REVOGADA EM 18.04.2006 PELA RESOLUÇÃO 44.
COMITÊ GESTOR DA ICP-BRASIL
RESOLUÇÃO Nº 24, DE 29 DE AGOSTO DE 2003.
Estabelece critérios para cadastramento e autorização de empresas de auditoria especializada e
independente no âmbito da Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil
O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE CHAVES PÚBLICAS
BRASILEIRA - ICP-BRASIL faz saber que aquele Comitê, no uso das atribuições previstas no art. 4º, inciso I, da
Medida Provisória Nº 2.200-2, de 24 de agosto de 2001,
RESOLVE:
Art. As atividades de auditoria independente, no âmbito da Infra-Estrutura de Chaves Públicas Brasileira ICP-
Brasil, serão reguladas por esta Resolução.
Art. As empresas de auditoria especializada e independente, para exercerem atividades no âmbito da Infra-
Estrutura de Chaves Públicas Brasileira ICP-Brasil, estão sujeitas à prévia autorização do Instituto Nacional de
Tecnologia da Informação – ITI.
Parágrafo único. Autorizações somente serão outorgadas para as empresas previamente cadastradas na forma
desta Resolução.
Art. O Cadastro de Auditoria Independente constitui-se no registro cadastral oficial do Instituto Nacional de
Tecnologia da Informação das empresas de auditoria especializada e independentes, a ser disponibilizado no
endereço www.iti.gov.br.
DO CADASTRAMENTO
Art. O cadastramento deverá ser realizado pelo interessado no Instituto Nacional de Tecnologia da Informação,
junto à Diretoria de Auditoria, Fiscalização e Normalização.
Art. Para fins de cadastramento na categoria de Auditor Independente, deverá a empresa interessada
preencher o formulário objeto do Anexo e apresentá-lo ao ITI, que o receberá formalmente, acompanhado da
seguinte documentação:
I – Quanto à situação jurídica e fiscal:
a) prova de estar legalmente constituída;
b) prova de inscrição no Cadastro Nacional de Pessoa Jurídica – CNPJ;
c) prova de inscrição no cadastro estadual (ou distrital) e municipal, se houver, relativo ao domicílio ou
sede da empresa candidata;
d) prova de regularidade fiscal junto à Fazenda Pública da União, dos Estados ou do Distrito Federal e do
Município do domicílio ou sede da empresa candidata, ou outra equivalente, na forma da lei;
e) prova de regularidade junto à Seguridade Social e ao Fundo de Garantia por Tempo de Serviço (FGTS);
f) certidão negativa de falência ou concordata expedida pelo distribuidor da sede da pessoa jurídica, ou de
execução patrimonial, expedida no domicílio da entidade.
II - Quanto à capacidade técnica:
a) currículos dos sócios, dos diretores e dos responsáveis técnicos que integram o quadro de auditores
com poderes para emitir e assinar parecer de auditoria em nome da empresa;
b) pelo menos um atestado de capacidade técnica, emitido por pessoa jurídica, devidamente registrado na
entidade profissional competente, que comprove a execução de serviços em auditoria de software ou de
1
sistemas de informação, bem como comprove a quantidade de horas de serviços de auditoria prestada;
c) rol dos trabalhos realizados nos últimos dois anos, contendo: tabela indicando a classificação dos
serviços, por tipo de empresa; tabela indicando o número de horas de auditoria alocadas nos serviços
realizados; tabela indicando a quantidade de auditores alocados nos serviços.
Art. O cadastro será válido em âmbito nacional pelo prazo de 1 (um) ano, a contar da notificação do seu
deferimento, devendo ser renovado mediante entrega no ITI do formulário constante no Anexo.
§ 1º As informações que forem alteradas na renovação do cadastro devem ser comprovadas por documento hábil.
§ O prazo de validade do cadastro não alcança as certidões ou documentos de cunho fiscal, de seguridade
social e FGTS, com prazos de vigência próprios, cabendo à empresa cadastrada a manutenção da sua validade,
sob pena de invalidação automática de seu cadastramento.
Art. A documentação apresentada pela empresa interessada constituirá processo específico e será
acondicionada em arquivo próprio pelo ITI, por prazo não inferior a 5 (cinco) anos.
Art. 8º Após o recebimento da solicitação de cadastramento o ITI poderá:
I - deferir o pedido de cadastramento, mediante despacho da autoridade competente;
II - intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação
apresentada;
III - indeferir o pedido de cadastramento se, vencido o prazo acima, não forem cumpridas as exigências
dispostas nesta Resolução, mediante despacho motivado da autoridade competente.
Art. O ITI deverá no prazo de 15 (quinze) dias, a contar do deferimento do cadastramento, incluir a empresa no
Cadastro de Auditores Independentes, disponível no endereço www.iti.gov.br.
