Escolar Documentos
Profissional Documentos
Cultura Documentos
BASEADA EM RISCO
Segurança em Auditoria
Etapa I
Auditoria e Asseguração
Unidade 1
© Copyright 2018, Tribunal de Contas de União
<www.tcu.gov.br>
Permite-se a reprodução desta publicação, em parte ou no todo, sem alteração do conteúdo, desde que citada
a fonte e sem fins comerciais.
SUPERVISÃO
Maurício Gomyde Porto
Walter Fabrício de Castro Telli
TRATAMENTO PEDAGÓGICO
Marta Eliane Silveira da Costa Bissacot
Este material tem função didática. A última atualização ocorreu em Outubro de 2019.
As afirmações e opiniões são de responsabilidade exclusiva do autor e podem não ex-
pressar a posição oficial do Tribunal de Contas da União.
Sumário
Introdução................................................................................................................................................... 5
Síntese......................................................................................................................................................... 22
Bibliografia.............................................................................................................................................. 24
Introdução
Para começar, é importante relembrar que, no final de 2013, a INTOSAI aprovou os
Princípios Fundamentais de Auditoria do Setor Público (PFASP/INTOSAI – ISSAI 100 a 400),
nos quais enfatizou a consideração do risco nas auditorias de conformidade (ISSAI 300, 28) e
operacionais (ISSAI 400, 46), à semelhança do que já era exigido pelas Normas Internacionais
de Auditoria (ISA), emitidas pelo International Auditing and Assurance Standards Board, da
International Federation of Accountants (IAASB/IFAC), em relação às auditorias financeiras.
Para responder a essas questões, precisamos antes compreender a natureza dos trabalhos de au-
ditoria, os seus elementos, objetos e objetivos, as expectativas dos usuários e os objetivos gerais do au-
ditor ao conduzir uma auditoria. Por isso, nesta unidade, daremos enfoque no estudo desses aspectos.
Assim, ao final desta unidade inicial, esperamos que você seja capaz de:
• explicar a relação entre as expectativas gerais dos usuários dos relatórios de auditoria e
o conceito de asseguração;
Por sua vez, a INTOSAI define auditoria como “um processo sistemático de obter e avaliar
objetivamente evidências para determinar se as informações ou as condições reais de um objeto
estão de acordo com critérios aplicáveis” (ISSAI 100,18). Processo sistemático dá uma conotação
de uma série de passos ou procedimentos lógicos, estruturados e organizados (BOYNTON et al,
2002, p. 31).
Dentro desse contexto, a INTOSAI classifica todas as auditorias do setor público como
trabalhos de asseguração, definidos como aqueles trabalhos nos quais o auditor “visa obter
evidências apropriadas e suficientes para expressar sua conclusão, de forma a aumentar o grau
de confiança dos usuários previstos sobre o resultado da mensuração ou avaliação do objeto, de
acordo com os critérios que sejam aplicáveis” (NBCTA ESTRUTURA CONCEITUAL (EC), 10).
O IAASB, por sua vez, classifica os trabalhos de asseguração em dois grupos: a) auditoria e
revisão de demonstrações financeiras, e b) outros trabalhos de asseguração. E considera, neste se-
gundo grupo, as auditorias de conformidade e as operacionais. Isso ocorre tanto por razões históricas
quanto para facilitar o seu processo de emissão de normas, mais concentrado no primeiro grupo.
A posição da INTOSAI coincide com a de Boynton et al. (2002, p. 31), que já nesta obra de
2002, reconhecia como abrangidas pela definição de auditoria da AAA, anteriormente apresen-
tada, os três tipos de auditoria:
De acordo com a ISSAI 100, 24 e 29, todas as auditorias do setor público são trabalhos de
asseguração classificados em dois tipos.
