TEORIA ‐ RISCOS – PÓS EM GESTÃO PÚBLICA – FABIO LUCIO
Riscos de auditoria demonstrações contábeis sob exame. A avaliação do auditor independente,
Ao emitir uma opinião sobre algo, qualquer pessoa tem a
possibilidade de acertar ou errar. No caso de auditores independentes, essa
possibilidade está relacionada com a manifestação da sua opinião sobre se as
demonstrações contábeis de uma entidade representam adequadamente, em
todos os aspectos relevantes, a sua posição patrimonial, financeira e
econômica.
Devido à complexidade das informações e o grande número de
transações contábeis a serem examinadas na execução de uma auditoria, é
inevitável que exista o risco de que erros ou irregularidades existentes nos
registros e nas demonstrações contábeis possam não ser detectados pelo auditor
durante a execução da auditoria. Estes riscos são conhecidos como riscos de
auditoria.
De acordo com a NBC-T-11, risco de auditoria é a possibilidade
de o auditor vir a emitir uma opinião tecnicamente inadequada sobre as
demonstrações contábeis significativamente incorretas.
Na prática risco de auditoria é a possibilidade de o auditor
emitir uma opinião equivocada sobre as demonstrações contábeis incorretas, ou
seja, concordar com as demonstrações erradas, emitindo um parecer sem
ressalva.
Em um processo auditoria o auditor deve obter o maior nível de
certeza possível sobre a exatidão das demonstrações para emitir a sua opinião,
de tal forma a restringir o risco de auditoria ao seu menor nível, por exemplo,
se o auditor deseja ter 90 % de certeza, então ele estará correndo 10% de risco
de auditoria. Existe uma relação inversa entre risco e a quantidade de evidência
necessária para suportar a opinião do auditor, ou seja, se o risco de auditoria é
baixo, é necessária grande quantidade de evidência. A lógica é simples, para ter
certeza razoável o auditor deve encontrar evidências de sua exatidão, quanto
mais evidências sobre algo, menor a possibilidade de aquele algo estar errado.
Como auditor responde junto à sociedade pela sua opinião, ele
deve no planejamento da auditoria efetuar um estudo acurado sobre as
possíveis áreas de risco de auditoria, a fim de que não emita uma opinião
equivocada sobre o conjunto das demonstrações contábeis. Quando os erros
não são significativos, e conseqüentemente não invalidam as demonstrações
contábeis examinadas, o risco de ser o auditor responsabilizado por sua
omissão é pequeno, contudo se o erro ou a fraude for de proporção maior,
trazendo prejuízo para os beneficiados pela auditoria, poderá envolvê-lo em
processo de responsabilização penal e civil.
O risco de auditoria pode ser considerado relativo, pois ele não é
padronizado, não se manifesta de forma idêntica, diferente disto, se manifesta
das mais variadas formas dependendo das transações da empresa. Após a
identificação e a classificação dos riscos, ainda no planejamento da auditoria, é
necessário avaliar a probabilidade da ocorrência e o impacto econômico-
financeiro do risco nas demonstrações contábeis. Devido a essa situação o
auditor, em regra, direciona seus testes para as áreas de maior relevância nas
demonstrações.
3.6.1 Relação: risco de auditoria e relevância
A NBCT 11.6, emitida pelo CFC, estabelece que a relevância
depende da representatividade quantitativa ou qualitativa do item ou da
distorção em relação às demonstrações contábeis como um todo ou informação
sob análise. Uma informação é relevante se sua omissão ou distorção puder
influenciar a decisão dos usuários dessa informação no contexto das
demonstrações contábeis.
O que é relevante para uma empresa pode não ser relevante para
outra, assim a determinação do que é relevante em uma auditoria é uma
questão de julgamento profissional do auditor, que deverá estabelecer um nível
de relevância aceitável para permitir a detecção de distorções relevantes. Ao
estabelecer um nível de relevância o auditor estabelece um parâmetro de
relevância para a sua auditoria.
Ao definir seu programa de auditoria, após a análise do controle
interno e das áreas de risco de auditoria, o auditor independente deve levar em
conta quais fatores poderiam resultar em distorções relevantes nas
Sugestões, questões de prova e auxilio em seus estudos: fabiolucio@fortium.com.br SUCESSO PROFISSIONAL!!!
quanto à relevância de contas específicas e classes de transações ou divulgações
