ISAE 3000: de standaard voor niet-financiële assurance

ISAE 3000 is de overkoepelende internationale standaard voor assurance-opdrachten over niet-financiële informatie. Waar ISAE 3402 specifiek gaat over uitbestede processen die relevant zijn voor financiële verslaggeving, biedt ISAE 3000 een breder kader voor assurance over vrijwel elk onderwerp.

De volledige naam is ISAE 3000 (Revised) – Assurance Engagements Other than Audits or Reviews of Historical Financial Information. De standaard is uitgegeven door de IAASB en vormt het fundament waarop specifiekere standaarden zoals ISAE 3402 en ISAE 3410 zijn gebouwd.

In de praktijk wordt ISAE 3000 gebruikt voor assurance-opdrachten op gebieden als informatiebeveiliging, duurzaamheid, privacy, kwaliteitsmanagement en IT-beheer. Denk aan een assurance-rapport over de naleving van de AVG, een verklaring over de werking van een informatiebeveiligingsmanagementsysteem, of assurance bij een duurzaamheidsverslag.

Het verschil tussen ISAE 3000 en ISAE 3402 is fundamenteel. ISAE 3402 is uitsluitend bedoeld voor serviceorganisaties en gaat over controls die relevant zijn voor de financiële verslaggeving van klanten. ISAE 3000 kent die beperking niet en kan worden toegepast op elk onderwerp waarover een organisatie assurance wil bieden.

ISAE 3000 onderscheidt twee niveaus van zekerheid. Bij een reasonable assurance-opdracht geeft de auditor een positief geformuleerd oordeel: de controls werken effectief. Bij een limited assurance-opdracht geeft de auditor een negatief geformuleerd oordeel: niets is ons gebleken dat de controls niet effectief werken. Reasonable assurance vereist meer testwerkzaamheden en biedt een hoger zekerheidsniveau.

SOC 2 rapporten zijn technisch gezien gebaseerd op AT-C 205, de Amerikaanse equivalent. In Europa kiezen steeds meer organisaties voor een ISAE 3000 rapport als alternatief voor of aanvulling op SOC 2, met name wanneer de scope breder is dan de vijf Trust Services Criteria.

Voor Nederlandse organisaties die assurance willen bieden over hun informatiebeveiliging, privacy-compliance of andere niet-financiële onderwerpen, is ISAE 3000 de aangewezen standaard. Het rapport biedt stakeholders onafhankelijke zekerheid zonder de beperkingen van ISAE 3402.

Secure Audit voert ISAE 3000 assurance-opdrachten uit op het gebied van informatiebeveiliging, IT-beheer en compliance. Neem contact op om te bespreken welke standaard het beste past bij jouw situatie.