Zoekresultaten

Ontdek hoe je een ISAE 3402-verklaring effectief inricht en onderhoudt. En voorkom dat het een papieren tijger wordt zonder strategische waarde. Alle blogs TPM ISAE 3402 verklaring Zo haal je echt waarde uit je ISAE 3402-verklaring. Van verplicht vinkje naar integraal onderdeel van je interne beheersing De vraag is zelden of je een ISAE 3402-verklaring nodig hebt. Zeker niet als je organisatie diensten levert die impact hebben op de beheersing van klanten. De echte uitdaging zit in de hoe: Hoe richt je die verklaring zo in dat het geen jaarlijks hoofdpijndossier wordt? Hoe zorg je dat de controls niet alleen op papier kloppen, maar ook in de praktijk werken? En hoe maak je er een instrument van waar je organisatie echt beter van wordt? Want dat kan! Want als je ISAE 3402 slim aanpakt, levert het veel meer op dan een ‘groen vinkje’ voor de accountant. ISAE 3402 verklaring Zo haal je echt waarde uit je ISAE 3402-verklaring. Van verplicht vinkje naar integraal onderdeel van je interne beheersing De vraag is zelden of je een ISAE 3402-verklaring nodig hebt. Zeker niet als je organisatie diensten levert die impact hebben op de beheersing van klanten. De echte uitdaging zit in de hoe: Hoe richt je die verklaring zo in dat het geen jaarlijks hoofdpijndossier wordt? Hoe zorg je dat de controls niet alleen op papier kloppen, maar ook in de praktijk werken? En hoe maak je er een instrument van waar je organisatie echt beter van wordt? Want dat kan! Want als je ISAE 3402 slim aanpakt, levert het veel meer op dan een ‘groen vinkje’ voor de accountant. ISAE 3402: meer dan compliance Veel organisaties zien de ISAE 3402-verklaring nog altijd als een verplicht nummer. Iets wat je doet voor de auditor, of voor een klant die het nu eenmaal vraagt. Daardoor belanden ze in een jaarlijks repeterend patroon: Documenten verzamelen Control descriptions actualiseren Risicoanalyse herzien (maar vaak alleen oppervlakkig) Testplan afronden vóór de deadline En zodra de controle erop zit? Dan verdwijnt het hele framework weer in een digitale la. Tot volgend jaar. Zonde . Want wie ISAE 3402 serieus en strategisch inzet, creëert een structuur die: inzicht geeft in de volwassenheid van processen; houvast biedt aan klanten en toezichthouders; en rust en zekerheid geeft binnen je eigen organisatie. Dan wordt ISAE geen last, maar een kans. De drie grootste valkuilen Om die stap te maken, moet je eerst begrijpen waar het meestal misgaat. Drie valkuilen zie je in veel trajecten terug: 1. Je bouwt voort op verouderde processen Een klassieke fout: bij de (her)inrichting van het ISAE-framework neem je het bestaande procesmodel als uitgangspunt. Handig, denk je. Maar stel jezelf eens deze vragen: Zijn je processen sinds de vorige verklaring veranderd? Is er sprake van automatisering, hybride werken of outsourcing? Is je dienstverlening verschoven naar andere producten of markten? Als het antwoord op één van deze vragen ‘ja’ is, dan is je oude procesmodel geen stevig fundament meer en sluit je verklaring niet langer aan bij de praktijk. 2. De control descriptions zijn onbegrijpelijk Te technisch, te abstract of juist zo gedetailleerd dat niemand er nog chocola van kan maken. De control descriptions zijn het hart van je verklaring. En als die niet goed zijn, klopt de rest ook niet. Een goede control voldoet aan drie eisen: Begrijpelijk : proceseigenaren moeten snappen waar de control over gaat. Toetsbaar : auditors moeten objectief kunnen vaststellen of de control werkt. Toepasbaar : de control moet realistisch uitvoerbaar zijn binnen het proces. Kwaliteit zit dus niet in de hoeveelheid, maar in de scherpte ervan. Vijf heldere, werkende controls zijn waardevoller dan twintig wollige maatregelen die niemand echt uitvoert. 3. Geen eigenaarschap in de lijn Zolang ISAE 3402 ‘iets is van audit of compliance’, zal het nooit echt gaan leven. Je wilt dat proceseigenaren zich verantwoordelijk voelen voor hun beheersmaatregelen. Dat zij snappen waarom die controls er zijn. En dat zij zelf actief bijdragen aan het onderhoud en de verbetering ervan. Zonder dat eigenaarschap verwordt je verklaring tot een papieren tijger. Mooi op papier, maar nutteloos in de praktijk. Zo til je ISAE 3402 naar een hoger niveau De stap van compliance naar continu verbeteren vraagt om een andere mindset en aanpak. Onderstaande tips helpen je op weg: 1. Begin opnieuw met je risicoanalyse Laat de bestaande versie even voor wat die is. En stel jezelf en je team opnieuw de fundamentele vraag: Wat zijn de risico’s in onze dienstverlening vandaag, met deze klanten, deze processen en deze systemen? Breng die risico’s concreet in kaart. Ga daarbij verder dan alleen financiële of operationele risico’s. Kijk ook naar: Technologische risico’s (bijv. afhankelijkheid van platforms of integraties) Organisatorische risico’s (bijv. personele krapte, hybride werken) Reputatierisico’s (bijv. bij een datalek of foutieve rapportage) Pas als je deze risico’s scherp hebt, kun je ook passende en effectieve controls formuleren. 2. Breng je controls naar de praktijk Laat niet alleen de audit- of complianceafdeling de controls beschrijven. Leg ze voor aan de mensen die het werk doen. Vraag hen: “Wat betekent deze control voor jouw werkdag?” Als ze het niet kunnen uitleggen, werkt de control niet. Dan is er of iets mis met de formulering of met de uitvoerbaarheid. Beide zijn een probleem en bieden tegelijk een kans om te verbeteren. Door proceseigenaren actief te betrekken, verhoog je de acceptatie en de kwaliteit van je controls. 3. Veranker ISAE in je governance Een ISAE-framework moet niet losstaan van de rest van je organisatie. Integendeel. Integreer je controls in bestaande managementprocessen, bijvoorbeeld: Koppel controls aan bestaande KPI’s en dashboards. Neem beheersmaatregelen op in kwartaalrapportages. Bespreek knelpunten structureel in RvB- of MT-overleggen. Zo houd je het onderwerp levend. En voorkom je dat het alleen in het voorjaar relevant is, als de audit eraan komt. ISAE 3402 is nooit ‘af’ Nieuwe technologieën, nieuwe klanten, nieuwe eisen van toezichthouders, alles verandert voortdurend. Dat betekent ook dat je ISAE-verklaring een levend document moet zijn. Niet een set documenten die je jaarlijks afvinkt, maar een dynamisch framework dat meebeweegt met je organisatie. Dat vraagt om: Continu herijken van je risico’s en controls. Periodieke reflectie op de effectiviteit van je beheersmaatregelen. Een cultuur waarin eigenaarschap voor beheersing breed wordt gedragen. Zie het als een kans: organisaties die hun ISAE 3402 slim inzetten, bouwen aan veerkracht, klantvertrouwen en interne rust. Ze kunnen met recht zeggen: wij zijn ‘in control’. Tot slot: zie ISAE als hefboom, niet als hinderpaal Een goed ingericht ISAE 3402-framework kost tijd en aandacht. Maar het levert ook veel op: Meer grip op je processen Beter onderbouwde keuzes Hogere klanttevredenheid Meer rust bij management en bestuur Of je nu net begint met een verklaring of al jaren een framework hebt: er valt altijd winst te behalen. Maar dan moet je wel durven kijken. En durven verbeteren. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe soft controls gedrag en cultuur in organisaties beïnvloeden. Volg de training Soft Controls van Ferocia en pas ze direct toe in jouw audits. Alle blogs Internal auditing Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde controles zoals procedures, rapportages en bevoegdheden nog steeds belangrijk. Maar wie echt wil begrijpen hoe een organisatie functioneert, moet verder durven kijken. Naar gedrag, naar cultuur, naar wat mensen drijft en naar de ongeschreven regels. Oftewel: naar soft controls. Wat zijn soft controls? Soft controls zijn de niet-tastbare beheersmaatregelen die het gedrag van mensen in een organisatie beïnvloeden. Denk aan integriteit, voorbeeldgedrag, betrokkenheid, vertrouwen, loyaliteit en aanspreekbaarheid. Waar hard controls zijn vastgelegd in beleid en processen, zitten soft controls in de hoofden en harten van mensen. Ze bepalen in hoge mate of die regels in de praktijk ook echt worden nageleefd. Steeds meer internal auditfuncties voegen daarom cultuur- en gedragsaspecten toe aan hun werk. Onderwerpen als sociale veiligheid, psychologische veiligheid en vertrouwen verschijnen steeds vaker op de auditkalender. En terecht, want als je als auditor, controller of risk officer echt waarde wilt toevoegen, kun je soft controls niet negeren. Maar hoe onderzoek je soft controls op een gedegen manier? Welke modellen en technieken gebruik je? En hoe zorg je ervoor dat je bevindingen overtuigend zijn en leiden tot actie? Wat leer je tijdens de training soft controls? De training soft controls van Ferocia geeft je in korte tijd (twee dagdelen) de juiste kennis en vaardigheden om met soft controls aan de slag te gaan in jouw eigen praktijk. Je leert: wat cultuur en gedrag zijn en hoe ze zich tot elkaar verhouden; waarom soft controls onmisbaar zijn voor effectieve beheersing; hoe je met modellen onderzoek doet naar cultuur en gedrag; hoe je gerichte vragen stelt om soft controls in kaart te brengen; en welke interventies je kunt voorstellen om soft controls in organisaties te verbeteren. Het programma bestaat uit een interactieve lesdag van zes uur en een innovatieve e-learning. De e-learning ‘Cultuur en Gedrag’ volg je waar en wanneer je maar wilt. Tijdens de lesdag oefen je actief met modellen, cases en praktijkopdrachten. Je past het geleerde direct toe op je eigen situatie, stelt een persoonlijk actieplan op en ontvangt feedback van je docent en van andere deelnemers. Geen lange theorieën of abstracte concepten, maar praktisch toepasbare inzichten, afgestemd op de realiteit van jouw werk. Wat kan ik nadat ik de training heb afgerond? Na afronding van deze training ben jij in staat om: Soft controls te herkennen en te benoemen in audits. Cultuur- en gedragsaspecten doelgericht te onderzoeken. Inzichten uit modellen te vertalen naar jouw praktijk. Interventies aan te reiken die het functioneren van soft controls verbeteren. Je ontvangt een certificaat van deelname en (indien van toepassing) 9 PE-punten. Maar belangrijker nog, je beschikt over een solide basis om met vertrouwen soft controls mee te nemen in jouw audits, controles of risicoanalyses. De opgedane kennis levert directe toegevoegde waarde in je dagelijkse werk. Zoals een oud-deelnemer het verwoordde: “De training bood praktische handvatten om soft controls toe te passen binnen audits. De opgedane kennis levert direct toegevoegde waarde in mijn werk.” Voor wie is deze training bedoeld? Deze training is ontwikkeld voor professionals die zich bezighouden met auditing, risicobeheersing of procesbeheersing en die hun vakmanschap willen verdiepen met inzichten over cultuur en gedrag. Herken jij jezelf in één van onderstaande rollen? Operational auditor IT-auditor Financial auditor Accountant Controller Risk officer Compliance officer Medewerker AO/IC Kwaliteitsmedewerker Proceseigenaar Dan is deze training voor jou. Voor deelname is hbo werk- en denkniveau gewenst. Er is géén voorkennis van psychologie of veranderkunde vereist. Juist omdat we het belangrijk vinden dat soft controls niet iets zijn ‘voor de experts’, maar voor elke professional die zich bezighoudt met beheersing en sturing binnen organisaties. De werkvorm: leren door te doen Bij Ferocia geloven we in activerend leren. Dat betekent dat je tijdens deze training niet alleen maar luistert, maar vooral ook zelf aan de slag gaat. De training bestaat uit: E-learning : De module 'Cultuur en Gedrag' volg je zelfstandig, op een moment dat jou uitkomt. De inhoud sluit direct aan bij de thema’s van de lesdag. Lesdag : Tijdens deze dag (fysiek of digitaal) oefen je actief met modellen en technieken. Je werkt aan een eigen case, stelt een persoonlijk actieplan op en ontvangt feedback. Interactieve werkvormen : Je oefent met vraagtechnieken, neemt deel aan rollenspellen en werkt aan praktijkopdrachten. Daarbij werk je zowel individueel als in kleine groepen. Ervaringsuitwisseling : Je leert niet alleen van de docent, maar ook van de ervaringen en perspectieven van andere deelnemers. Dit zorgt voor nieuwe inzichten en inspiratie. De bijeenkomsten vinden plaats in onze mixed classrooms : je kunt dus zelf kiezen of je fysiek aanwezig bent of digitaal aansluit. De docenten: experts met praktijkervaring De training wordt verzorgd door topdocenten met zowel academische bagage als stevige praktijkervaring. Zij begrijpen de uitdagingen