necessárias, ajuda-o a decidir sobre assuntos de planejamento de auditoria,
como por exemplo:
a) Quais itens a examinar;
b) Onde aplicar, ou não, amostragem e procedimentos analíticos.
A idéia é que o auditor examine os itens que, se errados, causam
um impacto maior na situação patrimonial e financeira da empresa. Isso permite
ao auditor independente selecionar procedimentos de auditoria que,
combinados, possam reduzir o risco de auditoria a um nível aceitável.
Contudo, como a auditoria é um processo vivo de análise, a
avaliação da relevância e dos riscos de auditoria pode diferir entre o
planejamento da auditoria e a avaliação dos resultados da aplicação dos
procedimentos de auditoria. Isso pode ser causado por uma mudança nas
condições do trabalho ou por uma mudança no nível de conhecimento do
auditor independente em relação à empresa auditada, em função dos resultados
encontrados nos trabalhos de campo.
Existe uma relação inversa entre o risco de auditoria e o nível
estabelecido de relevância, isto é, quanto maior for o risco de auditoria, menor
será o valor estabelecido como nível de relevância e vice-versa. O auditor
independente toma essa relação inversa em conta ao determinar a natureza,
época e extensão dos procedimentos de auditoria, ou seja, ao elaborar o seu
programa de auditoria. Por exemplo, se na execução de procedimentos
específicos de auditoria, o auditor independente determinar que o nível de risco
é maior que o previsto na fase de planejamento, o nível de relevância,
preliminarmente estabelecido, deve ser reduzido. O auditor independente deve
atenuar tal ocorrência por:
a) Reduzir o nível de risco de controle, onde praticável, e suportar tal
redução por meio de ampliação dos testes de observância;
b) Reduzir o risco de detecção via modificação da natureza, época e
extensão dos testes substantivos planejados.
Para entender a lógica da relação inversa entre o risco de
auditoria e a relevância devemos saber:
I. O auditor dever estipular um nível de relevância paras as
informações auditadas ainda na fase de planejamento;
II. O risco de auditoria, em regra, esta relacionado com os itens que não
foram examinados, aqueles que não foram selecionados para
exames;
III. Para diminuir o risco de auditoria o auditor deve selecionar o item
que será examinado, assim ele não ficará sem ser testado;
IV. Quanto maior é a relevância de um item, menor é a possibilidade de
ele não ser selecionado; como ele é selecionado ele não fica sem ser
testado, assim quanto maior a relevância menor o risco de auditoria.
O normal de uma auditoria é que o planejamento seja efetuado
em período anterior ao encerramento das demonstrações contábeis, assim o
auditor, embasado nos testes sobre o controle interno, nas informações colhidas
junto á administração e na sua experiência, pode estimar o que irá encontrar na
auditada. Caso os resultados reais sejam, substancialmente, diferentes dos
valores estimados, a relevância quantificada na fase do planejamento e utilizada
na execução da auditoria, assim como a avaliação dos riscos de auditoria,
podem também mudar, e, dessa forma, requerer julgamento do auditor
independente com relação à suficiência dos procedimentos de auditoria até
então aplicados.
Devido a possibilidade da variação entre o estimado no
planejamento e o encontrado efetivamente na auditoria, o auditor independente
pode, no processo de planejamento da auditoria, intencionalmente, estabelecer o
nível de relevância num patamar abaixo daquele a ser utilizado para avaliar os
resultados da auditoria. Isso pode ser feito para reduzir a probabilidade de
existência de distorções não-identificadas e para propiciar ao auditor
1
 TEORIA ‐ RISCOS – PÓS EM GESTÃO PÚBLICA – FABIO LUCIO
independente uma margem de segurança ao avaliar as distorções identificadas
no curso da auditoria.
3.6.2 Tipos de risco de auditoria
O risco de auditoria para fins de análise divide-se em três
componentes: risco inerente, risco de controle e risco de detecção, e pode ser
calculado pela seguinte fórmula:
Risco de Auditoria = Risco Inerente x Risco de Controle x Risco de
Detecção
Para cada risco normalmente é estabelecida uma variação de 0 a
1. por exemplo, se a empresa não possui um controle interno, o risco de
