REVOGADA

RETIFICADA EM 14.12.2009

RESOLUÇÃO Nº 72, DE 18 DE NOVEMBRO DE 2009.

APROVA A VERSÃO 4.0 DOS CRITÉRIOS E

PROCEDIMENTOS PARA REALIZAÇÃO

DE AUDITORIAS NAS ENTIDADES DA

ICP-BRASIL: DOC-ICP-08.

O SECRETÁRIO EXECUTIVO DO COMITÊ GESTOR DA INFRA-ESTRUTURA DE CH AV ES

PÚBLICAS BRASILEIRA – ICP-BRASIL,

no exercício do cargo de Coordenador do referido

Comitê, no uso das atribuições legais previstas nos incisos I, V e VI do art. 4° da Medida Provisória n°

2.200-2, de 24 de agosto de 2001,

CONSIDERANDO o Decreto nº 6.605, de 14 de outubro de 2008, que dispõe sobre o Comitê Gestor da

Infra-Estrutura de Chaves Públicas Brasileira – CG ICP-Brasil e fixa a competência, prevista no § 6º art.

2º, do Secretário Executivo para coordená-lo na hipótese de ausência do Coordenador titular e suplente; e

CONSIDERANDO a necessidade de agilizar a realização das auditorias operacionais na cadeia da ICP-

Brasil, reduzindo o volume de papéis;

CONSIDERANDO a necessidade de introduzir os conceitos de Auditoria Baseada em Risco na execução

dos trabalhos de auditoria na cadeia da ICP-Brasil;

CONSIDERANDO as diferenças na complexidade e nos riscos envolvidos nos processos das diversas

entidades credenciadas na ICP-Brasil;

CONSIDERANDO a necessidade de ampliação do rol de entidades de auditoria autorizadas a realizar

trabalhos na cadeia da ICP-Brasil, segundo a competência técnica de cada entidade e a respectiva

complexidade e riscos envolvidos;

RESOLVE:

Art. 1º Aprovar a versão 4.0 dos CRITÉRIOS E PROCEDIMENTOS PARA REALIZAÇÃO DE

AUDITORIAS NAS ENTIDADES DA ICP-BRASIL (DOC-ICP-08), em anexo.

Art. 2º Estabelecer o prazo de 90 (noventa) dias para que as empresas de auditoria independente e as

unidades de auditoria interna se credenciem segundo os novos critérios aprovados por esta

Resolução.

§ 1º A partir da publicação desta Resolução, a forma de entrega de toda documentação de

auditoria será em conformidade com a versão 4.0 do DOC-ICP-08 e o ADE-ICP-08.H.

§ 2º Os trabalhos de auditoria já autorizados pelo ITI, e aqueles iniciados no prazo de transição

estabelecido no caput, serão realizados em conformidade com a versão 3.0 do DOC-ICP-08.

§ 3º No prazo de transição, fica substituída a autorização prevista no item 7 do DOC-ICP-08,

versão 3.0, pela comunicação prevista no item 6.3.4 do DOC-ICP-08, versão 4.0, anexo a esta

Resolução.

Art. 3º As entidades já cadastradas na AC-Raiz, ficam dispensadas da apresentação dos seguintes

documentos para credenciamento:

I. atos constitutivos, desde que a última atualização já tenha sido entregue ao ITI;

II. currículos já apresentados e que não possuam alteração;

III. relação de trabalhos realizados;

IV. certidões apresentadas e ainda vigentes.

§ 1º Para os incisos I e II deste artigo, as entidades apresentarão declaração afirmando que não

houve alteração em tais documentos.

Art. 4º Fica revogada a Resolução 56 que aprovou a versão 3.0 do DOC-ICP-08, observando-se o

disposto no Art.2º da presente Resolução.

Art. 5º Esta Resolução entra em vigor na data de sua publicação.

MAURÍCIO AUGUSTO COELHO

ANEXO

CRITÉRIOS E PROCEDIMENTOS

PARA REALIZAÇÃO DE AUDITORIAS

NAS ENTIDADES DA ICP-BRASIL

(DOC-ICP-08)

Versão 4.0

18 de novembro de 2009

RESUMO

1. DISPOSIÇÕES GERAIS ................................................................................................. 4

2. TIPOS DE AUDITORIA ................................................................................................... 4

3. ENTIDADES QUE PODEM REALIZAR AUDITORIAS .................................................... 4

4. CREDENCIAMENTO DE EMPRESAS DE AUDITORIA INDEPENDENTE E

ÓRGÃOS DE AUDITORIA INTERNA .................................................................................. 5

5. PLANO ANUAL DE AUDITORIA OPERACIONAL (PLAAO) ............................................ 8

6. REALIZAÇÃO DAS AUDITORIAS ................................................................................... 8

6.1 Aspectos Gerais da Realização das Auditorias .......................................................... 8

6.2 Aspectos específicos das Auditorias Pré-operacionais .............................................. 9

6.3 Aspectos específicos das Auditorias Operacionais .................................................... 9

7. RELAÇÃO ENTRE OS AUDITORES E AS ENTIDADES AUDITADAS ......................... 10

8. ANÁLISE DO RELATÓRIO DE AUDITORIA PELO ITI ...................................................11

9. NÃO-CONFORMIDADES EM RELATÓRIOS DE AUDITORIA ......................................11

10. DOS PROCESSOS ADMINISTRATIVOS E DOS RECURSOS .................................. 12

11. DISPOSIÇÕES FINAIS ............................................................................................... 12

