Neste artigo quero trazer para a discussão e reflexão o risco de auditoria que está envolvido quando da realização de um trabalho de avaliação, seja ele de conformidade, desempenho ou contábil.
Somente para relembrar, um trabalho de avaliação executada pela auditoria tem três fases definidas: Planejamento, Execução e Comunicação dos resultados. Os riscos estão presentes em qualquer uma destas fases, contudo é na fase de planejamento que o auditor irá identifica-los e determinar os procedimentos adequados que deverão ser aplicados e com isto mitigar o risco.
Conceitualmente, podemos dizer que risco: É todo e qualquer evento que impacta negativamente a capacidade de alcançar os objetivos pré-determinados.
Também, somente para alinharmos os conceitos, uma auditoria baseada em riscos não é uma avaliação sobre a estrutura de gerenciamento de riscos, mas sim, a aplicação da metodologia da auditoria, definida pelas normas internacionais, com base nos riscos da entidade, do processo e/ou da transação.
Existem dois grupos de riscos básicos que estão presentes no trabalho de auditoria: O primeiro é o risco inerente, de fraude, TI e o de controle, relacionado com o objeto avaliado, os quais são de responsabilidade da gestão da organização. O segundo grupo, é o risco de não detecção, o qual é unicamente de responsabilidade do auditor, e tem sua existência baseado na dificuldade da auditoria avaliar e emitir uma opinião verificando 100% das atividades envolvidas.
Neste artigo, iremos nos concentrar no risco de não detecção, pois além de estar diretamente relacionado com o gerenciamento do trabalho de auditoria, ele tem forte impacto na opinião do auditor.
De maneira geral, é a natureza do trabalho é que irá ser determinante para o tipo do risco de não detecção que estará envolvido, e que deverá ser considerado para minimizar o impacto do auditor de emitir uma opinião inadequada sobre o objeto avaliado.
Vejamos quais são os riscos conforme a natureza do trabalho:
1. Em uma auditoria de conformidade ou regularidade, o risco é a não detecção de um evento de não conformidade significativo,
2. Na auditoria operacional ou desempenho, que tem como objetivo básico a avaliação da eficácia e economicidade do sistema de controles internos baseado em uma visão de riscos, o risco de auditoria é não detecção de uma vulnerabilidade ou ineficácia do sistema de controle interno significativa que comprometa a economicidade e/ou o processo de mitigação dos riscos do objeto avaliado,
3. Já na auditoria contábil, o risco é a não detecção da existência de uma transação ou saldo contábil fora dos princípios fundamentais de contabilidade, que possa gerar uma distorção significativa na posição patrimonial e resultado da corporação avaliada.
A compreensão dos riscos de não detecção, na fase de planejamento do trabalho, permite ao auditor responsável pela programação dos trabalhos definir o escopo e o período adequado para aplicação da melhor técnica e procedimento de auditoria na mitigação dos riscos de não detecção.
É valido lembrar, que o auditor encarregado do trabalho, deve ter conhecimento e proficiência na aplicação das normas internacionais de auditoria, de suas técnicas e dos procedimentos, incluindo, as técnicas de definição e extração da amostra. A correta definição dos testes de controle ou aderência, aplicados essencialmente em uma auditoria de conformidade e também de desempenho, e definição dos testes substantivos, aplicados em uma auditoria contábil, é essencial para o processo de mitigação dos riscos de não detecção.
Uma vez compreendido isto, vamos tentar, de uma forma suscinta, apontar os principais cuidados que devem ser considerados pelo auditor para a mitigação dos riscos de não detecção.
Em uma auditoria contábil, a partir da confiança depositada no sistema de controles internos chaves, isto é, os controles que tem como objetivo mitigar o risco de perda da consistência e integridade dos dados financeiros e não financeiros; o auditor define o nível de materialidade considerada para avaliação e ajustes, e também define a extensão e profundidade da amostra e dos testes. Em síntese, maior confiança nos controles chaves, menor extensão e profundidade dos testes substantivos de validação de transação e saldo, com linha de materialidade para ajuste maior. Menor confiança nos controles chaves, maior a extensão e profundidade dos testes, e uma linha de materialidade menor.
Para uma auditoria de conformidade e/ou regularidade, os testes de aderência serão aplicados em uma amostra definida pela materialidade dos eventos dentro do percentual de cobertura necessário para satisfazer os critérios de auditoria, que normalmente, deve cobrir entre 60% a 70% dos eventos analisados. Utilizamos o conceito de Pareto 80/20 na definição e extração da amostra a ser testada.
Em uma auditoria operacional ou de desempenho, o escopo é definido com base nos riscos que são mitigados pelo sistema de controle interno. Ele é o direcionador do nível de confiança que o auditor quer depositar no sistema de controle interno, o qual por sua vez é utilizado para o cálculo do tamanho da amostra, e também para extração aleatória dos componentes da amostra que deverão ser base para a aplicação de testes de controle ou de observância.
Vejam que, independentemente da natureza do trabalho, o auditor não ignore a importância da fase de planejamento e nem as considerações dos riscos de não detecção envolvidos, de forma que possa executando as técnicas e procedimentos de auditoria dentro das normas internacionais de auditoria, possa entregar uma opinião de alta qualidade à gestão, cumprindo com seu objetivo de adicionar valor aos processos de gerenciamento de riscos, controles internos, governança e compliance.
Seja Feliz!
(04.02.2019)