ALTERADA EM 28/11/2008 PELA RESOLUÇÃO 56.

RESOLUÇÃO N° 44, DE 18 DE ABRIL DE 2006.

Aprova a versão 2.0 dos CRITÉRIOS E

PROCEDIMENTOS PARA REALIZAÇÃO DE

AUDITORIAS NAS ENTIDADES DA ICP-BRASIL

O COORDENADOR DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE CHAVES PÚBLICAS

BRASILEIRA - ICP-BRASIL faz saber que aquele Comitê, no uso das atribuições previstas nos incisos I,

II e III do art. 4° da Medida Provisória N° 2.200-2, de 24 de agosto de 2001.

CONSIDERANDO que a experiência obtida com a aplicação dos procedimentos previstos na

Resolução 24 mostrou a necessidade de complementar e clarificar pontos específicos do seu conteúdo,

em especial no que tange à qualificação dos auditores e à contagem dos prazos regulamentares para

cadastramento e autorização das empresas.

RESOLVE:

Art. 1º Aprovar a versão 2.0 dos CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE

AUDITORIAS NAS ENTIDADES DA ICP-BRASIL (DOC-ICP-08), em anexo.

Art. 2º Fica revogada a Resolução do Comitê Gestor da ICP-Brasil nº 24, de 29 de agosto de 2003

e convalidados os atos praticados durante sua vigência.

Art. 3º Esta Resolução entra em vigor na data de sua publicação.

ENYLSON FLÁVIO MARTINEZ CAMOLESI

ANEXO

CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE AUDITORIAS NAS ENTIDADES DA ICP-

BRASIL

DOC-ICP-08 - Versão 2.0

LISTA DE ACRÔNIMOS

AC - Autoridade Certificadora

AC Raiz - Autoridade Certificadora Raiz da ICP-Brasil

AR - Autoridades de Registro

CG - Comitê Gestor

CNPJ - Cadastro Nacional de Pessoas Jurídicas

FGTS - Fundo de Garantia por Tempo de Serviço

ICP-Brasil - Infra-Estrutura de Chaves Públicas Brasileira

PSS - Prestadores de Serviço de Suporte

SICAF – Sistema Unificado de Cadastramento de Fornecedores

1. DISPOSIÇÕES GERAIS

1.1. As auditorias realizadas no âmbito da ICP-Brasil têm por objetivo verificar se os processos,

procedimentos e atividades das entidades integrantes da ICP-Brasil estão em conformidade com suas

respectivas DPC, PC, PS e demais normas e procedimentos estabelecidos pela ICP-Brasil.

1.2. Com exceção da auditoria da própria AC Raiz, que é de responsabilidade do CG da ICP-

Brasil, as atividades de auditoria em todas as entidades da ICP-Brasil são de responsabilidade da AC

Raiz, porém podem ser realizadas por terceiros por ela autorizados, conforme disposto no item 3.

1.3. Este documento regulamenta, no âmbito da Infra-Estrutura de Chaves Públicas Brasileira –

ICP-Brasil, as atividades de auditoria, a serem realizadas pela AC Raiz ou pelos terceiros por ela

autorizados.

1.4. Para os efeitos deste documento, considera-se como AC responsável aquela que, possuindo

entidades da ICP-Brasil que lhe estejam diretamente vinculadas – AC, AR ou PSS, deve providenciar a

realização de auditorias em tais entidades.

REVOGADA

2. FREQÜÊNCIA DAS AUDITORIAS DE CONFORMIDADE

2.1. As entidades integrantes da ICP-Brasil sofrem auditoria:

a) pré-operacional, ou seja, previamente ao seu credenciamento na ICP-Brasil; e

b) operacional, para fins de continuidade do credenciamento, no mínimo uma vez por ano, considerado o

ano fiscal.

2.2. Cada AC deverá encaminhar para aprovação da AC Raiz, até o dia 15 (quinze) de março de

cada ano, seu plano anual de auditorias para todas as suas AC subseqüentes, AR e PSS.