controle será de 1. No máximo o risco de auditoria pode ser de 1 ou de 100%,
entretanto esta situação é impossível em uma auditoria, pois, o risco do auditor
errar também deverá ser de 100%, fato inexistente em uma auditoria. Nos
trabalhos auditoriais o risco de auditoria de 5% é um risco dentro do aceitável.
A avaliação do risco de auditoria busca permitir que o auditor
identifique::
9 Os aspectos do risco inerente com probabilidade alta de
ocasionarem erros importantes, indicando maior atenção nos
objetivos da auditoria;
9 As contas às quais possam ser aplicados procedimentos de auditoria
limitados face ao seu baixo risco;
9 Os controles internos contábeis e administrativos que reduzem o
risco de erros e permitam que o auditor limite suas provas
substantivas.
Risco inerente ou implícito
É o risco que esta relacionado com as atividade operacionais da
empresa, normalmente este risco já existe, é intrínseco da natureza das ações e
negócios da empresa.
É o erro ou irregularidade que ocorreu nas demonstrações ou
registros em função da suscetibilidade dos saldos ou da transação a uma
distorção que poderia ser relevante individualmente ou em conjunto com outras
distorções na mesma conta, presumindo-se a falta de um controle específico
por parte da empresa. Este risco se dá na parte operacional da empresa sendo
difícil a sua mensuração.
Um exemplo de risco implícito é quando a empresa vende a
maioria de seus produtos para somente um Cliente, centralizando assim seus
créditos a receber; caso o cliente venha a ter problemas financeiros não
conseguindo efetuar o pagamento, com certeza afetará a estabilidade da
empresa.
O risco inerente é, portanto, influenciado pela natureza da conta,
pelo tipo de transações e por outros fatores, podendo ser citados os exemplos a
seguir:
9 As vendas a prazo são mais passíveis de fraudes que as
vendas a vista, pois é mais fácil comprovar o dinheiro
que entrou do que as contas a receber;
9 O caixa é mais suscetível ao roubo que a conta veículos;
9 As despesas com materiais de consumo podem
apresentar mais distorções em relação às despesas de
salários;
9 As contas derivadas de estimativas contábeis têm maior
risco que as rotineiras.
Um material apresentado pelo AICPA (American Institute of
Certified Public Accoutant), corroborado pelo IBRACON (Instituto Brasileiro
de Contadores) destaca alguns fatores que estão relacionados à estimativa do
risco inerente:
I. Decisões financeiras e operacionais dominadas por uma única
pessoa;
II. Alta rotação de executivos e administradores;
III. Má reputação da gerência;
IV. Problemas contábeis de alta dificuldade;
Sugestões, questões de prova e auxilio em seus estudos: fabiolucio@fortium.com.br SUCESSO PROFISSIONAL!!!
V. Dificuldades significativas para a auditoria;
VI. Transações problemáticas com empresas correlacionadas;
VII. Erros de consideração detectados na auditoria do ano anterior.
Risco de controle
Ocorre quando um erro ou uma fraude não foi detectada pelo
sistema de controle interno. Este deixou de prevenir e corrigir em tempo uma
distorção no saldo de uma conta, sendo que era responsabilidade dos controles a
sua detecção. O risco pode ser relevante individualmente ou em conjunto com
outras distorções; o nível deste risco é em função da efetividade dos
procedimentos de controle interno da empresa auditada.
Considerando-se que é impossível que qualquer sistema de
controle interno possa ser eficiente a tal ponto de eliminar todos os erros
possíveis, o risco de controle nunca pode ser igual a zero. Como o auditor não
pode controlar o risco de controle, pois ele já existe, pode alterar seu método de
avaliação alternando os procedimentos utilizados para entender a estrutura de
controle interno com os testes sobre o controle interno, normalmente por meio
da aplicação de testes de observância (cumprimento) e substantivos
(evidenciação).
Em uma auditoria o risco de controle não pode ser avaliado
separadamente do risco inerente, face às relações que ambos têm, entretanto o
risco de controle está ligado à ineficácia dos procedimentos do controle interno
ao contrário do risco inerente que está mais ligado à inexistência do controle
interno.
De qualquer forma, é o funcionamento adequado do controle
interno quem determina a natureza, oportunidade e extensão dos testes
substantivos que serão aplicados nos trabalhos de campo.
