Een Third Party Memorandum (TPM) is een assurance-rapport dat wordt afgegeven door een IT-auditor (RE) en heeft betrekking op de kwaliteit van de beheersing van IT-dienstverlening van een serviceorganisatie.
Iedere organisatie heeft risico’s voor het behalen van zijn doelen en wil de oorzaken en gevolgen van die risico’s zo goed mogelijk beheersen. Daarom is het nuttig - en soms verplicht - om de kwaliteit van de interne beheersing van processen en systemen te toetsen en dit intern of extern te laten vaststellen door middel van een IT-audit.
Maar wat zegt het nu echt over de beheersing als die toetsing is beperkt tot de onderdelen van een proces of systeem die binnen de verantwoordelijkheid van de organisatie vallen en de uitbestede zaken buiten beschouwing laat? Kunt u bijvoorbeeld zomaar aannemen dat uw IT-serviceorganisatie, zoals een SaaS-leverancier, de beheersing goed voor elkaar heeft?
Kort gezegd; nee, dat kunt u niet.
Voor auditors geldt dat iets nooit mag worden verondersteld, maar dat er altijd moet kunnen worden vastgesteld. Het is dus noodzaak dat een IT-audit bij de leverancier wordt uitgevoerd.
Daarin onderkennen we binnen ons vakgebied twee methoden: de inclusive en de carve-out methode.
Inclusive vs. Carve-out
Bij de inclusive methode voert de verantwoordelijk IT-auditor zelf een toetsing uit bij de IT-serviceorganisatie en op basis daarvan geeft hij zijn oordeel. Dit brengt echter wat praktische problemen met zich mee. Als u het right to audit niet heeft vastgelegd in de overeenkomst met de leverancier, kan de IT-serviceorganisatie hier simpelweg niet aan meewerken. Als het bovendien om een IT-serviceorganisatie met bijzonder veel klanten gaat, moet iedere auditor zijn eigen onderzoek gaan verrichten en moet de leverancier voor iedere audit capaciteit vrij maken voor interviews en het aanleveren van stukken.
De carve-out methode wordt daarom vaak als praktischere oplossing gezien. Zoals de naam al doet vermoeden wordt uit een normenkader een bepaalde uitsnede gemaakt van normen die binnen de verantwoordelijkheid van de IT-serviceorganisatie vallen. De IT-serviceorganisatie kiest zelf een IT-auditor die een eigen toetsing doet van deze normen, wat resulteert in een TPM assurance rapport.
Voorkom hoge kosten
Let op dat IT-serviceorganisaties vaak een fee vragen voor het verstrekken van een TPM. Het is daarom verstandig bij het aangaan van een overeenkomst, of nog eerder in een aanbesteding, afspraken te maken over de hoogte hiervan.
Wanneer het bijvoorbeeld gaat om een DigiD normenkader bent u als aansluithouder namelijk verplicht te voldoen aan de normen voor de software en hosting leverancier gelden. U heeft dan haast geen andere keuze dan een TPM af te nemen.
De IT-serviceorganisatie maakt voor iedere klant een eigen TPM die op hoofdlijnen gelijk is of verstrekt een generiek rapport aan al haar klanten. Een kanttekening daarbij is dat de klanten in een standaard systeem moeten werken. Ieder verschil in software, architectuur, procedures, etc. moet worden getoetst voordat de IT- auditor een verklaring kan afgeven.
De IT-auditor van de afnemer van de IT dienst (de gebruikersorganisatie) hoeft alleen nog vast te stellen dat de scope van de TPM aansluit op het object van onderzoek. De getoetste normen in de TPM en de getoetste normen bij de gebruikersorganisatie vallen als twee puzzelstukken in elkaar en dekken zo samen het normenkader af.
Nog meer voordelen van een TPM
Een generieke audit en een TPM zorgen ervoor dat de IT-serviceorganisatie enorm kan besparen op auditkosten van haar klanten, omdat dan niet voor iedere klant met dezelfde webapplicatie of webomgeving, dezelfde audit hoeft te worden uitgevoerd.
Met een TPM kunnen IT-serviceorganisaties bovendien op voorhand al de kwaliteit van de beheersing van de IT-dienstverlening voor potentiële klanten aantonen. Een TPM is bij sommige aanbestedingen zelfs een vereiste, omdat het voor overheidsbedrijven vaak verplicht is over een TPM te beschikken voor ICT-diensten die ze afnemen.
Ondersteuning bij Third Party Memorandum (TMP)
De IT-auditors van 2-Control kunnen als onafhankelijke partij een TPM opstellen voor IT-serviceorganisaties waarmee de kwaliteit van de beheersing van IT-dienstverlening kan worden aangetoond.
Onze IT-auditors beschikken over zeer ruime ervaring in het afgeven van assurance rapportages. Wij kunnen u ondersteunen bij een verscheidenheid aan audits op alle bekende normenkaders. Denk hierbij aan DigiD, ENSIA, SOC 2, ISAE 3402, NEN 7510, ISO27001, PCF en ondersteuning bij de jaarrekeningcontrole van accountants (auditing van General IT controls).
Voor meer informatie over onze hulp bij een TPM verklaring, kunt u contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt via ons contactformulier uw gegevens achterlaten. Wij nemen dan spoedig contact met u op.
