Interne audit programma
Interne audits bij YipYip hebben drie doelen:
- Vaststellen dat er gewerkt wordt volgens de vastgelegde procedures
- Vormen van bewustzijn bij medewerkers
- Verbeteren van processen
Audit-programma
De IB-coördinator stelt een jaarplanning op. Processen met een groot afbreukrisico worden vaker geaudit. Alle clausules en een representatieve selectie controls worden binnen een auditcyclus van maximaal 3 jaar volledig gedekt.
Jaarplanning
| Kwartaal | Focus | Scope |
|---|---|---|
| Q1 | Clausules 4–6 | Context, leiderschap, planning |
| Q2 | Clausules 7–8 | Ondersteuning, uitvoering |
| Q3 | Controls (selectie) | Annex A + NEN7510 (risicogestuurd) |
| Q4 | Clausules 9–10 + follow-up | Evaluatie, verbetering, eerdere bevindingen |
Auditcriteria
- ISO 27001:2022 (clausules 4–10, Annex A)
- NEN7510:2024 (zorgspecifieke eisen)
- Eigen ISMS-beleid en -procedures
- Relevante wet- en regelgeving (AVG)
Auditor
YipYip huurt een externe interne auditor in met kennis van ISO 27001 en NEN7510. De auditor is onafhankelijk van de geauditeerde processen en krijgt geen directe toegang tot informatiesystemen — de auditor kijkt mee met medewerkers maar heeft geen eigen accounts.
De directie is verantwoordelijk voor het aanstellen van de auditor.
Audit-proces
- Planning — scope, criteria, team, auditplan
- Voorbereiding — documentatie-review, checklist, interviews plannen
- Uitvoering — opening meeting, bewijs verzamelen, bevindingen vastleggen, closing meeting
- Rapportage — rapport met bevindingen, classificatie, actielijst
- Follow-up — correctieve acties monitoren, verificatie afronding
Classificatie bevindingen
| Type | Afkorting | Beschrijving | Actie |
|---|---|---|---|
| Tekortkoming | TK | Serieuze afwijking van procedure of norm | Correctieve actie verplicht (kort termijn) |
| Aanbeveling | AV | Verbeterpunt, geen non-conformiteit | Verbeteractie (lagere prioriteit) |
| Positief | — | Goede praktijk | Vastleggen |
Opvolging
Bevindingen worden geregistreerd in Jira met actiehouder, einddatum en status. De IB-coördinator bewaakt de opvolging. Workflow: Open → In behandeling → Opgelost → Geverifieerd → Gesloten.
Rapportage
Audit-rapporten worden opgeslagen in 06-evaluatie/9.2-interne-audit/audits/ met naamgeving YYYY-QX-scope-audit-rapport.md. Template: templates/audit-template.md.
Evaluatie
Het audit-programma wordt jaarlijks geëvalueerd:
- Dekking van alle clausules en controls
- Effectiviteit van audits
- Competentie auditor
- Input voor de directiebeoordeling
Huidige status
De eerste interne audit is gepland voor 2026. De auditor is nog niet aangesteld.
Gerelateerde controls
| Control | Onderwerp | Status |
|---|---|---|
| 5.35 | Onafhankelijke beoordeling | implemented |
| 5.36 | Naleving | implemented |
Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-29