Veel leveranciers worden tegenwoordig geconfronteerd met het verzoek van klanten omtrent een TPM verklaring (TPM = Third Party Memorandum) of, specifieker, een ISAE 3402 verklaring.
De klant wil namelijk graag dat de kwaliteit van de dienstverlening, en dan vooral de integriteit en vertrouwelijkheid van gegevens zoals die door de leveranciersorganisatie beheerd en verwerkt worden, gewaarborgd zijn.
Reden voor deze soms dwingende vraag van klanten is dat met betrekking tot de financiële jaarrapportage de accountant van de klant zekerheid wil hebben dat de jaarrapportage is gebaseerd op betrouwbare gegevens. Het is dan ook met name de accountant die er bij de klant op aandringt de TPM verklaring of ISAE 3402 verklaring bij haar leveranciers te bewerkstelligen.
Indien geen TPM of ISAE 3402 verklaring beschikbaar is, zal u als leverancier mogelijk elk jaar opnieuw een audit krijgen waarbij er een diepgravend onderzoek wordt uitgevoerd. Dit is veel werk voor zowel u als uw klant en leidt tot veel frustratie. Verschillende klanten kunnen daarnaast verschillende audits uitgevoerd willen hebben.
Door het hebben van een ISAE 3402 verklaring vermindert u het werk als gevolg van de verschillende audits, bij uzelf maar vooral bij uw klanten. Het hebben van een ISAE 3402 verklaring levert u dus een belangrijke meerwaarde op voor uw klanten.
Een ISAE 3402 rapportage bestaat in twee vormen / typen:
Voor een accountant – en dus ook uw klanten – is met name type II gewenst aangezien dit een daadwerkelijke waarborg biedt voor de juistheid van de jaarrapportage.
De inhoud van een ISAE 3402 rapportage (type II) bestaat uit:
Merk op dat een type I rapport ongeveer dezelfde informatie bevat maar alleen het bestaan benoemt en geen periode betreft (en dus ook geen overzicht van wijzigingen of uitgevoerde interne audits bevat).
Meld je aan en ontvang direct het whitepaper ‘De 7 principes van Privacy by Design’ gratis .
Als leverancier dient u inzicht te verschaffen in alle zaken rondom de opzet van het systeem en bijbehorende processen die de integriteit van de gegevens beïnvloeden binnen de dienst of het product dat u aanbiedt.
De beschrijving geeft daarom weer op welke wijze het systeem / processen is opgezet en geïmplementeerd:
Als leverancier dient u vervolgens aan te geven welke beheersdoelstellingen u nastreeft en welke maatregelen om die doelstellingen te bereiken u getroffen heeft. Daarbij dient u aan te geven welke risico’s er zijn en hoe de maatregelen deze risico’s oplost of tot een acceptabele impact reduceert.
Deze beschrijving bevat daarom:
Ook uw klant of de eindgebruiker moet aan bepaalde voorwaarden voldoen om de integriteit van de gegevens te kunnen waarborgen. Denk bijvoorbeeld aan het vertrouwelijk behandelen van wachtwoorden.
De maatregelen dienen tenminste invulling te geven aan:
De doelstellingen en een beschrijving van de maatregelen worden opgenomen in een zogeheten control matrix waarin ook de status (effectiviteit) kan worden opgenomen.
Als leverancier dient u gedurende de verslagperiode regelmatig de effectiviteit van de maatregelen te controleren. Deze interne controle heet ook wel de interne audit.
U kunt ervoor kiezen deze interne audit niet zelf uit te voeren maar bijvoorbeeld aan de IT auditor van de accountant over te laten. Deze zal dan achteraf een diepgravend onderzoek uit gaan voeren wat u en de auditor alsnog veel tijd en mogelijke frustratie kosten.
Kiest u voor de eigen interne audit dan dient deze aan de volgende voorwaarden te voldoen:
Met andere woorden; de interne auditor moet onafhankelijk en adequaat te werk kunnen gaan en de resultaten dienen een serieuze opvolging te krijgen. Voldoet u aan deze voorwaarde dan kan de IT auditor van de accountant hierop terugvallen bij het opstellen van de ISAE 3402 rapportage.
Het management (van u als leverancier) dient een verklaring af te geven met betrekking tot de beschrijving van haar systeem, en in hoeverre het systeem effectief heeft gewerkt gedurende de gespecificeerde verslagperiode.
Deze verklaring is redelijk dwingend voorgeschreven en vormt de tegenhanger van de verklaring van de auditor. Voor een geldende/bruikbare ISAE 3402 rapportage dienen beide verklaringen in hoge mate overeen te stemmen. Dus ook de auditor dient een positief oordeel af te geven om uiteindelijk de ISAE 3402 verklaring vast te stellen.
De overige aanvullende informatie die aangeleverd dient te worden betreft:
Voor gedetailleerde informatie over de ISAE 3402 standaard verwijzen wij u naar de Nederlandstalige versie van NOREA.