Ao emitir uma opinião sobre algo, qualquer pessoa tem a possibilidade de acertar ou errar. No caso de auditores independentes, essa possibilidade está relacionada com a manifestação da sua opinião sobre se as demonstrações contábeis de uma entidade representam adequadamente, em todos os aspectos relevantes, a sua posição patrimonial, financeira e econômica.
Devido à complexidade das informações e o grande número de transações contábeis a serem examinadas na execução de uma auditoria, é inevitável que exista o risco de que erros ou irregularidades existentes nos registros e nas demonstrações contábeis possam não ser detectados pelo auditor durante a execução da auditoria. Estes riscos são conhecidos como riscos de auditoria.
De acordo com a NBC-T-11, risco de auditoria é a possibilidade de o auditor vir a emitir uma opinião tecnicamente inadequada sobre as demonstrações contábeis significativamente incorretas.
De acordo com a NBC-TA-315 - Identificação e avaliação dos riscos de distorção relevante - o auditor deve identificar e avaliar os riscos de distorção relevante, independentemente de ser causada por fraude ou erro, nos níveis de demonstração contábil e afirmações, por meio do entendimento da entidade e do seu ambiente, inclusive do controle interno da entidade, proporcionando assim uma base para o planejamento e a implementação das respostas aos riscos identificados de distorção relevante.
De acordo com a NBC-TA-330 - Respostas do auditor aos riscos avaliados - o auditor deve obter evidência de auditoria apropriada e suficiente relacionada aos riscos avaliados de distorção relevante por meio do planejamento e da implementação de respostas apropriadas a esses riscos.
Na prática risco de auditoria é a possibilidade de o auditor emitir uma opinião equivocada sobre as demonstrações contábeis incorretas, ou seja, concordar com as demonstrações erradas, emitindo um parecer sem ressalva.
Em um processo de auditoria o auditor deve obter o maior nível de certeza possível sobre a exatidão das demonstrações para emitir a sua opinião, de tal forma a restringir o risco de auditoria ao seu menor nível. Por exemplo, se o auditor deseja ter 90% de certeza, então ele estará correndo 10% de risco de auditoria. Existe uma relação inversa entre o risco e a quantidade de evidência necessária para suportar a opinião do auditor, ou seja, se o risco de auditoria é baixo, é necessária grande quantidade de evidência. A lógica é simples: para ter certeza razoável o auditor deve encontrar evidências de sua exatidão. Quanto mais evidências sobre algo, menor a possibilidade de aquele algo estar errado.
Como o auditor responde junto à sociedade pela sua opinião, ele deve no planejamento da auditoria efetuar um estudo acurado sobre as possíveis áreas de risco de auditoria, a fim de que não emita uma opinião equivocada sobre o conjunto das demonstrações contábeis. Quando os erros não são significativos, e consequentemente não invalidam as demonstrações contábeis examinadas, o risco de ser o auditor responsabilizado por sua omissão é pequeno, contudo se o erro ou a fraude for de proporção maior, trazendo prejuízo para os beneficiados pela auditoria, poderá envolvê-lo em processo de responsabilização penal e civil.
O risco de auditoria pode ser considerado relativo, pois ele se manifesta das mais variadas formas, dependendo das transações da empresa. Após a identificação e a classificação dos riscos, ainda no planejamento da auditoria, é necessário avaliar a probabilidade da ocorrência e o impacto econômico-financeiro do risco nas demonstrações contábeis. Devido a essa situação, o auditor, em regra, direciona seus testes para as áreas de maior relevância nas demonstrações.
Relação entre risco de auditoria e relevância
A NBCT 11.6, emitida pelo CFC, estabelece que a relevância dependa da representatividade quantitativa ou qualitativa do item ou da distorção em relação às demonstrações contábeis como um todo ou informação sob análise. Uma informação é relevante se sua omissão ou distorção puder influenciar a decisão dos usuários dessa informação no contexto das demonstrações contábeis.
