El Instituto de Auditores Internos publica el Requisito Temático de Ciberseguridad

El Instituto de Auditores Internos (IIA, por sus siglas en inglés) ha publicado recientemente el Requisito Temático de Ciberseguridad, el primero de varios Requisitos Temáticos que se publicarán este año. Incorporando los comentarios de los profesionales y las partes interesadas de todo el mundo, el Requisito Temático de Ciberseguridad proporciona un enfoque básico para evaluar el diseño y la implementación de los procesos de gobernanza, gestión de riesgos y control de la ciberseguridad.

Los requisitos temáticos son uno de los tres elementos clave del Marco® Internacional de Prácticas Profesionales (IPPF, por sus siglas en inglés) del IIA®, junto con las Normas™ Globales de Auditoría Interna y la Guía Global. Proporcionan una línea de base coherente para evaluar áreas de riesgo específicas. Al evaluar los posibles temas para los Requisitos Temáticos, el IIA consideró los riesgos generalizados que probablemente afectarán a las organizaciones a nivel mundial y, por lo tanto, se incluirán en los planes de auditoría.

"Si bien las prioridades de auditoría interna evolucionan naturalmente, algunos riesgos clave seguirán siendo consistentemente críticos para las organizaciones y sus planes de auditoría interna en el futuro", dijo Anthony Pugliese, CIA, CPA, CGMA, CITP, presidente y CEO de The IIA. "La ciberseguridad sigue siendo una de las principales preocupaciones de las organizaciones de todo el mundo, de hecho, una vez más se clasificó como el principal riesgo en el  informe Risk in Focus 2025 del IIA, y es apropiado como tema para nuestro primer requisito temático".

El Requisito Temático de Ciberseguridad proporciona un enfoque básico para las funciones de auditoría interna cuando evalúan la ciberseguridad como un tema de auditoría o si la ciberseguridad se identifica como un riesgo dentro de otras auditorías. Entre otros requisitos clave, esto incluye establecer roles y responsabilidades claras dentro de la organización con respecto a los objetivos estratégicos de ciberseguridad, garantizar un enfoque de gestión de riesgos sólido y actualizado para tener en cuenta los riesgos cibernéticos recurrentes, y que la gerencia haya establecido un entorno de control interno efectivo.

"Las funciones de Auditoría Interna tienen la flexibilidad para elaborar planes de auditoría adaptados a las necesidades, objetivos y perfiles de riesgo únicos de la organización a la que sirven", dijo Benito Ybarra, Vicepresidente Ejecutivo de Estándares, Orientación y Certificaciones Globales del IIA. "Es crucial entender que los Requisitos Temáticos no obligan a las funciones de auditoría interna a examinar un tema específico, sino que proporcionan a los profesionales los recursos y la dirección clara necesaria para evaluar y abordar los riesgos prioritarios identificados en sus planes de auditoría de manera coherente".

El próximo requisito temático se centrará en el riesgo de terceros, abordando aspectos clave de las estructuras de gestión de riesgos de terceros que los auditores internos deben evaluar para mitigar los riesgos persistentes. Otros temas de desarrollo son la cultura empresarial, la resiliencia empresarial y la lucha contra la corrupción y el soborno.

Los Requisitos Temáticos son desarrollados por expertos en la materia y líderes mundiales de auditoría interna en diversos sectores e industrias. Se basan en encuestas de riesgo globales, incluidas las iniciativas Visión 2035 y Risk in Focus del IIA, así como en informes externos de riesgos y tendencias, y en la opinión de la Asamblea Mundial del IIA. Estos requisitos se someten a un proceso detallado de revisión y aprobación por parte del Consejo de Orientación Global, el Consejo de Normas Internacionales de Auditoría Interna y el Consejo de Supervisión de la IPPF.