AUDITORIA

BASEADA EM RISCO

Segurança em Auditoria
Etapa I

Auditoria e Asseguração
Unidade 1
© Copyright 2018, Tribunal de Contas de União
<www.tcu.gov.br>

Permite-se a reprodução desta publicação, em parte ou no todo, sem alteração do conteúdo, desde que citada
a fonte e sem fins comerciais.

RESPONSABILIDADE PELO CONTEÚDO

Tribunal de Contas da União
Secretaria Geral da Presidência
Instituto Serzedello Corrêa
Diretoria de Educação Corporativa de Controle Externo (Dicont)
1o Serviço de Educação Corporativa de Controle Externo (SeduCont-1)
Secretaria de Métodos e Suporte ao Controle Externo (Semec)

SUPERVISÃO
Maurício Gomyde Porto
Walter Fabrício de Castro Telli

CONTEUDISTAS DO MATERIAL DIDÁTICO

Antonio Alves de Carvalho Neto
Arnaldo Ribeiro Gomes

TRATAMENTO PEDAGÓGICO
Marta Eliane Silveira da Costa Bissacot

PROJETO GRÁFICO e DIAGRAMAÇÃO

Vanessa Vieira e Thainara Fernandes

Este material tem função didática. A última atualização ocorreu em Outubro de 2019.
As afirmações e opiniões são de responsabilidade exclusiva do autor e podem não ex-
pressar a posição oficial do Tribunal de Contas da União.
 Sumário

Introdução................................................................................................................................................... 5

1. A natureza dos trabalhos de auditoria.............................................................................................6

2. Estruturas conceituais para os trabalhos de asseguração..................................................9

3. Elementos das auditorias do setor público................................................................................. 10

4. Accountability e risco da informação............................................................................................... 11

5. Expectativas dos usuários e níveis de asseguração.................................................................. 13

6. Objeto, informação do objeto e objetivos de auditoria......................................................... 17

7. Objetivos gerais do auditor em uma auditoria............................................................................ 21

Síntese......................................................................................................................................................... 22

Bibliografia.............................................................................................................................................. 24

Tribunal de Contas da União

 Etapa I – Segurança em Auditoria
Unidade 1 – Auditoria e Asseguração 5

Introdução
Para começar, é importante relembrar que, no final de 2013, a INTOSAI aprovou os
Princípios Fundamentais de Auditoria do Setor Público (PFASP/INTOSAI – ISSAI 100 a 400),
nos quais enfatizou a consideração do risco nas auditorias de conformidade (ISSAI 300, 28) e
operacionais (ISSAI 400, 46), à semelhança do que já era exigido pelas Normas Internacionais
de Auditoria (ISA), emitidas pelo International Auditing and Assurance Standards Board, da
International Federation of Accountants (IAASB/IFAC), em relação às auditorias financeiras.

Mas, por que usar a abordagem baseada em risco em auditorias?

O que essa abordagem significa? E como ela agrega valor para os usuários e para
o processo de auditoria?

Para responder a essas questões, precisamos antes compreender a natureza dos trabalhos de au-
ditoria, os seus elementos, objetos e objetivos, as expectativas dos usuários e os objetivos gerais do au-
ditor ao conduzir uma auditoria. Por isso, nesta unidade, daremos enfoque no estudo desses aspectos.

Assim, ao final desta unidade inicial, esperamos que você seja capaz de:

• explicar a natureza dos trabalhos de auditoria;

• descrever os tipos de trabalho, os elementos básicos, os objetos e os objetivos gerais da

auditoria do setor público;

• identificar as estruturas conceituais para os trabalhos de auditoria e para outros traba-

lhos de asseguração;

• descrever como o risco de informação é formado e como afeta as relações de accountability;

• explicar a relação entre as expectativas gerais dos usuários dos relatórios de auditoria e
o conceito de asseguração;

• conceituar relevância e materialidade nas perspectivas quantitativa e qualitativa;

• conceituar estratégia global de auditoria e plano de auditoria; e

• identificar os objetivos gerais do auditor em uma auditoria.

Então, vamos começar!

Tribunal de Contas da União

6
Tribunal de Contas da União

Créditos: iStock Photo

1. A natureza dos trabalhos de auditoria

A evolução de conceitos e práticas relacionados à auditoria reflete o aumento das expec-
tativas do público usuário dos resultados das auditorias. Esses usuários esperam que os relatórios
produzidos pelos auditores contenham informações relevantes e proporcionem segurança às
suas tomadas de decisões, de modo a agregar valor aos seus processos decisórios.

Mas como chegamos ao entendimento que temos hoje sobre auditoria?

O Relatório do Comitê sobre Conceitos Básicos de Auditoria da American Accounting

Association (AAA) define auditoria como “um processo sistemático de obtenção e avaliação de
evidências sobre afirmações a respeito de ações e eventos econômicos, para aquilatar o grau de
correspondência entre essas afirmações e os critérios estabelecidos, e comunicar os resultados a
usuários interessados” (Accounting Review, v. 47, apud BOYNTON et al, 2002, p. 30).

Por sua vez, a INTOSAI define auditoria como “um processo sistemático de obter e avaliar
objetivamente evidências para determinar se as informações ou as condições reais de um objeto
estão de acordo com critérios aplicáveis” (ISSAI 100,18). Processo sistemático dá uma conotação
de uma série de passos ou procedimentos lógicos, estruturados e organizados (BOYNTON et al,
2002, p. 31).

Auditoria Baseada em Risco

 7
A definição da INTOSAI é mais recente e mais abrangente do que a da AAA, e isso não é

Unidade 1 – Auditoria e Asseguração

Etapa I – Segurança em Auditoria
despropositado. Observe que a definição da AAA faz referência a avaliar se as afirmações corres-
pondem a critérios estabelecidos, enquanto a da INTOSAI refere-se a determinar se informações
ou condições reais de um objeto estão de acordo com os critérios.

