TPM-verklaring: aantoonbaar in control

Steeds meer organisaties besteden processen of systemen uit aan externe partijen. Van IT-hosting tot klantdata, van financiële verwerking tot ESG-rapportages. Uitbesteden is aantrekkelijk, het is vaak efficiënt, sneller en van een kwalitatief hoog niveau. Maar wie denkt dat daarmee ook de verantwoordelijkheid verdwijnt, komt bedrogen uit.

De realiteit is simpel: als uitbestedende organisatie blijf jij eindverantwoordelijk. Klanten, toezichthouders en andere stakeholders verwachten dat jij kunt aantonen dat jouw processen veilig, beschikbaar en beheerst verlopen, ook als ze (gedeeltelijk) in handen zijn van een derde partij. En precies daar komt de Third Party Mededeling (TPM) om de hoek kijken.

Wat is een Third Party Mededeling?

Een TPM-verklaring is een assurance-rapport dat inzicht geeft in de kwaliteit en betrouwbaarheid van uitbestede processen of systemen. Het rapport wordt opgesteld op basis van een erkende norm en door een onafhankelijke auditor gecontroleerd. Daarmee biedt het de zekerheid die stakeholders verlangen: jouw organisatie heeft grip op uitbesteding.

Of je nu werkt voor een cloudprovider, softwarebedrijf, detacheerder, administratiekantoor of gegevensverwerker, een TPM helpt je aantoonbaar ‘in control’ te zijn.

Waarom kiezen organisaties voor een TPM-verklaring?

De directe aanleiding voor een TPM is vaak een vraag van een klant of toezichthouder: “Kun je aantonen dat je onze data veilig beheert?” of “Hoe borg je continuïteit als processen zijn uitbesteed?”

Maar steeds meer organisaties zijn de vragen voor. Ze zien in dat een TPM-verklaring meer is dan een vinkje voor compliance:

• Het versterkt je betrouwbaarheid richting klanten en partners.

• Het voorkomt discussie en tijdverlies bij aanbestedingen of due diligence.

• Het dwingt intern om processen goed te documenteren en te verbeteren.

• En niet onbelangrijk: het voorkomt reputatieschade bij incidenten.

Kortom: een TPM is geen doel op zich, maar een strategisch middel om risico’s te beheersen, vertrouwen te versterken en commerciële kansen te vergroten.

Welke standaard past bij jouw organisatie?

De wereld van TPM kent meerdere internationale standaarden. Welke voor jouw situatie geschikt is, hangt af van het type dienstverlening, de sector en de verwachtingen van jouw stakeholders. Hieronder zetten we de meest voorkomende standaarden op een rij.

ISAE 3000

Deze standaard is breed inzetbaar voor niet-financiële processen zoals informatiebeveiliging, privacy, ESG-rapportages of HR-dienstverlening. Het is een principes-gebaseerde standaard, wat betekent dat de inhoud flexibel is in te vullen op basis van de context.

Toepassing: organisaties die procesverantwoordelijkheid dragen voor vertrouwelijke gegevens, zoals SaaS-aanbieders of hostingpartijen.

ISAE 3402 (SOC 1)

ISAE 3402 is specifiek gericht op processen die van invloed zijn op de interne beheersing rondom financiële verslaggeving. Deze standaard is zeer geschikt voor bijvoorbeeld administratiekantoor, uitbestedingspartijen of shared service centers die processen uitvoeren met impact op de jaarrekening van hun klant.

Toepassing: organisaties die loonadministratie, boekhouding of financiële verwerking voor derden uitvoeren. Meer lezen over ISAE 3402? Klik hier voor een verdiepende blog.

SOC 2 en SOC 3

Beide rapporten zijn gebaseerd op het Trust Services Criteria-raamwerk van AICPA. SOC 2 is bedoeld voor professioneel gebruik en richt zich op vijf domeinen: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. SOC 3 is een publieksversie van SOC 2, vooral bedoeld voor marketingdoeleinden.

Toepassing: technologiebedrijven, datacenters, SaaS-leveranciers.

ISO 27001

ISO 27001 is een internationale norm voor informatiebeveiliging. Het is geen assurance-rapport maar een certificering. ISO 27001 toont aan dat jouw organisatie een informatiebeveiligingsmanagementsysteem (ISMS) heeft ingericht volgens internationale normen.

Toepassing: organisaties die vooral een formele, gecertificeerde aanpak willen tonen.