van jouw werk en weten complexe concepten begrijpelijk én toepasbaar te maken. Klaar om soft controls in jouw werk te integreren? Wil jij: Soft controls echt begrijpen en toepassen? Cultuur en gedrag meenemen in je audits of risicoanalyses? Praktische tools, modellen en handvatten om direct mee aan de slag te gaan? Sparren met professionals uit andere organisaties? In korte tijd grote stappen zetten? Dan is deze training precies wat je zoekt. Meer informatie over de kosten en startdata, klik hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek waarom beheersmaatregelen falen en los structurele problemen op met onze diepgaande oorzaakanalyse op gedrag en cultuur. Alle blogs Gedrag en cultuur Oorzaakanalyse op gedrag en cultuur Van symptoombestrijding naar structurele oplossing Een internal auditor beoordeeld o.a. de kwaliteit van de risicobeheersing. Soms blijkt uit de audit dat een maatregel niet effectief is. De auditor geeft aanbevelingen en als er geen weerstand is bij het management, worden de aanbevelingen uitgevoerd. En toch keert bij de volgende audit dezelfde bevinding terug. De maatregel werkt nog steeds niet. Niet omdat mensen onwillig zijn of “het niet wisten”, maar omdat in sommige situaties de echte oorzaak dieper ligt. Vaak ligt die oorzaak dan in motieven van medewerkers die niet stroken met de papieren werkelijkheid, in waarden die botsen en/of in overtuigingen en ongeschreven regels die het dagelijkse handelen sturen. Precies daar begint onze aanpak. Ferocia biedt een diepgaande oorzaakanalyse op gedrag en cultuur. We kijken voorbij de zichtbare symptomen en onderzoeken waarom de maatregel in de praktijk niet werkt. Door die onderstroom expliciet te maken, ontstaat een ander beeld van de oorzaak en andere acties om het geconstateerd probleem structureel op te lossen. Dat doen we samen met het management en de medewerkers die verantwoordelijk zijn voor de niet werkende beheersmaatregel. Want zij kennen het werk, de context en de signalen die een beheersmaatregel vormgeven. Wat bedoelen we met gedrag en cultuur? Gedrag zie je. Het is wat mensen doen en laten, wat ze zeggen, hun reflexen en de routines van het team. Cultuur is het onzichtbare draaiboek dat dit aanstuurt. Het zijn de stille spelregels die we van elkaar overnemen: wat hier normaal is, wat wordt beloond, wat risico heet en wat onbespreekbaar blijft. Je leest cultuur niet in een handboek; je merkt haar bij de koffieautomaat, in de stand-up, aan de bestuurstafel en op de vrijmibo. Je hoort haar in wie het woord pakt, hoeveel tegenspraak past, welke fouten we delen en welke we liever onder het tapijt schuiven. Van “bijsturen” naar begrijpen waarom het misgaat Na een reguliere audit volgt vaak een vertrouwd ritueel: auditors geven aanbevelingen, het management neemt de aanbevelingen over, een deel van de aanbevelingen worden ook daadwerkelijk uitgevoerd en het andere deel blijft eindeloos op actielijsten staan waarbij de deadline continu verschoven wordt. Maar wat als uit een vervolg audit (of 2 de lijnscontrole) blijkt dat dezelfde bevinding terugkomt? Dan is er in de meeste gevallen meer aan de hand. Dan speelt er ‘onder water’ iets waardoor oppervlakkige acties of aanbevelingen geen effect meer hebben. Onder water zitten overtuigingen, aannames en (onbewuste) patronen die een sterke invloed hebben hoe mensen handelen. Denk aan de overtuiging dat snelheid altijd voorrang heeft op zorgvuldigheid. Of aan een teamnorm die zegt dat je elkaar in het overleg niet publiek corrigeert. Of aan een beloningsstructuur die “brandjes blussen” meer waarde geeft dan “incidenten voorkomen”. In zo’n context zal het gedrag zich herhalen, hoe goed de maatregel ook is beschreven. Onze oorzaakanalyse is ontworpen om die onderliggende overtuigingen, aannames en patronen zichtbaar te maken. We reconstrueren waarom het op dat moment logisch voelde om zo te handelen. Welke waarde gaf de doorslag? Welke mentale modellen kleurden het handelen? Welke informele regel maakte de uitzonderingsroute acceptabel? Door die vragen te beantwoorden, verschuift het gesprek van schuld naar inzicht, en van nog meer maatregelen naar de juiste ingreep op het juiste niveau. Binnen Ferocia hebben we twee type dienstverlening om de oorzaken op gedrag en cultuur in beeld te brengen als beheersmaatregelen blijvend niet effectief zijn. Hoe gaan we tewerk als je nog geen beeld hebt waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Een interactieve workshop. We starten bij de bevinding(en) uit de audit. We organiseren groepsinterviews met de direct betrokken medewerkers en lopen stap voor stap terug naar het beslismoment. Wie was erbij? Welke informatie was beschikbaar? Welke druk speelde? Welke doelen concurreerden? We luisteren naar woorden die veel zeggen, bijvoorbeeld: “even snel”, “voor deze klant maken we een uitzondering”, “zo doen we dat hier”. In die reconstructie zoeken we naar de onderliggende patronen, waarden en motieven die ten grondslag hebben gelegen aan de handelingen. Bijvoorbeeld het markeren van een change als “spoed”, het aftekenen van een contract zonder tweede paar ogen of het schuiven met bevoegdheden “omdat het nu eenmaal moet”. De data uit de groepsinterviews worden vervolgens geanalyseerd waarna de patronen van een team of afdeling in beeld worden gebracht. In een zogenaamde validatieworkshop wordt de analyse gedeeld en besproken, waarna de concrete actiepunten opgesteld worden. Deze actiepunten kunnen plaatsvinden op drie niveaus: het herontwerpen van de beheersmaatregel en/of risico, het versterken van gewenst gedrag en het gericht sturen op cultuur (denk aan feedback-rituelen, rolmodellen en teamafspraken). Hoe gaan we tewerk als je wel een beeld hebt waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Het IPPA-model Heb je een duidelijk beeld waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Dan is het IPPA-model van het IIA een zeer effectief en praktisch hulpmiddel de diepere oorzaken te onderzoeken die schuilgaan achter falende beheersmaatregelen of uitblijvende resultaten Denk aan zaken als verantwoordelijkheid nemen, aanspreekcultuur of samenwerking binnen teams. We starten met het bepalen van de kritieke people-process-combinaties: waar is gedrag cruciaal om een proces goed te laten functioneren? Vervolgens gebruiken we het gedragsrepertoire van IPPA, bestaande uit meer dan 80 gedragsaspecten om scherpe interviewvragen te formuleren. Daarmee krijgen we zicht op wat mensen daadwerkelijk doen, waarom ze dat doen en hoe dat past binnen de cultuur van de organisatie. Daarna analyseren we de data en verbinden deze aan de risico’s en beheersmaatregelen. Ten slotte worden de inzichten vertaald naar concrete en uitvoerbare acties. Deze verbeteractie kunnen ook hier plaatsvinden op drie niveaus: het herontwerpen van de beheersmaatregel en/of risico, het versterken van gewenst gedrag en het gericht sturen op cultuur. Het mooie is: IPPA biedt structuur zonder star te zijn. Het geeft richting aan het gesprek over gedrag, zonder te vervallen in vage termen. En het maakt soft controls concreet. Samen met de mensen die het werk doen Een diepgaande oorzaakanalyse naar gedrag en cultuur kan alleen maar met de direct betrokken medewerkers. Hun overtuigingen, aannames en patronen moeten namelijk inzichtelijk worden gemaakt. Daarom reconstrueren we deze diepgaande oorzaakanalyse niet over mensen, maar met mensen. We maken het veilig om te spreken over overtuigingen en dilemma’s, zonder beschuldigende toon. We laten zien dat gedrag logisch is gegeven de prikkels en verhalen in de organisatie. Daardoor ontstaat eigenaarschap: niet omdat het moet, maar omdat het klopt. Het effect van samenwerken is tweeledig. We krijgen rijkere data, omdat mensen zich herkennen in wat er werkelijk speelt. En de verbetering vindt sneller plaats, omdat dezelfde mensen die het moeten waarmaken hebben meegedacht over het ontwerp. Van inzicht naar ingreep die blijft werken Een goede analyse eindigt met handelingsperspectief. Geen dikke rapporten, wel heldere keuzes. Vaak gaat het om gerichte aanpassingen die samen het gedrag kantelen. We koppelen afspraken aan concrete beslispunten, niet aan abstracte intenties. We leggen vast wie waarover beslist als waarden botsen, hoe afwijkingen worden gemeld zonder verlies van gezicht, en hoe we leren van incidenten zonder jacht op schuldigen. Zo blijft de maatregel niet alleen op papier overeind, maar ook in de praktijk, juist onder druk. Wat levert dit concreet op? Allereerst verdwijnen terugkerende bevindingen. Niet omdat we ze beter formuleren, maar omdat de oorzaak is aangepakt. Beheersmaatregelen gaan doen waarvoor ze ooit zijn ontworpen. De opvolging van auditbevindingen wordt korter en effectiever, omdat maatregelen logisch voelen voor de uitvoering. Incidenten worden eerder en vollediger gemeld, waardoor de leercurve stijgt en het rest-risico daalt. Daarnaast verbetert de kwaliteit van de dialoog tussen internal audit en de 1 ste lijn. Management en medewerkers spreken dezelfde taal over risico’s en waarden. De geloofwaardigheid richting bestuur, toezichthouder en auditor groeit: je kunt uitleggen hoe gedrag en cultuur bijdragen aan beheersing en hoe je dat zichtbaar maakt in resultaten. Op langere termijn kan de auditor concrete invulling geven aan haar rol als strategisch adviseur van het bestuur, door de uitkomsten van meerdere diepgaande oorzaakanalyse op gedrag en cultuur in samenhang te analyseren. Dit levert organisatie brede inzichten op waarom we bepaalde zaken juist wel of juist niet weren. Door de diepgaande oorzaakanalysebouw werk je aan veerkracht. Teams ontwikkelen een gedeelde reflex om spanning te herkennen en vroeg te adresseren. Controls worden eenvoudiger omdat ze aansluiten op de manier waarop mensen werkelijk werken. Dat maakt naleving minder zwaar en betrouwbaarder. Waarom Ferocia? Wij verbinden vaktechniek met gedragskunde. We spreken de taal van audit, control, risk en compliance en weten tegelijk hoe je menselijk gedrag duurzaam beïnvloedt. Onze aanpak is nuchter, snel en precies. We brengen de onderstroom naar boven in duidelijke taal, ontwerpen interventies die passen bij de realiteit van jouw organisatie en verankeren ze in ritmes die je al hebt. Geen extra bureaucratie, wel een blijvende verandering in hoe beslissingen worden genomen als het spannend is. Klaar om van vinken naar veranderen te gaan? Als uit de audit blijkt dat een beheersmaatregel niet werkt, kun je opnieuw bijsturen en hopen op een beter resultaat. Of je kunt begrijpen waarom de maatregel niet landt en precies dáár ingrijpen waar gedrag en cultuur de koers bepalen. Kies je voor dat laatste, dan helpen wij je graag. Met een diepgaande oorzaakanalyse die motieven, waarden en overtuigingen zichtbaar maakt. Met oplossingen die niet alleen vandaag werken, maar blijven werken. En met een samenwerking waarin de mensen die het moeten doen, het ook willen doen, omdat het klopt! Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontwikkel krachtige gesprekstechnieken voor auditors en riskmanagers. Vergroot je impact met de praktijkgerichte training gesprekstechnieken. Schrijf je in! Training Gesprekstechnieken Duur Studiekosten PE-punten 2 dagdelen € 595,- 9 Inschrijven Training Gesprekstechnieken Een sterke auditor, een impactvolle controller of een ervaren riskmanager valt of staat met het voeren van het juiste gesprek. Of het nu gaat om het scherpstellen van de opdracht, het doorgronden van gedragsaspecten tijdens een interview of het omgaan met weerstand aan tafel, jouw gesprekstechnieken bepalen het resultaat. Wat leer je tijdens de training gesprekstechnieken? In de training gesprekstechnieken ontwikkel je de vaardigheden om als auditor, controller of risicoprofessional met zelfvertrouwen en regie gesprekken te voeren met opdrachtgevers, geïnterviewden en andere stakeholders. In twee interactieve dagdelen, ondersteund door een e-learning, oefen je met verschillende interviewvormen, leer je zowel verbale als non-verbale technieken effectief in te zetten en train je het voeren van lastige gesprekken. Je ontdekt hoe een goede voorbereiding de kwaliteit van een gesprek verhoogt, hoe je structuur aanbrengt in interviews en hoe je regie en balans behoudt, ook in uitdagende situaties. Daarnaast leer je schakelen tussen verschillende communicatieniveaus en ga je aan de slag met het creëren van draagvlak, zelfs bij weerstand. Alle opgedane vaardigheden vertaal je direct naar je eigen praktijk in een persoonlijk actieplan, waarop je waardevolle feedback ontvangt van docent en medecursisten. Zo weet je zeker dat je gesprekken niet alleen beter verlopen, maar ook daadwerkelijk leiden tot resultaat. Waarom kiezen voor de training Gesprekstechnieken? Toegespitst op jouw vakgebied: gesprekstechnieken in de context van audit, control en risk. Praktisch en interactief: leren met cases, rollenspellen en uitwisseling van ervaringen. Krachtige voorbereiding: je start met een e-learning die je zelfstandig en flexibel doorloopt. Direct toepasbaar: je ontwikkelt een actieplan waarmee je gericht werkt aan je gespreksvaardigheid. Flexibele deelname: kies zelf of je de training fysiek of online bijwoont via onze mixed classroom. Waarom kiezen voor Ferocia? Ferocia is specialist in het opleiden van professionals in audit, control en risk. Bij ons kun je rekenen op topdocenten die verbonden zijn aan toonaangevende hogescholen en universiteiten en hun praktijkervaring volop meenemen in de opleiding. We werken met een innovatieve didactiek waarin e-learning, praktijkopdrachten en teamleren elkaar versterken. Altijd praktijkgericht, want bij Ferocia draait het niet alleen om kennis opdoen, maar vooral om kennis toepassen. Onze trainingen zijn gedreven door impact: je merkt direct dat je beter functioneert in je rol. Wil jij je ontwikkelen tot een gesprekspartner die met vertrouwen en regie elke situatie aankan? Schrijf je dan nu in voor de training Gesprekstechnieken en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar en van jou wordt verwacht kwalitatief goede gesprekken te voeren met de opdrachtgever, interviewees en andere belanghebbenden bij verschillende fases van een audit. De tijdsinvestering bedraagt ongeveer 9 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze training werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 9 PE-punten. De studiekosten bedragen € 595,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Brenda van den Berk Operational auditor "Deze training is ontzettend handig voor het verbeteren van auditgesprekken, dankzij de mix van theorie en oefening!" Marie-José Masseus Auditor "Interviewtechnieken worden opgefrist door een betrokken docent die met werkelijke praktijkvoorbeelden perfect aansluit bij onze doelgroep!" Tatyana Kiryakova Financial auditor "De training gesprekstechnieken biedt praktische tips die je helpen beter om te gaan met situaties die je dagelijks tegenkomt." Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Training gesprekstechnieken voor auditors en riskmanagers Of je nu werkt als auditor, controller of risk officer, je succes hangt meer af van je gespreksvaardigheden dan je misschien denkt. Hoe... 26 aug 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Volg de opleiding IT-auditing van Ferocia en Avans+ en ontwikkel je tot een impactvolle IT-auditor die organisaties helpt grip te krijgen op digitale risico’s en IT-beheersing. Postbacheloropleiding IT-auditing Duur Studiekosten PE-punten 8 maanden € 7.450,- 110 Inschrijven Opleiding IT-auditing Wil jij jouw carrière een stevige impuls geven? Kies dan voor de postbacheloropleiding IT-auditing, die wij in samenwerking met Habeo+ aanbieden. Deze praktijkgerichte opleiding helpt je om uit te groeien tot een volwaardige gesprekspartner voor bestuur en management. Je ontwikkelt de kennis en vaardigheden die nodig zijn om IT-risico’s inzichtelijk te maken en organisaties daadwerkelijk te helpen ‘in control’ te zijn. Wat leer je tijdens de opleiding IT-auditing? In een tijd waarin organisaties steeds afhankelijker worden van digitale processen, is grip op IT-risico’s van groot belang. De opleiding IT-auditing biedt jou de kennis en vaardigheden om professionele IT-audits uit te voeren en te dviseren over IT-governance, informatiebeveiliging en compliance. Als IT-auditor onderzoek je niet alleen de technologie zelf, maar ook de processen eromheen. Je leert hoe je zekerheid biedt over drie belangrijke pijlers van IT-beheersing: • Beschikbaarheid – zijn systemen toegankelijk wanneer nodig? • Integriteit – zijn gegevens volledig, juist en betrouwbaar? • Vertrouwelijkheid – is gevoelige informatie goed beschermd? Waarom kiezen voor de opleiding IT-auditing? De behoefte aan goed opgeleide IT-auditors groeit snel. Door digitalisering, strengere wet- en regelgeving (zoals de AVG/GDPR) en de toenemende aandacht voor cybersecurity, is er meer vraag dan ooit naar professionals die IT-risico’s inzichtelijk kunnen maken en beheersmaatregelen kunnen beoordelen. De opleiding IT-auditing sluit naadloos aan op deze ontwikkelingen en bereidt je voor op een rol met impact. Waarom kiezen voor Ferocia en Habeo+? De opleiding IT-auditing van Ferocia en Habeo+ is de best gewaardeerde en meest erkende postbacheloropleiding op dit vakgebied in Nederland. De opleiding onderscheidt zich door haar sterke praktijkgerichtheid, actuele lesinhoud en de begeleiding door ervaren docenten uit het werkveld. De lesstof sluit aan bij de nieuwste ontwikkelingen in het vak, zoals het gebruik van AI in audits en de toepassing van de meest moderne auditmethodiek (auditmethodiek 2.0). Je leert niet alleen de theorie, maar past deze direct toe in realistische casussen en opdrachten. Zo ben je optimaal voorbereid op een rol waarin je daadwerkelijk impact maakt op het IT-risicobeheer en de digitale weerbaarheid van jouw organisatie. Je kunt de opleiding volgen in Apeldoorn, Breda, Den Haag of Utrecht, en de colleges zijn desgewenst ook online te volgen. Zo heb je maximale flexibiliteit in hoe en waar je studeert. Wil jij je ontwikkelen tot een waardevolle IT-auditor die écht het verschil maakt? Schrijf je dan nu in voor de postbacheloropleiding IT-auditing en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (IT-, operational of financial) auditor, accountant, controller, risk officer, compliance officer, kwaliteitsmedewerker, medewerker AO/IC of proceseigenaar. Van jou wordt verwacht dat je een onderbouwd oordeel kunt vormen over IT-gerelateerde beheersing of hierover kunt adviseren binnen jouw organisatie. Of je bent werkzaam binnen de IT en krijgt steeds vaker te maken met vraagstukken op het gebied van audit en compliance. De postbacheloropleiding IT-auditing bestaat uit 14 fysieke bijeenkomsten van drie tot zes uur. Daarnaast volg je zeven e-learnings van ongeveer drie uur per stuk, op momenten die jou het beste uitkomen. Een belangrijk onderdeel van de opleiding is het uitvoeren van een IT-audit binnen je eigen organisatie. Hierbij word je intensief begeleid door een ervaren docent. Voor deze praktijkopdracht én de bijeenkomsten samen ben je gemiddeld vier tot acht uur per week kwijt. Daarnaast vragen we ongeveer twee uur per week aan zelfstudie, zodat je het maximale uit de opleiding haalt. De postbacheloropleiding IT-auditing is sterk praktijkgericht. Tijdens de opleiding voer je een eigen IT-audit uit binnen je organisatie, waarbij je intensief wordt begeleid door een ervaren docent. Via innovatieve e-learnings doe je voorafgaand aan de bijeenkomsten de benodigde basiskennis op, op een moment en locatie die jou het beste uitkomt. Omdat je goed voorbereid aan de bijeenkomsten deelneemt, is er tijdens de contactmomenten ruimte voor verdieping. We gaan dan actief aan de slag met het toepassen van de theorie in de praktijk, onder andere aan de hand van casuïstiek en rollenspellen. Daarnaast wissel je ervaringen uit met mededeelnemers die werkzaam zijn in uiteenlopende sectoren. Dankzij het interactieve karakter van de opleiding en de diversiteit aan perspectieven ontstaat een sterk lerend effect. Na afronding van de postbacheloropleiding IT-auditing ben je in staat om het management (aanvullende) zekerheid te bieden over de kwaliteit van IT-risicobeheersing binnen jouw organisatie. Dankzij de ontwikkelde adviesvaardigheden lever je bovendien een krachtige bijdrage aan het lerend vermogen van de organisatie. Je beheerst het IT-auditvak, hebt zicht op actuele ontwikkelingen in de praktijk en treedt op als volwaardig gesprekspartner voor bestuur en directie. Na succesvolle afronding ontvang je het postbachelordiploma IT-auditing. Ben je PE-plichtig? Dan levert deze opleiding je 110 PE-punten op. Wil je je na deze opleiding verder verbreden richting organisatiebrede risicobeheersing? Dan kun je de postbacheloropleiding Operational auditing volgen in verkorte vorm en tegen gereduceerd tarief. De investering in de postbacheloropleiding IT-auditing bestaat uit drie onderdelen: opleidingskosten, arrangementskosten en studiematerialen. Hieronder vind je een overzicht van de kosten en betalingsmogelijkheden: Opleidingskosten: € 7.450,- (vrijgesteld van btw) Arrangementskosten: € 770,- (excl. 9% btw) Studiematerialen: circa € 110,- (deze schaf je zelf aan) Voor aanvang van de opleiding ontvang je een factuur. Je kunt ervoor kiezen om de opleidingskosten in kwartaaltermijnen te betalen. In dat geval geldt een toeslag van 5% op het totaalbedrag van de opleidingskosten. Wat eerdere deelnemers zeggen Vincent Gieling Business analyst "De leraren waren erg bekwaam en bevlogen en gaven sprekende voorbeelden uit de praktijk!" Daniëlle Giezeman Internal auditor "De docenten zijn kundig en weten waar ze over spreken!" Sanne de Jongh IT-auditor “De opleiding IT-auditing gaf mij praktische handvatten om IT-risico’s beter te beoordelen!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken... 10 sep 2025 17 minuten om te lezen IT-auditing opleiding De wereld digitaliseert in razend tempo. Processen worden geautomatiseerd, data reist realtime over netwerken en systemen bepalen het... 13 aug 2025 4 minuten om te lezen Meer weten over of direct inschrijven voor de opleiding IT-auditing? Brochure Adviesgesprek Inschrijven

Ontdek hoe integraal risicomanagement jouw organisatie wendbaar en toekomstbestendig maakt. Verhoog veerkracht met een integrale en strategische aanpak. Risicomanagement Cyberdreigingen, klimaatverandering, verstoorde supply chains, strenge wet- en regelgeving, maatschappelijke druk op duurzaamheid en transparantie... De wereld verandert snel. En met deze veranderingen groeit de complexiteit en impact van risico’s voor organisaties in elke sector. De vraag is niet of risico’s zich voordoen, maar wanneer en hoe . Juist daarom is risicomanagement relevanter dan ooit. Niet als een jaarlijkse exercitie op papier, maar als een continu strategisch proces. Als stuurinstrument, leerinstrument en als versneller om je organisatiedoelen te realiseren. Maar wat is risicomanagement nu eigenlijk? En hoe zorg je ervoor dat het meer oplevert dan alleen rapporten en registraties? Wat is risicomanagement? In de kern draait risicomanagement om het gestructureerd omgaan met onzekerheden die de realisatie van je organisatiedoelen bedreigen. Het is het proces waarin je: risico’s identificeert; inschat wat hun impact en waarschijnlijkheid is; bepaalt welke (beheers)maatregelen je neemt om risico’s te mitigeren; en monitort of die (beheers)maatregelen ook daadwerkelijk effect hebben. Maar dat is de theorie. In de praktijk gaat risicomanagement veel verder dan een inventarisatie of risicomatrix. Hoe je effectief een risicoanalyse uitvoert, lees in deze blog. Het raakt aan alle niveaus van de organisatie: van strategische besluitvorming tot operationele uitvoering. Het omvat strategische risico’s (zoals reputatie of marktveranderingen), operationele risico’s (procesfouten, datalekken), compliance risico’s (nieuwe wetgeving, toezichthouders) en IT- en cyberrisico’s. Kortom: risicomanagement is geen abstract model maar een concreet hulpmiddel om grip te houden op alles wat jouw doelen in de weg kan staan. En dat begint met de juiste mindset. Waarom is risicomanagement belangrijk? Een organisatie zonder effectief risicomanagement laat zich leiden door incidenten. Brandjes blussen in plaats van koers houden. Iedere plotselinge verandering; een hack, nieuwe wetgeving, uitstroom van medewerkers zorgt voor paniek, vertraging of verlies van vertrouwen. Met goed risicomanagement: Ben je wendbaarder : je anticipeert op risico’s in plaats van ze alleen te beheersen. Neem je betere beslissingen : risico-informatie wordt meegenomen in besluitvorming. Verhoog je het lerend vermogen : risico’s worden gedeeld, besproken en aangepakt. Bouw je vertrouwen op : bij stakeholders, toezichthouders en medewerkers. Versterk je prestaties : doordat je risico’s koppelt aan doelen en KPI’s. Zeker in een tijd waarin organisaties sneller moeten reageren op veranderingen, is het van belang dat