Counting Partner
  1. Counting Partner
  2. Blog o księgowości
  3. Nowe globalne standardy audytu wewnętrznego od 202...
Blog o księgowości
Data wpisu: 04.08.2025

Nowe globalne standardy audytu wewnętrznego od 2025 r. – co się zmienia?

Mariusz Mizerski

 

Wprowadzenie

9 stycznia 2025 roku weszły w życie nowe Globalne Standardy Audytu Wewnętrznego (Global Internal Audit Standards – GIAS), opublikowane przez IIA (The Institute of Internal Auditors) na początku 2024 r. To przełomowy moment dla audytorów wewnętrznych na całym świecie – po raz pierwszy od 2017 r. dokonano tak istotnej aktualizacji międzynarodowych standardów audytu wewnętrznego. Nowe Standardy wyznaczają nowe kierunki dla naszej profesji, wzmacniając pozycję audytu wewnętrznego jako kluczowego elementu tworzenia wartości i wsparcia efektywnego zarządzania organizacjami.

Dlaczego wprowadzono nowe standardy? Zmiana ta jest efektem wieloletnich prac nad ewolucją Ramowego Programu Profesjonalnej Praktyki Audytu Wewnętrznego (IPPF). Już w 2019 r. rozpoczęto globalny projekt konsultacyjny, w który zaangażowano tysiące interesariuszy. Projekt nowych standardów poddano publicznym konsultacjom (marzec 2023), w trakcie których zgłoszono ok. 19 000 komentarzy z całego świata. Ostateczny kształt standardów uwzględnia wiele z tych uwag oraz odpowiada na zmieniające się otoczenie ryzyka i rosnące oczekiwania wobec audytu wewnętrznego. IIA podkreśla także służebną rolę audytu wewnętrznego wobec interesu publicznego – nowa deklaracja celu (Purpose) audytu akcentuje, że audyt wewnętrzny poprzez swoją pracę przyczynia się do dobra publicznego, np. wspierając przejrzystość i dobre zarządzanie w organizacjach.

Poniżej przedstawiam, co konkretnie zmienia się w nowych standardach oraz jakie są kluczowe różnice względem poprzednich standardów z 2017 r. Omówione zostaną zarówno zmiany strukturalne w układzie standardów, jak i najważniejsze nowe wymagania merytoryczne. Na koniec zawarto krótki komentarz ekspercki dotyczący implikacji tych zmian dla audytorów wewnętrznych i organizacji.

Nowa struktura i organizacja standardów

Jedną z najbardziej zauważalnych zmian jest nowy sposób zorganizowania standardów oraz integracja dotychczasowych dokumentów w jeden zbiór. Oto najważniejsze aspekty nowej struktury:

  • Jednolity, kompleksowy dokument – Nowe Globalne Standardy Audytu Wewnętrznego zastępują kilka odrębnych elementów dawnego IPPF. W jednym dokumencie połączono treści, które wcześniej istniały osobno jako: Misja audytu wewnętrznego, Definicja audytu wewnętrznego, Zasady podstawowe (Core Principles), Kodeks etyki oraz same Standardy. Co więcej, włączono także dotychczasowe Wytyczne wdrożeniowe (Implementation Guidance) – teraz są one częścią nowego standardu jako sekcje z rekomendacjami. Te komponenty nie funkcjonują już oddzielnie – stanowią integralne części GIAS.
     
  • Odejście od podziału na „Standardy atrybutów” i „Standardy działania” – Poprzednie standardy (IPPF 2017) były podzielone na standardy atrybutów (określające cechy funkcji audytu i audytorów, np. niezależność, kompetencje) oraz standardy działania (dotyczące realizacji zadań audytowych i funkcjonowania audytu). Nowe standardy nie są już podzielone na takie kategorie. Zrezygnowano także z osobnych sekcji „Interpretacji” do standardów – objaśnienia są teraz wbudowane w treść jako wskazówki. Ponadto zlikwidowano dawny podział na standardy dla zadań zapewniających (.A) i doradczych (.C) – wymagania dla audytu zapewniającego i doradczego zostały zintegrowane w ramach jednego spójnego standardu (z uwzględnieniem różnic w treści, jeśli to konieczne).
     
