Resolução CG/ICP nº 44 de 18/04/2006
Norma Federal - Publicado no DO em 24 abr 2006
Aprova a versão 2.0 dos CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES DA ICP-BRASIL
(Revogado pela Resolução CG/ICP Nº 185 DE 18/05/2021, efeitos a partir de 01/06/2021):
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA - ICP-BRASIL faz saber que aquele Comitê, no uso das atribuições previstas nos incisos I, II e III do art. 4º da Medida Provisória nº 2.200-2, de 24 de agosto de 2001.
CONSIDERANDO que a experiência obtida com a aplicação dos procedimentos previstos na Resolução nº 24 mostrou a necessidade de complementar e clarificar pontos específicos do seu conteúdo, em especial no que tange à qualificação dos auditores e à contagem dos prazos regulamentares para cadastramento e autorização das empresas.
RESOLVE:
Art. 1º Aprovar a versão 2.0 dos CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES DA ICP-BRASIL (DOC-ICP nº 08), em anexo.
Art. 2º Fica revogada a Resolução do Comitê Gestor da ICPBrasil nº 24, de 29 de agosto de 2003 e convalidados os atos praticados durante sua vigência.
Art. 3º Esta Resolução entra em vigor na data de sua publicação.
ENYLSON FLÁVIO MARTINEZ CAMOLESI
ANEXO
CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES DA ICP-BRASIL
DOC-ICP-08 - Versão 2.00
LISTA DE ACRÔNIMOS
AC - Autoridade Certificadora
AC Raiz - Autoridade Certificadora Raiz da ICP-Brasil
AR - Autoridades de Registro
CG - Comitê Gestor
CNPJ - Cadastro Nacional de Pessoas Jurídicas
FGTS - Fundo de Garantia por Tempo de Serviço
ICP-Brasil - Infra-Estrutura de Chaves Públicas Brasileira
PSS - Prestadores de Serviço de Suporte
SICAF - Sistema Unificado de Cadastramento de Fornecedores
1. DISPOSIÇÕES GERAIS
1.1. As auditorias realizadas no âmbito da ICP-Brasil têm por objetivo verificar se os processos, procedimentos e atividades das entidades integrantes da ICP-Brasil estão em conformidade com suas respectivas DPC, PC, PS e demais normas e procedimentos estabelecidos pela ICP-Brasil.
1.2. Com exceção da auditoria da própria AC Raiz, que é de responsabilidade do CG da ICP-Brasil, as atividades de auditoria em todas as entidades da ICP-Brasil são de responsabilidade da AC Raiz, porém podem ser realizadas por terceiros por ela autorizados, conforme disposto no item 3.
1.3. Este documento regulamenta, no âmbito da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, as atividades de auditoria, a serem realizadas pela AC Raiz ou pelos terceiros por ela autorizados.
1.4. Para os efeitos deste documento, considera-se como AC responsável aquela que, possuindo entidades da ICP-Brasil que lhe estejam diretamente vinculadas - AC, AR ou PSS, deve providenciar a realização de auditorias em tais entidades.
1.5 Para os efeitos deste documento, considera-se como ACT responsável aquela que, possuindo PSS que lhe estejam diretamente vinculados, deve providenciar a realização de auditorias em tais entidades. (Item acrescentado pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
2. FREQÜÊNCIA DAS AUDITORIAS DE CONFORMIDADE
2.1. As entidades integrantes da ICP-Brasil sofrem auditoria:
a) pré-operacional, ou seja, previamente ao seu credenciamento na ICP-Brasil; e
b) operacional, para fins de continuidade do credenciamento, no mínimo uma vez por ano, considerado o ano fiscal.
2.2. Cada AC e ACT deverá encaminhar para aprovação da AC Raiz, até o dia 15 (quinze) de março de cada ano, seu plano anual de auditorias para todas as entidades da ICP-Brasil a ela vinculadas diretamente. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"2.2. Cada AC deverá encaminhar para aprovação da AC Raiz, até o dia 15 (quinze) de março de cada ano, seu plano anual de auditorias para todas as suas AC subseqüentes, AR e PSS."
2.3. Na formulação do plano anual de auditorias, para o caso de AR que possua mais de um endereço de instalação técnica, é facultado à AC responsável, especificamente para essa AR, propor um cronograma anual de auditoria com cobertura parcial de suas instalações técnicas, desde que:
a) cada instalação técnica seja auditada pelo menos uma vez a cada 2 anos;
b) sejam auditados anualmente, no mínimo, 50% (cinqüenta por cento) de suas instalações técnicas; e
c) a AC apresente os critérios e justificativas aplicados na seleção das instalações técnicas distribuídas por período de auditoria proposto.