risicomanagement een natuurlijk onderdeel wordt van het dagelijks werk. Risicomanagement als strategisch instrument Veel organisaties hebben risicomanagement wel “op papier” geregeld: er zijn beleidsstukken, risicomatrices en formats. Maar in de praktijk blijven ze steken in afvinken, rapporteren of controleren. Bij Ferocia geloven we dat risicomanagement pas waarde toevoegt als het strategisch wordt ingezet. Niet als verplicht nummer of externe druk vanuit wet- en regelgeving, maar als integraal onderdeel van je bedrijfsvoering. Een manier om sneller, slimmer en slagvaardiger je doelen te realiseren. Strategisch risicomanagement betekent: Een proactieve houding : risico’s worden besproken voordat ze zich voordoen. Integraal denken : risico’s zijn geen apart onderwerp, maar onderdeel van processen als strategie, finance, HR, IT en operations. Daarbij zijn er keuzes te maken voor een risicomanagement model. Lees hierover mee in de blog over risicomanagement modellen . Duidelijke governance : eigenaarschap is belegd bij lijnmanagement, zij zijn en voelen zich verantwoordelijk. Continuïteit : risicomanagement is geen project maar een kort cyclisch proces. De visie van Ferocia op risicomanagement Voor ons is risicomanagement geen doel op zich, maar een hulpmiddel voor het management om de strategie te realiseren. En precies daar wringt het in veel organisaties: risicomanagement leeft vooral bij de controlfunctie of de tweede lijn terwijl het management, degene die de doelen moet halen, niet of onvoldoende is aangehaakt. Wij zien dat als een groot risico op zich! Te vaak is er geen verbinding tussen risicomanagement en het primaire proces. Hierdoor worden bevindingen worden niet herkend, maatregelen blijven liggen, risico’s worden niet geadresseerd. Het gevolg? Control voelt zich niet gehoord en gaat nog vaker en strenger controleren. Het management haakt af omdat het te bureaucratisch aanvoelt. Zo ontstaat een vicieuze cirkel waarin risicomanagement een papieren tijger wordt. Onze visie is helder: "effectief risicomanagement begint bij het betrekken van het management." Het management is primair verantwoordelijk voor het realiseren van de organisatiedoelen. Daar moet risicomanagement dus ondersteunend aan zijn. Geen dikke rapporten, maar inzichten die leiden tot betere keuzes, tijdige interventies en meer grip op de toekomst. Daarom pleiten wij voor een risicomanagementfunctie die: Geïntegreerd is in de 1 ste lijn; Effectief is in het signaleren van echte risico’s; Efficiënt werkt met slimme tooling en processen; En bovenal: begrijpelijk en werkbaar is voor iedereen in de organisatie. De opbouw van een effectief risicomanagement systeem Zoals gezegd is goed risicomanagement is geen checklist, maar een samenhangend systeem dat uw organisatie wendbaarder, betrouwbaarder en toekomstbestendiger maakt. Bij Ferocia kijken we daarom integraal naar vier thema’s die samen de ruggengraat vormen: 1. risicogovernance & strategie 2. risico-identificatie & beoordeling 3. risicobehandeling & beheersmaatregelen en monitoring 4. rapportage & assurance. Hieronder introduceren we elk thema en de belangrijkste onderliggende bouwstenen. Het doel: een begrijpelijk raamwerk waarmee u vandaag kunt starten en morgen kunt sturen. 1. Risico governance & strategie Een effectief risicomanagementsysteem begint bij duidelijke governance: wie beslist, wie voert uit en wie houdt toezicht? Wij hanteren het Three Lines Model. De eerste lijn is eigenaar van en beheerst de risico’s in de operatie. De tweede lijn (risk & compliance) ontwerpt kaders, adviseert en challenged. De derde lijn (interne audit) geeft onafhankelijke assurance over de opzet en werking en het samenspel tussen de eerste en tweede lijn. In sommige organisaties werkt ook een ‘lijn 1,5’. Bijvoorbeeld risicomanagers die adviseren en ondersteunen vanuit de business en zo dicht op de operatie zitten. Vanuit hun expertise werken zij samen met en voor de eerste lijn. Ultieme besluitvorming vindt plaats aan de top: de directie is eindverantwoordelijk en zet de toon. Een Risk Management Committee of een gecombineerd Risk & Audit Comité borgt de periodieke bespreking en bijstelling van risico’s, risk appetite en tolerances. Op de agenda van deze gremia staan in elk geval de top-risico’s, de mate van beheersing en de effectiviteit van (key) controls, incidenten en de daarbij horende lessons learned. Risk appetite en risk tolerances: wat betekent ‘meer of minder risico’ nu echt? Twee begrippen worden vaak door elkaar gehaald. Risk appetite of risicobereidheid: het niveau en type risico dat de organisatie willens en wetens wil nemen om strategische doelen te bereiken. Het is richtinggevend en kwalitatief, bijvoorbeeld: ‘wij tolereren geen schendingen van privacywetgeving’. Risk tolerances zijn concrete bandbreedtes per doel of proces waarbinnen variatie nog acceptabel is. Denk aan drempelwaarden voor IT-beschikbaarheid, verliezen of projectoverschrijdingen. Overschrijding van een tolerance is geen paniek, wél een helder signaal om bij te sturen. Risk appetite schetst de horizon; tolerances zijn de bakens langs de route. Koppeling met strategie en prestatiesturing Risicomanagement voedt besluitvorming pas echt als het verbonden is met doelstellingen en KPI/KRI’s. Koppel uw strategische KPI’s (zoals groei, klanttevredenheid of doorlooptijd) aan Key Risk Indicators (KRI’s) die vroegtijdig waarschuwen. Denk aan het aantal kritieke kwetsbaarheden in productie, het percentage high-risk leveranciers zonder contractuele clausules of de trend in near misses. Zo ontstaat één stuurmiddel voor prestaties én risico’s. 2. Risico-identificatie & beoordeling Zonder goed inzicht geen goede keuzes. Een risicoregister vormt de uitkomst: een eenduidig format met risicotaxonomie (zoals strategisch, financieel, operationeel, compliance), beschrijvingen die de oorzaak-gebeurtenis-gevolg-keten helder maken, en eigenaarschap per risico. Dat eigenaarschap ligt in de business. Risk ondersteunt en challenged. Risico identificatie Risico-identificatie is een gestructureerd en herhaalbaar proces waarin u top-down (vanuit strategie, doelstellingen en transities) én bottom-up (via processen, projecten en ketenpartners) kijkt en risico’s identificeert. Dat kan via workshops en walk-throughs met procesbeschrijvingen, analyse van incidenten, bijna-incidenten, auditbevindingen, klachten en externe signalen (wetgeving, markt, leveranciers, dreigingsinformatie). We formuleren risico’s consequent als gebeurtenis-oorzaak-gevolg en vermijden containerbegrippen. Nieuwe of gewijzigde risico’s ontstaan vaak bij verandermomenten (nieuwe producten, leveranciers, releases, reorganisatie) en verdienen daarom aandacht. De uitkomst van identificatie is een overzicht met context en aannames die later te toetsen zijn. Daarna volgt registratie in een risicoregister met eigenaren en vervolgstappen voor beoordeling. Kwantitatief én kwalitatief beoordelen Het beoordelen van risico’s start met het inschatten van kans en impact. Kwalitatieve schalen (laag–midden–hoog) geven snelheid en vergelijkbaarheid. Kwantitatieve methoden voegen diepgang toe, bijvoorbeeld scenario’s met bandbreedtes of Value-at-Risk benaderingen. Heatmaps zijn behulpzaam om te prioriteren, maar kijk verder: sommige risico’s hebben een lage kans maar catastrofale impact of sterke onderlinge samenhang. Scenario-analyse en stresstesten Scenario’s maken risico’s tastbaar. Begin met plausibele, narratieve scenario’s met duidelijke aannames: wat gebeurt er als een kritieke leverancier uitvalt, of als een ransomware-aanval een kernsysteem platlegt? Kwantificeer waar het kan: extra kosten, omzetverlies, impact op servicelevels en hersteltermijnen. Stresstesten verkennen vervolgens de grenzen en kunnen enkelvoudige of gecombineerde schokken omvatten: wat als twee incidenten samen optreden, of als herstel (of detectie) dubbel zo lang duurt? Belangrijk is dat scenario’s en testen leiden tot besluiten: extra maatregelen, meer redundantie of buffers, of het bijstellen van doelen. 3. Risicobehandeling & beheersmaatregelen Zodra risico’s helder zijn, volgt de keuze voor de risk response. Grofweg zijn er vier opties: vermijden (stoppen of niet beginnen), verminderen (maatregelen nemen), delen/overdragen (verzekering), en accepteren (bewust binnen appetite en tolerance). Het is zelden óf-óf: een combinatie bereikt vaak meer. Risicobehandeling is belangrijk bij het ontwerp van controls of beheersmaatregelen. Preventieve maatregelen voorkomen fouten of misbruik, bijvoorbeeld scheiding van taken of toegangsbeheer. Detectieve maatregelen zoals monitoring, reconciliaties, log-analyse signaleren snel en betrouwbaar. Correctieve maatregelen corrigeren fouten of omissies. Bepaal samen met de business welke controls key zijn: die met de grootste invloed op het restrisico of op de wettelijke naleving. Non-key-controls kunnen lichter worden ingericht of helemaal niet, mits het geheel robuust blijft. 4. Monitoring, rapportage & assurance Wat niet gemonitord wordt, daar wordt niet op gestuurd. Monitoring gaat verder dan terugkijken: het is ook vooruitkijkend en dus een early-warning-systeem. Kies KRI’s die ertoe doen, met duidelijke definities, goede brondata en doordachte drempelwaarden. Werk daarbij met signalering wat goed is (groen), aandacht nodig heeft (geel) of waar ingrijpactie’s noodzakelijk zijn (rood). Leg vooraf vast wie wat doet bij eventuele overschrijding. Voorkom decoratie: stuur op wat er echt toe doet. Rapportage die bestuurders écht helpt Belangrijk is om niet alleen te meten maar ook om te informeren, bijvoorbeeld aan het bestuur. Bestuurders hebben veelal weinig tijd. Een één-pagina dashboard dwingt tot scherpte: top-risico’s, trend per KRI, status van maatregelen, incidenten en lessons learned. De bijlagen bevatten details: de eerste pagina vertelt het verhaal. Maak duidelijk wat vragen we van het bestuur? Prioteren, informeren, investeren, escaleren of bijsturen. Zo bouwt u het geheel: samenhang in plaats van losse lijsten Samen vormen deze bouwstenen een solide raamwerk voor risicomanagement: helder in governance, scherp in prioritering, proportioneel in beheersing en lerend in de cyclus. Het helpt uw organisatie vooruit door risico’s te signaleren, afgewogen keuzes te maken en middelen te richten op wat er écht toe doet. Met een risk appetite en concrete tolerances wordt de balans tussen risico en rendement transparant en bestuurbaar. Het resultaat: betrouwbare processen en dienstverlening, aantoonbare naleving en meer veerkracht bij verstoringen, zonder onnodige bureaucratie. Hoe Ferocia organisaties ondersteunt met risicomanagement? Ferocia ondersteunt organisaties op een manier die past bij hun ambitie, volwassenheidsniveau en context. Geen standaardmethodes, maar maatwerk. Praktisch en strategisch. Altijd gericht op verankering in de praktijk. Onze dienstverlening bestaat uit vier pijlers: 1. Opleidingen en trainingen We leiden professionals op in risicomanagement, control en compliance. Praktijkgericht, actueel en afgestemd op de uitdagingen van vandaag. Denk aan opleidingen als Cursus Risicomanagement of risicomanagement methodiek . 2. Interim ondersteuning Tijdelijk capaciteit nodig? Onze ervaren risk-professionals helpen bij implementatie, monitoring of verandermanagement. Ze zijn snel inzetbaar en gewend om te schakelen tussen strategie en uitvoering. 3. Consultancy en implementatie Van het opzetten van een risicomanagement framework tot het begeleiden van RCSA’s of het inrichten van de drie lijnen: onze consultants helpen je om risicomanagement praktisch en strategisch neer te zetten. 4. Werving en selectie We helpen je bij het vinden van de juiste mensen op het gebied van risk, control en audit. Mensen die niet alleen de kennis hebben, maar ook de vaardigheden om risico’s bespreekbaar te maken, draagvlak te creëren en resultaten te boeken. Onze kracht? We combineren inhoudelijke expertise met een scherp oog voor cultuur, gedrag en verandervraagstukken. Want uiteindelijk draait het niet alleen om het proces maar om de mensen. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Waarom werkt risicomanagement zo vaak wél op papier, maar niet in de praktijk? In deze blog ontdek je de meest voorkomende oorzaken; gebrek aan eigenaarschap, slechte timing en geen ondersteunende cultuur. Leer hoe je risicomanagement wél laat leven in besluitvorming en gedrag. Klik door en maak jouw organisatie écht weerbaar. Waarom risicomanagement vaak niet werkt Knop Welk risicomanagementmodel past bij jouw organisatie? In deze blog ontdek je de verschillen tussen COSO ERM, ISO 31000, het Three Lines Model, de BIO en RISMAN én hoe je ze slim toepast. Praktisch, helder en direct inzetbaar. Klik door en kies het model dat jouw organisatie écht vooruit helpt. Risicomanagement model Knop Risk appetite en risk tolerances lijken theoretisch, maar bepalen in de praktijk of uw organisatie met vertrouwen durft te innoveren én tijdig begrenst. In deze blog leest u hoe u ze concreet maakt, van bestuurskamer tot werkvloer, met voorbeelden, valkuilen en praktische tips. Risk appetite en risk tolerance Knop Steeds meer organisaties besteden hun internal audit uit; niet uit nood, maar als bewuste strategische keuze. In deze blog lees je hoe outsourcing zorgt voor flexibele capaciteit, specialistische kennis en een frisse kwaliteitsimpuls, én wanneer het wél of juist niet past. Klik door om verder te lezen. Outsourcing auditafdeling Knop Veel risicoanalyses blijven hangen in lijstjes en matrixen waar niemand iets mee doet. In deze blog lees je wat een écht goede risicoanalyse is, welke valkuilen je moet vermijden en hoe je risico’s verbindt met gedrag, besluitvorming en resultaat. Maak van risicoanalyse een krachtig stuurinstrument. Risicoanalyse Knop