  • Nowe obszary i zasady zamiast numerowanych punktów – Architektura standardów została przeprojektowana od podstaw. Zamiast kilkudziesięciu standardów oznaczonych kolejnymi numerami (1000, 1100, 1200... 2000, 2100... itd.), mamy teraz pięć kluczowych obszarów tematycznych, które kompleksowo obejmują całą domenę audytu wewnętrznego. W ramach tych obszarów zdefiniowano 15 ogólnych zasad skutecznego audytu wewnętrznego. Każda zasada jest wspierana przez szczegółowe standardy zawierające wymagania oraz wskazówki wdrożeniowe. Łącznie w nowych standardach wyszczególniono 52 wymagania (standardy) – odpowiada to 52 kluczowym kwestiom, które audytorzy wewnętrzni muszą spełnić, by realizować wspomniane 15 zasad i cel audytu. Taka struktura „obszar – zasada – standardy” zastępuje dawny układ numeracyjny i jest bardziej intuicyjna oraz logiczna z punktu widzenia praktyki audytu. Dla przykładu, zamiast osobno traktowanych zasad Kodeksu Etyki, teraz Obszar II: Etyka i profesjonalizm obejmuje pięć pierwszych zasad (np. uczciwość, obiektywizm, kompetencje, należyta staranność, poufność) wraz z odpowiadającymi im wymaganiami szczegółowymi.
     
  • Całkowicie zmieniona numeracja i nazewnictwo – Konsekwencją powyższego jest gruntowna zmiana oznaczeń poszczególnych standardów. Numery nie korespondują już z poprzednimi (np. nie ma już Standardu 1312 – wymóg zewnętrznej oceny jakości – teraz odpowiada mu inny numer w ramach nowej zasady dot. jakości). Wszelkie podręczniki audytu, procedury, check-listy czy oprogramowanie audytowe będą musiały zostać zaktualizowane pod kątem nowych odniesień i numeracji. Mimo, że na początku może to powodować pewne zamieszanie, docelowo ujednolicona struktura ułatwi nawigację po standardach – wszystkie definicje, wymagania i wytyczne od razu znajdują się pod odpowiednimi zasadami, co jest bardziej przejrzyste niż dawny „patchworkowy” układ IPPF.
     
  • Standardy a wytyczne – razem, ale rozróżnione – Nowy dokument jest obszerny (polskie tłumaczenie to ok. 120 stron), gdyż oprócz samych wymagań (must) zawiera także wskazówki wdrożeniowe i przykłady dowodów zgodności przy każdym standardzie. Ważne jest rozróżnienie, że tylko wymagania są formalnie obowiązkowe, zaś zamieszczone pod nimi „Uwagi dotyczące wdrożenia” (Considerations for Implementation) oraz przykłady mają charakter dobrej praktyki i rekomendacji, nie zaś dodatkowych obowiązków. Umieszczenie ich w jednym dokumencie ma ułatwić audytorom zrozumienie kontekstu i sposobu spełnienia każdego standardu. Może to rodzić pewne wyzwania interpretacyjne (co jest wymaganiem, a co tylko zaleceniem), ale ogółem czyni standardy bardziej praktycznymi – od razu pokazują jak można dane wymaganie wdrożyć.
     
  • Nowe elementy IPPF – wymagania tematyczne – Wraz z Globalnymi Standardami, IPPF w 2024 r. wzbogacono o nowy rodzaj obowiązkowych wytycznych: Globalne Wymagania Tematyczne (Topical Requirements). Mają one służyć ujednoliceniu praktyk audytu w konkretnych obszarach ryzyka i zapewnieniu wysokiej jakości audytów specjalistycznych. Przykładowo, zapowiedziano już opracowanie Wymagań Tematycznych dotyczących cyberbezpieczeństwa. GIAS stanowią więc ogólny fundament, a dodatkowe wymagania branżowe/tematyczne będą sukcesywnie wydawane, stając się również obowiązkowe dla audytorów. Globalne Wytyczne (dawniej tzw. praktyki doradcze) pozostają elementem nieobowiązkowym – dostarczają pogłębionych wskazówek i najlepszych praktyk w różnych obszarach, lecz nie są normatywne.

