Embed Size (px)
Citation preview
www.acasadoconcurseiro.com.br
Auditoria
Avaliação de Riscos
Professor Marcelo Spilki
www.acasadoconcurseiro.com.br 3
Auditoria
IDENTIFICAÇÃO E AVALIAÇÃO DE RISCOS
Avaliação de Riscos
Risco de auditoria é o risco de que o auditor expresse uma opinião de auditoria inadequada.
Está relacionado de forma inversamente proporcional à segurança pretendida para o trabalho de auditoria, ou seja, quanto maior o risco, menor será a segurança do auditor e quanto menor o risco, maior será a segurança do trabalho.
Se um auditor decidir que a segurança razoável deve ser de 99% de chance de que as demonstrações financeiras não contêm distorções relevantes, o risco de auditoria será de 1%; se ele decidir que é de 95%, o risco de auditoria será de 5%.
Na prática, o risco de auditoria é inevitável.
O auditor deve decidir qual o tamanho do risco que ele está disposto a tolerar para chegar uma conclusão sobre o objeto da auditoria.
Os únicos riscos que o auditor controla são o de detecção (RD) e, por meio deste, o de auditoria (RA) já que o risco de distorção relevante (RDR), que é composto pelos riscos inerente (RI) e de controle (RC), são riscos da administração da entidade.
Portanto, cabe ao auditor determinar o nível de risco de detecção aceitável para manter o risco de auditoria no nível estabelecido para o trabalho.
www.acasadoconcurseiro.com.br4
Para reduzir o RA a um nível aceitavelmente baixo, o auditor:
a. avalia os RDR, que envolve o RI e o RC e
b. controla o RD estabelecendo a extensão (quantidade ou amostra) de procedimentos substantivos necessários, bem como a natureza e a época em que os procedimentos deverão ser realizados. Controlar o RD significa realizar procedimentos substantivos que respondam adequadamente aos riscos de distorção relevante identificados no nível das demonstrações financeiras e no nível das afirmações acerca de classes de transações, saldos contábeis, apresentação e divulgações.
Procedimentos de Avaliação de Risco
A finalidade dos procedimentos de avaliação de riscos é a identificação e avaliação de riscos de distorção relevante, seja por erro ou fraude, nas demonstrações financeiras e nas afirmações sobre classes de transações, saldos de contas e divulgações, objetivando formar uma base para que o auditor decida sobre as respostas gerais e específicas que adotará, em relação aos riscos de distorção relevante avaliados como significativos, para manter o risco de auditoria em um nível aceitavelmente baixo.
Os procedimentos de avaliação de riscos incluem:
• os procedimentos para obtenção do entendimento da entidade e do seu ambiente, inclusive do controle interno, denominados procedimentos preliminares de avaliação de risco; e
• os procedimentos para identificação e avaliação dos riscos inerente e de controle nos ciclos de transações ou processos relacionados às afirmações relevantes, denominados, em conjunto, como processo de identificação e avaliação dos riscos de distorção relevante.
Com base nos procedimentos preliminares de avaliação de riscos, o auditor determina os referenciais de materialidade que serão utilizados como referência para determinar a significância dos riscos no processo de identificação e avaliação dos riscos de distorção relevante.
Os procedimentos de avaliação de riscos seguem uma abordagem de cima para baixo (top-down), em que o auditor identifica e avalia riscos e controles percorrendo um caminho do geral para o específico, isto é, do nível da entidade para o nível das atividades (transações).
É essa a abordagem que o auditor utiliza para a identificação e avaliação dos riscos de distorções relevantes no nível das demonstrações financeiras como um todo e no nível de afirmações para classes de transações, saldos de contas e divulgações.
Auditoria – Avaliação de Riscos – Prof. Marcelo Spilki
www.acasadoconcurseiro.com.br 5
Riscos de distorção relevante no nível das demonstrações financeiras são aqueles que podem afetar muitas afirmações e, portanto, se relacionam de forma generalizada às demonstrações financeiras como um todo (ISSAI 200).
Em geral estão associados a um ambiente de controle deficiente, a dúvidas quanto à integridade ou à competência do pessoal da entidade, sobretudo dos seus administradores, à falta de confiabilidade nos registros e outras circunstâncias que podem gerar ressalvas na opinião do auditor.
A identificação dos riscos no nível das demonstrações financeiras pode ser especialmente relevante para as considerações do auditor sobre riscos de distorções decorrentes de fraude.
