Risco de auditoria

O risco de auditoria consiste na possibilidade do auditor emitir uma opinião não apropriada sobre as demonstrações financeiras ao não considerar situações com incorrecções materialmente relevantes. ( ISA<ref>International Standards on Auditing</ref> 200<ref>ISA200</ref>, IFAC<ref>International Federation of Accountants </ref> e DRA<ref>Directriz de Revisão/Auditoria</ref> 400<ref>DRA400</ref>, OROC<ref>Ordem dos Revisores Oficiais de Contas</ref> )

Significa isto que apesar dos objectivos do trabalho do auditor não ser a detecção de fraudes e erros, este deve adoptar uma atitude de dúvida sistemática independentemente da satisfação quanto à evidência recolhida em resultado dos procedimentos adoptados. Isto porque deve estar consciente da existência de incertezas acerca dos atributos das evidências, da eficiência dos mecanismos de controlo interno do cliente e do facto do seu procedimento se basear em estimativas e amostras, mais ou menos representativas.

Nos Estados Unidos da América (EUA), o risco de auditoria é definido na SAS n.º 47<ref>SAS n.º 47</ref>, Audit Risk and Materiality in Conducting an Audit, como “The risk that the auditor may unknowingly fail to appropriately modify his or her opinion on financial statements that are materially misstated”<ref>"O risco do auditor poder inconscientemente (por desconhecimento) falhar a qualificar apropriadamente a sua opinião sobre as demonstrações financeiras que estejam materialmente mal relatadas."</ref> (AICPA 1984, ¶02).

Dever do auditor

O auditor deve procurar identificar e determinar os riscos de distorção material a nível de cada demonstração financeira e de cada asserção para as classes das transacções, saldos de conta e divulgações(ISA 315<ref>ISA 315</ref>)e a ISA 240, “A Responsabilidade do Auditor para Considerar Fraude na auditoria de Demonstrações Financeiras” presta, por sua vez, orientação em relação à responsabilidade do auditor para avaliar os riscos de distorção material devido a fraude.

A referida ISA 315, prevê ainda que “o auditor deve obter compreensão da entidade e do seu ambiente, incluindo o seu controlo interno, suficiente para identificar e avaliar os riscos de distorção das demonstrações financeiras quer devido a fraude ou a erro e suficiente para conceber e executar outros procedimentos de auditoria.”

Por sua vez, a ISA 500, “Prova de Auditoria” exige que o auditor use asserções com detalhe suficiente para ter uma base para a avaliação de riscos de distorção material e para conceber e executar outros procedimentos de auditoria. Esta ISA exige que o auditor faça avaliações de risco aos níveis de demonstração financeira e de asserção com base numa compreensão apropriada da entidade e do seu ambiente, incluindo o seu controlo interno.”

Nos EUA, por força do SAS n.º 82<ref>SAS n.º 82 clarifica as responsabilidades dos auditores </ref>, os auditores são obrigados avaliar especifica e particularmente o risco material de um relato financeiro incorrecto devido a fraude e a continuar a verificar sempre esse risco durante toda a auditoria - controlo e avaliação sistemática e a todo o momento da auditoria. A SAS descreve dois tipos de fraude que pode resultar em incorrectos relatos sobra as demonstrações financeiras: “fraudulent financial reporting”<ref>Relato financeiro fraudulento</ref> e “misappropriation of assets”<ref>Apropriação indevida de activos</ref> em todas as auditorias.

Componentes do risco de auditoria

O risco de auditoria decompõe-se em três componentes: risco inerente, risco de controlo e risco de detecção, que pode ser apresentado pela seguinte fórmula:

• Risco de Auditoria = Risco Inerente x Risco de Controlo x Risco de Detecção

Esta fórmula sugere a independência do Risco Inerente e o Risco de Controlo, definindo-os individualmente e combinando-os de forma multiplicativa. No entanto, esta suposta independência dos seus componentes, tem levado a que este modelo tradicional de risco de auditoria seja alvo de várias criticas por poder não produzir resultados apropriados, sob o argumento de que o risco inerente e o risco de controlo são dependentes ou pelo menos condicionais, na medida em que se a avaliação de um componente produz influência sobre outro componente não pode ser isolada nem hipotética nem substantivamente.

Nesse sentido, a ISA 200, IFAC (A14; pág. 20), torna mais explícito o condicionalismo entre os dois componentes, risco inerente e risco de controlo, aglomerando-os como [risco de distorção material], enquanto risco da entidade que existe independentemente da auditoria às demonstrações financeiras:

“The risks of material misstatement at the assertion level consist of two components: inherent risk; and control risk. Inherent risk and control risk are the entity’s risks; they exist independently of the audit of the financial statements.”