Najważniejsze zmiany w treści standardów

Poza zmianą formy, nowe standardy wprowadzają szereg merytorycznych nowości i zaostrzeń wymagań. Wiele dotychczasowych zasad zostało doprecyzowanych lub rozszerzonych, pojawiły się też nowe obszary akcentowane przez IIA. Poniżej omówiono kluczowe zmiany w treści (wymaganiach), w podziale na najważniejsze zagadnienia:

  • Szerszy kontekst misji – służenie interesowi publicznemu. Już we wstępie nowych standardów i w Obszarze I: Cel audytu podkreślono, że IIA ustanawia standardy w interesie publicznym, a audyt wewnętrzny powinien działać z korzyścią nie tylko dla swojej organizacji, ale i dla otoczenia społecznego. Misja audytu wewnętrznego (przeformułowana przez IIA) brzmi, że audyt „zwiększa i chroni wartość organizacji poprzez dostarczanie niezależnej, obiektywnej oceny, porad i informacji” – co ma przełożenie na lepsze funkcjonowanie organizacji z perspektywy interesariuszy zewnętrznych. Ten nacisk na interes publiczny i wartość dla otoczenia stanowi rozwinięcie poprzedniej misji (2017), dodając wymiar „dlaczego” audytorzy wykonują swoją pracę, a nie tylko „co” robią. W praktyce oznacza to zobowiązanie funkcji audytu do uwzględniania w swojej działalności szerszych aspektów etycznych, kulturowych i społecznych, takich jak przejrzystość, uczciwość, sprawiedliwość i odpowiedzialność organizacji.
     
  • Wymóg formalnego mandatu i zaangażowania Rady (Board) w audyt. W nowym Obszarze III: Ład organizacyjny funkcji audytu wewnętrznego, szczególną wagę przywiązano do roli organu nadzorczego (rady nadzorczej lub komitetu audytu) oraz najwyższego kierownictwa w zapewnieniu odpowiednich warunków do działania audytu wewnętrznego. Standardy 6.1–8.4 definiują tzw. „Essential Conditions” (warunki niezbędne), które rada i senior management powinni spełniać, aby funkcja audytu mogła efektywnie realizować swoją misję. Na przykład Zasada 6: Nadanie uprawnień przez radę stanowi, że rada musi formalnie ustanowić audyt wewnętrzny (np. poprzez zatwierdzenie karty audytu z jasno określonymi uprawnieniami, zakresem działania i niezależnością AW). Zasada 7: Niezależne usytuowanie wymaga, aby audyt wewnętrzny podlegał organizacyjnie na tyle wysoko (np. bezpośrednio prezesowi i/lub komitetowi audytu), by zachować niezależność od audytowanych działań. Zasada 8: Nadzór rady zobowiązuje radę do aktywnego nadzorowania funkcji audytu – m.in. poprzez zatwierdzanie planu audytu, budżetu, oceny skuteczności audytu itp. Nowe standardy czynią zarządzającego audytem (CAE) odpowiedzialnym za uświadamianie radzie tych jej obowiązków i dostarczanie informacji niezbędnych do sprawowania nadzoru. W poprzednich standardach rola rady była wspomniana ogólnie (np. wymóg zatwierdzania karty audytu czy planu), teraz została rozwinięta i usystematyzowana – po raz pierwszy jasno określono, czego audyt musi oczekiwać od rady i kierownictwa (mandat, wsparcie, odpowiednia struktura organizacyjna) jako warunków skutecznego audytu.
     
