Third Party Mededeling (TPM): in control bij uitbesteding

Wanneer je als organisatie processen of systemen uitbesteedt aan een externe dienstverlener, blijft de eindverantwoordelijkheid bij jou. Stakeholders – van toezichthouders tot klanten – verwachten dat je kunt aantonen dat deze processen veilig, beschikbaar en beheerst verlopen. Een Third Party Mededeling (TPM) helpt je om dat vertrouwen te onderbouwen.

Welke standaard past bij jouw organisatie?

Er bestaan verschillende internationale standaarden voor assurance bij uitbesteding.

• ISAE 3000 is geschikt voor niet-financiële processen, zoals informatiebeveiliging, privacy of ESG-rapportages. Deze standaard is principes-gebaseerd en breed inzetbaar.

• ISAE 3402 (SOC 1) richt zich specifiek op processen die van invloed zijn op de interne beheersing rondom financiële verslaggeving.

• SOC 2 en SOC 3 rapporten zijn gebaseerd op het Trust Services Criteria-raamwerk en richten zich op aspecten zoals beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. SOC 2 is bedoeld voor professioneel gebruik; SOC 3 is een publieke samenvatting.

• ISO 27001 is een internationaal erkende norm voor informatiebeveiliging. Deze richtlijn kent inhoudelijke overlap met SOC 2, maar is een certificering in plaats van een assurance-rapport.

Twijfel je welke standaard het beste past bij jouw organisatie of dienstverlening?Ferocia helpt je met een praktische quick scan die direct helderheid biedt!

Wat is het verschil tussen een type 1 en type 2 rapportage?

Een type 1-rapportage geeft een momentopname van de beheersmaatregelen: de “foto”. Een type 2-rapportage toont hoe effectief die maatregelen in de praktijk zijn geweest over een bepaalde periode: de “film”. Om voldoende zekerheid te kunnen geven over de effectiviteit van beheersmaatregelen, adviseren wij een periode van minimaal zes maanden tussen een type 1 en type 2 rapportage.

Onze aanpak: stap voor stap naar een TPM

Ferocia maakt het traject naar een TPM inzichtelijk en beheersbaar. Onze aanpak bestaat uit vijf stappen:

1. We starten met een quick scan: we bepalen het juiste ISAE/SOC-framework en brengen de scope in kaart.

2. Vervolgens bouwen we samen een normenkader met beheersmaatregelen en begeleiden we de implementatie.

3. Daarna voeren we testwerkzaamheden uit op de getroffen maatregelen.

4. Op basis daarvan stellen we een rapportage op die voldoet aan de internationale standaard.

5. Tot slot begeleiden we je bij het selecteren van een auditor die de formele audit uitvoert.

Waarom Ferocia?

Ferocia heeft ruime ervaring met tientallen succesvolle TPM-trajecten. Onze aanpak is pragmatisch en gericht op werkbare oplossingen. Bovenal zijn we betrouwbaar: onze klanten waarderen onze expertise en persoonlijke begeleiding.

Ook grip op je uitbesteding?

Steeds meer organisaties stellen hogere eisen aan hun dienstverleners. Wacht niet tot je klant of toezichthouder daarom vraagt. Neem contact met ons op en ontdek hoe je met een Third Party Mededeling aantoonbaar ‘in control’ blijft.

Ferocia helpt!

Interim en consultancy – voor de tijdelijke inzet van auditors die jouw ontzorgen bij het verkrijgen van TPM's.

Werving en selectie – voor het vinden van de juiste audit, risk en compliance professionals om jouw organisatie te versterken.