2.4. Cada AC e ACT deverá disponibilizar à AC Raiz e às ACs de nível imediatamente superior, se for o caso, relatórios anuais de auditoria das entidades da ICP-Brasil a ela vinculadas diretamente, no máximo em 30 (trinta) dias, contados da data de emissão do relatório de auditoria. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"2.4. Cada AC deverá disponibilizar à AC Raiz e às AC de nível imediatamente superior relatórios anuais de auditoria das entidades da ICP-Brasil a ela vinculadas diretamente, no máximo em 30 (trinta) dias, contados da data de emissão do relatório de auditoria."
3. IDENTIDADE E QUALIFICAÇÃO DOS AUDITORES
3.1. Podem executar auditorias no âmbito da ICP-Brasil as seguintes entidades, observado o disposto na tabela abaixo:
a) Comitê Gestor da ICP-Brasil ou seus prepostos;
b) AC Raiz;
c) Autoridades Certificadoras;
d) Autoridades de Carimbo do Tempo;
e) Empresas de Auditoria Especializada e Independentes;
f) Órgãos de Auditoria Interna de AR, no caso de empresas que os possuam, por força de lei.
| EXECUTOR DA AUDITORIA | |||
| Pré-operacional | Operacional | ||
| AC Raiz | Comitê Gestor da ICP-Brasil ou seus prepostos | Comitê Gestor da ICP-Brasil ou seus prepostos | |
| AC de 1º Nível | AC Raiz | AC Raiz | |
| AC de 2º Nível | AC Raiz | Empresa de Auditoria Independente cadastrada junto à ICP-Brasil | |
| AR | Empresa de Auditoria Independente cadastrada junto à ICP-Brasil | AC à qual a AR se vincula ou Auditoria Interna da AR cadastrada junto à ICP-Brasil ou Empresa de Auditoria Independente cadastrada junto à ICP-Brasil | |
| AR no Exterior | AC Raiz ou, a seu critério, Empresa de Auditoria Independente cadastrada junto à ICP-Brasil | AC Raiz ou, a seu critério, Empresa de Auditoria Independente cadastrada junto à ICP-Brasil | |
| ACT | AC-Raiz | AC-Raiz | |
| PSS | Empresa de Auditoria Independente cadastrada junto à ICP-Brasil |
|
(Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"3.1. Podem executar auditorias no âmbito da ICP-Brasil as seguintes entidades, observado o disposto na tabela abaixo:
a) Comitê Gestor da ICP-Brasil ou seus prepostos;
b) AC Raiz;
c) Autoridades Certificadoras;
d) Empresas de Auditoria Especializada e Independentes;
e) Órgãos de Auditoria Interna de AR, no caso de empresas que os possuam, por força de lei.
ENTIDADE AUDITADA EXECUTOR DA AUDITORIA
Pré-operacional Operacional
AC Raiz Comitê Gestor da ICP-Brasil ou seus prepostos Comitê Gestor da ICP-Brasil ou seus prepostos
AC de 1º Nível AC Raiz AC Raiz
AC de 2º Nível AC Raiz Empresa de Auditoria Independente cadastrada junto à ICP-Brasil
AR Empresa de Auditoria Independente cadastrada junto à ICP-Brasil AC à qual a AR se vincula ou Auditoria Interna da AR cadastrada junto à ICP-Brasil ou Empresa de Auditoria Independente cadastrada junto à ICP-Brasil
AR no Exterior AC Raiz ou, a seu critério, Empresa de Auditoria Independente cadastrada junto à ICP-Brasil AC Raiz ou, a seu critério, Empresa de Auditoria Independente cadastrada junto à ICP-Brasil
PSS Empresa de Auditoria Independente cadastrada junto à ICP-Brasil AC à qual o PSS se vincula ou Empresa de Auditoria Independente cadastrada pela AC Raiz "
3.2. Os Órgãos de Auditoria Interna e as Empresas de Auditoria Especializada e Independente deverão estar cadastrados junto à ICP-Brasil, conforme item 6 deste documento.
3.3. As Empresas de Auditoria Especializada e Independente serão contratadas pela AC responsável ou pela entidade a ser auditada.
3.4. As auditorias pré-operacionais das ACs e ACTs ão sempre realizadas pela AC Raiz. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"3.4. As auditorias pré-operacionais das AC são sempre realizadas pela AC Raiz."
