Comunicado sobre las obligaciones de organización interna de los auditores en relación con los ciber-riesgos

El comunicado de expectativas supervisoras emitido por el ICAC en abril de 2022 a raíz de la entrada en vigor de las disposiciones de organización interna del RLAC resaltaba que el artículo 28.3 de la LAC exige a todos los auditores de cuentas que se doten de sistemas, recursos y procedimientos apropiados para garantizar la continuidad y regularidad de sus actividades de auditoría de cuentas.

A tal efecto se requiere que los auditores establezcan medidas de carácter organizativo y administrativo apropiadas para prevenir, detectar, resolver y registrar los incidentes que puedan tener consecuencias graves para la integridad de su actividad de auditoría de cuentas. La integración -dirigida a asegurar su efectividad- de este conjunto de sistemas, recursos, procedimientos y medidas es lo que el RLAC denomina planes de contingencia y continuidad, y éstos deben contemplar amenazas de cualquier tipo, incluyendo, por el protagonismo que están tomando, los ciber-riesgos.

Por ello, se insta a los auditores a que extremen las precauciones frente a este tipo de riesgos, y se aseguren de disponer de mecanismos efectivos para proteger y conservar la documentación de los encargos durante los 5 años exigidos por la normativa, y que garanticen la continuidad y regularidad de sus operaciones.