  • Strategia audytu wewnętrznego. Nowością w obszarze zarządzania funkcją AW jest wymóg posiadania długoterminowej strategii audytu. Standard 9.2 stanowi, że zarządzający audytem (CAE) musi opracować i wdrożyć strategię funkcji audytu wewnętrznego, która wspiera strategiczne cele organizacji oraz spełnia oczekiwania kluczowych interesariuszy (rady, kierownictwa, audytowanego otoczenia). Strategia ta powinna określać kierunek rozwoju audytu, priorytety działania, niezbędne zasoby i inicjatywy ulepszające, zapewniając, że audyt wewnętrzny proaktywnie dostosowuje się do zmian organizacyjnych i otoczenia. W poprzednich standardach nie istniał wymóg posiadania formalnej strategii – koncentrowały się one raczej na rocznym planowaniu audytu. Teraz planowanie strategiczne zostało wyniesione do rangi osobnej zasady (Zasada 9), co podkreśla potrzebę myślenia o audycie w perspektywie wieloletniej, a nie tylko rocznej.
     
  • Plan oparty na ryzyku i zintegrowane zapewnienie. Kwestia planowania rocznego również została doprecyzowana. Standard 9.4 wymaga, aby plan audytu opierać na udokumentowanej ocenie ryzyk, strategii i celów organizacji. Taka ocena powinna być przeprowadzana co najmniej raz w roku i uwzględniać wiedzę CAE o systemach zarządzania ryzykiem, kontroli i ładu organizacyjnego w firmie. Co istotne, w części wdrożeniowej zaznaczono, że funkcja audytu nie powinna polegać wyłącznie na informacjach o ryzykach dostarczanych przez kierownictwo, o ile nie oceni uprzednio skuteczności procesów zarządzania ryzykiem w organizacji. Innymi słowy, audyt ma obowiązek krytycznie ocenić mechanizmy 2. linii obrony (zarządzania ryzykiem) – a jeśli funkcja zarządzania ryzykiem jest nieskuteczna lub podlega audytowi, to plan audytu powinien powstać w oparciu o niezależną analizę ryzyka. Kolejny powiązany element to wymóg koordynacji zapewnienia: Standard 9.5 nakłada na CAE obowiązek uzgadniania planu i działań audytu wewnętrznego z innymi wewnętrznymi i zewnętrznymi podmiotami zapewniającymi (audytor zewnętrzny, kontrola wewnętrzna, compliance itp.) oraz rozważania polegania na ich ustaleniach, gdy jest to właściwe. Celem jest wyeliminowanie dublowania działań i zintegrowane zapewnienie – skoordynowane pokrycie wszystkich kluczowych ryzyk przez różne funkcje assurance. Poprzednie standardy (2017) wprawdzie zalecały uwzględnianie działań innych podmiotów zapewniających (standard 2050), ale obecnie stało się to bardziej kategorycznym wymaganiem, z naciskiem na aktywną współpracę przy tworzeniu planu audytu.
     
  • Raportowanie wyników zadań – wnioski i priorytetyzacja. Nowe standardy kładą większy nacisk na klarowne komunikowanie rezultatów audytu. Standard 14.5 wprowadza obowiązek formułowania ogólnego wniosku z zadania audytowego (engagement conclusion) podsumowującego wyniki w odniesieniu do celów zadania oraz celów kontrolowanych procesów. Oznacza to, że każdy raport z audytu powinien zawierać podsumowującą konkluzję – np. ocenę ogólnej efektywności kontrolowanej działalności lub stopnia osiągnięcia założonych celów. Ponadto Standard 14.3 wymaga, by ustalenia audytu (zalecenia) były priorytetyzowane według ich istotności. Audytorzy muszą zatem nadawać rangę (wysoka/średnia/niska istotność) lub kolejność ważności swoim zaleceniom, aby uwidocznić, które kwestie są krytyczne. Co prawda nie wprowadzono obowiązku wystawiania końcowej oceny audytu (ratingu) – nadal raport nie musi zawierać jednej sumarycznej oceny audytowanej jednostki czy procesu – jednak w sekcji dobrych praktyk zalecono rozważenie stosowania takich ocen lub rankingów dla czytelności przekazu. W praktyce więc, choć formalnie można nie używać „kolorów” czy ocen typu adequate/needs improvement, to wymóg sformułowania ogólnego wniosku i hierarchizacji ryzyk de facto wymusza wskazanie, jak poważne są stwierdzone problemy. W poprzednich standardach (np. 2410) wymagano jedynie komunikowania wyników i wniosków, ale bez tak konkretnych wymogów co do ich formy. Nowe podejście ma zapewnić, że raporty audytowe będą bardziej zrozumiałe i użyteczne dla odbiorców, jasno pokazując co jest najważniejsze i jaka jest ogólna konkluzja audytu.
     