12. DOCUMENTOS REFERENCIADOS ........................................................................... 13

LISTA DE ACRÔNIMOS

AC – Autoridade Certificadora

AC Raiz – Autoridade Certificadora Raiz da ICP-Brasil

ACT – Autoridade de Carimbo de Tempo

AR – Autoridade de Registro

AUDIBRA –Instituto dos Auditores Internos do Brasil

CD – Compact Disc

CG – Comitê Gestor da ICP-Brasil

CFC – Conselho Federal de Contabilidade

CGU – Controladoria Geral da União

CGAF – Coordenação Geral de Auditoria e Fiscalização

CMMI – Capability Maturity Model Integration

CNPJ – Cadastro Nacional de Pessoas Jurídicas

COBIT – Control Objectives for Information and related Technology

COSO – Committee of Sponsoring Organizations

CVM – Comissão de Valores Mobiliários

DAFN – Diretoria de Auditoria, Fiscalização e Normalização

DOU – Diário Oficial da União

DVD – Digital Versatile Disc

FGTS – Fundo de Garantia do Tempo de Serviço

IBRACON – Instituto dos Auditores Independentes do Brasil

ICP-Brasil – Infra-Estrutura de Chaves Públicas Brasileira

IIA – Institute of Internal Auditors

ISACA – Information Systems Audit and Control Association

IEC –

International Electrotechnical Commission

ISO – International Organization for Standardization

ITIL – Information Technology Infrastructure Library

MPS-BR – Melhoria de Processo do Software Brasileiro

PDF – Portable Document Format

PLAAO – Plano Anual de Auditoria Operacional

PSC – Prestadores de Serviço de Certificação

PSS – Prestadores de Serviço de Suporte

SHA – Secure Hash Algorithm

SICAF – Sistema de Cadastramento Unificado de Fornecedores

TAR – Tape Archive

TCU – Tribunal de Contas da União

1. DISPOSIÇÕES GERAIS

1.1 Este documento regula, no âmbito da Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil,

as atividades de auditoria, a serem realizadas em sua cadeia de certificação digital.

1.2 O código de ética e os princípios éticos para o exercício das atividades de auditoria interna e

independente estabelecidos pelos diversos órgãos reguladores ou de classe (TCU, CGU, CFC, CVM,

IBRACON, ISACA, AUDIBRA e IIA), integram, para todos os fins este normativo. As demais normas

emitidas pelos citados órgãos serão observadas naquilo em que não conflitarem com este documento.

1.3 No presente documento o conceito de METODOLOGIA de auditoria se refere a todo o

instrumental necessário à realização de trabalhos de auditoria como: manuais, roteiros, papéis de

trabalho, mapa de riscos, procedimentos, técnicas, formulários, relatórios e modelos.

1.4 Toda correspondência tratada neste documento deve ser formalizada, preferencialmente, por meio

de correio eletrônico, endereçado à Diretoria de Auditoria, Fiscalização e Normalização

(auditoria@iti.gov.br), em conformidade com o ADE-ICP-08-H[9], ou na sua impossibilidade, por ofício da

autoridade competente.

1.5 Todas as comunicações e requerimentos á AC Raiz, deverão ser encaminhados por intermédio da

cadeia de AC, ou candidatos a AC, operacionalmente vinculados. Inicia-se a tramitação pela AC de nível

imediatamente superior ao do interessado. A tramitação prossegue, a partir daí, respeitando a hierarquia

de AC, operacionalmente vinculados, até chegar á AC Raiz.

1.6 As notificações e intimações de que trata este documento serão realizadas, preferencialmente, por

correio eletrônico assinado digitalmente, ou na sua impossibilidade, por ofício da autoridade competente.

2. TIPOS DE AUDITORIA

2.1 As auditorias são classificadas em PRÉ-OPERACIONAIS e OPERACIONAIS, a saber:

a) Pré-operacionais: são as auditorias realizadas antes do início das atividades do candidato a

Prestador de Serviço de Certificação (PSC), quer seja Autoridade Certificadora (AC),

Autoridade de Carimbo do Tempo (ACT), Autoridade de Registro (AR) ou Prestador de Serviço

de Suporte (PSS).

b) Operacionais: são as auditorias realizadas anualmente – considerado o ano civil –, em todos

os PSC para manutenção do credenciamento junto à ICP-Brasil. Tais auditorias ocorrerão a

partir do primeiro ano civil seguinte à data do DOU que publicar o credenciamento do PSC.

