Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 18/12/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025121800229
229
Nº 241, quinta-feira, 18 de dezembro de 2025
ISSN 1677-7042
Seção 1
118. Com base no entendimento do auditor independente do sistema de
informações e comunicação de acordo com o item 117, o auditor independente deve
avaliar se o sistema de informações da entidade apoia adequadamente a preparação das
informações de sustentabilidade de acordo com os critérios aplicáveis (ver item A386).
Atividades de Controle
119R. O auditor independente deve obter um entendimento das atividades de
controle, identificando (ver itens A387 a A392):
(a) os controles para os quais o auditor independente planeja obter evidência,
testando sua efetividade operacional, que devem incluir:
i.
controles
que
tratam
dos riscos
para
os
quais
os
procedimentos
substantivos isoladamente não fornecem evidência apropriada e suficiente; ou
ii. se aplicável, quaisquer controles complementares da entidade usuária
identificados em um relatório de asseguração de outro auditor independente que sejam
determinados como sendo relevantes para ela de acordo com o item 52.
(b) com base nos controles identificados no item (a), os aplicativos e os
outros aspectos do ambiente de TI da entidade que estão sujeitos a riscos decorrentes
do uso de TI;
(c) os controles gerais de TI da entidade que tratam dos riscos decorrentes
do uso de TI identificados no item (b); e
(d) outros controles que o auditor independente considerar apropriados para
identificar e avaliar os riscos de distorção relevante no nível de afirmação para
divulgações e para planejar procedimentos adicionais que respondem a esses riscos
avaliados.
Planejamento e Implementação dos Controles
.
.Asseguração Limitada
.Asseguração Razoável
. .120L. Se o auditor independente planeja
obter evidência, testando a efetividade
operacional dos controles, ele deve obter
um entendimento (ver itens A387 a A392,
A399L):
.120R. O auditor independente deve obter
um 
entendimento 
de
cada 
controle
identificado 
de 
acordo 
com 
o 
item
119R(a), (c) e (d) e por meio da (ver itens
A393 a A398):
. (a) 
dos 
controles
que 
o 
auditor
independente planeja testar, incluindo, se
aplicável, 
quaisquer 
controles
complementares 
da
entidade 
usuária
identificados no relatório de asseguração
de 
outro 
auditor 
independente 
que
sejam
(a) avaliação se o controle é planejado de
maneira eficaz para tratar do risco de
distorção relevante no nível de afirmação
ou para apoiar a operação de outros
controles; e
. .determinados como sendo relevantes para
ela de acordo com o item 52; e
.
. .(b) dos controles gerais de TI da entidade
que tratam dos riscos decorrentes do uso
de TI relacionados com os controles
identificados em (a) por meio da (ver itens
A393 a A398):
.(b) 
determinação 
se 
o 
controle 
foi
implementado mediante a execução de
procedimentos
que 
vão
além
das
indagações ao pessoal da entidade.
. .(a) avaliação se o controle é planejado de
maneira eficaz para tratar do risco de
distorção relevante para a divulgação ou
para suportar a operação de outros
controles; e
. .(b) 
determinação 
se 
o 
controle 
foi
implementado mediante a execução de
procedimentos
que 
vão
além
das
indagações ao pessoal da entidade.
.
Identificação de Deficiências de Controle
121. Com base no seu entendimento dos componentes do sistema de
controles internos da entidade, o auditor independente deve considerar se uma ou mais
deficiências de controle foram identificadas (ver itens A400 a A403).
Identificação e Avaliação dos Riscos de Distorção Relevante
.
.Asseguração Limitada
.Asseguração Razoável
. 122L.
O
auditor 
independente
deve
identificar e avaliar os riscos de distorção
relevante no nível de divulgação como
base 
para 
planejar 
e 
executar
procedimentos
cujas natureza,
época
e
extensão (ver itens A404 a A414, A416L,
A417):
122R.
O 
auditor
independente 
deve
identificar e avaliar os riscos de distorção
relevante no nível de afirmação como base
para planejar e executar procedimentos
cujas natureza, época e extensão (ver itens
A404 e A405, A407 e A408, A410 a A415R,
A417 e A418R):
. .(a) respondam aos riscos avaliados de
distorção relevante; e
.(a) respondam aos riscos avaliados de
distorção relevante; e
. .(b) permitam que o auditor independente
obtenha asseguração limitada de que as
informações de
sustentabilidade foram
elaboradas,
em 
todos
os
aspectos
relevantes, de acordo com os critérios
aplicáveis.
