ii. apresentação de roteiro ou script detalhando o seu plano de auditoria na entidade a ser
auditada, descrevendo, pelo menos, como pretende proceder à verificação da Política de Certificação –
PC, da Declaração de Práticas de Certificação – DPC e da Política de Segurança – PS, e recomendar
providências quanto às observações levantadas;
iii. apresentação de modelo de Relatório de Auditoria contemplando, pelo menos, os seguintes
itens: objeto, período, objetivo, escopo, visão global, análise dos controles ambientais e controles
operacionais e conclusões;
iv. apresentação de um Plano de Desenvolvimento e Implementação dos Trabalhos de Auditoria
especificando de maneira clara e objetiva cada etapa do trabalho, procedimentos e técnicas adotadas
em cada atividade, prazo de execução e pontos de homologação, bem como tabelas indicativas do
número de horas de auditoria e o número de auditores a serem alocados nos serviços.
7.4. A AC Raiz receberá formalmente, por intermédio da Diretoria de Auditoria, Fiscalização e
Normalização, a documentação com o pedido de autorização da auditoria.
7.5. A Diretoria de Auditoria, Fiscalização e Normalização poderá exigir a complementação dos
documentos inicialmente apresentados, a sua atualização, bem como a apresentação de outros
documentos que julgar necessário.
7.6. A não apresentação de qualquer dos documentos constantes no parágrafo 7.3 ou dos
solicitados conforme parágrafo 7.5 acarretará o indeferimento da autorização pleiteada.
7.7. O prazo para outorga da autorização de que trata o item 7.1 deste documento é de 30 (trinta)
dias a contar da data do protocolo na AC Raiz.
7.8. Este prazo será suspenso na hipótese do parágrafo 7.5, até a apresentação da documentação
complementar solicitada.
7.9. Após o recebimento do pedido de autorização a AC Raiz poderá:
a) deferir o pedido de autorização, expedindo o competente Ato Declaratório que será publicado
no Diário Oficial da União;
b) intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação
apresentada;
c) indeferir o pedido de autorização se, vencido o prazo acima, não forem cumpridas as exigências
dispostas neste documento, mediante despacho motivado da autoridade competente.
7.10. O Ato Declaratório, publicado no Diário Oficial da União, constitui documento comprobatório
da aprovação pela AC Raiz para realização específica da auditoria independente contratada.
7.11. Indeferido o pedido, a AC Raiz notificará o interessado.
7.12. A Empresa de Auditoria Independente ou o Órgão de Auditoria Interna, no exercício de sua
atividade no âmbito da ICP-Brasil, deve cumprir e fazer cumprir, por seus empregados e prepostos, as
normas específicas emanadas do Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira - ICP-
Brasil, no que se refere à conduta profissional, ao exercício da atividade e à emissão de pareceres e
relatórios de auditoria.
7.13. Aplicam-se aos sócios e diretores da empresa de Auditoria Independente, bem como aos
auditores que realizarão a auditoria, no que couber, as regras de suspeição e impedimento estabelecidas
nos artigos 134 e 135 do Código de Processo Civil.
8. REALIZAÇÃO DA AUDITORIA
8.1 A AC responsável e a entidade auditada devem fornecer ao auditor todos os elementos e
condições necessárias ao perfeito desempenho de suas funções.
8.2. Os documentos, registros históricos e demais elementos materiais que deram subsídios à
elaboração dos relatórios ficarão sob guarda da AC responsável, em local seguro, pelo prazo mínimo de
5 (cinco) anos, podendo a AC Raiz, a qualquer tempo, solicitar vista do material.
8.3. O acesso aos documentos a que se refere o parágrafo anterior só será permitido com a
presença simultânea de um representante da AC e de um representante da empresa de Auditoria
Independente ou do Órgão de Auditoria Interna.
8.4. Os auditores somente informarão os resultados da auditoria à entidade auditada, à AC
responsável e à AC Raiz
8.5. O auditor adotará, no exercício da atividade de auditoria, os procedimentos dispostos neste
documento, consolidados em relatório final de auditoria, a ser submetido à AC Raiz por parte da AC
responsável.
8.6. O relatório de auditoria poderá contemplar avaliação sobre a atuação da empresa prestadora
de serviço de suporte às AC subseqüentes e poderá estender-se às AR vinculadas.
8.7. Os serviços serão prestados diretamente pela empresa contratada ou pelo Órgão de Auditoria
Independente, vedada a subcontratação total ou parcial dos serviços.
8.8. O relatório de auditoria será analisado pela Diretoria de Auditoria, Fiscalização e
Normalização da AC Raiz, que poderá solicitar esclarecimentos complementares aos executantes.
8.9. Se, a qualquer tempo, a Diretoria de Auditoria, Fiscalização e Normalização constatar que o
relatório elaborado pela Empresa de Auditoria Independente ou pelo Órgão de Auditoria Interna