Zoekresultaten

< Terug Vacature Manager internal audit CMIS Group Per direct 32 tot 40 uur per week Amsterdam / Hybride € 64.800,- tot € 90.720,- per jaar SOLLICITEER Over CMIS Group Credit Management & Investor Solutions Group (CMIS Group) is een financiële dienstverlener die consumenten, geldverstrekkers en investeerders samenbrengt op de Nederlandse hypotheekmarkt. De verschillende divisies bedienen de volledige hypotheekketen: van onafhankelijk hypotheekadvies tot het aantrekken van kapitaal en het verzorgen van de service die bij hypotheken hoort. CMIS Group is het moederbedrijf van de bekende franchiseformule De Hypotheekshop, en van hypotheeklabels Merius Hypotheken, Hyra Hypotheken en Impact Hypotheken. XMIS Group is een internationaal opererende multi-asset class servicer met meer dan €7 miljard aan assets under management en circa 130 medewerkers. Het bedrijf wordt al jaren extern getoetst via onder andere Fitch Ratings en ISAE 3402-audits. Over de afdeling GRCA Je maakt deel uit van het GRCA-team (Governance, Risk Management, Compliance & Audit). Als Manager internal audit vorm je de derde verdedigingslinie: je voert onafhankelijke toetsingen uit en vertaalt bevindingen naar praktisch advies voor de business. Het team bestaat verder uit een chief risk officer, een risk manager en twee compliance officers, en je werkt veel samen met het team Legal en het team Business Process Improvement. Over de functie Je krijgt vrijheid om de rol inhoudelijk vorm te geven: het ontwikkelen van het auditjaarplan, het kiezen van methoden en tooling, en het aanbrengen van eigen accenten in focusonderwerpen en diepgang. Je kiest een werkwijze die past bij de vraag en de context, met volop ruimte voor initiatief en eigenaarschap. Je beoordeelt onafhankelijk de kwaliteit van risicobeheersing en vertaalt je bevindingen naar concrete, haalbare verbeteracties. Daarmee lever je een zichtbare bijdrage aan het lerend vermogen van de organisatie. De auditfunctie binnen het GRCA-team is essentieel om onafhankelijk te toetsen of interne processen en beheersmaatregelen effectief werken. Dit waarborgt transparantie, naleving van regelgeving en de continue verbetering van de organisatie en haar dienstverlening. Je werkt op de 15de etage van Gebouw Q-Port in Amsterdam Sloterdijk, met schitterend uitzicht over de stad. Het hoofdkantoor ligt op loopafstand van station Sloterdijk en hybride werken is goed mogelijk. De cultuur is hands-on, informeel en open. Je opereert in de volledige hypotheekketen (onder meer Merius Hypotheken, Impact Hypotheken, De Hypotheekshop en Huis & Hypotheek), waardoor je audits inhoudelijk afwisselend zijn. Wat ga je doen? Je stelt het auditjaarplan op en stemt deze af met de business. Je voert met name operationele, maar ook IT-audits uit en rapporteert hierover aan relevante stakeholders. Je faciliteert control self-assessments en diepgaande oorzaakanalyses. Je bewaakt de openstaande actiepunten. Je onderhoudt relaties met de business, de externe accountants en andere stakeholders. Je bent ambassadeur van de implementatie van het GRC-gedachtegoed binnen de organisatie. Je coördineert samen met de afdeling het ISAE 3402-programma. Wie zoeken we? We zoeken een constructieve internal auditor die leren en verbeteren boven afvinken stelt. Je hebt enkele jaren ervaring in audit, risk of control, bij voorkeur in een financiële omgeving. Je bent leergierig en investeert actief in jezelf: je volgt gericht trainingen of certificeringen waar zinvol en past nieuwe inzichten direct toe. Je voelt je thuis in een informele, open scale-upcontext en pakt eigenaarschap om de rol verder te vormen: van het opstellen van het auditjaarplan en het uitvoeren van operationele en IT-audits tot het begeleiden van control self-assessments en het slim inzetten van methoden, tooling en oorzaakanalyses. Je verbindt soepel met