Podendo ser formulada como:

• Risco de Auditoria = f (Risco de Distorção material; Risco de Detecção)
  • em que o Risco de Distorção Material comporta o Risco Inerente e o Risco de Controlo

Nos Estados Unidos da América o risco de auditoria é representado na forma de um modelo no SAS e decomposto também nos mesmos três riscos em separado: Risco Inerente (inherent risk), risco de Controlo (control risk) e risco de detecção (detections risk). Este modelo multiplicativo é denominado Audit Risk Model (ARM) ou Audit Assurance Model (AAM), cuja fórmula é igual apresentada acima (agora em inglês):

• Audit Risk = Inherent Risk x Control Risk x Detection Risk

Ou, ainda de outra forma utilizada no planeamento da auditoria:

• Planed Detection Risk = Acceptable Audit Risk / (Inherent Risk x Control Risk)

Fluxograma da análise do risco de auditoria

Podemos sintetizar as diferentes componentes do risco de auditoria como:

• Risco inerente: pode ser definido como a susceptibilidade de uma asserção apresentar uma distorção que possa ser materialmente relevante, quer sejam considerada individualmente ou globalmente, antes de considerar controlos internos.
  • A relação do risco inerente dever ser consideranda no âmbito:
    • da natureza da actividade da empresa;
    • dos ajustamentos a demonstrações financeiras de exercícios anteriores;
    • da complexidade das transacções;
    • da competência, capacidade, integridade e idoneidade do Board;
    • da competência e da adequação dos colaboradores da empresa;
    • da susceptibilidade de ser perderem activos;
    • do nível de decisão de gestão;

• Risco de controlo: pode ser definido como risco de uma asserção apresentar uma distorção que possa ser materialmente relevante, quer individualmente ou quando agregada com outras distorções, e não possa ser evitada, ou detectada e corrigida tempestiva pelo sistema de controlo interno da empresa.

• Risco de detecção: pode ser definido como o risco resultante de os procedimentos do auditor não conduzirem à detecção de uma distorção que exista numa asserção e possa ser materialmente relevante, quer individualmente quer ou quando agregada com outras distorções.

Nota: O risco de detecção não pode ser reduzido a zero na medida em que o auditor deve estar consciente da existência de incertezas acerca dos atributos das evidências, da eficiência dos mecanismos de controlo interno do cliente e do facto do seu procedimento se basear em estimativas e amostras, mais ou menos representativas.

O risco inerente e o risco de controlo são diferentes do risco de detecção enquanto riscos que existem independentemente da auditoria às demonstrações financeiras.

Entre a materialidade e o nível de risco de revisão/auditoria existe uma relação inversa. Se aumentar o nível de materialidade aceitável o risco de revisão/auditoria reduz-se e vice-versa.

Nos EUA, como já vimos, a aludida SAS n.º 82 descreve dois tipos de fraude que pode resultar em incorrectos relatos sobre as demonstrações financeiras: “fraudulent financial reporting” e “misappropriation of assets” em todas as auditorias.

Para o risco de relato financeiro fraudulento (fraudulent financial reporting), a SAS n.º 82 identifica três outros tipos de risco: “management’s characteristics and influence over the control” (características da administração e influencia desta sobre o controlo – que será o mesmo que considerar a competência, capacidade, integridade, idoneidade e o nível de decisão da gestão), industry conditions” (natureza e condições da actividade) e “operating characteristics and finantial stability ” (características operacionais e estabilidade financeira – que será o mesmo que considerar a competência e adequação dos colaboradores, complexidade das operações e a susceptibilidade de se perderem activos). No risco de apropriação indevida de activos, a aludida norma identifica dois tipos de risco: “susceptibility of assets” to “missappropriation and controls” (predisposição/possibilidade de haver apropriação dos activos e do controlo – ou seja, falta de segregação de funções que permitam o controlo dos meios de controlo e apropriação de activos).

Notas

Referências

• Barros, Carlos; Revista Revisores & Empresas n.º33; Abril/Junho 2006; OROC; Lisboa
• Guy, D. M., Alderman, C. W., & Winters, A. J. (1999). Auditing (5th ed.). (H. B. Company, Ed.) Fort Worth, TX, United States of America: The Dryden Press.

Ver também

• Auditoria de demonstrações financeiras
• International Standards on Auditing
• Risco inerente
• Risco de controlo
• Risco de detecção
• Controlo interno
• Risco