RESOLVE:

Art. 1º As atividades de auditoria independente, no âmbito da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, serão reguladas por esta Resolução.

Art. 2º As empresas de auditoria especializada e independente, para exercerem atividades no âmbito da Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, estão sujeitas à prévia autorização do Instituto Nacional de Tecnologia da Informação - ITI.

Parágrafo único. Autorizações somente serão outorgadas para as empresas previamente cadastradas na forma desta Resolução.

Art. 3º O Cadastro de Auditoria Independente constitui-se no registro cadastral oficial do Instituto Nacional de Tecnologia da Informação das empresas de auditoria especializada e independentes, a ser disponibilizado no endereço www.iti.gov.br.

Art. 4º O cadastramento deverá ser realizado pelo interessado no Instituto Nacional de Tecnologia da Informação, junto à Diretoria de Auditoria, Fiscalização e Normalização.

Art. 5º Para fins de cadastramento na categoria de Auditor Independente, deverá a empresa interessada preencher o formulário objeto do Anexo e apresentá-lo ao ITI, que o receberá formalmente, acompanhado da seguinte documentação:

I - Quanto à situação jurídica e fiscal:

a) prova de estar legalmente constituída;

b) prova de inscrição no Cadastro Nacional de Pessoa Jurídica - CNPJ;

c) prova de inscrição no cadastro estadual (ou distrital) e municipal, se houver, relativo ao domicílio ou sede da empresa candidata; 

d) prova de regularidade fiscal junto à Fazenda Pública da União, dos Estados ou do Distrito Federal e do Município do domicílio ou sede da empresa candidata, ou outra equivalente, na forma da lei;

e) prova de regularidade junto à Seguridade Social e ao Fundo de Garantia por Tempo de Serviço (FGTS) ; 

f) certidão negativa de falência ou concordata expedida pelo distribuidor da sede da pessoa jurídica, ou de execução patrimonial, expedida no domicílio da entidade.

II - Quanto à capacidade técnica:

a) currículos dos sócios, dos diretores e dos responsáveis técnicos que integram o quadro de auditores com poderes para emitir e assinar parecer de auditoria em nome da empresa;

b) pelo menos um atestado de capacidade técnica, emitido por pessoa jurídica, devidamente registrado na entidade profissional competente, que comprove a execução de serviços em auditoria de software ou de sistemas de informação, bem como comprove a quantidade de horas de serviços de auditoria prestada;

c) rol dos trabalhos realizados nos últimos dois anos, contendo: tabela indicando a classificação dos serviços, por tipo de empresa; tabela indicando o número de horas de auditoria alocadas nos serviços realizados; tabela indicando a quantidade de auditores alocados nos serviços.

Art. 6º O cadastro será válido em âmbito nacional pelo prazo de 1 (um) ano, a contar da notificação do seu deferimento, devendo ser renovado mediante entrega no ITI do formulário constante no Anexo.

§ 1º As informações que forem alteradas na renovação do cadastro devem ser comprovadas por documento hábil.

§ 2º O prazo de validade do cadastro não alcança as certidões ou documentos de cunho fiscal, de seguridade social e FGTS, com prazos de vigência próprios, cabendo à empresa cadastrada a manutenção da sua validade, sob pena de invalidação automática de seu cadastramento.

Art. 7º A documentação apresentada pela empresa interessada constituirá processo específico e será acondicionada em arquivo próprio pelo ITI, por prazo não inferior a 5 (cinco) anos.

Art. 8º Após o recebimento da solicitação de cadastramento o ITI poderá: 

I - deferir o pedido de cadastramento, mediante despacho da autoridade competente;

II - intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação apresentada;

III - indeferir o pedido de cadastramento se, vencido o prazo acima, não forem cumpridas as exigências dispostas nesta Resolução, mediante despacho motivado da autoridade competente.

Art. 9º O ITI deverá no prazo de 15 (quinze) dias, a contar do deferimento do cadastramento, incluir a empresa no Cadastro de Auditores Independentes, disponível no endereço www.iti.gov.br.

Art. 10. O cadastramento não implica autorização para realização de auditoria no âmbito da ICP-Brasil, mas consiste em requisito prévio para sua outorga.