.(b) permitam que o auditor independente
obtenha asseguração razoável de que as
informações de
sustentabilidade foram
elaboradas,
em 
todos
os
aspectos
relevantes, de acordo com os critérios
aplicáveis.
123R. Devido à maneira imprevisível com que a administração é capaz de
transgredir os controles, o auditor independente deve tratar dos riscos de transgressão
dos controles pela administração como riscos de distorção relevante devido à fraude e,
portanto, riscos de distorção relevante no limite superior do espectro de risco (ver item
A418R).
Avaliação da Evidência Obtida a Partir dos Procedimentos de Avaliação de
Riscos
124. O auditor independente deve determinar se a evidência obtida a partir
dos procedimentos de avaliação de riscos fornece uma base apropriada para a
identificação e avaliação dos riscos de distorção relevante. Caso contrário, o auditor
independente deve executar procedimentos adicionais de avaliação até que a evidência
tenha sido obtida para fornecer tal base (ver item A419).
Documentação
125. O auditor independente deve incluir na documentação do trabalho:
(a) a discussão da equipe de trabalho de acordo com o item 105 e as
decisões significativas alcançadas;
(b) elementos-chave do entendimento, das indagações e das discussões do
auditor independente de acordo com os itens 106 a 119R;
(c) a avaliação do planejamento dos controles identificados e a determinação
se tais controles foram implementados de acordo com o item 120L e, se aplicável, com
o item 120R; e
(d) os riscos identificados e avaliados de distorção relevante de acordo com
os itens 122L e 122R.
Resposta aos Riscos de Distorção Relevante
Planejamento e Execução de Procedimentos Adicionais
.
.Asseguração Limitada
.Asseguração Razoável
. 126L.
O
auditor 
independente
deve
planejar 
e
executar 
procedimentos
adicionais 
cujas 
natureza,
época 
e
extensão respondam aos riscos avaliados
de distorção relevante, seja devido a
fraude ou erro, no nível de divulgação
126L.
O
auditor 
independente
deve
planejar 
e
executar 
procedimentos
adicionais 
cujas 
natureza,
época 
e
extensão respondam aos riscos avaliados
de distorção relevante, seja devido a
fraude ou erro, no nível de afirmação
. . (ver itens A284 a A287, A420 a A424).
.para as divulgações (ver itens A284 a
A287, A420 a A424).
127. Ao planejar e executar procedimentos adicionais, o auditor independente
deve (ver itens A424 a A427):
(a) considerar as razões para a avaliação dada aos riscos de distorção
relevante;
(b) considerar se o auditor independente pretende obter evidência sobre a
efetividade operacional dos controles na determinação da natureza, da época e da
extensão de outros procedimentos; e
(c) obter evidência mais persuasiva quanto maior for o risco avaliado pelo
auditor independente.
Respostas Gerais
.
.Asseguração Limitada
.Asseguração Razoável
. .128L.
O
auditor 
independente
deve
planejar e implementar respostas gerais
para
tratar 
dos
riscos 
de
distorção
relevante se ele identificar (ver itens A428
e A429):
.128R.
O 
auditor
independente 
deve
planejar e implementar respostas gerais
para
tratar 
dos
riscos 
de
distorção
relevante se (ver itens A428 e A429):
. .(a) deficiências de controle no ambiente
de controle que comprometam os outros
componentes do sistema
de controles
internos;
(a) a avaliação do auditor independente
sobre o ambiente de controle indicar
que:
- a administração, com a supervisão dos
. .(b) fraude ou suspeita de fraude ou não
conformidade 
ou 
suspeita
de 
não
conformidade com leis e regulamentos;
ou
responsáveis pela governança, não criou
nem manteve uma cultura de honestidade
e comportamento ético;
. (c)
riscos 
de
distorção 
relevante
de
maneira 
generalizada
em 
todas
as
informações de sustentabilidade.
- o ambiente de controle não fornece uma
base 
apropriada 
para
os 
outros
componentes do sistema
de controles
internos,
considerando
a natureza
e
a
complexidade da entidade; ou
. .
.- as deficiências de controle identificadas
no ambiente de controle comprometem os
outros 
componentes
do 
sistema
de
controles internos.
.
(a)
o auditor
independente
identificar
fraude ou suspeita de
fraude ou não
conformidade 
ou 
suspeita
de 
não
conformidade com leis e regulamentos;
ou
. .
.(b) o auditor
independente identificar
riscos de distorção relevante de maneira
generalizada em todas as informações de
sustentabilidade.
