La primera sesión de Los Lunes del Instituto del año se ha centrado en la experiencia de Auditoría Interna de Iberdrola en la adaptación al Requisito Temático de Ciberseguridad, un documento que forma parte del Marco Internacional para la Práctica Profesional de la Auditoría Interna y que será de obligado cumplimiento a partir del 5 de febrero de 2026.

La sesión ha contado con la participación de Daniel Ponz, responsable de Auditoría de Tecnología y Ciberseguridad de la dirección de Auditoría Interna de Iberdrola, quien ha ofrecido una perspectiva práctica y estructurada sobre la integración de este nuevo elemento en la práctica profesional, así como sobre los desafíos y enfoques que han guiado su implementación en la función de Auditoría Interna de Iberdrola.

El experto ha arrancado la sesión con una introducción a los requisitos temáticos y su papel dentro del Marco Internacional para la Práctica Profesional de la Auditoría Interna, recordando que representan un nuevo componente diseñado para proporcionar una base mínima común de criterios relevantes en la evaluación de riesgos, el gobierno y los controles en áreas de riesgo específicas. Tal y como ha señalado, contribuyen a reforzar la consistencia metodológica de los trabajos de Auditoría Interna y a contar con mayor homogeneidad en la cobertura de temas transversales críticos.

Con respecto a su aplicabilidad, Ponz ha destacado que la obligatoriedad de estos requisitos es condicionada al riesgo: se aplican cuando se identifica un riesgo significativo relacionado con el tema evaluado. Por ello, ha subrayado la importancia de ejercer un juicio profesional informado, que permita determinar la relevancia y proporcionalidad de cada requisito, y documentar las decisiones de manera transparente bajo el principio de “cumplir o explicar”.

Entrada en vigor del Requisito Temático de Ciberseguridad

Durante su intervención, Ponz ha abordado en detalle el Requisito Temático de Ciberseguridad, el primero de estos documentos que entra en vigor. Tal y como ha explicado el experto, este estándar se articula en torno a 17 requisitos distribuidos en tres dominios clave:

• Gobierno, que exige una estrategia formal reportada al Consejo, políticas actualizadas y una clara asignación de responsabilidades y competencias;
• Gestión de Riesgos, que abarca desde la identificación integral de amenazas y la rendición de cuentas hasta los planes de concienciación y recuperación ante incidentes;
• Actividades de Control, donde se agrupan medidas técnicas y operativas como la gestión de vulnerabilidades, el ciclo de vida de los activos, el control de accesos y la seguridad en redes y comunicaciones.

Ver video resumen
Ver sesión completa en AUDITORES INTERNOS TV

Inscribirme a la sesión