O que é relevante para uma empresa pode não ser relevante para outra, assim a determinação do que é relevante em uma auditoria é uma questão de julgamento profissional do auditor, que deverá estabelecer um nível de relevância aceitável para permitir a detecção de distorções relevantes. Ao estabelecer um nível de relevância, o auditor estabelece um parâmetro de relevância para a sua auditoria.
Ao definir seu programa de auditoria, após a análise do controle interno e das áreas de risco de auditoria, o auditor independente deve levar em conta quais fatores poderiam resultar em distorções relevantes nas demonstrações contábeis sob exame. A avaliação do auditor independente, quanto à relevância de contas específicas e classes de transações ou divulgações necessárias, ajuda-o a decidir sobre assuntos de planejamento de auditoria, como por exemplo:
a) Quais itens a examinar;
b) Onde aplicar, ou não, amostragem e procedimentos analíticos.
A idéia é que o auditor examine os itens que, se errados, causam um impacto maior na situação patrimonial e financeira da empresa. Isso permite ao auditor independente selecionar procedimentos de auditoria que, combinados, possam reduzir o risco de auditoria a um nível aceitável.
Contudo, como a auditoria é um processo vivo de análise, a avaliação da relevância e dos riscos de auditoria pode diferir entre o planejamento da auditoria e a avaliação dos resultados da aplicação dos procedimentos de auditoria. Isso pode ser causado por uma mudança nas condições do trabalho ou por uma mudança no nível de conhecimento do auditor independente em relação à empresa auditada, em função dos resultados encontrados nos trabalhos de campo.
Existe uma relação inversa entre o risco de auditoria e o nível estabelecido de relevância, isto é, quanto maior for o risco de auditoria, menor será o valor estabelecido como nível de relevância e vice-versa. O auditor independente toma essa relação inversa em conta ao determinar a natureza, época e extensão dos procedimentos de auditoria, ou seja, ao elaborar o seu programa de auditoria. Por exemplo, se na execução de procedimentos específicos de auditoria, o auditor independente determinar que o nível de risco é maior que o previsto na fase de planejamento, o nível de relevância, preliminarmente estabelecido, deve ser reduzido. O auditor independente deve atenuar tal ocorrência por:
Existe uma relação inversa entre o risco de auditoria e o nível estabelecido de relevância, isto é, quanto maior for o risco de auditoria, menor será o valor estabelecido como nível de relevância e vice-versa. O auditor independente toma essa relação inversa em conta ao determinar a natureza, época e extensão dos procedimentos de auditoria, ou seja, ao elaborar o seu programa de auditoria. Por exemplo, se na execução de procedimentos específicos de auditoria, o auditor independente determinar que o nível de risco é maior que o previsto na fase de planejamento, o nível de relevância, preliminarmente estabelecido, deve ser reduzido. O auditor independente deve atenuar tal ocorrência por:
a) Reduzir o nível de risco de controle, onde praticável, e suportar tal redução por meio de ampliação dos testes de observância;
b) Reduzir o risco de detecção via modificação da natureza, época e extensão dos testes substantivos planejados.
b) Reduzir o risco de detecção via modificação da natureza, época e extensão dos testes substantivos planejados.
Para entender a lógica da relação inversa entre o risco de auditoria e a relevância devemos saber:
I. O auditor dever estipular um nível de relevância para as informações auditadas ainda na fase de planejamento;
II. O risco de auditoria, em regra, está relacionado com os itens que não foram examinados, aqueles que não foram selecionados para exames;
III. Para diminuir o risco de auditoria o auditor deve selecionar o item que será examinado, assim ele não ficará sem ser testado;
IV. Quanto maior é a relevância de um item, menor é a possibilidade de ele não ser selecionado; como ele é selecionado ele não fica sem ser testado, assim quanto maior a relevância menor o risco de auditoria.