Volg een actuele, praktijkgerichte opleiding Internal auditing bij Ferocia & Avans+. Kies Operational of IT-auditing en versterk jouw rol als interne auditor. Alle blogs Internal auditing Opleiding Internal auditing Wat is internal auditing? Internal auditing is het vakgebied dat organisaties helpt grip te krijgen op risico’s, processen en IT-systemen. Internal auditors beoordelen onafhankelijk de kwaliteit van interne beheersmaatregelen en geven op basis daarvan onderbouwd advies over mogelijke verbeteringen. Ze onderzoeken of processen effectief verlopen, of risico’s adequaat worden beheerst en of wet- en regelgeving wordt nageleefd. De internal auditor is veel meer dan een controleur: het is een strategische sparringpartner van bestuur en management. Vanuit een onafhankelijke positie stelt de auditor kritische vragen, benoemt blinde vlekken en helpt de organisatie beter voorbereid te zijn op interne én externe ontwikkelingen. Door structuur aan te brengen in het beheersen van risico’s en het verbeteren van processen, draagt internal auditing bij aan betere besluitvorming, verantwoordingsinformatie en structurele verbetering van prestaties. Twee specialisaties binnen internal auditing Binnen het vakgebied van internal auditing zijn twee specialisaties toonaangevend: operational auditing en IT-auditing . Beide richten zich op het versterken van interne beheersing, maar doen dat vanuit een ander perspectief. Operational auditing is gericht op het beoordelen van bedrijfsprocessen en de effectiviteit van beheersmaatregelen. De focus ligt op de vraag of processen efficiënt, effectief en risicobewust zijn ingericht. Een operational auditor onderzoekt niet alleen of bestaande werkwijzen aansluiten bij organisatiedoelen, maar adviseert ook over mogelijke verbeteringen. Denk aan het optimaliseren van de samenwerking tussen afdelingen, het terugdringen van fouten of verspilling, en het versterken van interne controles. IT-auditing daarentegen zoomt in op de digitale kant van de organisatie. IT-auditors beoordelen of IT-systemen betrouwbaar, veilig en goed beheerd zijn. Daarbij onderzoeken zij onder meer of systemen beschikbaar zijn wanneer nodig, of data juist en volledig is (integriteit), en of gevoelige informatie goed wordt beschermd (vertrouwelijkheid). Ook toets je als IT-auditor of de organisatie voldoet aan relevante wet- en regelgeving, zoals de AVG of sectorspecifieke normen. Beide specialisaties binnen internal auditing leveren een waardevolle bijdrage aan het inzicht in risico’s en de kwaliteit van beheersing — en vormen samen een krachtige combinatie voor organisaties die in control willen zijn. Opleiding Internal auditing: kies jouw specialisatie Een opleiding Internal auditing is pas echt waardevol als deze aansluit bij de praktijk en inspeelt op de complexiteit van het vak. Daarom kies je bij Ferocia en Avans+ niet voor een algemene verzamelopleiding, maar voor twee gerichte postbacheloropleidingen die elk een belangrijk specialisme binnen internal auditing behandelen. Postbacheloropleiding Operational auditing De opleiding Operational auditing richt zich op het beoordelen en verbeteren van processen binnen organisaties. Als operational auditor analyseer je risico’s, toets je de werking van interne beheersmaatregelen en geef je onderbouwde verbeteradviezen. Tijdens deze opleiding internal auditing werk je aan een auditopdracht in je eigen praktijkomgeving, onder begeleiding van ervaren docenten. Zo ontwikkel je je tot een kritische, resultaatgerichte auditor met impact. Postbacheloropleiding IT-auditing De opleiding IT-auditing is bedoeld voor professionals die digitale risico’s willen beheersen. IT-auditors onderzoeken onder meer of systemen veilig zijn, data betrouwbaar is en wet- en regelgeving wordt nageleefd. Denk aan thema’s zoals informatiebeveiliging, systeemintegriteit en privacybescherming. Deze opleiding internal auditing geeft je alle kennis en tools om IT-systemen effectief te beoordelen en organisaties digitaal ‘in control’ te brengen. Versterk jouw organisatie met een gecombineerde opleiding Internal auditing Heb je bij Ferocia en Habeo+ al een opleiding Internal auditing gevolgd, zoals Operational auditing of IT-auditing? Dan kun je de tweede opleiding in verkorte vorm én tegen een gereduceerd tarief volgen. Dankzij deze modulaire opzet breid je jouw expertise uit van processen naar IT of andersom. Zo ontwikkel je je tot een allround internal auditor met brede inzetbaarheid en diepgaande kennis. Met de gecombineerde opleidingen Internal auditing van Ferocia en Avans+ vergroot je jouw toegevoegde waarde binnen elke organisatie. Waarom kiezen voor Ferocia en Habeo+? Ferocia en Habeo+ bundelen hun krachten om professionals op te leiden tot krachtige internal auditors die direct impact maken in de praktijk. Onze opleidingen onderscheiden zich door hun combinatie van theoretische diepgang, praktijkgericht leren én actualiteit. Je krijgt les van ervaren auditors en docenten uit het werkveld, werkt aan een echte auditopdracht binnen je eigen organisatie en leert in een groep met gelijkgestemde professionals. De lesstof is actueel en sluit aan bij de nieuwste ontwikkelingen in het vak, zoals het gebruik van AI in audits en de toepassing van de meest moderne vorm van auditmethodiek (auditmethodiek 2.0). Zo ontwikkel je niet alleen kennis, maar ook vaardigheden en zelfvertrouwen om als volwaardig sparringpartner op te treden. Met een diploma van Ferocia en Avans+ ben je optimaal voorbereid op de uitdagingen van morgen. Wil jij je ontwikkelen tot een allround internal auditor die écht het verschil maakt? Schrijf je dan nu in voor de postbacheloropleiding Operational auditing of IT-auditing van Ferocia en Habeo+, en geef jouw carrière een boost! Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

ISO 27001 praktisch toepassen? Ontdek hoe je met een slimme aanpak meer grip, minder ruis en betere beveiliging krijgt. Geen vinklijst, maar voorsprong. Alle blogs IT-beheersing ISO 27001 ISO 27001 in de praktijk: van vinklijst naar waardecreatie Informatiebeveiliging is allang geen uitsluitend IT-feestje meer. Bestuurders worden aangesproken op datalekken, klanten eisen zekerheid in de keten en toezichthouders letten scherper dan ooit op besturing en continuïteit. ISO 27001 helpt die druk om te zetten in grip. Niet met nog een stapel documenten, maar met een werkend managementsysteem dat past bij de organisatie, de risico’s en de ambities. In deze blog nemen we je mee langs de essentie van ISO 27001, de vernieuwingen uit de 2022-revisie en vooral, hoe je het verschil maakt in de dagelijkse praktijk van audit, risk en control. Wat ISO 27001 wel is (en wat niet) De kern van ISO 27001 is eenvoudig en herkenbaar: bepaal wat je wilt beschermen, beoordeel je risico’s, kies passende beheersmaatregelen en verbeter continu. De norm is opgebouwd rond de Plan–Do–Check–Act-cyclus en stelt eisen aan context, leiderschap, planning, ondersteuning, uitvoering, prestatiemeting, interne audit, managementreview en verbetering. In de ISO-standaard staat een set informatiebeveiligingsmaatregelen waaruit je onderbouwd selecteert. Het gaat dus niet om het afvinken van elk punt dat je tegenkomt, maar om het maken van keuzes die passen bij je eigen risico’s. Dat is meteen de belangrijkste misvatting die veel organisaties hebben: ISO 27001 is risicogedreven, niet controlegedreven. De Statement of Applicability (SoA) is daarom geen bijlage achterin, maar het dagelijkse stuurdocument waarin je vastlegt welke maatregelen je wel en niet toepast, met redenen onderbouwd en met vastgelegd eigenaarschap. Die risicogedreven aanpak vraagt om discipline en om realisme. Het heeft geen toegevoegde waarde om elk denkbaar risico met ingewikkelde formules te kwantificeren als het management vooral behoefte heeft aan duidelijke scenario’s, heldere drempelwaarden en beslispunten. De kracht van ISO 27001 zit juist in het verbinden van beleid, processen en gedrag. Pas als teams weten wie waarvoor verantwoordelijk is, hoe ze afwijkingen dienen te melden en wanneer ze moeten escaleren, ontstaat echte beheersing. Wat is er veranderd in 2022? De 2022-revisie heeft de structuur aangescherpt en de maatregelen geactualiseerd. In plaats van een losse lijst werk je nu met vier duidelijke domeinen: organisatorisch, mensgericht, fysiek en technologisch. Nieuwe maatregelen sluiten beter aan op moderne risico’s, zoals ontwikkelen met security-by-design, het gebruik van cloudservices en de paraatheid van ICT voor bedrijfscontinuïteit. Denk aan onderwerpen als threatintelligence, configuratiemanagement, informatie-verwijdering, data-masking, data-lekkagepreventie, monitoringactiviteiten, webfiltering, fysieke beveiligingsmonitoring en secure coding. De toevoeging van attributen, labels die aangeven met welk concept of welke eigenschap een maatregel samenhangt, maakt het eenvoudiger om de SoA logisch te ordenen en om KPI’s te koppelen aan wat je werkelijk belangrijk vindt. De praktische uitkomst is dat de ISO-standaard beter aansluit op hoe organisaties vandaag werken: cloud-gebaseerd, in ketens en met agile teams. Tegelijkertijd ligt de lat hoger. Aantoonbaarheid telt. Je zult moeten laten zien dat maatregelen niet alleen bestaan op papier, maar dat ze ook effectief zijn in de praktijk. De businesscase: waarom dit meer is dan certificeren Organisaties investeren in ISO 27001 om meerdere redenen, en die zijn niet allemaal extern gedreven. Natuurlijk helpt het bij het aantonen van beheersing richting klanten, leveranciers en toezichthouders. Maar net zo belangrijk is de interne winst: minder dubbel werk, duidelijk eigenaarschap en besluitvorming op basis van feiten in plaats van aannames. Incidenten zullen nooit helemaal verdwijnen, maar een goed ingericht managementsysteem beperkt de impact en verkort de hersteltijd. Wie ISO 27001 inzet als middel om prestaties te verbeteren, wint het meest. Dat vraagt om meer dan een project richting certificering; het vraagt om verankering in de organisatie en in de besturing. De norm wordt dan geen formaliteit, maar een taal om met elkaar te praten over risico’s, prioriteiten en keuzes. Een route die werkt, zonder stapels lijstjes Het begint met een scope die klopt. Te breed maakt het onwerkbaar, te smal maakt het zinloos. Koppel de scope daarom aan de waardeketen: welke processen, locaties, systemen en ketenpartners dragen direct bij aan de waarde die je levert? Zodra die afbakening staat, volgt een gesprek over context en belanghebbenden. Wat zijn de strategische doelen, wat is de risk appetite, welke wettelijke en contractuele eisen gelden? Het is opvallend hoeveel duidelijkheid ontstaat als je dit inzichtelijk maakt; veel discussies later in het traject verdwijnen dan vanzelf. Daarna komt governance. Leg beleid, rollen en beslisprocessen vast, maar houd het licht en bruikbaar. Benoem wie beslist over risicoacceptatie, wie eigenaar is van specifieke maatregelen en hoe afwijkingen worden geregistreerd en opgevolgd. Kies vervolgens een risicomethodiek die past bij je organisatie. Je hoeft niet te vervallen in schijnnauwkeurigheid met mathematische modellen; scenario’s die het management herkent werken vaak beter. Een