Essas estruturas foram traduzidas para aplicação no Brasil pelo Conselho Federal de
Contabilidade (CFC), com as seguintes denominações:
NBCTA ESTRUTURA CONCEITUAL (NBCTA EC) – que trata dos trabalhos de auditoria e
revisão de demonstrações financeiras; e
NBCTO 3000 (NBCTO EC) – que aborda os outros tipos de trabalhos que não sejam audito-
rias e revisões de informações financeiras históricas, aplicável, portanto, às auditorias operacionais
e às de conformidade que não sejam combinadas com a auditoria de demonstrações financeiras.
Os documentos acima, assim como todos os outros citados nesta unidade, estão
disponíveis no material de estudo e na biblioteca do curso.
Ressaltamos que a leitura de todo esse material (sobretudo as ISSAI e as normas
do CFC) é fundamental para complementar os estudos desta unidade.
• critérios – referências usadas para avaliar ou mensurar o objeto. Dependem dos obje-
tivos e do tipo de auditoria e podem ser extraídos de várias fontes, incluindo leis, regu-
lamentos, padrões, princípios sólidos e boas práticas (ISSAI 100, 27);
Somado a isso, a NBCTA ESTRUTURA CONCEITUAL (NBCTA EC) considera ainda como
elementos dos trabalhos de asseguração os seguintes:
Informações obtidas mediante realização de procedimentos de auditoria planejados, com vistas a comprovar
o resultado da mensuração ou avaliação do objeto de acordo com os critérios (NBCTA EC, 50).
Relatório escrito “de forma curta” ou “de forma longa”, conforme a escolha do auditor, para facilitar a
efetividade da comunicação com os usuários previstos, contendo uma expressão clara da conclusão, formada
com base nas evidências obtidas, e do nível de asseguração do trabalho, claramente separada das outras
informações ou explicações do relatório (NBCTA EC, 83 a 92; ISSAI 100, 51).
Após conhecer os tipos e os elementos básicos dos trabalhos de asseguração, vamos ex-
plorar melhor aspectos relacionados aos riscos de informação.
Uma relação de accountability envolve pelo menos duas partes, uma que delega
(o principal) e outra que aceita a responsabilidade de gestão do objeto (o agente ou a parte
responsável), da qual decorre o compromisso de informar e prestar contas. O risco de que essas
informações estejam incorretas, incompletas ou enviesadas ("o risco de informação") é o que
justifica a existência dos trabalhos de asseguração, cujo objetivo é garantir as duas principais qua-
lidades que tornam a informação útil para a tomada de decisões: a confiabilidade e a relevância.
Diante desse cenário, é compreensível que os usuários dos relatórios de auditoria busquem,
por meio de tais relatórios, ter segurança quanto à confiabilidade e à relevância das informações
Mas como atender a essas necessidades de segurança dos usuários? Vejamos a seguir.
Se por um lado, os usuários dos relatórios esperam ter segurança sobre a confiabilidade
e relevância das informações, por meio dos relatórios de auditoria; por outro, os auditores têm
a responsabilidade de assegurar que as informações sejam não apenas confiáveis, mas também
abordem o que de fato é relevante para suportar os processos decisórios. Isso deve ocorrer tanto
em trabalhos de certificação, nos quais tais informações são preparadas pela parte responsável,
como em trabalhos de relatório direto, nos quais as informações são preparadas pela própria
equipe de auditoria.
Além disso, ao assumir a responsabilidade de conduzir uma auditoria, o auditor deve se-
guir rigorosamente as normas técnicas, incluindo aplicação de ceticismo, julgamento e devido
zelo, ao longo de todo o processo de auditoria, de modo a demonstrar que o seu comportamen-
to profissional é apropriado para atender às necessidades de segurança dos usuários, fornecendo
o nível de asseguração por estes requerido.
Devido zelo significa que o auditor deve planejar e executar auditorias de uma
maneira diligente. Os auditores devem evitar qualquer conduta que possa desacreditar
seu trabalho (ISSAI 100, 37).