  • Wzmocnienie wymogów w zakresie jakości audytu. Funkcja audytu wewnętrznego nadal jest zobligowana do posiadania programu zapewnienia i poprawy jakości (dawny Standard 1300). Nowe standardy podkreślają ciągłe doskonalenie (Zasada 12: Podnoszenie jakości) oraz wprowadzają pewne zaostrzenia odnośnie zewnętrznych ocen jakości. Podobnie jak poprzednio, wymagana jest zewnętrzna ocena jakości co najmniej raz na 5 lat (w formie pełnego przeglądu lub samoceny z niezależną walidacją). Nowością jest jednak wymóg, aby co najmniej jeden członek zespołu oceniającego był czynnym posiadaczem certyfikatu CIA (Certified Internal Auditor). Ma to zapewnić odpowiedni poziom wiedzy i profesjonalizmu osób dokonujących przeglądu funkcji audytu. Dotychczas standardy nie precyzowały kwalifikacji zewnętrznych recenzentów, teraz IIA wyznacza globalne minimum. Dodatkowo, wewnętrzne oceny jakości mają obejmować monitorowanie kluczowych mierników działania audytu (Standard 12.2 Pomiar wyników wprowadza obowiązek ustanowienia metryk oceny efektywności funkcji AW). Zasady jakości skupiają się więc na ciągłym doskonaleniu – audyt ma nie tylko podlegać okresowym ocenom, ale też na bieżąco śledzić swoje wyniki i doskonalić metodologię.
     
  • Etyka i profesjonalizm – rozszerzenie zasad. Włączenie Kodeksu Etyki IIA do nowych standardów skutkowało drobnymi modyfikacjami i rozszerzeniem tych zasad. W Obszarze II znalazło się pięć zasad etyki i profesjonalizmu (wobec czterech zasad Kodeksu Etyki 2017). Obok Uczciwości, Obiektywizmu, Poufności i Kompetencji pojawiła się osobno sformułowana zasada Należytej staranności zawodowej. Podkreślono również takie aspekty jak odwaga zawodowa – Standard 1.1 wymaga, by audytorzy nie tylko byli uczciwi, ale i mieli odwagę cywilną sygnalizować nieprawidłowości czy naciski, nawet pod groźbą negatywnych konsekwencji. W zakresie obiektywizmu doprecyzowano kwestie unikania konfliktów interesów i dokumentowania ewentualnych zrzeczeń się zadania z powodu braku obiektywizmu. Ogólnie, nowe standardy w obszarze etyki są bardziej szczegółowe – do każdej z zasad podano więcej przykładów wymaganego postępowania oraz sytuacji niedopuszczalnych. Ma to pomóc audytorom w rozwiązywaniu dylematów etycznych zgodnie z duchem standardów.
     
  • Bardziej precyzyjne i obligatoryjne wymagania. Istotną cechą nowych standardów jest ich większa szczegółowość i preskryptywność. O ile wcześniejsze standardy formułowały pewne ogólne wymogi, zostawiając znaczną swobodę co do sposobu ich realizacji, o tyle teraz wiele standardów wprost narzuca konkretne rozwiązania lub procedury jako obowiązkowe. W procesie konsultacji zwracano uwagę, że początkowy projekt był zbyt szczegółowy (naszpikowany słowem "must"). W ostatecznej wersji IIA złagodził część zapisów, ale mimo to nowe standardy zawierają więcej konkretnych “mustów” niż poprzednie IPPF. Przykładowo, dawny standard 1110 wymagał zapewnienia niezależności CAE, ale nie precyzował jak; nowy Standard 7.1 jasno stwierdza, że CAE ma podlegać bezpośrednio prezesowi/dyrektorowi generalnemu oraz mieć nieskrępowany dostęp do rady nadzorczej – co jest znacznie bardziej kategoryczne. Taka szczegółowość oznacza, że działy audytu będą musiały dokładnie przeanalizować nowe wymagania i być może zmienić swoje procedury, aby wypełnić wszystkie obligatoryjne elementy. Z drugiej strony, uzyskujemy większą jednolitość praktyk – standardy wyznaczają konkretny poziom, poniżej którego trudno mówić o zgodności z IIA. Jak zauważają eksperci, audyt wewnętrzny staje się przez to bardziej sformalizowany, lecz też bardziej profesjonalny, bo mniej zależy od indywidualnej interpretacji CAE.