2.3. Na formulação do plano anual de auditorias, para o caso de AR que possua mais de um endereço

de instalação técnica, é facultado à AC responsável, especificamente para essa AR, propor um

cronograma anual de auditoria com cobertura parcial de suas instalações técnicas, desde que:

a) cada instalação técnica seja auditada pelo menos uma vez a cada 2 anos;

b) sejam auditados anualmente, no mínimo, 50% (cinqüenta por cento) de suas instalações

técnicas; e

c) a AC apresente os critérios e justificativas aplicados na seleção das instalações técnicas

distribuídas por período de auditoria proposto.

2.4. Cada AC deverá disponibilizar à AC Raiz e às AC de nível imediatamente superior relatórios

anuais de auditoria das entidades da ICP-Brasil a ela vinculadas diretamente, no máximo em 30 (trinta)

dias, contados da data de emissão do relatório de auditoria.

3. IDENTIDADE E QUALIFICAÇÃO DOS AUDITORES

3.1. Podem executar auditorias no âmbito da ICP-Brasil as seguintes entidades, observado o

disposto na tabela abaixo:

a) Comitê Gestor da ICP-Brasil ou seus prepostos;

b) AC Raiz;

c) Autoridades Certificadoras;

d) Empresas de Auditoria Especializada e Independentes;

e) Órgãos de Auditoria Interna de AR, no caso de empresas que os possuam, por força de lei.

ENTIDADE

AUDITADA

EXECUTOR DA AUDITORIA

Pré-operacional Operacional

AC Raiz Comitê Gestor da ICP-Brasil ou

seus prepostos

Comitê Gestor da ICP-Brasil ou seus

prepostos

AC de 1º Nível AC Raiz AC Raiz

AC de 2º Nível AC Raiz Empresa de Auditoria Independente

cadastrada junto à ICP-Brasil

AR Empresa de Auditoria

Independente cadastrada junto à

ICP-Brasil

AC à qual a AR se vincula ou

Auditoria Interna da AR cadastrada

junto à ICP-Brasil ou

Empresa de Auditoria Independente

cadastrada junto à ICP-Brasil

AR no Exterior AC Raiz ou, a seu critério,

Empresa de Auditoria

Independente cadastrada junto à

ICP-Brasil

AC Raiz ou, a seu critério, Empresa

de Auditoria Independente

cadastrada junto à ICP-Brasil

PSS Empresa de Auditoria

Independente cadastrada junto à

ICP-Brasil

AC à qual o PSS se vincula ou

Empresa de Auditoria Independente

cadastrada pela AC Raiz

3.2. Os Órgãos de Auditoria Interna e as Empresas de Auditoria Especializada e Independente

deverão estar cadastrados junto à ICP-Brasil, conforme item 6 deste documento.

3.3 As Empresas de Auditoria Especializada e Independente serão contratadas pela AC

responsável ou pela entidade a ser auditada.

3.4. As auditorias pré-operacionais das AC são sempre realizadas pela AC Raiz.

3.5. As auditorias pré-operaiconais das AR e dos PSS deverão ser realizadas por Empresa de

Auditoria Especializada e Independente cadastrada conforme item 6 deste documento, não necessitando

de autorização prévia da AC Raiz.

3.6. As auditorias operacinoais das AC que não estejam diretamente subordinadas à AC Raiz

deverão ser realizadas por Empresa de Auditoria Especializada e Independente, cadastrada conforme

item 6 deste documento e devidamente autorizada a atuar conforme item 7 deste documento.

3.7. As auditorias operacionais das AR e dos PSS deverão ser realizadas pela própria AC à qual a

AR se vincula ou por Empresa de Auditoria Especializada e Independente, cadastrada conforme item 6

deste documento e devidamente autorizada a atuar conforme item 7 deste documento.