Uma das principais qualidades para que informações sejam úteis à tomada de decisões é
a sua confiabilidade. Esse aspecto deve ser uma preocupação elementar do auditor, que deve
manter uma atitude alerta e questionadora. Deve ainda levar em consideração o fato de que in-
formações, além de suscetíveis a erros, podem ser adulteradas, falsificadas ou simuladas; enfim,
distorcidas para encobrir desvios de recursos, apropriação de ativos, mau desempenho, ilegalida-
des, não conformidades, entre outros fins.
Informações relevantemente distorcidas, seja por erro ou fraude, não detectadas no de-
correr dos trabalhos de auditoria, por certo levarão o auditor a produzir relatórios inadequados.
E isso pode acontecer tanto em trabalhos de certificação de informações apresentadas por uma
parte responsável quanto naqueles em que a informação do objeto é fornecida diretamente pelo
auditor no relatório de auditoria. Tal ocorrência fará com que o trabalho não atenda a uma das
principais expectativas dos usuários.
O nível de asseguração que um trabalho de auditoria pode fornecer varia entre os dois
pontos descritos a seguir, sem atingir suas extremidades:
Asseguração razoável
É um nível de asseguração alto, mas não absoluto, pelo fato de que as auditorias têm limitações que lhes são
inerentes e, portanto, nunca poderão fornecer asseguração absoluta (ISSAI 100, 31 e 33).
Asseguração limitada
É um nível mais baixo de asseguração, pois os procedimentos de auditoria planejados e executados são
propositadamente limitados em comparação com os que seriam necessários para fornecer asseguração razoável.
Não obstante, é esperado que seja significativo para os usuários (ISSAI 100, 33).
Um nível de asseguração razoável não é exigido sempre. Na verdade, essa exigência vai
depender das necessidades dos usuários e das características do objeto de auditoria. Por sua
vez, existem trabalhos que são típicos de asseguração limitada, como os de revisão de demons-
trações financeiras.
O nível de asseguração requerido deve ser estabelecido nos termos do trabalho, antes do
seu início, e levado em consideração na definição da estratégia global de auditoria. O auditor
deve ter clareza dos objetivos e das necessidades de informação dos usuários, de modo que
possa desenvolver um plano de auditoria, que permita expressar uma conclusão ou opinião de
auditoria de acordo com o nível de asseguração requerido.
O nível de asseguração de uma auditoria não é estabelecido "de trás para frente",
ou seja, a regra não é se obteve evidência apropriada suficiente, a asseguração é
razoável; se não, a asseguração é limitada. O nível de asseguração é estabelecido "a
priori", nos termos do trabalho.
Nos trabalhos de asseguração limitada, o nível de segurança obtido pelo auditor deve ser
capaz de aumentar a confiança dos usuários previstos sobre a informação do objeto em nível que
seja claramente maior do que irrelevante, até o nível que é logo abaixo da segurança razoável, de
modo que seja significativo para os usuários (NBCTA EC, 15/16; ISSAI 100, 33).
Na sequência, vamos abordar outros aspectos relevantes para que o auditor possa realizar
trabalhos de asseguração, utilizando abordagem de auditoria baseada em riscos.
Objeto de auditoria
Refere-se à informação, condição ou atividade que é mensurada ou avaliada de acordo com certos critérios.
Pode assumir várias formas e ter diferentes características, dependendo do objetivo da auditoria (ISSAI 100,
26). Pode ser, por exemplo, uma política pública ou um recorte dessa (um programa), um processo de gestão
(aquisições) ou uma atividade estatal (supervisão bancária pelo Banco Central) (ISSAI 100, 26; TCU, 2014).
Informação do objeto
Refere-se ao resultado da avaliação ou mensuração do objeto de acordo com os critérios (ISSAI 100, 28).
Os objetivos das auditorias, por sua vez, podem ser estabelecidos ora com foco na
informação do objeto, como no caso das auditorias de demonstrações financeiras preparadas
pela parte responsável, ora em termos do próprio objeto, como em geral ocorre na maioria das
auditorias operacionais e de conformidade, em que a informação é preparada e fornecida dire-
tamente pelo auditor no seu relatório.
