IIAs nye Topical Requirements vil bidra til å sikre en enhetlig og systematisk tilnærming til internrevisjon av spesifikke risikoområder
Topical Requirements er en ny obligatorisk komponent i det internasjonale rammeverket for internrevisjon (IPPF). Disse tematiske kravene gir klare retningslinjer for hvordan internrevisjonene skal vurdere spesifikke risikoer. Dermed skal de styrke relevans og kvalitet på våre leveranser. Denne artikkelen belyser betydningen av Topical Requirements, deres struktur og implementering, samt hvordan de vil påvirke internrevisjonspraksis globalt.
Bakgrunn
Topical Requirements er en respons på det økende behovet for standardiserte tilnærminger til internrevisjon innen spesifikke risikoområder. Internrevisjoner over hele verden møter lignende utfordringer knyttet til virksomhetsstyring, risikostyring og internkontroll. For å forbedre revisjonens kvalitet og effektivitet innfører IIA nå obligatoriske krav innen visse temaområder.
I en tid der risikobildet stadig utvikler seg, blir slike standardiserte krav stadig viktigere. Nye teknologier, cybertrusler og regulatoriske endringer stiller høyere krav til internrevisjonene. Med spesifikke retningslinjer for hvordan slike risikoer skal vurderes, sikrer IIA at internrevisorer kan gjennomføre mer konsistente og effektive revisjonsoppdrag.
Struktur
Topical Requirements gjelder primært for bekreftelsestjenester. Dette innebærer at internrevisorer må bruke de dersom et spesifikt risikoområde omfattes av oppdragsplanen. For rådgivningstjenester er bruken av Topical Requirements anbefalt, men ikke obligatorisk. På denne måten balanseres fleksibilitet med en høy revisjonsstandard.
En viktig faktor ved implementeringen av Topical Requirements er tidsrammen. Hver av dem trer i kraft 12 måneder etter publisering, slik at virksomheter skal få tilstrekkelig tid til å forberede seg. I tillegg følges hvert krav av en detaljert brukerhåndbok som gir veiledning i hvordan de skal anvendes i praksis.
Temaer
Det først utgitte Topical Requirement setter søkelys på cybersikkerhet, et stadig mer kritisk område for virksomheter. Dette kravet gir retningslinjer for vurdering av virksomhetsstyring, risikostyring og kontrollprosesser knyttet til cybersikkerhet. Kommende Topical Requirements vil dekke temaer som tredjepartsrisiko, kultur og organisatorisk motstandsdyktighet.
Publiserte og kommende Topical Requirements
• Tredjepartsrisiko (offentlig høring til 20. april 2025, publiseres senere i 2025, implementering i 2026)
• Kultur og organisatorisk motstandsdyktighet (konsultasjon 2025/26, forventet implementering 2026/27)
Konsekvenser
Innføringen av Topical requirements innebærer en betydelig endring for internrevisjonene. Ved å innføre obligatoriske krav for visse risikoområder reduseres variasjoner i hvordan revisjoner utføres, noe som styrker internrevisjonens troverdighet og verdi for virksomheten.
Videre vil Topical Requirements bidra til bedre risikohåndtering ved å sikre at internrevisorer har et klart rammeverk å arbeide etter. Dette gjør det enklere for revisjonsutvalg og ledelse å forstå hvordan spesifikke risikoer er vurdert, og hvilke tiltak som eventuelt bør iverksettes.
For eksempel vil internrevisorer måtte oppdatere revisjonsprogrammer for cybersikkerhet i tråd med de nye kravene, noe som kan kreve ny kompetanse og tilpassede revisjonsmetoder. Videre kan innføringen av krav til tredjepartsrisiko føre til en mer systematisk tilnærming til leverandøroppfølging og kontraktsstyring.
Konklusjon
Topical Requirements representerer et vesentlig skritt mot en mer konsistent og effektiv internrevisjonspraksis. Ved å gi klare retningslinjer for hvordan spesifikke risikoer skal vurderes, bidrar disse kravene til å styrke revisjonens kvalitet og relevans. Med den raske utviklingen i risikobildet vil Topical Requirements spille en avgjørende rolle i å sikre at internrevisjoner forblir robuste og tilpasset nye utfordringer.