3. ENTIDADES QUE PODEM REALIZAR AUDITORIAS

3.1 As auditorias na cadeia da ICP-Brasil são realizadas exclusivamente pelo Comitê Gestor da ICP-

Brasil, pelo Instituto Nacional de Tecnologia da Informação (ITI) ou por entidades credenciadas para o

fim, observada a seguinte tabela:

Entidade

EXECUTOR DA AUDITORIA

Pré-operacional

Operacional

AC Raiz

Comitê Gestor da ICP-Brasil ou

seus prepostos, formalmente

designados

Comitê Gestor da ICP-Brasil ou seus

prepostos, formalmente designados

AC de 1º Nível

, e

seus PSS

ITI/DAFN/CGAF ITI/DAFN/CGAF

AC subseqüente

seus PSS

ITI/DAFN/CGAF

Empresa de Auditoria Independente

credenciada junto ao ITI

ACT ITI/DAFN/CGAF

Empresa de Auditoria Independente

credenciada junto ao ITI

Empresa de Auditoria

Independente credenciada junto

ao ITI

Auditoria Interna da respectiva AR

credenciada junto ao ITI

Empresa de Auditoria Independente

credenciada junto ao ITI

AR no Exterior

ITI/DAFN/CGAF ou, a seu

critério, Empresa de Auditoria

Independente credenciada junto

ao ITI

Empresa de Auditoria Independente

credenciada junto ao ITI

Auditoria Interna da respectiva AR

credenciada junto ao ITI

PSS de AR

Empresa de Auditoria

Independente credenciada junto

ao ITI

Empresa de Auditoria Independente

credenciada junto ao ITI

Auditoria Interna da respectiva AR

credenciada junto ao ITI

3.2 O ITI poderá, a seu exclusivo critério ou por determinação do Comitê Gestor, executar auditorias

pré-operacionais e operacionais em quaisquer das entidades integrantes ou candidatas a integrar a ICP-

Brasil, utilizando servidores do quadro próprio do ITI/DAFN/CGAF, devidamente qualificados.

3.3 As auditorias operacionais realizadas pelo ITI com base na prerrogativa do item anterior, não supre

a exigência de realização de auditoria operacional a ser realizada em conformidade com o item 2.1.”b”

acima.

Aquela cujo certificado é emitido pela AC Raiz

Aquela cujo certificado não é emitido pela AC Raiz

4. CREDENCIAMENTO DE EMPRESAS DE AUDITORIA

INDEPENDENTE E ÓRGÃOS DE AUDITORIA INTERNA

4.1 São dois (2) os tipos de entidades credenciadas para realizar auditoria na cadeia da ICP-Brasil:

a) Tipo 1: entidades autorizadas a realizar auditoria em AC, ACT, AR e respectivos PSS, este tipo é

destinado às empresas de Auditoria Independente cadastradas junto ao CNAI.

b) Tipo 2: entidades autorizadas a realizar auditoria somente em AR e respectivos PSS, este tipo é

destinado às empresas enquadradas na alínea anterior e às unidades de Auditoria Interna

formalmente instituídas.

4.2 As entidades de auditoria independente candidatas a realizar trabalhos de auditoria na cadeia da

ICP-Brasil, indicarão o tipo a que pleiteiam e apresentarão o formulário ADE-ICP-08.A[1], anexando:

a) documentação demonstrando que a estrutura organizacional e a metodologia de auditoria são

claras e, formalmente definidas, para permitir a realização de trabalhos de auditoria;

b) documentação indicando que o sistema de controle de qualidade formalmente estabelecido

atende às normas profissionais vigentes e são adotados procedimentos que garantam o seu

cumprimento na realização dos trabalhos de auditoria;

c) comprovação de constituição legalmente registrada; onde conste a atividade de auditoria de

sistemas ou de tecnologia da informação no objeto social da candidata;

d) comprovação de inscrição no Cadastro Nacional da Pessoa Jurídica;

e) comprovação de inscrição estadual e municipal, relativo ao domicílio sede da candidata;

f) certidões negativas de débitos junto as fazendas Federal, Estadual e Municipal; inclusive

Seguridade Social e ao Fundo de Garantia do Tempo de Serviço;

g) certidão negativa de falência e de recuperação judicial;

h) certidão negativa de execução patrimonial;

i) declaração de que não está cumprindo nenhuma penalidade da Administração Pública Federal,

Estadual e Municipal;

j) declaração de que não foi declarada inidônea nas esferas de Governo Federal, Estadual e

Municipal;

k) currículo dos sócios, dos diretores e dos responsáveis técnicos que integram o quadro de

auditores com poderes para emitir e assinar relatório de auditoria em nome da candidata;

l) atestado de capacidade técnica, emitido por pessoa jurídica que comprove a execução de

serviços em auditoria de software ou de sistemas de informação, bem como comprove a

quantidade de horas de serviços de auditoria prestada;

m) rol dos trabalhos realizados nos últimos 2 (dois) anos, contendo tabela indicando:

a classificação dos serviços realizados;

a quantidade de auditores alocados em cada serviço; e,

a quantidade de horas de auditoria em cada trabalho;

n) cópia de dois trabalhos de auditoria realizados em ambiente de TI, que tenham sido realizados

nos dois últimos anos, contendo relatórios e respectivos papéis de trabalho;

V. caso a empresa esteja impedida de apresentar a documentação por força de sigilo

profissional, poderá dar vistas ao ITI aos dois últimos trabalhos; ou,

VI. apresentar relatório de avaliação executado por outra empresa de auditoria, no programa

de avaliação pelos pares, denominado Comitê Administrador do Programa de Revisão

Externa de Qualidade (CRE);

o) comprovação de inscrição no CNAI – Cadastro nacional de Auditores Independentes

4.3 As entidades de auditoria interna candidatas a realizar trabalhos de auditoria na cadeia da ICP-

Brasil, só poderão pleitear o credenciamento para o tipo 2, e apresentarão o formulário ADE-ICP-08.B[2],

anexando:

a) a documentação estabelecida nas alíneas “a”, “b”, “k”, “m” e “n” do item 4.2 anterior;

b) comprovação de estar formalmente constituída, com vinculação direta ao principal órgão

administrador ou controlador da empresa onde estiver inserida ou instituída por força de

dispositivo legal.