Meer lezen over de verschillende TPM-verklaringen? Klik hier voor een verdiepende blog.

Type 1 of type 2: wat is het verschil?

TPM-rapporten kunnen in twee vormen worden opgeleverd: type 1 of type 2.

·       Een type 1-rapportage geeft een momentopname: zijn de beheersmaatregelen ingericht zoals beschreven?

·       Een type 2-rapportage gaat verder: het toont over een periode (meestal 6 tot 12 maanden) aan dat deze maatregelen ook effectief hebben gewerkt.

Wil je vertrouwen opbouwen richting klanten of toezichthouders? Dan biedt een type 2-rapport meer zekerheid. Daarom adviseren wij organisaties om een type 1-rapport te zien als opstap naar een type 2-rapport, met voldoende tijd (minimaal 6 maanden) tussen beide.

Onze aanpak: praktisch en gefaseerd

Een TPM-traject klinkt complex, maar dat hoeft het niet te zijn. Ferocia begeleidt organisaties stap voor stap naar een succesvolle TPM-verklaring. Onze aanpak is helder, pragmatisch en altijd afgestemd op jouw situatie.

Stap 1: Quick scan

We starten met een verkennende analyse: welk normenkader past het best bij jouw dienstverlening en wat is de scope van de TPM? We kijken naar processen, systemen, risico’s en klantverwachtingen. Deze stap geeft snel helderheid over de route en de impact.

Stap 2: Normenkader opstellen

Samen stellen we een passend normenkader op en indien van toepassing combineren we normenkaders, zodat we geen dubbel werk hoeven uit te voeren. Hierin staan de beheersmaatregelen die nodig zijn om aan de gekozen standaard te voldoen. Denk aan toegangsbeheer, logging, continuïteitsplanning, dataclassificatie of change management. We helpen je om deze maatregelen praktisch en beheersbaar te implementeren.

Stap 3: Testen van maatregelen

Na implementatie voeren we testwerkzaamheden uit. We controleren of de maatregelen werken zoals beoogd. Dit helpt om kinderziektes te ontdekken voordat de externe auditor meekijkt.

Stap 4: Rapportage

Op basis van de testresultaten stellen we een conceptrapportage op die voldoet aan de eisen van de gekozen standaard. Deze rapportage vormt de basis voor het formele auditrapport.

Stap 5: Selectie en begeleiding externe auditor

Tot slot helpen we je bij de selectie van een geschikte, onafhankelijke externe auditor. Wij zorgen voor een soepele overdracht en begeleiden het auditproces, zodat jij met vertrouwen het traject afrondt.

Waarom kiezen organisaties voor Ferocia?

TPM is geen papieren exercitie. Het gaat om vertrouwen, om aantoonbaar grip op uitbestede processen. En precies dat is waar Ferocia in uitblinkt.

Met tientallen succesvolle TPM-trajecten op onze naam, kennen we de praktijk. We snappen hoe processen echt werken. We combineren technische kennis met organisatiesensitiviteit. En we weten hoe je maatregelen werkbaar maakt.

Onze klanten waarderen vooral onze:

• Praktische aanpak: geen dikke rapporten, wel concrete oplossingen.

• Persoonlijke begeleiding: we zijn betrokken, kritisch en altijd bereikbaar.

• Ervaring en expertise: we kennen de normen en de praktijk.

• Efficiënte ondersteuning: we ondersteunen alleen waar nodig. Datgene wat je als organisatie zelf kan, hoef je niet uit te besteden.

TPM-verklaring: niet wachten tot iemand het vraagt

De eisen aan dienstverleners worden steeds hoger. Of je nu werkt voor een zorginstelling, IT-dienstverlener of overheidsorganisatie, klanten en toezichthouders willen zekerheid. Wacht dus niet tot je die vraag krijgt, maar neem zelf het initiatief.

Met een Third Party Mededeling laat je zien dat je serieus werk maakt van risicobeheersing, compliance en kwaliteit. Het is een krachtig signaal, onze organisatie is in control.

Neem contact met ons op!

Benieuwd wat een TPM voor jouw organisatie kan betekenen? Ferocia denkt graag met je mee over de beste aanpak. Neem contact met ons op via telefoon of e-mail, of start direct een chat via het gele tekstbolletje rechtsonder.

De kracht van complete dienstverlening

Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Of je nu tijdelijke capaciteit of expertise zoekt, je team wilt ontwikkelen of een nieuwe collega nodig hebt, wij denken graag met je mee.