Zusammen mit den Global Internal Audit Standards (GIAS) sind die Topical Requirements ein neuer, verbindlicher Bestandteil des International Professional Practices Framework (IPPF). Sie ergänzen die GIAS um spezifische Anforderungen zu aktuellen Risikothemen. Abhängig von den Ergebnissen ihrer Risikobeurteilung muss die Interne Revision bei der Planung und Durchführung von Prüfungen die vom Institute of Internal Auditors (IIA) herausgegebenen Topical Requirements berücksichtigen.

Jedes Topical Requirement wird durch einen User Guide ergänzt, der bei der Umsetzung der Anforderungen unterstützt. Wie bei den GIAS gilt auch für die Topical Requirements eine Umsetzungsfrist von 12 Monaten.

Quelle: IIA, 2024. Hier klicken, um zum Originalbild zu gelangen.

Das erste Topical Requirement wurde nach einer Konsultationsphase im Jahr 2024 am 05.02.2025 vom IIA veröffentlicht. Es bezieht sich auf das global von den meisten Organisationen als größtes Risiko eingestufte Thema Cybersicherheit. Die Anforderungen zur Prüfung von Governance, Risikomanagement und Kontrollprozessen im Bereich der Cybersicherheit sowie die ergänzenden Empfehlungen im dazugehörigen User Guide können über das IIA – auch in deutscher Sprache – heruntergeladen werden.

Auch interessant: Interne Revision: Risiken im Fokus

Cybersicherheit ist ein Teilbereich der umfassenden Informationssicherheit und dient der Reduzierung des Risikos von Cyberangriffen. Sie stärkt das gesamte Kontrollumfeld und schützt die Informationswerte einer Organisation vor unbefugtem Zugriff, Störung, Veränderung oder Zerstörung. Cyberangriffe können erhebliche direkte und indirekte Auswirkungen haben, da Computer, Netzwerke, Programme, Daten und sensible Informationen essenzielle Bestandteile nahezu aller Organisationen sind.

Die Anforderungen des Topical Requirements zur Cybersicherheit umfassen:

• Governance – Klar definierte, grundlegende Cybersicherheitsziele und -strategien, die die Ziele, Richtlinien und Verfahren der Organisation unterstützen.
• Risikomanagement – Verfahren zur Identifizierung, Analyse, Steuerung und Überwachung von Cyberbedrohungen, einschließlich eines Mechanismus zur unverzüglichen Eskalation von Cyberrisiken.
• Kontrollen – Vom Management eingerichtete und regelmäßig bewertete Kontrollprozesse zur Minderung von Cyberrisiken.

Angesichts aktueller Herausforderungen wie dem Wachstum der generativen KI sowie der Umsetzung des Digital Operational Resilience Act (DORA) sollten Unternehmen die Anforderungen des Topical Requirements zur Cybersicherheit in ihre Revisionsprozesse integrieren. Die ETL consit GmbH unterstützt Sie gerne und freut sich auf den fachlichen Austausch.

Im Verlauf des Jahres 2025 plant das IIA, die nächsten Topical Requirements zu den Themen Drittparteien-Risikomanagement, Unternehmenskultur und Resilienz zur öffentlichen Konsultation bereitzustellen.

Autoren:
Oliver Hansen, Dipl.-Kfm. (CIA, CRMA)
Oliver Gose, Dipl.-Betriebswirt