IT Audit 13 min leestijd 1 juli 2026 IT Compliance Jobs

IT Internal Auditor: de interne IT-auditfunctie en de derde lijn van binnenuit

Wie de vacatures op IT Compliance Jobs doorneemt, ziet naast de bekende adviesfuncties een groeiende groep in-house rollen terugkomen: IT Internal Auditor, Senior IT Internal Auditor, Internal IT Auditor, IT Internal Audit Manager en Manager of Internal IT Audit. Het zijn functies binnen de interne auditfunctie — de derde lijn — en ze verschillen wezenlijk van de externe IT-auditor bij een accountantskantoor en van de risk officer in de tweede lijn.

In deze gids leggen we uit wat een IT Internal Auditor doet, hoe de interne IT-auditfunctie is opgebouwd, welke rollen erin werken — van auditor tot Chief Audit Executive — en met welke standaarden, certificeringen en carrièrepaden je hier aan de slag gaat. Elke rol koppelen we aan de functies die werkgevers vandaag aanbieden. Liever meteen kijken? Bekijk de actuele IT-auditvacatures in Nederland.

Wat doet een IT Internal Auditor?

Een IT Internal Auditor is een interne IT-auditor die in vaste dienst van een organisatie beoordeelt of de beheersing van IT en informatiebeveiliging aantoonbaar op orde is. Hij of zij vormt samen met collega-auditors de interne auditfunctie (Internal Audit Function, IAF) en werkt volledig onafhankelijk van de IT- en businessafdelingen die zij onderzoeken. Waar de informatiebeveiliging de maatregelen bouwt en de risk officer erop stuurt, geeft de interne auditor onafhankelijke zekerheid: werkt het geheel echt zoals bedoeld?

Het werk van een interne IT-auditor draait om een terugkerende cyclus:

  • Risicogericht plannen. Op basis van een IT-risicoanalyse bepaalt de auditfunctie welke systemen, processen en thema's het meeste aandacht verdienen. Dit mondt uit in een jaarlijks auditplan dat de auditcommissie goedkeurt.
  • Onderzoeken uitvoeren. De auditor toetst beheersmaatregelen (controls) rond logische toegang, IT general controls, wijzigingsbeheer, back-up en continuïteit, cloud, IT-projecten en de weerbaarheid tegen cyberaanvallen.
  • Bevindingen vaststellen. Tekortkomingen worden onderbouwd met bewijs, gewogen op risico en besproken met de verantwoordelijke afdeling.
  • Rapporteren. De auditor rapporteert conclusies en aanbevelingen aan het management en, via de Chief Audit Executive, aan de auditcommissie van de raad van commissarissen.
  • Opvolging bewaken. Ten slotte controleert de auditfunctie of afgesproken verbeteringen daadwerkelijk zijn doorgevoerd (follow-up).

Het doel is dat het bestuur en de toezichthouder erop kunnen vertrouwen dat de organisatie "in control" is over haar technologie — niet omdat het management dat zelf zegt, maar omdat een onafhankelijke partij het heeft getoetst.

Interne versus externe IT-audit: het cruciale onderscheid

De meest gestelde vraag rond deze functie: wat is het verschil met de gewone IT-auditor bij een advieskantoor? Beide toetsen onafhankelijk, maar ze dienen een ander doel en een andere opdrachtgever.

Aspect Interne IT-audit Externe IT-audit
Werkgever In vaste dienst bij de eigen organisatie Accountants- of advieskantoor (o.a. Big Four)
Opdrachtgever Bestuur en auditcommissie Klant, externe accountant of toezichthouder
Reikwijdte Alle IT-risico's die de doelen raken Vooral wat nodig is voor het opdrachtoordeel
Horizon Doorlopend, één organisatie diepgaand Projectmatig, veel organisaties
Typische output Auditrapport aan management & auditcommissie SOC-/ISAE 3402-rapport, bevindingen jaarrekening

Kort gezegd: de externe IT-auditor kijkt door de bril van de opdracht — vaak de jaarrekeningcontrole of een assurancerapport aan derden. De interne IT-auditor kijkt door de bril van de eigen organisatie: alle IT-risico's die de bedrijfsdoelen bedreigen, ongeacht of ze de jaarrekening raken. Veel professionals beginnen extern bij een advieskantoor en maken na enkele jaren de overstap naar een interne auditfunctie — of andersom.