Porównanie starych i nowych standardów – podsumowanie różnic

Powyższe omówienie pokazuje, że Globalne Standardy Audytu Wewnętrznego 2024/2025 przyniosły zarówno reorganizację formy, jak i szereg merytorycznych usprawnień. Dla lepszej czytelności, zestawmy najważniejsze różnice między poprzednimi a nowymi standardami:

  • Struktura dokumentu: Poprzednio istniała osobna Definicja audytu, Misja, Kodeks Etyki, Zasady podstawowe oraz Międzynarodowe standardy praktyki zawodowej – teraz wszystko to ujęto w jednym zbiorze standardów. Dawny podział na standardy atrybutów i standardy działania został zniesiony, a w jego miejsce wprowadzono 5 obszarów tematycznych obejmujących cały cykl funkcjonowania audytu wewnętrznego (od celu i etyki, przez ład i zarządzanie funkcją, po realizację usług audytowych).
     
  • Zasady i numeracja: W starej wersji obowiązywało łącznie kilkadziesiąt standardów z numeracją blokową (1000–2600 z podpunktami .A i .C). Obecnie mamy 15 nadrzędnych zasad i przypisane im 52 szczegółowe standardy (wymagania). Numeracja zmieniła się całkowicie – od teraz standard przywołujemy np. jako Standard 9.2 (a nie Standard 2010 jak dawniej).
     
  • Kodeks etyki: Dotychczas Kodeks Etyki był odrębnym dokumentem z 4 zasadami. Teraz jego treść została włączona do standardów jako Zasady 1–5 w Obszarze II, rozszerzając je do 5 zasad (wyodrębniono osobno kwestię staranności zawodowej). Zasady etyczne stały się integralną częścią wymagań standardów, co oznacza, że naruszenie zasad etyki jest równoznaczne z niezgodnością ze standardami audytu.
  • Obszar zarządzania funkcją audytu: Nowe standardy dużo szerzej regulują rolę rady nadzorczej i kierownictwa wobec audytu (Essential Conditions), wprowadzają obowiązek strategii audytu i bardziej precyzyjne wymagania dot. planowania i zasobów audytu. Wcześniej kwestie te były ujęte ogólnie (np. jeden standard o planowaniu 2010 czy lakoniczny 2020 o komunikowaniu się z radą). Teraz poświęcono im oddzielne zasady i liczne standardy cząstkowe (np. Standardy 9.x, 10.x, 11.x).
     
  • Realizacja zadań audytowych: W obszarze realizacji audytów (dawne standardy 2200–2600) doprecyzowano m.in. wymagania co do planowania zadania, wykonywania testów i dokumentowania wyników oraz komunikowania rezultatów. Nowe wymogi, takie jak formułowanie wniosków ogólnych z audytu czy priorytetyzacja zaleceń, nie występowały expressis verbis w starej wersji.
     
  • Jakość i ewaluacja: Program zapewnienia jakości w dawnych standardach (1300-seria) nie definiował wymagań co do składu zespołu oceniającego. Nowe standardy narzucają minimalne kwalifikacje recenzentów (CIA w zespole) oraz kładą nacisk na ciągłe monitorowanie efektywności audytu poprzez mierniki. Wprowadzono również koncepcję wspomnianych Wymagań Tematycznych, czego wcześniej nie było.