3.8. A critério da AC, caso uma AR vinculada possua, por força de lei, Órgão de Auditoria Interna,

esse poderá realizar as auditorias operacionais na AR, desde que cadastrada conforme item 6 deste

documento e devidamente autorizada a atuar conforme item 7 deste documento.

3.9. A AC Raiz se reserva a prerrogativa de executar auditorias pré-operacionais e operacionais

em qualquer das entidades integrantes ou candidatas a integrar a ICP-Brasil, se julgado conveniente,

utilizando servidores do seu quadro próprio, devidamente qualificados.

3.10. A equipe de auditoria da AC Raiz e dos terceiros por ela autorizados a realizar auditorias no

âmbito da ICP-Brasil atenderão aos seguintes requisitos mínimos:

a) Corpo técnico com pelo menos 2 anos experiência nas áreas de segurança da informação

(ambientes físico e lógico), criptografia, infra-estrutura de chaves pública e sistemas críticos;

b) Experiência de pelo menos 2 anos em serviços de auditoria dessa mesma natureza e

referências de outros serviços de auditoria similares;

c) Utilização de padrões internacionais (como exemplo: ISO 27001, ISO 15408, COBIT, COSO

etc.) como referência de melhores práticas e procedimentos.

4. RELAÇÃO ENTRE OS AUDITORES E AS ENTIDADES AUDITADAS

4.1. Excetuando-se os casos em que a auditoria é realizada por Órgão de Auditoria Interna, o

auditor deve ser totalmente independente da entidade auditada. A ele, sem prejuízo do disposto neste

documento, aplicam-se, no que couber, as regras de suspeição e impedimento estabelecidas nos artigos

134 e 135 do Código de Processo Civil.

4.2. O auditor será declarado impedido de realizar auditoria, quando:

a) houver motivo íntimo declarado;

b) for amigo íntimo ou inimigo capital de membros da entidade auditada;

c) for credor ou devedor da entidade auditada ou de um de seus membros;

d) tiver recebido, nos últimos 5 (cinco) anos, da entidade auditada, pagamentos referentes à

prestação de serviços, excetuando-se os casos em que a auditoria é realizada por Órgão de Auditoria

Interna;

e) tiver interesse no resultado da auditoria da entidade auditada; e

f) houver relacionamento, de fato ou de direito, como cônjuge, parente, consangüíneo ou afim,

com algum dos membros da entidade auditada, em linha reta ou na colateral até o terceiro grau.

4.3. O auditor firmará declaração, sob as penas da lei, de que não se enquadra em qualquer das

causas de impedimento.

5. TÓPICOS COBERTOS PELAS AUDITORIAS DE CONFORMIDADE

5.1. As auditorias de conformidade têm por objeto todos os aspectos relacionados com a emissão

e o gerenciamento de certificados digitais, incluindo o controle dos processos de solicitação,

identificação, autenticação, geração, publicação, distribuição, renovação e revogação de certificados.

5.2. Todos os eventos significativos ocorridos em um sistema de AC ou de AR devem ser

armazenados em trilhas seguras de auditoria, onde cada entrada possua o registro de data, hora e tipo

de evento, com assinatura, para garantir que as entradas não possam ser falsificadas.

5.3. Os tópicos cobertos por uma auditoria de conformidade incluem, dentre outros:

a) Ambiente de operação

i. Segurança de Pessoas

ii. Segurança Física

iii. Segurança Lógica

iv. Segurança de Rede

v. Segurança da Informação

vi. Gerenciamento de Chaves da entidade

b) Ciclo de Vida dos Certificados

i. Solicitação;

ii. Validação;

iii. Emissão;

iv. Revogação

c) Outros Controles

6. CADASTRAMENTO DE EMPRESAS DE AUDITORIA INDEPENDENTE E ÓRGÃOS DE

AUDITORIA INTERNA

6.1. Disposições Gerais

6.1.1. As empresas de auditoria especializada e independente e os órgãos de auditoria interna,

para exercerem atividades no âmbito da Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil,

devem estar cadastradas pela AC Raiz.