4.4 As unidades de auditoria interna credenciadas só poderão realizar trabalhos de auditoria no âmbito

da própria empresa onde inseridas, isto é, que possuam o mesmo CNPJ ou radical de CNPJ.

4.5 As empresas de auditoria independente autorizadas a realizar auditorias no âmbito da ICP-Brasil

atenderão aos seguintes requisitos mínimos, que serão avaliados e considerados quando do exame do

pedido de credenciamento:

a) para o tipo 1: experiência comprovada de pelo menos 2 (dois) anos em:

I) áreas de segurança da informação (ambiente físico e lógico), criptografia, infra-estrutura de

chaves públicas, segurança patrimonial e sistemas de processamento eletrônico de

informações;

II) utilização de pelo menos um dos padrões de auditoria reconhecidos internacionalmente,

como por exemplo: COBIT, “Webtrust”, ABR ou COSO;

b) para o tipo 2: deverão possuir corpo técnico de auditores com experiência comprovada de pelo

menos 2 (dois) anos em:

I) segurança da informação, segurança patrimonial e nível básico de sistemas de

processamento eletrônico de informações;

II) utilização de pelo menos um dos padrões reconhecidos internacionalmente de avaliação

gerencial ou de gestão, como por exemplo: COBIT, COSO ou ABR.

4.6 Para as empresas de auditoria candidatas ao credenciamento para o tipo 1, é desejável que o

corpo técnico de auditores possua alguma certificação internacional (CISA-Certified Information System

Auditor; CISM-Certified Information Security Manager, CISSP-Certified Information Systems Security

Professional, etc.).

4.7 O pedido de credenciamento será protocolado no ITI, por meio de correspondência impressa

assinada pela entidade candidata, anexando arquivos eletrônicos observado o ADE-ICP-08-H[9].

4.8 Quanto aos aspectos legais, o processo de credenciamento será submetido à Procuradoria

Federal Especializada, que manifestar-se-á, em até 30 (trinta) dias, sobre o acolhimento do pedido de

credenciamento.

4.9 O prazo será suspenso, caso a Procuradoria solicite a complementação da documentação em até

15 dias, só voltando a ser contado a partir do recebimento do que for solicitado. O processo será

arquivado, mediante despacho da Procuradoria, caso não haja complementação do solicitado até o

prazo concedido.

4.10 A documentação apresentada pela candidata para credenciamento constituirá processo específico

e será acondicionada em arquivo próprio pela AC-Raiz, por prazo não inferior a 5 (cinco) anos, exceto

quanto à eventual documentação de auditorias realizadas, que será considerada confidencial, ficando à

disposição apenas dos próprios solicitantes do credenciamento.

4.11 Acolhido, pela Procuradoria, o pedido de credenciamento ou, recebido, na DAFN, o pedido de

renovação, o Diretor da DAFN, por meio de despacho fundamentado, poderá:

a) deferir o pedido;

b) notificar a candidata para, no prazo máximo de 15 (quinze) dias corridos, complementar a

documentação apresentada;

c) indeferir o pedido se, vencido o prazo da alínea “b”, não forem cumpridas as exigências

constantes da notificação retro mencionada;

d) indeferir o pedido que não atenda aos requisitos técnicos estabelecidos.

4.12 O credenciamento será publicado no DOU (Diário Oficial da União) e será renovado a cada cinco

(5) anos, a contar da data da publicação do respectivo credenciamento ou renovação.

4.13 Nas renovações, mediante solicitação à DAFN, a entidade de auditoria anexará a mesma

documentação apresentada para o credenciamento inicial, podendo, para os documentos que não

sofreram alteração desde o último deferimento, serem substituídos por declaração expressa do

Representante Legal, sob as penas da lei. Nestes casos, serão renovadas as certidões negativas fisco-

tributárias exigíveis.

4.14 As empresas cadastradas no SICAF – Sistema Unificado de Cadastramento de Fornecedores,

registro oficial do Poder Executivo Federal, poderão, para fins de comprovação da situação tributária

federal, apresentar seu extrato em substituição às respectivas certidões negativas exigíveis, que será

complementado pelas certidões estaduais e municipais exigíveis, se for o caso.

4.15 Qualquer alteração ocorrida, quer seja em atos constitutivos, estatuto, contrato social,

organograma ou vinculação da entidade, quer seja dos dirigentes ou da equipe técnica de auditores,

será submetida imediatamente à aprovação da DAFN, mediante formalização protocolada no ITI e que

fará parte do processo de credenciamento da respectiva entidade de auditoria. Nestes casos será

reavaliada a manutenção das condições exigidas para o credenciamento, observadas as regras para as

renovações, podendo ser dispensada a apresentações de certidões ainda não exigíveis.

4.16 A apresentação de documentos para fins de credenciamento ou descredenciamento será sempre

por meio eletrônico, com assinatura digital da cadeia da ICP-Brasil.

4.17 É responsabilidade das entidades de auditoria credenciadas, a solicitação à AC-Raiz da

atualização de seus dados e certidões no Cadastro de entidades de Auditoria Credenciadas.