Afirmações são declarações da administração explícitas ou

implicitamente contidas em demonstrações contábeis, relatórios
operacionais internos e declarações de Imposto de Renda, por exemplo
(BOYNTON, 2002, p. 33; ISA/NBCTA ESTRUTURA CONCEITUAL).

Essas diferenças refletem não só o aumento das expectativas em torno da segurança e

relevância do trabalho dos auditores, mas também a ampliação da natureza e abrangência do
campo de serviços que a eles podem ser incumbidos. Exemplo disso é a exigência estabelecida
pela Lei Sarbanes-Oxley quanto à expressão de uma opinião acerca da certificação, feita pela
administração, da eficácia dos controles internos na emissão de relatórios financeiros, além da
tradicional opinião sobre as demonstrações financeiras (SOX, EUA, 2002).

Ao se referir a afirmações, a definição da AAA presume a realização do trabalho do auditor

baseado nas declarações contidas em informações preparadas pela administração. Por exemplo:
demonstrações financeiras, relatórios de gestão, de prestação de contas em geral e de informações
sobre desempenho.

A definição da INTOSAI, por seu turno, ao se referir a informações ou condições reais

de um objeto, estabelece uma base mais ampla para os trabalhos de auditoria, reconhecendo
que estes podem melhorar a qualidade das informações ou o seu contexto para os tomadores de
decisão, desenvolvendo informações sobre as condições reais de um objeto que agreguem valor
para os processos decisórios, em vez de somente emitir opiniões sobre as informações elabora-
das pela administração.

Em ambos os casos, tanto o auditor como as organizações de auditoria buscam satisfa-

zer as expectativas dos usuários, conduzindo auditorias de forma independente, profissional e
objetiva, além de adotar abordagens que lhes permitam chegar a conclusões e/ou emitir opi-
niões com um nível de segurança que satisfaça as necessidades de asseguração dos usuários.

Dentro desse contexto, a INTOSAI classifica todas as auditorias do setor público como
trabalhos de asseguração, definidos como aqueles trabalhos nos quais o auditor “visa obter
evidências apropriadas e suficientes para expressar sua conclusão, de forma a aumentar o grau
de confiança dos usuários previstos sobre o resultado da mensuração ou avaliação do objeto, de
acordo com os critérios que sejam aplicáveis” (NBCTA ESTRUTURA CONCEITUAL (EC), 10).

Tribunal de Contas da União

8
Tribunal de Contas da União

Trabalho de asseguração: trabalho no qual o profissional expressa uma conclusão

destinada a aumentar o grau de confiança dos usuários previstos, que não a
parte responsável, sobre o resultado da mensuração ou avaliação de um objeto
em relação a critérios (International Framework for Assurance Engagements, 7,
IAASB/IFAC).

O IAASB, por sua vez, classifica os trabalhos de asseguração em dois grupos: a) auditoria e
revisão de demonstrações financeiras, e b) outros trabalhos de asseguração. E considera, neste se-
gundo grupo, as auditorias de conformidade e as operacionais. Isso ocorre tanto por razões históricas
quanto para facilitar o seu processo de emissão de normas, mais concentrado no primeiro grupo.

Há uma tradição em auditoria financeira, inclusive incorporada nas

suas normas, que quando a palavra auditoria é utilizada, significa
que o trabalho é de asseguração razoável; e quando usada a palavra
revisão, significa que o trabalho é de asseguração limitada.

A posição da INTOSAI coincide com a de Boynton et al. (2002, p. 31), que já nesta obra de
2002, reconhecia como abrangidas pela definição de auditoria da AAA, anteriormente apresen-
tada, os três tipos de auditoria:

• Auditoria de demonstrações contábeis – envolve obtenção e avaliação de evidên-

cias a respeito das demonstrações contábeis de uma entidade, para emissão de parecer
(opinião) sobre a adequação de sua apresentação, de acordo com Princípios Contábeis
Geralmente Aceitos (PCGA) – que, no caso, normalmente são os critérios estabelecidos.

• Auditoria de compliance (conformidade) – envolve obtenção e avaliação de evidên-

cias para determinar se certas atividades financeiras ou operacionais de uma entidade
obedecem a condições, regras ou regulamentos a elas aplicáveis.

• Auditoria operacional (desempenho) – envolve obtenção e avaliação de evidências

a respeito da eficiência e eficácia das atividades operacionais de uma entidade, em
comparação com objetivos estabelecidos. Conforme a ISSAI 100, 22, esse tipo de audi-
toria também avalia a dimensão economicidade.

Ainda segundo os autores mencionados, o objetivo dos trabalhos de asseguração é me-

lhorar as informações, não necessariamente emitir parecer (opinião) sobre elas. Esses trabalhos
podem ajudar os usuários dos relatórios a tomarem melhores decisões, além de aprimorar as
informações de que eles dispõem, envolvendo:

• captura de informações, com o uso de instrumentos de mensuração existentes ou me-

lhor desenvolvidos;

Auditoria Baseada em Risco

 9
• melhora da confiabilidade das informações, com redução do “risco de informação”

Unidade 1 – Auditoria e Asseguração

Etapa I – Segurança em Auditoria
associado com a decisão; e

• melhora da relevância das informações utilizadas na tomada de decisão, levando a me-

lhores decisões e melhores resultados organizacionais (BOYNTON et al. 2002, p. 900/1,
negritamos).

De acordo com a ISSAI 100, 24 e 29, todas as auditorias do setor público são trabalhos de
asseguração classificados em dois tipos.

Trabalhos que certificam informações sobre objetos

(informações preparadas por uma parte responsável)

Denominados trabalhos de certificação – são trabalhos de asseguração em que a parte responsável é

quem mensura ou avalia o objeto com base nos critérios e apresenta a informação do objeto, sobre a qual o
auditor obtém evidência de auditoria suficiente e apropriada para expressar uma opinião.
Exemplos: auditorias financeiras, auditorias de relatórios de gestão ou de outras informações elaboradas
pela parte responsável (ISSAI 100, 29 e 30).