Resposta à Fraude Identificada ou Suspeita de Fraude ou à Não Conformidade
Identificada ou Suspeita de Não Conformidade com Leis e Regulamentos
129. O auditor independente deve responder adequadamente à fraude ou suspeita
de fraude e à não conformidade ou suspeita de não conformidade com leis e regulamentos
identificadas durante o trabalho mediante a obtenção de (ver itens A430 e A431):
(a) um entendimento da natureza do ato e das circunstâncias em que ocorreu; e
(b) informações adicionais para avaliar o possível efeito sobre as informações
de sustentabilidade.
130. Se o auditor independente suspeitar que pode haver casos de fraude ou
não conformidade com leis e regulamentos, ele deve discutir o assunto, salvo se proibido
por lei ou regulamento, com o nível apropriado da administração e, quando apropriado,
com os responsáveis pela governança (ver item A432).
131. O auditor independente deve avaliar as implicações da fraude identificada
ou da suspeita de fraude ou de não conformidade identificada ou da suspeita de não
conformidade com leis e regulamentos para o trabalho de asseguração, incluindo os
procedimentos de avaliação de riscos do auditor independente e a confiabilidade das
representações formais, e tomar a ação apropriada (ver itens A433 e A435).
Testes de Controles
132. Se o auditor independente pretende obter evidência da efetividade
operacional dos controles identificados de acordo com os itens 119R ou 120L, ele deve
planejar e realizar testes de controles (ver itens A436 e A437):
(a) realizando indagações e outros procedimentos para obter evidência sobre
a efetividade operacional dos controles, incluindo:
(i) o modo como os controles foram aplicados em momentos relevantes
durante o período ao qual as informações de sustentabilidade se referem;
(ii) a coerência com a qual foram aplicados; e
(iii) por quem ou, por que meios, foram aplicados; e
(b) determinando se os controles a serem testados dependem de outros
controles e, caso afirmativo, se é necessário obter evidência que apoie a operação efetiva
desses controles indiretos.
133. O auditor independente deve testar os controles para o período
apropriado para o qual ele pretende obter evidência da efetividade operacional desses
controles, de acordo com o item 134.
134. Se o auditor independente obtém evidência da efetividade operacional
dos controles durante um período intermediário e pretende estender as conclusões
desses testes de controles para o período remanescente, ele deve obter evidência da
efetividade operacional desses controles para o período subsequente ao período
intermediário.
135. Se o auditor independente planeja usar evidência de um trabalho de
asseguração de sustentabilidade anterior acerca da efetividade operacional dos controles,
ele deve estabelecer a relevância contínua da evidência mediante a obtenção de evidência
de se as alterações significativas nesses controles ocorreram após o trabalho anterior. O
auditor independente deve obter essa evidência por meio de indagação, juntamente com
observação ou inspeção, para confirmar o entendimento desses controles específicos (ver
itens A438 e A439), e
(a) se não tiver havido alterações que afetam a relevância contínua da evidência
do trabalho anterior, o auditor independente deve testar os controles pelo menos uma vez
a cada três trabalhos e deve testar alguns controles em cada trabalho; e
(b) se tiver havido alterações que afetam a relevância contínua da evidência
do trabalho anterior, o auditor independente deve testar os controles no trabalho
atual.
136. Se o auditor independente planeja obter evidência da efetividade
operacional dos controles sobre um risco de distorção relevante para o qual a avaliação
de riscos está próxima ao limite superior do espectro de risco, o auditor independente
deve testar esses controles no período atual.
137. Ao avaliar a efetividade
operacional dos controles, o auditor
independente deve avaliar se as distorções detectadas pela execução de outros
procedimentos indicam que os controles não estão operando de maneira eficaz. A
ausência de distorções detectadas por outros procedimentos, no entanto, não fornece
evidência de que os controles que estão sendo testados são eficazes.
138. Se forem detectados desvios nos controles que o auditor independente
testa, ele deve fazer indagações específicas para entender esses assuntos e suas
potenciais consequências, e deve determinar se:
(a) os testes de controles
que foram executados fornecem evidência
apropriada e suficiente da efetividade operacional desses controles;
(b) testes adicionais de controles são necessários; ou
(c) os potenciais riscos de distorção relevante precisam ser tratados através da
execução de procedimentos substantivos.
Procedimentos Substantivos
139R. Os procedimentos adicionais requeridos pelo item 126R devem incluir
procedimentos substantivos que respondam a cada risco para o qual a avaliação desse
risco está próxima do limite superior do espectro de risco (ver item A407).

Fechar