Waarom de vraag naar interne IT-auditors groeit

Dat organisaties steeds vaker zelf IT-auditors in dienst nemen, heeft een aantal duidelijke oorzaken:

  • Strengere regelgeving en toezicht. De DORA-verordening verplicht financiële instellingen hun ICT-risicobeheer periodiek te laten toetsen, en de NIS2-richtlijn en de Cyberbeveiligingswet leggen de eindverantwoordelijkheid voor digitale weerbaarheid bij het bestuur. Toezichthouders verwachten een sterke, onafhankelijke interne auditfunctie die dit toetst.
  • Een groter en complexer IT-landschap. Cloud, SaaS, AI en een groeiend aanvalsoppervlak maken IT-risico tot een bestuurlijk thema. Een jaarlijkse externe controle dekt dat niet meer af; organisaties willen doorlopend zicht van binnenuit.
  • Vertrouwen van stakeholders. Aandeelhouders, klanten en de raad van commissarissen willen aantoonbare, onafhankelijke zekerheid dat kritieke systemen beheerst worden.
  • Kostenbeheersing van assurance. Een volwassen interne auditfunctie kan werk verrichten waarop de externe accountant kan steunen, wat de totale controlelast efficiënter maakt.

Het gevolg op de arbeidsmarkt is goed zichtbaar: naast de externe assurancerollen werven banken, verzekeraars, energiebedrijven, overheden en grote corporates actief IT Internal Auditors, Senior IT Internal Auditors en IT Internal Audit Managers.

De rollen binnen de interne IT-auditfunctie

De interne IT-auditfunctie is geen losse functie maar een team met een duidelijke opbouw. Hieronder lopen we de rollen langs, van instap tot eindverantwoordelijke. Titels verschillen per werkgever, maar dit is het palet dat je in de vacatures tegenkomt.

1. (Junior) IT Internal Auditor — de instap

De IT Internal Auditor is voor velen de toegangspoort tot de derde lijn. Je voert onder begeleiding audits uit, verzamelt en toetst bewijs, brengt IT-processen in kaart en stelt deelrapportages op. Je leert de organisatie van binnenuit kennen en bouwt kennis op van IT general controls, toegangsbeheer en risicoanalyse. In de vacatures zie je dit terug als IT Internal Auditor, Associate IT Auditor en Internal IT Auditor. Vergelijk deze instap ook met de bredere junior IT-auditor.

2. Senior IT Internal Auditor — zelfstandig auditwerk

De Senior IT Internal Auditor leidt zelfstandig audits van begin tot eind: scope bepalen, het onderzoek uitvoeren, bevindingen wegen en het gesprek met het management voeren. Vaak begeleidt de senior ook junior auditors en draagt hij bij aan het risicogericht auditplan. Dit is de ruggengraat van de auditfunctie en de meest voorkomende in-house vacature — van Senior IT Internal Auditor en Senior Internal IT Auditor tot Global IT Compliance Auditor. Zie ook ons artikel over de senior IT-auditor.

3. IT Internal Audit Manager — leiding over het team

De IT Internal Audit Manager (of Manager of Internal IT Audit) stuurt een team van auditors aan, stelt het auditplan op, bewaakt kwaliteit en methodiek en is een belangrijk aanspreekpunt voor het senior management. Hij of zij vertaalt individuele bevindingen naar overkoepelende inzichten en zorgt dat het werk voldoet aan de professionele standaarden. In de vacatures herken je dit als IT Internal Audit Manager, Manager of Internal IT Audit en Internal IT Audit Manager. Lees meer over de bredere rol van IT Audit Manager.

4. De IT-specialist binnen een bredere auditfunctie

In veel organisaties is IT-audit geen apart team maar een specialisme binnen één interne auditafdeling die ook financiële en operationele audits doet. De IT Internal Auditor werkt dan nauw samen met operational auditors en corporate auditors, en levert de technische diepgang bij integrale onderzoeken naar bijvoorbeeld een ERP-implementatie of een cloudmigratie. Vacatures als Internal Auditor Operational Technology, Senior Corporate Auditor en IT Internal Auditor ISO 27001 horen bij deze wereld.

5. Head of Internal Audit / Chief Audit Executive — de top

Aan het hoofd van de interne auditfunctie staat de Head of Internal Audit of Chief Audit Executive (CAE). Deze bepaalt de auditstrategie, waarborgt de onafhankelijkheid van de functie en rapporteert rechtstreeks aan de auditcommissie van de raad van commissarissen — met een functionele lijn die bewust búiten de dagelijkse aansturing van het bestuur ligt. Voor wie via IT-audit is doorgegroeid, is dit een logisch eindstation, grenzend aan toprollen als IT Audit Manager en aan de risicokant de IT Risk Officer-lijn richting Chief Risk Officer.

Op zoek naar een rol in interne IT-audit?

Of je nu (Senior) IT Internal Auditor, IT Internal Audit Manager of Head of Internal Audit wilt worden — op IT Compliance Jobs vind je de nieuwste in-house vacatures in interne IT-audit bij banken, verzekeraars, overheden en grote corporates.