Risco de detecção
É a possibilidade do saldo de uma conta ou de uma informação
estar errada e não ser detectada ou ainda levar o auditor a concluir pela sua
inexistência em função de um erro de avaliação próprio ou da sua equipe.
Ao aplicar os procedimentos de auditoria o auditor não detecta
uma distorção no saldo de uma conta ou de transações que poderia ser relevante,
estes erros podem ser em decorrência de não examinar todas as evidências
disponíveis, de possível ineficiência do procedimento de auditoria ou de
possível deficiência na avaliação dos fatos descobertos durante o exame.
O risco de detecção não pode ser reduzido a zero na medida em
que o auditor deve estar consciente da existência de incertezas acerca dos
atributos das evidências, da eficiência dos mecanismos de controle interno do
cliente e do fato do seu procedimento se basear em estimativas e amostras, mais
ou menos representativas.
O risco de detecção está diretamente relacionado com os testes
substantivos, podendo então, ser analisado sob dois aspectos:
1. Risco de revisão analítica, significa que o erro pode não ser detectado pelas
verificações e análises utilizadas.
2. Risco de testes de transações e saldos, é o risco dos erros nos saldos ou
transações não serem identificados pela ineficácia dos testes aplicados, quanto
ao tipo e a profundidade do teste.
Ambos os procedimentos, o de revisão analítica e dos testes de
transações e saldos, mantêm certa correspondência, ou seja, os riscos associados
a eles têm um efeito multiplicativo definindo o fato de que a segurança derivada
de um deles reduz proporcionalmente a segurança exigida do outro para limitar
o risco de detecção ao nível desejado pelo auditor.
Cabe ressaltar que o risco inerente e o de controle diferem do
risco de detecção, por existirem independentemente da auditoria, pois os
primeiros fazem parte da operacionalidade da empresa enquanto que o de
detecção advém de uma falha do auditor.
Também é importante entender que quanto maior é o risco
inerente e de controle menor deve ser o risco de detecção. A lógica é simples, se
na visão do auditor existem riscos inerentes e o controle interno é ineficiente, o
2
 TEORIA ‐ RISCOS – PÓS EM GESTÃO PÚBLICA – FABIO LUCIO
único que não pode errar é o próprio auditor, por isto que a possibilidade de ele
errar deve ser pequena, diminuindo assim, o nível de risco de detecção.
Por exemplo, o auditor depois de seus testes de observância
identifica um alto nível de risco de controle no estoque da empresa, o controle
interno é falho, assim ele entende que o saldo do estoque e os valores
apresentados na conta podem estar errados. Para diminuir a possibilidade de
risco auditoria o auditor deverá proceder a maior número de testes
substantivos, normalmente aumentado a sua amostra ou direcionando seus
testes para os valores mais relevantes, diminuindo a possibilidade de ele errar.
As normas internacionais de auditoria independente apresentam
uma matriz de avaliação dos riscos de detecção a partir do nível estabelecido
para os riscos inerente e de controle, como se segue:
Risco de Controle
Risco Alto Médio Baixo
inerente
Alto Muito baixo Baixo Médio
Médio Baixo Médio Alto
baixo Médio Alto Muito alto
Segundo o IFAC – Instituto Federal de Contadores Certificados,
órgão responsável pela normatização da auditoria nos Estados Unidos existe
uma relação inversa entre o risco de detecção e o nível combinado dos riscos
inerentes e de controle. Entretanto, quando o risco de detecção é muito alto,
devido aos riscos inerentes e de controle serem baixos, o auditor deverá aplicar
assim mesmo testes substantivos para consubstanciar a sua opinião, no entanto
a amostra não necessita ser grande.
Segundo a norma de auditoria independente, emitida pelo CFC,
ao analisar o risco, o auditor deverá atentar para:
¾ A amplitude em que as técnicas de controle estão alcançando seus
objetivos;
¾ O controle geral do ambiente da empresa;
¾ A natureza dos ativos ou operações envolvidas;
¾ A importância das contas e das transações para a empresa;
¾ As experiências anteriores com fatos relacionados;
¾ A estabilidade das práticas e procedimentos;
¾ A extensão de tempo que um erro ou irregularidade pode alcançar sem
ser detectado.
O auditor quando for avaliar a empresa, para analisar as áreas