Trabalhos que relatam diretamente informações sobre as condições reais de objetos

(informações levantadas pelo próprio auditor)

Denominados trabalhos de relatório direto – trabalhos de asseguração em que o auditor é quem

mensura ou avalia o objeto com base nos critérios aplicáveis, apresentando os resultados no seu relatório
na forma de achados, conclusões, recomendações ou de uma opinião, podendo também apresentar novas
informações, análises e novas perspectivas.
Exemplos: auditorias operacionais (normalmente) e parte das auditorias de conformidade (ISSAI 100, 29 e 30).

Conheça, a seguir, as referências conceituais que esclarecem aspectos relevantes para os

trabalhos de asseguração.

2. Estruturas conceituais para os trabalhos de asseguração

Existem duas estruturas conceituais internacionais elaboradas com o intuito de fa-
cilitar o entendimento dos elementos e objetivos dos trabalhos de asseguração, tanto por
parte daqueles que realizam os trabalhos como por parte dos usuários dos relatórios. São
elas: a “International Framework for Assurance Engagements” e a “International Standard
on Assurance Engagements Other than Audits or Reviews of Historical Financial Information
(ISAE) 3000 Revised”, ambas emitidas pelo International Auditing and Assurance Standards
Board (IAASB), da IFAC.

Tribunal de Contas da União

10
Tribunal de Contas da União

Essas estruturas foram traduzidas para aplicação no Brasil pelo Conselho Federal de
Contabilidade (CFC), com as seguintes denominações:

NBCTA ESTRUTURA CONCEITUAL (NBCTA EC) – que trata dos trabalhos de auditoria e
revisão de demonstrações financeiras; e

NBCTO 3000 (NBCTO EC) – que aborda os outros tipos de trabalhos que não sejam audito-
rias e revisões de informações financeiras históricas, aplicável, portanto, às auditorias operacionais
e às de conformidade que não sejam combinadas com a auditoria de demonstrações financeiras.

Os documentos acima, assim como todos os outros citados nesta unidade, estão
disponíveis no material de estudo e na biblioteca do curso.
Ressaltamos que a leitura de todo esse material (sobretudo as ISSAI e as normas
do CFC) é fundamental para complementar os estudos desta unidade.

3. Elementos das auditorias do setor público

Segundo a ISSAI 100, todas as auditorias do setor público possuem os mesmos elementos
básicos, conceituados a seguir.

• auditor – pessoa que tem a responsabilidade pela auditoria ou as pessoas a quem é

delegada a tarefa de conduzir auditorias (ISSAI 100, 25);

• parte responsável – aquela que tem a incumbência de gestão do objeto, de elabora-

ção da informação sobre o objeto ou de atender recomendações e cumprir determina-
ções acerca do objeto, e podem ser pessoas ou organizações (ISSAI 100, 25);

• usuários previstos – pessoas, organizações ou grupos destas para quem o auditor

elabora o relatório de auditoria. Podem ser órgãos legislativos, de controle, responsáveis
pela governança ou o público em geral (ISSAI 100, 25);

• objeto – refere-se à informação, condição ou atividade que é mensurada ou avaliada

de acordo com certos critérios (ISSAI 100, 26). É o item que é mensurado ou avaliado
de acordo com os critérios aplicáveis (NBCTO 3000, 12(y);

• critérios – referências usadas para avaliar ou mensurar o objeto. Dependem dos obje-
tivos e do tipo de auditoria e podem ser extraídos de várias fontes, incluindo leis, regu-
lamentos, padrões, princípios sólidos e boas práticas (ISSAI 100, 27);

Auditoria Baseada em Risco

 11
• informação do objeto – resultado da avaliação ou mensuração do objeto de acordo

Unidade 1 – Auditoria e Asseguração

Etapa I – Segurança em Auditoria
com os critérios aplicáveis (ISSAI 100, 28). Em trabalhos de certificação, a informação
do objeto é elaborada e apresentada pela parte responsável (p. ex., demonstrações
financeiras, prestações de contas); em trabalhos de relatório direto, a informação do
objeto é preparada e apresentada pelo próprio auditor no seu relatório (p. ex., audito-
rias operacionais).

Somado a isso, a NBCTA ESTRUTURA CONCEITUAL (NBCTA EC) considera ainda como
elementos dos trabalhos de asseguração os seguintes:

Evidências apropriadas e suficientes

Informações obtidas mediante realização de procedimentos de auditoria planejados, com vistas a comprovar
o resultado da mensuração ou avaliação do objeto de acordo com os critérios (NBCTA EC, 50).

Relatório de asseguração (ou de auditoria)

Relatório escrito “de forma curta” ou “de forma longa”, conforme a escolha do auditor, para facilitar a
efetividade da comunicação com os usuários previstos, contendo uma expressão clara da conclusão, formada
com base nas evidências obtidas, e do nível de asseguração do trabalho, claramente separada das outras
informações ou explicações do relatório (NBCTA EC, 83 a 92; ISSAI 100, 51).

Após conhecer os tipos e os elementos básicos dos trabalhos de asseguração, vamos ex-
plorar melhor aspectos relacionados aos riscos de informação.

4. Accountability e risco de informação

Qual a relação entre trabalho de asseguração, risco de informação e accountability?

Que fatores integram esse risco?

Em ambos os tipos de trabalho de asseguração – de certificação ou de relatório direto –,

o risco de informação existe, pois é inerente à assimetria informacional presente nas relações de
accountability e é independente do tomador de decisão (BOYNTON et al. 2002, p. 900).