stakeholders – van business en MT tot externe accountants – en communiceert vloeiend in het Nederlands en Engels. Je werkt zelfstandig, zoekt actief de samenwerking op, bewaakt voortgang en borgt opvolging, zodat adviezen landen en de organisatie aantoonbaar beter wordt. Wat bieden we? Nieuwe, impactvolle rol in de derde lijn met veel vrijheid en invloed op de opzet van de auditfunctie. Compact GRCA-team, korte lijnen en directe samenwerking met het MT binnen de volledige hypotheekketen. Werkplek op de 15de etage van Gebouw Q-Port (Amsterdam Sloterdijk), met schitterend uitzicht; station op loopafstand en goede parkeermogelijkheden. Hybride werken: idealiter 2 tot 3 dagen op kantoor; flexibel werken tussen 07:00 en 21:00 uur. Salarisindicatie: € 5.000 – € 7.000 per maand (ca. € 64.800 – € 90.720 per jaar incl. vakantiegeld). 25 vakantiedagen (200 uur op basis van 40 uur); onbetaald verlof in overleg. Spotbonussen tot € 5.000,-. Pensioen via Zwitserleven: 7% werkgeversbijdrage en 2% werknemersbijdrage. Reiskostenvergoeding: € 0,23 per km of NS 2e klas (tot 75 km enkele reis). Thuiswerkvergoeding. Studiekostenregeling bespreekbaar en ruime kansen om door te groeien Collectieve zorgverzekering Informele cultuur met gezamenlijke lunches Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

< Terug Vacature Internal auditor (CAE) Staedion Per direct 32 tot 36 uur per week Den Haag / Hybride € 80.843,44 tot € 115.550,32 per jaar SOLLICITEER Over Staedion Staedion zet zich met een sterk maatschappelijk hart in voor een betaalbaar en veilig thuis voor haar huurders. Een goed en betaalbaar huis is voor Staedion een randvoorwaarde voor het geluk en de gezondheid van mensen. De corporatie verhuurt circa 46.000 woningen, winkels, bedrijfsruimten en parkeerplaatsen in de regio Haaglanden en behoort daarmee tot de grotere woningcorporaties van Nederland. Met ongeveer 400 medewerkers werkt Staedion dagelijks aan een prettige, veilige en toekomstbestendige woonomgeving. De missie van Staedion is helder: passende woningen verhuren aan mensen die niet zelf in hun huisvesting kunnen voorzien, in wijken waar het prettig samenleven is. Met haar ruime ervaring in het verhuren, beheren en ontwikkelen van woningen geeft Staedion hier concreet invulling aan. In de visie van Staedion staan de veerkracht van wijken en de leefbaarheid centraal. Het woningtekort in het werkgebied is groot, en juist dat wil Staedion aanpakken. De nadruk ligt op het vergroten van de veerkracht van wijken, het verbeteren van de leefbaarheid en het uitbreiden van het woningaanbod. Staedion werkt continu aan verduurzaming en bouwt de komende jaren maar liefst 7.500 nieuwe woningen. De totale gebiedsontwikkeling gaat gepaard met een investering van meer dan € 1.000.000.000. Dit doet zij samen met bewoners en samenwerkingspartners, met durf en ambitie. Samen thuis, voor nu en later. Over de afdeling De Internal Auditor maakt deel uit van de afdeling Bestuur, is rechtstreeks gepositioneerd onder de bestuurder en werkt volledig onafhankelijk binnen de organisatie. Over de functie Staedion zoekt een scherpzinnige en onafhankelijke internal auditor die energie krijgt van het versterken van de governance van de organisatie. In deze rol lever je een directe bijdrage aan een betrouwbare en toekomstbestendige corporatie die dagelijks het verschil maakt voor tienduizenden huurders in de regio Haaglanden. Als internal auditor onderzoek je de effectiviteit van processen, risicomanagement, interne beheersing, compliance en governance. Je komt tot heldere en realistische aanbevelingen en weet anderen te overtuigen van het nut en de noodzaak van de voorgestelde verbeteringen. Daarmee ondersteun je de bestuurder, directie en de organisatie als geheel bij het verder versterken van de beheersing. Je vervult een onafhankelijke, strategische en duidelijk gepositioneerde rol binnen