3.5. As auditorias pré-operacionais das AR e dos PSS deverão ser realizadas por Empresa de Auditoria Especializada e Independente cadastrada conforme item 6 deste documento, não necessitando de autorização prévia da AC Raiz.
3.6. As auditorias operacionais das AC que não estejam diretamente subordinadas à AC Raiz deverão ser realizadas por Empresa de Auditoria Especializada e Independente, cadastrada conforme item 6 deste documento e devidamente autorizada a atuar conforme item 7 deste documento.
3.7. As auditorias operacionaisdas ARs e dos PSSs deverão ser realizadas pela própria AC ou ACT à qual se vinculam ou por Empresa de Auditoria Especializada e Independente, cadastrada conforme item 6 deste documento e devidamente autorizada a atuar conforme item 7 deste documento. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"3.7. As auditorias operacionais das AR e dos PSS deverão ser realizadas pela própria AC à qual a AR se vincula ou por Empresa de Auditoria Especializada e Independente, cadastrada conforme item 6 deste documento e devidamente autorizada a atuar conforme item 7 deste documento."
3.8. A critério da AC, caso uma AR vinculada possua, por força de lei, Órgão de Auditoria Interna, esse poderá realizar as auditorias operacionais na AR, desde que cadastrada conforme item 6 deste documento e devidamente autorizada a atuar conforme item 7 deste documento.
3.9. A AC Raiz se reserva a prerrogativa de executar auditorias pré-operacionais e operacionais em qualquer das entidades integrantes ou candidatas a integrar a ICP-Brasil, se julgado conveniente, utilizando servidores do seu quadro próprio, devidamente qualificados.
3.10. A equipe de auditoria da AC Raiz e dos terceiros por ela autorizados a realizar auditorias no âmbito da ICP-Brasil atenderão aos seguintes requisitos mínimos:
a) Corpo técnico com pelo menos 2 anos experiência nas áreas de segurança da informação (ambientes físico e lógico), criptografia, infra-estrutura de chaves pública e sistemas críticos;
b) Experiência de pelo menos 2 anos em serviços de auditoria dessa mesma natureza e referências de outros serviços de auditoria similares;
c) Utilização de padrões internacionais (como exemplo: ISSO 27001, ISO 15408, COBIT, COSO etc.) como referência de melhores práticas e procedimentos.
4. RELAÇÃO ENTRE OS AUDITORES E AS ENTIDADES AUDITADAS
4.1. Excetuando-se os casos em que a auditoria é realizada por Órgão de Auditoria Interna, o auditor deve ser totalmente independente da entidade auditada. A ele, sem prejuízo do disposto neste documento, aplicam-se, no que couber, as regras de suspeição e impedimento estabelecidas nos arts. 134 e 135 do Código de Processo Civil.
4.2. O auditor será declarado impedido de realizar auditoria, quando:
a) houver motivo íntimo declarado;
b) for amigo íntimo ou inimigo capital de membros da entidade auditada;
c) for credor ou devedor da entidade auditada ou de um de seus membros;
d) tiver recebido, nos últimos 5 (cinco) anos, da entidade auditada, pagamentos referentes à prestação de serviços, excetuando-se os casos em que a auditoria é realizada por Órgão de Auditoria Interna;
e) tiver interesse no resultado da auditoria da entidade auditada; e
f) houver relacionamento, de fato ou de direito, como cônjuge, parente, consangüíneo ou afim, com algum dos membros da entidade auditada, em linha reta ou na colateral até o terceiro grau.
4.3. O auditor firmará declaração, sob as penas da lei, de que não se enquadra em qualquer das causas de impedimento.
5. TÓPICOS COBERTOS PELAS AUDITORIAS DE CONFORMIDADE
5.1. As auditorias de conformidade têm por objeto todos os aspectos relacionados com a emissão e o gerenciamento de certificados digitais, incluindo o controle dos processos de solicitação, identificação, autenticação, geração, publicação, distribuição, renovação e revogação de certificados.