Tribunal de Contas da União

12
Tribunal de Contas da União

O termo accountability, que não possui tradução precisa para o nosso

idioma, representa a obrigação de responder por uma responsabilidade
outorgada. Pressupõe a existência de pelo menos duas partes: uma que
delega a responsabilidade e outra que a aceita, mediante o compromisso
de prestar contas sobre como essa responsabilidade foi cumprida. O
termo sintetiza a preservação dos interesses dos cidadãos por meio da
transparência, responsabilização e prestação de contas pela administração pública (Manual
de Auditoria Integrada do Escritório do Auditor-Geral do Canadá (OAG, apud NAT, p. 11).

Uma relação de accountability envolve pelo menos duas partes, uma que delega
(o principal) e outra que aceita a responsabilidade de gestão do objeto (o agente ou a parte
responsável), da qual decorre o compromisso de informar e prestar contas. O risco de que essas
informações estejam incorretas, incompletas ou enviesadas ("o risco de informação") é o que
justifica a existência dos trabalhos de asseguração, cujo objetivo é garantir as duas principais qua-
lidades que tornam a informação útil para a tomada de decisões: a confiabilidade e a relevância.

Portanto, o risco de informação é inerente às relações de accountability e dele vem a ne-

cessidade dos trabalhos de auditoria que, segundo Boynton et al. (2002, p. 68/69), pode tam-
bém ser atribuída a quatro condições a seguir:

• conflitos de interesse reais ou potenciais entre os usuários da informação e a par-

te responsável, e entre diferentes classes de usuários. Assim, os usuários buscam nas
auditorias a segurança de que as informações sejam tanto livres de vieses favoráveis à
administração como neutras em relação aos vários usuários;

• consequências econômicas, sociais e de outras naturezas que as decisões dos usuários,

tomadas com base nas informações fornecidas, podem ter. Assim, usuários recorrem
às auditorias buscando segurança de que tais informações contenham tantos dados
relevantes quanto seja possível;

• complexidade crescente dos négocios e transações, bem como dos instrumentos de

mensuração e avaliação aumentam o risco de que informações contenham distorções
devido a erros não intencionais. Assim, usuários recorrem às auditorias buscando segu-
rança quanto à mensuração ou avaliação; e

• distanciamento entre os usuários e a gestão do objeto, assim como do processo de ela-

boração de informações a seu respeito, associado a questões de tempo e custo, tornam
impraticável que eles tenham acesso direto para verificar as bases da informação. Assim,
os usuários recorrem às auditorias buscando segurança sobre a qualidade das informações.

Diante desse cenário, é compreensível que os usuários dos relatórios de auditoria busquem,
por meio de tais relatórios, ter segurança quanto à confiabilidade e à relevância das informações

Auditoria Baseada em Risco

 13
que utilizam como base para suas decisões, consoante explicita a ISSAI 100, 31. Não à toa, essas

Unidade 1 – Auditoria e Asseguração

Etapa I – Segurança em Auditoria
expectativas de segurança são a base do conceito de asseguração.

Mas como atender a essas necessidades de segurança dos usuários? Vejamos a seguir.

5. Expectativas dos usuários e níveis de asseguração

Créditos: iStock Photo

Se por um lado, os usuários dos relatórios esperam ter segurança sobre a confiabilidade
e relevância das informações, por meio dos relatórios de auditoria; por outro, os auditores têm
a responsabilidade de assegurar que as informações sejam não apenas confiáveis, mas também
abordem o que de fato é relevante para suportar os processos decisórios. Isso deve ocorrer tanto
em trabalhos de certificação, nos quais tais informações são preparadas pela parte responsável,
como em trabalhos de relatório direto, nos quais as informações são preparadas pela própria
equipe de auditoria.

Além disso, ao assumir a responsabilidade de conduzir uma auditoria, o auditor deve se-
guir rigorosamente as normas técnicas, incluindo aplicação de ceticismo, julgamento e devido
zelo, ao longo de todo o processo de auditoria, de modo a demonstrar que o seu comportamen-
to profissional é apropriado para atender às necessidades de segurança dos usuários, fornecendo
o nível de asseguração por estes requerido.

Tribunal de Contas da União

14
Tribunal de Contas da União

Ceticismo profissional significa manter distanciamento profissional

e uma atitude alerta e questionadora quando avalia suficiência e
adequação da evidência obtida ao longo da auditoria. Também significa
manter a mente aberta e receptiva a todos os pontos de vista e
argumentos.

Julgamento profissional significa a aplicação coletiva de conhecimentos,

habilidades e experiência dos membros da equipe ao processo de auditoria.

Devido zelo significa que o auditor deve planejar e executar auditorias de uma
maneira diligente. Os auditores devem evitar qualquer conduta que possa desacreditar
seu trabalho (ISSAI 100, 37).

Uma das principais qualidades para que informações sejam úteis à tomada de decisões é
a sua confiabilidade. Esse aspecto deve ser uma preocupação elementar do auditor, que deve
manter uma atitude alerta e questionadora. Deve ainda levar em consideração o fato de que in-
formações, além de suscetíveis a erros, podem ser adulteradas, falsificadas ou simuladas; enfim,
distorcidas para encobrir desvios de recursos, apropriação de ativos, mau desempenho, ilegalida-
des, não conformidades, entre outros fins.

Informações relevantemente distorcidas, seja por erro ou fraude, não detectadas no de-
correr dos trabalhos de auditoria, por certo levarão o auditor a produzir relatórios inadequados.
E isso pode acontecer tanto em trabalhos de certificação de informações apresentadas por uma
parte responsável quanto naqueles em que a informação do objeto é fornecida diretamente pelo
auditor no relatório de auditoria. Tal ocorrência fará com que o trabalho não atenda a uma das
principais expectativas dos usuários.

Outra qualidade essencial da informação é a sua relevância, um conceito relacionado à

representatividade quantitativa ou qualitativa de uma informação em relação às necessidades
daqueles que irão utilizá-la em seus processos decisórios. Uma informação é relevante se a sua
omissão ou distorção puder influenciar as decisões dos usuários (NBC T 11.6).

