ISO 27001 interne audit uitbesteden of zelf doen?
Kort antwoord: zelf doen lijkt goedkoper, maar kost door interne uren, bedrijfsblindheid en het objectiviteitsvereiste vaak méér dan uitbesteden. De norm verbiedt bovendien dat u uw eigen werk auditeert. Voor de meeste organisaties is een onafhankelijke auditor inhuren voordeliger én objectiever. Hieronder vergelijken we beide opties en laten we zien waar u op let bij het kiezen van een auditpartner.
Vergelijking in één tabel
| Aspect | Zelf doen | Uitbesteden |
|---|---|---|
| Objectiviteit | Lastig: u mag eigen werk niet beoordelen | Hoog: onafhankelijke blik |
| Kosten (indicatief) | Schijnbaar laag, maar interne uren + risico lopen vaak op | Vooraf duidelijk, per traject |
| Tijd intern team | Hoog | Laag |
| Slagingskans certificatieaudit | Wisselend | Hoger (vreemde ogen dwingen) |
Genoemde marktindicaties variëren per aanbieder en scope; vraag altijd een offerte op maat.
Waarom objectiviteit het zwaarst weegt
Certificerende instellingen eisen dat de interne audit onpartijdig is: de auditor mag niet zijn eigen werk of proces beoordelen. In kleine teams is die scheiding lastig te organiseren. Een ingehuurde Lead Auditor lost dat op en voorkomt bedrijfsblindheid.
Wanneer is zelf doen wél logisch?
Heeft u een volwassen ISMS, een aparte, gekwalificeerde interne auditfunctie die los staat van de proceseigenaren, en genoeg capaciteit? Dan kunt u (een deel van) de interne audits zelf doen. Veel organisaties kiezen voor een mix: zelf de routine, extern de jaarlijkse onafhankelijke toetsing en de pre-audit.
Waar let u op bij het kiezen van een auditpartner?
- Aantoonbare auditervaring en kwalificaties (ISO 19011, Lead Auditor).
- Onafhankelijkheid — toetst niet het eigen advieswerk.
- Branche- en contextkennis — geen generieke aanpak.
- Heldere rapportage die management én techniek begrijpen.
- Transparantie over werkwijze en planning — wees alert op wie "certificering in een paar weken" belooft zonder analyse.
Ons advies
Voor de meeste MKB-organisaties is uitbesteden van de interne audit en pre-audit de verstandigste keuze: objectiever, minder belastend en een hogere slagingskans. Bekijk onze interne audit, de ISO 27001 audit en Lead Auditor inhuren.
ISO 19011 — richtlijnen voor auditen (officiële bron).
Veelgestelde vragen
Korte, directe antwoorden — geschreven voor mensen én voor AI-zoekfuncties.
Op papier vaak wel, maar in de praktijk valt het tegen. Interne uren, gebrek aan routine, bedrijfsblindheid en het risico op afwijidingen tijdens de certificatieaudit maken zelf doen regelmatig duurder dan uitbesteden. Bovendien mag de interne auditor niet zijn eigen werk beoordelen, wat de inzetbaarheid beperkt.
Het is niet verplicht om uit te besteden, maar het mag wel, en het verhoogt de objectiviteit. De norm verplicht alleen dat de interne audit onpartijdig wordt uitgevoerd door iemand die niet zijn eigen werk beoordeelt. Een onafhankelijke externe auditor voldoet daar per definitie aan.
Dat verschilt per aanbieder, scope en omvang van de organisatie. Marktindicaties lopen uiteen; in plaats van een richtprijs te geven die niet bij uw situatie past, maken wij een inschatting op maat tijdens een vrijblijvende audit-scan.
Let op aantoonbare auditervaring en kwalificaties (ISO 19011), echte onafhankelijkheid, branche- en contextkennis, heldere rapportage voor zowel management als techniek, en transparantie over werkwijze. Wees voorzichtig met partijen die snelle certificering beloven zonder grondige analyse.
Wilt u weten of u audit-ready bent?
Plan een vrijblijvende audit-scan en weet binnen één gesprek waar u staat en wat de volgende stap is.
