De portfoliobenadering: bouwen aan een slimme audittoolset
AI is niet meer weg te denken uit onze samenleving en krijgt toenemende aandacht in bedrijfsleven en wetenschap. Tijdens de International Conference on Auditing and Artificial Intelligence van de Universiteit Duisburg deden wij, namens de IIA PPGAI, inzichten op. In dit tweeluik delen we onze ervaringen: dit keer de portfoliobenadering bij digitale transformatie. Het volgende deel gaat over de verschuiving naar generative AI.
Tijdens de 2nd International Conference on Auditing and Artificial Intelligence in Duisburg lieten Volkswagen en Deutsche Telekom zien hoe een duidelijke portfoliobenadering zorgt voor focus, transparantie en wendbaarheid. Hun boodschap was eensgezind: digitale volwassenheid gaat niet over méér tools, maar over de juiste balans tussen structuur, governance en innovatie. Ook in Nederland worstelen auditafdelingen met vergelijkbare uitdagingen. De vraag is hoe deze internationale best practices vertaald kunnen worden naar de Nederlandse auditpraktijk. In dit artikel focussen we op hoe Volkswagen, Deutsche Telekom en Meta impact structuur en richting brengen in hun digitale audittransformatie.
Van losse initiatieven naar samenhang en richting
Op veel auditafdelingen ontstaan digitale initiatieven vanuit enthousiasme. Teams ontwikkelen dashboards, scripts of proof-of-concepts die allemaal waardevol lijken, maar zelden goed op elkaar aansluiten. Het gevolg: versnippering, overlap en gebrek aan focus. Tobias Machus, head of the Center of Competence for Strategic Operations & Digital Solutions bij Group Audit, Volkswagen AG, herkende het beeld van gefragmenteerde oplossingen binnen organisaties. Volgens hem bestonden er her en der al oplossingen, maar waren die niet echt doelgericht: “We had solutions here and there, but it was not really targeted. We have to look at the whole process, see what already works well, and decide where we need to improve.”
Om die versnippering tegen te gaan, introduceerde Volkswagen een gestructureerde aanpak waarbij transparantie centraal kwam te staan. Machus benadrukt het belang daarvan: “If we want to create new solutions, transparency is key. That’s why we created a standardized approval and monitoring process.” Door processen te standaardiseren en beter te monitoren, werd het mogelijk om gerichter te verbeteren en innovatie te stimuleren (zie figuur 1).
Zo ontstond een raamwerk waarin elke tool of innovatie wordt getoetst aan strategie, bestaande systemen of functionaliteiten. Daarmee legde Volkswagen de basis voor een volwassen portfoliobenadering, een systematische manier om innovatie te sturen.
De auditfunctie als portfolio-organisatie
Volkswagen bracht de volledige auditcyclus in kaart – van planning en veldwerk tot rapportage en follow-up – en koppelde die aan twintig kernvaardigheden, die zij audit capabilities noemen. Ofwel, bepaalde auditactiviteiten die door middel van functionaliteit van een applicatie en/of systeem afgedekt worden, soms ook door meerdere. Per capability werd vastgesteld:
• welke tools al beschikbaar zijn;
• waar overlap of hiaten bestaan;
• welke nieuwe investeringen waarde toevoegen.
Zo ontstond er een levend portfolio van tools, processen en competenties in de vorm van een matrix (zie figuur 2). Het overzicht helpt bij prioritering van mogelijke investeringen, voorkomt wildgroei in keuzen en maakt het mogelijk om die investeringen te koppelen aan strategische doelen.
Machus benadrukt bovendien dat het ontwikkelde portfolio geen statisch overzicht is, maar een dynamisch en levend instrument dat meebeweegt met de organisatie. “At the moment it’s 20 capabilities; maybe next year it will be 18 or 22. It’s evolving. The key is that everything happens in a structured way.” Deze flexibiliteit binnen een gestructureerd kader maakt het mogelijk om continu te blijven optimaliseren.
