Veel leveranciers worden tegenwoordig geconfronteerd met het verzoek van klanten omtrent een TPM verklaring (TPM = Third Party Memorandum) of, specifieker, een ISAE 3402 rapportage. De klant wil namelijk graag dat de integriteit en vertrouwelijkheid van gegevens zoals die door de leveranciersorganisatie beheert en verwerkt worden, gewaarborgd zijn.
Maar hoe gaat u aan de slag om een succesvolle ISAE 3402 rapportage te bewerkstelligen?
Hiervoor kunt u een aantal stappen doorlopen:
Door het uitvoeren van een type I (of type 1) rapportage heeft u voor uw klanten direct een tastbaar resultaat dat u adequate maatregelen heeft getroffen voor de bescherming van de (financiële) gegevens.
Na afloop van een nieuw boekjaar/verslagperiode kan dan de ISAE 3402 type II (of type 2: opzet, bestaan en werking) rapportage worden uitgevoerd.
Tijdens de voorbereiding wordt de scope, documentatie, doelstellingen en het control framework opgesteld. Daarbij worden deze stappen doorlopen:
Natuurlijk wilt u dat de ISAE 3402 rapportage geschikt is voor al uw klanten. Afhankelijk van de dienst(en)/product(en) die u levert aan uw klanten kan het daarom zijn dat de rapportage meerdere zaken omvat. Samen vormen die het totale portfolio – met betrekking tot financiële verslaglegging – welke binnen de scope opgenomen wordt.
Na uitvoering van de voorbereiding is alle benodigde informatie opgesteld en zijn de te implementeren maatregelen vastgesteld.
Op basis van de informatie zoals die is opgesteld tijdens de voorbereiding kan een evaluatie door uw klanten / accountant plaatsvinden. Dit geeft u zekerheid dat de beoogde aanpak en het resultaat ook daadwerkelijk aansluit op de verwachtingen (eisen en wensen) van uw klanten.
Het is verstandig om niet met elke individuele klant in gesprek te gaan maar een klantenforum samen te stellen waarmee u de evaluatie uitvoert. Vergeet echter niet alle klanten hierover te informeren!
In veel gevallen zal de klant terugvallen op haar eigen accountant/auditor om te beoordelen of de beoogde aanpak afdoende is. U zult daarom ook zeker contact hebben met deze partijen.
De feedback die u krijgt dient verwerkt te worden in de eerder opgestelde documentatie/control framework. Overigens mag u kritisch zijn in verzoeken van klanten/accountants voor implementatie van extra maatregelen. Immers, dergelijke maatregelen moeten eveneens een relatie hebben tot de beheersdoelstellingen en geïdentificeerde risico’s. Anderzijds geldt dat u uiteindelijk de klant wilt bedienen door het bieden van de ISAE 3402 rapportage en is er dus een belang voor de klant die u niet mag negeren.
Na evaluatie en aanpassing van de beoogde doelstellingen en control framework dient u de maatregelen te implementeren binnen de organisatie. De maatregelen vallen vaak uiteen in de volgende categorieën:
Voor beide categorieën geldt dat deze zowel technisch als organisatorisch van aard kunnen zijn.
Daarnaast dient u een proces/aanpak voor uitvoering van de interne audits in te regelen (tenzij u ervoor kiest zelf geen interne audits uit te voeren).
Als alle maatregelen zijn geïmplementeerd en de interne audit ingeregeld, kunt u een type I rapportage laten uitvoeren. Op deze manier wordt de correcte implementatie gewaarborgd voordat u een (boek-)jaar lang op een ‘verkeerde’ manier uitvoering geeft aan de maatregelen. Tevens levert de type I rapportage direct een concreet resultaat op voor uw klanten.
Voor de rapportage dient alle benodigde informatie te worden aangeleverd, inclusief de managementverklaring.
Hierna bent u klaar om na afloop van het nieuwe boekjaar een ISAE 3402 type II rapportage af te kunnen geven waarmee uzelf en uw klanten met een minimum aan impact voldoet aan alle eisen en wensen.