Staedion, rechtstreeks rapporterend aan de voorzitter van de Raad van Bestuur. Dankzij jouw werk worden risico’s en verbeterpunten tijdig en feitelijk in beeld gebracht, ontstaat er helder inzicht en focus, en groeit de organisatie verder in control. Zo lever je een onmisbare bijdrage aan veilige, betaalbare en toekomstbestendige huisvesting; nu en in de jaren die komen. Jouw taken Je stelt een meerjarenplan en jaarplan voor audits op en bewaakt de uitvoering daarvan. Je voert audits uit op processen, risicomanagement, interne beheersing, compliance en governance. Je adviseert gevraagd en ongevraagd over de wijze waarop de beheersing kan worden verbeterd. Je onderhoudt constructieve relaties met de externe accountant, toezichthouders (Aw en WSW) en de Raad van Commissarissen. Je levert een stevige inhoudelijke bijdrage aan de verdere professionalisering van Internal Audit binnen Staedion. Wie zoeken we? We zoeken een ervaren internal auditor met WO-werk- en denkniveau, bij voorkeur aangevuld met een RO-, RE- of RA-titel of een vergelijkbare opleiding. Je hebt minimaal drie tot vijf jaar relevante ervaring in het auditvak en bij voorkeur ook kennis van de woningcorporatiesector of het bredere semipublieke domein. Je beschikt over overtuigingskracht en organisatiesensitiviteit: je weet collega’s op een natuurlijke manier mee te nemen in verbeteringen en kunt draagvlak creëren, ook wanneer de boodschap scherp is. Je communiceert helder in het Nederlands, zowel mondeling als schriftelijk, en je voelt aan wat er in de organisatie speelt. In je manier van werken ben je zelfstandig, proactief en betrouwbaar. Je bent een verbinder die stevige oordeelsvorming combineert met een rechte rug. Je opereert onafhankelijk, maar altijd in verbinding met de organisatie, en je weet je rol als derde lijn helder en professioneel neer te zetten. Wat bieden we? Een bruto jaarsalaris van tussen € 80.843,44 en € 115.550,32 op basis van 36 uur (incl. vakantietoeslag en eindejaarsuitkering van 4%) 203 vakantie-uren op basis van 36 uur en de mogelijkheid tot onbetaald verlof Pensioen via Stichting Pensioenfonds voor Woningcorporaties Reiskostenvergoeding Thuiswerkvergoeding Loopbaanontwikkelingsbudget en ruime scholingsmogelijkheden Toegang tot OpenUp voor mentaal welzijn en korting bij Urban Sports Club Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Veel risicobeleid faalt in de praktijk. Ontdek hoe je risicomanagement laat leven in je organisatie met 3 concrete pijlers voor duurzaam succes. Alle blogs Risicomanagement Waarom risicomanagement vaak niet werkt Veel organisaties hebben het op papier goed voor elkaar. Er ligt een risicomanagementbeleid, er zijn risicomatrixen, control frameworks en procedures die tot in detail zijn beschreven. Soms zelfs met keurige versies en goedgekeurd door de directie. Maar als je goed kijkt, doemt een ongemakkelijke vraag op: wordt dat beleid in de praktijk ook echt nageleefd? Worden risico’s tijdig herkend, geanalyseerd en beheerst? Of is het hele proces verworden tot een papieren tijger die in de kast verdwijnt tot de volgende risicosessie? Steeds meer organisaties erkennen dat effectieve risicobeheersing geen eenmalige inspanning is. Het werkt alleen als het een integraal onderdeel van de bedrijfsstrategie en -cultuur wordt. Niet als jaarlijkse verplichte ronde voor het jaarverslag, maar als een continu proces dat zichtbaar is in het dagelijks handelen van medewerkers.En vooral niet alleen in spreadsheets, maar merkbaar in het gedrag van mensen. De grootste valkuil: denken dat je ‘het geregeld hebt’ Een mooi en volledig risicodossier is geen garantie voor een weerbare organisatie. Het kan zelfs een vals gevoel van veiligheid geven. Juist in de dagelijkse praktijk ontstaat het verschil tussen formele risicobeheersing en daadwerkelijke weerbaarheid. Dat verschil zit vaak in ogenschijnlijk