res1029-29-2005

CFC
NBC T 11.12 - PROCESSAMENTO ELETRÔNICO DE DADOS

RESUMO: Aprovada a Norma Brasileira de Contabilidade - NBC T 11.12 - Processamento Eletrônico de Dados.

RESOLUÇÃO CFC Nº 1.029, de 24.06.2005
(DOU de 06.07.2005)

Aprova a NBC T 11.12 - Processamento Eletrônico de Dados.

O CONSELHO FEDERAL DE CONTABILIDADE, no exercício de suas atribuições legais e regimentais,

CONSIDERANDO que as Normas Brasileiras de Contabilidade e suas Interpretações Técnicas constituem corpo de doutrina contábil, que estabelece regras de procedimentos técnicos a serem observadas quando da realização de trabalhos;

CONSIDERANDO a constante evolução e a crescente importância da auditoria, que exige atualização e aprimoramento das normas endereçadas a sua regência, de modo a manter permanente justaposição e ajustamento entre o trabalho a ser realizado e o modo ou o processo dessa realização;

CONSIDERANDO que a forma adotada de fazer uso de trabalhos de instituições com as quais o Conselho Federal de Contabilidade mantém relações regulares e oficiais está de acordo com as diretrizes constantes dessas relações;

CONSIDERANDO que o Grupo de Estudo para Auditoria instituído pelo Conselho Federal de Contabilidade, em conjunto com o IBRACON - Instituto dos Auditores Independentes do Brasil, atendendo ao que está disposto no Art. 3º da Resolução CFC nº 751, de 29 de dezembro de 1993, que recebeu nova redação pela Resolução CFC nº 980, de 24 de outubro de 2003, elaborou a NBC T 11.12 - Processamento Eletrônico de Dados;

CONSIDERANDO que por se tratar de atribuição que, para adequado desempenho, deve ser empreendida pelo Conselho Federal de Contabilidade em regime de franca, real e aberta cooperação com o Banco Central do Brasil (BACEN), a Comissão de Valores Mobiliários (CVM), o IBRACON - Instituto dos Auditores Independentes do Brasil, o Instituto Nacional de Seguro Social (INSS), o Ministério da Educação, a Secretaria Federal de Controle, a Secretaria da Receita Federal, a Secretaria do Tesouro Nacional e a Superintendência de Seguros Privados, resolve:

Art. 1º - Aprovar a NBC T 11.12 - Processamento Eletrônico de Dados.

Art. 2º - Esta Resolução entra em vigor na data de sua publicação, revogando-se as disposições em contrário, em especial, o item 11.2.10 da NBC T 11 - Normas de Auditoria Independente das Demonstrações Contábeis, publicada no DOU em 21 de janeiro de 1998, seção 1, páginas 47 a 49.

NORMAS BRASILEIRAS DE CONTABILIDADE

NBC T 11 - NORMAS DE AUDITORIA INDEPENDENTE DAS DEMONSTRAÇÕES CONTÁBEIS

NBC T 11.12 - PROCESSAMENTO ELETRÔNICO DE DADOS - PED

11.12.1. DISPOSIÇÕES GERAIS
11.12.1.1. Esta norma estabelece procedimentos e critérios a serem seguidos quando uma auditoria é conduzida em um ambiente de Processamento Eletrônico de Dados (PED).

11.12.1.2. Pressupõe-se que existe um ambiente de PED quando um computador de qualquer tipo ou tamanho é utilizado pela entidade no processamento de informações contábeis de relevância para a auditoria, indiferentemente se o computador é operado pela própria entidade ou por terceiros.

11.12.1.3. O objetivo e o escopo geral de uma auditoria não mudam em um ambiente de PED. Entretanto, a utilização de um computador muda o processamento, armazenamento e comunicação das informações contábeis, e pode afetar os sistemas de controles internos e contábeis utilizados pela entidade. Conseqüentemente, um ambiente de PED pode afetar:
a) os procedimentos seguidos pelo auditor para obter um entendimento suficiente dos sistemas de controles internos e contábeis;
b) a avaliação do risco inerente e do risco de controle por meio dos quais o auditor chega à avaliação de risco de auditoria; e
c) o planejamento e execução dos testes de controle e aplicação de procedimentos substantivos adequados para alcançar o objetivo de auditoria por parte do auditor.

11.12.2. CAPACIDADE E COMPETÊNCIA
11.12.2.1. O auditor deve ter conhecimento suficiente do ambiente de PED para planejar, executar, supervisionar e revisar o trabalho realizado pela equipe de auditoria. O auditor deve considerar a necessidade, ou não, de utilizar especialistas com experiência em ambiente de PED.

11.12.2.2. Essa experiência pode ser necessária para:
a) obter entendimento suficiente dos sistemas de controles internos e contábeis afetados pelo ambiente de PED;
b) determinar o efeito do ambiente de PED em relação à avaliação do risco total e do risco nas demonstrações contábeis e no nível de classe de transações; e
c) planejar e aplicar testes adequados de controle e procedimentos substantivos.

