Legislação Comercial
RESOLUÇÃO
1.029 CFC, DE 24-6-2005
(DO-U DE 6-7-2005)
OUTROS
ASSUNTOS FEDERAIS
CONTABILIDADE
Normas Brasileiras
Aprova
a NBC T 11.12 – Processamento Eletrônico de Dados.
Revoga o item 11.2.10 da NBC T 11 – Normas de Auditoria Independente das
Demonstrações Contábeis, aprovada pela Resolução
820 CFC, de 17-12-97 (Informativo 03/98).
O
CONSELHO FEDERAL DE CONTABILIDADE, no exercício de suas atribuições
legais e regimentais,
Considerando que as Normas Brasileiras de Contabilidade e suas Interpretações
Técnicas constituem corpo de doutrina contábil, que estabelece
regras de procedimentos técnicos a serem observadas quando da realização
de trabalhos;
Considerando a constante evolução e a crescente importância
da auditoria, que exige atualização e aprimoramento das normas
endereçadas a sua regência, de modo a manter permanente justaposição
e ajustamento entre o trabalho a ser realizado e o modo ou o processo dessa
realização;
Considerando que a forma adotada de fazer uso de trabalhos de instituições
com as quais o Conselho Federal de Contabilidade mantém relações
regulares e oficiais está de acordo com as diretrizes constantes dessas
relações;
Considerando que o Grupo de Estudo para Auditoria instituído pelo Conselho
Federal de Contabilidade, em conjunto com o IBRACON – Instituto dos Auditores
Independentes do Brasil, atendendo ao que está disposto no artigo 3º
da Resolução CFC nº 751, de 29 de dezembro de 1993, que recebeu
nova redação pela Resolução CFC nº 980, de
24 de outubro de 2003, elaborou a NBC T 11.12 – Processamento Eletrônico
de Dados;
Considerando que por se tratar de atribuição que, para adequado
desempenho, deve ser empreendida pelo Conselho Federal de Contabilidade em regime
de franca, real e aberta cooperação com o Banco Central do Brasil
(BACEN), a Comissão de Valores Mobiliários (CVM), o IBRACON –
Instituto dos Auditores Independentes do Brasil, o Instituto Nacional de Seguro
Social (INSS), o Ministério da Educação, a Secretaria Federal
de Controle, a Secretaria da Receita Federal, a Secretaria do Tesouro Nacional
e a Superintendência de Seguros Privados, RESOLVE:
Art. 1º – Aprovar a NBC T 11.12 – Processamento Eletrônico
de Dados.
Art. 2º – Esta Resolução entra em vigor na data de
sua publicação, revogando-se as disposições em contrário,
em especial, o item 11.2.10 da NBC T 11 – Normas de Auditoria Independente
das Demonstrações Contábeis, publicada no DO-U em 21 de
janeiro de 1998, Seção 1, páginas 47 a 49.
NORMAS BRASILEIRAS DE CONTABILIDADE
NBC
T 11 – NORMAS DE AUDITORIA INDEPENDENTE DAS DEMONSTRAÇÕES
CONTÁBEIS
NBC T 11.12 – PROCESSAMENTO ELETRÔNICO DE DADOS (PED)
11.12.1. DISPOSIÇÕES GERAIS
11.12.1.1. Esta norma estabelece procedimentos e critérios a serem seguidos
quando uma auditoria é conduzida em um ambiente de Processamento Eletrônico
de Dados (PED).
11.12.1.2. Pressupõe-se que existe um ambiente de PED quando um computador
de qualquer tipo ou tamanho é utilizado pela entidade no processamento
de informações contábeis de relevância para a auditoria,
indiferentemente se o computador é operado pela própria entidade
ou por terceiros.