Os riscos desse nível não podem ser atribuídos a afirmações específicas sobre classes de transações, saldo de contas ou nível de divulgação, mas representam circunstâncias que podem aumentar os riscos de distorção relevante em tais afirmações. É o caso, por exemplo, de riscos que podem decorrer do fato de controles serem burlados pela administração.
Com base nos riscos identificados de distorção relevante no nível das demonstrações financeiras, o auditor toma decisões quanto às respostas gerais, tais como:
• enfatizar para a equipe de auditoria a necessidade de manter ceticismo profissional;
• designar membros para a equipe com mais experiência ou com habilidades especiais para lidar com os riscos identificados ou usar especialistas;
• exercer uma supervisão mais intensa;
• efetuar alterações gerais na natureza, época ou extensão dos procedimentos de auditoria e incorporar neles elementos de imprevisibilidade.
www.acasadoconcurseiro.com.br6
As respostas gerais devem estar refletidas na estratégia global de auditoria.
Riscos de distorção relevante no nível das afirmações representam a probabilidade de distorção relevante devido às características particulares de classes de transações, saldos de contas e divulgações.
Devem ser identificados e avaliados para determinar a natureza, época e extensão dos procedimentos de auditoria para a obtenção de evidências no nível das afirmações. Contudo, o auditor pode concluir que os riscos de distorção relevante no nível das afirmações também podem se relacionar de forma generalizada às demonstrações financeiras como um todo e potencialmente afetar muitas afirmações.
Os riscos de distorção relevante no nível das afirmações irão determinar as respostas específicas em termos da natureza, época e extensão dos procedimentos adicionais de auditoria, que devem estar refletidas no plano de auditoria.
A equipe de auditoria realiza procedimentos de avaliação de riscos com vistas a:
a. obter entendimento sobre os negócios da entidade e do seu ambiente, inclusive do controle interno;
b. identificar saldos de contas, transações, correlações e tendências que possam indicar riscos de distorção relevante, incluindo riscos de fraude;
c. determinar a natureza, extensão e época dos procedimentos de auditoria a serem realizados.
Esses procedimentos de avaliação de riscos compreendem:
a. indagações aos responsáveis pela governança, gestores e pessoal que possa ter informações sobre os negócios da entidade e o seu ambiente, inclusive do controle interno;
b. procedimentos analíticos para identificar correlações e tendências que possam indicar riscos de distorção relevante, incluindo eventuais riscos de fraude, e exercitar julgamentos para determinação da materialidade.
c. observações e inspeções visando à tomada de decisões sobre riscos e controles internos relevantes para auditoria, incluindo os sistemas de informação da entidade.
Auditoria – Avaliação de Riscos – Prof. Marcelo Spilki
www.acasadoconcurseiro.com.br 7
Técnicas de auditoria mais utilizadas para a procedimentos de avaliação de riscos:
Indagações devem abranger os assuntos que, no entendimento do auditor, possam gerar riscos à entidade, e as pessoas que possam trazer informações úteis ao propósito de avaliar riscos.
Em geral, a maior parte das informações é obtida da própria administração e dos responsáveis pela governança, mas não se limitam a eles.
Indagações a outros responsáveis da entidade e a empregados de diferentes níveis de autoridade podem fornecer perspectivas diferentes e informações adicionais e úteis ao processo de identificação de riscos que, de outra forma, podem não ser identificados. Ex: pessoal de auditoria interna, funcionários envolvidos nos procedimentos de início, processamento ou registro das transações complexas e não usuais da entidade, departamento jurídico.
Indagações, isoladamente, não produzem evidências suficientes e apropriadas para suportar as conclusões do auditor. Portanto, outros procedimentos de auditoria devem ser executados em complemento às indagações para proporcionar mais segurança para as conclusões da auditoria. Ex: indagação combinada com inspeção, observação, reexecução, recálculo, etc.
Procedimentos analíticos consistem em avaliações de informações por meio de análise das relações plausíveis entre dados financeiros e não financeiros. Compreendem, também, o exame de flutuações ou relações identificadas que são inconsistentes com outras informações relevantes ou que diferem significativamente de valores esperados. Basicamente, consistem em fazer comparações de informações contábeis e financeiras da entidade com períodos anteriores, com resultados previstos, tais como orçamentos ou previsões e expectativas do auditor, ou ainda com informações de entidades do mesmo setor de atividade.
