A auditoria em ambientes de infraestrutura de chaves públicas é frequentemente percebida como um rito de passagem anual — um checklist necessário para a manutenção do credenciamento. No entanto, encarar o processo de auditoria apenas sob o binário “conforme ou não conforme” representa um risco silencioso para as organizações. Na ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira), a evolução normativa, consolidada pela IN 32/2025, reforça que a auditoria deve ser um instrumento de medição da resiliência e da eficácia dos controles.

A transição para um modelo de classificação de achados de auditoria mais estruturado permite que as Autoridades Certificadoras (AC) e demais entidades da cadeia identifiquem não apenas falhas pontuais, mas o grau de maturidade de seus processos. Este artigo detalha como a nova sistemática de classificação proposta pela norma auxilia na transposição da conformidade básica para uma gestão de riscos de excelência, garantindo que a governança da certificação digital seja sustentável a longo prazo.

O que são achados de auditoria na ICP-Brasil

No contexto da ICP-Brasil, um achado de auditoria é o resultado da avaliação da evidência de auditoria coletada em face dos critérios de auditoria estabelecidos nas normas do ITI (Instituto Nacional de Tecnologia da Informação). De forma técnica e direta, o achado representa o desvio ou a conformidade entre a prática operacional observada e o que determinam os documentos normativos, como o DOC-ICP-03.

De acordo com as diretrizes da IN 32/2025, a classificação dos achados não é uniforme; ela varia conforme a gravidade e o impacto potencial na segurança do ecossistema. É fundamental distinguir três conceitos centrais:

1. Achado de Auditoria: O registro factual de uma situação encontrada durante o trabalho de campo.
2. Não Conformidade (NC): O não atendimento a um requisito normativo ou legal obrigatório. Indica uma falha que compromete a integridade ou a confiança de um processo específico.
3. Observação ou Oportunidade de Melhoria: Situações que, embora não infrinjam diretamente uma norma vigente, sinalizam fragilidades que podem evoluir para não conformidades futuras ou processos que podem ser otimizados para maior segurança.

A IN 32/2025 estabelece o rigor técnico para que o auditor independente credenciado na ICP-Brasil possa categorizar essas ocorrências com base em evidências objetivas, permitindo que a organização auditada priorize suas ações de remediação.

Por que a conformidade não é suficiente

Historicamente, muitas organizações focam na “conformidade nominal”: o esforço mínimo necessário para obter um relatório sem ressalvas. No entanto, no setor de certificação digital, há uma diferença abismal entre estar conforme e possuir controles maduros.

Uma organização pode estar tecnicamente conforme em um determinado dia de auditoria, mas apresentar riscos operacionais elevados devido à fragilidade de seus processos internos. Tratar a auditoria como um evento pontual — e não como um processo contínuo — mascara a exposição real a riscos. Quando a classificação de achados é negligenciada ou tratada de forma superficial, a AC perde a oportunidade de identificar falhas sistêmicas que podem levar a incidentes de segurança ou sanções administrativas severas pelo ITI.

A verdadeira maturidade operacional é alcançada quando o resultado da auditoria é utilizado como um indicador de desempenho (KPI). O foco deve sair do “resultado final do relatório” para a “análise da trajetória dos achados”. Se os mesmos achados, ainda que leves, persistem ciclo após ciclo, a organização demonstra uma baixa capacidade de aprendizado e uma governança fragilizada.

O modelo de classificação estruturada da IN 32/2025

A IN 32/2025 atua como um divisor de águas ao padronizar como os achados devem ser apresentados e avaliados. Este modelo de classificação estruturada organiza os achados de forma a refletir o impacto sobre a confiança da ICP-Brasil.

A norma orienta que a classificação considere o risco associado ao achado. Isso significa que as categorias de avaliação de maturidade agora estão intrinsecamente ligadas à capacidade da entidade de gerir seus controles de forma preventiva. Em vez de uma lista desordenada de problemas, a classificação estruturada permite:

• Identificar a raiz do problema: Diferenciando se o achado é uma falha humana isolada, uma lacuna documental ou uma falha de projeto no sistema.
• Mensurar a severidade: Atribuindo pesos que refletem o risco para a cadeia de confiança.
• Avaliar a eficácia da remediação: Verificando se os Planos de Ação Corretiva (PAC) foram eficazes em eliminar a causa raiz, e não apenas o sintoma.