11.12.1.3. O objetivo e o escopo geral de uma auditoria não mudam em
um ambiente de PED. Entretanto, a utilização de um computador
muda o processamento, armazenamento e comunicação das informações
contábeis, e pode afetar os sistemas de controles internos e contábeis
utilizados pela entidade. Conseqüentemente, um ambiente de PED pode afetar:
a) os procedimentos seguidos pelo auditor para obter um entendimento suficiente
dos sistemas de controles internos e contábeis;
b) a avaliação do risco inerente e do risco de controle por meio
dos quais o auditor chega à avaliação de risco de auditoria;
e
c) o planejamento e execução dos testes de controle e aplicação
de procedimentos substantivos adequados para alcançar o objetivo de auditoria
por parte do auditor.
11.12.2. CAPACIDADE E COMPETÊNCIA
11.12.2.1. O auditor deve ter conhecimento suficiente do ambiente de PED para
planejar, executar, supervisionar e revisar o trabalho realizado pela equipe
de auditoria. O auditor deve considerar a necessidade, ou não, de utilizar
especialistas com experiência em ambiente de PED.
11.12.2.2. Essa experiência pode ser necessária para:
a) obter entendimento suficiente dos sistemas de controles internos e contábeis
afetados pelo ambiente de PED;
b) determinar o efeito do ambiente de PED em relação à
avaliação do risco total e do risco nas demonstrações
contábeis e no nível de classe de transações; e
c) planejar e aplicar testes adequados de controle e procedimentos substantivos.
11.12.2.3. Se for considerada necessária a utilização de
especialista com experiência e capacidade técnica para entender
e atuar em ambiente de PED, o auditor deve procurar a ajuda de profissional
que possua essa capacidade, que tanto pode ser da sua equipe ou profissional
externo. No caso de utilização de profissional externo, o auditor
deve obter evidência de auditoria suficiente de que esse trabalho é
adequado para fins de auditoria, observando as normas profissionais que tratam
da utilização do trabalho de especialista externo, visto que a
responsabilidade final é do auditor.
11.12.3. PLANEJAMENTO
11.12.3.1. O auditor deve obter entendimento necessário e suficiente
dos sistemas contábeis e de controles internos para planejar a auditoria
e desenvolver uma abordagem eficaz.
11.12.3.2. Durante o planejamento das fases da auditoria, que podem ser afetadas
pelo ambiente de PED da entidade, o auditor deve obter entendimento da relevância
e complexidade das atividades do ambiente de PED e a disponibilidade de dados
para serem utilizados na auditoria. Esse entendimento inclui assuntos tais como:
a) a relevância e a complexidade do processamento informatizado em cada
aplicativo contábil significativo. A relevância refere-se à
representatividade das assertivas contidas nas Demonstrações Contábeis
afetadas pelo processamento informatizado. Um sistema informatizado pode ser
considerado complexo quando, por exemplo:
a.1) o volume de transações é tão grande, que os
usuários considerariam difícil identificar e corrigir erros no
processamento;
a.2) o programa aplicativo gera, automaticamente, transações relevantes
ou acessa, diretamente, outro(s) programa(s) aplicativo(s);
a.3) o programa aplicativo efetua cálculos complexos de informações
contábeis e/ou gera, automaticamente, transações relevantes
ou acessos que não podem ser, ou não são, validados independentemente;
e
a.4) as transações são intercambiadas eletronicamente com
outros sistemas internos ou de terceiros, sem que haja revisão manual
quanto a sua adequação ou razoabilidade.
b) a estrutura organizacional das atividades de PED da entidade e a amplitude
da concentração ou distribuição do processamento
informatizado, particularmente à medida que afetam a segregação
de funções;
c) a disponibilidade de dados, tais como documentos-fonte, certos arquivos informatizados
e outras documentações comprobatórias, necessários
ao trabalho do auditor. Essa disponibilidade pode existir apenas por um curto
período ou apenas em arquivo eletrônico;
d) a capacidade da estrutura de PED da entidade para gerar relatório
interno útil para o desenvolvimento de testes substantivos e outros procedimentos
analíticos; e
e) o potencial de utilização de técnicas de auditoria com
o auxílio do computador, as quais propiciam maior eficiência na
aplicação dos procedimentos de auditoria aos saldos de contas
ou transações.