Observe que os objetivos sempre fazem referência aos resultados da avaliação ou mensu-
ração do objeto (a informação do objeto), de acordo com os critérios, enquanto o objeto é aquilo
a que a informação se refere. É, pois, subjacente à informação do objeto.
Observe também que os objetivos especificados para cada tipo de auditoria representam
objetivos que a gestão deveria atingir e, ao mesmo tempo, expectativas dos usuários dos rela-
tórios e, por conseguinte, objetivos do auditor ao conduzir a auditoria. Veja isso no exemplo
extraído do Guia IFAC (2010, V.1, p. 31), em relação às auditorias financeiras:
Objetivo da Gestão
Objetivo do Auditor
Como vimos, o objeto é subjacente à informação do objeto, portanto, o que está sujeito
ao risco de distorção é a informação do objeto, que pode não representar a sua condição real,
indiferentemente se esta é boa ou ruim. Raciocinar sob essa perspectiva é importante para com-
preender a lógica dos conceitos a seguir, e a essência dos trabalhos de auditoria.
b. emitir um relatório detalhado, contendo uma conclusão geral, ou uma opinião (esta
normalmente em formato padronizado), que comunique de forma transparente o
nível de asseguração fornecido, em consistência com as conclusões extraídas das
evidências de auditoria.
Nesse contexto, concluímos que os objetivos gerais do auditor ao conduzir uma auditoria
são obter segurança, razoável ou limitada, de que as informações sobre o objeto, certificadas
por ele ou transmitidas diretamente em seu relatório, refletem de forma adequada as condições
reais do objeto, em todos os aspectos relevantes, de acordo com os critérios aplicáveis, e emitir
um relatório detalhado, contendo uma conclusão geral, ou uma opinião, que comunique de for-
ma transparente o nível de asseguração fornecido, em consistência com as conclusões extraídas
das evidências de auditoria.
Por fim, aprendemos que os propósitos da abordagem de auditoria baseada em risco são
apoiar o auditor a alcançar os objetivos gerais mencionados acima, proporcionando elemen-
tos que permitam conduzir trabalhos que atendam às necessidades e expectativas dos usuários
AUDITORIA E ASSEGURAÇÃO
Todas as auditorias do setor público são trabalhos de asseguração
Risco da informação
(conflitos de interesse + consequências + complexidade + distanciamento
entre usuário e gestão do objeto)
ATTIE, William. Auditoria: conceitos e aplicações. 5ª ed. 1998. São Paulo: Atlas, 1998.
BOYNTON, William C.; JOHNSON, Raymond N.; KELL, Walter G. Auditoria. Tradução de José
Evaristo do Santos. São Paulo: Atlas, 2002.
GRAMLING, Audrey A.; RITTENBERG, Larry E.; JOHNSTONE, Karla M. Auditoria. 7 ed. Tradução
técnica Antonio Zoratto Sanvicente. São Paulo: Atlas, 2012.
______. International Auditing and Assurance Standards Board (IAASB). International Framework
for Assurance Engagements. Tradução de Conselho Federal de Contabilidade: NBC TA ESTRUTURA
CONCEITUAL que dispõe sobre a estrutura conceitual para trabalhos de asseguração. Brasília:
CFC, 2015. Disponível em <http://www1.cfc.org.br/sisweb/sre/detalhes _sre.aspx?Codigo=2015/
NBCTAESTRUTURACONCEITUAL>. Acesso em: Fev. 2018.
______. ISSAI 200 – Fundamental Principles of Financial Auditing (2013a). Tradução de Tribunal
de Contas da União. Brasília: TCU, 2017. Disponível em <http:// http://portal.tcu.gov.br/fiscaliza-
cao-e-controle/auditoria/normas-internacionais/>. Acesso em: Fev. 2018.