Twee carrièrepaden: adviespraktijk versus interne auditfunctie
Voordat we de ladder beklimmen, is het belangrijk te begrijpen dat er niet één, maar twee IT-audit carrièrepaden bestaan. Ze delen dezelfde fundamenten — risico's, beheersmaatregelen (controls) en onafhankelijk toetsen — maar de context, het tempo en de doorgroei verschillen.
- De advies- en assurancepraktijk (‘public practice’). Dit is het pad bij accountants- en advieskantoren: de Big Four (Deloitte, KPMG, EY, PwC), de tweede kring van kantoren en gespecialiseerde IT-auditbureaus. Je werkt voor wisselende klanten, vaak in het kader van de jaarrekeningcontrole of losse assurance-opdrachten zoals ISAE 3402- en SOC 2-rapportages. Hier geldt een strak, gestandaardiseerd carrièremodel met vaste niveaus en een ‘up-or-out’-dynamiek.
- De interne auditfunctie (in-house). Dit is het pad binnen één organisatie — een bank, verzekeraar, overheid, zorginstelling of groot bedrijf — als onderdeel van de interne IT-auditfunctie. Je auditeert de eigen organisatie vanuit de derde lijn, rapporteert aan het audit committee en werkt aan een meerjarig auditplan. Het tempo is doorgaans wat rustiger en minder ‘omhoog of eruit’.
Veel professionals bewegen tussen beide werelden: je leert het vak in de adviespraktijk, waar je in korte tijd veel verschillende organisaties ziet, en stapt na een aantal jaar over naar een in-house auditfunctie of naar de tweede lijn. Om beide paden te plaatsen helpt het Three Lines Model: externe en interne audit vormen samen de onafhankelijke derde lijn die zekerheid geeft over de beheersing die de eerste en tweede lijn inrichten.
De carrièreladder in de adviespraktijk
De adviespraktijk kent het meest herkenbare carrièrepad, want de niveaus zijn er expliciet benoemd en gekoppeld aan vaste doorlooptijden. De exacte titels verschillen per kantoor — de een spreekt van ‘consultant’, de ander van ‘associate’ of ‘auditor’ — maar de trap eronder is overal vergelijkbaar. Onderstaand overzicht toont de gangbare niveaus, de globale doorlooptijd en waar je verantwoordelijkheid op ligt.
| Niveau | Ervaring (indicatief) | Waar het om draait |
|---|---|---|
| Trainee / Associate | 0 – 2 jaar | Het vak leren: testwerkzaamheden uitvoeren, bewijs verzamelen, werkprogramma's afwerken onder begeleiding. |
| IT-auditor | 2 – 4 jaar | Zelfstandig deelgebieden auditen (bv. IT general controls), eerste specialisatie, begeleiding van trainees. |
| Senior IT-auditor | 4 – 6 jaar | Opdrachten in de veldfase leiden, kwaliteit bewaken, junioren aansturen, eerste klantcontact. |
| IT Audit Manager | 6 – 9 jaar | Verantwoordelijk voor meerdere opdrachten, teams en de klantrelatie; planning, budget en rapportage. |
| Senior Manager | 9 – 13 jaar | Portfolio van klanten, commerciële verantwoordelijkheid, coaching van managers, kwaliteit over teams heen. |
| Director / Partner | 13+ jaar | Business development, eindverantwoordelijkheid, ondertekening; partners zijn mede-eigenaar van het kantoor. |
Trainee / Associate: het vak leren
Je begint als IT-audit trainee of associate, vaak direct na een (technische of bedrijfskundige) opleiding. De eerste twee jaar draaien om leren: je voert testwerkzaamheden uit, verzamelt en documenteert auditbewijs en werkt onder toezicht werkprogramma's af. Tegelijk start je meestal met de postmaster IT-auditopleiding die naar de RE-titel leidt. Dit is het niveau waarop je de bouwstenen van het vak in de vingers krijgt.