5.2. As auditorias de conformidade de ACT ou PSS vinculados a uma ACT têm por objeto todos os aspectos relacionados com a emissão de carimbos do tempo, incluindo o controle dos processos de solicitação, emissão e entrega dos carimbos do tempo aos subscritores. (Item acrescentado pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
5.3. Todos os eventos significativos ocorridos em um sistema de AC ou de AR devem ser armazenados em trilhas seguras de auditoria, onde cada entrada possua o registro de data, hora e tipo de evento, com assinatura, para garantir que as entradas não possam ser falsificadas. (Antigo item 5.2 renumerado pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
5.4. Os tópicos cobertos por uma auditoria de conformidade incluem, dentre outros:
a) Ambiente de operação
i. Segurança de Pessoas
ii. Segurança Física
iii. Segurança Lógica
iv. Segurança de Rede
v. Segurança da Informação
vi. Gerenciamento de Chaves da entidade
b.1) Ciclo de Vida dos Certificados, no caso de AC, AR ou PSS vinculado a AC ou AR
i. Solicitação
ii. Validação
iii. Emissão
iv. Revogação
b.2) Ciclo de Vida dos Carimbos do Tempo, no caso de ACT ou PSS vinculado a ACT
i. Solicitação
ii. Emissão
iii. Entrega
c) Outros Controles. (Antigo item 5.3 renumereado e com redação dada pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"5.4. Os tópicos cobertos por uma auditoria de conformidade incluem, dentre outros:
a) Ambiente de operação
i - Segurança de Pessoas
ii - Segurança Física
iii - Segurança Lógica
iv - Segurança de Rede
v - Segurança da Informação
vi - Gerenciamento de Chaves da entidade
b) Ciclo de Vida dos Certificados
i - Solicitação;
ii - Validação;
iii - Emissão;
iv - Revogação
c) Outros Controles (Antigo item 5.3 renumerado pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)"
6. CADASTRAMENTO DE EMPRESAS DE AUDITORIA INDEPENDENTE E ÓRGÃOS DE AUDITORIA INTERNA
6.1. Disposições Gerais
6.1.1. As empresas de auditoria especializada e independente e os órgãos de auditoria interna, para exercerem atividades no âmbito da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, devem estar cadastradas pela AC Raiz.
6.1.2. Para a realização de auditorias operacionais, devem também solicitar autorização prévia à AC Raiz.
6.1.3. Autorizações somente serão outorgadas para as empresas previamente cadastradas na forma deste documento.
6.1.4. O Cadastro de Auditoria Independente constitui-se no registro cadastral oficial da ICP-Brasil das empresas de auditoria especializada e independentes, a ser disponibilizado no site http://www.iti.gov.br.
6.1.5. O Cadastro de Órgãos de Auditoria Interna é mantido para consulta interna pela Diretoria de Auditoria, Fiscalização e Normalização da AC Raiz.
6.2. Cadastramento de Empresas de Auditoria Independente
6.2.1. O cadastramento deverá ser realizado, pelo interessado, na AC Raiz, junto à Diretoria de Auditoria, Fiscalização e Normalização.
6.2.2. Para fins de cadastramento na categoria de Auditor Independente, deverá a empresa interessada preencher o formulário CADASTRO PRÉVIO PARA CREDENCIAMENTO DE EMPRESA DE AUDITORIA ESPECIALIZADA E INDEPENDENTE [1] e apresentá-lo à AC Raiz, que o receberá formalmente, acompanhado da seguinte documentação:
a) Quanto à situação jurídica e fiscal:
i - prova de estar legalmente constituída;
ii - prova de inscrição no Cadastro Nacional de Pessoa Jurídica - CNPJ;
iii - prova de inscrição no cadastro estadual (ou distrital) e municipal, se houver, relativo ao domicílio ou sede da empresa candidata;
iv - prova de regularidade fiscal junto à Fazenda Pública da União, dos Estados ou do Distrito Federal e do Município do domicílio ou sede da empresa candidata, ou outra equivalente, na forma da lei;
v - prova de regularidade junto à Seguridade Social e ao Fundo de Garantia por Tempo de Serviço (FGTS);
vi - certidão negativa de falência ou concordata expedida pelo distribuidor da sede da pessoa jurídica, ou de execução patrimonial, expedida no domicílio da entidade;
vii - declaração de que não está cumprindo nenhuma penalidade aplicada pela Administração Pública Federal;
viii - declaração de que não foi declarada inidônea em qualquer esfera de Governo.
b) Quanto à capacidade técnica:
i - currículos dos sócios, dos diretores e dos responsáveis técnicos que integram o quadro de auditores com poderes para emitir e assinar parecer de auditoria em nome da empresa;
ii - pelo menos um atestado de capacidade técnica, emitido por pessoa jurídica, devidamente registrado na entidade profissional competente, que comprove a execução de serviços em auditoria de software ou de sistemas de informação, bem como comprove a quantidade de horas de serviços de auditoria prestada;
iii - rol dos trabalhos realizados nos últimos 2 (dois) anos, contendo: tabela indicando a classificação dos serviços, por tipo de empresa; tabela indicando o número de horas de auditoria alocadas nos serviços realizados; tabela indicando a quantidade de auditores alocados nos serviços.