11.12.2.3. Se for considerada necessária a utilização de especialista com experiência e capacidade técnica para entender e atuar em ambiente de PED, o auditor deve procurar a ajuda de profissional que possua essa capacidade, que tanto pode ser da sua equipe ou profissional externo. No caso de utilização de profissional externo, o auditor deve obter evidência de auditoria suficiente de que esse trabalho é adequado para fins de auditoria, observando as normas profissionais que tratam da utilização do trabalho de especialista externo, visto que a responsabilidade final é do auditor.

11.12.3. PLANEJAMENTO
11.12.3.1. O auditor deve obter entendimento necessário e suficiente dos sistemas contábeis e de controles internos para planejar a auditoria e desenvolver uma abordagem eficaz.
11.12.3.2. Durante o planejamento das fases da auditoria, que podem ser afetadas pelo ambiente de PED da entidade, o auditor deve obter entendimento da relevância e complexidade das atividades do ambiente de PED e a disponibilidade de dados para serem utilizados na auditoria. Esse entendimento inclui assuntos tais como:
a) a relevância e a complexidade do processamento informatizado em cada aplicativo contábil significativo. A relevância refere-se à representatividade das assertivas contidas nas Demonstrações Contábeis afetadas pelo processamento informatizado. Um sistema informatizado pode ser considerado complexo quando, por exemplo:
a.1) o volume de transações é tão grande, que os usuários considerariam difícil identificar e corrigir erros no processamento;
a.2) o programa aplicativo gera, automaticamente, transações relevantes ou acessa, diretamente, outro(s) programa(s) aplicativo(s);
a.3) o programa aplicativo efetua cálculos complexos de informações contábeis e/ou gera, automaticamente, transações relevantes ou acessos que não podem ser, ou não são, validados independentemente; e
a.4) as transações são intercambiadas eletronicamente com outros sistemas internos ou de terceiros, sem que haja revisão manual quanto a sua adequação ou razoabilidade.
b) a estrutura organizacional das atividades de PED da entidade e a amplitude da concentração ou distribuição do processamento informatizado, particularmente à medida que afetam a segregação de funções;
c) a disponibilidade de dados, tais como documentos-fonte, certos arquivos informatizados e outras documentações comprobatórias, necessários ao trabalho do auditor. Essa disponibilidade pode existir apenas por um curto período ou apenas em arquivo eletrônico;
d) a capacidade da estrutura de PED da entidade para gerar relatório interno útil para o desenvolvimento de testes substantivos e outros procedimentos analíticos; e
e) o potencial de utilização de técnicas de auditoria com o auxílio do computador, as quais propiciam maior eficiência na aplicação dos procedimentos de auditoria aos saldos de contas ou transações.
11.12.3.3. Quando o uso de sistemas informatizados for intensivo e gerar informações significativas, o auditor deve também obter entendimento do ambiente de PED, que possa influenciar a avaliação de riscos inerentes e de controle. A natureza dos riscos e as características do controle interno nos ambientes de PED incluem o seguinte:
a) falta de trilhas de transação - alguns sistemas de PED permitem que, apenas por um curto espaço de tempo ou somente em formato eletrônico, exista uma trilha de transação completa e útil para fins de auditoria. Pode não existir uma trilha completa, na qual um programa aplicativo complexo desempenhe muitas etapas de processamento.
Conseqüentemente, eventuais erros de lógica em programas aplicativos complexos podem ser de difícil detecção, em tempo hábil, por meio de procedimentos manuais;
b) processamento uniforme das transações - o sistema informatizado processa, uniformemente, todas as transações com as mesmas instruções de processamento. Assim, os erros de compilação, comumente associados a processamento manual, são, virtualmente, eliminados. Inversamente, erros de programação, ou outros erros e falhas sistemáticos em hardware ou software, resultam em processamento incorreto de todas as transações;
c) falta de segregação de funções - muitos procedimentos de controle que seriam exercidos por vários indivíduos, de forma segregada em sistemas manuais, podem estar concentrados no PED.
Conseqüentemente, um indivíduo que possui acesso a programas, processamento ou dados informatizados pode estar ocupando uma posição com o desempenho de funções incompatíveis;
d) possibilidade de erros e irregularidades - a existência de erros humanos no desenvolvimento, manutenção e execução de PED pode ser maior do que em sistemas manuais, em parte devido ao nível de detalhes relacionados a essas atividades. Além disso, a capacidade de os indivíduos obterem acesso não-autorizado aos dados ou alterarem os dados sem evidência visível pode ser maior em um ambiente de PED do que nos sistemas manuais;
e) reduzido envolvimento humano - o manuseio das transações processadas pelo PED pode reduzir a capacidade de detecção de erros e irregularidades. Os erros ou as irregularidades que ocorrem durante o desenvolvimento, a modificação dos programas aplicativos ou de sistemas podem manter-se não-detectados por longos períodos;
f) início ou execução das transações - o PED pode incluir a capacidade de iniciar e executar certos tipos de transações, automaticamente.
A autorização dessas transações ou procedimentos pode não estar documentada da mesma maneira que aquelas presentes no sistema manual. Essa autorização por parte da administração pode ser implícita na aceitação do desenvolvimento e na alteração subseqüente nos programas aplicativos;
g) dependência de outros controles sobre o processamento informatizado - o processamento informatizado pode produzir relatórios e outras informações que são utilizados na execução de procedimentos de controle manual. A eficácia desses procedimentos de controle manual pode depender da própria eficácia dos controles sobre a integridade e a exatidão do processamento informatizado. Por sua vez, a eficácia e a solidez da aplicação dos controles de processamento de transações nos programas aplicativos ficam, freqüentemente, dependentes da eficácia de controles gerais do PED;
h) capacidade crescente para supervisão gerencial - o ambiente de PED pode oferecer à administração uma variedade de ferramentas analíticas úteis à revisão e à supervisão das operações da entidade. A utilização desses controles adicionais pode servir para melhorar a estrutura de controles internos; e
i) capacidade para utilizar as técnicas de auditoria com o auxílio do computador - o processamento e a análise de grandes quantidades de dados com a utilização de recursos informatizados oferece ao auditor oportunidades para aplicar técnicas de auditoria ou utilizar ferramentas informatizadas, gerais ou especializadas para a execução de testes de auditoria.
11.12.3.4. Tanto os riscos como os controles decorrentes dessas características do ambiente de PED têm um forte impacto na avaliação de risco pelo auditor e, conseqüentemente, na determinação da natureza, na oportunidade e na extensão dos procedimentos de auditoria.