de risco, deverá trabalhar com dois níveis diferentes, como está destacado
abaixo:
a) Geral – observando a empresa como um todo, verificando as
demonstrações contábeis, o controle interno, a situação financeira e
patrimonial, qual a qualidade e como a administração está definida.
b) Específico – Analisa as contas pelo seu saldo ou natureza e pelo
número de transações efetuadas.
Para determinar o risco da auditoria, sob a análise em
nível geral, o auditor deve avaliar o ambiente de controle da entidade,
compreendendo:
a) a função e envolvimento dos administradores nas atividades da
entidade;
b) a estrutura organizacional e os métodos de administração
adotados, especialmente quanto a limites de autoridade e
responsabilidade;
c) as políticas de pessoal e segregação de funções;
d) a fixação, pela administração, de normas para inventário, para
conciliação de contas, preparação de demonstrações contábeis e
demais informes adicionais;
e) as implantações, modificações e acesso aos sistemas de
informação computadorizada, bem como acesso a arquivos de
dados e possibilidade de inclusão ou exclusão de dados;
f) o sistema de aprovação e registro de transações;
g) as limitações de acesso físico a ativos e registros contábeis
e/ou administrativos; e
Sugestões, questões de prova e auxilio em seus estudos: fabiolucio@fortium.com.br SUCESSO PROFISSIONAL!!!
h) as comparações e análises dos resultados financeiros com
dados históricos e/ou projetados.
Depois de analisado o ambiente de controle e destacadas as áreas
com maiores possibilidades da ocorrência de riscos de auditoria, o auditor deve
aplicar os procedimentos de auditoria, seguindo uma escala:
* Risco mínimo – É necessário volume mínimo de testes ou
revisão.
* Risco Baixo – fazer uma revisão analítica, com testes limitados de
comprovação de saldos e transações; testes de cumprimento de normas internas.
* Risco intermediário – testes de várias fontes de evidência de
auditoria, apoiando-se preferencialmente em testes de comprovação de saldos e
transações.
* Risco alto – Maior profundidade nos testes, a fim de conseguir
embasamento para comprovação das transações.
Relevância ou Materialidade
É a importância de um fato em relação ao objeto do exame (demonstrações
financeiras). A materialidade depende do julgamento profissional do auditor.
Considerando o risco e a materialidade o auditor determina a natureza,
oportunidade e extensão dos procedimentos de auditoria.
Observe que há uma interação entre risco e materialidade em razão inversa.
Exemplificando, quanto menor o número de transações de uma conta, maior o
risco de auditoria. O risco do saldo de uma conta de valor baixo estar errado é
grande.
Com estes poucos conceitos básicos, podemos começar a definir os tipos de
riscos de auditoria.
Risco Final
É o produto entre risco inerente (RI), risco de controle (RC) e risco de detecção
(RD). Assim temos:
RF = RI . RC . RD
Obviamente o valor do risco final nunca é zero. O auditor deve efetuar os testes
de modo que o resultado obtido seja menor que o risco (final) que ele está
disposto a assumir. O risco final está ligado a procedimentos estatísticos e de
amostragem.
Risco de Amostragem
É o risco de o auditor chegar a uma conclusão diferente da que teria chegado se
tivesse observado todos os elementos de uma determinada conta (população).
Todas as amostras contêm erros de representatividade. Obviamente, quanto
maior a amostra, menor o risco de amostragem.
Importante: Nenhum risco de detecção pode ser dimensionado por métodos de
amostragem. O risco de detecção é determinado a partir da eficiência dos
procedimentos de auditoria. Assim, abrange aspectos não relacionados com o
processo de amostragem.
Com relação à amostragem há dois tipos de riscos que interessam: Risco de
incorreta aceitação e risco de incorreta rejeição (ligados aos testes substantivos)
Risco de Incorreta Aceitação
É a possibilidade do auditor considerar correto o saldo de uma conta ( induzido
pela amostragem) quando na realidade este saldo esteja incorreto.
O risco de incorreta aceitação é dado pela fórmula:
RIA = RF : (RCI X RRAS)
Onde:
RIA = Risco de Incorreta Aceitação
3
 TEORIA ‐ RISCOS – PÓS EM GESTÃO PÚBLICA – FABIO LUCIO
RF = Risco Final auditor pode oferecer sugestões para melhorar os controles internos
relacionados ao risco de negócio.
RCI = Risco de Controle Interno

