Aihekohtaiset vaatimukset (Topical Requirements) ovat The Institute of Internal Auditors:in (IIA) julkaisema uusi velvoittava ohjeistuskategoria Sisäisen tarkastuksen ammatillisessa viitekehyksessä (International Professional Practices Framework®, IPPF). IPPF sisältää lisäksi Kansainväliset sisäisen tarkastuksen standardit (Global Internal Audit Standards) ja Kansainväliset ohjeet (Global Guidance).
Aihekohtaiset vaatimukset edustavat merkittävää kehityspiirrettä IIA:n velvoittavassa ohjeistuksessa. Ne määrittävät minimitason kohdennetut tarkastuskriteerit korkean riskin alueille samalla säilyttäen mahdollisuuden tarkastustoimeksiantojen joustavaan riskipohjaiseen suunnitteluun ja toteuttamiseen.
Sisäisen tarkastuksen toiminnoille tämä tarkoittaa Aihekohtaisten vaatimusten proaktiivista sisällyttämistä suunnittelu- ja toteuttamisprosesseihin, lisääntyvää selkeyttä korkean riskin aiheiden tarkastamiseen ja parempaa yhdenmukaisuutta sidosryhmien odotusten ja kansainvälisten parhaiden käytäntöjen kanssa.
Aihekohtaisten vaatimusten tarkoituksena on lisätä sidosryhmien luottamusta sisäisen tarkastuksen korkean riskin aiheiden arviointiin, edesauttaa tarkastustoiminnan yhdenmukaisuutta yli toimialojen ja maantieteellisten alueiden sekä vahvistaa IPPF:n merkitystä käsittelemällä kasvavia ja laaja-alaisia riskiaiheita.
Minimikriteerit keskeisten riskiaiheiden tarkastamiselle
Aihekohtaiset vaatimukset määrittävät minimivaatimukset tiettyjen keskeisten riskiaiheiden tarkastamiselle. Aihekohtaisten vaatimusten noudattaminen lisää sisäisen tarkastuksen palvelujen johdonmukaisuutta ja parantaa niiden laatua ja luotettavuutta. Samalla Aihekohtaiset vaatimukset vahvistavat sisäisen tarkastuksen ammattikuntaa.
Sisäisten tarkastajien täytyy soveltaa Aihekohtaisia vaatimuksia Kansainvälisten sisäisen tarkastuksen standardien mukaisesti. Aihekohtaiset vaatimukset määrittävät johdonmukaisen ja kokonaisvaltaisen lähestymistavan tiettyjen riskiaiheiden hallinnointi-, riskienhallinta- ja valvonta(kontrolli)prosessien suunnittelun ja toteutuksen arviointiin. Aihekohtaisten vaatimusten noudattaminen on pakollista varmennuspalvelujen osalta ja suositeltavaa neuvonantopalvelujen osalta. Organisaation riskiprofiili voi lisäksi edellyttää, että sisäiset tarkastajat tarkastelevat myös muita aiheeseen liittyviä näkökohtia.
Toisin kuin Kansainvälisiä standardeja, Aihekohtaisia vaatimuksia sovelletaan vain silloin, kun sisäinen tarkastus toteuttaa toimeksiantoja Aihekohtaisten vaatimusten kattamilla riskialueilla. Kyseessä voi tällöin olla sisäisen tarkastuksen suunnitelman mukaisen toimeksiannon kohde, toimeksiantoa toteutettaessa tunnistettu kohde tai alkuperäiseen sisäisen tarkastuksen suunnitelmaan kuulumaton toimeksiantopyynnön kohde. Tullessaan sovellettaviksi Aihekohtaiset vaatimukset ovat pakottavia ja määrittävät vähimmäiskriteerit tarkastustoimeksiannon suunnittelulle, toteuttamiselle ja dokumentoinnille. Aihekohtaisten vaatimusten noudattamista arvioidaan sisäisen tarkastuksen laadunarvioinneissa.
Aihekohtaisten vaatimusten ei ole tarkoitus kattaa kaikkia mahdollisia näkökohtia, jotka tulisi ottaa huomioon toimeksiantoja toteutettaessa, vaan ne pikemminkin määrittävät minimivaatimukset, joiden avulla voidaan tehdä johdonmukainen ja luotettava arviointi kyseisestä aiheesta.
Sisäisen tarkastuksen suunnitelmaan sisällytettävien toimeksiantojen määrittäminen edellyttää organisaation strategioiden, tavoitteiden ja riskien arviointia vähintään vuosittain.
