ISAE staat voor International Standard on Assurance Engagements. ISAE 3000 biedt het internationale raamwerk voor dit type opdrachten waarbij een onafhankelijke auditor zekerheid verstrekt over andere onderwerpen dan historische financiële informatie.
Een ISAE 3000 audit is een onafhankelijke assurance-opdracht waarmee organisaties kunnen aantonen dat processen, systemen of beheersmaatregelen voldoen aan vooraf vastgestelde criteria. De audit resulteert in een assurance-rapport of verklaring en wordt veel toegepast voor DigiD, WCAG, DORA, NIS2 en andere maatwerkassurance-opdrachten.
Met een ISAE 3000 verklaring laat je klanten, toezichthouders en andere stakeholders zien dat een onafhankelijke auditor heeft beoordeeld of de afgesproken maatregelen daadwerkelijk aanwezig zijn én werken zoals bedoeld. Zo creëer je vertrouwen en kun je aantoonbaar onderbouwen dat je zaken op orde hebt.

Waarom kiezen voor ISAE 3000?
Steeds meer organisaties moeten kunnen aantonen dat processen, systemen en beheersmaatregelen goed zijn ingericht en daadwerkelijk werken zoals afgesproken. Klanten, toezichthouders en samenwerkingspartners vragen daarbij steeds vaker om een onafhankelijk oordeel.
Met ISAE 3000 laat je onafhankelijk vaststellen of vooraf vastgestelde criteria daadwerkelijk worden nageleefd. Een ISAE 3000 wordt onder andere ingezet voor:
- DigiD-assessments;
- WCAG-onderzoeken;
- privacy- en AVG-vraagstukken;
- assurance rondom NIS2-maatregelen;
- DORA-gerelateerde assurance;
- leveranciersverklaringen;
- maatwerk assurance-opdrachten.
Juist doordat ISAE 3000 flexibel toepasbaar is, wordt deze standaard vaak ingezet wanneer bestaande normen of certificeringen onvoldoende aansluiten op de situatie van jouw organisatie.
Waarvoor wordt een ISAE 3000 gebruikt?
Een ISAE 3000 wordt ingezet wanneer je onafhankelijk wilt aantonen dat processen, systemen of beheersmaatregelen voldoen aan vooraf vastgestelde eisen. Omdat de standaard breed toepasbaar is, wordt deze gebruikt voor uiteenlopende assurance-opdrachten waarbij bestaande normen of certificeringen niet altijd voldoende aansluiten.
Een ISAE 3000 audit kan onder andere worden toegepast voor:
Digitale overheid en wet- en regelgeving
Informatiebeveiliging en IT-beheer
- toegangsbeheer;
- logging en monitoring;
- change management;
- incidentmanagement;
- leveranciersbeheer;
- softwareontwikkeling.
Maatwerk assurance-opdrachten
- specifieke klantvragen;
- leveranciersverklaringen;
- interne beheersmaatregelen;
- sectorspecifieke normenkaders.
Omdat iedere organisatie en vraagstelling anders is, wordt een ISAE 3000 audit altijd ingericht op basis van het doel van de assurance-opdracht en de criteria die vooraf zijn vastgesteld.

Hoe verloopt een ISAE 3000 traject?
Een ISAE 3000 is altijd maatwerk. Samen bepalen we eerst wat er precies getoetst moet worden en welke criteria daarbij horen. Vervolgens beoordelen onze auditoren of de afgesproken processen, systemen en beheersmaatregelen aanwezig zijn en functioneren zoals bedoeld. Een ISAE 3000 kan bijvoorbeeld aansluiten op een ISO-managementsysteem of een ander assurance-vraagstuk.
Een ISAE 3000 verloopt meestal in vier stappen:
1. Scope en criteria bepalen
We bespreken de doelstelling van de audit en leggen vast wat er wordt onderzocht. Daarbij bepalen we welke processen, systemen of beheersmaatregelen onderdeel zijn van de assurance-opdracht.