Esse alinhamento com abordagens modernas de auditoria baseada em risco garante que o auditor independente credenciado na ICP-Brasil forneça um diagnóstico preciso, que serve de base para o plano estratégico de TI e Compliance da entidade auditada.

Os 4 pilares que o modelo reforça

A classificação estruturada de achados sob a IN 32/2025 sustenta quatro pilares fundamentais para a evolução das entidades credenciadas:

1. Melhoria contínua

A auditoria deixa de ser um tribunal e passa a ser um motor de evolução. Ao classificar detalhadamente as observações, a norma incentiva as ACs a buscarem a excelência operativa, transformando cada achado em um degrau para controles mais robustos e eficientes.

2. Gestão estruturada de riscos

O modelo permite uma priorização baseada na exposição real. Gestores podem direcionar investimentos e esforços para as áreas onde os achados indicam maior vulnerabilidade, otimizando o uso de recursos financeiros e humanos.

3. Monitoramento de processos

Com achados bem classificados, é possível realizar o acompanhamento da evolução ao longo do tempo (trend analysis). Se a classificação de achados de auditoria em determinada área melhora de “crítica” para “observação” em ciclos sucessivos, há uma prova tangível de eficácia na gestão.

4. Evolução da maturidade operacional

A maturidade é o desenvolvimento estruturado e mensurável. Uma entidade madura não é aquela que nunca tem achados, mas aquela que possui processos de detecção, classificação e correção tão eficientes que os riscos são mitigados antes de se tornarem crises.

O papel da auditoria no fortalecimento da governança

No ecossistema da ICP-Brasil, a auditoria é um instrumento de governança essencial. Ela provê a transparência necessária para que todos os atores da cadeia — do ITI ao usuário final — confiem na validade jurídica do certificado digital.

Organizações que utilizam os resultados da classificação de achados para fortalecer sua governança interna desenvolvem uma maior previsibilidade regulatória. Isso significa que, ao entender profundamente seus próprios processos através da lente do auditor, a entidade reduz a probabilidade de surpresas negativas em fiscalizações diretas ou auditorias de manutenção.

O papel do auditor independente credenciado na ICP-Brasil é, portanto, o de um avaliador técnico que fornece o substrato para que a alta administração das entidades tome decisões baseadas em dados e riscos reais, elevando o padrão de segurança de toda a infraestrutura nacional.

Como a PKI Consulting atua nesse contexto

A PKI Consulting atua como auditor independente credenciado na ICP-Brasil, realizando auditorias de conformidade com rigor técnico e isenção. Nosso compromisso vai além da entrega de relatórios; contribuímos ativamente para a disseminação de conhecimento técnico e boas práticas que elevam o padrão do mercado de certificação digital no Brasil.

Ao aplicar as diretrizes da IN 32/2025, focamos em uma avaliação precisa da classificação de achados de auditoria, permitindo que as entidades compreendam claramente sua posição no mapa de maturidade operacional e segurança da informação. Nossa atuação é pautada pela autoridade técnica necessária para garantir que os processos de auditoria sejam robustos, transparentes e alinhados às exigências do ITI.

Conclusão

O valor de uma auditoria na ICP-Brasil não reside na ausência de achados, mas na profundidade e na precisão com que eles são identificados e classificados. A IN 32/2025 oferece as ferramentas para que a conformidade deixe de ser um fardo burocrático e se torne um diferencial estratégico.

Ao adotar um modelo de classificação de achados focado na maturidade operacional, as organizações não apenas cumprem a norma, mas fortalecem sua resiliência contra riscos e elevam o nível de confiança em seus serviços. O aprendizado proporcionado por um achado bem analisado é, muitas vezes, o maior ativo que uma auditoria pode deixar para uma instituição.

Como sua organização utiliza os resultados das auditorias hoje? Eles são vistos como problemas a serem escondidos ou como dados para a evolução da sua governança?

Conteúdo educativo. As informações apresentadas têm caráter informativo e educacional, com base nas normativas vigentes da ICP-Brasil.