kleine dingen: Timing van de risicoanalyse Worden risico’s besproken bij de start van een project, of pas als de eerste problemen zich aandienen? Opvolging van afwijkingen Worden afwijkingen structureel opgepakt, of verdwijnen ze in de drukte van de dagelijkse operatie? Eigenaarschap Is risicobewustzijn ingebed in de hele organisatie, of wordt het gezien als “iets van de riskmanager”? We leven in een VUCA-wereld – vol Volatility, Uncertainty, Complexity en Ambiguity . In zo’n omgeving is risicomanagement niet alleen een methodiek maar een vaardigheid. De kernvraag wordt dan: Hoe zorg je dat risicobeheersing echt leeft in je organisatie? Drie pijlers voor duurzaam risicomanagement Een robuust risicomanagementsysteem is geen verzameling documenten, maar een set van werkende principes die gedragen worden door de hele organisatie. Drie pijlers zijn daarbij essentieel. 1. Van compliance naar cultuur Veel risicoprogramma’s stranden omdat ze worden ingericht als een compliance-oefening. Controles afvinken, rapportages maken en klaar. Dat is niet genoeg. Echte weerbaarheid ontstaat pas als er bewustwording en gedragsverandering plaatsvindt. Stel jezelf en je team vragen als: Waarom is dit risico belangrijk voor ons succes? Wat gebeurt er als we niets doen? Wat kan ik persoonlijk doen om dit risico te beperken? Door die vragen centraal te stellen, verschuift risicomanagement van een checklist naar een gedeelde verantwoordelijkheid. Medewerkers begrijpen dan niet alleen wat ze moeten doen, maar ook waarom . Praktisch voorbeeld: Een productielocatie met strakke veiligheidsprocedures merkte dat incidenten bleven voorkomen. Na onderzoek bleek dat medewerkers de regels wel kenden, maar ze als omslachtig ervaarden. Door samen te kijken naar werkbare aanpassingen en de achterliggende risico’s uit te leggen, nam de naleving toe en daalde het aantal incidenten. 2. Integreer risico’s in besluitvorming Risicomanagement werkt het best als het geen losstaand proces is. Het hoort in de haarvaten van de besluitvorming te zitten. Dat betekent: niet één keer per jaar een risicoworkshop, maar bij elke vergadering, elk project en elke evaluatie expliciet de vraag stellen: “Wat zijn de risico’s?” en “Hoe beheersen we die?” Dit vraagt ook om toegankelijke en actuele informatie. Risicoregisters moeten niet alleen compleet zijn, maar ook in een vorm beschikbaar die snel te gebruiken is bij beslissingen. Praktisch voorbeeld: Een retailorganisatie nam bij elke productintroductie standaard een marketing- en kostenanalyse door. Sinds kort voegen ze een “risicoparagraaf” toe waarin potentiële leveringsproblemen, reputatierisico’s en juridische vraagstukken direct worden meegenomen. Dit voorkomt verrassingen en versnelt de besluitvorming. 3. Maak risico’s bespreekbaar Risico’s identificeren is stap één. Ze durven benoemen is stap twee. In veel organisaties bestaat terughoudendheid om afwijkingen, twijfels of zorgen te delen. Soms uit angst voor gezichtsverlies, soms omdat “het toch niets uitmaakt”. Een effectieve risicocultuur vraagt om psychologische veiligheid: het gevoel dat je vrijuit kunt spreken zonder negatieve consequenties. Faciliteer open gesprekken, bijvoorbeeld via risk walks waarbij teams gezamenlijk operationele processen bekijken. Waardeer signalen van afwijkingen, ook als ze klein zijn. Beloon het melden van risico’s, in plaats van alleen het voorkomen van incidenten. Praktisch voorbeeld: Een ziekenhuisteam introduceerde een maandelijks “veiligheidsoverleg” waarin medewerkers incidenten en bijna-incidenten konden delen. Door deze openheid nam het aantal gemelde risico’s toe, waardoor preventieve maatregelen eerder konden worden genomen. Risicomanagement is mensenwerk Enterprise Risk Management (ERM), modellen en IT-systemen zijn belangrijke hulpmiddelen. Maar de kern van effectief risicobeheer blijft altijd: mensen . Het zijn