6.2.3. O cadastro será válido em âmbito nacional, pelo prazo de 5 (cinco) anos, a contar da notificação do seu deferimento, devendo ser renovado mediante entrega na AC Raiz do formulário CADASTRO PRÉVIO PARA CREDENCIAMENTO DE EMPRESA DE AUDITORIA ESPECIALIZADA E INDEPENDENTE [1], acompanhado dos documentos que tiverem sofrido alterações no período.
6.2.4. A documentação apresentada pela empresa interessada constituirá processo específico e será acondicionada em arquivo próprio pela AC Raiz, por prazo não inferior a 5 (cinco) anos.
6.2.5. Após o recebimento da solicitação de cadastramento a AC Raiz poderá:
a) deferir o pedido de cadastramento, mediante despacho da autoridade competente;
b) intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação apresentada;
c) indeferir o pedido de cadastramento se, vencido o prazo acima, não forem cumpridas as exigências dispostas neste documento, mediante despacho motivado da autoridade competente.
6.2.6. Indeferido o pedido, a AC Raiz notificará o interessado.
6.2.7. A AC Raiz deverá no prazo de 15 (quinze) dias, a contar do deferimento do cadastramento, incluir a empresa no Cadastro de Auditores Independentes, disponível no endereço http://www.iti.gov.br.
6.2.8. O cadastramento não implica autorização para realização de auditoria no âmbito da ICP-Brasil, mas consiste em requisito prévio para sua outorga.
6.2.9. O pedido de descadastramento deve ser formalizado na AC Raiz, que providenciará a exclusão da empresa de auditoria solicitante do Cadastro de Auditores Independentes, no prazo de 15 (quinze) dias, a contar do recebimento da solicitação.
6.3. Cadastramento de Órgãos de Auditoria Interna
6.3.1. O cadastramento deverá ser realizado, pelo interessado, na AC Raiz, junto à Diretoria de Auditoria, Fiscalização e Normalização.
6.3.2. Para fins de cadastramento na categoria de Órgão de Auditoria Interna, deverá a empresa interessada preencher o formulário CADASTRO PRÉVIO PARA CREDENCIAMENTO DE ÓRGÃO DE AUDITORIA INTERNA [2] e apresentá-lo à AC Raiz, que o receberá formalmente, acompanhado da seguinte documentação:
a) Quanto à situação jurídica e fiscal:
i - prova de estar constituída em função de exigência legal;
b) Quanto à capacidade técnica:
i - currículos dos auditores que integram o seu quadro, com poderes para emitir e assinar parecer de auditoria em nome do órgão;
ii - rol dos trabalhos realizados nos últimos 2 (dois) anos, contendo: tabela indicando a classificação dos serviços, tabela indicando o número de horas de auditoria alocadas nos serviços realizados; tabela indicando a quantidade de auditores alocados nos serviços.
6.3.3. O cadastro será válido pelo prazo de 5 (cinco) anos, a contar da notificação do seu deferimento, devendo ser renovado mediante entrega na AC Raiz do formulário CADASTRO PRÉVIO PARA CREDENCIAMENTO DE ÓRGÃO DE AUDITORIA INTERNA [2] acompanhado dos documentos que tiverem sofrido alterações no período.
6.3.4. A documentação apresentada pela empresa interessada constituirá processo específico e será acondicionada em arquivo próprio pela AC Raiz, por prazo não inferior a 5 (cinco) anos.
6.3.5. Após o recebimento da solicitação de cadastramento a AC Raiz poderá:
a) deferir o pedido de cadastramento, mediante despacho da autoridade competente;
b) intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação apresentada;
c) indeferir o pedido de cadastramento se, vencido o prazo acima, não forem cumpridas as exigências dispostas neste documento, mediante despacho motivado da autoridade competente.
6.3.6. Indeferido o pedido, a AC Raiz notificará o interessado.
6.3.7. A AC Raiz deverá no prazo de 15 (quinze) dias, a contar do deferimento do cadastramento, incluir a empresa no seu Cadastro de Órgãos de Auditoria Interna.
6.3.8. O cadastramento não implica autorização para realização de auditoria no âmbito da ICP-Brasil, mas consiste em requisito prévio para sua outorga.
6.3.9. O pedido de descadastramento deve ser formalizado na AC Raiz, que providenciará a exclusão da empresa de auditoria solicitante do Cadastro de Órgãos de Auditoria Interna, no prazo de 15 (quinze) dias, a contar do recebimento da solicitação.
