ISAE 3000

Waarom kiezen organisaties voor een ISAE 3000 audit?

Steeds meer organisaties moeten aantoonbaar maken dat processen en beheersmaatregelen effectief functioneren. Klanten, toezichthouders en samenwerkingspartners vragen daarbij steeds vaker om onafhankelijke zekerheid.

Een ISAE 3000 audit biedt die zekerheid. Het rapport maakt inzichtelijk of de afgesproken criteria daadwerkelijk worden nageleefd en geeft externe partijen vertrouwen in de kwaliteit van processen, systemen en dienstverlening.

Wanneer is een ISAE 3000 audit relevant? Een ISAE 3000 audit wordt vaak ingezet voor:

• DigiD-assessments;
• WCAG-onderzoeken;
• privacy- en AVG-vraagstukken;
• NIS2-verantwoording;
• DORA-gerelateerde assurance;
• leveranciersverklaringen;
• maatwerk assurance-opdrachten.

Juist doordat de standaard flexibel toepasbaar is, wordt deze vaak gebruikt wanneer bestaande normen of certificeringen onvoldoende aansluiten op de situatie.

Hoe verloopt een ISAE 3000 audit?

Scope bepalen

Samen bepalen we wat onderzocht wordt en welke criteria van toepassing zijn.

Documentreview

De auditor beoordeelt relevante documentatie, processen en beheersmaatregelen.

Interviews en toetsing

Door interviews en steekproeven wordt vastgesteld of maatregelen daadwerkelijk functioneren.

Rapportage

De bevindingen worden vastgelegd in een onafhankelijk assurance rapport.

Wat is het verschil tussen ISAE 3000 en ISAE 3402?

Hoewel beide standaarden worden gebruikt voor onafhankelijke assurance-opdrachten, hebben ze een andere toepassing.

ISAE 3402 wordt voornamelijk ingezet voor organisaties die diensten uitvoeren voor klanten en waarbij de uitbestede processen invloed kunnen hebben op de interne beheersing van die klanten. Denk bijvoorbeeld aan salarisverwerking, hostingdiensten of andere uitbestede bedrijfsprocessen. De audit richt zich daarbij op de beheersmaatregelen binnen deze dienstverlening.

ISAE 3000 is veel breder toepasbaar. Deze standaard wordt gebruikt voor assurance-opdrachten waarbij een organisatie onafhankelijk wil aantonen dat zij voldoet aan bepaalde eisen, normen of afspraken. Denk bijvoorbeeld aan DigiD-assessments, WCAG-onderzoeken, NIS2, DORA, privacyvraagstukken of andere maatwerkonderzoeken.

Het belangrijkste verschil is dat ISAE 3402 een specifiek assurance-kader biedt voor uitbestede dienstverlening, terwijl ISAE 3000 juist flexibiliteit biedt voor uiteenlopende onderwerpen. Daardoor wordt ISAE 3000 vaak ingezet wanneer een organisatie zekerheid wil geven over processen, systemen of beheersmaatregelen waarvoor geen specifieke assurance-standaard beschikbaar is.

Welke standaard het meest geschikt is, hangt af van het doel van de audit, de verwachtingen van klanten en het normenkader waarop de organisatie verantwoording wil afleggen.

Hoe verloopt een ISAE 3000 audit?

Iedere assurance-opdracht is anders, maar een ISAE 3000 audit bestaat doorgaans uit een aantal vaste stappen.

Scope en toetsingskader bepalen

Allereerst bepalen we samen wat er onderzocht wordt en op basis van welke eisen of normen de audit plaatsvindt. Dit kan bijvoorbeeld gaan om DigiD, WCAG, NIS2, DORA, privacywetgeving of een specifiek normenkader dat door klanten of toezichthouders wordt gevraagd.

Documentatie en processen beoordelen

Vervolgens beoordelen we de relevante documentatie, processen en beheersmaatregelen. Hierbij kijken we niet alleen naar beleid en procedures, maar ook naar de manier waarop deze in de praktijk zijn ingericht.

Interviews en steekproeven uitvoeren

Om vast te stellen of maatregelen daadwerkelijk functioneren, voeren we interviews uit en beoordelen we bewijsstukken. Waar nodig voeren we steekproeven uit om de werking van processen vast te stellen.

Rapportage en conclusie

De uitkomsten van de audit worden vastgelegd in een assurance-rapport. Hiermee kan de organisatie aantonen dat een onafhankelijke auditor heeft vastgesteld in hoeverre aan de gestelde criteria wordt voldaan.

Wat kost een ISAE 3000 audit?

Een van de meest gestelde vragen is wat een ISAE 3000 audit kost. Een eenduidig antwoord is daar niet op te geven, omdat iedere assurance-opdracht anders is.

De benodigde inspanning hangt onder andere af van:

• het onderwerp van de audit;
• de omvang van de organisatie;
• het aantal processen en systemen binnen scope;
• de complexiteit van het normenkader;
• de beschikbaarheid van documentatie en bewijsvoering.

Een ISAE 3000 audit voor een DigiD-assessment vraagt bijvoorbeeld om een andere aanpak dan een assurance-opdracht rondom WCAG, NIS2 of een sectorspecifiek normenkader.

Op basis van onze ervaring zien we dat veel organisaties vooral behoefte hebben aan duidelijkheid vooraf. Daarom brengen we de scope, verwachtingen en benodigde werkzaamheden eerst gezamenlijk in kaart. Op basis daarvan ontvang je een transparante offerte zonder verrassingen achteraf.

Door vooraf heldere afspraken te maken over de scope en planning blijft de audit beheersbaar en voorkom je onnodige kosten. Bovendien zorgt een goede voorbereiding er vaak voor dat de benodigde inspanning aanzienlijk lager uitvalt.