Podsumowując, nowe standardy zachowują ciągłość kluczowych koncepcji (nie zmienia się fundamentalna definicja audytu wewnętrznego ani podstawowy cel jego działalności), ale usprawniają strukturę i ujednolicają język oraz podnoszą poprzeczkę w wielu obszarach. Dla audytorów oznacza to konieczność zapoznania się z nową dokumentacją i zrozumienia, jak dotychczasowe praktyki mają się do nowych wymagań.

Co oznaczają te zmiany dla audytorów?

Wprowadzenie Globalnych Standardów Audytu Wewnętrznego 2024/2025 to znaczące wydarzenie dla środowiska audytorskiego. Organizacje prowadzące audyt wewnętrzny mają rok przejściowy (2024) na dostosowanie się – poprzednie standardy z 2017 r. są uznane za obowiązujące równolegle tylko do 9 stycznia 2025 r. Po tej dacie oczekuje się pełnej zgodności z nowymi standardami. IIA oraz eksperci branżowi zalecają, aby nie zwlekać z wdrożeniem zmian – warto już teraz przeprowadzić ocenę luk (gap assessment), by zidentyfikować obszary, w których praktyki naszej funkcji audytu odbiegają od nowych wymagań. Takie proaktywne podejście umożliwi zaplanowanie niezbędnych działań (aktualizacja procedur, szkolenia zespołu, zmiany w dokumentacji audytu jak Karta Audytu czy programy zadania) jeszcze przed nadejściem ostatecznego terminu.

Przygotowanie i szkolenia. Nowe standardy liczą ponad sto stron szczegółowych zapisów – zespoły audytowe muszą poświęcić czas na ich przestudiowanie. Pomocne może być sięgnięcie po opublikowaną przez IIA wersję skróconą standardów, zawierającą jedynie elementy obowiązkowe, bez sekcji wdrożeniowych. Warto także korzystać z materiałów porównawczych – IIA udostępniła tabele mapujące stare standardy na nowe i odwrotnie, co ułatwi zrozumienie ciągłości poszczególnych wymagań. Szkolenia wewnętrzne dla audytorów (a także dla członków komitetów audytu i kierownictwa) są wskazane, by wszyscy zrozumieli nową terminologię i role wynikające z GIAS. Zwłaszcza w obszarach takich jak rola rady wobec audytu czy zintegrowane zapewnienie – może to wymagać zmiany dotychczasowego podejścia i praktyk współpracy w organizacji.

Aktualizacja dokumentów i procedur. Jak wcześniej wspomniano, zmiana numeracji i układu standardów pociąga za sobą konieczność aktualizacji wielu dokumentów: Karty audytu (jeśli odwołuje się do standardów IIA), procedur audytu wewnętrznego, programów zadań, matryc ryzyk i kontrolek, a nawet narzędzi informatycznych używanych przez audyt (np. ustawienia w oprogramowaniu audytowym dotyczące zgodności ze standardami). Wszystkie odniesienia do starych numerów trzeba zmapować na nowe odpowiadające im wymogi. Co więcej, niektóre dotychczas fakultatywne czynności audytu mogą wymagać formalizacji – np. wcześniej nie każdy audyt sporządzał pisemną strategię działania funkcji czy roczny plan oparty na przeglądzie ryzyk całej organizacji, teraz staną się one obligatoryjne. To spory wysiłek organizacyjny, ale jednocześnie okazja, by unowocześnić i udoskonalić funkcję audytu.

Wyzwania i szanse. Część ekspertów zauważa, że nowe standardy w dużej mierze konsolidują istniejące już wytyczne i dobre praktyki – nie ma tu rewolucji w rozumieniu roli audytu, raczej ewolucja i doprecyzowanie oczekiwań. Można to ująć metaforycznie: nie jest to wynalezienie audytu na nowo, lecz „stare wino w nowej butelce” – znane zasady ubrane w nową strukturę. Jednak ta nowa butelka ma znaczenie: daje spójność, klarowność i aktualność. Audytorzy wewnętrzni zyskują silniejszy mandat (dzięki wsparciu standardów mogą śmielej komunikować swoje potrzeby co do niezależności czy zasobów), a kierownictwo i rady lepiej rozumieją, czego oczekuje się od nich, by audyt był efektywny. Nowe standardy są również odpowiedzią na zmieniający się świat ryzyka – pojawiają się w nich odniesienia do obszarów takich jak ryzyka cybernetyczne, kultura organizacyjna, ESG (choćby pośrednio przez wymóg uwzględniania interesu publicznego). Dają też większy nacisk na wartość dodaną audytu – planowanie strategiczne, alignment z celami firmy, współpraca z innymi funkcjami – co może przełożyć się na postrzeganie audytu jako bardziej strategicznego partnera, a nie wyłącznie „kontrolera”.