7. AUTORIZAÇÃO
7.1. A autorização constitui ato declaratório do Diretor de Auditoria, Fiscalização e Normalização do Instituto Nacional de Tecnologia da Informação que permite ao Auditor Independente ou ao Auditor Interno prestar serviços de auditoria, no âmbito da ICP-Brasil, em conformidade com as normas estabelecidas por este documento.
7.2. As autorizações serão outorgadas, individualmente, para cada auditoria a ser executada.
7.3. O pedido de autorização será submetido à AC Raiz, por intermédio da AC ou ACT responsável, acompanhado da seguinte documentação: (Redação dada pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"7.3. O pedido de autorização será submetido à AC Raiz, por intermédio da AC responsável, acompanhado da seguinte documentação:"
a) Quanto aos auditores que realizarão a auditoria e, se for o caso, sócios e diretores da Empresa de Auditoria Independente, declaração de que:
i - não estão cumprindo nenhuma penalidade aplicada pela Administração Pública Federal;
ii - não foram declarados inidôneos em qualquer esfera de Governo;
iii - são totalmente independentes da entidade auditada; e não têm participação acionária na ACT, na AC Principal, nas ACs Subseqüentes, nas ARs vinculadas e na empresa prestadora de serviço de suporte que serão auditadas. (Redação dada pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"iii - são totalmente independentes da entidade auditada; e"
iv - (Suprimido pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"iv - não têm participação acionária na AC Principal, nas AC subseqüentes, nas AR vinculadas e na empresa prestadora de serviço de suporte que serão auditadas."
b) Quanto à empresa solicitante:
i - atualização dos documentos referidos nos itens 6.2.2. ou 6.3.2. que tenham sofrido alteração, desde o cadastramento junto à AC Raiz, inclusive certidões, em se tratando de Empresas de Auditoria Independente;
c) Quanto à auditoria a ser realizada:
i - relação dos auditores que a executarão, em conformidade com a relação constante dos itens 6.2.2.b.i ou 6.3.2.b.i;
ii - apresentação de roteiro ou script detalhando o seu plano de auditoria na entidade a ser auditada, descrevendo, pelo menos, como pretende proceder à verificação da Política de Certificação - PC, da Declaração de Práticas de Certificação - DPC e da Política de Segurança - PS, e recomendar providências quanto às observações levantadas;
iii - apresentação de modelo de Relatório de Auditoria contemplando, pelo menos, os seguintes itens: objeto, período, objetivo, escopo, visão global, análise dos controles ambientais e controles operacionais e conclusões;
iv - apresentação de um Plano de Desenvolvimento e Implementação dos Trabalhos de Auditoria especificando de maneira clara e objetiva cada etapa do trabalho, procedimentos e técnicas adotadas em cada atividade, prazo de execução e pontos de homologação, bem como tabelas indicativas do número de horas de auditoria e o número de auditores a serem alocados nos serviços.
7.4. A AC Raiz receberá formalmente, por intermédio da Diretoria de Auditoria, Fiscalização e Normalização, a documentação com o pedido de autorização da auditoria.
7.5. A Diretoria de Auditoria, Fiscalização e Normalização poderá exigir a complementação dos documentos inicialmente apresentados, a sua atualização, bem como a apresentação de outros documentos que julgar necessário.
7.6. A não apresentação de qualquer dos documentos constantes no parágrafo 7.3 ou dos solicitados conforme parágrafo 7.5 acarretará o indeferimento da autorização pleiteada.
7.7. O prazo para outorga da autorização de que trata o item 7.1 deste documento é de 30 (trinta) dias a contar da data do protocolo na AC Raiz.
7.8. Este prazo será suspenso na hipótese do parágrafo 7.5, até a apresentação da documentação complementar solicitada.
7.9. Após o recebimento do pedido de autorização a AC Raiz poderá:
a) deferir o pedido de autorização, expedindo o competente Ato Declaratório que será publicado no Diário Oficial da União;
b) intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação apresentada;
c) indeferir o pedido de autorização se, vencido o prazo acima, não forem cumpridas as exigências dispostas neste documento, mediante despacho motivado da autoridade competente.
7.10. O Ato Declaratório, publicado no Diário Oficial da União, constitui documento comprobatório da aprovação pela AC Raiz para realização específica da auditoria independente contratada.