11.12.4. AVALIAÇÃO DO RISCO
11.12.4.1. O auditor deve proceder à avaliação dos riscos inerentes e de controle para as assertivas contidas nas Demonstrações Contábeis.
11.12.4.2. Os riscos inerentes de controle em ambiente de PED podem ter efeitos relevantes sobre todo o sistema contábil ou somente sobre contas específicas, conforme segue:
a) os riscos podem resultar em deficiências generalizadas nas atividades de PED, tais como manutenção e desenvolvimento de programa, suporte de software, operações, segurança física do PED e controle sobre o acesso especial ou privilegiado a programas utilitários.
Essas deficiências tendem a ter impacto generalizado em todos os programas aplicativos.
b) os riscos podem aumentar a possibilidade de erros ou atividades fraudulentas em programas aplicativos específicos, em bases de dados ou arquivos-mestres específicos, ou em atividades de processamento específicas. Por exemplo, erros não são incomuns em sistemas que desenvolvem lógica ou efetuam cálculos complexos, ou que devam operar com muitas e diferentes exceções. Os sistemas informatizados que controlam atividades típicas de tesouraria são mais suscetíveis a ações fraudulentas por usuários ou pelo próprio pessoal do PED.
11.12.4.3. À medida que as novas tecnologias de PED surgem, estas são, freqüentemente, empregadas pelas entidades para formar de modo crescente sistemas informatizados complexos que podem incluir microcomputadores interagindo com computadores de grande porte, bases de dados distribuídas, processamento de usuário final e sistemas de gerenciamento de negócios que fornecem informações diretamente para os sistemas contábeis. Esses sistemas aumentam a sofisticação geral do PED e a complexidade dos programas aplicativos específicos por ele afetados. Como resultado, podem aumentar o risco e exigir considerações adicionais.

11.12.5. PROCEDIMENTOS DE AUDITORIA
11.12.5.1. O auditor deve levar em consideração o ambiente de PED no planejamento dos procedimentos de auditoria para reduzir o risco de auditoria a um nível aceitável.
11.12.5.2. Os objetivos de auditoria não mudam se os dados contábeis forem processados manualmente ou pelo computador. Entretanto, os métodos de aplicação dos procedimentos de auditoria para obter evidências podem ser influenciados pelos métodos de processamento com o auxílio do computador.
11.12.5.3. O auditor pode aplicar procedimentos de auditoria com ou sem auxílio de sistemas informatizados, ou ainda uma combinação de ambos, a fim de obter evidências suficientes. Em alguns sistemas contábeis, que utilizam no processamento programas aplicativos relevantes, pode ser difícil ou impraticável para o auditor obter certos dados para inspeção, indagação ou confirmação sem o auxílio de sistemas informatizados.

11.12.6. DAS SANÇÕES
11.12.6.1. A inobservância desta norma constitui infração disciplinar, sujeita às penalidades previstas nas alíneas "c", "d" e "e" do artigo 27 do Decreto-lei nº 9.295, de 27 de maio de 1946 e, quando aplicável, ao Código de Ética do Profissional Contabilista.

Ata CFC nº 873

José Martonio Alves Coelho
Presidente do Conselho