Às vezes referida como importância relativa, a relevância de um assunto de auditoria é ob-

servada no contexto do conjunto de itens que compõem a informação do objeto. Por exemplo,
“é aquele item de maior importância de um fato ou de um elemento em relação ao objetivo do
exame, às demonstrações financeiras ou ao parecer do auditor” (ATTIE, 1998).

A relevância é um conceito diretamente ligado a outro conceito importante em audito-

ria: o conceito de materialidade, tanto na perspectiva quantitativa quanto na qualitativa. Na
quantitativa, são considerados os valores numéricos dos itens. Na qualitativa, a preocupação
é com a veracidade e a divulgação das informações transmitidas aos usuários, como as notas

Auditoria Baseada em Risco

 15
explicativas às demonstrações financeiras ou outras formas de fornecer evidenciação relevante

Unidade 1 – Auditoria e Asseguração

Etapa I – Segurança em Auditoria
para a tomada de decisões.

A relevância também está diretamente ligada ao conceito de risco de auditoria. Isso

porque quando distorções, independentemente se causadas por fraude ou erro, são relevantes
e não são detectadas no curso do trabalho, o relatório de auditoria – ou mais especificamente, a
conclusão ou opinião de auditoria – será inadequado nas circunstâncias do trabalho, e é precisa-
mente isso o que se denomina risco de auditoria.

Ademais, o risco de auditoria e a materialidade estão relacionados porque o primeiro é

definido tendo como referencial o segundo (GRAMLING, 2012, p. 117).

Relevância – conceito que envolve a significância ou representatividade de um

assunto de auditoria para os usuários da informação. A relevância é definida com
base em um referencial de materialidade.
Materialidade quantitativa – um assunto de auditoria pode ser relevante
pela sua relevância financeira individual, considerada no contexto do conjunto
examinado (conceito, muitas vezes, referido como importância relativa ou
simplesmente materialidade).
Materialidade qualitativa – um assunto de auditoria pode ser relevante pela
sua natureza ou circunstâncias, como sensibilidade pública ou potencial de risco
(conceito, muitas vezes, referido simplesmente como relevância).
Risco de auditoria – o risco de que o relatório de auditoria possa ser inadequado
pelo fato de assuntos de auditoria materialmente relevantes (“aspectos
relevantes”) não serem detectados e, assim, não considerados na conclusão ou
opinião de auditoria.

Observe que os relatórios de auditoria normalmente expressam conclusões ou opi-

niões fazendo referência a “todos os aspectos relevantes”, ou seja, não cobrem 100% dos
aspectos, mas abrangem todos aqueles que são relevantes, de acordo com os concei-
tos acima, que são intrínsecos ao conceito de asseguração em auditoria. Por isso se diz que
as auditorias podem fornecer asseguração razoável, mas não absoluta (ISSAI 100, 31 e 33).

Tribunal de Contas da União

16
Tribunal de Contas da União

O nível de asseguração que um trabalho de auditoria pode fornecer varia entre os dois
pontos descritos a seguir, sem atingir suas extremidades:

Asseguração razoável

É um nível de asseguração alto, mas não absoluto, pelo fato de que as auditorias têm limitações que lhes são
inerentes e, portanto, nunca poderão fornecer asseguração absoluta (ISSAI 100, 31 e 33).

Asseguração limitada

É um nível mais baixo de asseguração, pois os procedimentos de auditoria planejados e executados são
propositadamente limitados em comparação com os que seriam necessários para fornecer asseguração razoável.
Não obstante, é esperado que seja significativo para os usuários (ISSAI 100, 33).

Um nível de asseguração razoável não é exigido sempre. Na verdade, essa exigência vai
depender das necessidades dos usuários e das características do objeto de auditoria. Por sua
vez, existem trabalhos que são típicos de asseguração limitada, como os de revisão de demons-
trações financeiras.

O nível de asseguração requerido deve ser estabelecido nos termos do trabalho, antes do
seu início, e levado em consideração na definição da estratégia global de auditoria. O auditor
deve ter clareza dos objetivos e das necessidades de informação dos usuários, de modo que
possa desenvolver um plano de auditoria, que permita expressar uma conclusão ou opinião de
auditoria de acordo com o nível de asseguração requerido.

Termos do trabalho – o auditor, a administração da entidade auditada, os responsáveis

pela governança e outros, conforme aplicável, devem chegar a um entendimento
comum e formal acerca dos termos da auditoria. Informações importantes podem
incluir o objeto, o escopo e os objetivos da auditoria, o acesso aos dados, o relatório
que resultará da auditoria, o processo da auditoria, as pessoas de contato e os papéis
e responsabilidades das diferentes partes envolvidas no trabalho (ISSAI 100, 44).
Estratégia global de auditoria – estabelece o alcance, as datas-chaves e a direção
geral da auditoria, incluindo a indicação de temas e fatores mais importantes, visando
à sua eficácia (Glossário de Termos do Controle Externo. TCU, 2017).
Plano de auditoria – documento de auditoria, resultante da fase de planejamento, que
contém o registro dos resultados das atividades desenvolvidas nesta fase e o programa
de trabalho para a fase de execução, incluindo, por exemplo: o objetivo de auditoria; a
visão geral do objeto e do seu ambiente, inclusive do controle interno; a determinação da
materialidade; a análise de problema ou avaliação de riscos utilizada para definir os objetivos
de auditoria específicos e determinar a natureza, época e extensão dos procedimentos de
auditoria que constam do programa de auditoria; a agenda ou o cronograma detalhado
do trabalho (Glossário de Termos do Controle Externo. TCU, 2017).