goede inventarisatie van informatie-assets, van applicaties tot integraties en uitbestede diensten, maakt de analyse concreet. Koppel elk asset aan een eigenaar en leg vast wat de vertrouwelijkheid, integriteit en beschikbaarheid betekenen in die context. De SoA is hiervoor het geëigende document. Selecteer maatregelen op basis van risico’s en leg per maatregel de scope, de eigenaar, de manier van testen en de indicatoren vast. Daarmee wordt de SoA een werkdocument dat richting geeft aan prioriteiten en dat teams helpt om keuzes uit te leggen. De implementatie volgt dan stukje bij beetje, ingeweven in de bestaande processen: wijzigingsbeheer, toegangsbeheer, back-ups, logging, incidentafhandeling, leveranciersmanagement en secure development. Training en bewustwording zijn geen losse campagnes, maar onderdeel van de manier van werken. Teams moeten weten wat ze doen, waarom ze het doen en wanneer ze hulp inschakelen. Tot slot maak je de cirkel rond met meten, interne audits en managementreviews. Niet om achteraf vinger te wijzen, maar om continu te verbeteren. Kies een paar sturende indicatoren en bespreek die structureel. Laat data het gesprek leiden, leg besluiten vast en borg de opvolging. De rol van Internal Audit: toetsen op effectiviteit Internal Audit voegt de meeste waarde toe waar naleving overgaat in inzicht en leren. Het begint bij de vraag of de gekozen maatregelen logisch voortkomen uit de risico’s. Sluit een maatregel aan op het proces, of is het een generiek voorschrift dat vooral werk toevoegt? Vervolgens kijk je naar de werking in de praktijk. Wordt de maatregel consequent toegepast en is het gedrag geborgd? In veel gevallen helpt het om data centraal te zetten: denk aan doorlooptijden van patches, trends in mislukte aanmeldingen, resultaten van hersteltests of de doorlooptijd van kritieke kwetsbaarheden vanaf ontdekking tot fix. Zulke gegevens helpen om conclusies te onderbouwen en om verbeteracties scherp te formuleren. Zachte factoren tellen ook. Hoe reageren teams op incidenten? Is er ruimte om fouten te melden zonder gezichtsverlies? Worden lessons learned zichtbaar toegepast in procedures en tools? Door aandacht te hebben voor cultuur en gedrag krijgt de auditbevinding meer diepte en is de kans op duurzame verbetering groter. Vergeet ten slotte de keten niet. Contractuele afspraken met leveranciers zijn belangrijk, maar ze zeggen weinig als je niet ook de feitelijke prestaties volgt. Vraag rapportages op, bespreek openstaande bevindingen en test waar nodig cruciale maatregelen zelf. Meten wat ertoe doet en ernaar sturen Meten heeft alleen zin als je ernaar stuurt. Veel organisaties verdrinken in dashboards, maar missen richting. Kies daarom enkele indicatoren die iets zeggen over snelheid, herstelvermogen en discipline. Doorlooptijden van patches per risicoklasse geven bijvoorbeeld inzicht in wendbaarheid. Herstelpercentages en hersteltijden bij back-ups vertellen of je klaar bent voor het moment dat het misgaat. Toegangsbeheer laat zich goed volgen via uitzonderingen op het least-privilege-principe en de snelheid waarmee accounts na uitdiensttreding worden beëindigd. In de keten kun je kijken naar het aandeel kritieke leveranciers met een actueel assurance-rapport en naar de veroudering van openstaande bevindingen. In DevOps-omgevingen zegt het percentage ‘builds’ dat wordt geblokt door kritieke kwetsbaarheden veel over de volwassenheid van secure development. Het gaat niet om veel meten, maar om gericht meten en consistent bespreken en waar nodig verbeteren. Veelgemaakte fouten en hoe je ze voorkomt De eerste valkuil is beginnen vanuit maatregelen in plaats van vanuit risico’s. Het levert een papieren werkelijkheid op, maar geen betere beveiliging. Start daarom bij de waardestromen en de scenario’s die je het meest pijn kunnen doen. Een tweede valkuil is het zien van het ISMS als documentenset. Zonder duidelijke koppeling naar processen en gedrag is het vooral window-dressing. Koppel elke maatregel aan een eigenaar, een moment in het proces en een manier van toetsen. Een derde misser is het beperken van de scope tot IT. Informatie zit overal: in processen, in mensen en in de keten. Betrek daarom ook afdelingen zoals HR, Legal, Inkoop en Operations en maak beveiliging organisatie breed. Een vierde probleem is een SoA die niet stuurt, bijvoorbeeld omdat hij alleen bestaat uit ja/nee-vinkjes. Voeg de reden van keuze, de scope, de testwijze en de KPI’s toe. Dan wordt het een volwaardig stuurdocument. Tot slot worden leveranciers vaak onderschat. Cloud en uitbesteding verplaatsen het risico niet; ze veranderen het. Leg eisen vast, toets de praktijk en plan een exit. Daarmee voorkom je verrassingen als de relatie verandert of eindigt. ISO 27001 in een agile en cloud-realiteit Agile en DevOps vragen om snelheid. Dat lijkt lastig te combineren met aantoonbare beheersing, maar in de praktijk versterken ze elkaar als je het goed inricht. Beveiligingsregels leg je vast als code. Baselines voor configuratie worden templates, waardoor afwijkingen automatisch aan het licht komen. De SoA koppel je aan pipelines en monitoring, zodat bewijsmateriaal ontstaat terwijl teams hun werk doen. In cloudomgevingen werkt het principe van gedeelde verantwoordelijkheid alleen als het expliciet is. Documenteer wat de provider doet en wat jij moet doen, en toets beide delen. Secure coding veranker je in de Definition of Done en je zet geautomatiseerde scans in om kwetsbaarheden vroeg te vinden. Infrastructure-as-Code behandel je net zo serieus als applicatiecode, inclusief reviews en scheiding van rollen. ISO 27001 schrijft niet voor hoe je dit precies doet, maar eist dat je kunt aantonen dat het werkt. Dat geeft ruimte om snelheid en beheersing te combineren. Integratie met privacy en continuïteit Veel organisaties combineren ISO 27001 met ISO 27701 en ISO 22301. Dat is logisch, want privacy en continuïteit raken direct aan informatiebeveiliging. Door beleid, rollen en KPI-structuren te koppelen, voorkom je dubbel werk en creëer je één besturingscyclus. Een datalek wordt dan niet alleen gezien als beveiligingsincident, maar ook als privacy-kwestie met meldplichten en als test voor je crisisorganisatie. Zo ontstaat samenhang die in audits zichtbaar waarde toevoegt. Morgen beginnen zonder grote woorden Als je morgen wilt beginnen, hoef je geen grote campagne te starten. Het helpt om vijf scenario’s te benoemen die je absoluut wilt voorkomen, bijvoorbeeld verlies van klantdata, langdurige uitval van een belangrijk systeem of misbruik van een admin-account. Leg vast waarom deze scenario’s belangrijk zijn, wie eigenaar is en welke maatregelen al bestaan. Werk je asset-inventaris bij voor de processen die hierop ingrijpen en wijs eigenaars toe. Pak de SoA erbij en breng hem op orde: beschrijf per maatregel de reden van toepassing, de scope, de eigenaar, de manier van toetsen en de indicatoren. Kies vervolgens een handvol stuurindicatoren en plan een vast overleg waarin je de trends bespreekt en besluiten vastlegt. Laat een interne audit uitvoeren op ontwerp en werking van enkele cruciale ketenprocessen, bijvoorbeeld klant-onboarding of change-management. Oefen ten minste één herstelscenario en vertaal de uitkomsten naar verbeteracties. Kijk tot slot naar de afspraken met leveranciers: staan beveiligingseisen, auditrechten en exit-criteria helder genoeg in de contracten en worden ze ook nageleefd? Tot slot ISO 27001 is geen certificaat om in de hal op te hangen. Het is een manier van werken waarin risico’s, maatregelen en gedrag elkaar versterken. Met een scherpe scope, een SoA die richting geeft en audits die de effectiviteit van maatregelen toetsen, groeit informatiebeveiliging uit tot wat het moet zijn: een enabler van je strategie. Wie vandaag begint met kleine, gerichte stappen, merkt snel dat gesprekken over beveiliging minder defensief worden en dat keuzes beter zijn onderbouwd. Dat is de echte winst: minder ruis, meer resultaat. Wil je sparren over je ISO-aanpak, je SoA laten aanscherpen of een interne audit laten uitvoeren op je ISMS? Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Onderzoek cultuur en gedrag in audits met de training soft controls. Leer modellen over cultuur en gedrag praktisch toepassen in jouw audits en stimuleer verandering. Schrijf je nu in! Training Soft controls Duur Studiekosten PE-punten 2 dagdelen € 495,- 9 Inschrijven Training Soft Controls Soft controls, ‘de menselijke factor’ binnen organisaties, krijgen steeds meer aandacht en staan steeds vaker op de auditkalender. Denk aan thema’s als sociale veiligheid, voorbeeldgedrag en vertrouwen. Maar hoe toets je soft controls tijdens een audit? In de training Soft Controls leer je in één lesdag en via een aanvullende e-learning de noodzakelijke technieken en modellen om soft controls effectief te onderzoeken in jouw praktijk. Je scherpt je begrip van cultuur en gedrag aan, oefent met vraagtechnieken en leert hoe je signalen uit de organisatie interpreteert en vertaalt naar concrete interventies. Wat leer je tijdens de training soft controls? Na afloop van deze training kun je cultuur, gedrag en soft controls helder definiëren en begrijp je waarom deze onmisbaar zijn voor effectieve beheersing en sturing. Je leert verschillende modellen toepassen binnen je audits en je bent in staat soft controls gericht te onderzoeken. Daarnaast maak je kennis met interventies die bijdragen aan het versterken van soft controls binnen jouw organisatie, zodat je niet alleen inzicht krijgt, maar ook handvatten hebt om daadwerkelijk verandering te stimuleren. Waarom kiezen voor de training soft controls? Praktisch en theoretisch onderbouwd: je leert bewezen modellen rond cultuur en gedrag kennen en direct toe te passen. Interactie met vakgenoten: ervaringsuitwisseling met collega’s uit andere organisaties. Direct inzetbaar: je stelt een persoonlijk actieplan op dat je kunt toepassen in de eigen praktijk. Flexibiliteit: kies voor fysiek of digitaal onderwijs via onze mixed classrooms. Korte, krachtige investering: in slechts één trainingsdag en een e-learning krijg je de essentiële inzichten en vaardigheden rond soft controls. Waarom kiezen voor Ferocia? Ferocia is de opleider voor professionals in audit, control en risk. Wij combineren academische diepgang met praktijkgericht leren, zodat je kennis direct toepasbaar is in jouw werkomgeving. Onze docenten zijn verbonden aan universiteiten, hogescholen en beroepsorganisaties en brengen hun ervaring uit de praktijk mee de opleiding in. We werken met een innovatieve didactiek waarin e-learning, rollenspellen, praktijkcases en coaching samenkomen in een blended format. Daarbij staat toepassing altijd centraal: je leert het niet alleen, je doet het ook. Ferocia gelooft in inspiratie, co-creatie en prestatie, en dat ervaar je in al onze programma’s! Wil jij leren hoe je met audits echt inzicht krijgt in cultuur en gedrag binnen organisaties? Schrijf je dan nu in voor de training Soft Controls en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar en van jou wordt verwacht een oordeel te kunnen vormen over cultuur- en gedragsaspecten binnen jouw organisatie. Je wenst in korte tijd de basisbeginselen van soft controls te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 10 uur. Dit is inclusief lesdagen en praktijkopdrachten. In deze training werken we met een innovatieve e-learning, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Deelnemers kunnen de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 9 PE-punten. De studiekosten bedragen € 495,- (all-in en vrij van btw). Wat eerdere deelnemers zeggen Bert van Scherpenzeel Quality manager "De training Soft controls is zeer interessant en inspirerend! " Marsha van Iersel Business controller "Veel interactie, levendige discussies en praktische voorbeelden maakten de training Soft controls bijzonder waardevol!" Menny Barendse Auditmanager "Het op praktische wijze leren toepassen van soft controls is een waardevolle aanvulling op onze audits!