6.1.2. Para a realização de auditorias operacionais, devem também solicitar autorização prévia à

AC Raiz.

6.1.3. Autorizações somente serão outorgadas para as empresas previamente cadastradas na

forma deste documento.

6.1.4. O Cadastro de Auditoria Independente constitui-se no registro cadastral oficial da ICP-Brasil

das empresas de auditoria especializada e independentes, a ser disponibilizado no site

http://www.iti.gov.br.

6.1.5. O Cadastro de Órgãos de Auditoria Interna é mantido para consulta interna pela Diretoria de

Auditoria, Fiscalização e Normalização da AC Raiz.

6.2. Cadastramento de Empresas de Auditoria Independente

6.2.1. O cadastramento deverá ser realizado, pelo interessado, na AC Raiz, junto à Diretoria de

Auditoria, Fiscalização e Normalização.

6.2.2. Para fins de cadastramento na categoria de Auditor Independente, deverá a empresa

interessada preencher o formulário CADASTRO PRÉVIO PARA CREDENCIAMENTO DE EMPRESA DE

AUDITORIA ESPECIALIZADA E INDEPENDENTE [1] e apresentá-lo à AC Raiz, que o receberá

formalmente, acompanhado da seguinte documentação:

a) Quanto à situação jurídica e fiscal:

i. prova de estar legalmente constituída;

ii. prova de inscrição no Cadastro Nacional de Pessoa Jurídica – CNPJ;

iii. prova de inscrição no cadastro estadual (ou distrital) e municipal, se houver, relativo ao

domicílio ou sede da empresa candidata;

iv. prova de regularidade fiscal junto à Fazenda Pública da União, dos Estados ou do Distrito

Federal e do Município do domicílio ou sede da empresa candidata, ou outra equivalente, na forma da

lei;

v. prova de regularidade junto à Seguridade Social e ao Fundo de Garantia por Tempo de Serviço

(FGTS);

vi. certidão negativa de falência ou concordata expedida pelo distribuidor da sede da pessoa

jurídica, ou de execução patrimonial, expedida no domicílio da entidade;

vii. declaração de que não está cumprindo nenhuma penalidade aplicada pela Administração

Pública Federal;

viii. declaração de que não foi declarada inidônea em qualquer esfera de Governo.

b) Quanto à capacidade técnica:

i. currículos dos sócios, dos diretores e dos responsáveis técnicos que integram o quadro de

auditores com poderes para emitir e assinar parecer de auditoria em nome da empresa;

ii. pelo menos um atestado de capacidade técnica, emitido por pessoa jurídica, devidamente

registrado na entidade profissional competente, que comprove a execução de serviços em auditoria de

software ou de sistemas de informação, bem como comprove a quantidade de horas de serviços de

auditoria prestada;

iii. rol dos trabalhos realizados nos últimos 2 (dois) anos, contendo: tabela indicando a

classificação dos serviços, por tipo de empresa; tabela indicando o número de horas de auditoria

alocadas nos serviços realizados; tabela indicando a quantidade de auditores alocados nos serviços.

6.2.3. O cadastro será válido em âmbito nacional, pelo prazo de 5 (cinco) anos, a contar da

notificação do seu deferimento, devendo ser renovado mediante entrega na AC Raiz do formulário

CADASTRO PRÉVIO PARA CREDENCIAMENTO DE EMPRESA DE AUDITORIA ESPECIALIZADA E

INDEPENDENTE [1], acompanhado dos documentos que tiverem sofrido alterações no período.

6.2.4. A documentação apresentada pela empresa interessada constituirá processo específico e

será acondicionada em arquivo próprio pela AC Raiz, por prazo não inferior a 5 (cinco) anos.