Art. 11. O pedido de descadastramento deve ser formalizado no ITI, que providenciará a exclusão da empresa de auditoria solicitante do Cadastro de Auditores Independentes, no prazo de 15 (quinze) dias.

Art. 12. A autorização constitui ato declaratório do Diretor de Auditoria, Fiscalização e Normalização do Instituto Nacional de Tecnologia da Informação que permite ao Auditor Independente prestar serviços de auditoria, no âmbito da ICP-Brasil, em conformidade com as normas estabelecidas por este Comitê Gestor.

Parágrafo único. As autorizações serão outorgadas, individualmente, para cada auditoria independente contratada.

Art. 13. O pedido de autorização será submetido ao ITI, por intermédio da AC contratante, acompanhado da seguinte documentação: 

I - Quanto à capacidade de cumprimento da auditoria:

a) relação dos auditores que realizarão a auditoria na AC contratante, em conformidade com a relação constante do art. 5º, inciso II, letra “a”;

b) apresentação de roteiro ou script detalhando o seu plano de auditoria na AC contratante e no seu prestador de serviço de suporte e autoridades de registro, se for o caso, descrevendo, pelo menos, como pretende proceder à verificação da Política de Certificação - PC, da Declaração de Práticas de Certificação - DPC e da Política de Segurança - PS, e recomendar providências quanto às observações levantadas;

c) apresentação de modelo de Relatório de Auditoria contemplando, pelo menos, os seguintes itens: objeto, período, objetivo, escopo, visão global, análise dos controles ambientais e controles operacionais e conclusões;

d) apresentação de um Plano de Desenvolvimento e Implementação dos Trabalhos de Auditoria especificando de maneira clara e objetiva cada etapa do trabalho, procedimentos e técnicas adotadas em cada atividade, prazo de execução e pontos de homologação, bem como tabelas indicativas do número de horas de auditoria e o número de auditores a serem alocados nos serviços.

§ 1º O ITI receberá formalmente, por intermédio da Diretoria de Auditoria, Fiscalização e Normalização, a documentação com o pedido de autorização da empresa.

§ 2º A Diretoria de Auditoria, Fiscalização e Normalização poderá exigir a complementação dos documentos inicialmente apresentados, a sua atualização, bem como a apresentação de outros documentos que julgar necessário.

Art. 14. O prazo para outorga da autorização de que trata o art. 12 desta Resolução é de 30 (trinta) dias a contar da data do protocolo no ITI.

Art. 15. Após o recebimento do pedido de autorização o ITI poderá: 

I - deferir o pedido de autorização, expedindo o competente Ato Declaratório que será publicado no Diário Oficial da União;

II - intimar a empresa para, no prazo máximo de 10 (dez) dias, complementar a documentação apresentada;

III - indeferir o pedido de autorização se, vencido o prazo acima, não forem cumpridas as exigências dispostas nesta Resolução, mediante despacho motivado da autoridade competente.

§ 1º O Ato Declaratório, publicado no Diário Oficial da União, constitui documento comprobatório da aprovação pelo Instituto Nacional de Tecnologia da Informação para realização específica da auditoria independente contratada.

§ 2º Indeferido o pedido, o Instituto Nacional de Tecnologia da Informação notificará o interessado. 

Art. 16. Estarão impedidos de obter a autorização os Auditores Independentes que se enquadrem em pelo menos uma das situações a seguir:

I - estejam cumprindo alguma penalidade aplicada pela Administração Pública Federal;

II - sejam declarados inidôneos em qualquer esfera de Governo;

III - estejam sob falência, concordata, dissolução ou liquidação.

Art. 17. O Auditor Independente, no exercício de sua atividade no âmbito da ICP-Brasil, deve cumprir e fazer cumprir, por seus empregados e prepostos, as normas específicas emanadas do Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira- ICPBrasil, no que se refere à conduta profissional, ao exercício da atividade e à emissão de pareceres e relatórios de auditoria.

Art. 18. Os auditores que integram o quadro da empresa de Auditoria Independente devem ser totalmente independentes da AC auditada e serão considerados peritos para os fins do art. 342, caput, do Código Penal.

