AI Assurance vraagt om kennis, governance en professioneel oordeel

Nieuws 25/06/2026

Op 23 juni 2026 kwamen leden van het IIA Professional Practice-network bijeen bij IIA Nederland in Breukelen voor een interactieve middag over AI Assurance. Onder begeleiding van Imran Nashir (KPN), gastheer namens de Commissie Vaktechniek, gingen deelnemers in gesprek over een vraag die voor steeds meer auditfuncties urgent wordt: hoe geef je assurance over AI, algoritmen en generatieve AI-toepassingen?

Organisaties gebruiken AI inmiddels in processen, cybersecurity, klantinteractie, softwareontwikkeling en ook binnen auditfuncties zelf. Daarmee groeit de behoefte aan praktische handvatten: waar begin je, welke frameworks zijn bruikbaar en welke kennis heeft internal audit nodig?

AI als onderwerp én hulpmiddel

Na de opening nam Rishi Djairam (Helpside Audit & Risk) de deelnemers mee in relevante publicaties, frameworks en ontwikkelingen. Dat deed hij op een eigentijdse manier: met NotebookLM had hij, op basis van input van de vaktechnisch manager van IIA Nederland en andere ontwikkelingen, een video laten maken.

Rishi Djairam deelt de updates vanuit het PP-netwerk via NotebookLM

Daarmee werd AI niet alleen besproken als object van assurance, maar ook zichtbaar gemaakt als hulpmiddel voor kennisdeling en communicatie. Rishi liet zien dat auditors AI kunnen gebruiken om kennis te structureren en complexe onderwerpen toegankelijker te maken.

Surveyresultaten als spiegel

Daarna presenteerde Reinier Roest (ErasmusMC) de resultaten van een vooraf ingevulde deelnemerssurvey over AI Assurance. De resultaten waren indicatief, maar boden wel een herkenbare spiegel voor de auditpraktijk.

Reinier Roest bespreekt de uitkomsten van de vooraf ingevulde survey

Uit de survey bleek dat veel organisaties AI al gebruiken of bezig zijn met implementatie. AI raakt daarbij niet één afzonderlijk domein. Het komt terug in operationele processen, IT, cybersecurity, business intelligence, data-analyse en internal audit zelf. Daarmee wordt AI Assurance breder dan alleen het beoordelen van een model of algoritme.

Ook thema’s als explainability, bias, hallucination, dataprivacy, cybersecurity, AI-governance en beleidsstructuren kwamen terug. In de discussie werden onder meer NIST, ISO, IIA-publicaties, NOREA-richtlijnen en de EU AI Act genoemd. De conclusie: frameworks bieden richting, maar moeten worden vertaald naar de context, volwassenheid en risico’s van de organisatie.

Responsible AI vraagt om een breed audit universe

De derde presentatie werd verzorgd door Gülnur Orpak, AI and Innovation Audit Manager bij ABN AMRO. Zij bracht een praktijkgerichte bijdrage over het auditen van responsible AI. Haar centrale vraag aan de zaal was: wie voelt zich verantwoordelijk voor het geven van assurance over responsible AI?

Gülnur Orpak deelt haar ervaringen met betrekking tot het auditten van AI

Haar boodschap was duidelijk: internal audit heeft hierin een belangrijke rol. Niet omdat auditors alle antwoorden al hebben, maar omdat internal audit onafhankelijk kan kijken naar governance, risico’s, beheersing en de manier waarop AI wordt ingezet.

Gülnur benadrukte dat AI auditen veel breder is dan modeltesting. Een AI-systeem omvat de hele keten eromheen: data, applicaties, infrastructuur, cloud, softwareontwikkeling, informatiebeveiliging, compliance, third party riskmanagement en governance. Daarbij komen ook strategie, beleid, cultuur, training en awareness.

Een belangrijk uitgangspunt was dat AI niet moet worden ingezet “omdat het kan”. AI moet bijdragen aan concrete organisatiedoelstellingen of problemen helpen oplossen.

Workshops en interactief gesprek

Na de presentaties gingen de deelnemers in groepen uiteen. Via live groepsinput brachten zij ervaringen, dilemma’s en concrete auditvragen in. Deze input gaf een duidelijk beeld van wat er in de praktijk leeft.

Deelnemers aan de slag met AI-vraagstukken

Een opvallend signaal was dat internal audit zich volgens de deelnemers nog maar gedeeltelijk voorbereid voelt om assurance over AI te geven. Auditfuncties zoeken nog naar kennis, methodiek, frameworks, capaciteit en praktische ervaring.

Bij onderschatte AI-risico’s kwamen niet alleen technische risico’s naar voren. Deelnemers noemden onder meer te veel vertrouwen op AI-output, shadow AI, cybersecurity, afhankelijkheid van technologie en leveranciers, menselijke factoren, datakwaliteit en de snelheid waarmee AI zich ontwikkelt. Daarmee bevestigden de workshops een belangrijke rode draad: AI Assurance is geen puur IT-vraagstuk.

Ook bespraken de groepen of AI een apart auditdomein moet worden of juist moet worden ingebed in het bestaande audit universe. In de meeste gesprekken klonk een voorkeur voor een ingebedde aanpak, eventueel gecombineerd met specifieke aandacht voor AI-governance.

Na de workshops volgde een interactieve discussie onder leiding van Zoëlle Yusufi (RVO en tevens voorzitter van de AI PP groep). De discussie werd vormgegeven als een dialoog tussen Zoëlle en Gülnur Orpak, waarbij de groepen actief werden betrokken. Een belangrijk thema was kennisontwikkeling. In het gesprek kwamen drie kennisniveaus naar voren: AI literacy voor iedere auditor, geavanceerd gebruik van AI in audits en specialistische kennis om AI-systemen end-to-end te kunnen auditen.

Groepsdiscussie onder leiding van Zoëlle Yusufi (links)

Ook governance kwam terug: een framework biedt richting, maar audits op concrete AI-systemen laten zien of die governance in de praktijk werkt. Governance en systeemaudits versterken elkaar dus.

Samen verder bouwen aan AI Assurance

Imran Nashir sloot de middag af met een wrap-up waarin de belangrijkste lijnen samenkwamen. De bijeenkomst liet zien dat AI Assurance volop in ontwikkeling is. Er zijn frameworks, publicaties en voorbeelden, maar geen eenvoudige standaardaanpak die voor iedere organisatie werkt. Tegelijkertijd moeten auditors beseffen dat een AI-systeem in de kern een IT-systeem is dat nog steeds een operationeel proces faciliteert.

AI Assurance vraagt om meer dan een checklist. Het vraagt om begrip van strategie, technologie, governance, processen, leveranciers en menselijk gedrag. Door kennis, dilemma’s en praktijkervaringen te delen, bouwen internal auditors samen verder aan responsible AI en aan de assurance-aanpak die daarbij hoort.

Binnenkort volgt een uitgebreider verslag.