6.2.5. Após o recebimento da solicitação de cadastramento a AC Raiz poderá:

a) deferir o pedido de cadastramento, mediante despacho da autoridade competente;

b) intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação

apresentada;

c) indeferir o pedido de cadastramento se, vencido o prazo acima, não forem cumpridas as

exigências dispostas neste documento, mediante despacho motivado da autoridade competente.

6.2.6. Indeferido o pedido, a AC Raiz notificará o interessado.

6.2.7. A AC Raiz deverá no prazo de 15 (quinze) dias, a contar do deferimento do cadastramento,

incluir a empresa no Cadastro de Auditores Independentes, disponível no endereço http://www.iti.gov.br.

6.2.8. O cadastramento não implica autorização para realização de auditoria no âmbito da ICP-

Brasil, mas consiste em requisito prévio para sua outorga.

6.2.9. O pedido de descadastramento deve ser formalizado na AC Raiz, que providenciará a

exclusão da empresa de auditoria solicitante do Cadastro de Auditores Independentes, no prazo de 15

(quinze) dias, a contar do recebimento da solicitação.

6.3. Cadastramento de Órgãos de Auditoria Interna

6.3.1. O cadastramento deverá ser realizado, pelo interessado, na AC Raiz, junto à Diretoria de

Auditoria, Fiscalização e Normalização.

6.3.2. Para fins de cadastramento na categoria de Órgão de Auditoria Interna, deverá a empresa

interessada preencher o formulário CADASTRO PRÉVIO PARA CREDENCIAMENTO DE ÓRGÃO DE

AUDITORIA INTERNA [2] e apresentá-lo à AC Raiz, que o receberá formalmente, acompanhado da

seguinte documentação:

a) Quanto à situação jurídica e fiscal:

i. prova de estar constituída em função de exigência legal;

b) Quanto à capacidade técnica:

i. currículos dos auditores que integram o seu quadro, com poderes para emitir e assinar parecer

de auditoria em nome do órgão;

ii. rol dos trabalhos realizados nos últimos 2 (dois) anos, contendo: tabela indicando a classificação

dos serviços, tabela indicando o número de horas de auditoria alocadas nos serviços realizados; tabela

indicando a quantidade de auditores alocados nos serviços.

6.3.3. O cadastro será válido pelo prazo de 5 (cinco) anos, a contar da notificação do seu

deferimento, devendo ser renovado mediante entrega na AC Raiz do formulário CADASTRO PRÉVIO

PARA CREDENCIAMENTO DE ÓRGÃO DE AUDITORIA INTERNA [2] acompanhado dos documentos

que tiverem sofrido alterações no período.

6.3.4. A documentação apresentada pela empresa interessada constituirá processo específico e

será acondicionada em arquivo próprio pela AC Raiz, por prazo não inferior a 5 (cinco) anos.

6.3.5. Após o recebimento da solicitação de cadastramento a AC Raiz poderá:

a) deferir o pedido de cadastramento, mediante despacho da autoridade competente;

b) intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação

apresentada;

c) indeferir o pedido de cadastramento se, vencido o prazo acima, não forem cumpridas as

exigências dispostas neste documento, mediante despacho motivado da autoridade competente.

6.3.6. Indeferido o pedido, a AC Raiz notificará o interessado.

6.3.7. A AC Raiz deverá no prazo de 15 (quinze) dias, a contar do deferimento do cadastramento,

incluir a empresa no seu Cadastro de Órgãos de Auditoria Interna.

6.3.8. O cadastramento não implica autorização para realização de auditoria no âmbito da ICP-

Brasil, mas consiste em requisito prévio para sua outorga.

6.3.9. O pedido de descadastramento deve ser formalizado na AC Raiz, que providenciará a

exclusão da empresa de auditoria solicitante do Cadastro de Órgãos de Auditoria Interna, no prazo de 15

(quinze) dias, a contar do recebimento da solicitação.