Podem incluir informações financeiras ou não financeiras, tais como:
• relação entre o valor orçado e executado ou relação entre o nível de execução física e financeira do orçamento;
• receita tributária e o crescimento econômico;
www.acasadoconcurseiro.com.br8
• despesa previdenciária e o número de beneficiários;
• despesa com inativos e o número de inativos.
Os procedimentos analíticos mais básicos são as análises verticais e horizontais das contas contábeis que compõem as demonstrações financeiras, bem como de contas selecionadas para averiguação da evolução ou desdobradas para avaliação da composição.
Procedimentos analíticos realizados na fase de planejamento para avaliação de risco podem identificar aspectos da entidade que o auditor não tinha conhecimento, auxiliando-o na avaliação de risco de erros relevantes.
Relações não usuais ou inesperadas identificadas podem auxiliar o auditor na identificação de riscos de distorção relevante, especialmente riscos de distorção relevante por fraude.
Em geral, os procedimentos analíticos só fornecem um aviso de que algo parece estar errado, mas por si só não oferecem evidência de auditoria suficiente, relevante e confiável, apenas aponta o caminho de uma possível distorção.
Quando se usam dados agregados (como no planejamento), os resultados dos procedimentos analíticos somente fornecem uma indicação inicial ampla sobre uma possível distorção. É necessário considerar outras fontes de informação e evidências para concluir sobre a existência ou não de um risco relevante.
Se os procedimentos analíticos indicarem flutuações ou relações que são inconsistentes com outras informações e evidências ou que diferem dos valores esperados de maneira significativa, o auditor deve examinar e/ou investigar as diferenças por meio de indagação à administração e aos responsáveis, bem como por meio da aplicação de outros procedimentos de auditoria, conforme julgar necessário nas circunstâncias.
Síntese de como utilizar os procedimentos analíticos preliminares
Auditoria – Avaliação de Riscos – Prof. Marcelo Spilki
www.acasadoconcurseiro.com.br 9
Observação e inspeção
Observação consiste no exame de processo ou de procedimento executado por outros, por exemplo, a observação, pelo auditor, da contagem do estoque pelos empregados da entidade ou da execução das atividades de controle interno. Embora a observação forneça evidência de auditoria a respeito da execução de processo ou procedimento, tal evidência é limitada a um ponto no tempo em que a observação ocorreu e pelo fato de que a observação do auditor, em dado momento, pode afetar a maneira como o processo ou o procedimento é executado.
Geralmente fornece evidência altamente confiável, pois é aplicada quando o auditor está presente para observar os acontecimentos. Entretanto, não fornece prova cabal de que processos, controles e atividades operam da mesma maneira em qualquer outro momento. Assim, o auditor deverá complementar os testes de observação com outras evidências a partir de outros procedimentos de avaliação de risco como inspeção.
Inspeção consiste basicamente em dois tipos de exames: de registros e documentos (exame documental) e de ativos tangíveis (inspeção física).
O exame documental avalia, dentre outras coisas, se as transações realizadas estão devidamente documentadas, se a documentação que a suporta é idônea; se a transação e a documentação que a suporta foram autorizadas por pessoas competentes; e se a operação tem pertinência com as atividades da entidade.
Exemplos de inspeção e observação
www.acasadoconcurseiro.com.br10
Fontes de informação para os procedimentos de avaliação de riscos
Fontes externas e internas: As informações para a realização dos procedimentos de avaliação de riscos podem ser obtidas de fontes externas, como a internet e as publicações comerciais; e de fontes internas, como o pessoal-chave e documentos da entidade etc.
Auditorias anteriores: documentação de auditoria, experiência prévia do auditor na entidade e procedimentos executados em auditorias anteriores proporcionam informações importantes para a identificação de riscos, como:
a. distorções passadas e se foram corrigidas tempestivamente;
b. natureza da entidade, do seu ambiente e o controle interno (incluindo suas deficiências);
c. mudanças significativas que a entidade ou suas operações possam ter sofrido desde o período financeiro anterior, que possam auxiliar na obtenção de entendimento suficiente da entidade.
É importante que o auditor determine se as informações obtidas em períodos anteriores continuam relevantes e se pretende usá-las.
No primeiro ano em que o auditor conduz a auditoria, o trabalho necessário para obter e documentar as informações necessárias à realização dos procedimentos de avaliação de riscos exigirá um esforço maior e um período significativo de tempo.
Exemplo de fontes para a identificação de riscos
Auditoria – Avaliação de Riscos – Prof. Marcelo Spilki
www.acasadoconcurseiro.com.br 11
Exemplo de probabilidade x impacto para classificação de níveis de riscos