O normal de uma auditoria é que o planejamento seja efetuado em período anterior ao encerramento das demonstrações contábeis, assim o auditor, embasado nos testes sobre o controle interno, nas informações colhidas junto à administração e na sua experiência, pode estimar o que irá encontrar na auditada. Caso os resultados reais sejam, substancialmente, diferentes dos valores estimados, a relevância quantificada na fase do planejamento e utilizada na execução da auditoria, assim como a avaliação dos riscos de auditoria, podem também mudar, e, dessa forma, requerer julgamento do auditor independente com relação à suficiência dos procedimentos de auditoria até então aplicados.
Devido a possibilidade da variação entre o estimado no planejamento e o encontrado efetivamente na auditoria, o auditor independente pode, no processo de planejamento da auditoria, intencionalmente, estabelecer o nível de relevância num patamar abaixo daquele a ser utilizado para avaliar os resultados da auditoria. Isso pode ser feito para reduzir a probabilidade de existência de distorções não identificadas e para propiciar ao auditor independente uma margem de segurança ao avaliar as distorções identificadas no curso da auditoria.
Tipos de risco de auditoria
O risco de auditoria para fins de análise divide-se em três componentes: risco inerente, risco de controle e risco de detecção. E pode ser calculado pela seguinte fórmula:
Risco de Auditoria = Risco Inerente x Risco de Controle x Risco de Detecção
Para cada risco normalmente é estabelecida uma variação de 0 a 1. Por exemplo, se a empresa não possui um controle interno, o risco de controle será de 1. No máximo o risco de auditoria pode ser de 1 ou de 100%, entretanto esta situação é impossível em uma auditoria, pois, o risco do auditor errar também deverá ser de 100%, fato inexistente em uma auditoria. Nos trabalhos auditoriais o risco de auditoria de 5% é um risco dentro do aceitável.
A avaliação do risco de auditoria busca permitir que o auditor identifique:
- Os aspectos do risco inerente com probabilidade alta de ocasionarem erros importantes, indicando maior atenção nos objetivos da auditoria;
- As contas às quais possam ser aplicados procedimentos de auditoria limitados face ao seu baixo risco;
- Os controles internos contábeis e administrativos que reduzem o risco de erros e permitem que o auditor limite suas provas substantivas.
- Risco inerente ou implícito
É o risco que está relacionado com as atividades operacionais da empresa, normalmente este risco já existe, é intrínseco da natureza das ações e negócios da empresa. É o erro ou irregularidade que ocorreu nas demonstrações ou registros em função da suscetibilidade dos saldos ou da transação a uma distorção que poderia ser relevante individualmente ou em conjunto com outras distorções na mesma conta, presumindo-se a falta de um controle específico por parte da empresa. Este risco se dá na parte operacional da empresa, sendo difícil a sua mensuração.
Um exemplo de risco implícito é quando a empresa vende a maioria de seus produtos para somente um cliente, centralizando assim seus créditos a receber; caso o cliente venha a ter problemas financeiros, não conseguindo efetuar o pagamento, com certeza afetará a estabilidade da empresa.
O risco inerente é, portanto, influenciado pela natureza da conta, pelo tipo de transações e por outros fatores, podendo ser citados os exemplos a seguir:
- As vendas a prazo são mais passíveis de fraudes que as vendas à vista, pois é mais fácil comprovar o dinheiro que entrou do que as contas a receber;
- O caixa é mais suscetível ao roubo do que a conta e os veículos;
- As despesas com materiais de consumo podem apresentar mais distorções em relação às despesas com salários;
- As contas derivadas de estimativas contábeis tem maior risco do que as rotineiras.
- O caixa é mais suscetível ao roubo do que a conta e os veículos;
- As despesas com materiais de consumo podem apresentar mais distorções em relação às despesas com salários;
- As contas derivadas de estimativas contábeis tem maior risco do que as rotineiras.