7. AUTORIZAÇÃO

7.1 A autorização constitui ato declaratório do Diretor de Auditoria, Fiscalização e Normalização do

Instituto Nacional de Tecnologia da Informação que permite ao Auditor Independente ou ao Auditor

Interno prestar serviços de auditoria, no âmbito da ICP-Brasil, em conformidade com as normas

estabelecidas por este documento.

7.2. As autorizações serão outorgadas, individualmente, para cada auditoria a ser executada.

7.3. O pedido de autorização será submetido à AC Raiz, por intermédio da AC responsável,

acompanhado da seguinte documentação:

a) Quanto aos auditores que realizarão a auditoria e, se for o caso, sócios e diretores da Empresa

de Auditoria Independente, declaração de que:

i. não estão cumprindo nenhuma penalidade aplicada pela Administração Pública Federal;

ii. não foram declarados inidôneos em qualquer esfera de Governo;

iii. são totalmente independentes da entidade auditada; e

iv. não têm participação acionária na AC Principal, nas AC Subseqüentes, nas AR vinculadas e na

empresa prestadora de serviço de suporte que serão auditadas.

b) Quanto à empresa solicitante:

i. atualização dos documentos referidos nos itens 6.2.2. ou 6.3.2. que tenham sofrido alteração,

desde o cadastramento junto à AC Raiz, inclusive certidões, em se tratando de Empresas de Auditoria

Independente;

c) Quanto à auditoria a ser realizada:

i. relação dos auditores que a executarão, em conformidade com a relação constante dos itens

6.2.2.b.i ou 6.3.2.b.i;

ii. apresentação de roteiro ou script detalhando o seu plano de auditoria na entidade a ser

auditada, descrevendo, pelo menos, como pretende proceder à verificação da Política de Certificação –

PC, da Declaração de Práticas de Certificação – DPC e da Política de Segurança – PS, e recomendar

providências quanto às observações levantadas;

iii. apresentação de modelo de Relatório de Auditoria contemplando, pelo menos, os seguintes

itens: objeto, período, objetivo, escopo, visão global, análise dos controles ambientais e controles

operacionais e conclusões;

iv. apresentação de um Plano de Desenvolvimento e Implementação dos Trabalhos de Auditoria

especificando de maneira clara e objetiva cada etapa do trabalho, procedimentos e técnicas adotadas

em cada atividade, prazo de execução e pontos de homologação, bem como tabelas indicativas do

número de horas de auditoria e o número de auditores a serem alocados nos serviços.

7.4. A AC Raiz receberá formalmente, por intermédio da Diretoria de Auditoria, Fiscalização e

Normalização, a documentação com o pedido de autorização da auditoria.

7.5. A Diretoria de Auditoria, Fiscalização e Normalização poderá exigir a complementação dos

documentos inicialmente apresentados, a sua atualização, bem como a apresentação de outros

documentos que julgar necessário.

7.6. A não apresentação de qualquer dos documentos constantes no parágrafo 7.3 ou dos

solicitados conforme parágrafo 7.5 acarretará o indeferimento da autorização pleiteada.

7.7. O prazo para outorga da autorização de que trata o item 7.1 deste documento é de 30 (trinta)

dias a contar da data do protocolo na AC Raiz.

7.8. Este prazo será suspenso na hipótese do parágrafo 7.5, até a apresentação da documentação

complementar solicitada.

7.9. Após o recebimento do pedido de autorização a AC Raiz poderá:

a) deferir o pedido de autorização, expedindo o competente Ato Declaratório que será publicado

no Diário Oficial da União;

b) intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação

apresentada;

c) indeferir o pedido de autorização se, vencido o prazo acima, não forem cumpridas as exigências

dispostas neste documento, mediante despacho motivado da autoridade competente.

7.10. O Ato Declaratório, publicado no Diário Oficial da União, constitui documento comprobatório

da aprovação pela AC Raiz para realização específica da auditoria independente contratada.