Van structuur naar snelheid
Volkswagens portfolioaanpak is niet bedoeld als controlemechanisme, maar als versneller. Door voor elk initiatief een gestandaardiseerde cyclus van goedkeuring en feedback te doorlopen, ontstaat een continu leerproces. Een groep van experts beoordeelt nieuwe ideeën snel, waardoor innovatie niet verstrikt raakt in overleg en afwachtende houding, maar juist beweegt binnen duidelijke grenzen.
De aanpak raakt niet alleen de technologie, maar ook het gedrag. Auditors worden gestimuleerd om kwaliteit boven snelheid te stellen. Zoals Machus aangaf: “We need to incentivize the right things. Not short audits, but good audits.” Volkswagen past de portfoliobenadering ook toe op de menselijke dimensie: niet alleen tools, maar ook talent, opleidingsprogramma’s en prikkels worden periodiek geëvalueerd. Portfoliomanagement raakt ook de mens, niet alleen technologie.
Deutsche Telekom: streven naar consistentie
Waar Volkswagen de nadruk legt op structuur, laat Deutsche Telekom zien hoe een helder portfolio leidt tot tastbare resultaten. Patrick Beyer, vice president Advanced IT & Technology Audits, blikte terug op de start van hun digitale transformatie: “In 2021, we had close to zero digitalization in Group Audit. Maybe this sounds familiar, but it’s the honest truth.”
De eerste fase was chaotisch: tal van losse projecten werden gestart zonder coördinatie. “Digitalization in audit is like Groundhog Day,” grapte Beyer. “You start something, but the next day feels like the day before.” Door strakkere governance en prioritering in te voeren, kreeg de auditafdeling weer grip. Elk initiatief moest passen binnen het centrale auditportfolio.
De kroon op het werk is ‘Wingman’, een eigen AI-oplossing die historische auditdata analyseert en automatisch conceptrapporten opstelt. Wat begon als een kleinschalig experiment groeide uit tot een geïntegreerde oplossing die de efficiëntie en kwaliteit van audits merkbaar verhoogt. In 2025 werd de digitale auditaanpak van Deutsche Telekom bekroond met een Innovatie Award – een bewijs dat structuur en creativiteit elkaar kunnen versterken.
Patrick Beyer, Deutsche Telekom AG: “Digitalization in audit is like Groundhog Day”
Een portfolio die leeft
Deutsche Telekom beschouwt zijn AI-tools als producten met een korte levenscyclus, waarbij het onderhoud en verdere ontwikkeling niet mag worden vergeten. Elke zes maanden wordt het gebruik, de veiligheid en de technologische basis geëvalueerd. “Maintenance is not an afterthought,” aldus Beyer. Deze aanpak voorkomt veroudering en houdt de digitale audit voortdurend actueel. Een tweede les: succes vraagt ook om durven schrappen. Deutsche Telekom leerde dat consolidatie essentieel is: minder tools, meer interoperabiliteit. Een volwassen portfolio betekent ook te durven kiezen en stoppen. Ten slotte is vertrouwen de sleutel. Auditors moesten leren hun wingman te vertrouwen; pas op dat moment veranderde gedrag in adoptie. Een portfolio is pas effectief als technologie en mens elkaar versterken.
Sturen op waarde in plaats van volume
Volkswagen en Deutsche Telekom tonen een gedeelde filosofie: digitale volwassenheid draait niet om het aantal tools, maar om de waarde die ze opleveren en het vermogen om keuzen te maken. Beide organisaties werken binnen duidelijke kaders en sturen op impact, effectiviteit en kwaliteit. Technologie is een middel om de auditor te versterken, niet te vervangen.
Een vergelijkbare aanpak is te zien bij Meta’s interne auditteam, dat tijdens dezelfde conferentie hun principe ‘build, reuse, leverage’ toelichtte:
1. Bouw alleen wat uniek is voor jouw organisatie.
2. Hergebruik waar mogelijk bestaande oplossingen.
3. Benut maximaal de AI-functionaliteit in bestaande systemen zoals Copilot of Gemini.
Zo groeit audittransformatie uit van een reeks losse projecten naar een doelgericht portfolio van samenwerkende oplossingen.
Tobias Machus, Volkswagen AG: “If we want to create new solutions, transparency is key”
Vijf lessen voor de praktijk
Op basis van onze inzichten uit Duisburg formuleerden we vijf praktische lessen om richting te geven aan auditfuncties die hun eigen digitale koers willen bepalen.