Bekijk alle IT-auditvacatures

Waar in het Three Lines Model zit de interne IT-auditor?

De interne IT-auditfunctie laat zich exact plaatsen in het Three Lines Model, dat verantwoordelijkheden voor risicobeheersing verdeelt over drie lijnen:

  • Eerste lijn: de IT- en businessafdelingen die de risico's nemen en de beheersmaatregelen zelf bouwen en beheren.
  • Tweede lijn: de IT Risk Officer, security- en compliancefuncties die kaders stellen, risico's beoordelen en de eerste lijn uitdagen en adviseren (het domein van Technology Risk).
  • Derde lijn: de interne IT-auditfunctie, die volledig onafhankelijk toetst of de eerste én de tweede lijn hun werk goed doen — en die daarover rechtstreeks aan de auditcommissie rapporteert.

Precies daarom mag een interne auditor nooit meesturen op maatregelen die hij later moet beoordelen: dat zou de onafhankelijkheid en objectiviteit ondermijnen die de derde lijn zijn waarde geven. De interne IT-auditor toetst, adviseert op afstand, maar bouwt of beheert nooit zelf de controls.

De Global Internal Audit Standards en het IIA

Interne audit is een gereguleerd beroep met eigen wereldwijde standaarden. De toonaangevende beroepsorganisatie is het Institute of Internal Auditors (IIA), in Nederland vertegenwoordigd door IIA Nederland. Het IIA gaf in 2024 de vernieuwde Global Internal Audit Standards uit, die per 9 januari 2025 van kracht zijn. Deze standaarden zijn opgebouwd uit vijf domeinen, vijftien principes en tweeënvijftig standaarden en beschrijven onder meer:

  • Onafhankelijkheid en objectiviteit — de positionering van de auditfunctie en de rechtstreekse lijn naar de auditcommissie.
  • Deskundigheid en zorgvuldigheid — de vereiste kennis, doorlopende ontwikkeling en kwaliteitsborging.
  • Risicogericht plannen — het bepalen van het audituniversum en het jaarplan op basis van risico.
  • Uitvoeren en communiceren — het onderbouwen van bevindingen en het effectief rapporteren aan stakeholders.

Een IT Internal Auditor werkt volgens deze algemene standaarden, aangevuld met IT-specifieke raamwerken. Denk aan COBIT voor IT-governance en -beheersing, ISO 27001 en NIST voor informatiebeveiliging, en ISO 27005 voor risicomanagement. Kennis van deze normen is in vrijwel elke vacature een pre.

Opleiding en certificeringen voor de IT Internal Auditor

Welke certificering past, hangt af van de richting die je op wilt — de brede internal-auditkant of de IT-technische diepte. De meest gevraagde kwalificaties:

  • CIA (Certified Internal Auditor) — dé internationale kwalificatie van het IIA voor de interne auditfunctie. Een driedelig examen; toelating vraagt doorgaans een bachelor plus twee jaar (of een master plus één jaar) auditervaring.
  • CISA (Certified Information Systems Auditor) — toonaangevend voor de IT-auditkant en in bijna elke IT-auditvacature terug te vinden.
  • RE (Register EDP-auditor) — de Nederlandse postdoctorale opleiding tot EDP-auditor, het zwaargewicht voor wie de IT-auditkant serieus in wil.
  • RO / EMIA (Register Operational Auditor) — de Nederlandse post-master voor operational auditors, relevant wanneer je binnen een brede interne auditfunctie werkt.
  • CRISC en CISM — waardevol voor de risico- en securityraakvlakken van het werk.

Een veelvoorkomend pad is een relevante hbo- of wo-opleiding (bijvoorbeeld bedrijfskunde, informatica of accountancy), gevolgd door een start als IT Internal Auditor en het behalen van CISA en/of de RE-titel naast het werk. De CIA komt vaak in beeld zodra je je meer op de brede internal-auditrol richt.

Wat verdient een IT Internal Auditor?

Salarissen lopen uiteen, afhankelijk van ervaring, sector, organisatiegrootte en certificering. Onderstaande bandbreedtes geven een indicatie voor Nederland in 2026 (bruto jaarsalaris, exclusief bonussen):

Rol Niveau Indicatie salaris
(Junior) IT Internal Auditor Instap €45.000 – €60.000
Senior IT Internal Auditor Medior / senior €65.000 – €90.000
IT Internal Audit Manager Management €90.000 – €120.000
Head of Internal Audit / Chief Audit Executive Leiding €130.000+

Financiële instellingen betalen door de zware toezichteisen doorgaans bovengemiddeld. Vergelijk dit eventueel met het bredere IT-auditorsalaris en het CISO-salaris in Nederland. Zelfstandige professionals hanteren dagtarieven die bij schaarste flink kunnen oplopen.