11.12.3.3. Quando o uso de sistemas informatizados for intensivo e gerar informações
significativas, o auditor deve também obter entendimento do ambiente
de PED, que possa influenciar a avaliação de riscos inerentes
e de controle. A natureza dos riscos e as características do controle
interno nos ambientes de PED incluem o seguinte:
a) falta de trilhas de transação – alguns sistemas de PED
permitem que, apenas por um curto espaço de tempo ou somente em formato
eletrônico, exista uma trilha de transação completa e útil
para fins de auditoria. Pode não existir uma trilha completa, na qual
um programa aplicativo complexo desempenhe muitas etapas de processamento. Conseqüentemente,
eventuais erros de lógica em programas aplicativos complexos podem ser
de difícil detecção, em tempo hábil, por meio de
procedimentos manuais;
b) processamento uniforme das transações – o sistema informatizado
processa, uniformemente, todas as transações com as mesmas instruções
de processamento. Assim, os erros de compilação, comumente associados
a processamento manual, são, virtualmente, eliminados. Inversamente,
erros de programação, ou outros erros e falhas sistemáticos
em hardware ou software, resultam em processamento incorreto de todas as transações;
c) falta de segregação de funções – muitos
procedimentos de controle que seriam exercidos por vários indivíduos,
de forma segregada em sistemas manuais, podem estar concentrados no PED. Conseqüentemente,
um indivíduo que possui acesso a programas, processamento ou dados informatizados
pode estar ocupando uma posição com o desempenho de funções
incompatíveis;
d) possibilidade de erros e irregularidades – a existência de erros
humanos no desenvolvimento, manutenção e execução
de PED pode ser maior do que em sistemas manuais, em parte devido ao nível
de detalhes relacionados a essas atividades. Além disso, a capacidade
de os indivíduos obterem acesso não-autorizado aos dados ou alterarem
os dados sem evidência visível pode ser maior em um ambiente de
PED do que nos sistemas manuais;
e) reduzido envolvimento humano – o manuseio das transações
processadas pelo PED pode reduzir a capacidade de detecção de
erros e irregularidades. Os erros ou as irregularidades que ocorrem durante
o desenvolvimento, a modificação dos programas aplicativos ou
de sistemas podem manter-se não-detectados por longos períodos;
f) início ou execução das transações –
o PED pode incluir a capacidade de iniciar e executar certos tipos de transações,
automaticamente. A autorização dessas transações
ou procedimentos pode não estar documentada da mesma maneira que aquelas
presentes no sistema manual. Essa autorização por parte da administração
pode ser implícita na aceitação do desenvolvimento e na
alteração subseqüente nos programas aplicativos;
g) dependência de outros controles sobre o processamento informatizado
– o processamento informatizado pode produzir relatórios e outras
informações que são utilizados na execução
de procedimentos de controle manual. A eficácia desses procedimentos
de controle manual pode depender da própria eficácia dos controles
sobre a integridade e a exatidão do processamento informatizado. Por
sua vez, a eficácia e a solidez da aplicação dos controles
de processamento de transações nos programas aplicativos ficam,
freqüentemente, dependentes da eficácia de controles gerais do PED;
h) capacidade crescente para supervisão gerencial – o ambiente
de PED pode oferecer à administração uma variedade de ferramentas
analíticas úteis à revisão e à supervisão
das operações da entidade. A utilização desses controles
adicionais pode servir para melhorar a estrutura de controles internos; e
i) capacidade para utilizar as técnicas de auditoria com o auxílio
do computador – o processamento e a análise de grandes quantidades
de dados com a utilização de recursos informatizados oferece ao
auditor oportunidades para aplicar técnicas de auditoria ou utilizar
ferramentas informatizadas, gerais ou especializadas para a execução
de testes de auditoria.