Perspektywa polska. W Polsce nowe standardy również będą obowiązywać audytorów – zgodnie z ustawą o finansach publicznych Minister Finansów wydaje komunikat określający standardy audytu w jednostkach publicznych. Dotychczas aktualizowano go po każdej zmianie IIA, więc można się spodziewać analogicznego kroku dla GIAS. Ministerstwo Finansów zapowiedziało już prace nad dostosowaniem przepisów i przygotowaniem wytycznych wdrożeniowych dla sektora publicznego, przy czym pełne wdrożenie może nastąpić z opóźnieniem względem globalnej daty (z uwagi na konieczność zmian legislacyjnych). Niemniej jednak audytorzy wewnętrzni w Polsce, zarówno w sektorze publicznym jak i prywatnym, powinni dążyć do stosowania nowych standardów od 2025 r., gdyż są one uznawane za powszechnie obowiązujące dobre praktyki audytu na świecie.

Podsumowanie

Globalne Standardy Audytu Wewnętrznego 2024/2025 to kompleksowe uaktualnienie ram działania audytu wewnętrznego, odzwierciedlające doświadczenia ostatnich lat i nowe wyzwania stojące przed naszą profesją. Największe zmiany to integracja dotychczasowych elementów w jedno spójne kompendium, wprowadzenie struktury opierającej się na zasadach i obszarach oraz doprecyzowanie wielu wymagań (od kwestii etyki, przez zarządzanie funkcją audytu, po realizację poszczególnych zadań). Dla praktyków oznacza to początkowo dodatkową pracę związaną z edukacją i dostosowaniem, ale w dłuższej perspektywie nowe standardy powinny ułatwić pracę audytorów i podnieść wartość audytu wewnętrznego dla organizacji. Jak zawsze, kluczowe będzie rzeczywiste wdrożenie tych zasad w życie – standardy są skuteczne tylko wtedy, gdy znajdą odzwierciedlenie w codziennych działaniach audytorów. Jednak mając tak solidne i przemyślane fundamenty, audyt wewnętrzny wkracza w 2025 rok z jeszcze lepszym przygotowaniem do spełniania swojej misji: dostarczania niezależnej, obiektywnej oceny i porad, które zwiększają wartość organizacji z poszanowaniem interesu publicznego. Możemy wspólnie cieszyć się z tego nowego rozdziału w historii audytu wewnętrznego i wykorzystać go do dalszego profesjonalizowania naszej działalności.

Źródła: Na potrzeby opracowania skorzystano z oficjalnych materiałów IIA (Global Internal Audit Standards 2024), polskiego tłumaczenia standardów IIA (2024), komunikatów IIA Polska, opracowań ekspertów (KPMG, AuditBoard) oraz informacji Ministerstwa Finansów.

© 2025

Autor wpisu:
Mariusz Mizerski

Sprawdź nas!

Sprawdź nas w praktycznym działaniu. Zapraszamy do skorzystania z naszych usług, gwarantujemy pełną satysfakcję.

Kontakt z namiSprawdź cenniki

Zobacz również:

Więcej na blogu
Rozwiń
Phone+48 572 697 800
mailbiuro@countingpartner.pl

Zasady użytkowania & Polityka prywatności. Projekt i wykonanie Soluma Interactive.

Counting Partner Kancelaria rachunkowo-audytorska | Soluma Group © 2015

Stosujemy pliki cookies. Jeśli nie blokujesz tych plików (samodzielnie przez ustawienia przeglądarki), to zgadzasz się na ich użycie oraz zapisanie w pamięci urządzenia. Zobacz politykę cookies.
Przewiń do góry