2. Documentatie beoordelen
Onze auditoren beoordelen de beschikbare documentatie en verzamelen de benodigde informatie om inzicht te krijgen in de inrichting van de organisatie. Wanneer de assurance-opdracht betrekking heeft op een ISO-managementsysteem, nemen we ook de relevante documentatie daarvan mee in de beoordeling.
3. Toetsing uitvoeren
We toetsen of de afgesproken maatregelen daadwerkelijk aanwezig zijn en werken zoals bedoeld. Dit doen we onder andere door interviews, dossieronderzoek en het beoordelen van bewijsstukken.
4. Rapportage opleveren
De bevindingen worden vastgelegd in een onafhankelijk assurance-rapport. Hiermee kun je richting klanten, toezichthouders en andere betrokken partijen aantonen dat de afgesproken criteria zijn beoordeeld.
De exacte invulling van een ISAE 3000 audit verschilt per organisatie en onderwerp. Juist die flexibiliteit maakt de ISAE 3000-standaard geschikt voor uiteenlopende assurance-vraagstukken.
Wat is het verschil tussen ISAE 3000 en ISAE 3402?
Hoewel beide standaarden worden gebruikt voor onafhankelijke assurance-opdrachten, hebben ze een ander doel.
ISAE 3402 is bedoeld voor organisaties die diensten uitvoeren voor klanten en waarbij die dienstverlening invloed kan hebben op de interne beheersing van de klant. Denk bijvoorbeeld aan salarisverwerking, hostingdiensten of andere uitbestede bedrijfsprocessen. De audit richt zich op de beheersmaatregelen binnen deze dienstverlening.
ISAE 3000 is breder toepasbaar en wordt gebruikt voor assurance-opdrachten buiten de financiële verslaggeving. Hiermee kun je onafhankelijk aantonen dat processen, systemen of beheersmaatregelen voldoen aan vooraf vastgestelde eisen. Denk bijvoorbeeld aan DigiD-assessments, WCAG-onderzoeken, privacyvraagstukken, DORA, NIS2-maatregelen of andere maatwerk assurance-opdrachten. De uitkomst wordt vastgelegd in een onafhankelijk ISAE 3000-rapport met een assuranceverklaring, waarmee je richting klanten, toezichthouders en andere betrokken partijen kunt aantonen dat de afgesproken criteria zijn beoordeeld.
Het belangrijkste verschil is dat ISAE 3402 specifiek gericht is op uitbestede dienstverlening, terwijl ISAE 3000 juist flexibel inzetbaar is voor uiteenlopende onderwerpen en vraagstukken. Welke standaard het beste past, hangt af van het doel van de audit, de verwachtingen van klanten en de zekerheid die je wilt bieden aan klanten, toezichthouders of andere betrokken partijen.
Wat kost een ISAE 3000 traject?
Een van de meest gestelde vragen is wat een ISAE 3000 traject kost. Een eenduidig antwoord is daar niet op te geven, omdat iedere assurance-opdracht anders is.
De benodigde inspanning hangt onder andere af van:
- het onderwerp van de audit;
- de omvang van de organisatie;
- het aantal processen en systemen binnen scope;
- de complexiteit van het normenkader;
- de beschikbaarheid van documentatie en bewijsvoering.
Een ISAE 3000 audit voor een DigiD-assessment vraagt bijvoorbeeld om een andere aanpak dan een assurance-opdracht rondom WCAG, NIS2 of een sectorspecifiek normenkader.
Op basis van onze ervaring zien we dat veel organisaties vooral behoefte hebben aan duidelijkheid vooraf. Daarom brengen we de scope, verwachtingen en benodigde werkzaamheden eerst gezamenlijk in kaart. Op basis daarvan ontvang je een transparante offerte zonder verrassingen achteraf.
Door vooraf heldere afspraken te maken over de scope en planning blijft de audit beheersbaar en voorkom je onnodige kosten. Bovendien zorgt een goede voorbereiding er vaak voor dat de benodigde inspanning aanzienlijk lager uitvalt.
