REVOGADA EM 18.04.2006 PELA RESOLUÇÃO 44.

COMITÊ GESTOR DA ICP-BRASIL

RESOLUÇÃO Nº 24, DE 29 DE AGOSTO DE 2003.

Estabelece critérios para cadastramento e autorização de empresas de auditoria especializada e

independente no âmbito da Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil

O SECRETÁRIO-EXECUTIVO DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE CHAVES PÚBLICAS

BRASILEIRA - ICP-BRASIL faz saber que aquele Comitê, no uso das atribuições previstas no art. 4º, inciso I, da

Medida Provisória Nº 2.200-2, de 24 de agosto de 2001,

RESOLVE:

Art. 1º As atividades de auditoria independente, no âmbito da Infra-Estrutura de Chaves Públicas Brasileira – ICP-

Brasil, serão reguladas por esta Resolução.

Art. 2º As empresas de auditoria especializada e independente, para exercerem atividades no âmbito da Infra-

Estrutura de Chaves Públicas Brasileira – ICP-Brasil, estão sujeitas à prévia autorização do Instituto Nacional de

Tecnologia da Informação – ITI.

Parágrafo único. Autorizações somente serão outorgadas para as empresas previamente cadastradas na forma

desta Resolução.

Art. 3º O Cadastro de Auditoria Independente constitui-se no registro cadastral oficial do Instituto Nacional de

Tecnologia da Informação das empresas de auditoria especializada e independentes, a ser disponibilizado no

endereço www.iti.gov.br.

DO CADASTRAMENTO

Art. 4º O cadastramento deverá ser realizado pelo interessado no Instituto Nacional de Tecnologia da Informação,

junto à Diretoria de Auditoria, Fiscalização e Normalização.

Art. 5º Para fins de cadastramento na categoria de Auditor Independente, deverá a empresa interessada

preencher o formulário objeto do Anexo e apresentá-lo ao ITI, que o receberá formalmente, acompanhado da

seguinte documentação:

I – Quanto à situação jurídica e fiscal:

a) prova de estar legalmente constituída;

b) prova de inscrição no Cadastro Nacional de Pessoa Jurídica – CNPJ;

c) prova de inscrição no cadastro estadual (ou distrital) e municipal, se houver, relativo ao domicílio ou

sede da empresa candidata;

d) prova de regularidade fiscal junto à Fazenda Pública da União, dos Estados ou do Distrito Federal e do

Município do domicílio ou sede da empresa candidata, ou outra equivalente, na forma da lei;

e) prova de regularidade junto à Seguridade Social e ao Fundo de Garantia por Tempo de Serviço (FGTS);

f) certidão negativa de falência ou concordata expedida pelo distribuidor da sede da pessoa jurídica, ou de

execução patrimonial, expedida no domicílio da entidade.

−

II - Quanto à capacidade técnica:

a) currículos dos sócios, dos diretores e dos responsáveis técnicos que integram o quadro de auditores

com poderes para emitir e assinar parecer de auditoria em nome da empresa;

b) pelo menos um atestado de capacidade técnica, emitido por pessoa jurídica, devidamente registrado na

entidade profissional competente, que comprove a execução de serviços em auditoria de software ou de

sistemas de informação, bem como comprove a quantidade de horas de serviços de auditoria prestada;

c) rol dos trabalhos realizados nos últimos dois anos, contendo: tabela indicando a classificação dos

serviços, por tipo de empresa; tabela indicando o número de horas de auditoria alocadas nos serviços

realizados; tabela indicando a quantidade de auditores alocados nos serviços.

−

Art. 6º O cadastro será válido em âmbito nacional pelo prazo de 1 (um) ano, a contar da notificação do seu

deferimento, devendo ser renovado mediante entrega no ITI do formulário constante no Anexo.

§ 1º As informações que forem alteradas na renovação do cadastro devem ser comprovadas por documento hábil.

§ 2º O prazo de validade do cadastro não alcança as certidões ou documentos de cunho fiscal, de seguridade

social e FGTS, com prazos de vigência próprios, cabendo à empresa cadastrada a manutenção da sua validade,

sob pena de invalidação automática de seu cadastramento.

Art. 7º A documentação apresentada pela empresa interessada constituirá processo específico e será

acondicionada em arquivo próprio pelo ITI, por prazo não inferior a 5 (cinco) anos.

Art. 8º Após o recebimento da solicitação de cadastramento o ITI poderá:

I - deferir o pedido de cadastramento, mediante despacho da autoridade competente;

II - intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação

apresentada;

III - indeferir o pedido de cadastramento se, vencido o prazo acima, não forem cumpridas as exigências

dispostas nesta Resolução, mediante despacho motivado da autoridade competente.

