Hoe kan ik een ISAE 3402 rapportage implementeren?

Veel leveranciers worden tegenwoordig geconfronteerd met het verzoek van klanten omtrent een TPM verklaring (TPM = Third Party Memorandum) of, specifieker, een ISAE 3402 rapportage. De klant wil namelijk graag dat de integriteit en vertrouwelijkheid van gegevens zoals die door de leveranciersorganisatie beheert en verwerkt worden, gewaarborgd zijn.

 

Maar hoe gaat u aan de slag om een succesvolle ISAE 3402 rapportage te bewerkstelligen? 

Hiervoor kunt u een aantal stappen doorlopen:

 

  1. Voorbereiding;
  2. Evaluatie door klanten (en indirect accountant) en eventuele bijstelling;
  3. Implementatie van maatregelen en interne audits;
  4. Uitvoeren van ISAE 3402 type I (opzet en bestaan) rapportage.

 

Door het uitvoeren van een type I (of type 1) rapportage heeft u voor uw klanten direct een tastbaar resultaat dat u adequate maatregelen heeft getroffen voor de bescherming van de (financiële) gegevens.

 

Na afloop van een nieuw boekjaar/verslagperiode kan dan de ISAE 3402 type II (of type 2: opzet, bestaan en werking) rapportage worden uitgevoerd.

Wilt u weten wat een ISAE 3402 rapportage is?

 

1. Voorbereiding

Tijdens de voorbereiding wordt de scope, documentatie, doelstellingen en het control framework opgesteld. Daarbij worden deze stappen doorlopen:

 

  1. Bepalen van de scope;
  2. Documentatie van systeem en processen;
  3. Bepalen van beheersdoelstellingen (normenkader);
  4. Uitvoeren van risicoanalyse;
  5. Vaststelling maatregelen en opstellen control matrix;

 

Natuurlijk wilt u dat de ISAE 3402 rapportage geschikt is voor al uw klanten. Afhankelijk van de dienst(en)/product(en) die u levert aan uw klanten kan het daarom zijn dat de rapportage meerdere zaken omvat. Samen vormen die het totale portfolio – met betrekking tot financiële verslaglegging – welke binnen de scope opgenomen wordt.

 

Na uitvoering van de voorbereiding is alle benodigde informatie opgesteld en zijn de te implementeren maatregelen vastgesteld.

2. Evaluatie

Op basis van de informatie zoals die is opgesteld tijdens de voorbereiding kan een evaluatie door uw klanten / accountant plaatsvinden. Dit geeft u zekerheid dat de beoogde aanpak en het resultaat ook daadwerkelijk aansluit op de verwachtingen (eisen en wensen) van uw klanten.

 

Het is verstandig om niet met elke individuele klant in gesprek te gaan maar een klantenforum samen te stellen waarmee u de evaluatie uitvoert. Vergeet echter niet alle klanten hierover te informeren!

 

In veel gevallen zal de klant terugvallen op haar eigen accountant/auditor om te beoordelen of de beoogde aanpak afdoende is. U zult daarom ook zeker contact hebben met deze partijen.

 

De feedback die u krijgt dient verwerkt te worden in de eerder opgestelde documentatie/control framework. Overigens mag u kritisch zijn in verzoeken van klanten/accountants voor implementatie van extra maatregelen. Immers, dergelijke maatregelen moeten eveneens een relatie hebben tot de beheersdoelstellingen en geïdentificeerde risico’s. Anderzijds geldt dat u uiteindelijk de klant wilt bedienen door het bieden van de ISAE 3402 rapportage en is er dus een belang voor de klant die u niet mag negeren.

3. Implementatie

Na evaluatie en aanpassing van de beoogde doelstellingen en control framework dient u de maatregelen te implementeren binnen de organisatie. De maatregelen vallen vaak uiteen in de volgende categorieën:

 

  1. Algemene IT beheersmaatregelen, typisch:
    1. Incident- / probleemafhandeling;
    2. Wijzigingsbeheer;
    3. Logische toegangscontrole;
    4. Waarborgen m.b.t. data-integriteit (backup / uitwijk);
    5. Uitbesteding; en
  2. Applicatie-specifieke maatregelen.

 

Voor beide categorieën geldt dat deze zowel technisch als organisatorisch van aard kunnen zijn.

 

Daarnaast dient u een proces/aanpak voor uitvoering van de interne audits in te regelen (tenzij u ervoor kiest zelf geen interne audits uit te voeren).

4. ISAE 3402 type I rapportage

Als alle maatregelen zijn geïmplementeerd en de interne audit ingeregeld, kunt u een type I rapportage laten uitvoeren. Op deze manier wordt de correcte implementatie gewaarborgd voordat u een (boek-)jaar lang op een ‘verkeerde’ manier uitvoering geeft aan de maatregelen. Tevens levert de type I rapportage direct een concreet resultaat op voor uw klanten.

 

Voor de rapportage dient alle benodigde informatie te worden aangeleverd, inclusief de managementverklaring.

Hierna bent u klaar om na afloop van het nieuwe boekjaar een ISAE 3402 type II rapportage af te kunnen geven waarmee uzelf en uw klanten met een minimum aan impact voldoet aan alle eisen en wensen.

Bekijk wat wij voor u kunnen betekenen

Interesse in onze oplossing?