Van losse GenAI-pilots naar auditstrategie – Deel II

Generatieve AI beweegt zich in hoog tempo van experiment naar werkpraktijk. Ook internal audit krijgt hier steeds nadrukkelijker mee te maken. Daarmee verschuift de vraag van óf GenAI relevant is naar hóe internal audit deze technologie slim, veilig en met zichtbaar resultaat inzet. Deel I van dit tweeluik ging over de portfoliobenadering bij digitale transformatie. Deel II beschrijft de strategie om GenAI succesvol in te zetten.

Wie GenAI wil inzetten binnen internal audit, doet er verstandig aan niet bij de tool te beginnen, maar bij de bedoeling. Dat klinkt niet heel spectaculair, maar juist daar ontstaat het verschil tussen een pilot en een echte verandering in de auditpraktijk. Een auditfunctie die zonder richting met GenAI experimenteert, krijgt al snel te maken met losse toepassingen, wisselende kwaliteit en onduidelijkheid over de meerwaarde. Een auditfunctie die eerst bepaalt waar GenAI aan moet bijdragen, vergroot de kans op blijvend effect.

Goede strategie

Die strategische vraag begint bij de rol van internal audit zelf. Wat verwachten de belangrijkste stakeholders van de auditfunctie? Meer snelheid? Meer diepgang? Meer advisering? Of juist meer flexibiliteit in een omgeving waarin risico’s sneller veranderen dan voorheen? GenAI kan op al die terreinen iets betekenen, maar niet alles tegelijk en zeker niet automatisch. Daarom vraagt een goede strategie om scherpe keuzen.

Efficiëntie en effectiviteit

Voor veel auditfuncties zal efficiëntie het eerste aangrijpingspunt zijn. Denk aan het samenvatten van beleidsdocumenten, het voorbereiden van interviews, het structureren van observaties of het opstellen van een eerste concept van een werkprogramma. Dit zijn toepassingen die relatief snel tastbare tijdswinst opleveren. Andere auditfuncties leggen de nadruk mogelijk eerder op effectiviteit: grotere hoeveelheden informatie verwerken, sneller patronen herkennen, bevindingen scherper formuleren of analyses verdiepen. In beide gevallen geldt dat GenAI pas waarde krijgt wanneer de toepassing bewust wordt gekoppeld aan een strategische doelstelling.

Capaciteit

Daarmee raakt GenAI ook aan een breder vraagstuk dat in veel auditfuncties speelt: capaciteit. De druk op internal audit neemt toe, terwijl budgetten en personele bezetting niet vanzelf meegroeien. Tegelijkertijd worden organisaties digitaler, complexer en afhankelijker van technologie. GenAI kan in dat krachtenveld fungeren als versterker van de bestaande auditcapaciteit. Niet als vervanger van professioneel oordeel, maar als hulpmiddel dat routinewerk verlicht en ruimte vrijmaakt voor interpretatie, dialoog en advies. Juist daarin zit voor veel CAE’s de strategische relevantie.

Auditors hoeven geen technici te worden, maar moeten wel begrijpen wat GenAI kan, waar de grenzen liggen en hoe zij effectieve vragen stellen

Een sterke GenAI-strategie vraagt daarom om een eerlijke blik op het huidige auditwerk. Welke activiteiten kosten veel tijd, maar voegen beperkt onderscheidend vermogen toe? Welke stappen in het auditproces lenen zich voor ondersteuning zonder dat onafhankelijkheid of zorgvuldigheid onder druk komt te staan? En waar zit de grootste kans op kwaliteitsverbetering? Wie deze vragen serieus beantwoordt, voorkomt dat GenAI verwordt tot een innovatieproject dat ver afstaat van de praktijk.

GenAI integraal onderdeel van de strategie

Het helpt om GenAI niet als apart verandertraject te behandelen. De technologie hoort thuis in de bredere strategie van de auditfunctie. Als internal audit de ambitie heeft om datagedrevener, wendbaarder of relevanter voor de business te worden, moet zichtbaar zijn hoe GenAI daaraan bijdraagt. Niet als losse toevoeging, maar als integraal onderdeel van de ontwikkelrichting.

Randvoorwaarden

Dat vraagt ook om duidelijke randvoorwaarden. Aan de menskant begint dat met digitale geletterdheid. Auditors hoeven geen technici te worden, maar moeten wel begrijpen wat GenAI kan, waar de grenzen liggen en hoe zij effectieve vragen stellen. De praktijk laat zien dat de kwaliteit van de uitkomst sterk samenhangt met de kwaliteit van de input. Prompten is geen trucje, maar een vaardigheid.

