Aihekohtaiset vaatimukset (Topical Requirements) ovat The Institute of Internal Auditors:in (IIA) julkaisema uusi velvoittava ohjeistuskategoria sisäisen tarkastuksen ammatillisessa viitekehyksessä (International Professional Practices Framework®, IPPF). IPPF sisältää lisäksi kansainväliset sisäisen tarkastuksen standardit (Global Internal Audit Standards) ja kansainväliset ohjeet (Global Guidance).

Aihekohtaiset vaatimukset edustavat merkittävää kehityspiirrettä IIA:n velvoittavassa ohjeistuksessa. Ne määrittävät minimitason kohdennetut tarkastuskriteerit korkean riskin alueille samalla säilyttäen mahdollisuuden tarkastustoimeksiantojen joustavaan riskipohjaiseen suunnitteluun ja toteuttamiseen.

Sisäisen tarkastuksen toiminnoille tämä tarkoittaa aihekohtaisten vaatimusten proaktiivista sisällyttämistä suunnittelu- ja toteuttamisprosesseihin, lisääntyvää selkeyttä korkean riskin aiheiden tarkastamiseen ja parempaa yhdenmukaisuutta sidosryhmien odotusten ja kansainvälisten parhaiden käytäntöjen kanssa.

Aihekohtaisten vaatimusten tarkoituksena on lisätä sidosryhmien luottamusta sisäisen tarkastuksen korkean riskin aiheiden arviointiin, edesauttaa tarkastustoiminnan yhdenmukaisuutta yli toimialojen ja maantieteellisten alueiden sekä vahvistaa IPPF:n merkitystä käsittelemällä kasvavia ja laaja-alaisia riskiaiheita.

Minimikriteerit keskeisten riskiaiheiden tarkastamiselle

Aihekohtaiset vaatimukset määrittävät minimivaatimukset tiettyjen keskeisten riskiaiheiden tarkastamiselle. Aihekohtaisten vaatimusten noudattaminen lisää sisäisen tarkastuksen palvelujen johdonmukaisuutta ja parantaa niiden laatua ja luotettavuutta. Samalla aihekohtaiset vaatimukset vahvistavat sisäisen tarkastuksen ammattikuntaa.

Sisäisten tarkastajien täytyy soveltaa aihekohtaisia vaatimuksia kansainvälisten sisäisen tarkastuksen standardien mukaisesti. Aihekohtaiset vaatimukset määrittävät johdonmukaisen ja kokonaisvaltaisen lähestymistavan tiettyjen riskiaiheiden hallinnointi-, riskienhallinta- ja valvonta(kontrolli)prosessien suunnittelun ja toteutuksen arviointiin. Aihekohtaisten vaatimusten noudattaminen on pakollista varmennuspalvelujen osalta ja suositeltavaa neuvonantopalvelujen osalta. Organisaation riskiprofiili voi lisäksi edellyttää, että sisäiset tarkastajat tarkastelevat myös muita aiheeseen liittyviä näkökohtia.

Toisin kuin kansainvälisiä standardeja, aihekohtaisia vaatimuksia sovelletaan vain silloin, kun sisäinen tarkastus toteuttaa toimeksiantoja aihekohtaisten vaatimusten kattamilla riskialueilla. Kyseessä voi tällöin olla sisäisen tarkastuksen suunnitelman mukaisen toimeksiannon kohde, toimeksiantoa toteutettaessa tunnistettu kohde tai alkuperäiseen sisäisen tarkastuksen suunnitelmaan kuulumaton toimeksiantopyynnön kohde. Tullessaan sovellettaviksi aihekohtaiset vaatimukset ovat pakottavia ja määrittävät vähimmäiskriteerit tarkastustoimeksiannon suunnittelulle, toteuttamiselle ja dokumentoinnille. Aihekohtaisten vaatimusten noudattamista arvioidaan sisäisen tarkastuksen laadunarvioinneissa.

Aihekohtaisten vaatimusten ei ole tarkoitus kattaa kaikkia mahdollisia näkökohtia, jotka tulisi ottaa huomioon toimeksiantoja toteutettaessa, vaan ne pikemminkin määrittävät minimivaatimukset, joiden avulla voidaan tehdä johdonmukainen ja luotettava arviointi kyseisestä aiheesta.

Sisäisen tarkastuksen suunnitelmaan sisällytettävien toimeksiantojen määrittäminen edellyttää organisaation strategioiden, tavoitteiden ja riskien arviointia vähintään vuosittain.

Kun aihekohtaisen vaatimuksen aihe tunnistetaan riskiperusteisen sisäisen tarkastuksen suunnitteluprosessin aikana ja sisällytetään tarkastussuunnitelmaan, aihekohtaisessa vaatimuksessa esitettyjä vaatimuksia täytyy käyttää aiheen arvioinnissa sovellettavien toimeksiantojen yhteydessä. Lisäksi, kun sisäiset tarkastajat toteuttavat toimeksiantoa, joko tarkastussuunnitelmaan sisältyvänä tai siihen kuulumattomana, ja aihekohtaisen vaatimuksen elementtejä nousee esiin, aihekohtaisen vaatimuksen soveltuvuus täytyy arvioida osana toimeksiantoa. Jos sisäiseltä tarkastukselta pyydetään toimeksiantoa, joka ei alun perin sisältynyt tarkastussuunnitelmaan ja joka sisältää kyseisen aiheen, aihekohtaisen vaatimuksen soveltuvuus täytyy myös arvioida.

Ammatillisella harkinnalla on keskeinen rooli aihekohtaisia vaatimuksia sovellettaessa. Riskiarviot ohjaavat sisäisen tarkastuksen johtajien päätöksiä siitä, mitkä toimeksiannot sisällytetään sisäisen tarkastuksen suunnitelmaan. Lisäksi sisäiset tarkastajat käyttävät ammatillista harkintaa päättäessään, mitä näkökohtia kussakin toimeksiannossa käsitellään.

IIA:n julkaisuaikataulu

IIA Global on tähän mennessä julkaissut aihekohtaiset vaatimukset kyberturvallisuuteen, kolmansiin osapuoliin ja organisaatiokäyttäytymiseen liittyvien hallinnointi-, riskienhallinta- ja valvonta(kontrolli)prosessien arvioinneille. Organisaation resilienssiin liittyvä aihekohtainen vaatimus on määrä julkaista vuoden 2026 alkupuolella. Senkin jälkeen on aihekohtaisten vaatimusten piiriä tarkoitus laajentaa. Kukin aihekohtainen vaatimus tulee voimaan vuoden kuluttua julkaisemisesta.