de medewerkers die: risico’s signaleren; risico’s durven bespreken en maatregelen daadwerkelijk uitvoeren. Daarom is investeren in vaardigheden, bewustzijn en cultuur minstens zo belangrijk als investeren in systemen. Een organisatie met een beperkte toolset maar een hoog risicobewustzijn is vaak weerbaarder dan een organisatie met uitgebreide tooling en een lage betrokkenheid. Hoe krijg je dat voor elkaar? Begin met een goed gesprek Vraag in teams: “Wat kan er misgaan?” en “Wat doen we als dat gebeurt?” Dit opent de deur naar gedeeld eigenaarschap. Maak het concreet Gebruik voorbeelden uit de eigen praktijk. Theorie blijft pas hangen als mensen het herkennen in hun eigen werk. Investeer in training en begeleiding Richt je niet alleen op procedures, maar ook op besluitvormingsvaardigheden, communicatie en samenwerking. Vier successen Benoem en waardeer situaties waarin risico’s tijdig zijn herkend en aangepakt. Dat versterkt gewenst gedrag. De weg naar een veerkrachtige organisatie Organisaties die risicomanagement laten werken, hebben een paar dingen gemeen: Risicobewustzijn is zichtbaar in alle lagen Van directie tot werkvloer, iedereen ziet het belang en kent zijn rol. Besluitvorming en risicobeheer zijn onlosmakelijk verbonden Geen strategische keuze zonder risicobeoordeling. Openheid is de norm Risico’s benoemen wordt gezien als professionaliteit, niet als kritiek. Het proces is continu Risicomanagement leeft dagelijks, niet alleen bij jaarafsluiting of audits. Het resultaat? Een organisatie die sneller herstelt van tegenslagen, minder verrassingen kent en beter inspeelt op veranderingen in de omgeving. Oftewel: een organisatie die in control is. Tot slot Wil je jouw risicomanagementsysteem optimaliseren? Begin dan niet met een nieuw sjabloon of nog een control framework. Start met het gesprek. Vraag, luister, betrek en creëer een cultuur waarin iedereen zich verantwoordelijk voelt voor het herkennen en beheersen van risico’s. Dat is de eerste, en misschien wel belangrijkste, stap naar een veerkrachtige organisatie die klaar is voor de toekomst. Hoe Ferocia helpt organisaties met risicomanagement Ferocia ondersteunt organisaties op een manier die past bij hun ambitie, volwassenheidsniveau en context. Geen standaardmethodes, maar maatwerk. Praktisch en strategisch. Altijd gericht op verankering in de praktijk. Onze dienstverlening bestaat uit vier pijlers: 1. Opleidingen en trainingen We leiden professionals op in risicomanagement, control en compliance. Praktijkgericht, actueel en afgestemd op de uitdagingen van vandaag. Denk aan opleidingen als Cursus Risicomanagement of risicomanagement methodiek . 2. Interim ondersteuning Tijdelijk capaciteit nodig? Onze ervaren risk-professionals helpen bij implementatie, monitoring of verandermanagement. Ze zijn snel inzetbaar en gewend om te schakelen tussen strategie en uitvoering. 3. Consultancy en implementatie Van het opzetten van een risicomanagement framework tot het begeleiden van RCSA’s of het inrichten van de drie lijnen: onze consultants helpen je om risicomanagement praktisch en strategisch neer te zetten. 4. Werving en selectie We helpen je bij het vinden van de juiste mensen op het gebied van risk, control en audit. Mensen die niet alleen de kennis hebben, maar ook de vaardigheden om risico’s bespreekbaar te maken, draagvlak te creëren en resultaten te boeken. Onze kracht? We combineren inhoudelijke expertise met een scherp oog voor cultuur, gedrag en verandervraagstukken. Want uiteindelijk draait het niet alleen om het proces maar om de mensen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Steeds meer organisaties kiezen voor outsourcing van internal audit. Ontdek de voordelen zoals flexibiliteit, nichekennis en hogere auditkwaliteit. Alle blogs Co- en outsourcing Outsourcing auditafdeling Waarom steeds meer organisaties kiezen voor outsourcing