Art. 9º O ITI deverá no prazo de 15 (quinze) dias, a contar do deferimento do cadastramento, incluir a empresa no

Cadastro de Auditores Independentes, disponível no endereço www.iti.gov.br.

Art. 10º O cadastramento não implica autorização para realização de auditoria no âmbito da ICP-Brasil, mas

consiste em requisito prévio para sua outorga.

Art. 11º O pedido de descadastramento deve ser formalizado no ITI, que providenciará a exclusão da empresa de

auditoria solicitante do Cadastro de Auditores Independentes, no prazo de 15 (quinze) dias.

DA AUTORIZAÇÃO

Art. 12º A autorização constitui ato declaratório do Diretor de Auditoria, Fiscalização e Normalização do Instituto

Nacional de Tecnologia da Informação que permite ao Auditor Independente prestar serviços de auditoria, no

âmbito da ICP-Brasil, em conformidade com as normas estabelecidas por este Comitê Gestor.

Parágrafo único. As autorizações serão outorgadas, individualmente, para cada auditoria independente contratada.

Art. 13º O pedido de autorização será submetido ao ITI, por intermédio da AC contratante, acompanhado da

seguinte documentação:

I - Quanto à capacidade de cumprimento da auditoria:

a) relação dos auditores que realizarão a auditoria na AC contratante, em conformidade com a relação

constante do art. 5º, inciso II, letra “a”;

b) apresentação de roteiro ou script detalhando o seu plano de auditoria na AC contratante e no seu

prestador de serviço de suporte e autoridades de registro, se for o caso, descrevendo, pelo menos, como

pretende proceder à verificação da Política de Certificação – PC, da Declaração de Práticas de

Certificação – DPC e da Política de Segurança – PS, e recomendar providências quanto às observações

levantadas;

c) apresentação de modelo de Relatório de Auditoria contemplando, pelo menos, os seguintes itens:

objeto, período, objetivo, escopo, visão global, análise dos controles ambientais e controles operacionais e

conclusões;

d) apresentação de um Plano de Desenvolvimento e Implementação dos Trabalhos de Auditoria

especificando de maneira clara e objetiva cada etapa do trabalho, procedimentos e técnicas adotadas em

cada atividade, prazo de execução e pontos de homologação, bem como tabelas indicativas do número de

horas de auditoria e o número de auditores a serem alocados nos serviços.

§ 1º O ITI receberá formalmente, por intermédio da Diretoria de Auditoria, Fiscalização e Normalização, a

documentação com o pedido de autorização da empresa.

§ 2º A Diretoria de Auditoria, Fiscalização e Normalização poderá exigir a complementação dos documentos

inicialmente apresentados, a sua atualização, bem como a apresentação de outros documentos que julgar

necessário.

Art. 14º O prazo para outorga da autorização de que trata o art. 12 desta Resolução é de 30 (trinta) dias a contar

da data do protocolo no ITI.

Art. 15º Após o recebimento do pedido de autorização o ITI poderá:

I - deferir o pedido de autorização, expedindo o competente Ato Declaratório que será publicado no Diário

Oficial da União;

II - intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação

apresentada;

III - indeferir o pedido de autorização se, vencido o prazo acima, não forem cumpridas as exigências

dispostas nesta Resolução, mediante despacho motivado da autoridade competente.

§ 1º O Ato Declaratório, publicado no Diário Oficial da União, constitui documento comprobatório da aprovação

pelo Instituto Nacional de Tecnologia da Informação para realização específica da auditoria independente

contratada.

§ 2º Indeferido o pedido, o Instituto Nacional de Tecnologia da Informação notificará o interessado.

Art. 16º Estarão impedidos de obter a autorização os Auditores Independentes que se enquadrem em pelo menos

uma das situações a seguir:

I - estejam cumprindo alguma penalidade aplicada pela Administração Pública Federal;

II - sejam declarados inidôneos em qualquer esfera de Governo;

III - estejam sob falência, concordata, dissolução ou liqüidação.

Art. 17º O Auditor Independente, no exercício de sua atividade no âmbito da ICP-Brasil, deve cumprir e fazer

cumprir, por seus empregados e prepostos, as normas específicas emanadas do Comitê Gestor da Infra-Estrutura

de Chaves Públicas Brasileira- ICP-Brasil, no que se refere à conduta profissional, ao exercício da atividade e à

emissão de pareceres e relatórios de auditoria.

Art. 18º Os auditores que integram o quadro da empresa de Auditoria Independente devem ser totalmente

independentes da AC auditada e serão considerados peritos para os fins do art. 342, caput, do Código Penal.

Art. 19º Não será permitida a outorga de autorização à empresa de auditoria que tenha em seu quadro qualquer

funcionário ou sócio com participação acionária na AC Principal, nas AC subseqüentes, nas AR vinculadas e na

empresa prestadora de serviço de suporte técnico que serão auditadas.

