ISAE 3402-audit voor aantoonbare beheersing

Zekerheid over uitbestede processen

Steeds meer organisaties besteden onderdelen van hun bedrijfsvoering uit, zoals IT, salarisadministratie of financiële processen. Maar ook als u uitbesteedt, blijft u zelf verantwoordelijk voor de kwaliteit van de dienstverlening. Een SLA legt afspraken vast, maar geeft geen objectieve zekerheid over de beheersing van processen. Daarvoor is een ISAE3402 rapportage of een TPM nodig.

RSM IT Audit helpt u om aantoonbaar grip te houden op processen die u heeft uitbesteed aan een service-organisatie.

Wat is een TPM (RSO)?

TPM staat voor Third Party Memorandum. Dit is een onafhankelijke verklaring over de kwaliteit en betrouwbaarheid van processen die u uitbesteedt aan een derde partij, bijvoorbeeld uw IT of administratieve dienstverlener. Een TPM geeft inzicht in hoe goed deze partij haar processen beheerst. Tegenwoordig wordt een TPM een RSO (Rapportage Service Organisatie) genoemd.

Wilt u zekerheid over de dienstverlening van uw leverancier? Dan biedt een TPM rapportage een betrouwbaar oordeel van een onafhankelijke auditor.

Wat is een ISAE3402 (SOC1) rapportage?

Een ISAE3402 rapportage is een internationale standaard die inzicht geeft in de opzet, implementatie en werking van interne beheersmaatregelen bij serviceorganisaties. Deze rapportage wordt uitgevoerd door een auditor en is vooral bedoeld voor processen die van invloed zijn op de jaarrekening van een organisatie.

Er zijn twee varianten:

Type I: beschrijft de opzet en het bestaan van beheersmaatregelen op een bepaald moment
Type II: bevat een toetsing van de werking van de beheersmaatregelen over een langere periode

ISAE3402 is inhoudelijk vergelijkbaar met een SOC1 rapport, dat eveneens zekerheid biedt over financiële processen.

Wanneer is een ISAE3402 rapportage nodig?

Een ISAE3402 rapportage is relevant wanneer uw organisatie processen in opdracht van klanten uitvoert die direct of indirect impact hebben op hun financiële verantwoording. Denk aan:

Salarisadministratie of payrolling
HR- of personeelsdiensten
Vermogensbeheer
Boekhouding of financiële systemen

Voor IT-dienstverlening waarbij beveiliging, beschikbaarheid en vertrouwelijkheid centraal staan (zoals hosting, datacenters of cloudproviders) is een SOC2 rapport het aangewezen instrument. Ook dat wordt afgegeven door een RSM IT auditor.

Onze aanpak bij ISAE3402 en TPM

RSM IT Audit ondersteunt organisaties bij het voorbereiden én uitvoeren van ISAE3402 en TPM trajecten. We starten met een heldere planning en stemmen onze aanpak af op de fase waarin uw organisatie zich bevindt.

Eerste keer? Dan adviseren wij een 0-meting voorafgaand aan het audittraject. Daarmee brengen we in kaart waar uw organisatie staat en welke verbeteringen nodig zijn om ‘audit ready’ te worden.

Waarom kiezen voor RSM?

Ervaren IT auditors met kennis van uitbesteding, risicobeheersing en compliance

Pragmatische aanpak gericht op kwaliteit én uitvoerbaarheid

Aandacht voor afstemming met uw accountants, klanten en leveranciers

Meer informatie over ISAE3402 of TPM?

Wilt u meer weten over hoe een ISAE3402 of TPM rapport u helpt bij grip op uitbestede processen? Neem contact op met:

Raymond de Keijzer

Director

View profile

RSM Eindhoven

RSM Heerlen

Contact Raymond de Keijzer

+31 (0)45 405 55 55

Roy Zwartjes

Director

View profile

RSM Hoofddorp

Contact Roy Zwartjes

+31 (0)23 530 04 00

Veelgestelde vragen over ISAE3402 en TPM (RSO)

Wat is een ISAE3402 rapportage?

Een ISAE3402 rapportage is een internationale auditstandaard die zekerheid geeft over de opzet en werking van interne beheersmaatregelen bij serviceorganisaties.

Wat is het verschil tussen ISAE3402 en SOC1?

ISAE3402 en SOC1 zijn inhoudelijk vergelijkbaar, maar verschillen in oorsprong: ISAE3402 is de Europese standaard en SOC1 komt uit de Verenigde Staten. Beide rapportages richten zich op de interne beheersing van processen die van invloed zijn op de financiële verslaggeving van klanten.

Wat is een TPM of RSO rapportage?

Een TPM (Third Party Memorandum), tegenwoordig ook RSO (Rapportage Service Organisatie), is een verklaring over de kwaliteit en betrouwbaarheid van uitbestede processen bij een serviceorganisatie.

Wat is het verschil tussen TPM en RSO?

RSO is de nieuwe benaming voor TPM. In de praktijk worden beide termen nog gebruikt, maar ze verwijzen naar dezelfde vorm van assurance rapportage.

Wanneer heb ik een ISAE3402 rapportage nodig?

Een ISAE3402 rapportage is nodig wanneer u processen uitvoert voor klanten die invloed hebben op hun financiële verantwoording, zoals salarisadministratie, boekhouding of vermogensbeheer.

Wat is het verschil tussen Type I en Type II ISAE3402?

Type I beschrijft de opzet en het bestaan van controles op een moment in de tijd. Type II toetst ook de werking van deze controles over een langere periode.

Wanneer kies ik voor SOC2 in plaats van ISAE3402?

SOC2 is relevant voor IT-dienstverlening waarbij beveiliging, beschikbaarheid en vertrouwelijkheid centraal staan, zoals hosting, cloud en datacenters.

Waarom is een ISAE3402 of TPM audit belangrijk?

Het geeft uw klanten zekerheid over de betrouwbaarheid van uw processen en interne beheersing. Dit versterkt vertrouwen en kan een vereiste zijn bij uitbesteding.

Hoe bereid ik mijn organisatie voor op een ISAE 3402 audit?

Een goede voorbereiding bestaat uit:

Het uitvoeren van een risico-analyse
Het inrichten van interne controles
Het documenteren van processen
Het uitvoeren van een 0-meting of pre-audit
Het testen van de werking van controles

Wat is een 0-meting bij ISAE3402?

Een 0-meting is een voorbereidende analyse die inzicht geeft in de huidige situatie en helpt om uw organisatie audit-ready te maken.

ISAE3402 en TPM (RSO) rapportages