4.18 A entidade de auditoria credenciada poderá solicitar o descredenciamento à AC-Raiz, a qualquer

tempo.

4.19 Indeferido o pedido de credenciamento ou de renovação de credenciamento, a DAFN notificará

diretamente ao interessado, por meio de ofício, procedendo aos ajustes cabíveis nos registros de

empresas de auditoria credenciadas.

4.20 A AC-Raiz deverá, no prazo de 15 (quinze) dias corridos, a contar do deferimento do

credenciamento, da renovação ou do recebimento do pedido de descredenciamento, atualizar o

Cadastro de Auditorias Independentes, disponível no endereço http://www.iti.gov.br.

5. PLANO ANUAL DE AUDITORIA OPERACIONAL (PLAAO)

5.1 Cada AC e ACT protocolará no ITI, até o dia 15 (quinze) de dezembro de cada ano, para

aprovação da DAFN, seu PLAAO para o ano civil seguinte, contemplando todos os PSC diretamente

subordinados (AC subseqüente, AR e respectivos PSS), por meio do formulário ADE-ICP-08-C[4].

5.2 As auditorias operacionais serão realizadas anualmente nos seguintes PSC:

a) AC credenciada e respectivos PSS;

b) ACT credenciada e respectivos PSS

c) AR, respectivas instalações técnicas e PSS, no caso daquelas que possuam até três (3)

instalações técnicas credenciadas.

5.3 Para os casos de AR que possua mais de três (3) endereços de instalação técnica, é facultado à

AC subordinante, especificamente para essa AR, propor um cronograma anual de auditoria com

cobertura parcial de suas instalações técnicas, desde que:

a) cada instalação técnica seja auditada pelo menos uma vez a cada dois (2) anos;

b) sejam auditados anualmente, no mínimo, 40% (quarenta por cento) de suas instalações

técnicas; e,

c) a AC apresente os critérios e justificativas aplicadas na seleção das instalações técnicas

distribuídas pelo período de auditoria proposto.

6. REALIZAÇÃO DAS AUDITORIAS

6.1 Aspectos Gerais da Realização das Auditorias

6.1.1 As auditorias têm por objetivo avaliar se os processos, procedimentos, atividades e controles

estão em conformidade com as respectivas Políticas de Certificado, Declaração de Práticas de

Certificação, Política de Segurança e demais normas e procedimentos estabelecidos pelo Comitê Gestor

da ICP-Brasil. O documento ADE-ICP-08-E[6] detalha os processos que compõem a cadeia de

certificação e deverá nortear as auditorias realizadas na cadeia da ICP-Brasil.

6.1.2 Cada PSC manterá dossiê de auditoria, preferencialmente em meio digital, organizado e

constituído de pastas, contendo cada uma:

a) os relatórios de auditoria pré e operacionais,

b) as evidências de regularização das não-conformidades identificadas e apontadas em

relatórios de auditoria,

c) as correspondências trocadas sobre a regularização de inconformidades.

6.1.3 Os relatórios de auditoria deverão concluir sobre os processos e procedimentos de

responsabilidade do PSC sob avaliação, manifestando sobre a suficiência dos controles executados para

mitigação dos riscos existentes. O documento ADE-ICP-08-F[7] apresenta os critérios para emissão do

Parecer de Auditoria que constará do Relatório de Auditoria.

6.1.4 A entidade de auditoria, no exercício de suas atividades no âmbito da ICP-Brasil, deve cumprir e

fazer cumprir, por seus prepostos e empregados, as normas da ICP-Brasil, observadas ainda as normas

para o exercício da profissão de auditor independente ou interno, conforme o caso.

6.1.5 As auditorias serão executadas em conformidade e aderência com a metodologia que deu base

ao credenciamento da entidade responsável pela execução da auditoria.

6.1.6 Os serviços de auditoria serão executados diretamente pela entidade de auditoria credenciada

junto à ICP-Brasil, vedada a subcontratação total ou parcial dos serviços.

6.1.7 O auditor, no exercício de suas funções, terá livre acesso a todas as dependências da entidade

auditada, assim como aos documentos e registros indispensáveis ao cumprimento de suas atribuições,

não lhe podendo ser sonegado, sob qualquer pretexto, documentos, acessos ou informações.

6.1.8 A entidade auditada deve fornecer ao auditor todos os elementos e condições necessárias ao

perfeito desempenho de suas funções.

6.1.9 Os Papeis de Trabalho, registros e demais elementos materiais que deram subsídio à elaboração

dos relatórios ficarão sob a guarda da entidade executante da auditoria, pelo prazo mínimo de 5 (cinco)

anos. A AC-Raiz, a qualquer tempo e a seu critério, poderá solicitar cópia do material, fixando prazo para

entrega, preferencialmente por meio eletrônico, observado o ADE-ICP-08.H[9].

6.1.10 O relatório final de auditoria será emitido com com a seguinte destinação:

a) original, entidade auditada;

b) cópia, AC subordinante, se for o caso, ou a ACT responsável;

c) cópia à AC de primeiro nível, se for o caso; e,

d) cópia, ITI.

6.1.11 A cópia do relatório de auditoria destinada ao ITI será entregue à Diretoria de Auditoria,

Fiscalização e Normalização do ITI, observado o ADE-ICP-08-H[9], diretamente pela entidade de

auditoria.