Art. 10º O cadastramento não implica autorização para realização de auditoria no âmbito da ICP-Brasil, mas
consiste em requisito prévio para sua outorga.
Art. 11º O pedido de descadastramento deve ser formalizado no ITI, que providenciará a exclusão da empresa de
auditoria solicitante do Cadastro de Auditores Independentes, no prazo de 15 (quinze) dias.
DA AUTORIZAÇÃO
Art. 12º A autorização constitui ato declaratório do Diretor de Auditoria, Fiscalização e Normalização do Instituto
Nacional de Tecnologia da Informação que permite ao Auditor Independente prestar serviços de auditoria, no
âmbito da ICP-Brasil, em conformidade com as normas estabelecidas por este Comitê Gestor.
Parágrafo único. As autorizações serão outorgadas, individualmente, para cada auditoria independente contratada.
Art. 13º O pedido de autorização será submetido ao ITI, por intermédio da AC contratante, acompanhado da
seguinte documentação:
I - Quanto à capacidade de cumprimento da auditoria:
a) relação dos auditores que realizarão a auditoria na AC contratante, em conformidade com a relação
constante do art. 5º, inciso II, letra “a”;
b) apresentação de roteiro ou script detalhando o seu plano de auditoria na AC contratante e no seu
prestador de serviço de suporte e autoridades de registro, se for o caso, descrevendo, pelo menos, como
pretende proceder à verificação da Política de Certificação PC, da Declaração de Práticas de
Certificação DPC e da Política de Segurança PS, e recomendar providências quanto às observações
levantadas;
c) apresentação de modelo de Relatório de Auditoria contemplando, pelo menos, os seguintes itens:
objeto, período, objetivo, escopo, visão global, análise dos controles ambientais e controles operacionais e
conclusões;
d) apresentação de um Plano de Desenvolvimento e Implementação dos Trabalhos de Auditoria
2
especificando de maneira clara e objetiva cada etapa do trabalho, procedimentos e técnicas adotadas em
cada atividade, prazo de execução e pontos de homologação, bem como tabelas indicativas do número de
horas de auditoria e o número de auditores a serem alocados nos serviços.
§ O ITI receberá formalmente, por intermédio da Diretoria de Auditoria, Fiscalização e Normalização, a
documentação com o pedido de autorização da empresa.
§ A Diretoria de Auditoria, Fiscalização e Normalização poderá exigir a complementação dos documentos
inicialmente apresentados, a sua atualização, bem como a apresentação de outros documentos que julgar
necessário.
Art. 1O prazo para outorga da autorização de que trata o art. 12 desta Resolução é de 30 (trinta) dias a contar
da data do protocolo no ITI.
Art. 15º Após o recebimento do pedido de autorização o ITI poderá:
I - deferir o pedido de autorização, expedindo o competente Ato Declaratório que será publicado no Diário
Oficial da União;
II - intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação
apresentada;
III - indeferir o pedido de autorização se, vencido o prazo acima, não forem cumpridas as exigências
dispostas nesta Resolução, mediante despacho motivado da autoridade competente.
§ O Ato Declaratório, publicado no Diário Oficial da União, constitui documento comprobatório da aprovação
pelo Instituto Nacional de Tecnologia da Informação para realização específica da auditoria independente
contratada.
§ 2º Indeferido o pedido, o Instituto Nacional de Tecnologia da Informação notificará o interessado.
Art. 16º Estarão impedidos de obter a autorização os Auditores Independentes que se enquadrem em pelo menos
uma das situações a seguir:
I - estejam cumprindo alguma penalidade aplicada pela Administração Pública Federal;
II - sejam declarados inidôneos em qualquer esfera de Governo;
III - estejam sob falência, concordata, dissolução ou liqüidação.
Art. 1 O Auditor Independente, no exercício de sua atividade no âmbito da ICP-Brasil, deve cumprir e fazer
cumprir, por seus empregados e prepostos, as normas específicas emanadas do Comitê Gestor da Infra-Estrutura
de Chaves Públicas Brasileira- ICP-Brasil, no que se refere à conduta profissional, ao exercício da atividade e à
emissão de pareceres e relatórios de auditoria.
Art. 18º Os auditores que integram o quadro da empresa de Auditoria Independente devem ser totalmente
independentes da AC auditada e serão considerados peritos para os fins do art. 342, caput, do Código Penal.
Art. 19º Não se permitida a outorga de autorização à empresa de auditoria que tenha em seu quadro qualquer
funcionário ou sócio com participação acionária na AC Principal, nas AC subseqüentes, nas AR vinculadas e na
empresa prestadora de serviço de suporte técnico que serão auditadas.
DA AUDITORIA
Art. 20º A AC Contratante, ao contratar os serviços de auditoria independente, deve fornecer ao auditor todos os
elementos e condições necessárias ao perfeito desempenho de suas funções.