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde... 26 aug 2025 4 minuten om te lezen Soft Controls: de kracht van beheersing In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en... 13 mei 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Ontdek wat GRC Governance Risk Compliance is en hoe een geïntegreerde GRC-aanpak jouw organisatie helpt risico’s te beheersen en compliance te borgen. GRC governance risk compliance GRC Governance Risk Compliance staat voor drie fundamentele pijlers die bepalen hoe organisaties worden bestuurd, hoe zij omgaan met risico’s en hoe zij voldoen aan wet- en regelgeving. Maar GRC is meer dan een afkorting of een set losse functies. Het is een geïntegreerde benadering van besturing, beheersing en verantwoording. Governance gaat over de manier waarop een organisatie wordt geleid en gecontroleerd. Wie neemt welke beslissingen? Hoe worden belangen afgewogen? En hoe zorgen we ervoor dat de organisatie koersvast blijft, ook als de omstandigheden veranderen? Riskmanagement draait om het identificeren, analyseren en beheersen van risico’s. Dat kunnen strategische, financiële, operationele of compliance-gerelateerde risico’s zijn. Goed risicomanagement betekent niet dat je risico’s vermijdt, maar dat je bewust omgaat met onzekerheden door deze te beheersen. Compliance richt zich op het naleven van interne regels en externe wet- en regelgeving. Organisaties staan onder toenemende druk om te kunnen aantonen dat zij ‘in control’ zijn. Niet alleen richting toezichthouders, maar ook richting klanten, medewerkers en de maatschappij. De kracht van GRC zit in de integratie. In plaats van dat governance, risk en compliance als drie aparte domeinen opereren, werk je vanuit samenhang. Hierdoor ontstaat een breed, realistisch en toekomstgericht beeld van waar de organisatie staat. Waarom is GRC Governance Risk Compliance belangrijk voor jouw organisatie? In een wereld waarin wet- en regelgeving continu verandert, technologische ontwikkelingen elkaar razendsnel opvolgen en de maatschappelijke verwachtingen blijven toenemen, is een geïntegreerde GRC-aanpak geen luxe maar een noodzaak. Organisaties die GRC goed op orde hebben: Beheersen hun risico’s effectiever. Ze zien sneller waar het mis kan gaan en kunnen proactief maatregelen nemen. Verhogen hun betrouwbaarheid. Ze zijn in staat om aan te tonen dat ze hun processen onder controle hebben, een belangrijk signaal naar stakeholders. Verbeteren hun besluitvorming. Door GRC te integreren in de strategische sturing, worden besluiten beter onderbouwd en meer toekomstbestendig. Verlagen hun operationele kosten. Een efficiënte en gestroomlijnde aanpak voorkomt dubbel werk, fouten en intern gecreëerde incidenten omdat de drie functies elkaar tegenwerken. Versterken hun reputatie. Compliance is niet alleen een wettelijke vereiste, maar ook een manier om het vertrouwen van klanten, partners en toezichthouders te behouden. Tegelijkertijd is het opzetten en onderhouden van een volwassen GRC-structuur complex. Je hebt te maken met verschillende belanghebbenden, diverse normen en kaders, uiteenlopende risico’s en soms botsende belangen. En dan is er ook nog de menselijke factor: cultuur, gedrag en bewustzijn spelen een cruciale rol in het succes van GRC. Een goede GRC-aanpak vereist dus meer dan een checklist of softwarepakket. Het vraagt visie, leiderschap, samenwerking en continu leren. Onze visie op GRC: meer dan vinkjes zetten Sommige organisaties benaderen GRC als een verplicht nummertje. Er wordt een compliancebeleid opgesteld, een risicoregister ingevuld en het vinkje kan gezet worden. Maar zodra de audit voorbij is, verdwijnt het onderwerp weer van de agenda. Bij Ferocia geloven we niet in schijnbeheersing. GRC is wat ons betreft geen jaarlijkse exercitie voor de vorm, maar een manier van werken. Een aanpak die door de hele organisatie heen zichtbaar en voelbaar is, van directie tot werkvloer. 1. GRC is geen papieren werkelijkheid We komen regelmatig organisaties tegen met dikke beleidsdocumenten, uitgebreide risico-overzichten en lange lijsten met interne controles. Maar als je vraagt: “Wat doet een teamleider daadwerkelijk met dit beleid?”, blijft het stil. Wij zeggen dan: schrap liever 80% van je papieren regels en maak de overgebleven 20% echt werkbaar. Laat managers, proceseigenaren en medewerkers actief meedenken over risico’s in hun werk. In het Three Lines Model zijn zij tenslotte eigenaar. Binnen de wettelijke kader, pas beleid aan op hoe het in de praktijk werkt. Want alleen dan krijgt GRC Governance Risk Compliance betekenis. Voorbeeld: In plaats van jaarlijks een RCSA in te vullen ‘omdat het moet’, laten we teams zelf hun belangrijkste procesrisico’s benoemen en direct oplossingen bedenken. Dat levert niet alleen bruikbare input op, maar ook eigenaarschap. 2. Minder controles, meer gesprekken Hard controls zijn belangrijk, denk aan autorisatiematrices, functiescheiding of technische toegangsbeveiliging. Maar het echte verschil maak je in gedrag. Is er ruimte om fouten te bespreken? Durven mensen elkaar aan te spreken op onzorgvuldig gedrag? Wordt ‘de bedoeling’ van een regel begrepen? Wij helpen organisaties om die dialoog op gang te brengen. Niet met vage cultuurprogramma’s, maar met concrete interventies: workshops over soft controls, audit-interviews over gedrag, of het aanpassen van KPI’s zodat ze risicobewust gedrag stimuleren. Voorbeeld: Bij een klant in de energiesector bleken medewerkers maandrapportages ‘mooi te maken’ om targets te halen. Er stonden voldoende checks in het systeem, maar niemand stelde de vraag: “Waarom wijkt de prognose elke maand zoveel af van de realiteit?” We hebben toen niet nog een controle ingebouwd, maar zijn gestart met sessies over transparantie en aanspreekbaarheid. 3. GRC moet het werk makkelijker maken, niet moeilijker GRC wordt vaak gezien als iets wat ‘erbij komt’. Een last boven op het gewone werk. Begrijpelijk, maar onnodig. Goed ingerichte GRC-processen helpen organisaties juist om slimmer te werken. Wij maken GRC graag lean: minder bureaucratie, meer waarde. Door processen te standaardiseren, risico’s te prioriteren en controls te koppelen aan bestaande werkprocessen. Zo wordt compliance een onderdeel van het dagelijkse werk, in plaats van een extra taak. Voorbeeld: Bij een zorgorganisatie hebben we alle compliance-eisen rond medicatieveiligheid geïntegreerd in het EPD (elektronisch patiëntendossier). Geen losse checklists meer, maar automatische signalen op het juiste moment in het proces. Minder fouten, minder werkdruk, meer grip. 4. GRC is niet van de afdeling Risk of Compliance, het is van iedereen GRC werkt alleen als het onderdeel is van het DNA van de organisatie. Niet als een los eiland binnen Risk, Audit of Compliance. Daarom betrekken wij altijd de hele organisatie: van het managementteam tot HR, van IT tot de operatie. We trainen leidinggevenden in risicogestuurd denken, ondersteunen lijnmanagers in het beoordelen van controls en helpen compliance-afdelingen om echt het gesprek aan te gaan met de business. Voorbeeld: In een logistiek bedrijf gaven teamleiders aan dat het risicoregister “iets van het hoofdkantoor” was. Wij hebben toen met hen zelf werkvloerworkshops opgezet, waarin ze met hun team risico’s op leverbetrouwbaarheid bespraken. Het resultaat? Relevante risico’s, praktische acties en een gedragen GRC-aanpak. Hoe kan Ferocia je helpen met GRC Governance, Risk en Compliance? Ferocia ondersteunt organisaties in elke fase van hun GRC-reis: van bewustwording en visievorming tot implementatie en borging. We combineren diepgaande vakkennis met praktische toepasbaarheid en werken nauw samen met onze klanten om duurzame verbeteringen te realiseren. Onze aanpak kent drie pijlers: 1. Opleidingen & trainingen We bieden diverse leerlijnen aan op het gebied van governance, risicomanagement en compliance. Denk aan: Masterclasses over soft controls, gedrag en cultuur Trainingen in risicomanagement en Risk Control Self Assessments (RCSA) Cursussen over actuele wet- en regelgeving (bijv. Wwft, ESG, ISQM) Onze in company leerprogramma’s zijn actueel, praktijkgericht en altijd afgestemd op de doelgroep, van junior tot senior, van auditor tot lijnmanager. 2. Interim & consultancy Soms heb je tijdelijk behoefte aan extra expertise of capaciteit. Ferocia levert ervaren professionals die snel inzetbaar zijn op interim-basis, bijvoorbeeld als: GRC Governance Risk Compliance coördinator of -adviseur Compliance officer Risk manager Auditor Daarnaast begeleiden wij organisaties bij de ontwikkeling en implementatie van GRC-frameworks, risicomanagementprocessen, complianceprogramma’s en internal control-verbetertrajecten. 3. Werving & selectie Een stevig GRC-fundament vraagt ook om de juiste mensen op de juiste plek. Ferocia helpt bij het vinden en selecteren van professionals op het gebied van auditing, risk, compliance en control. We begrijpen het vak en de context en zorgen voor een match die verder gaat dan het cv. Klaar voor de volgende stap in GRC Governance, Risk en Compliance ? Of je nu net begint met het opzetten van een risicomanagementsysteem, worstelt met compliance-uitdagingen of je GRC-structuur wilt professionaliseren, Ferocia staat naast je. Wij brengen structuur, expertise en energie. Zodat GRC geen last is, maar een kracht. Wil je ontdekken hoe wij jouw organisatie kunnen ondersteunen? Neem dan vrijblijvend contact met ons op. Samen maken we GRC werkbaar, integraal en mensgericht. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs

Wat is internal auditing? Ontdek hoe internal auditing bijdraagt aan risicobeheersing, procesverbetering en strategische ondersteuning van organisaties. Internal auditing In deze blog gaan we in op het begrip internal auditing. Wat is het, hoe is het vakgebied ontstaan, waarom is het belangrijk voor organisaties en welke specialisaties zijn er binnen internal auditing? Voordat we hierop ingaan, gaan we eerst de term auditing bespreken en leggen we het verschil uit tussen extern en intern. Wat is auditing? Bij auditing denken veel mensen meteen aan het controleren van de boeken, het afvinken van lijstjes of het naleven van regels. Maar auditing is veel breder en waardevoller dan dat. Het is een vak dat steeds belangrijker wordt in een wereld vol risico’s, complexiteit en verandering. Auditing is toetsend onderzoek waarbij de werkelijk situatie wordt afgezet tegen een vooraf vastgestelde norm, wat resulteert in een oordeel. Audits worden systematisch, objectief en onafhankelijk uitgevoerd en de onderwerpen die ge-audit kunnen worden zijn eindeloos. Denk hierbij aan doelrealisatie, processen, systemen, wet- en regelgeving en gedragingen in een organisatie. Het doel is om te beoordelen of deze beheerst verlopen, voldoen aan normen of wet- en regelgeving en/of ze bijdragen aan het realiseren van organisatiedoelen. Maar auditing gaat verder dan controleren alleen. Het is ook een manier om organisaties te helpen verbeteren. De auditor is niet alleen de politieagent van de organisatie, maar zeker ook een objectieve en onafhankelijke expert die inzicht biedt, risico’s zichtbaar maakt en adviezen geeft die bijdragen aan het versterken van het lerend vermogen van de organisatie. Een goede audit is dus zowel toetsend als lerend. Het geeft duidelijkheid over wat er goed gaat, wat beter kan en waar risico’s liggen. External versus internal auditing Binnen het vakgebied auditing bestaan verschillende specialisaties die grofweg op de delen zijn in extern en intern. Afhankelijk ‘voor wie’ de audit wordt uitgevoerd bepaald in belangrijke mate in welke categorie deze valt. Bijvoorbeeld Financial auditing. Financial auditing, meestal uitgevoerd door een (externe) accountant, is de bekendste vorm van auditing en richt zich op de financiële verslaggeving. De financial auditor controleert of de jaarrekening een “getrouw beeld” geeft van de financiële situatie van een organisatie. Deze audits zijn vooral van belang voor externe stakeholders zoals aandeelhouders, toezichthouders en investeerders. Oftewel het maatschappelijke verkeer. Financial audits worden dan ook meestal door een externe auditor uitgevoerd. Hoewel dit type audit wettelijk verplicht is voor bepaalde organisaties, is de impact breder: het geeft vertrouwen in de financiële integriteit van de organisatie en stimuleert transparantie. Internal auditing is het vakgebied dat organisaties helpt grip te krijgen op risico’s, processen en IT-systemen. Internal auditors beoordelen onafhankelijk de kwaliteit van interne beheersmaatregelen en geven op basis daarvan onderbouwd advies over mogelijke verbeteringen. Ze onderzoeken of processen effectief verlopen, of risico’s adequaat worden beheerst en of wet- en regelgeving wordt nageleefd. De internal auditor is werkzaam in de organisatie en fungeert als 3de lijn binnen het three lines model. De internal auditor is veel meer dan een controleur, het is een strategische sparringpartner van bestuur en management. Vanuit