van hun internal auditafdeling. In een wereld waarin veranderingen elkaar in razend tempo opvolgen, staat de interne auditfunctie onder druk. Organisaties worstelen met het behouden van capaciteit, het waarborgen van kwaliteit en het bieden van continuïteit. Tegelijkertijd worden compliance-eisen en wet- en regelgeving complexer. Steeds vaker stellen organisaties zichzelf de vraag: moeten we onze internal audit blijven uitvoeren met interne capaciteit, of is het tijd om deze auditafdeling uit te besteden? Outsourcing van internal audit: van noodgreep naar strategische keuze. Outsourcing van de internal auditfunctie wordt allang niet meer alleen ingezet bij personeelstekort. Voor veel organisaties, van multinationals tot publieke instellingen, is het uitbesteden van interne auditdiensten een doordachte, strategische keuze geworden. Door een externe auditpartij in te schakelen, kun je: auditcapaciteit uitbreiden zonder vaste kosten; specialistische kennis binnenhalen op thema’s zoals ESG-audits, cyberrisico’s, en digitale auditoplossingen; compliance-doelen beter borgen; en auditprocessen versnellen en optimaliseren. Wat zijn de voordelen van outsourcing van de auditafdeling? Op basis van gesprekken met Chief Audit Executives en compliance officers komen we steeds dezelfde voordelen tegen bij het uitbesteden van interne auditdiensten: Flexibele inzetbaarheid Geen langdurige werving, maar direct beschikbare expertise bij piekbelasting of specifieke thema-audits. Toegang tot nichekennis Denk aan AI in internal audits of audits gericht op de DORA-wetgeving en Europese richtlijnen. Frisse blik en kwaliteitsimpuls Een externe auditor stelt andere vragen, werkt vanuit andere kaders en brengt scherpere inzichten. Versnelling en efficiency Audit outsourcing helpt je sneller resultaten te boeken en ruimte te creëren voor interne focus op risicobeheersing. Hoe werkt succesvolle samenwerking met een externe auditpartij? Een geslaagde samenwerking met een externe partij vraagt om meer dan alleen het ondertekenen van een contract. De meest succesvolle vormen van internal audit outsourcing kenmerken zich door: Heldere scope en verwachtingsmanagement Formuleer duidelijk welke auditfuncties worden uitbesteed, met welk doel, en hoe de samenwerking eruitziet. Actieve kennisoverdracht Vermijd ‘black box’-audits. Werk samen aan overdracht en borging van kennis in de organisatie. Kiezen van de juiste partner Selecteer een audit outsourcing partner die de taal van governance, risicomanagement en gedrag begrijpt. Wanneer is outsourcing van de auditafdeling geschikt? Uitbesteden is niet altijd de oplossing. Maar bij capaciteitstekort, toenemende complexiteit of veranderende compliance-eisen kan outsourcing een manier zijn om: in control te blijven; auditfuncties toekomstbestendig in te richten; risico’s beheersbaar te houden; en te voldoen aan strengere regelgeving. Het is essentieel om goed af te wegen wanneer internal audit uitbesteden zinvol is. In gereguleerde sectoren is audit outsourcing toegestaan, mits voldaan wordt aan wet- en regelgeving, inclusief vereisten rondom privacy en onafhankelijkheid. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Heb je tijdelijk extra capaciteit en deskundigheid nodig op het gebied van internal auditing, control of risicomanagement? Wij helpen je graag! Onze ervaren interim professionals vullen jouw capaciteitsbehoefte naadloos in. Interim en consultancy Ferocia biedt tijdelijke capaciteit en deskundigheid op het gebied van internal audit, control en risicomanagement. Onze dienstverlening Ferocia levert ervaren interim-professionals die direct inzetbaar zijn voor onder meer het uitvoeren van audits, het inrichten en versterken van risicomanagement, het toetsen van de kwaliteit van de IAF en het implementeren/ondersteunen van third-party rapportages zoals ISAE 3000 en ISAE 3402, evenals