Auditoria Baseada em Risco

 17
Uma vez estabelecido nos termos do trabalho, não é apropriado alterar o trabalho de asse-

Unidade 1 – Auditoria e Asseguração

Etapa I – Segurança em Auditoria
guração para um que não seja de asseguração ou o nível de asseguração de razoável para limitada,
sem uma justificativa razoável. A impossibilidade de obter evidências apropriadas e suficientes para
formar uma conclusão com asseguração razoável não é razão aceitável para se alterar o trabalho
de asseguração razoável para um trabalho de asseguração limitada (NBCTA EC, 25).

O nível de asseguração de uma auditoria não é estabelecido "de trás para frente",
ou seja, a regra não é se obteve evidência apropriada suficiente, a asseguração é
razoável; se não, a asseguração é limitada. O nível de asseguração é estabelecido "a
priori", nos termos do trabalho.

Nos trabalhos de asseguração limitada, o nível de segurança obtido pelo auditor deve ser
capaz de aumentar a confiança dos usuários previstos sobre a informação do objeto em nível que
seja claramente maior do que irrelevante, até o nível que é logo abaixo da segurança razoável, de
modo que seja significativo para os usuários (NBCTA EC, 15/16; ISSAI 100, 33).

O auditor é o único responsável pela conclusão de asseguração emitida, e essa responsabili-

dade não é reduzida pelo uso que ele faça de especialistas ou de outros auditores (NBCTA EC, 33).

Na sequência, vamos abordar outros aspectos relevantes para que o auditor possa realizar
trabalhos de asseguração, utilizando abordagem de auditoria baseada em riscos.

6. Objeto, informação do objeto e objetivos de auditoria

Para se ter uma compreensão clara da natureza dos trabalhos de asseguração e, por conse-
guinte, das auditorias, assim como de tantos outros importantes conceitos envolvidos na norma-
tização e na prática desses trabalhos, é necessário reconhecer a distinção entre dois elementos
básicos das auditorias: o objeto e a informação do objeto.

Objeto de auditoria

Refere-se à informação, condição ou atividade que é mensurada ou avaliada de acordo com certos critérios.
Pode assumir várias formas e ter diferentes características, dependendo do objetivo da auditoria (ISSAI 100,
26). Pode ser, por exemplo, uma política pública ou um recorte dessa (um programa), um processo de gestão
(aquisições) ou uma atividade estatal (supervisão bancária pelo Banco Central) (ISSAI 100, 26; TCU, 2014).

Informação do objeto

Refere-se ao resultado da avaliação ou mensuração do objeto de acordo com os critérios (ISSAI 100, 28).

Tribunal de Contas da União

18
Tribunal de Contas da União

Os objetivos das auditorias, por sua vez, podem ser estabelecidos ora com foco na
informação do objeto, como no caso das auditorias de demonstrações financeiras preparadas
pela parte responsável, ora em termos do próprio objeto, como em geral ocorre na maioria das
auditorias operacionais e de conformidade, em que a informação é preparada e fornecida dire-
tamente pelo auditor no seu relatório.

No entanto, os objetivos de todas as auditorias, seja em trabalhos de certificação ou de

relatório direto, é, essencialmente, fornecer asseguração de que a informação do objeto, trans-
mitida aos usuários, corresponde às suas reais condições, em todos os aspectos relevantes, de
acordo com os critérios que lhe sejam aplicáveis.

A Tabela 1, a seguir, apresenta os objetos comuns e os objetivos gerais das auditorias do

setor público, de acordo com a ISSAI 100, 22 e 30, bem como a relação existente entre os riscos
a que estão expostos os objetos e o risco de auditoria.

Observe que os objetivos sempre fazem referência aos resultados da avaliação ou mensu-
ração do objeto (a informação do objeto), de acordo com os critérios, enquanto o objeto é aquilo
a que a informação se refere. É, pois, subjacente à informação do objeto.

Auditoria Baseada em Risco


Tabela 1: Objetivos e objetos das auditorias do setor público
Tipo de auditoria Objetivos (ISSAI 100, 22)
Determinar se a informação financeira
(informação do objeto) é apresentada
em conformidade com a estrutura
Financeira de relatório financeiro [as normas
contábeis] e o marco regulatório
aplicável, livre de distorções relevantes
devido a fraude ou erro.
Determinar se intervenções, programas e
instituições do governo estão operando de
acordo com os princípios de economicidade,
eficiência e efetividade, bem como se há espaço
Operacional para aperfeiçoamento, respondendo questões
chave de auditoria com o objetivo de apresentar
recomendações para aperfeiçoamento, com base
na análise das causas dos desvios dos critérios
ou outros problemas.
Determinar se um particular objeto,
atividades, transações financeiras e
informações cumprem, em todos os aspectos
relevantes, com as normas que regem a
entidade auditada, incluindo regras, leis,
Conformidade
regulamentos, resoluções orçamentárias,
políticas, códigos estabelecidos, acordos
ou os princípios gerais que regem a gestão
financeira responsável do setor público e a
conduta dos agentes públicos.
Fonte: elaborado com base na ISSAI 100, 22 e 30.
Observe também que os objetivos especificados para cada tipo de auditoria representam
objetivos que a gestão deveria atingir e, ao mesmo tempo, expectativas dos usuários dos rela-
tórios e, por conseguinte, objetivos do auditor ao conduzir a auditoria. Veja isso no exemplo
extraído do Guia IFAC (2010, V.1, p. 31), em relação às auditorias financeiras:
19
Unidade 1 – Auditoria e Asseguração
Etapa I – Segurança em Auditoria
Objetos (ISSAI 100, 30)
A posição patrimonial e financeira,
o desempenho, o fluxo de caixa ou
outros elementos que são reconhecidos,
mensurados e apresentados em
demonstrações financeiras preparadas
pela administração. A informação do
objeto são as demonstrações financeiras.
Podem ser programas específicos,
entidades, fundos ou certas atividades
(com seus produtos, resultados e impactos),
situações encontradas (incluindo causas e
efeitos), assim como informações financeiras
ou não financeiras sobre qualquer um
desses objetos. O objeto de uma auditoria
operacional é delimitado pelos objetivos e
pelas questões de auditoria.
Podem ser atividades, transações
financeiras ou informações. Em trabalhos
de certificação sobre conformidade, o
auditor foca na informação do objeto,
que pode ser uma declaração de
conformidade com uma estrutura de
relatório estabelecida e padronizada. O
objeto de uma auditoria de conformidade
é delimitado pelo escopo da auditoria.
Tribunal de Contas da União
20
Tribunal de Contas da União

Tabela 2: Objetivos da parte responsável e do auditor

Objetivo da Gestão

Elaborar demonstrações financeiras livres de distorções relevantes.