IT-auditor en senior IT-auditor: zelfstandigheid en leiding
Na de traineefase groei je door naar (medior) IT-auditor: je voert zelfstandig deelonderzoeken uit en ontwikkelt een eerste specialisatie, bijvoorbeeld in ERP-omgevingen, cloud of een sector. De sprong naar senior IT-auditor is inhoudelijk een van de belangrijkste: je gaat van ‘het werk doen’ naar ‘het werk laten doen’. Als senior leid je de uitvoerende fase van opdrachten, bewaak je de kwaliteit, coach je junioren en heb je steeds meer direct contact met de klant. Niet toevallig is de senior IT-auditor de meest gevraagde functie in de markt — het is het niveau waarop je én technisch sterk én zelfstandig inzetbaar bent.
IT Audit Manager: van uitvoeren naar aansturen
De promotie tot IT Audit Manager is de eerste echte managementstap en meteen de belangrijkste horde in het pad. Als manager ben je niet langer verantwoordelijk voor één opdracht, maar voor meerdere tegelijk: planning, budget, teambezetting, kwaliteit en de relatie met de klant komen bij jou samen. Je stuurt seniors en junioren aan en bent het aanspreekpunt voor het management van de klant. Dit is het niveau waarop de meeste vacatures na de senior-rol zich concentreren, omdat organisaties hier schaarste voelen: er zijn veel goede uitvoerders, maar minder mensen die tegelijk inhoud, mensen én commercie kunnen dragen.
Senior Manager, Director en Partner: inhoud maakt plaats voor commercie
Boven de manager verschuift het zwaartepunt geleidelijk van inhoud naar business. Een senior manager draagt een portfolio van klanten en krijgt commerciële targets; een director en partner worden vooral afgerekend op het binnenhalen en uitbouwen van opdrachten, het onderhouden van relaties op bestuursniveau en het ontwikkelen van de praktijk. De partner is uiteindelijk mede-eigenaar van het kantoor en deelt in de winst. Niet iedereen wil of haalt dit; velen stappen bewust eerder uit naar een in-house of tweedelijnsrol — en dat is precies wat de adviespraktijk zo'n effectieve springplank maakt.
Klaar voor de volgende stap in IT-audit?
Van junior en senior IT-auditor tot IT Audit Manager: ontdek de nieuwste IT-auditvacatures bij de Big Four, financiële instellingen en toonaangevende organisaties in Nederland.
Bekijk IT-auditvacaturesHet in-house pad: van IT Internal Auditor naar Chief Audit Executive
Kies je voor een carrière binnen één organisatie, dan ziet de ladder er iets anders uit maar volgt hij dezelfde logica van toenemende verantwoordelijkheid. Het startpunt is de IT Internal Auditor, die als onderdeel van de interne auditfunctie de eigen organisatie toetst. Van daaruit loopt het pad via senior IT Internal Auditor naar IT Internal Audit Manager, en uiteindelijk naar Head of Internal Audit of Chief Audit Executive (CAE) — de hoogste auditrol, die rechtstreeks rapporteert aan het audit committee van de raad van commissarissen.
- IT Internal Auditor — voert IT-audits uit binnen het jaarplan en rapporteert bevindingen aan het management.
- Senior IT Internal Auditor — leidt complexere audits, adviseert de organisatie en begeleidt collega's.
- IT Internal Audit Manager — stuurt het IT-auditteam aan, stelt het risicogebaseerde auditplan op en bewaakt de kwaliteit.
- Head of Internal Audit / Chief Audit Executive — eindverantwoordelijk voor de gehele interne auditfunctie en de onafhankelijke lijn naar het audit committee.
Een belangrijk verschil met de adviespraktijk is dat de interne auditfunctie professioneel is verankerd in internationale standaarden — de Global Internal Audit Standards van het IIA (Institute of Internal Auditors) — en dat de onafhankelijkheid ten opzichte van het management formeel geborgd is. In-house werken betekent bovendien dat je de organisatie door en door leert kennen, wat een uitstekende basis vormt voor een latere overstap naar risk, security of een bredere governancerol.
Wat verandert er bij elke promotie?