Aan de proceskant is samenwerking met IT, security en data governance essentieel. Internal audit moet weten wat binnen de organisatie is toegestaan, hoe met vertrouwelijke informatie moet worden omgegaan en welke technische of beleidsmatige beperkingen gelden. Ook de kwaliteit van de eigen kennisbronnen speelt een belangrijke rol. Wie GenAI wil inzetten op auditrapporten, risk-and-controlmatrices of methodologie, moet ervoor zorgen dat deze informatie bruikbaar, toegankelijk en gestructureerd is.

Tot slot vraagt een GenAI-strategie om governance. Wie bepaalt de prioriteiten? Wanneer is een pilot geslaagd? Welke toepassingen zijn toegestaan en onder welke voorwaarden? Hoe wordt geborgd dat uitkomsten controleerbaar blijven en altijd door een auditor worden gewogen? Op dit punt onderscheidt een volwassen auditfunctie zich van een groep enthousiaste gebruikers. Niet door minder te experimenteren, maar door experimenten te verankeren in duidelijke keuzen en heldere spelregels.

Van ambitie naar aanpak

Een strategie zonder roadmap geeft geen richting aan de uitvoering en het behalen van doelstellingen. Juist bij GenAI is dat risico groot. De technologie ontwikkelt zich snel, de verleiding tot experimenteren is groot en de druk om ‘iets met AI’ te doen neemt toe. Wie te snel wil, loopt het risico te blijven hangen in losse pilots, onduidelijk eigenaarschap en teleurstellende opbrengsten. Een roadmap brengt structuur en richting.

Stappen naar een gedegen roadmap

Voor internal audit hoeft zo’n roadmap niet ingewikkeld te zijn, maar wel logisch opgebouwd. Er zijn vijf stappen.

Stap 1
In de eerste stap draait het om basisvaardigheden. Auditors moeten leren hoe zij effectief met GenAI werken: context geven, duidelijke instructies formuleren, doorvragen en resultaten kritisch beoordelen. Dat lijkt een bescheiden start, maar vormt in de praktijk de basis voor alles wat volgt. Zonder deze vaardigheid blijft GenAI een gadget, met deze vaardigheid wordt het een bruikbaar hulpmiddel.

Stap 2
Vastleggen wat werkt. In veel teams ontstaat na enkele pilots al snel een repertoire aan prompts en werkwijzen dat goed bruikbaar blijkt. Die kennis wil je niet in de hoofden van enkele enthousiastelingen laten. Een promptbibliotheek helpt: een verzameling van effectieve prompts voor bijvoorbeeld risicoanalyse, documentreview, interviewvoorbereiding en rapportage. Dat maakt de toepassing minder persoonsafhankelijk en verhoogt de consistentie.

Stap 3
GenAI beter kunnen laten aansluiten op de eigen auditcontext. Algemene modellen leveren bruikbare uitkomsten, maar kennen de taal, methodiek en gevoeligheden van de organisatie niet vanzelf. De echte meerwaarde ontstaat wanneer de technologie wordt afgestemd op de eigen praktijk: standaardformuleringen, auditmethodologie, veelvoorkomende risico’s en voorbeeldrapportages.

Stap 4
Het koppelen van GenAI aan interne kennisbronnen. Hier ligt voor veel auditfuncties de grootste inhoudelijke winst. Wanneer een model kan putten uit eerdere auditrapporten, beleidsdocumenten, risico-overzichten en control frameworks, neemt de relevantie van de antwoorden sterk toe. Auditors kunnen sneller verbanden leggen, eerdere bevindingen benutten en consistenter rapporteren.

Stap 5
Pas bij stap 5 komt het domein van AI-agents en verdere automatisering in beeld. Denk aan digitale assistenten die de voortgang van audits bewaken, dossiers controleren op volledigheid of afwijkingen signaleren. Voor veel auditafdelingen is dit nog geen directe volgende stap, maar het is verstandig de roadmap zo op te bouwen dat verdere ontwikkeling mogelijk blijft.

Succesfactoren

• Een goede roadmap beschrijft niet alleen technologische stappen, maar ook organisatorische voorwaarden. Governance is daarbij een eerste vereiste. Zonder duidelijk eigenaarschap ontstaat ruis en vertraagt besluitvorming. Een kernteam of stuurgroep onder verantwoordelijkheid van de CAE kan structuur aanbrengen door prioriteiten te stellen, pilots te beoordelen en risico’s te wegen.
• Daarnaast vraagt de roadmap om expliciete ruimte in tijd en budget. GenAI werkt zelden goed als nevenproject. Teams moeten kunnen oefenen, leren en evalueren. Een gefaseerde aanpak werkt vaak het best: klein beginnen, waarde aantonen en vervolgens gecontroleerd opschalen. Zo bouw je ook geloofwaardigheid op richting bestuur en auditcommissie.
• Minstens zo belangrijk is change management. Auditors moeten ervaren dat GenAI hun werk ondersteunt en niet uitholt. Dat vraagt om heldere communicatie, concrete voorbeelden en ruimte om vragen of weerstand te bespreken. Acceptatie groeit zodra toepassingen aansluiten bij de dagelijkse praktijk.