Objetivo do Auditor

Determinar se as demonstrações financeiras não apresentem distorções relevantes.

Fonte: Guia IFAC.

Isso significa que as ações ou omissões da parte responsável, no cumprimento de suas

responsabilidades de gestão, influenciam os riscos relacionados aos objetivos das auditorias e,
desse modo, o risco de auditoria. Por exemplo, se não adotar controles eficazes na elaboração
de informações do objeto, tais informações poderão conter distorções relevantes e, se o auditor
não as detectar, o seu relatório será inadequado nas circunstâncias da auditoria.

Como vimos, o objeto é subjacente à informação do objeto, portanto, o que está sujeito
ao risco de distorção é a informação do objeto, que pode não representar a sua condição real,
indiferentemente se esta é boa ou ruim. Raciocinar sob essa perspectiva é importante para com-
preender a lógica dos conceitos a seguir, e a essência dos trabalhos de auditoria.

• transações subjacentes – as atividades, as operações, os atos e fatos e os registros

que originam ou dão suporte à informação do objeto. Para simplificar, denominaremos
a partir daqui simplesmente de “atividades” ou “transações”;

• substância ou essência sobre a forma – a característica que a informação deve re-

presentar adequadamente a substância ou a realidade econômica das transações, inde-
pendentemente da forma jurídica como foram revestidas;

• procedimentos substantivos – os procedimentos de auditoria que são aplicados para

examinar ou testar a substância das transações subjacentes;

• afirmações – as declarações da parte que mensura ou avalia o objeto, explícitas ou

implícitas na informação do objeto; e

• distorções relevantes – a discrepância entre a informação do objeto e a sua substân-

cia ou essência (condição real), causada por erro ou fraude, e que pode levar os usuários
da informação a tomar decisões incorretas ou inadequadas.

Auditoria Baseada em Risco

 21
7. Objetivos gerais do auditor em uma auditoria

Unidade 1 – Auditoria e Asseguração

Etapa I – Segurança em Auditoria
Enfim, a partir das explanações anteriores, pode-se concluir que os objetivos gerais do
auditor ao conduzir uma auditoria são:

a. obter segurança, razoável ou limitada, dependendo do nível de asseguração acor-

dado para o trabalho, de que as informações do objeto de auditoria, elaboradas
pela parte responsável (em trabalhos de certificação) ou pelo próprio auditor (em
trabalhos de relatório direto), estão livres de distorções relevantes, seja por erro ou
fraude, de acordo com os critérios aplicáveis; e

b. emitir um relatório detalhado, contendo uma conclusão geral, ou uma opinião (esta
normalmente em formato padronizado), que comunique de forma transparente o
nível de asseguração fornecido, em consistência com as conclusões extraídas das
evidências de auditoria.

Em consequência, são propósitos da abordagem de auditoria baseada em risco:

• apoiar o auditor a alcançar os objetivos gerais acima, com a finalidade de aumentar a

confiabilidade e a relevância das informações fornecidas em relatórios preparados pela
parte responsável ou pela própria equipe de auditoria, de modo a atender às expecta-
tivas dos usuários e às suas necessidades de informação para subsidiar seus processos
decisórios;

• facilitar a definição do escopo da auditoria e a alocação de membros da equipe e de

especialistas com perfis adequados para lidar com os riscos identificados; e

• contribuir para que a auditoria seja conduzida de maneira eficiente e eficaz.

Tribunal de Contas da União

22 Síntese
Tribunal de Contas da União

Nesta unidade, aprendemos que todas as auditorias do setor público são

trabalhos de asseguração, cujo relatório destina-se a aumentar a confiança dos usuários sobre
o resultado da mensuração ou avaliação de um objeto em relação a critérios. Tal relatório pode
ser de forma longa ou curta, mas deve expressar uma conclusão geral ou opinião do auditor
acerca da mensuração ou avaliação do objeto, bem como transmitir claramente o nível de asse-
guração fornecido.

Aprendemos, ainda, que os trabalhos de asseguração são de dois tipos: de certificação

ou de relatório direto, a depender de quem realiza a mensuração ou avaliação do objeto, se
a parte responsável ou o auditor, e que o risco de informação existe em ambos os tipos, pois é
inerente à assimetria informacional presente nas relações de accountability.

Nesse contexto, concluímos que os objetivos gerais do auditor ao conduzir uma auditoria
são obter segurança, razoável ou limitada, de que as informações sobre o objeto, certificadas
por ele ou transmitidas diretamente em seu relatório, refletem de forma adequada as condições
reais do objeto, em todos os aspectos relevantes, de acordo com os critérios aplicáveis, e emitir
um relatório detalhado, contendo uma conclusão geral, ou uma opinião, que comunique de for-
ma transparente o nível de asseguração fornecido, em consistência com as conclusões extraídas
das evidências de auditoria.

Por fim, aprendemos que os propósitos da abordagem de auditoria baseada em risco são
apoiar o auditor a alcançar os objetivos gerais mencionados acima, proporcionando elemen-
tos que permitam conduzir trabalhos que atendam às necessidades e expectativas dos usuários

Auditoria Baseada em Risco

 23
dos seus relatórios, quanto à confiabilidade e relevância das informações para suportar seus

Unidade 1 – Auditoria e Asseguração

Etapa I – Segurança em Auditoria
processos decisórios, contribuindo ainda para que tais trabalhos sejam conduzidos de maneira
eficiente e eficaz.