Achter de titels zit een consistent patroon. Bij elke stap omhoog verschuift je werk langs drie assen. Wie promotie wil maken, laat op tijd zien dat hij de volgende as al aankan.
- Van uitvoeren naar reviewen. Junioren doen het werk, seniors en managers beoordelen het. Hoe hoger je komt, hoe meer je waarde zit in het bewaken van kwaliteit en het nemen van oordelen, niet in het zelf uitvoeren van tests.
- Van taak naar mensen. Vanaf senior-niveau ga je collega's aansturen, coachen en beoordelen. People management wordt een kerncompetentie — en vaak de reden waarom iemand wél of niet doorgroeit.
- Van levering naar commercie. In de adviespraktijk komt er vanaf manager- en zeker vanaf directorniveau een commerciële dimensie bij: opdrachten binnenhalen, offreren en relaties uitbouwen. In-house vertaalt zich dit naar stakeholdermanagement en het adviseren van de top van de organisatie.
Daarnaast telt in de adviespraktijk het begrip ‘chargeability’: het deel van je uren dat declarabel is. Op junior niveau is dat hoog; naarmate je stijgt, ruil je declarabele uren geleidelijk in voor coaching, kwaliteitsborging en acquisitie. Wie dat inzicht vroeg herkent, stuurt bewuster op de vaardigheden die de volgende promotie bepalen.
Opleiding en certificering: welke titel hoort bij welke stap
Certificeringen zijn in IT-audit geen bijzaak maar vaak een formele poortwachter voor promotie. In Nederland is de postmaster IT-auditopleiding die leidt tot de titel RE (Register EDP-auditor) toonaangevend. Deze opleiding — aangeboden door onder meer de Erasmus Universiteit, de Vrije Universiteit Amsterdam en de Universiteit van Amsterdam — duurt ongeveer 2 tot 2,5 jaar in deeltijd naast je werk. Voor de RE-titel, uitgegeven door beroepsorganisatie NOREA, heb je bovendien minimaal drie jaar relevante werkervaring nodig (circa 4.500 uur met voldoende variatie in uitgevoerde IT-audits).
Daarnaast tellen internationale certificeringen mee, afhankelijk van de richting die je kiest. Onderstaande tabel koppelt de belangrijkste certificeringen aan de fase waarin ze het meest waarde toevoegen.
| Certificering / titel | Meest relevant vanaf | Waarvoor |
|---|---|---|
| RE (Register EDP-auditor) | Start / IT-auditor | De Nederlandse beroepstitel; vaak verwacht voor doorgroei naar senior en manager in de adviespraktijk. |
| CISA | IT-auditor / senior | De internationale standaard voor IT-audit; breed erkend en vaak als eis in vacatures. |
| CIA (Certified Internal Auditor) | In-house auditfunctie | Dé kwalificatie voor de interne auditfunctie en doorgroei naar (IT) Internal Audit Manager. |
| CRISC | Overstap naar risk | Gericht op IT-risicomanagement; waardevol bij een move naar de tweede lijn / Technology Risk. |
| CISSP / CISM | Overstap naar security | Voor wie doorgroeit richting informatiebeveiliging, security management of de CISO-rol. |
Salaris per carrièreniveau
Het salaris in IT-audit stijgt fors met elke trede, mede doordat het vak schaars is en de vraag structureel hoog blijft. Onderstaande bandbreedtes zijn indicatief voor Nederland in 2026, exclusief bonussen en secundaire voorwaarden. Financiële instellingen en de Big Four betalen doorgaans aan de bovenkant van de bandbreedte; overheid en non-profit liggen wat lager. Bekijk voor de details ook onze aparte gids over het IT-auditor salaris.
| Niveau | Salaris (bruto/jaar, indicatief) |
|---|---|
| IT-audit trainee / associate | € 38.000 – € 50.000 |
| IT-auditor | € 50.000 – € 70.000 |
| Senior IT-auditor | € 70.000 – € 95.000 |
| IT Audit Manager | € 95.000 – € 140.000 |
| Senior Manager | € 130.000 – € 170.000 |
| Director / Partner | € 150.000 – € 250.000+ (incl. bonus/winstdeling) |
Wie zelfstandig verdergaat, rekent niet in jaarsalaris maar in dagtarief. Ervaren freelance IT-auditors en interim-professionals hanteren tarieven die, afhankelijk van specialisatie en schaarste, flink kunnen oplopen — zeker in de financiële sector en rond regelgeving als DORA.
