La Norma 2110 –Gobierno- del IAI establece que “la actividad de Auditoría Interna debe evaluar y hacer las recomendaciones apropiadas para mejorar los procesos de gobierno de la organización,…”
La Norma 1210.A3 –Aptitud- del IAI constituye que “los auditores internos deben tener conocimientos suficientes de los riesgos y controles clave en tecnología de la información…” Si no fuera así, la 1210.A1, señala que “el director de Auditoría Interna debe obtener asesoramiento y asistencia competentes en caso de que los auditores internos carezcan de los conocimientos, las aptitudes… necesarias para llevar a cabo la totalidad o parte del trabajo.”
La Norma 2050 –Coordinación y confianza- del IAI establece que “el director de Auditoría Interna debería compartir información, coordinar actividades y considerar la posibilidad de confiar en el trabajo de otros proveedores internos… para asegurar una cobertura adecuada y minimizar la duplicación de esfuerzos.”
El riesgo de ciberseguridad se ha convertido en uno de los principales riesgos a gestionar por diversas razones:
Así, la actividad de Auditoría Interna debe evaluar y contribuir a la mejora de los procesos:
1. Asegurando que los Consejos de Administración supervisan el riesgo de ciberseguridad.
2. Incluyendo en el Plan Anual de Auditoría el riesgo de ciberseguridad y presupuestando los recursos necesarios para realizar los trabajos de auditoría correspondientes.
3. Cooperando con las áreas que manejan riesgos cibernéticos para el mantenimiento de controles efectivos.