Art. 21º Os documentos, registros históricos e demais elementos materiais que deram subsídios à elaboração dos
relatórios ficarão sob guarda da AC Contratante, em local seguro, pelo prazo mínimo de 5 (cinco) anos, podendo o
ITI, a qualquer tempo, solicitar vista do material.
Parágrafo único. O acesso aos documentos a que se refere o caput, só será permitido com a presença simultânea
de um representante da AC e de um representante da empresa de Auditoria Independente.
Art. 22º Os auditores independentes somente informarão os resultados da auditoria à entidade auditada, à
3
Autoridade Certificadora a que esta entidade está vinculada e à AC Raiz.
Art. 23º O Auditor Independente adotará, no exercício da atividade de auditoria, o procedimento disposto no item
11 do anexo à Resolução 2, de 25 de setembro de 2001, consolidado em relatório final de auditoria, a ser
submetido ao ITI por parte da AC contratante.
Art. 24º O relatório de auditoria poderá contemplar avaliação sobre a atuação da empresa prestadora de serviço
de suporte técnico às AC subseqüentes e poderá estender-se às AR vinculadas.
Art. 25º Os serviços serão prestados diretamente pela empresa contratada pela AC, vedada a subcontratação total
ou parcial dos serviços.
DOS RECURSOS
Art. 26º Das decisões denegatórias previstas no inciso III do art. e no inciso III do art. 15º desta Resolução,
caberá recurso voluntário ao Diretor-Presidente do ITI.
Art. 27º Os recursos serão interpostos no prazo de 10 (dez) dias, a contar da notificação da decisão denegatória.
Art. 28º O recurso deverá ser dirigido ao Diretor-Presidente do ITI, por intermédio da Diretoria de Auditoria,
Fiscalização e Normalização, que poderá reconsiderar a sua decisão ou encaminhá-lo, devidamente informado, no
prazo de 5 (cinco) dias, contados do recebimento do recurso.
Art. 29º O Diretor-Presidente proferirá decisão final em 15 (quinze) dias, a contar do recebimento do processo.
(CORRIGIDO PELA RETIFICAÇÃO DE 29 DE AGOSTO DE 2003)
DAS DISPOSIÇÕES FINAIS
Art. 30º É de inteira responsabilidade da empresa de auditoria cadastrada e/ou autorizada a veracidade das
informações e documentos apresentados perante o ITI.
Art. 31º A não declaração de fato superveniente pela empresa cadastrada e/ou autorizada, que possa
desconstituir o teor da documentação por ela apresentada, sujeita-a às penalidades cabíveis, por parte da
Administração.
Art. 32º A empresa estrangeira que não tenha filial ou representante legal no País atenderá as exigências
estabelecidas mediante a apresentação de documentos equivalentes autenticados pelo respectivo consulado e
traduzido por tradutor juramentado.
Art. 33º As empresas cadastradas no SICAF Sistema Unificado de Cadastramento de Fornecedores, registro
cadastral oficial do Poder Executivo Federal, poderão, para fins do disposto no art. 5º, inciso I, letras “b” a “e”,
apresentar seu extrato. (CORRIGIDO PELA RETIFICAÇÃO DE 29 DE AGOSTO DE 2003)
Art. 34º As notificações e intimações de que trata esta Resolução serão realizadas, preferencialmente, por e-mail
assinado digitalmente, ou na sua impossibilidade, por ofício da autoridade competente.
Art. 3 É facultada a apresentação de documentos eletrônicos, para fins de cadastramento e/ou autorização,
desde que assinados digitalmente com o uso de certificados emitidos no âmbito da ICP-Brasil.
Art. 36º Incumbe às empresas cadastradas a inclusão, alteração e atualização de seus dados e certidões no
Cadastro de Auditoria Independente do ITI.
Art. 37º Cabe ao ITI, quando necessário, alterar o formulário em anexo, observado o disposto nesta Resolução.
Art. 38º Esta Resolução entra em vigor na data de sua publicação.
ENYLSON FLÁVIO MARTINEZ CAMOLESI
REVOGADA EM 18.04.2006
FORMULÁRIO DE CADASTRO PRÉVIO PARA CRESENCIAMENTO DE EMPRESAS
DE AUDITORIA ESPECIALIZADA E IDEPENDENTE
4
1. NOME (Razão Social) 2. CNPJ
3. ENDEREÇO (da sede administrativa)
RUA
N
O
COMPLEMENTO
BAIRRO CEP
MUNICÍPIO UF
DDD TELEFONE FAX
ENDEREÇO ELETRÔNICO
4. ENDEREÇO (da sede administrativa)
RUA
N
O
COMPLEMENTO
BAIRRO CEP
MUNICÍPIO UF
DDD TELEFONE FAX
ENDEREÇO ELETRÔNICO
REVOGADA EM 18.04.2006 PELA RESOLUÇÃO 44.
5