I. Pré-relatórios ou relatórios parciais não devem ser encaminhados ao ITI.

6.2 Aspectos específicos das Auditorias Pré-operacionais

6.2.1 Também nos relatórios de auditoria pré-operacional, serão emitidos conceitos de auditoria para

os candidatos a PSC em conformidade com os critérios constantes do ADE-ICP-08-F[7].

6.2.2 Nos casos em que for identificada qualquer não conformidade, o relatório de auditoria só será

encaminhado ao ITI após a certificação, pela entidade de auditoria, da regularização das

inconformidades encontradas. A entidade de auditoria deverá anexar as evidências das regularizações

ao relatório de auditoria pré-operacional.

6.3 Aspectos específicos das Auditorias Operacionais

6.3.1 O relatório de auditoria conterá avaliação do PSC e respectivos PSS, podendo estender-se às

AR vinculadas – quando se tratar de auditoria em AC –, e conceituará o PSC auditado, em conformidade

com os critérios constantes do ADE-ICP-08-F[7].

6.3.2 Considerando o nível de exposição aos riscos, a entidade de auditoria poderá excluir processos

ou sub-processos das avaliações de auditoria, de forma justificada. Tais exclusões e justificativas

constarão do corpo do relatório de auditoria ou de anexo específico, a critério da entidade de auditoria e

em conformidade com a metodologia apresentada quando do credenciamento da entidade de auditoria.

6.3.3 Nas auditorias operacionais nas AC, o relatório de auditoria deverá informar se são atendidos os

critérios de realização de auditorias operacionais nas AR subordinadas e se são adotados controles para

acompanhamento daquelas auditorias.

6.3.4 Iniciados os trabalhos de campo da auditoria operacional em qualquer PSC, a entidade

responsável pela execução da auditoria informará o fato ao ITI, por correio eletrônico

(auditoria@iti.gov.br), utilizando o modelo constante do ADE-ICP-08-D[5]; na data de início dos trabalhos,

ou com antecedência máxima de dois dias úteis.

6.3.5 Nos casos de auditoria em AR com diversas IT-Instalações Técnicas, embora possa ser emitido

relatório por IT, deverá ser consolidado relatório da AR e será atribuído conceito ao PSC, observado o

ADE-ICP-08-F.

6.3.6 Nos casos de AR onde exista acordo operacional, a entidade de auditoria deverá apresentar

anexo específico, descrevendo os procedimentos adotados em cada acordo operacional, informando a

responsabilidade por eventuais não-conformidades identificadas no cumprimento do respectivo acordo.

a) Cópia deste anexo será destinada a outra AR participante do acordo operacional, que a

manterá no dossiê de auditorias realizadas.

b) Cada AR regularizará, nos prazos indicados, as não-conformidades a que tiver dado causa,

comunicando o fato a AC à qual estiver vinculada.

7. RELAÇÃO ENTRE OS AUDITORES E AS ENTIDADES AUDITADAS

7.1 Aplica-se ao auditor, no que couber, as regras de suspeição e impedimento estabelecidas nos

artigos 134 e 135 do Código de Processo Civil; além das demais normas para o exercício da profissão

de auditor independente ou interno.

7.2 A empresa de Auditoria Independente ou qualquer de seus auditores serão declarados impedidos

de realizar auditoria, quando:

a) houver motivo íntimo declarado;

b) for amigo íntimo ou inimigo capital de membros da entidade auditada;

c) for credor ou devedor da entidade auditada ou de um de seus membros;

d) tiver recebido, nos últimos 5 (cinco) anos, da entidade auditada, pagamentos referentes à

prestação de serviços, excetuando-se os recebimentos de valores referentes à prestação de

auditoria;

e) tiver interesse no resultado da auditoria a ser realizada; e,

f) houver relacionamento, de fato ou de direito, como cônjuge, parente, consangüíneo ou afim,

com algum dos membros da entidade auditada, em linha direta ou na colateral até o terceiro

grau.

I) Entende-se como membros da entidade auditada todas as pessoas que de alguma forma

participem do capital social ou tenham influência na gestão do PSC auditado.

7.3 A empresa de auditoria independente e respectivos auditores que participarem dos trabalhos de

auditoria no âmbito da ICP-Brasil, firmarão declaração, sob as penas da lei, de que não se enquadram

em qualquer das causas de impedimento tratadas neste documento.

7.4 As declarações previstas neste documento constarão como anexos obrigatórios ao relatório de

auditoria a ser entregue ao ITI.

7.5 Exceto quanto as entidades de Auditoria Interna, será obrigatória a rotação da equipe de auditoria

(responsável técnico, diretor, gerente e qualquer outro integrante) e das empresas de Auditoria

Independente a intervalos menores ou iguais a cinco anos consecutivos; observado o intervalo mínimo

de três (3) anos para o retorno.

7.6 As entidades de auditoria independente contratadas por entes da administração pública direta ou

indireta (Federal, Estadual ou Municipal) que estejam impedidas do rodízio previsto no item anterior, por

força de dispositivo legal, para atenderem a rotatividade estabelecida; quando completarem os cinco

anos e durante os próximos três anos dos prazos estabelecidos no item anterior, deverão submeter seus

trabalhos à revisão por outra entidade de auditoria, que emitirá relatório circunstanciado sobre a correta

aplicação das normas profissionais e técnicas utilizadas nestes trabalhos, encaminhando-o ao ITI.

