para a auditoria; e
(c) determinar se os controles complementares da entidade usuária, identificados pela organização prestadora de serviços, são relevantes para a entidade usuária e, em caso positivo, obter entendimento se a entidade usuária elaborou e implementou esses controles.
Respostas aos riscos avaliados de distorção relevante
15. Ao responder aos riscos avaliados de acordo com a NBC TA 330, o auditor da usuária deve (ver itens A24 a A28):
(a) determinar se há evidência de auditoria apropriada e suficiente disponível sobre as afirmações relevantes das demonstrações contábeis nos registros mantidos na entidade usuária; e
(b) em caso negativo, executar procedimentos adicionais de auditoria para obter evidência de auditoria apropriada e suficiente ou utilizar outro auditor para realizar esses procedimentos na organização prestadora de serviços em seu nome.
Testes de controles
16. Quando a avaliação de riscos do auditor da usuária inclui uma expectativa de que os controles da organização prestadora de serviços estão operando de maneira efetiva, ele deve obter evidência de auditoria sobre a efetividade operacional desses controles por meio de um ou mais dos seguintes procedimentos (ver itens A29 e A30):
(a) obter o Relatório Tipo 2, caso esteja disponível;
(b) executar testes de controles na organização prestadora de serviços; ou
(c) utilizar outro auditor para executar testes de controles na organização prestadora de serviços em seu nome.
Utilização do Relatório Tipo 2 como evidência de auditoria de que os controles da organização prestadora de serviços estão operando de maneira efetiva
17. Se, de acordo com o item 16(a), o auditor da usuária planeja utilizar o Relatório Tipo 2 como evidência de auditoria de que os controles da organização prestadora de serviços estão operando de maneira efetiva, o auditor da usuária deve determinar se o relatório do auditor da organização prestadora de serviços fornece evidência de auditoria apropriada e suficiente sobre a eficácia dos controles para suportar sua avaliação de riscos mediante (ver itens A31 a A39):
(a) avaliar se a descrição, o desenho e a efetividade operacional dos controles da organização prestadora de serviços para uma data ou para um período que seja apropriado aos objetivos do auditor da usuária;
(b) determinar se os controles complementares da entidade usuária identificados pela organização prestadora de serviços são relevantes para a entidade usuária e, em caso positivo, obtenção de entendimento de se a entidade desenhou e implementou esses controles e, em caso positivo, teste sua efetividade operacional;
(c) avaliar a adequação do período coberto pelos testes de controles e o do tempo decorrido desde a realização dos testes de controles; e
(d) avaliar se os testes de controles executados pelo auditor da organização prestadora de serviços e os respectivos resultados, conforme descrito no seu relatório, são relevantes para as afirmações nas demonstrações contábeis da entidade usuária e fornecem evidência de auditoria apropriada e suficiente para suportar a avaliação de riscos do auditor da usuária.
Relatório Tipo 1 e Relatório Tipo 2 que excluem os serviços de uma organização subcontratada para prestação de serviços
18. Se o auditor da usuária planeja utilizar o Relatório Tipo 1 ou Relatório Tipo 2 que exclui os serviços de uma organização subcontratada para prestação de serviços e esses serviços são relevantes para a auditoria das demonstrações contábeis da entidade usuária, o auditor deve aplicar os requisitos desta Norma para os serviços prestados pela organização subcontratada (ver item A40).
Fraude, não conformidade com leis e regulamentos e distorções não corrigidas em relação às atividades na organização prestadora de serviços
19. O auditor da usuária deve indagar à administração da entidade usuária se a organização prestadora de serviços comunicou à entidade usuária, ou se essa entidade tomou conhecimento de outra forma, sobre qualquer fraude, não conformidade com leis e regulamentos ou distorções não corrigidas que afetam suas demonstrações contábeis. O auditor deve avaliar como esses assuntos afetam a natureza, a época e a extensão dos seus procedimentos adicionais de auditoria, incluindo o efeito sobre as suas conclusões e o seu relatório (ver item A41).
Emissão de relatório pelo auditor da usuária dos serviços
20. O auditor da usuária deve modificar sua opinião no relatório de auditoria de acordo com a NBC TA 705, item 6, se o auditor não conseguir obter evidência de auditoria apropriada e suficiente para a auditoria das demonstrações contábeis da entidade usuária em relação aos serviços prestados pela organização prestadora de serviços (ver item A42).
21. O auditor da usuária não deve fazer referência ao trabalho do auditor da organização prestadora de serviços no seu relatório que contenha uma opinião não modificada, a menos que requerido por lei ou regulamento. Se essa referência for requerida por lei ou regulamento, o relatório do auditor da usuária deve indicar que a referência não reduz a sua responsabilidade pela opinião de auditoria (ver item A43).
22. Se a referência ao trabalho do auditor da organização prestadora de serviços é relevante para o entendimento da modificação na opinião do auditor da usuária, o seu relatório deve indicar que essa referência não reduz sua responsabilidade por essa opinião (ver item A44).
CONTADORA MARIA CLARA CAVALCANTE BUGARIM
Presidente