Um material apresentado pelo AICPA (American Institute of Certified Public Accoutant), corroborado pelo IBRACON (Instituto Brasileiro de Contadores) destaca alguns fatores que estão relacionados à estimativa do risco inerente:
I. Decisões financeiras e operacionais dominadas por uma única pessoa;
II. Alta rotação de executivos e administradores;
III. Má reputação da gerência;
IV. Problemas contábeis de alta dificuldade;
V. Dificuldades significativas para a auditoria;
VI. Transações problemáticas com empresas correlacionadas;
VII. Erros de consideração detectados na auditoria do ano anterior.
- Risco de controle
Ocorre quando um erro ou uma fraude não foi detectado pelo sistema de controle interno. Este deixou de prevenir e corrigir em tempo uma distorção no saldo de uma conta, sendo que era responsabilidade dos controles a sua detecção. O risco pode ser relevante individualmente ou em conjunto com outras distorções; o nível deste risco é em função da efetividade dos procedimentos de controle interno da empresa auditada.
Considerando-se que é impossível que qualquer sistema de controle interno possa ser eficiente a tal ponto de eliminar todos os erros possíveis, o risco de controle nunca pode ser igual a zero. Como o auditor não pode controlar o risco de controle, pois ele já existe, pode alterar seu método de avaliação alternando os procedimentos utilizados para entender a estrutura de controle interno com os testes sobre o controle interno, normalmente por meio da aplicação de testes de observância (cumprimento) e substantivos (evidenciação).
Em uma auditoria o risco de controle não pode ser avaliado separadamente do risco inerente, face às relações que ambos tem, entretanto o risco de controle está ligado à ineficácia dos procedimentos do controle interno, ao contrário do risco inerente, que está mais ligado à inexistência do controle interno.
De qualquer forma, é o funcionamento adequado do controle interno que determina a natureza, a oportunidade e a extensão dos testes substantivos que serão aplicados nos trabalhos de campo.
- Risco de detecção
É a possibilidade do saldo de uma conta ou de uma informação estar errada e não ser detectada ou ainda levar o auditor a concluir pela sua inexistência em função de um erro de avaliação próprio ou da sua equipe.
Ao aplicar os procedimentos de auditoria o auditor não detecta uma distorção no saldo de uma conta, ou de transações, que poderia ser relevante. Estes erros podem ser em decorrência de não examinar todas as evidências disponíveis, de possível ineficiência do procedimento de auditoria, ou de possível deficiência na avaliação dos fatos descobertos durante o exame.
O risco de detecção não pode ser reduzido à zero na medida em que o auditor deve estar consciente da existência de incertezas acerca dos atributos das evidências, da eficiência dos mecanismos de controle interno do cliente e do fato do seu procedimento se basear em estimativas e amostras, mais ou menos representativas.
O risco de detecção está diretamente relacionado com os testes substantivos, podendo então, ser analisado sob dois aspectos:
1. Risco de revisão analítica significa que o erro pode não ser detectado pelas verificações e análises utilizadas.
2. Risco de testes de transações e saldos é o risco dos erros nos saldos ou transações não serem identificados pela ineficácia dos testes aplicados, quanto ao tipo e à profundidade do teste.
Ambos os procedimentos, o de revisão analítica e o dos testes de transações e saldos, mantém certa correspondência, ou seja, os riscos associados a eles tem um efeito multiplicativo definindo o fato de que a segurança derivada de um deles reduz proporcionalmente a segurança exigida do outro para limitar o risco de detecção ao nível desejado pelo auditor.
Cabe ressaltar que o risco inerente e o de controle diferem do risco de detecção, por existirem independentemente da auditoria, pois os primeiros fazem parte da operacionalidade da empresa enquanto que o de detecção advém de uma falha do auditor.
Também é importante entender que quanto maior são os riscos inerente e de controle, menor deve ser o risco de detecção. A lógica é simples, se na visão do auditor existem riscos inerentes e o controle interno é ineficiente, o único que não pode errar é o próprio auditor, por isto que a possibilidade de ele errar deve ser pequena, diminuindo assim, o nível de risco de detecção.
