As
auditorias operacionais em Autoridades Certificadoras que não
sejam estejam imediatamente abaixo da AC Raiz são realizadas
por empresas de auditoria independentes, que também podem ser
contratadas para realizar auditorias operacionais em Autoridades de
Registro e Prestadores de Serviço de
Suporte.
Esse
processo, que está regulamento pela Resolução 24,
envolve as seguintes fases:
1 - Cadastramento inicial da
empresa de auditoria junto à AC Raiz, com
comprovação da capacidade jurídico-fiscal e
técnica;
2 - Solicitação de
autorização à AC-Raiz para executar missão de
auditoria na entidade contratante. Essa solicitação
é feita a cada missão individual e deve ser acompanhada
dos seguintes documentos:
-
plano de auditoria
-
descrição dos procedimentos a serem
usados nas verificações
-
relação dos auditores que irão
executar a missão
-
modelo de relatório.
3
- Realização da auditoria, após obtida a
autorização, com remessa do relatório final,
na
íntegra, à AC Raiz, para
análise.
Esses
procedimentos visam a descentralizar, de forma controlada, a
realização das auditorias na ICP- Brasil, uma vez que a
quantidade de entidades credenciadas tende a crescer de forma
não linear, não sendo possível a AC Raiz auditar
diretamente todas elas.