Veja a seguir o esquema dos principais assuntos abordados nesta unidade.

AUDITORIA E ASSEGURAÇÃO
Todas as auditorias do setor público são trabalhos de asseguração

Trabalhos de certificação: informação preparada pela parte responsável

Tipos
Trabalhos de relatório direto: informação preparada pelo auditor

“As três partes”: o auditor, a parte responsável e os usuários previstos

Objeto: informação, condição ou atividade que é mensurada ou avaliada

Informação do objeto: resultado da avaliação ou mensuração do objeto

Elementos
Critérios: referências para avaliar o objeto (várias fontes: lei, boas práticas etc.)

Evidências: apropriadas e suficientes para suportar a opinião ou conclusão do auditor.

Relatório de asseguração: inclui conclusão/opinião do auditor

Asseguração razoável: nível alto, mas não absoluto

Níveis de asseguração
Asseguração limitada: nível mais baixo, mas significativo para usuário

Risco da informação
(conflitos de interesse + consequências + complexidade + distanciamento
entre usuário e gestão do objeto)

Tribunal de Contas da União

24 Bibliografia
Tribunal de Contas da União

ATTIE, William. Auditoria: conceitos e aplicações. 5ª ed. 1998. São Paulo: Atlas, 1998.

BOYNTON, William C.; JOHNSON, Raymond N.; KELL, Walter G. Auditoria. Tradução de José
Evaristo do Santos. São Paulo: Atlas, 2002.

BRASIL. Tribunal de Contas da União. TC 025.642/2014-6. Roteiro de Metodologia de Auditoria

com Foco em Riscos e Processos. Secretaria de Controle Externo do Desenvolvimento Econômico.
Brasília: 2014.

______. ______. Glossário de Termos do Controle Externo. Secretaria de Métodos e Suporte ao

Controle Externo. Brasília: TCU, 2017. Disponível em <http://portal.tcu.gov.br/controle-e-fiscali-
zação/>. Acesso em: Fev. 2018.

CONSELHO FEDERAL DE CONTABILIDADE (CFC). – NBC TA 11.6 – Relevância na Auditoria (2003).

Disponível em <http://www. http://cfc.org.br/legislacao/>. Acesso em: Mar. 2017.

ESTADOS UNIDOS DA AMÉRICA (EUA). Sarbanes-Oxley Act (SOX). EUA, 2002.

GRAMLING, Audrey A.; RITTENBERG, Larry E.; JOHNSTONE, Karla M. Auditoria. 7 ed. Tradução
técnica Antonio Zoratto Sanvicente. São Paulo: Atlas, 2012.

INTERNATIONAL FEDERATION OF ACCOUNTANTS (IFAC). Small and Medium Practices Committee

(SMP Committee). Guide to Using International Standards on Auditing in the Audits of Small and
Medium-Sized Entities, Second Edition. Tradução de Conselho Federal de Contabilidade: Guia de
Utilização das Normas de Auditoria em Auditorias de Entidades de Pequeno Porte (Guia IFAC). V.
1 e 2, 2ª ed.: CFC, 2010.

______. International Auditing and Assurance Standards Board (IAASB). International Framework
for Assurance Engagements. Tradução de Conselho Federal de Contabilidade: NBC TA ESTRUTURA
CONCEITUAL que dispõe sobre a estrutura conceitual para trabalhos de asseguração. Brasília:
CFC, 2015. Disponível em <http://www1.cfc.org.br/sisweb/sre/detalhes _sre.aspx?Codigo=2015/
NBCTAESTRUTURACONCEITUAL>. Acesso em: Fev. 2018.

_______. ______. International Standard on Assurance Engagements Other than Audits or

Reviews of Historical Financial Information (ISAE) 3000 Revised. Tradução de Conselho Federal de
Contabilidade: NBC TO 3000 que dispõe sobre trabalhos de asseguração diferente de auditoria
e revisão. Brasília: CFC, 2015a. Disponível em <http://www1.cfc.org.br/sisweb/sre/detalhes _sre.
aspx?Codigo=2015/NBCTO3000>. Acesso em: Fev. 2018.

INTERNATIONAL ORGANIZATION OF SUPREME AUDIT INSTITUTIONS (INTOSAI) –. ISSAI 100 –

Fundamental Principles of Public Sector Auditing (2013). Tradução de Tribunal de Contas da

Auditoria Baseada em Risco

 25
União. Brasília: TCU, 2017. Disponível em <http:// http://portal.tcu.gov.br/fiscalizacao-e-controle/

Unidade 1 – Auditoria e Asseguração

Etapa I – Segurança em Auditoria
auditoria/normas-internacionais/>. Acesso em: Fev. 2018.

______. ISSAI 200 – Fundamental Principles of Financial Auditing (2013a). Tradução de Tribunal
de Contas da União. Brasília: TCU, 2017. Disponível em <http:// http://portal.tcu.gov.br/fiscaliza-
cao-e-controle/auditoria/normas-internacionais/>. Acesso em: Fev. 2018.

______. ISSAI 300 – Fundamental Principles of Performance Auditing (2013b). Tradução de

Tribunal de Contas da União. Brasília: TCU, 2017. Disponível em <http:// http://portal.tcu.gov.br/
fiscalizacao-e-controle/auditoria/normas-internacionais/>. Acesso em: Fev. 2018.

______. ISSAI 400 – Fundamental Principles of Compliance Auditing (2013c). Tradução de

Tribunal de Contas da União. Brasília: TCU, 2017. Disponível em <http:// http://portal.tcu.gov.br/
fiscalizacao-e-controle/auditoria/normas-internacionais/>. Acesso em: Fev. 2018.

Tribunal de Contas da União