1. Denk in ecosystemen – Zie audit als een samenhangend systeem van mensen, processen en technologie.
2. Breng structuur aan – Werk met een capabilitymatrix die inzicht geeft in sterkten, zwakten en overlap.
3. Bouw governance in – Stel duidelijke criteria vast voor selectie, onderhoud en afbouw van tools.
4. Stimuleer adoptie – Investeer in opleiding en verandermanagement om draagvlak te creëren.
5. Begin klein en schaal slim op – Start met quick wins en gebruik die om momentum te bouwen.
De audittoolbox van morgen
De portfoliobenadering vraagt van sommige auditfuncties een andere mentale benadering dan hoe ze voorheen omgingen met technologie: innovatie is geen kwestie van meer, maar van gericht investeren in wat waarde toevoegt. Een volwassen auditfunctie ontwikkelt zich zo tot een portfolio-organisatie: wendbaar, transparant en lerend. Ze evalueert voortdurend welke oplossingen bijdragen aan risicobeheersing, efficiëntie en vertrouwen in de organisatie. Wat vandaag een experiment is, kan morgen een standaard zijn, of verdwijnen als het zijn waarde verliest. Zowel Volkswagen als Deutsche Telekom laten zien dat portfoliodenken niet eindigt bij toolselectie, maar juist begint bij onderhoud, adoptie en menselijk vertrouwen (zie tabel 3).
Terwijl bedrijven hun digitale portfolio’s verder verfijnen, dient de volgende fase zich al aan. De focus verschuift van tools naar AI-agents – zelflerende AI-systemen die actief meedenken met auditors. Een ontwikkeling die tijdens de conferentie al voorzichtig werd verkend, en die de komende jaren het auditen opnieuw zal vormgeven.
Tot slot
Digitale audittransformatie vraagt om richting en realisme. De ervaringen van Volkswagen en Deutsche Telekom tonen dat succes niet voortkomt uit technologie op zich, maar uit de kunst van het organiseren. De portfoliobenadering biedt daarvoor een stevig fundament. Het is een strategie die niet alleen de technologie beheersbaar maakt, maar ook de processen die de technologie ondersteunen. Voor de internal auditor betekent dit concreet:
• Start met een inventarisatie van je huidige toollandschap.
• Identificeer welke capabilities ontbreken of overlappen.
• Stel governancecriteria vast voordat je nieuwe tools aanschaft.
• Investeer evenveel in adoptie als in technologie.
De portfoliobenadering is geen luxe meer, maar een noodzaak om richting te geven aan de digitale audittransformatie.
Over
Floris Stokkers CIA CISA is senior internal auditor bij InAudit BV en vervult de IAF bij pensioenfondsen en verzekeraars. Hij is actief in verschillende commissies binnen het IIA, waaronder de Professional Practices Network Group AI. Stokkers volgt de EMITA-opleiding aan TIAS.
Imran Nashir MSc RE CISSP is senior auditmanager bij KPN en docent bij de post-hbo-opleiding Internal Auditing aan de Haagse Hogeschool. Hij is lid van de AI Advisory Group van IIA Global en van de commissie Vaktechniek van IIA Nederland.
Simon Mars MSc RO is auditmanager bij ASN Bank. Daarvoor werkte hij bij Svenska Handelsbanken en Rabobank. Hij is redactielid van Audit Magazine en lid van de IIA Professional Practices Network Group AI.
Reacties (0)
Lees meer over dit onderwerp:
AI als tool voor de auditor
Peter Hartog in gesprek met Simon Mars (audit supervisor bij de Volksbank) en Björn Walrave (partner bij Ferocia en hoofdredacteur van Audit Magazine) over AI als tool voor de auditor.
Lees meerGrip op artificial intelligence
Artificial intelligence (AI) is al lang geen sciencefiction meer en wordt steeds meer een integraal onderdeel van bedrijfsprocessen, zo ook in de financiële sector. Van welke aandachtspunten moet je je nu bewust zijn bij het inzetten van AI in je organisatie? Hoewel de studie constateert dat het gebruik van AI, en meer specifiek machine learning, […]
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.