7.7 Ocorrendo o impedimento da entidade de auditoria, esta deverá concluir os trabalhos cujas

atividades de campo já tenham iniciado e tenham sido comunicadas ao ITI por meio do ADE-ICP-08-

D[5]; estando impedida de iniciar novos trabalhos de campo.

a) Eventuais relatórios de auditoria recebidos em desacordo com o caput serão sumariamente

arquivados e não terão qualquer validade perante o ITI, no que se refere ao cumprimento da

obrigatoriedade de realização de auditorias.

8. ANÁLISE DO RELATÓRIO DE AUDITORIA PELO ITI

8.1 O relatório de auditoria será analisado pela Diretoria de Auditoria, Fiscalização e Normalização da

AC Raiz, que poderá solicitar esclarecimentos ou documentos complementares aos executantes da

auditoria ou aos respectivos PSC auditados.

8.2 A documentação de auditoria será avaliada em comparação com a metodologia de auditoria

aprovada no credenciamento da entidade de auditoria.

8.3 Se, a qualquer tempo, a Diretoria de Auditoria, Fiscalização e Normalização constatar que o

relatório de auditoria entregue apresenta incorreções, omissões ou descumprimento de norma

profissional de auditoria, comunicará o fato à entidade que executou a auditoria. Neste caso, a entidade

de auditoria deverá justificar as incorreções no prazo de 15 dias da data do recebimento da notificação.

8.4 Caso a entidade de auditoria não apresente as justificativas ou estas sejam consideradas

insatisfatórias, o Diretor da DAFN poderá aplicar penalidade, de conformidade com o ADE-ICP-08.G[8],

notificando a entidade de auditoria.

8.5 Em caso de reincidência no mesmo tipo de ocorrência, mesmo em outro PSC, o ITI poderá aplicar

penalidades de acordo com os critérios estabelecidos no ADE-ICP-08.G[8], com base em despacho

fundamentado do Diretor da DAFN.

9. NÃO-CONFORMIDADES EM RELATÓRIOS DE AUDITORIA

9.1 Cabe à entidade auditada cumprir, no prazo estipulado no relatório de auditoria, as

recomendações para corrigir as não-conformidades com a legislação ou com as políticas, normas,

práticas e regras estabelecidas. Tais regularizações serão comunicadas formalmente à entidade a que

se vincula o PSC auditado, na data de vencimento do prazo concedido no relatório de auditoria.

9.2 Cabe à entidade subordinante do PSC controlar o cumprimento das recomendações de auditoria

das entidades vinculadas, comunicando ao ITI, o não cumprimento de recomendações de auditoria,

mantendo registros formais do acompanhamento.

9.3 Caso qualquer recomendação não seja cumprida no prazo estabelecido no relatório de auditoria, o

PSC subordinante comunicará o fato ao ITI, anexando cópia de correspondências trocadas, evidências

da inconformidade e das ações adotadas até o momento para mitigação do risco envolvido. Esta

comunicação será preferencialmente por correio eletrônico assinado por representante legal do PSC

com certificado da ICP-Brasil, observando o ADE-ICP-08-H[9].

9.4 O cumprimento e efetivação das recomendações de auditoria e de sugestões de melhoria acaso

existentes no relatório de auditoria, devem ser objeto de análise e manifestação na auditoria

subseqüente.

9.5 As entidades encarregadas da execução das auditorias manifestarão sobre o atendimento das

recomendações da auditoria imediatamente anterior, em documento anexo ao relatório de auditoria a ser

emitido.

9.6 No ITI, os casos de não-conformidade que ensejaram recomendações de auditoria serão

encaminhadas para a área da AC-Raiz responsável pela Fiscalização e incluídos nos planos de trabalho

da mesma, observados os procedimentos previstos no documento CRITÉRIOS E PROCEDIMENTOS

PARA FISCALIZAÇÃO DAS ENTIDADES INTEGRANTES DA ICP-BRASIL (DOC-ICP-09)[1].

9.7 Cabe à AC Raiz tomar todas as medidas cabíveis a fim de garantir a segurança e a confiabilidade

da ICP-Brasil, podendo descredenciar a entidade auditada, mediante decisão motivada.

9.8 O ITI, em casos de iminente dano irreparável ou de difícil reparação a terceiros, suspenderá

cautelarmente, no todo ou em parte, a emissão de certificado e/ou carimbo do tempo pelo respectivo

PSC, podendo a suspensão ser também estendida ao PSC de nível imediatamente subseqüente ou

superior àquele.

9.9 Se a entidade auditada for considerada INACEITÁVEL o ITI suspenderá imediatamente suas

operações até que as não-conformidades sejam solucionadas.

9.10 Nos casos de auditorias em AR com diversas instalações técnicas-IT, embora possa ser emitido

relatório por IT, deverá ser consolidado relatório da AR onde será atribuído conceito geral ao PSC.

9.11 A entidade cujo conceito atribuído seja cinco (5) – INACEITÁVEL – em duas auditorias

operacionais consecutivas, será descredenciada da ICP-Brasil, não podendo mais ter seu pedido de

credenciamento aceito pelo ITI pelo período mínimo de dois (2) anos.

9.12 O descredenciamento será publicado no Diário Oficial da União, em consonância com os demais

procedimentos de descredenciamento descritos nas normas da ICP-Brasil.

