De interne audit is een van de meest onderschatte stappen in het ISO 27001-implementatieproces. Veel organisaties beschouwen het als een verplicht nummertje — een formaliteit voor de externe auditor. Dat is een kostbare misvatting. Een goed uitgevoerde interne audit is je beste kans om zwakke plekken te ontdekken vóór de externe auditor dat doet, én om te bewijzen dat je ISMS daadwerkelijk werkt.
In dit artikel lees je hoe je de interne audit plant, uitvoert en rapporteert conform de eisen van ISO 27001 — en hoe je er als MKB-organisatie maximaal voordeel uit haalt.
Wat vereist ISO 27001?
Clausule 9.2 van ISO 27001 stelt dat je interne audits moet uitvoeren om te beoordelen of je ISMS:
- Voldoet aan de eisen van de norm zelf
- Voldoet aan je eigen ISMS-vereisten
- Effectief geïmplementeerd en onderhouden is
Je bent verplicht om een auditprogramma op te stellen, auditors te benoemen die onafhankelijk zijn van het geauditeerde gebied, en de auditresultaten te documenteren. De norm schrijft geen specifieke frequentie voor, maar in de praktijk voert je de interne audit minimaal één keer per jaar uit — bij voorkeur enkele maanden vóór de externe audit.
Het auditprogramma opstellen
Een auditprogramma is je meerjarenplan voor interne audits. Het omschrijft welke ISMS-gebieden wanneer worden geaudit, door wie, en met welke methode. Voor een MKB-organisatie is een jaarlijks auditprogramma doorgaans voldoende.
Je auditprogramma bevat minimaal:
| Element | Omschrijving |
|---|---|
| Auditdoelstellingen | Wat wil je bereiken met de audit? |
| Auditcriteria | Op basis van welke norm/eisen wordt geaudit? |
| Auditfrequentie | Hoe vaak per jaar? |
| Auditscope | Welke processen, afdelingen, locaties? |
| Verantwoordelijke | Wie coördineert het auditprogramma? |
| Auditors | Wie voert de audits uit? |
Tip: Risicogebieden verdienen een hogere auditfrequentie. Als je risicoanalyse aantoont dat toegangsbeheer een hoog risico is, audit dit gebied dan vaker dan de laag-risico gebieden.
Wie mag de interne audit uitvoeren?
ISO 27001 stelt dat auditors objectief en onpartijdig moeten zijn. Dat betekent niet dat je per se een externe partij moet inschakelen — het betekent wel dat iemand niet zijn eigen werk mag auditeren.
Praktische opties voor MKB:
- Een medewerker van een andere afdeling die is opgeleid als interne auditor
- Een collega-organisatie waarmee je auditors uitwisselt
- Een externe freelance auditor (lagere kosten dan een volledig auditbureau)
Laat je interne auditor een basiscursus interne auditing volgen. ISO 19011 is de internationale standaard voor auditrichtlijnen en een goede basis voor auditortraining.
De auditvoorbereiding
Een gedegen voorbereiding bepaalt voor 70% het succes van de audit. Bereid het volgende voor:
Auditplan opstellen Stel per auditdag een gedetailleerd auditplan op: welke clausules en controls worden onderzocht, welke medewerkers worden geïnterviewd, welke documenten worden bekeken.
Auditchecklist samenstellen Een auditchecklist helpt de auditor om systematisch te werk te gaan. Maak per clausule en per relevante Annex A-control een lijst van vragen en te controleren bewijzen.
Documenten verzamelen Zorg dat de auditor tijdig toegang heeft tot de relevante beleidsdocumenten, procedures, registraties en het risicobehandelplan.
De audit uitvoeren
Een interne audit bestaat doorgaans uit drie fasen:
Openingsgesprek
Start elke auditdag met een korte openingsgesprek. De auditor legt uit wat het doel is, hoe de dag verloopt en wat er met de bevindingen gebeurt. Dit reduceert spanning bij geauditeerde medewerkers.
Interviews en documentreview
De kern van de audit bestaat uit interviews met medewerkers en het beoordelen van documenten en technische bewijzen. Goede auditvragen beginnen met “Hoe werkt het bij je in de praktijk?” in plaats van “Heb je policy X?”. De praktijk is leidend — een papieren policy zonder praktische toepassing is geen bewijs van compliance.
Sluitingsgesprek
Aan het einde van de auditdag presenteert de auditor de voorlopige bevindingen. Geef je de geauditeerde partij de kans om feitelijke onjuistheden te corrigeren vóór het rapport definitief wordt.
Bevindingen classificeren
Auditbevindingen worden doorgaans in drie categorieën ingedeeld:
| Categorie | Omschrijving | Actie vereist? |
|---|---|---|
| Non-conformiteit (major) | Ernstige afwijking van de norm | Ja, vóór certificering |
| Non-conformiteit (minor) | Beperkte afwijking van de norm | Ja, binnen afgesproken termijn |
| Observatie | Potentieel verbeterpunt zonder directe afwijking | Aanbevolen |
Non-conformiteiten vereisen een corrigerende maatregel: een analyse van de grondoorzaak (root cause analysis), een actieplan en bewijs van implementatie.
Het auditrapport opstellen
Het auditrapport is het formele bewijs dat de interne audit heeft plaatsgevonden. Een goed rapport bevat:
- Datum, scope en doelstelling van de audit
- Namen van auditor(s) en geauditeerde medewerkers
- Gebruikte auditcriteria en -methoden
- Overzicht van bevindingen per categorie
- Actiepunten met verantwoordelijke en deadline
- Handtekening van de auditverantwoordelijke
Bewaar het rapport zorgvuldig — de externe auditor wil het inzien als bewijs dat je clausule 9.2 heeft nageleefd.
Veelgestelde vragen
Hoe ver van tevoren voer ik de interne audit uit? Plan de interne audit minimaal 4 tot 8 weken vóór de externe (certificerings)audit. Zo heb je tijd om gevonden non-conformiteiten op te lossen voordat de externe auditor langskomt.
Wat als er geen non-conformiteiten worden gevonden? Dat is onwaarschijnlijk bij een eerste interne audit, maar niet onmogelijk. Een externe auditor kan echter sceptisch zijn als er geen enkele bevinding is — het suggereert dat de audit niet grondig genoeg was. Observaties zijn altijd wel te vinden.
Mag ik de interne audit uitstellen? Niet zonder risico. Als de externe auditor vaststelt dat je de interne audit niet op tijd heeft uitgevoerd, is dat zelf een non-conformiteit.
Een goed voorbereide interne audit is geen bureaucratische last — het is een investering in de kwaliteit van je ISMS. Control One biedt gestructureerde auditchecklists en automatische documentopslag voor al je auditbewijzen.
Ontdek hoe Control One je interne audit vereenvoudigt. Bekijk onze prijzen en pakketten.
Klaar om te starten met ISO 27001?
Control One begeleidt je stap voor stap door het volledige implementatieproces. Van gap-analyse tot certificeringsaudit — inclusief alle templates en werkstromen.