DA AUDITORIA

Art. 20º A AC Contratante, ao contratar os serviços de auditoria independente, deve fornecer ao auditor todos os

elementos e condições necessárias ao perfeito desempenho de suas funções.

Art. 21º Os documentos, registros históricos e demais elementos materiais que deram subsídios à elaboração dos

relatórios ficarão sob guarda da AC Contratante, em local seguro, pelo prazo mínimo de 5 (cinco) anos, podendo o

ITI, a qualquer tempo, solicitar vista do material.

Parágrafo único. O acesso aos documentos a que se refere o caput, só será permitido com a presença simultânea

de um representante da AC e de um representante da empresa de Auditoria Independente.

Art. 22º Os auditores independentes somente informarão os resultados da auditoria à entidade auditada, à

Autoridade Certificadora a que esta entidade está vinculada e à AC Raiz.

Art. 23º O Auditor Independente adotará, no exercício da atividade de auditoria, o procedimento disposto no item

11 do anexo à Resolução Nº 2, de 25 de setembro de 2001, consolidado em relatório final de auditoria, a ser

submetido ao ITI por parte da AC contratante.

Art. 24º O relatório de auditoria poderá contemplar avaliação sobre a atuação da empresa prestadora de serviço

de suporte técnico às AC subseqüentes e poderá estender-se às AR vinculadas.

Art. 25º Os serviços serão prestados diretamente pela empresa contratada pela AC, vedada a subcontratação total

ou parcial dos serviços.

DOS RECURSOS

Art. 26º Das decisões denegatórias previstas no inciso III do art. 8º e no inciso III do art. 15º desta Resolução,

caberá recurso voluntário ao Diretor-Presidente do ITI.

Art. 27º Os recursos serão interpostos no prazo de 10 (dez) dias, a contar da notificação da decisão denegatória.

Art. 28º O recurso deverá ser dirigido ao Diretor-Presidente do ITI, por intermédio da Diretoria de Auditoria,

Fiscalização e Normalização, que poderá reconsiderar a sua decisão ou encaminhá-lo, devidamente informado, no

prazo de 5 (cinco) dias, contados do recebimento do recurso.

Art. 29º O Diretor-Presidente proferirá decisão final em 15 (quinze) dias, a contar do recebimento do processo.

(CORRIGIDO PELA RETIFICAÇÃO DE 29 DE AGOSTO DE 2003)

DAS DISPOSIÇÕES FINAIS

Art. 30º É de inteira responsabilidade da empresa de auditoria cadastrada e/ou autorizada a veracidade das

informações e documentos apresentados perante o ITI.

Art. 31º A não declaração de fato superveniente pela empresa cadastrada e/ou autorizada, que possa

desconstituir o teor da documentação por ela apresentada, sujeita-a às penalidades cabíveis, por parte da

Administração.

Art. 32º A empresa estrangeira que não tenha filial ou representante legal no País atenderá as exigências

estabelecidas mediante a apresentação de documentos equivalentes autenticados pelo respectivo consulado e

traduzido por tradutor juramentado.

Art. 33º As empresas cadastradas no SICAF – Sistema Unificado de Cadastramento de Fornecedores, registro

cadastral oficial do Poder Executivo Federal, poderão, para fins do disposto no art. 5º, inciso I, letras “b” a “e”,

apresentar seu extrato. (CORRIGIDO PELA RETIFICAÇÃO DE 29 DE AGOSTO DE 2003)

Art. 34º As notificações e intimações de que trata esta Resolução serão realizadas, preferencialmente, por e-mail

assinado digitalmente, ou na sua impossibilidade, por ofício da autoridade competente.

Art. 35º É facultada a apresentação de documentos eletrônicos, para fins de cadastramento e/ou autorização,

desde que assinados digitalmente com o uso de certificados emitidos no âmbito da ICP-Brasil.

Art. 36º Incumbe às empresas cadastradas a inclusão, alteração e atualização de seus dados e certidões no

Cadastro de Auditoria Independente do ITI.

Art. 37º Cabe ao ITI, quando necessário, alterar o formulário em anexo, observado o disposto nesta Resolução.

Art. 38º Esta Resolução entra em vigor na data de sua publicação.

ENYLSON FLÁVIO MARTINEZ CAMOLESI

REVOGADA EM 18.04.2006

FORMULÁRIO DE CADASTRO PRÉVIO PARA CRESENCIAMENTO DE EMPRESAS

DE AUDITORIA ESPECIALIZADA E IDEPENDENTE

1. NOME (Razão Social) 2. CNPJ

3. ENDEREÇO (da sede administrativa)

RUA

COMPLEMENTO

BAIRRO CEP

MUNICÍPIO UF

DDD TELEFONE FAX

ENDEREÇO ELETRÔNICO