Istotna zmiana w ramach Globalnych Standardów Audytu Wewnętrznego IIA, która ma bezpośredni wpływ na planowanie i realizację zadań audytowych.

Topical Requirements – nowy, obowiązkowy element IPPF

Topical Requirements (Wymogi Tematyczne) są nowym, obligatoryjnym komponentem International Professional Practices Framework (IPPF). Ich celem jest zwiększenie spójności, porównywalności i jakości usług audytu wewnętrznego w kluczowych obszarach ryzyka.

Każdy Topical Requirement:

1. dotyczy konkretnego obszaru ryzyka,
2. określa minimalny poziom (baseline) oczekiwań w zakresie oceny ładu organizacyjnego, zarządzania ryzykiem i mechanizmów kontroli,
3. musi być stosowany przy realizacji usług zapewniających (assurance), jeśli dany temat jest objęty zadaniem audytowym.

Pierwszy obowiązkowy Topical Requirement: Cybersecurity

1. Issued (opublikowany): 5 lutego 2025 r.
2. Effective (obowiązuje od): 5 lutego 2026 r.

Cybersecurity Topical Requirement zapewnia spójne i kompleksowe podejście do oceny:

1. ładu (governance) cyberbezpieczeństwa,
2. zarządzania ryzykiem cybernetycznym,
3. projektowania i funkcjonowania mechanizmów kontrolnych.

Wymóg ten stanowi minimalny punkt odniesienia dla audytów cyberbezpieczeństwa – niezależnie od wielkości i sektora organizacji. Do dokumentu opracowano również User Guide, który wspiera praktyczne stosowanie wymogu.

Co to oznacza w praktyce dla audytu wewnętrznego?

1. Topical Requirements nie są „opcją” – są obowiązkowe, gdy audyt dotyczy danego obszaru ryzyka.
2. Stosowanie Topical Requirements jest elementem:
   
   1. procesu planowania audytu (analiza stosowalności),
   2. realizacji zadania,
   3. a także oceny jakości audytu, w tym oceny zewnętrznej (EQA).
3. W przypadku usług doradczych (advisory) Topical Requirements są rekomendowane, ale nieobowiązkowe.
4. Każdy Topical Requirement wchodzi w życie 12 miesięcy po jego wydaniu, co daje czas na przygotowanie funkcji audytu.

To dopiero początek

IIA zapowiedziało kolejne Wymogi Tematyczne:

Wydane:

1. Cybersecurity – obowiązuje od 5 lutego 2026 r.
2. Third-Party – obowiązuje od 15 września 2026 r.
3. Organizational Behavior – obowiązuje od 15 grudnia 2026 r.

Planowane:

1. Organizational Resilience – planowane na 2026 r.

Oznacza to, że Topical Requirements staną się stałym i rozwijanym elementem praktyki audytu wewnętrznego.

Gdzie znaleźć dokumenty?

Pełna treść Topical Requirements, materiały pomocnicze oraz FAQ dostępne są na stronie IIA:
https://www.theiia.org/en/standards/2024-standards/topical-requirements/

Część informacji jest dostępna również w języku polskim:

250711 1.proofreading_Cyberbezpieczenstwo_Wymagania Tematyczne_jz

IIA Polska będzie sukcesywnie wspierać Państwa w interpretacji i praktycznym stosowaniu Topical Requirements – poprzez szkolenia, webinary i materiały eksperckie.