ISAE 3000.
Assurance op niet-financiële beheersmaatregelen.
Wat is het?
ISAE 3000 is de internationale standaard voor assurance-opdrachten over andere onderwerpen dan financiële cijfers: denk aan privacy en AVG, informatiebeveiliging, IT-beheer, ESG-data of leveranciersrisico. Je krijgt een onafhankelijk oordeel, als Type I (opzet en bestaan) of Type II (werking over een periode). Zo geef je aantoonbaar zekerheid over een specifiek thema, zonder dat elke belanghebbende zelf een onderzoek hoeft te doen.
Voor wie?
Voor organisaties die aantoonbaar zekerheid willen geven aan een toezichthouder, klant of Raad van Commissarissen over een specifiek thema dat buiten de jaarrekening valt. Vaak zijn dit organisaties die met gevoelige data of kritische processen werken en dat onafhankelijk willen laten bevestigen.
Wat het oplevert.
- Een onafhankelijk assurance-rapport (Type I of Type II) over het gekozen onderwerp
- Aantoonbare zekerheid voor toezichthouders, klanten of de Raad van Commissarissen
- Concrete bevindingen en verbeterpunten in begrijpelijke taal
- Een management letter met onze observaties en aanbevelingen
Onze aanpak.
-
Kennismaking & scoping
We beginnen met een kennismaking en bepalen samen de scope: wat hoort erbij en wat niet.
-
Offerte
Op basis van de scope stellen we een heldere offerte op, met een vaste prijs en een duidelijke aanpak.
-
Kick-off
Zodra de offerte getekend is, starten we met een kick-off waarin we de exacte tijdlijnen en aanpak afstemmen.
-
Systeembeschrijving beoordelen
We beoordelen de systeembeschrijving (sectie III van de rapportage) op juistheid en volledigheid: geeft die een getrouw beeld van de dienstverlening en de omgeving?
-
Normenkader toetsen
We toetsen het normenkader op volledigheid en of de controls op een juiste, toetsbare wijze zijn beschreven.
-
Toetsing
Na jouw akkoord op het normenkader toetsen we de beheersmaatregelen en verzamelen we het onderbouwende bewijs.
-
Rapportage
We stellen een heldere rapportage op met ons onafhankelijke oordeel en de bevindingen.
-
Presentatie & evaluatie
We bespreken de rapportage en evalueren samen het traject, zodat een volgende audit nog soepeler verloopt.
Veelgestelde vragen.
- Wat is het verschil tussen Type I en Type II?
- Type I beoordeelt de opzet en het bestaan van de beheersmaatregelen op één moment; Type II beoordeelt daarnaast de werking over een periode, meestal 6 tot 12 maanden.
- Waarover kan een ISAE 3000-rapport gaan?
- Over vrijwel elk niet-financieel onderwerp: privacy en AVG, informatiebeveiliging, IT-beheer, ESG-data of leveranciersrisico. We bepalen samen de scope en het normenkader.
- Hoe lang duurt een ISAE 3000-traject?
- Dat hangt af van de scope en het type. Een Type I is doorgaans sneller; een Type II loopt over de gekozen observatieperiode. In de offerte leggen we tijdlijn en prijs vooraf vast.