| Bogotá, 010/
| Asunto | Radicación | 01047157 |
| Trámite | 113 |
| Actuación | 440 |
| Folios | 003 |
Estimado señor: Damos
respuesta a la petición contenida en su comunicación radicada en esta Entidad
con el número de la referencia, bajo el entendido que su consulta se refiere a
las firmas auditoras de las entidades encargadas de generar certificados digitales
en relación con las firmas digitales, para informarle que las firmas auditoras
para poder prestar sus servicios deben estar acreditadas por la Superintendencia
de Industria y Comercio y pertenecer como organismo de inspección al Sistema Nacional
de Normalización, Certificación y Metrología. Lo anterior si se tienen en
cuenta los siguientes argumentos. 1.
Acreditación 1.1.
Firmas auditoras de las entidades de certificación encargadas de generar certificados
digitales en relación con las firmas digitales Conforme
a lo dispuesto en el decreto 1747 de 2000, las firmas auditoras son las encargadas
de establecer mediante informe de auditoría si una entidad de certificación actúa
o está en capacidad de actuar de acuerdo con los parámetros establecidos en la
ley 527 de 1999 y demás disposiciones, así como la de evaluar los servicios de
registro y estampado cronológico de la transmisión y recepción de mensajes de
datos prestados o que pretendan prestar las entidades de certificación.[1]
Ahora
bien, las firmas auditoras para poder prestar sus servicios deben estar acreditadas
por la Superintendencia de Industria y Comercio y pertenecer como organismo de
inspección al Sistema Nacional de Normalización, Certificación y Metrología,[2] para
lo cual tienen que cumplir con los requisitos establecidos en los decretos 2269
de 1993, 8728 de 2001 y en la resolución 26930 de 2000 expedida por la
Superintendencia de Industria y Comercio. 1.1.1.
Procedimiento Las
entidades interesadas en prestar sus servicios como firmas auditoras deberán
cumplir con el procedimiento establecido en el decreto 8728 de 20001,[3] que
en síntesis sería el siguiente: 1.
La entidad interesada deberá solicitar a la Superintendencia de Industria y Comercio
la acreditación a través del formulario respectivo debidamente diligenciado, y
señalando claramente que el alcance de la acreditación es para realizar inspecciones
en sistemas informáticos de seguridad y contabilidad.[4] 2.
Posteriormente, la División de Normas Técnicas de la Superintendencia realiza
una evaluación preliminar de la petición, y si está completa informará al organismo
solicitante las tarifas que debe pagar por la evaluación documental y el nombre
de los expertos técnicos externos, según el caso. El peticionario tendrá
un término de 10 días hábiles para presentar ante la Superintendencia el comprobante
de pago de tarifas y las objeciones a los miembros externos del equipo auditor. En
el evento de encontrarse la solicitud incompleta se le comunicará al peticionario
conforme a lo establecido en los artículos 12 y 13 del código contencioso administrativo. 3.
Surtido el trámite anterior, la SIC procederá a evaluar la documentación conforme
a los criterios establecidos en la resolución 8728 de 2001 en el acto administrativo
respectivo a la modalidad de acreditación solicitada, y a revisar el cumplimiento
de los requisitos establecidos. 4.
Concluida la actuación anterior, se continuará con la visita de auditoría, y si
el resultado es satisfactorio se concederá la acreditación mediante acto administrativo
por el Superintendente de Industria y Comercio. 1.1.2.
Requisitos Conforme
a lo dispuesto en la resolución 8728 de 2001 los organismos de inspección interesados
en obtener la acreditación por parte de la Superintendencia de Industria y Comercio,
además de cumplir con el procedimiento antes citado, deberán reunir los requisitos
contenidos en los documentos técnicos[5] de las normas IDO 17020. De
otra parte, la entidad interesada en obtener la acreditación como firma auditora
deberá estar compuesta por un grupo interdisciplinario de profesionales, acreditar
su experiencia o la de uno de los socios o funcionarios en auditoría en sistemas
informáticos de seguridad y contabilidad por lo menos de 3 años y demostrar que
tiene capacidad para certificar el cumplimiento de los requisitos técnicos y standeres
exigidos en la ley 527 de 1999, decreto 1747 de 2000 y en la resolución 26930
de 2000.[6] Finalmente,
le informamos que en Colombia no existe un Comité de Nacional de auditores. En
los anteriores términos damos respuesta a su consulta con el alcance previsto
en el artículo 25 del código contencioso administrativo. Para
obtener mayor información sobre el desarrollo de nuestras funciones puede dirigirse
a nuestra página de internet www.sic.gov.co Atentamente, CARMEN LIGIA VALDERRAMA ROJAS
Jefe Asesora de la Oficina Jurídica
[1]1
Decreto 1774 de 2000, artículo 11. Informe de Auditoría. El informe de auditoría
dictaminará que la entidad de certificación actúa o está en capacidad de actuar,
de acuerdo con los requerimientos de la Ley 527 de 1999, lo previsto en este decreto
y en las normas que los sustituyan, complementen o reglamenten. Así mismo, evaluará
todos los servicios a que hace referencia el literal d del artículo 2° de la Ley
527 de 1999 y que sean prestados o pretenda prestar la entidad de certificación. [2]2
Ibídem artículo 12. [3]3
Decreto 8728 de 2001, artículo 6 a 10 [4]4
Ibídem artículo 14. Firmas auditoras. La firma auditora nacional que realice el
informe de auditoría referido en el artículo 12 del decreto 1747 de 2000, deberá
ser un organismo de inspección del sistema nacional de normalización, certificación
y metrología acreditada para realizar inspecciones en sistemas informáticos de
seguridad y contabilidad, de conformidad con lo señalado en el decreto 2269 de
1993, la resolución 140 de 1994 de la Superintendencia de Industria y Comercio
y las disposiciones que los sustituyan o complementen. [5]5
Decreto 8728 de 2001, artículo 3 [6]6
Resolución 26930 de 2000, artículo 1 | 
