Home Magazine

AI-geletterdheid onder IT-auditors: een blinde vlek in risicobeoordeling?

18 november, 2025
Auteur: Robert Worm MSc RO, Senior Operational Auditor bij de IND

De opkomst van artificiële intelligentie (AI) heeft het IT-landschap ingrijpend veranderd. Voor IT-auditors betekent dit niet alleen nieuwe technologieën om te beoordelen, maar ook nieuwe risico’s en verantwoordelijkheden. Met de invoering van de EU AI Act in 2024 is AI-geletterdheid een wettelijke vereiste geworden voor professionals die met AI-systemen werken. Dit artikel onderzoekt hoe het gesteld is met de AI-geletterdheid onder Nederlandse IT-auditors, welke risico’s dit met zich meebrengt, en welke stappen nodig zijn om de beroepsgroep toekomstbestendig te maken.
De urgentie van AI-geletterdheid
Een recente studie onder Nederlandse IT-auditors laat zien dat 66,7% van de respondenten geen gestructureerde opleiding in AI heeft gevolgd. Dit is indicatief voor een aanzienlijke kenniskloof binnen de beroepsgroep. In combinatie met het Dunning-Kruger-effect—waarbij mensen met beperkte kennis hun eigen bekwaamheid overschatten—kan dit leiden tot verhoogde auditrisico’s.
Wat zegt het onderzoek
De studie, uitgevoerd met een gestructureerde vragenlijst onder 36 IT-auditors, onderzocht de relatie tussen AI-geletterdheid, risicoperceptie en zelf-beoordeelde bekwaamheid. De resultaten zijn verontrustend:
  • Sterke correlatie tussen AI-geletterdheid en zelfinschatting (r = 0,640; p < 0,001), en dus betekent dat lage AI geletterdheid een verkeerde zelfinschatting mogelijk maakt. 
  • Geen significant verschil in zelfinschatting tussen respondenten die zichzelf als ‘zeer slecht’, ‘slecht’ of ‘gemiddeld’ beoordeelden, doordat laag AI-geletterden zich veelal als gemiddeld bekwaam beoordelen.
  • Een hogere AI-geletterdheid leidt tot een homogener risicobeeld (r = 0,378; p = 0,023), al verklaart dit slechts 14,3% van de variatie, dat impliceert dat IT-auditors met lage AI-geletterdheid AI-risico’s anders inschatten dan auditors met hoge AI-geletterdheid.
Implicaties voor de praktijk
De AI Act verplicht IT-auditors om over voldoende AI-geletterdheid te beschikken. De studie toont aan dat dit momenteel niet vanzelfsprekend is. Er is indicatief bewijs voor cognitieve bias, wat de kwaliteit van AI-assurance en advies kan ondermijnen. Daarom wordt aanbevolen dat NOREA onderzoekt of AI-geletterdheidstrainingen en examens verplicht gesteld kunnen worden. Postgraduate programma’s zoals EMITA zouden AI-modules moeten integreren om toekomstige auditors beter toe te rusten.
Praktische AI-trainingen voor IT-auditors
Om AI-geletterdheid effectief te vergroten, zijn praktische trainingen essentieel. IT-auditors kunnen baat hebben bij:
  • Hands-on workshops met AI-tools zoals ChatGPT, Bard en Copilot.
  • Simulaties van AI-risicoanalyses in auditcases.
  • Interactieve modules over AI-ontwerp, input/output-processen en menselijke interactie.
  • Formele debiasing-technieken om cognitieve vertekeningen te herkennen en te corrigeren.
Deze trainingsvormen dragen bij aan een breed gedragen competentieprofiel dat aansluit bij de eis van de AI Act voor een passend niveau van AI-geletterdheid.
Een breder kader voor AI-geletterdheid
Effectieve AI-geletterdheidsprogramma’s voor IT auditors moeten verder gaan dan technische kennis. Ze moeten ook aandacht besteden aan:
  1. Menselijke interactie met AI
  2. Input-, verwerkings- en outputkennis
  3. Praktische ervaring
  4. Ontwerpprincipes
  5. Formele debiasing-technieken
Conclusie
Deze studie biedt een robuuste nulmeting van AI-geletterdheid onder Nederlandse IT-auditors. De bevindingen onderstrepen de noodzaak van structurele scholing, curriculumvernieuwing en periodieke monitoring. Alleen zo kan de beroepsgroep voldoen aan artikel 4 van de AI Act en de kwaliteit van AI-assurance duurzaam waarborgen.
Lees het volledige onderzoek
Auteur Robert Worm
"Auditor en bedrijfskundige met een brede technische én strategische basis, sterk in het vertalen van complexe vraagstukken naar begrijpelijke en besluitwaardige inzichten. Al vroeg in het familiebedrijf van mijn vader (gespecialiseerd in thermische isolatiematerialen) leerde ik hoe innovatieve maatregelen direct leiden tot energie- en kostenbesparing: feitelijke industriële verduurzaming. Vanuit dat fundament heb ik mij ontwikkeld via opleidingen in elektrotechniek, (technische) bedrijfskunde en strategisch management, aangevuld met postmasters in operational- en IT-auditing, steeds met hetzelfde doel: perspectieven combineren en verbreden.

In mijn huidige rol als senior operationeel en IT-auditor bij de IND doorgrond ik processen en informatieketens, herken ik patronen en leg ik verbanden die leiden tot doelmatige en duurzame verbeteringen. Ik voel mij thuis in dynamische, complexe contexten die vragen om scherpte en creativiteit, juist wanneer vraagstukken in eerste instantie als ‘onoplosbaar’ worden gezien, of wanneer een mogelijke onderzoeksaanpak niet direct scherp is."