De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’ en betreft een internationale standaard. Een ISAE 3000-rapport is gericht op de beheersing van IT processen.

De NOREA richtlijn 3000 kent 2 varianten; de 3000D voor Directe opdrachten en de 3000A voor Attest opdrachten. Bij Directe-opdrachten, meet of evalueert de IT-auditor het onderzoeksobject ten opzichte van criteria. Deze criteria worden veelal ingegeven door Toezichthoudende partijen (zie Third Party Mededelingen (TPM) op basis van de Richtlijn ISAE 3000D). Ook serviceorganisaties of leveranciers kunnen kiezen voor een 3000D assurance rapport. In dat geval bepaald de serviceorganisaties of leveranciers de criteria waarop het Assuranceonderzoek plaatsvindt.

Attest-opdrachten bevatten een verplichte ‘systeembeschrijving’ en het ‘controleraamwerk’, de beheersingsdoelstellingen en -maatregelen, dient tot stand te komen op basis van een (rationele) risicoanalyse.