Art. 19. Não será permitida a outorga de autorização à empresa de auditoria que tenha em seu quadro qualquer funcionário ou sócio com participação acionária na AC Principal, nas AC subseqüentes, nas AR vinculadas e na empresa prestadora de serviço de suporte técnico que serão auditadas.

Art. 20. A AC Contratante, ao contratar os serviços de auditoria independente, deve fornecer ao auditor todos os elementos e condições necessárias ao perfeito desempenho de suas funções. 

Art. 21. Os documentos, registros históricos e demais elementos materiais que deram subsídios à elaboração dos relatórios ficarão sob guarda da AC Contratante, em local seguro, pelo prazo mínimo de 5 (cinco) anos, podendo o ITI, a qualquer tempo, solicitar vista do material.

Parágrafo único. O acesso aos documentos a que se refere o caput, só será permitido com a presença simultânea de um representante da AC e de um representante da empresa de Auditoria Independente. 

Art. 22. Os auditores independentes somente informarão os resultados da auditoria à entidade auditada, à Autoridade Certificadora a que esta entidade está vinculada e à AC Raiz.

Art. 23. O Auditor Independente adotará, no exercício da atividade de auditoria, o procedimento disposto no item 11 do anexo à Resolução nº 2, de 25 de setembro de 2001, consolidado em relatório final de auditoria, a ser submetido ao ITI por parte da AC contratante.

Art. 24. O relatório de auditoria poderá contemplar avaliação sobre a atuação da empresa prestadora de serviço de suporte técnico às AC subseqüentes e poderá estender-se às AR vinculadas. 

Art. 25. Os serviços serão prestados diretamente pela empresa contratada pela AC, vedada a subcontratação total ou parcial dos serviços. 

Art. 26. Das decisões denegatórias previstas no inciso III do art. 8º e no inciso III do art. 15 desta Resolução, caberá recurso voluntário ao Diretor-Presidente do ITI.

Art. 27. Os recursos serão interpostos no prazo de 10 (dez) dias, a contar da notificação da decisão denegatória. 

Art. 28. O recurso deverá ser dirigido ao Diretor-Presidente do ITI, por intermédio da Diretoria de Auditoria, Fiscalização e Normalização, que poderá reconsiderar a sua decisão ou encaminhá-lo, devidamente informado, no prazo de 5 (cinco) dias, contados do recebimento do recurso.

Art. 29. O Diretor-Presidente proferirá decisão final em 15 (cinco) dias, a contar do recebimento do processo.

Art. 30. É de inteira responsabilidade da empresa de auditoria cadastrada e/ou autorizada a veracidade das informações e documentos apresentados perante o ITI.

Art. 31. A não declaração de fato superveniente pela empresa adastrada e/ou autorizada, que possa desconstituir o teor da documentação por ela apresentada, sujeita-a às penalidades cabíveis, por parte da Administração.

Art. 32. A empresa estrangeira que não tenha filial ou representante legal no País atenderá as exigências estabelecidas mediante a apresentação de documentos equivalentes autenticados pelo respectivo consulado e traduzido por tradutor juramentado.

Art. 33. As empresas cadastradas no SICAF - Sistema Unificado de Cadastramento de Fornecedores, registro cadastral oficial do Poder Executivo Federal, poderão, para fins do disposto no art. 5º, inciso I, letras “b” a “f”, apresentar seu extrato.

Art. 34. As notificações e intimações de que trata esta Resolução serão realizadas, preferencialmente, por e-mail assinado digitalmente, ou na sua impossibilidade, por ofício da autoridade competente.

Art. 35. É facultada a apresentação de documentos eletrônicos, para fins de cadastramento e/ou autorização, desde que assinados digitalmente com o uso de certificados emitidos no âmbito da ICP-Brasil. 

Art. 36. Incumbe às empresas cadastradas a inclusão, alteração e atualização de seus dados e certidões no Cadastro de Auditoria Independente do ITI.

Art. 37. Cabe ao ITI, quando necessário, alterar o formulário em anexo, observado o disposto nesta Resolução. 

Art. 38. Esta Resolução entra em vigor na data de sua publicação.