Nowy wymóg tematyczny dotyczący zarządzania ryzykiem stron trzecich
- Katarzyna Celińska
- 31 mar
- 3 minut(y) czytania
Zaktualizowano: 2 kwi
Instytut Audytorów Wewnętrznych Inc. rozpoczął publiczne konsultacje w sprawie drugiego wymogu tematycznego, koncentrującego się na zarządzaniu ryzykiem stron trzecich. Po pierwszym wymaganiu dotyczącym cyberbezpieczeństwa, jest to kolejny ważny krok w kierunku włączenia zapewnienia opartego na ryzyku do praktyk audytu wewnętrznego.
Wymagania tematyczne są obowiązkowymi elementami zaktualizowanych Międzynarodowych Ramowych Praktyk Zawodowych IIA (IPPF). Służą one jako punkt odniesienia dla działań poświadczających koncentrujących się na kluczowych obszarach ryzyka - w tym przypadku: zarządzaniu, ryzyku i kontrolach stron trzecich.
Projekt wymaga, aby audytorzy wewnętrzni ocenili, w jaki sposób organizacje
✔️ Zarządzają relacjami ze stronami trzecimi i podwykonawcami (w tym „czwartymi stronami”)
✔️ Zarządzają i oceniają ryzyko TPRM, takie jak cybernetyczne, finansowe, zgodności, operacyjne i reputacyjne
✔️ Wdrażają i egzekwują kluczowe kontrole w całym cyklu życia strony trzeciej: wybór, onboarding, monitorowanie, offboarding
Niepowodzenia TPRM to nie tylko kwestie techniczne - mają one charakter systemowy. Jak podkreślono w przewodniku Practice Guide on Auditing Third-Party Risk Management, źle zaprojektowane lub oparte wyłącznie na zgodności podejście prowadzi do słabych kontroli, niezweryfikowanych ocen i narażenia całego łańcucha dostaw.
Niepowodzenia TPRM to nie tylko kwestie techniczne - mają one charakter systemowy. Jak podkreślono w przewodniku Practice Guide on Auditing Third-Party Risk Management, źle zaprojektowane lub oparte wyłącznie na zgodności podejście prowadzi do słabych kontroli, niezweryfikowanych ocen i narażenia całego łańcucha dostaw.
W mojej niedawnej prezentacji „Jasne i ciemne strony TPRM” skupiłem się właśnie na tych kwestiach. Organizacje borykają się z rzeczywistymi niepowodzeniami w zakresie TPRM nie dlatego, że brakuje im przepisów, ale dlatego, że:
✅ Nie dostosowują kontroli ryzyka do kategorii dostawców
✅ Brakuje im uprawnień audytowych i bieżącego wglądu w środowiska dostawców
✅ Zbytnio koncentrują się na zgodności zamiast na bezpieczeństwie i ciągłości
✅ Nie egzekwują opartej na dowodach walidacji kontroli
✅ Nie zarządzają ryzykiem stron trzecich
TPRM staje się działaniem typu checkbox, gdy umowy nie definiują wymagań dotyczących bezpieczeństwa, prywatności i ciągłości działania. Zbyt często dowody, które otrzymujemy od dostawców (takie jak certyfikaty ISO wysokiego poziomu lub słabe raporty SOC2) nie mają głębi i znaczenia technicznego.
Pozytywnym krokiem jest uznanie TPRM za wymaganie tematyczne. Mam nadzieję, że skłoni to również IIA do aktualizacji Przewodnika praktycznego dotyczącego audytu TPRM. W dzisiejszym krajobrazie ryzyka nie chodzi tylko o strony trzecie, ale o cały łańcuch dostaw.
Musimy przestać myśleć o TPRM jako o ćwiczeniu zgodności. Potrzebujemy dojrzałych, opartych na ryzyku, opartych na dowodach, opartych na bezpieczeństwie programów TPRM, które są zintegrowane z ramami audytu, ciągłości i ryzyka.
Linki do nowych wymagań tematycznych TPRM, przewodnika TPRM i mojej prezentacji
New Topical Requirement on Third-Party Risk Management
The Institute of Internal Auditors Inc. has launched a public consultation on the Second Topical Requirement, focused on Third-Party Risk Management. Following the first on Cybersecurity, this is another important step to embed risk-based assurance into internal audit practices.
Topical Requirements are mandatory components of the IIA’s updated International Professional Practices Framework (IPPF). They serve as a baseline for assurance engagements focused on key risk areas—this one: third-party governance, risk, and controls.
The draft requires internalauditors to evaluate how organizations:
✔️ Govern relationships with third parties and subcontractors (including “fourth parties”)
✔️ Manage and assess TPRM risks like cyber, financial, compliance, operational, and reputational
✔️ Implement and enforce key controls throughout the third-party lifecycle: selection, onboarding, monitoring, offboarding
TPRM failures are not just technical issues—they’re systemic. As highlighted in the Practice Guide on Auditing Third-Party Risk Management, a poorly designed or compliance-only approach leads to weak controls, unverified assessments, and exposure across your entire supply chain.
In my recent presentation “The Bright and Dark Sides of TPRM”, I focused on these exact issues. Organizations face real-world failures in TPRM not because they lack regulations—but because they:
✅ Don’t tailor risk controls to vendor categories
✅ Lack audit rights and ongoing visibility into vendor environments
✅ Focus too much on compliance instead of security and continuity
✅ Don’t enforce evidence-based validation of controls
✅ Fail to manage fourth-party risk
TPRM becomes a checkbox activity when contracts don’t define security, privacy, and continuity requirements. Too often, the evidence we receive from vendors (like high-level ISO certs or poor SOC2 reports) lacks depth and technical relevance.
It's a positive step to see TPRM recognized as a Topical Requirement. I hope this also pushes IIA to update its Practice Guide on Auditing TPRM. In today’s risk landscape, it’s not only about third parties—but the full supplychain.
We must stop thinking about TPRM as a compliance exercise. We need mature, risk-based, evidence-driven, security-first TPRM programs that are integrated into audit, continuity, and risk frameworks.
Links to the new TPRM topical requirements, TPRM guide, and my presentation
Autor: Sebastian Burgemejster
Comentários