7.11. Indeferido o pedido, a AC Raiz notificará o interessado.

7.12. A Empresa de Auditoria Independente ou o Órgão de Auditoria Interna, no exercício de sua

atividade no âmbito da ICP-Brasil, deve cumprir e fazer cumprir, por seus empregados e prepostos, as

normas específicas emanadas do Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira - ICP-

Brasil, no que se refere à conduta profissional, ao exercício da atividade e à emissão de pareceres e

relatórios de auditoria.

7.13. Aplicam-se aos sócios e diretores da empresa de Auditoria Independente, bem como aos

auditores que realizarão a auditoria, no que couber, as regras de suspeição e impedimento estabelecidas

nos artigos 134 e 135 do Código de Processo Civil.

8. REALIZAÇÃO DA AUDITORIA

8.1 A AC responsável e a entidade auditada devem fornecer ao auditor todos os elementos e

condições necessárias ao perfeito desempenho de suas funções.

8.2. Os documentos, registros históricos e demais elementos materiais que deram subsídios à

elaboração dos relatórios ficarão sob guarda da AC responsável, em local seguro, pelo prazo mínimo de

5 (cinco) anos, podendo a AC Raiz, a qualquer tempo, solicitar vista do material.

8.3. O acesso aos documentos a que se refere o parágrafo anterior só será permitido com a

presença simultânea de um representante da AC e de um representante da empresa de Auditoria

Independente ou do Órgão de Auditoria Interna.

8.4. Os auditores somente informarão os resultados da auditoria à entidade auditada, à AC

responsável e à AC Raiz

8.5. O auditor adotará, no exercício da atividade de auditoria, os procedimentos dispostos neste

documento, consolidados em relatório final de auditoria, a ser submetido à AC Raiz por parte da AC

responsável.

8.6. O relatório de auditoria poderá contemplar avaliação sobre a atuação da empresa prestadora

de serviço de suporte às AC subseqüentes e poderá estender-se às AR vinculadas.

8.7. Os serviços serão prestados diretamente pela empresa contratada ou pelo Órgão de Auditoria

Independente, vedada a subcontratação total ou parcial dos serviços.

8.8. O relatório de auditoria será analisado pela Diretoria de Auditoria, Fiscalização e

Normalização da AC Raiz, que poderá solicitar esclarecimentos complementares aos executantes.

8.9. Se, a qualquer tempo, a Diretoria de Auditoria, Fiscalização e Normalização constatar que o

relatório elaborado pela Empresa de Auditoria Independente ou pelo Órgão de Auditoria Interna

apresenta incorreções ou omissões que possam comprometer a segurança da ICP-Brasil, comunicará de

imediato a entidade que executou a auditoria.

8.10. Em caso de reincidência da ocorrência acima, a AC Raiz descadastrará a entidade,

notificando o interessado.

9. MEDIDAS A SEREM ADOTADAS EM CASO DE NÃO-CONFORMIDADE

9.1. Cabe à entidade auditada cumprir, no prazo estipulado no relatório de auditoria, as

recomendações para corrigir os casos de não-conformidade com a legislação ou com as políticas,

normas, práticas e regras estabelecidas.

9.2. Os casos de não-conformidade que ensejaram recomendações de auditoria serão

encaminhados para a área da AC Raiz responsável pela Fiscalização e incluídos nos planos de trabalho

daquela, observados os procedimentos previstos no documento CRITÉRIOS E PROCEDIMENTOS

PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL [3].

9.3. O cumprimento e efetivação de sugestões de melhoria acaso constantes no relatório de

auditoria, devem ser objeto de análise nas auditorias subseqüentes.

9.4. Cabe à AC Raiz tomar todas as medidas cabíveis a fim de garantir a segurança e a

confiabilidade da ICP-Brasil, podendo cancelar imediatamente o credenciamento da entidade auditada,

mediante decisão motivada.

