ISAE 3402

More and more companies are outsourcing secondary processes such as personnel administration, ICT services and pension schemes to service companies. In doing so, you as the outsourcing party remain responsible for the execution of these processes. Laying down the agreements in an SLA (Service Level Agreement) is not enough. An SLA mainly provides operational information about the outsourced activities, but provides too little certainty about the quality of the services. You do get that assurance with ISAE3402 reports and TPMs.

What is a TPM?

TPM stands for Third Party Memorandum and is intended to demonstrate the quality of the companies' control and ICT services. If you outsource services to third parties, such as your administration or your ICT services, a TPM report gives you assurance that the service companies have adequately performed the outsourced service. Do you need assurance from your suppliers? Let our independent RSM auditors give an opinion on this. For the details of a TPM, see " What is an ISAE3402 report?

What is an ISAE3402 report?

An ISAE3402 report provides insight into the extent to which the service companies are 'in control' of its processes. In the report, the management of the service companies makes an 'in control' statement to its user companies. An independent auditor then assesses this statement.

An ISAE4302 report takes two forms:
1. Reviewing the design and existence of control measures
2. Reviewing the design, existence and effective operation of control measures for a given period of time

When is an ISAE3402 report required?

This report is mainly applied to outsourced services with a financial relationship to the financial statements, such as asset management, payrolling or HR services. An ISAE3402 report is similar to SOC1. SOC1 can be issued by auditor and IT Auditor.
For outsourced ICT processes, such as IT service providers, data centres and hosting services, where the focus is on security, availability and confidentiality, a SOC2 report is issued by an independent auditor.

How do we proceed?

To carry out a TPM or ISAE3402 audit, we draw up a schedule together with you. For a first-year audit, we recommend starting with a 0 measurement prior to the formal process, to see where your companies stands.
Besides our certifying role, you can also engage us to make your companies 'ISAE3402-ready'. Together with your staff, we will draw up a plan to guide your companies through the certification process. As advice and assurance must be strictly separated, we cannot perform the certification for you in this situation.

More information?

Would you like more information about TPM or ISAE3402 reporting and what RSM IT Audit can do for you in this regard? Please contact our team.

Waarom kiezen voor RSM?

Ervaren IT auditors met kennis van uitbesteding, risicobeheersing en compliance

Pragmatische aanpak gericht op kwaliteit én uitvoerbaarheid

Aandacht voor afstemming met uw accountants, klanten en leveranciers

Meer informatie over ISAE3402 of TPM?

Wilt u meer weten over hoe een ISAE3402 of TPM rapport u helpt bij grip op uitbestede processen? Neem contact op met:

Raymond de Keijzer

Director

View profile

Eindhoven

Heerlen

Contact Raymond de Keijzer

+31 (0)45 405 5555

Veelgestelde vragen over ISAE3402 en TPM (RSO)

Wat is een ISAE3402 rapportage?

Een ISAE3402 rapportage is een internationale auditstandaard die zekerheid geeft over de opzet en werking van interne beheersmaatregelen bij serviceorganisaties.

Wat is het verschil tussen ISAE3402 en SOC1?

ISAE3402 en SOC1 zijn inhoudelijk vergelijkbaar, maar verschillen in oorsprong: ISAE3402 is de Europese standaard en SOC1 komt uit de Verenigde Staten. Beide rapportages richten zich op de interne beheersing van processen die van invloed zijn op de financiële verslaggeving van klanten.

Wat is een TPM of RSO rapportage?

Een TPM (Third Party Memorandum), tegenwoordig ook RSO (Rapportage Service Organisatie), is een verklaring over de kwaliteit en betrouwbaarheid van uitbestede processen bij een serviceorganisatie.

Wat is het verschil tussen TPM en RSO?

RSO is de nieuwe benaming voor TPM. In de praktijk worden beide termen nog gebruikt, maar ze verwijzen naar dezelfde vorm van assurance rapportage.

Wanneer heb ik een ISAE3402 rapportage nodig?

Een ISAE3402 rapportage is nodig wanneer u processen uitvoert voor klanten die invloed hebben op hun financiële verantwoording, zoals salarisadministratie, boekhouding of vermogensbeheer.

Wat is het verschil tussen Type I en Type II ISAE3402?

Type I beschrijft de opzet en het bestaan van controles op een moment in de tijd. Type II toetst ook de werking van deze controles over een langere periode.

Wanneer kies ik voor SOC2 in plaats van ISAE3402?

SOC2 is relevant voor IT-dienstverlening waarbij beveiliging, beschikbaarheid en vertrouwelijkheid centraal staan, zoals hosting, cloud en datacenters.

Waarom is een ISAE3402 of TPM audit belangrijk?

Het geeft uw klanten zekerheid over de betrouwbaarheid van uw processen en interne beheersing. Dit versterkt vertrouwen en kan een vereiste zijn bij uitbesteding.

Hoe bereid ik mijn organisatie voor op een ISAE 3402 audit?

Een goede voorbereiding bestaat uit:

Het uitvoeren van een risico-analyse
Het inrichten van interne controles
Het documenteren van processen
Het uitvoeren van een 0-meting of pre-audit
Het testen van de werking van controles

Wat is een 0-meting bij ISAE3402?

Een 0-meting is een voorbereidende analyse die inzicht geeft in de huidige situatie en helpt om uw organisatie audit-ready te maken.

ISAE 3402 Services