ISAE3402-rapportages en TPM’s
Steeds meer organisaties besteden secundaire processen zoals de personeelsadministratie, ICT-diensten en pensioenregelingen uit aan serviceorganisaties. Daarbij blijft u als uitbestedende partij verantwoordelijk voor de uitvoering van deze processen. Het vastleggen van de afspraken in een SLA (Service Level Agreement) is daarbij niet voldoende. Een SLA biedt vooral operationele informatie over de uitbestede werkzaamheden, maar geeft te weinig zekerheid over de kwaliteit van de dienstverlening. Die zekerheid krijgt u wel met ISAE3402-rapportages en TPM’s.
Wat is een TPM?
TPM staat voor Third Party Memorandum en is bedoeld om de kwaliteit van de beheersing van de organisatie en de ICT-dienstverlening aantoonbaar te maken. Besteed u diensten uit aan derde partijen, zoals uw administratie of uw ICT-diensten, dan geeft een TPM-rapportage u de zekerheid dat de serviceorganisatie de uitbestede dienst adequaat heeft uitgevoerd. Heeft u behoefte aan zekerheid bij uw leveranciers? Laat onze onafhankelijke RSM-auditors hier een oordeel over geven.
Wat is een ISAE3402-rapportage?
Een ISAE3402-rapportage geeft inzicht in hoeverre de serviceorganisatie ‘in control’ is over haar processen. In het rapport legt het management van de serviceorganisatie een ‘in control’-verklaring af aan haar gebruikersorganisaties. Een onafhankelijke auditor toetst deze verklaring vervolgens.
Een ISAE4302-rapportage kent twee vormen:
- Het toetsen van de opzet en het bestaan van beheersmaatregelen
- Het toetsen van de opzet, het bestaan en de effectieve werking van de beheersmaatregelen voor een bepaalde periode
Wanneer is een ISAE3402-rapportage nodig?
Deze rapportage wordt vooral toegepast bij uitbestede diensten met een financiële relatie naar de jaarrekening, zoals vermogensbeheer, payrolling of HR-diensten. Een ISAE3402-rapportage is vergelijkbaar met SOC1. SOC1 kan worden afgegeven door accountant en IT Auditor.
Bij uitbestede ICT-processen, zoals IT-serviceproviders, datacenters en hostingdiensten, waarbij de nadruk ligt op beveiliging, beschikbaarheid en vertrouwelijkheid, wordt een SOC2-rapport afgegeven door een onafhankelijke auditor.
Hoe gaan we te werk?
Voor het uitvoeren van een TPM- of ISAE3402-traject stellen wij samen met u een planning op. Bij een eerstejaars-audit adviseren wij te starten met een 0-meting voorafgaand aan het formele traject, om te kijken waar uw organisatie staat.
Naast onze certificerende rol kunt u ons ook inschakelen om uw organisatie ‘ISAE3402-ready’ te maken. Samen met uw medewerkers stellen wij een plan op om uw organisatie goed door het certificeringstraject te leiden. Omdat advies en assurance strikt gescheiden moeten zijn, kunnen wij in deze situatie de certificering niet voor u uitvoeren.
Meer informatie?
Wilt u meer informatie over de TPM of ISAE3402-rapportage en wat RSM IT Audit hierin voor u kan betekenen? Neem dan contact op met ons.