Wat dit betekent voor jouw carrière

Interne IT-audit is een van de sterkste startpunten binnen IT-compliance, juist omdat je van binnenuit een organisatie leert doorgronden. Een typisch pad ziet er zo uit:

  • Instappen: als IT Internal Auditor bij een organisatie met een eigen auditfunctie, of extern als junior IT-auditor bij een advieskantoor.
  • Specialiseren: richting IT-technische diepte (CISA, RE), de brede internal-auditkant (CIA, RO) of een sector met zwaar toezicht zoals de financiële sector.
  • Doorgroeien: via Senior IT Internal Auditor en IT Internal Audit Manager naar Head of Internal Audit of Chief Audit Executive — of overstappen naar de tweede lijn als IT Risk Officer, naar Technology Risk of zelfs richting CISO.

De grote kracht van het vak is overdraagbaarheid: wie leert onafhankelijk te toetsen en risico's te wegen, kan dat in vrijwel elke sector inzetten — en schuift moeiteloos tussen audit, risk en security. Bekijk de actuele IT-auditvacatures en Risk Management-vacatures om te zien welke interne auditrollen werkgevers vandaag aanbieden.

Veelgestelde vragen over de IT Internal Auditor

Wat doet een IT Internal Auditor?

Een IT Internal Auditor is een interne IT-auditor die als onafhankelijke derde lijn binnen een organisatie toetst of de beheersing van IT en informatiebeveiliging aantoonbaar op orde is. Hij of zij stelt een risicogericht auditplan op, voert onderzoeken uit naar bijvoorbeeld logische toegang, wijzigingsbeheer, cloud, IT-projecten en de weerbaarheid tegen cyberaanvallen, en rapporteert bevindingen en aanbevelingen aan het management en de auditcommissie. Anders dan een externe auditor is de IT Internal Auditor in vaste dienst en beoordeelt hij structureel het hele IT-landschap van één organisatie, niet alleen wat relevant is voor de jaarrekening.

Wat is het verschil tussen interne en externe IT-audit?

De interne IT-auditor werkt in vaste dienst als onderdeel van de interne auditfunctie (de derde lijn) en dient de eigen organisatie en haar auditcommissie. De reikwijdte is breed: alle IT-risico's die de doelstellingen raken, van cybersecurity en cloud tot projecten en governance. De externe IT-auditor werkt bij een accountants- of advieskantoor en toetst vooral wat nodig is voor een oordeel bij de jaarrekening of voor een assurancerapport (zoals SOC of ISAE 3402) aan derden. Beide toetsen onafhankelijk, maar de interne auditor kijkt breder en langduriger, terwijl de externe auditor gebonden is aan de scope van zijn opdracht.

Welke certificeringen heb je nodig als IT Internal Auditor?

De CIA (Certified Internal Auditor) van het IIA is dé internationale kwalificatie voor de interne auditfunctie, terwijl de CISA (Certified Information Systems Auditor) toonaangevend is voor de IT-auditkant. In Nederland zijn daarnaast de postdoctorale RE-opleiding (Register EDP-auditor) voor IT-auditors en de RO/EMIA (Register Operational Auditor) voor operational auditors gangbaar. Voor de risico- en securityraakvlakken worden ook de CRISC en CISM gewaardeerd. Welke combinatie past, hangt af van of je meer de IT-technische of de brede internal-auditkant op wilt.

Wat zijn de Global Internal Audit Standards?

De Global Internal Audit Standards zijn de wereldwijde beroepsstandaarden voor interne audit, uitgegeven door het Institute of Internal Auditors (IIA). De vernieuwde standaarden zijn in 2024 gepubliceerd en per 9 januari 2025 van kracht. Ze zijn opgebouwd uit vijf domeinen, vijftien principes en tweeënvijftig standaarden en beschrijven onder meer onafhankelijkheid, objectiviteit, deskundigheid, risicogericht plannen en het uitvoeren en rapporteren van audits. Een IT Internal Auditor werkt volgens deze standaarden, aangevuld met IT-specifieke normen en raamwerken.

Wat verdient een IT Internal Auditor in Nederland?

Een startende IT Internal Auditor verdient in Nederland doorgaans tussen € 45.000 en € 60.000 bruto per jaar. Een medior tot senior IT Internal Auditor zit grofweg op € 65.000 - € 90.000, een IT Internal Audit Manager op € 90.000 - € 120.000 en een Head of Internal Audit of Chief Audit Executive kan boven de € 130.000 uitkomen. Financiële instellingen betalen doorgaans bovengemiddeld door de zware toezichteisen. Bedragen zijn indicatief, exclusief bonussen en variëren per sector, organisatiegrootte en certificering.