Up-or-out: hoe je promotie versnelt
De adviespraktijk werkt grotendeels volgens een ‘up-or-out’-principe: van je wordt verwacht dat je binnen een bepaalde termijn doorgroeit naar het volgende niveau, en wie meerdere jaren blijft steken, wordt gestimuleerd om (extern) een volgende stap te zetten. Dat klinkt hard, maar het maakt het pad juist voorspelbaar: presteren wordt beloond met snelle groei. Een paar dingen versnellen je promotie aantoonbaar:
- Haal je certificering op tijd. De RE-opleiding en de CISA zijn vaak een harde voorwaarde voor de sprong naar senior en manager. Begin er vroeg mee.
- Laat leiderschap zien vóór je de titel hebt. Promotie volgt op gedrag: wie als senior al een team coacht en de klant geruststelt, wordt eerder manager.
- Kies een schaarse specialisatie. Cloud, ERP, data-analyse en regelgeving als DORA en NIS2 maken je onderscheidend en dus promotabel.
- Bouw aan je netwerk en zichtbaarheid. Op managementniveau telt commercie; wie relaties onderhoudt en werk binnenhaalt, valt op bij de partners.
Waar IT-audit je later brengt: exit-opportunities
Een van de sterkste argumenten voor een carrière in IT-audit is niet het eindstation, maar de deuren die het onderweg opent. Doordat je als auditor een uniek totaalbeeld krijgt van de IT, de risico's en de governance van veel verschillende organisaties, ben je aantrekkelijk voor tal van vervolgrollen. De meest voorkomende uitstroomrichtingen:
- Naar de tweede lijn (risk). Van auditor naar IT Risk Officer, Technology Risk-specialist of Cyber & IT Risk Manager — van toetsen achteraf naar het actief beheersen van risico's.
- Naar informatiebeveiliging. Een veelbewandeld pad is de overstap van IT-auditor naar CISO of Information Security Officer, waarbij je auditkennis van controls goud waard is.
- Naar GRC en compliance. Rollen als GRC Manager of compliance officer, waar governance, risk en compliance samenkomen.
- Naar zelfstandigheid. Als interim- of freelance IT-auditor je eigen opdrachten kiezen tegen een marktconform dagtarief.
- De top van de auditfunctie. Blijf je in het vak, dan wenkt uiteindelijk de rol van director, partner of Chief Audit Executive.
Marktvraag 2026: waarom IT-auditors gevraagd blijven
Het carrièrepad in IT-audit is niet alleen goed gestructureerd, het is ook toekomstbestendig. De vraag naar auditors wordt gedreven door een golf aan regelgeving en technologische verandering die de komende jaren alleen maar toeneemt. DORA verplicht financiële instellingen tot aantoonbare beheersing van hun IT- en ketenrisico's; NIS2 breidt de eisen aan cybersecurity en toezicht uit naar veel meer sectoren; en de opkomst van cloud, AI en uitbestede dienstverlening creëert steeds nieuwe controles die getoetst moeten worden. Tegelijk is het aanbod van gecertificeerde IT-auditors beperkt, mede door de lange opleidingsroute naar de RE-titel. Die combinatie — stijgende vraag, schaars aanbod — verklaart waarom de senior IT-auditor en de IT Audit Manager de meest gezochte functies op de markt zijn en waarom de salarissen op elk niveau onder opwaartse druk staan.
Kortom: of je nu net begint als trainee of overweegt de stap naar manager te maken, het IT-audit carrièrepad biedt een uitzonderlijk heldere ladder, een sterk salarisverloop en een breed pallet aan vervolgmogelijkheden. Zie waar jij vandaag past in de actuele IT-auditvacatures.