11.12.3.4. Tanto os riscos como os controles decorrentes dessas características
do ambiente de PED têm um forte impacto na avaliação de
risco pelo auditor e, conseqüentemente, na determinação da
natureza, na oportunidade e na extensão dos procedimentos de auditoria.
11.12.4. AVALIAÇÃO DO RISCO
11.12.4.1. O auditor deve proceder à avaliação dos riscos
inerentes e de controle para as assertivas contidas nas Demonstrações
Contábeis.
11.12.4.2. Os riscos inerentes de controle em ambiente de PED podem ter efeitos
relevantes sobre todo o sistema contábil ou somente sobre contas específicas,
conforme segue:
a) os riscos podem resultar em deficiências generalizadas nas atividades
de PED, tais como manutenção e desenvolvimento de programa, suporte
de software, operações, segurança física do PED
e controle sobre o acesso especial ou privilegiado a programas utilitários.
Essas deficiências tendem a ter impacto generalizado em todos os programas
aplicativos;
b) os riscos podem aumentar a possibilidade de erros ou atividades fraudulentas
em programas aplicativos específicos, em bases de dados ou arquivos-mestres
específicos, ou em atividades de processamento específicas. Por
exemplo, erros não são incomuns em sistemas que desenvolvem lógica
ou efetuam cálculos complexos, ou que devam operar com muitas e diferentes
exceções. Os sistemas informatizados que controlam atividades
típicas de tesouraria são mais suscetíveis a ações
fraudulentas por usuários ou pelo próprio pessoal do PED.
11.12.4.3. À medida que as novas tecnologias de PED surgem, estas são,
freqüentemente, empregadas pelas entidades para formar de modo crescente
sistemas informatizados complexos que podem incluir microcomputadores interagindo
com computadores de grande porte, bases de dados distribuídas, processamento
de usuário final e sistemas de gerenciamento de negócios que fornecem
informações diretamente para os sistemas contábeis. Esses
sistemas aumentam a sofisticação geral do PED e a complexidade
dos programas aplicativos específicos por ele afetados. Como resultado,
podem aumentar o risco e exigir considerações adicionais.
11.12.5. PROCEDIMENTOS DE AUDITORIA
11.12.5.1. O auditor deve levar em consideração o ambiente de
PED no planejamento dos procedimentos de auditoria para reduzir o risco de auditoria
em um nível aceitável.
11.12.5.2. Os objetivos de auditoria não mudam se os dados contábeis
forem processados manualmente ou pelo computador. Entretanto, os métodos
de aplicação dos procedimentos de auditoria para obter evidências
podem ser influenciados pelos métodos de processamento com o auxílio
do computador.
11.12.5.3. O auditor pode aplicar procedimentos de auditoria com ou sem auxílio
de sistemas informatizados, ou ainda uma combinação de ambos,
a fim de obter evidências suficientes. Em alguns sistemas contábeis,
que utilizam no processamento programas aplicativos relevantes, pode ser difícil
ou impraticável para o auditor obter certos dados para inspeção,
indagação ou confirmação sem o auxílio de
sistemas informatizados.
11.12.6. DAS SANÇÕES
11.12.6.1. A inobservância desta norma constitui infração
disciplinar, sujeita às penalidades previstas nas alíneas “c”,
“d” e “e” do artigo 27 do Decreto-Lei nº 9.295,
de 27 de maio de 1946 e, quando aplicável, ao Código de Ética
do Profissional Contabilista. (José Martonio Alves Coelho – Presidente
do Conselho)
O Portal Contábeis se isenta de quaisquer responsabilidades civis sobre eventuais discussões dos usuários ou visitantes deste site, nos termos da lei no 5.250/67 e artigos 927 e 931 ambos do novo código civil brasileiro.