Por exemplo, o auditor depois de seus testes de observância identifica um alto nível de risco de controle no estoque da empresa, o controle interno é falho, assim ele entende que o saldo do estoque e os valores apresentados na conta podem estar errados. Para diminuir a possibilidade de risco de auditoria, o auditor deverá proceder o maior número de testes substantivos, normalmente aumentando a sua amostra ou direcionando seus testes para os valores mais relevantes, diminuindo a possibilidade de ele errar.
As normas internacionais de auditoria independente apresentam uma matriz de avaliação dos riscos de detecção a partir do nível estabelecido para os riscos inerente e de controle, como se segue:
Segundo o IFAC – Instituto Federal de Contadores Certificados, órgão responsável pela normatização da auditoria nos Estados Unidos, existe uma relação inversa entre o risco de detecção e o nível combinado dos riscos inerentes e de controle.
Entretanto, quando o risco de detecção é muito alto, devido aos riscos inerentes e de controle serem baixos, o auditor deverá aplicar assim mesmo testes substantivos para consubstanciar a sua opinião, no entanto a amostra não necessita ser grande.
Segundo a norma de auditoria independente, emitida pelo CFC, ao analisar o risco, o auditor deverá atentar para:
- A amplitude em que as técnicas de controle estão alcançando seus objetivos;
- O controle geral do ambiente da empresa;
- A natureza dos ativos ou operações envolvidas;
- A importância das contas e das transações para a empresa;
- As experiências anteriores com fatos relacionados;
- A estabilidade das práticas e procedimentos;
- A extensão de tempo que um erro ou irregularidade pode alcançar sem ser detectado.
O auditor, quando for avaliar a empresa, para analisar as áreas de risco, deverá trabalhar com dois níveis diferentes, como está destacado abaixo:
a) Geral – observando a empresa como um todo, verificando as demonstrações contábeis, o controle interno, a situação financeira e patrimonial, qual a qualidade e como a administração está definida.
b) Específico – analisando as contas pelo seu saldo ou pela sua natureza e pelo número de transações efetuadas.
Para determinar o risco da auditoria, sob a análise em nível geral, o auditor deve avaliar o ambiente de controle da entidade, compreendendo:
a) a função e o envolvimento dos administradores nas atividades da entidade;
b) a estrutura organizacional e os métodos de administração adotados, especialmente quanto a limites de autoridade e responsabilidade;
c) as políticas de pessoal e segregação de funções;
d) a fixação, pela administração, de normas para inventário, conciliação de contas, preparação de demonstrações contábeis e demais informes adicionais;
e) as implantações, as modificações e o acesso aos sistemas de informação computadorizada, bem como acesso a arquivos de dados e possibilidade de inclusão ou exclusão de dados;
f) o sistema de aprovação e registro de transações;
g) as limitações de acesso físico a ativos e registros contábeis e/ou administrativos;
h) as comparações e análises dos resultados financeiros com dados históricos e/ou projetados.
Depois de analisado o ambiente de controle e destacadas as áreas com maiores possibilidades da ocorrência de riscos de auditoria, o auditor deve aplicar os procedimentos de auditoria, seguindo uma escala:
* Risco mínimo – é necessário volume mínimo de testes ou revisão;
* Risco Baixo – faz-se uma revisão analítica, com testes limitados de comprovação de saldos e transações, e testes de cumprimento de normas internas;
* Risco intermediário – faz-se testes de várias fontes de evidência de auditoria, apoiando-se preferencialmente em testes de comprovação de saldos e transações;
* Risco alto – tem-se maior profundidade nos testes, a fim de conseguir embasamento para comprovação das transações.
* Risco Baixo – faz-se uma revisão analítica, com testes limitados de comprovação de saldos e transações, e testes de cumprimento de normas internas;
* Risco intermediário – faz-se testes de várias fontes de evidência de auditoria, apoiando-se preferencialmente em testes de comprovação de saldos e transações;
* Risco alto – tem-se maior profundidade nos testes, a fim de conseguir embasamento para comprovação das transações.
0 comentários:
Postar um comentário