Een praktische roadmap kent daarom herkenbare fasen: bewustwording en eerste pilots, standaardisatie van wat werkt, inbedding in methodiek en kennisbronnen, optimalisatie van governance en schaalbaarheid, en uiteindelijk meer geavanceerde toepassingen. Niet elke auditfunctie hoeft het hoogste niveau te bereiken. Belangrijker is dat elke stap bewust wordt gezet en aantoonbaar waarde oplevert.

Valkuilen

Wie GenAI invoert, merkt dat de grootste hindernissen zelden in de techniek zitten. Vaker gaat het mis door verwachtingen, gedrag en sturing. De bekendste valkuil is overschatting. Zodra AI in beeld komt, ontstaan hoge verwachtingen. In de praktijk vraagt succesvolle inzet juist om kleine, gerichte stappen. Heldere doelen en afgebakende pilots voorkomen teleurstelling. De omgekeerde fout komt ook voor: onderschatting. GenAI wordt dan afgedaan als hype, waardoor kansen blijven liggen. Juist praktische toepassingen helpen om deze scepsis te doorbreken.

De opdracht voor internal auditors is duidelijk: bepaal waar GenAI waarde toevoegt, organiseer de randvoorwaarden en geef teams ruimte om te leren

Een andere valkuil is onduidelijk eigenaarschap. Als niet helder is wie verantwoordelijk is, stagneert de voortgang. Benoem daarom een trekker met mandaat en zorg voor zichtbare steun van de CAE. Ook weerstand in teams verdient aandacht. Sommige auditors vrezen kwaliteitsverlies of baanverlies. Dat vraagt om training, begeleiding en de duidelijke boodschap dat menselijk oordeel leidend blijft. Tot slot geldt: slechte data leiden tot slechte uitkomsten. Investeren in documentkwaliteit, data governance en veilige omgang met informatie is daarom essentieel.

De weg vooruit

Voor internal audit ligt de weg vooruit niet in blind enthousiasme, maar in gerichte ambitie. GenAI verdient een plek omdat het de auditfunctie concreet kan versterken. Dat vraagt van CAE’s dat zij technologie verbinden aan strategische doelen. De meest effectieve aanpak is klein beginnen en tegelijk strategisch denken. Start met toepassingen die dicht op de praktijk zitten en snel waarde laten zien. Gebruik deze ervaringen om standaarden te ontwikkelen, vaardigheden op te bouwen en governance te versterken. Daarmee krijgt internal audit ook een voorbeeldrol. De auditfunctie beoordeelt niet alleen AI-risico’s in de organisatie, maar laat ook zien hoe verantwoord gebruik eruitziet. Transparantie, menselijke beoordeling en zorgvuldige omgang met data zijn daarbij vanzelfsprekend. Wie deze lijn volgt, bouwt aan een auditfunctie die niet achterloopt, maar richting geeft. Daarin ligt de echte waarde van GenAI.

Tot slot

Generatieve AI is voor internal audit geen toekomstmuziek meer. De technologie is beschikbaar, de verwachtingen nemen toe en de eerste toepassingen zijn direct bruikbaar. Juist daarom vraagt GenAI om richting. Die richting begint bij strategie. Een auditfunctie die vooraf bepaalt waar GenAI aan bijdraagt, maakt betere keuzen. Efficiëntie, effectiviteit en het ontwikkelen van adviesdiensten zijn legitieme doelen, mits prioriteiten helder zijn. Vervolgens is een roadmap nodig die ambitie vertaalt naar uitvoering. Een gefaseerde aanpak werkt het best: eerst vaardigheden, daarna toepassingen, vervolgens integratie en pas daarna verdere automatisering. Succesvolle adoptie vraagt meer dan technologie alleen. Leiderschap, governance, opleiding en datakwaliteit zijn minstens zo belangrijk. De opdracht voor internal auditors is duidelijk: bepaal waar GenAI waarde toevoegt, organiseer de randvoorwaarden en geef teams ruimte om te leren. Houd daarbij vast aan het principe dat menselijk oordeel leidend blijft.

Voor wie zich verder wil verdiepen, is er de practice guide Internal Audit in the Age of Generative AI (zie Internal Audit in the Age of Generative AI – Practice Guide | IIA Nederland). Daarin gaan Imran Nashir, Dwayne Valkenburg en Rishi Djairam dieper in op de strategie, roadmap en valkuilen rond de inzet van GenAI binnen internal audit. De practice guide is opgesteld in opdracht van IIA Nederland en ISACA Nederland en biedt praktische handvatten voor internal auditfuncties die hun inzet van generatieve AI gestructureerd willen vormgeven.