Auditoria

Asseguração — Relatos Financeiros, Sustentabilidade (ISSB) e Controles de Serviços

Conclusões de asseguração limitada ou razoável sobre relatórios financeiros/não financeiros, sustentabilidade (IFRS S1/S2 — ISSB/CBPS) e controles em organizações de serviço (SOC 1 — ISAE 3402), com trabalhos em conformidade com ISAE 3000 (Revised) e NBC TO 3000 — já preparados para a transição à ISSA 5000.

• Não é Auditoria de Demonstrações Financeiras (NBC TA/ISA).
Se você precisa de opinião sobre DF, veja “Auditoria de DF”.
• Não é Procedimentos Acordados (ISRS 4400).
Em AUP entregamos constatações factuais sem opinião; aqui emitimos conclusão de asseguração (limitada ou razoável).

Por que agora:

→ ISSA 5000: primeiro padrão global de asseguração de sustentabilidade, aplicável a períodos iniciados em 15/12/2026 (adoção antecipada possível). Até lá, vigem ISAE 3000/NBC TO 3000.
→ IFRS S1/S2 (ISSB) obrigatórios no Brasil a partir de 2026; a CVM incluiu supervisões temáticas no PAFS 2025–2026.
→ SOC 1 (ISAE 3402): clientes e auditores dos usuários exigem conforto independente sobre controles de organizações de serviço (payroll, billing, data centers, fintech-as-a-service).
→ Confiança e comparabilidade de KPIs/informações prospectivas dependem de critérios adequados e evidência robusta.

O que entregamos (pacote — “assurance-ready”)

• Sustentabilidade (ISSB/IFRS S1 e S2 | ISAE 3000 → ISSA 5000):
Escopo: indicadores, narrativas e controles do relato (governança, estratégia, riscos, métricas/targets).
Nível: limitada (analíticos/indagações) ou razoável (testes extensos).
Planejamento: riscos, materialidade, amostragem e critérios; mapa de fontes/evidências.
Relatório: conclusão clara, escopo, critérios, responsabilidades e ênfases/limitações.

• Controles de Serviço — SOC 1 (ISAE 3402 Tipo I/Tipo II):
Tipo I: desenho em uma data; Tipo II: efetividade operacional em período.
Descrição do sistema, objetivos de controle, testes e resultados; cartas a usuários/ auditores dos usuários.

• Informações financeiras e prospectivas / KPIs específicos:
Asseguração sobre métricas, dashboards e projeções, desde que existam critérios adequados (completude, validade, mensuração).
Amarração dado → controle → relatório (trilha auditável).

• Assuntos temáticos/sistêmicos e compliance:
Controles internos, TI/processos, conformidade regulatória e métricas operacionais sob ISAE 3000/NBC TO 3000.

Entrega comum a todos os escopos

• Plano de materialidade e riscos
• Test plan detalhado
• Papéis de trabalho rastreáveis
• Matriz de evidências (procedimento ↔ evidência ↔ conclusão)
• Relatório de asseguração (limitada/razoável)
• Carta de achados e recomendações.

Como funciona (processo e prazos)

• Kickoff objetivo: critérios, escopo, materialidade, cronograma e owners.
• Sprints de testes e checkpoints executivos; comunicação proativa com governança.
• Entregas iterativas: prévia de achados críticos, de-para de melhorias e impactos.
• Qualidade irredutível: avançamos por critérios técnicos; documentação “ready-to-review”.
• Integração com Sustentabilidade, Riscos/Controles Internos e TI para fechar gaps.

Nossos diferenciais

→ Transição para ISSA 5000: mapeamos desde já os requisitos futuros, reduzindo retrabalho em 2026.
→ Foco Brasil/ISSB: calibramos escopo e controles pensando em IFRS S1/S2 e no olhar da CVM.
→ SOC 1 sem surpresas: ISAE 3402 com desenho de testes e linguagem esperados por auditores dos usuários.
→ Relatórios que executivos entendem: sumário executivo (escopo, conclusão, key matters) + anexos técnicos para auditor/regulador.
→ Plano de melhoria acionável: achados conectados a dados, processos e controles — com priorização por risco/impacto.

Escopos típicos (exemplos)

• Sustentabilidade (ISSB/CBPS/GRI/TCFD/CDP) — métricas climáticas (S2), governança/risco/estratégia (S1), GEE (migração ISSA 5000).
• SOC 1 (ISAE 3402) — payroll terceirizado, billing, ERP/data center e serviços financeiros.
• KPIs operacionais/financeiros — churn, NPS, OTIF, disponibilidade, eficiência, desde que suportados por critérios adequados.
• Controles e conformidade — temas específicos (ex.: privacidade, disponibilidade, integridade de processamento) com critérios definidos.

O que você recebe (amostras de entregáveis)

• Relatório de Asseguração (limitada/razoável) com conclusão inequívoca.
• Papéis de trabalho e matriz de evidências completos e rastreáveis.
• Carta de recomendações (plano de ação priorizado).
• Sumário executivo para Conselho/Comitê e arquivos para auditor/regulador.

Perguntas frequentes (FAQ)

Qual padrão vale para sustentabilidade: ISAE 3000 ou ISSA 5000?

Até períodos iniciados em 15/12/2026, usa-se ISAE 3000/NBC TO 3000; a partir dali, ISSA 5000 (adoção antecipada possível).

A ISAE 3410 (GEE) continua válida?

Será revogada na vigência da ISSA 5000 para períodos iniciados em/apos 15/12/2026.

SOC 1 é ISAE 3402 ou ISAE 3000?

ISAE 3402 é o padrão específico (SOC 1). ISAE 3000 cobre demais objetos.

Asseguração limitada x razoável — diferença prática?

Limitada: procedimentos sobretudo analíticos/indagações. Razoável: testes extensos e maior profundidade de evidência. Ambas entregam conclusão.

Como isso difere de AUP (ISRS 4400)?

AUP não emite opinião — só constatações factuais de procedimentos acordados. Se seu objetivo é opinião/conclusão, use Asseguração.

É auditoria de DF?

Não. Auditoria de DF segue NBC TA/ISA e gera opinião sobre demonstrações. Asseguração foca sustentabilidade, KPIs e controles de serviço.

Preciso de critérios?

Sim. Sem critérios adequados não há asseguração. Ajudamos a definir/validar critérios (relevância, mensurabilidade, verificabilidade e consistência).

Entre em contato com a EPC Experts e saiba mais

Solicitar proposta