ISAE 3000 criteria

ISAE 3000 is de standaard voor alle audits of reviews anders dan audits die betrekking hebben op historische financiële informatie. ISAE 3000 is gebaseerd op criteria, een auditor test of de informatie (een duurzaamheidsrapport of een beschrijving van het control framework) compliant is met de relevante vastgestelde criteria. Een audit biedt in redelijke mate zekerheid over dat aan deze criteria wordt voldaan; een review biedt hierin beperkte assurance.

Security beleid

Als ISAE 3000 wordt toegepast als informatie over het security framework van een organisatie, dan kan ISAE 3000 de COBIT 5.0 richtlijnen als best practices gebruiken voor het bepalen van de criteria van de security. Dit impliceert dat het security framework ook moet voldoen aan de security principes in de COBIT 5.0 richtlijnen. De auditor moet dit beoordelen en controleren. In een ISO 27001 audit wordt het security framework niet gecontroleerd op die richtlijnen maar op de eisen die worden gesteld in ISO 27001. Dit impliceert dat het security beleid van ISAE 3000 moet leiden tot een security doel (het niet verliezen van kritieke data), terwijl bij een ISO 27001 er een security beleid moet zijn. Als dit beleid niet leidt tot het voorkomen van verlies van kritieke data dan zouden de eisen gesteld in ISO 27001 nog steeds behaald zijn.

  • Relevant. Informatie die ondersteunend is bij het maken van beslissingen door de beoogde gebruikers, wordt gezien als relevant.
  • Compleet. Wanneer informatie wordt opgesteld in overeenkomst met de criteria mag niet-relevante informatie weggelaten worden. Criteria die volledig zijn bevatten benchmarks voor informatieverschaffing en presentatie.
  • Betrouwbaar. Criteria die als consistent worden beschouwd zouden door verschillende beoefenaars tot dezelfde conclusies moeten leiden.
  • Neutraliteit. Informatie over het onderwerp is vrij van vooroordeel en passend in de omstandigheden.
  • Concreet. Informatie die kan worden begrepen door de beoogde gebruiker van de informatie, wordt gezien als concrete informatie.


Selectiecriteria voor een ISAE 3000 rapportage

In ISAE 3000 is er geen criteria verplicht voor de standaard zelf. ISAE 3000 is een methode voor het vaststellen van assurantie met betrekking tot non-financiële informatie. De criteria die van toepassing is op ISAE 3000 kan worden geselecteerd op verschillende manieren:

  • Uitgegeven door geautoriseerde instanties, zoals Solvency II of Basel II;
  • Vastgelegd in wet en regelgeving;
  • Collectief ontwikkeld door een groep;
  • Speciaal ontworpen met het doel van het voorbereiden van de informatie over het onderwerp.
ISAE 3000 rapportage criteria

De beoogde gebruiker zou moeten kunnen begrijpen hoe het onderwerp is gemeten of geëvalueerd, hierom moet de criteria beschikbaar worden gesteld voor alle beoogde gebruikers. Deze criteria kan beschikbaar worden gesteld door:

  • Het publiceren van de criteria;
  • Opnemen in de presentatie over het onderwerp;
  • Algemeen begrip;
  • Opnemen in het assurancerapport.
Geprononceerde criteria ISAE 3000

Geprononceerde criteria die zijn uitgegeven door erkende of geautoriseerde instanties van experts volgen een transparant en eerlijk proces. In dit proces onderzoekt de relevante instantie of de criteria relevant is voor de behoefte van de gebruikers.