een onafhankelijke positie stelt de auditor kritische vragen, benoemt blinde vlekken en helpt de organisatie beter voorbereid te zijn op interne en externe ontwikkelingen. Door structuur aan te brengen in het beheersen van risico’s en het verbeteren van processen, draagt internal auditing bij aan betere besluitvorming, verantwoordingsinformatie en structurele verbetering van prestaties. De oorsprong van internal auditing Het vakgebied van internal auditing zoals we dat vandaag de dag kennen is het resultaat van een lange evolutie. Oorspronkelijk ging het daarbij vooral om het controleren van financiële transacties. Kloppen de boeken? Wordt er niet gefraudeerd? Zijn de kasstromen zuiver? Het was een periode waarin vertrouwen hand in hand moest gaan met controle. En waar complexiteit in bedrijfsvoering toenam, nam ook de behoefte toe aan systematische interne controle. De wortels van internal auditing liggen dan ook in de administratie. In de negentiende eeuw, toen organisaties groeiden en multinationals ontstonden, werd het simpelweg te risicovol om alleen op externe accountants te vertrouwen. Men besefte: we hebben mensen nodig binnen de organisatie die meekijken, meedenken en controleren. Van controle naar aanvullende zekerheid over de kwaliteit van de beheersing De eerste internal auditors waren dus vooral bezig met het verifiëren van cijfers en het opsporen van fouten of fraude. Maar naarmate organisaties complexer werden, groeide het besef dat fouten niet alleen in de boekhouding ontstaan maar in processen, cultuur, systemen en gedrag. Hier begon de verschuiving van klassieke controle naar bredere ‘ assurance’ : zekerheid bieden over de kwaliteit van de risicobeheersing in processen en systemen. De internal auditor ging niet alleen kijken of iets klopt, maar vooral ook naar de kwaliteit van de beheersing en waarom iets niet werkt, inclusief hoe de organisatie kan leren en verbeteren. Het vak kreeg daarmee een fundamenteel andere insteek: van terugkijken naar vooruitkijken. Van financieel gericht naar organisatiebreed. De oprichting van het Institute of Internal Auditors (IIA) in 1941 markeerde een kantelpunt. Daarmee ontstond een beroepsorganisatie die het vak ging professionaliseren, standaarden ontwikkelde en het belang van onafhankelijkheid en objectiviteit benadrukte. Internal auditing werd een echt vak met eigen regels, normen en waarden. Het IIA stelde internal auditing officieel op de kaart als een onafhankelijk en gespecialiseerd beroep, los van de klassieke administratief-controlefuncties en de externe accountant. Dit gebeurde door: Het ontwikkelen van internationale standaarden en een ethische code, waardoor internal auditors een duidelijke professionele identiteit kregen. Het bieden van opleiding, certificering en normstelling, wat leidde tot een uniforme kwaliteitsbasis en verdere professionalisering van het vakgebied. De stimulans tot kennisdeling, praktijkontwikkeling en netwerking onder professionals, waarmee internal auditing zijn eigen positie veroverde binnen bedrijfsvoering en governance. Het Instituut van Internal Auditors Nederland (IIA Nederland) is officieel opgericht op 19 juni 1997 waarna ook in Nederland het vakgebied stevig op de kaart is gezet. Waarom is internal auditing belangrijk? Internal auditing is belangrijk omdat het organisaties helpt om grip te houden op hun interne processen, risico’s en complianceverplichtingen in een steeds complexere wereld. Of het nu gaat om het naleven van wet- en regelgeving, het voorkomen van fraude, het verbeteren van samenwerking tussen afdelingen of het vergroten van operationele efficiëntie, internal auditing speelt hierin een belangrijke rol. In tegenstelling tot externe auditing, waarbij de nadruk ligt op het controleren van financiële rapportages , richt internal auditing zich op het verbeteren van processen en het versterken van interne beheersing. De toegevoegde waarde zit niet alleen in het signaleren van risico’s of tekortkomingen, maar juist in het proactief adviseren over verbetermaatregelen . Dit maakt internal auditors waardevolle sparringpartners voor bestuurders en managers. Internal auditing vergroot ook het vertrouwen van stakeholders. Wanneer een organisatie intern laat zien dat zij haar processen kritisch en gestructureerd beoordeelt, straalt dat betrouwbaarheid uit naar klanten, toezichthouders en investeerders. Het draagt ook bij aan transparantie en goed bestuur. Kortom: internal auditing is geen verplichting, maar een strategisch instrument om als organisatie weerbaarder, efficiënter en toekomstbestendiger te worden. In een tijd waarin risico’s snel veranderen en informatie steeds belangrijker wordt, biedt internal auditing het overzicht, de structuur en de inzichten die nodig zijn om echt in control te zijn. Twee specialisaties binnen internal auditing Binnen het vakgebied van internal auditing zijn twee specialisaties toonaangevend: operational auditing en IT-auditing . Beide richten zich op het versterken van interne beheersing, maar doen dat vanuit een ander perspectief. Operational auditing is gericht op het beoordelen van bedrijfsprocessen en de effectiviteit van beheersmaatregelen. De focus ligt op de vraag of processen efficiënt, effectief en risicobewust zijn ingericht. Een operational auditor onderzoekt niet alleen of bestaande werkwijzen aansluiten bij organisatiedoelen, maar adviseert ook over mogelijke verbeteringen. Denk aan het optimaliseren van de samenwerking tussen afdelingen, het terugdringen van fouten of verspilling, en het versterken van interne controles. Lees meer over operational auditing in deze blog. IT-auditing daarentegen zoomt in op de digitale kant van de organisatie. IT-auditors beoordelen of IT-systemen betrouwbaar, veilig en goed beheerd zijn. Daarbij onderzoeken zij onder meer of systemen beschikbaar zijn wanneer nodig, of data juist en volledig is (integriteit), en of gevoelige informatie goed wordt beschermd (vertrouwelijkheid). Ook toets je als IT-auditor of de organisatie voldoet aan relevante wet- en regelgeving, zoals de AVG of sectorspecifieke normen. Lees meer over IT-auditing in deze blog. Beide specialisaties binnen internal auditing leveren een waardevolle bijdrage aan het inzicht in risico’s en de kwaliteit van beheersing, en vormen samen een krachtige combinatie voor organisaties die in control willen zijn. Internal auditing als strategisch instrument Internal auditing is allang niet meer alleen een controlefunctie. Steeds meer organisaties benutten internal auditing als een strategisch instrument dat bijdraagt aan beter bestuur, verantwoording en besluitvorming. Waar internal auditing vroeger vooral werd gezien als een manier om fouten of tekortkomingen op te sporen, ligt de nadruk vandaag de dag op het creëren van waarde en het ondersteunen van strategische doelstellingen. Een internal auditor kijkt niet alleen naar de vraag of processen en risico’s goed zijn ingericht, maar ook of ze bijdragen aan de missie en visie van de organisatie. Vanuit een onafhankelijke positie fungeert de auditor als een kritische en constructieve sparringpartner voor het bestuur en management. Door de vinger op de zere plek te leggen én met oplossingen te komen, helpt internal auditing om strategische risico’s beter te beheersen en kansen beter te benutten. Daarbij levert internal auditing ook betrouwbare informatie op voor belangrijke stakeholders zoals de raad van bestuur, toezichthouders of externe accountants. Goed onderbouwde auditbevindingen zorgen voor meer transparantie, betere besluitvorming en tijdige bijsturing. In een tijd van snelle technologische ontwikkelingen, toenemende complexiteit en strengere regelgeving biedt internal auditing organisaties het overzicht, de structuur en het inzicht dat nodig is om proactief, weerbaar en toekomstgericht te opereren. Juist daarom kiezen steeds meer organisaties ervoor om hun internal auditfunctie te versterken en nauwer te koppelen aan strategische thema’s zoals digitale transformatie, ESG-risico’s of ketenverantwoordelijkheid. Hoe Ferocia kan jou helpen met internal auditing? Bij Ferocia begrijpen we dat internal auditing meer is dan een controlefunctie, het is een strategisch onderdeel van goed bestuur en risicobeheersing. Daarom ondersteunen wij organisaties op meerdere manieren bij het versterken van hun auditfunctie. Heb je tijdelijk behoefte aan capaciteit, specifieke expertise of inhoudelijk advies? Ferocia biedt zowel interim auditors als consultancy op maat. Of het nu gaat om tijdelijke vervanging, ondersteuning bij piekbelasting, specialistische audits (bijvoorbeeld op het gebied van IT of ESG) of strategisch advies over de inrichting van de internal auditafdeling, wij denken mee en leveren vakinhoudelijke versterking die past bij jouw organisatie. Daarnaast bieden we opleidingen en trainingen aan voor internal auditors en teams. Van volledige opleidingen tot vakinhoudelijke verdieping, zodat auditors sterker in hun rol staan en beter kunnen bijdragen aan strategische vraagstukken. Ferocia helpt ook bij de werving en selectie van internal auditors — professionals die niet alleen inhoudelijk sterk zijn, maar ook passen bij de cultuur en ambitie van jouw organisatie. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Waarom blijven dezelfde fouten terugkomen in organisaties? In deze blog lees je hoe internal auditing kan uitgroeien van controleur tot aanjager van leren en verbeteren. Ontdek hoe je met focus op gedrag, patronen en dialoog het lerend vermogen écht versterkt. Klik door voor meer informatie. Internal auditing en het lerend vermogen Knop Internal audit verandert snel. Auditmethodiek 2.0 laat zien hoe u met een gestructureerde, AI-ondersteunde aanpak relevantere en impactvollere audits uitvoert. Van voorbereiding tot rapportage. Ontdek hoe referentiemodellen, datamatrices en de AI-agents uw audits versnellen én de organisatie echt in beweging brengen. Auditmethodiek 2.0 Knop Personeelstekort, piek in audits of een spannend verandertraject? Met een interim auditor van Ferocia haal je geen ‘opvulling’ binnen, maar een ervaren professional die vanaf dag één productief is, rust brengt én je auditfunctie versterkt. Lees in de blog waarom dit een slimme, strategische keuze is. Interim auditor inhuren via Ferocia Knop Behavioral Auditing 2.0 legt de link tussen beheerscultuur en controlframework bloot met AI-ondersteunde gedragsanalyse. Sneller, dieper en concreter inzicht in hoe gedrag risicobeheersing écht beïnvloedt – volledig in lijn met de IIA-standaarden. Behavioral Auditing 2.0 Knop Operational auditing geeft organisaties grip in een complexe wereld. In deze blog lees je hoe de operational auditor uitgroeit tot katalysator voor leren en verandering met oog voor digitalisering, cultuur, agile werken én transparantie. Ontdek waarom geen toekomstbestendige organisatie zonder kan. Operational auditing en jouw organisatie Knop Hoe blijft jouw auditfunctie relevant in een snel veranderende wereld? Agile auditing draait audits om: kortcyclisch, samen met de business en gericht op échte impact in plaats van alleen een eindrapport. Ontdek in deze blog hoe jij van controleur uitgroeit tot navigator van de toekomst. Agile auditing Knop Steeds meer organisaties besteden hun internal audit uit; niet uit nood, maar als bewuste strategische keuze. In deze blog lees je hoe outsourcing zorgt voor flexibele capaciteit, specialistische kennis en een frisse kwaliteitsimpuls, én wanneer het wél of juist niet past. Klik door om verder te lezen. Outsourcing auditafdeling Knop IT-auditing is veel meer dan vinkjes zetten. In deze blog lees je hoe de IT-auditor zorgt voor veilige systemen, naleving van AVG/NIS2/DORA en grip op digitale risico’s. Ontdek de belangrijkste inzichten voor een sterke IT-audit én hoe Ferocia je hierbij kan helpen. IT-auditing Knop Wil je dat jouw auditrapport wél leidt tot actie? In deze blog ontdek je hoe je rapporten schrijft die beweging creëren: helder, krachtig, visueel en gericht op eigenaarschap in de 1e lijn. Geen papieren eindproduct, maar een interventie die echt verandering start. Klik door en maak jouw rapporten impactvoller dan ooit. Auditrapporten die wel leiden tot actie Knop Sta jij als internal auditfunctie voor een (aanstaande) kwaliteitstoetsing? Ferocia helpt je van readiness assessment tot en met onafhankelijke externe toetsing volgens de GIAS. Ontdek hoe je van ‘spannend examen’ naar kans op groei en professionalisering gaat. Kwaliteitstoetsing auditafdelingen Knop