9.13 Toda vez que um PSC receber um conceito 3 ou 4 no relatório de auditoria operacional, poderá

sofrer uma das penalidades previstas no ADE-ICP-08-G[8].

10. DOS PROCESSOS ADMINISTRATIVOS E DOS RECURSOS

10.1 Todas as penalidades referentes aos processos de auditoria serão aplicadas pelo Diretor de

Auditoria, Fiscalização e Normalização (DAFN), com base em decisão fundamentada, quer se trate de

PSC ou entidade de auditoria credenciada.

10.2 A entidade infratora será notificada pelo Diretor da DAFN, cujo ofício listará os fatos e as normas

descumpridas.

10.3 A entidade notificada terá o prazo de até 10 (dez) dias, da data do recebimento da notificação da

DAFN, para protocolar defesa, apresentando as justificativas e documentação que julgar conveniente

para sua defesa.

10.4 Recebida a defesa, o Diretor da DAFN, poderá: arquivar o processo de aplicação da penalidade;

ou, indeferir a defesa, mantendo a anterior decisão, fundamentadamente.

10.5 Indeferida a defesa, a entidade será notificada e penalizada de conformidade com o ADE-ICP-

08.G[8].

10.6 A entidade notificada, na forma do item anterior, poderá interpor recurso ao Diretor-Presidente do

ITI contra a aplicação da penalidade, no prazo de 10 dias da data em que for notificada da aplicação da

penalidade pelo Diretor da DAFN.

10.7 Caso não seja apresentado recurso contra a decisão do Diretor da DAFN, a penalidade será

publicada no DOU.

10.8 Protocolado recurso contra decisão do Diretor da DAFN, o Diretor-Presidente do ITI decidirá, com

base em despacho fundamentado, em 15 dias da data da interposição do recurso contra aplicação de

penalidade. Caso julgue necessário, o Diretor-Presidente solicitará parecer da Procuradoria Federal

Especializada do ITI que subsidie a decisão quanto a aplicação da penalidade.

10.9 Da aplicação de penalidade imposta pelo Diretor-Presidente do ITI, caberá recurso ao Comitê-

Gestor – instância máxima de decisão administrativa no âmbito da ICP-Brasil –, no prazo de 10 dias da

data do recebimento da notificação da aplicação da penalidade.

10.10 As penalidades aplicadas pelo Diretor-Presidente serão publicadas no DOU.

10.11 Os recursos interpostos contra as decisões de que trata este item 10 não gozarão de efeito

suspensivo, nos termos da lei nº 9.784/99, art. 61.

10.12 A decisão do Comitê Gestor que reformular penalidade aplicada pelo Diretor-Presidente do ITI

será publicada no DOU.

11. DISPOSIÇÕES FINAIS

11.1 É de inteira responsabilidade da entidade de auditoria credenciada, a veracidade das informações

e documentos apresentados ao ITI.

11.2 A não declaração de fato superveniente que possa desconstituir o teor de documentação já

apresentada ou a falsa declaração, pela entidade credenciada ou por qualquer dos auditores que

realizaram a auditoria, sujeita-os às penalidades cabíveis.

11.3 A empresa estrangeira que não tenha filial ou representante legal no País atenderá às exigências

estabelecidas mediante a apresentação de documentos equivalentes autenticados pelo respectivo

consulado e traduzido por tradutor juramentado.

12. DOCUMENTOS REFERENCIADOS

12.1 O documento abaixo é aprovado por Resoluções do Comitê-Gestor da ICP-Brasil, podendo ser

alterado, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a

versão mais atualizada do documento e as Resolução que o aprovou.

Ref.

Nome do documento

Código

[1]

CRITÉRIOS E PROCEDIMENTOS PARA FISCALIZAÇÃO DAS

ENTIDADES INTEGRANTES DA ICP-BRASIL

DOC-ICP-09

12.2 Os documentos abaixo são aprovados pela AC Raiz, podendo ser alterados, quando necessário,

mediante publicação de uma nova versão no sítio

http://www.iti.gov.br.

Ref.

Nome do documento

Código

[1]

Formulário SOLICITAÇÃO DE CREDENCIAMENTO DE EMPRESA DE

AUDITORIA ESPECIALIZADA E INDEPENDENTE

ADE-ICP.08.A

[2]

Formulário SOLICITAÇÃO DE CREDENCIAMENTO DE ÓRGÃO DE

AUDITORIA INTERNA

ADE-ICP.08.B

[4]

Modelo de PLAAO – PLANO ANUAL DE AUDITORIA OPERACIONAL

ADE-ICP.08.C

[5]

Modelo de COMUNICAÇÃO DE INÍCIO DE TRABALHOS DE AUDITORIA

ADE-ICP.08.D

[6]

Descrição dos PROCESSOS DAS ENTIDADES DA ICP-BRASIL

ADE-ICP.08.E

[7]

CRITÉRIOS PARA EMISSÃO DE PARECER DE AUDITORIA

ADE-ICP.08.F

[8]

CRITÉRIOS PARA APLICAÇÃO DE PENALIDADES A ENTIDADES

CREDENCIADAS NA ICP-BRASIL

ADE-ICP.08.G

[9]

PROCEDIMENTOS PARA TROCA DE CORRESPONDÊNCIAS ENTRE

AS ENTIDADES DE AUDITORIA E O ITI