De Third Party Mededeling (TPM): Het Nederlandse alternatief voor ISAE 3402

In de Nederlandse markt kennen we naast de internationaal erkende ISAE 3402-standaard ook de Third Party Mededeling, afgekort als TPM. Deze door de NBA (Koninklijke Nederlandse Beroepsorganisatie van Accountants) ontwikkelde rapportagevorm is specifiek bedoeld voor de Nederlandse situatie en biedt serviceorganisaties een pragmatisch alternatief voor een volledige ISAE 3402-audit. Maar wanneer volstaat een TPM en wanneer is ISAE 3402 de betere keuze?

Wat is een Third Party Mededeling?

Een TPM is een rapport van een onafhankelijke IT-auditor (doorgaans een Register EDP-Auditor, RE) over de beheersing van een specifiek uitbesteed proces of systeem. Het rapport beschrijft de beheersmaatregelen van de serviceorganisatie en bevat een oordeel van de auditor over de opzet en eventueel de werking van deze maatregelen. De TPM is gebaseerd op Nederlandse beroepsvoorschriften en wordt veel gebruikt in sectoren waar ISAE 3402 als te zwaar of te kostbaar wordt ervaren.

Belangrijkste verschillen met ISAE 3402

• •Standaard: ISAE 3402 is een internationale standaard van de IAASB; de TPM is gebaseerd op Nederlandse beroepsvoorschriften van de NBA.
• •Reikwijdte: ISAE 3402 richt zich specifiek op controls relevant voor financiële verslaggeving; een TPM kan een bredere scope hebben.
• •Internationale erkenning: een ISAE 3402-rapport wordt wereldwijd erkend; een TPM is primair voor de Nederlandse markt bedoeld.
• •Diepgang: ISAE 3402 Type II vereist uitgebreide operationele testen; bij een TPM kan de scope en diepgang flexibeler worden bepaald.
• •Uitvoering: ISAE 3402 wordt uitgevoerd door een accountant (RA); een TPM kan worden uitgebracht door een RE (Register EDP-Auditor).

Wanneer kiest u voor een TPM?

Een TPM is vaak de juiste keuze wanneer uw klantenkring overwegend Nederlands is, wanneer de uitbestede dienstverlening beperkt van omvang is, of wanneer de accountant van uw klant een TPM accepteert als voldoende onderbouwing. Het is een pragmatische oplossing die minder tijd en budget vergt dan een volledige ISAE 3402-audit, terwijl het wel onafhankelijke zekerheid biedt over uw beheersmaatregelen.

Wanneer is ISAE 3402 toch beter?

Kiest u voor ISAE 3402 wanneer u internationale klanten bedient, wanneer klanten of hun accountants expliciet om een ISAE 3402-rapport vragen, of wanneer u actief bent in gereguleerde sectoren zoals de financiële dienstverlening of pensioensector. In deze gevallen biedt het internationale karakter en de hogere erkenning van ISAE 3402 een duidelijke meerwaarde.

Twijfelt u welk rapporttype het beste past bij uw situatie? De IT-auditors op IT-Audit Directory hebben ervaring met zowel TPM als ISAE 3402 en kunnen u adviseren over de meest passende en kostenefficiënte aanpak voor uw specifieke situatie.