9.5. A AC Raiz, em casos de iminente dano irreparável ou de difícil reparação a terceiros,

suspenderá cautelarmente, no todo ou em parte, a emissão de certificados pela AC de nível

imediatamente subseqüente ao seu.

10. RECURSOS

10.1. Caberá recurso voluntário ao Diretor-Presidente da AC Raiz, nas seguintes situações:

a) das decisões denegatórias previstas nos itens 6.2.6, 6.3.6, 7.11 e

b) da decisão de descadastramento prevista no item 8.10 deste documento.

10.2. Os recursos serão interpostos no prazo de 10 (dez) dias, a contar da notificação da decisão

ou da aplicação de penalidade.

10.3. O recurso deverá ser dirigido ao Diretor-Presidente da AC Raiz, que poderá reconsiderar a

sua decisão ou encaminhá-lo, devidamente informado, no prazo de 5 (cinco) dias, contados do

recebimento do recurso.

10.4. O Diretor-Presidente proferirá decisão final em 15 (quinze) dias, a contar do recebimento do

processo.

11. DISPOSIÇÕES FINAIS

11.1. É de inteira responsabilidade da empresa de auditoria ou do órgão de auditoria interna

cadastrada e/ou autorizada a veracidade das informações e documentos apresentados perante a AC

Raiz.

11.2. A não declaração de fato superveniente que possa desconstituir o teor de documentação já

apresentada ou a falsa declaração, pela empresa autorizada ou por qualquer dos auditores que

realizarão a auditoria, sujeita-os às penalidades cabíveis, por parte da Administração.

11.3. A empresa estrangeira que não tenha filial ou representante legal no País atenderá as

exigências estabelecidas mediante a apresentação de documentos equivalentes autenticados pelo

respectivo consulado e traduzido por tradutor juramentado.

11.4. As empresas cadastradas no SICAF – Sistema Unificado de Cadastramento de

Fornecedores, registro cadastral oficial do Poder Executivo Federal, poderão, para fins do disposto nos

itens 6.2.2.a.i a 6.2.2.a.vi, apresentar seu extrato.

11.5. As notificações e intimações de que trata este documento serão realizadas,

preferencialmente, por e-mail assinado digitalmente, ou na sua impossibilidade, por ofício da autoridade

competente.

11.6. É facultada a apresentação de documentos eletrônicos, para fins de cadastramento,

descadastramento e/ou autorização, desde que assinados digitalmente com o uso de certificados

emitidos no âmbito da ICP-Brasil.

11.7. Incumbe às empresas cadastradas a solicitação à AC Raiz da atualização de seus dados e

certidões no Cadastro de Auditoria Independente e no Cadastro de Órgãos de Auditoria Interna.

12. DOCUMENTOS REFERENCIADOS

12.1. Os documentos abaixo são aprovados por Resoluções do Comitê-Gestor da ICP-Brasil,

podendo ser alterados, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio

http://www.iti.gov.br publica a versão mais atualizada desses documentos e as Resoluções que os

aprovaram.

Ref. Nome do documento Código

[3]

CRITÉRIOS E PROCEDIMENTOS PARA

FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA

ICP-BRASIL

DOC-ICP-09

12.2. Os documentos abaixo são aprovados pela AC Raiz, podendo ser alterados, quando

necessário, mediante publicação de uma nova versão no sítio http://www.iti.gov.br .

Ref. Nome do documento Código

[1] Formulário CADASTRO PRÉVIO PARA

CREDENCIAMENTO DE EMPRESA DE AUDITORIA

ESPECIALIZADA E INDEPENDENTE

ADE-ICP.08.A

[2] Formulário CADASTRO PRÉVIO PARA

CREDENCIAMENTO DE ÓRGÃO DE AUDITORIA

INTERNA

ADE-ICP.08.B

ALTERADA EM 28/11/2008 PELA RESOLUÇÃO 56.