7.11. Indeferido o pedido, a AC Raiz notificará o interessado.
7.12. A Empresa de Auditoria Independente ou o Órgão de Auditoria Interna, no exercício de sua atividade no âmbito da ICP-Brasil, deve cumprir e fazer cumprir, por seus empregados e prepostos, as normas específicas emanadas do Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, no que se refere à conduta profissional, ao exercício da atividade e à emissão de pareceres e relatórios de auditoria.
7.13. Aplicam-se aos sócios e diretores da empresa de Auditoria Independente, bem como aos auditores que realizarão a auditoria, no que couber, as regras de suspeição e impedimento estabelecidas nos arts. 134 e 135 do Código de Processo Civil.
8. REALIZAÇÃO DA AUDITORIA
8.1. A AC ou ACT responsável e a entidade auditada devem fornecer ao auditor todos os elementos e condições necessárias ao perfeito desempenho de suas funções. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"8.1. A AC responsável e a entidade auditada devem fornecer ao auditor todos os elementos e condições necessárias ao perfeito desempenho de suas funções."
8.2. Os documentos, registros históricos e demais elementos materiais que deram subsídios à elaboração dos relatórios ficarão sob guarda da AC ou ACT responsáveis, em local seguro, pelo prazo mínimo de 5 (cinco) anos, podendo a AC Raiz, a qualquer tempo, solicitar vista do material. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"8.2. Os documentos, registros históricos e demais elementos materiais que deram subsídios à elaboração dos relatórios ficarão sob guarda da AC responsável, em local seguro, pelo prazo mínimo de 5 (cinco) anos, podendo a AC Raiz, a qualquer tempo, solicitar vista do material."
8.3. O acesso aos documentos a que se refere o parágrafo anterior só será permitido com a presença simultânea de um representante da AC ou ACT responsável e de um representante da empresa de Auditoria Independente ou do Órgão de Auditoria Interna. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"8.3. O acesso aos documentos a que se refere o parágrafo anterior só será permitido com a presença simultânea de um representante da AC e de um representante da empresa de Auditoria Independente ou do Órgão de Auditoria Interna."
8.4. Os auditores somente informarão os resultados da auditoria à entidade auditada, à da AC ou ACT responsável e à AC Raiz. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"8.4. Os auditores somente informarão os resultados da auditoria à entidade auditada, à AC responsável e à AC Raiz."
8.5. O auditor adotará, no exercício da atividade de auditoria, os procedimentos dispostos neste documento, consolidados em relatório final de auditoria, a ser submetido à AC Raiz por parte da AC ou ACT responsável. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"8.5. O auditor adotará, no exercício da atividade de auditoria, os procedimentos dispostos neste documento, consolidados em relatório final de auditoria, a ser submetido à AC Raiz por parte da AC responsável."
8.6. O relatório de auditoria poderá contemplar avaliação sobre a atuação da empresa prestadora de serviço de suporte às ACTs e ACs subseqüentes e poderá estender-se às ARs vinculadas. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"8.6. O relatório de auditoria poderá contemplar avaliação sobre a atuação da empresa prestadora de serviço de suporte às AC subseqüentes e poderá estender-se às AR vinculadas."
8.7. Os serviços serão prestados diretamente pela empresa contratada ou pelo Órgão de Auditoria Independente, vedada a subcontratação total ou parcial dos serviços.
8.8. O relatório de auditoria será analisado pela Diretoria de Auditoria, Fiscalização e Normalização da AC Raiz, que poderá solicitar esclarecimentos complementares aos executantes.
8.9. Se, a qualquer tempo, a Diretoria de Auditoria, Fiscalização e Normalização constatar que o relatório elaborado pela Empresa de Auditoria Independente ou pelo Órgão de Auditoria Interna apresenta incorreções ou omissões que possam comprometer a segurança da ICP-Brasil, comunicará de imediato a entidade que executou a auditoria.
8.10. Em caso de reincidência da ocorrência acima, a AC Raiz descadastrará a entidade, notificando o interessado.
9. MEDIDAS A SEREM ADOTADAS EM CASO DE NÃO-CONFORMIDADE
9.1. Cabe à entidade auditada cumprir, no prazo estipulado no relatório de auditoria, as recomendações para corrigir os casos de não-conformidade com a legislação ou com as políticas, normas, práticas e regras estabelecidas.
9.2. Os casos de não-conformidade que ensejaram recomendações de auditoria serão encaminhados para a área da AC Raiz responsável pela Fiscalização e incluídos nos planos de trabalho daquela, observados os procedimentos previstos no documento CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3].