RRAS = Risco de Revisão analítica e Testes Substantivos

O Risco de Controle Interno é a possibilidade do controle interno deixar de
detectar erros superiores ao aceitável (tolerado). Seu valor é estimado através
de testes de observância (aderência)
O Risco de Revisão Analítica e Testes Substantivos é a possibilidade dos
testes substantivos e os procedimentos de revisão analítica deixarem de
detectar erros superiores ao aceitável (tolerado).
Hoje, mais do que nunca, podemos afirmar que a auditoria é a
arte de administrar o risco e prover receitas. Com o aumento da
complexidade e do volume das operações o auditor não tem
mais possibilidade de emitir um parecer com 100% de certeza.
Diante desta impossibilidade deve administrar o erro, aceitando
o risco. Contudo se responsabiliza por uma parte essencial do
cumprimento da arrecadação no Brasil.

Em geral, os auditores usam tabelas para auxiliar a estimativa do RCI e do Fábio Lúcio
RRAS.

Exemplo:

Supondo um risco de 50% de erros não detectados pelos controles internos

(RCI) e de 60% de erros não detectados pelos procedimentos de revisão
analítica (RRAS) e um risco final de3 8%, calcular o risco de incorreta
aceitação.

Aplicando a fórmula:

RIA = 0,08 : (0,5 X 0,6) = 27%

Risco de Incorreta Rejeição

É a possibilidade do auditor considerar incorreto o saldo de uma conta quando

na realidade este saldo esteja correto.

Há um elevado risco de incorreta rejeição se reduzirmos o tamanho da

amostragem para os testes substantivos.

Risco de Superdependência

È a possibilidade do auditor considerar os controles internos eficientes quando

na realidade não são.

Quando há um baixo risco de superdependência o auditor realiza menos testes

substantivos (a avaliação dos controles internos determina a natureza,
oportunidade e extensão dos procedimentos de auditoria). Neste caso, há um
alto grau de confiança nos controles internos. O grau de confiança é o
complemento do risco. Um grau de confiança de 80% equivale a um risco de
20%.

Há uma interação inversa entre risco de superdependência e tamanho da

amostragem. Se o auditor quer trabalhar com um baixo risco, deve aumentar o
tamanho da amostragem.

Risco de Subdependência

É a possibilidade do auditor considerar os controles internos ineficientes

quando na realidade o são (eficientes).

Risco de Negócio

Dizem respeito ao interesse empresarial. Exemplificando, não é feita licitação

para compra de materiais, não é feito estudos para melhorar a produção,
excesso de desperdícios, etc.

Estes fatos não alteram as demonstrações financeiras, logo, o auditor não avalia
o risco de negócio já que é competência da administração. Eventualmente o

Sugestões, questões de prova e auxilio em seus estudos: fabiolucio@fortium.com.br SUCESSO PROFISSIONAL!!!

4