Kun Aihekohtaisen vaatimuksen aihe tunnistetaan riskiperusteisen sisäisen tarkastuksen suunnitteluprosessin aikana ja sisällytetään tarkastussuunnitelmaan, Aihekohtaisessa vaatimuksessa esitettyjä vaatimuksia täytyy käyttää aiheen arvioinnissa sovellettavien toimeksiantojen yhteydessä. Lisäksi, kun sisäiset tarkastajat toteuttavat toimeksiantoa, joko tarkastussuunnitelmaan sisältyvänä tai siihen kuulumattomana, ja Aihekohtaisen vaatimuksen elementtejä nousee esiin, Aihekohtaisen vaatimuksen soveltuvuus täytyy arvioida osana toimeksiantoa. Jos sisäiseltä tarkastukselta pyydetään toimeksiantoa, joka ei alun perin sisältynyt tarkastussuunnitelmaan ja joka sisältää kyseisen aiheen, Aihekohtaisen vaatimuksen soveltuvuus täytyy myös arvioida.
Ammatillisella harkinnalla on keskeinen rooli Aihekohtaisia vaatimuksia sovellettaessa. Riskiarviot ohjaavat sisäisen tarkastuksen johtajien päätöksiä siitä, mitkä toimeksiannot sisällytetään sisäisen tarkastuksen suunnitelmaan. Lisäksi sisäiset tarkastajat käyttävät ammatillista harkintaa päättäessään, mitä näkökohtia kussakin toimeksiannossa käsitellään.
IIA:n julkaisuaikataulu
IIA Global on tähän mennessä julkaissut Aihekohtaiset vaatimukset kyberturvallisuuteen, kolmansiin osapuoliin ja organisaatiokäyttäytymiseen liittyvien hallinnointi-, riskienhallinta- ja valvonta(kontrolli)prosessien arvioinneille. Organisaation resilienssiin liittyvä Aihekohtainen vaatimus on määrä julkaista vuoden 2026 alkupuolella. Senkin jälkeen on Aihekohtaisten vaatimusten piiriä tarkoitus laajentaa. Kukin Aihekohtainen vaatimus tulee voimaan vuoden kuluttua julkaisemisesta.
Kyberturvallisuus
Kyberturvallisuus vähentää riskejä vahvistamalla organisaation yleistä kontrolliympäristöä ja suojaamalla organisaation tietovarantoja luvattomalta käytöltä, häirinnältä, muuttamiselta tai tuhoamiselta. Kyberhyökkäykset voivat johtaa suoriin ja epäsuoriin vaikutuksiin, jotka ovat usein merkittäviä, sillä tietokoneet, verkot, ohjelmat, data ja arkaluonteiset tiedot ovat useimpien organisaatioiden kriittisiä osa-alueita.
Kolmannet osapuolet
Kolmas osapuoli on ulkopuolinen henkilö, ryhmä tai yhteisö, johon organisaatio on liike- tai sidosryhmäsuhteessa ja jolta se ostaa tuotteita tai palveluja. Suhde vahvistetaan yleensä sopimuksella. Kolmansia osapuolia ovat esimerkiksi myyjät, tavarantoimittajat, urakoitsijat, ulkoiset palveluntarjoajat, alihankkijat ja konsultit. Termi kattaa myös kolmannen osapuolen ja sen alihankkijoiden väliset sopimukset. Kolmansia osapuolia käytettäessä organisaatiolla on riski siitä, miten kolmannet osapuolet suoriutuvat velvoitteistaan asianmukaisella ja sovitulla tavalla. Kolmannet osapuolet tulisi luokitella ja priorisoida riskiarvion perusteella.
Organisaatiokäyttäytyminen
Organisaatiokäyttäytyminen on osa organisaatiokulttuuria ja tarkoittaa valintoja, joita henkilöstö tekee tehdessään työtään ja työskennellessään muiden kanssa. Yksinkertaistettuna organisaatiokäyttäytyminen on “tapa, jolla teemme asioita”. Organisaatiokäyttäytyminen, joka ei tue organisaation tavoitteiden saavuttamista tai vastaa sidosryhmien odotuksia, voi johtaa epätoivottaviin tuloksiin organisaation, sen asiakkaiden ja työntekijöiden sekä yhteiskunnan kannalta, vaikka organisaatiolla sinänsä olisi hyvät aikomukset. Riskienhallinta – ja valvontaprosessien avulla organisaation tulisi varmistaa, että organisaatiokäyttäytymiseen liittyviä riskejä hallitaan asianmukaisesti, aivan kuten muitakin riskejä.
Artikkelin on kirjoittanut Jim Johansson (OTK, CIA, CFSA) hallituksen varapuheenjohtaja, IIA Finland. Artikkeli on julkaistu alunperin Directors’ Institute Finlandin verkkosivuilla 16.2.2026
Avaa koko näytössä