9.3. O cumprimento e efetivação de sugestões de melhoria acaso constantes no relatório de auditoria, devem ser objeto de análise nas auditorias subseqüentes.
9.4. Cabe à AC Raiz tomar todas as medidas cabíveis a fim de garantir a segurança e a confiabilidade da ICP-Brasil, podendo cancelar imediatamente o credenciamento da entidade auditada, mediante decisão motivada.
9.5. A AC Raiz, em casos de iminente dano irreparável ou de difícil reparação a terceiros, suspenderá cautelarmente, no todo ou em parte, a emissão de certificados pela AC de nível imediatamente subseqüente ao seu, ou a emissão de carimbos do tempo pelas ACTs credenciadas. (Redação dada ao item pela Resolução CG/ICP nº 56, de 28.11.2008, DOU 01.12.2008)
Nota: Redação Anterior:"9.5. A AC Raiz, em casos de iminente dano irreparável ou de difícil reparação a terceiros, suspenderá cautelarmente, no todo ou em parte, a emissão de certificados pela AC de nível imediatamente subseqüente ao seu."
10. RECURSOS
10.1. Caberá recurso voluntário ao Diretor-Presidente da AC Raiz, nas seguintes situações:
a) das decisões denegatórias previstas nos itens 6.2.6, 6.3.6, 7.11 e
b) da decisão de descadastramento prevista no item 8.10 deste documento.
10.2. Os recursos serão interpostos no prazo de 10 (dez) dias, a contar da notificação da decisão ou da aplicação de penalidade.
10.3. O recurso deverá ser dirigido ao Diretor-Presidente da AC Raiz, que poderá reconsiderar a sua decisão ou encaminhá-lo, devidamente informado, no prazo de 5 (cinco) dias, contados do recebimento do recurso.
10.4. O Diretor-Presidente proferirá decisão final em 15 (quinze) dias, a contar do recebimento do processo.
11. DISPOSIÇÕES FINAIS
11.1. É de inteira responsabilidade da empresa de auditoria ou do órgão de auditoria interna cadastrada e/ou autorizada a veracidade das informações e documentos apresentados perante a AC Raiz.
11.2. A não declaração de fato superveniente que possa desconstituir o teor de documentação já apresentada ou a falsa declaração, pela empresa autorizada ou por qualquer dos auditores que realizarão a auditoria, sujeita-os às penalidades cabíveis, por parte da Administração.
11.3. A empresa estrangeira que não tenha filial ou representante legal no País atenderá as exigências estabelecidas mediante a apresentação de documentos equivalentes autenticados pelo respectivo consulado e traduzido por tradutor juramentado.
11.4. As empresas cadastradas no SICAF - Sistema Unificado de Cadastramento de Fornecedores, registro cadastral oficial do Poder Executivo Federal, poderão, para fins do disposto nos itens 6.2.2.a.i a 6.2.2.a.vi, apresentar seu extrato.
11.5. As notificações e intimações de que trata este documento serão realizadas, preferencialmente, por e-mail assinado digitalmente, ou na sua impossibilidade, por ofício da autoridade competente.
11.6. É facultada a apresentação de documentos eletrônicos, para fins de cadastramento, descadastramento e/ou autorização, desde que assinados digitalmente com o uso de certificados emitidos no âmbito da ICP-Brasil.
11.7. Incumbe às empresas cadastradas a solicitação à AC Raiz da atualização de seus dados e certidões no Cadastro de Auditoria Independente e no Cadastro de Órgãos de Auditoria Interna.
12. DOCUMENTOS REFERENCIADOS
12.1. Os documentos abaixo são aprovados por Resoluções do Comitê-Gestor da ICP-Brasil, podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a versão mais atualizada desses documentos e as resoluções que os aprovaram.
| Ref. | Nome do documento | Código |
| [3] | CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL | DOC-ICP-09 |
12.2. Os documentos abaixo são aprovados pela AC Raiz, podendo ser alterados, quando necessário, mediante publicação de uma nova versão no sítio http://www.iti.gov.br.
| Ref. | Nome do documento | Código |
| [1] | Formulário CADASTRO PRÉVIO PARA CREDENCIAMENTO DE EMPRESA DE AUDITORIA ESPECIALIZADA E INDEPENDENTE | ADE-ICP.08.A |
| [2] | Formulário CADASTRO PRÉVIO PARA CREDENCIAMENTO DE ÓRGÃO DE AUDITORIA INTERNA | ADE-ICP.08.B |
(*) Republicada por ter saído com incorreção no DOU de 24 de abril de 2006, Seção 1.