trajecten rond ISO 27001; bekijk het volledige overzicht van onze dienstverlening op onze themapagina . We hanteren eerlijke, transparante tarieven en richten de inzet in conform de Wet DBA; als SNA-gecertificeerde organisatie werken wij aantoonbaar betrouwbaar en volgens geldende regelgeving. Bij inzet van zzp’ers beoordelen wij de arbeidsrelatie zorgvuldig en kiezen de juiste contractvorm, zodat jouw organisatie geen onnodige risico’s loopt. Interim Consultancy Co- en outsourcing Verloning Je internal audit- of riskfunctie versterken via co- of outsourcing? De eisen aan governance, risicobeheersing en interne controle worden steeds zwaarder. Tegelijk is goede capaciteit én specifieke expertise schaars. Co- en outsourcing zijn dan geen noodgreep, maar een strategische keuze om je internal audit- of riskfunctie structureel te versterken. Met co-sourcing werk je samen met onze professionals als één team. Jij houdt de regie, wij voegen capaciteit, kennis en een frisse blik toe. Ideaal bij piekbelasting, specialistische onderzoeken (bijvoorbeeld DORA, ESG of AI) of als je de kwaliteit van je functie wilt verstevigen. Kies je voor outsourcing, dan nemen wij (een deel van) de functie voor je over, van planning en uitvoering tot rapportage en kwaliteitsborging. Jij bepaalt de kaders en doelen, wij zorgen voor heldere processen, betrouwbare rapportages en kwalitatieve professionals. Met Ferocia kies je voor: • bewezen expertise in internal auditing en risicomanagement; • een partner die meedenkt over vandaag én morgen; • schaalbare ondersteuning, zonder in te leveren op kwaliteit; en • een efficiënte en structurele oplossing. Meer informatie over co-sourcing of outsourcing lees hier onze blogs Strategisch advies nodig op het gebied van audit, control of risk? Soms heb je meer nodig dan een extra paar handen. Je zoekt een sparringpartner die meekijkt, scherpe vragen stelt en helpt om echt stappen te zetten. Of het nu gaat om het versterken van je internal auditfunctie, het uitvoeren van een internal audit, het opzetten van integraal risicomanagement, het aanscherpen van je controls of het voldoen aan strengere regelgeving: Ferocia staat naast je. Onze consultants combineren diepgaande vakkennis met praktijkervaring in onder meer overheid, zorg, financiële dienstverlening, infra en industrie. Ze begrijpen jouw wereld, de druk van stakeholders en de dagelijkse realiteit. Met de consultants van Ferocia krijg je: inhoudelijke expertise op audit, risk en control; praktische oplossingen die passen bij jouw organisatie en cultuur; helderheid en structuur in processen, rollen en verantwoordelijkheden; en concrete verbeterplannen waar je morgen mee aan de slag kunt. We starten altijd met een goed gesprek over context, doelen en ambities. Vanuit daar werken we samen aan een aanpak die past. Geen dikke rapporten voor in de la, maar oplossingen die werken in jouw praktijk. Snel versterking nodig op het gebied van internal auditing, control of risicomanagement? Een zieke collega, een vacature die maar niet ingevuld wordt, een grote veranderopgave of een flinke auditpiek… Juist op die momenten wil je iemand naast je hebben die direct meedraait en weet wat er moet gebeuren. Ferocia helpt je snel aan een interim-professional die meer doet dan “de boel draaiende houden”. Onze mensen brengen rust, structuur en kwaliteit, en laten iets duurzaams achter als ze weer weg zijn. Onze interimmers: hebben ruime ervaring binnen onder meer de overheid, financiële dienstverlening, zorg en industrie; stappen snel in, pakken zelf op wat nodig is en voegen direct waarde toe; combineren vakinhoudelijke stevigheid met goede communicatieve vaardigheden; sluiten aan bij jouw doelen: continuïteit, versnelling, kennisopbouw of verandering; en zijn scherp geprijsd. Als wij een zzp’er bemiddelen is onze standaardmarge € 17,50. We kijken niet alleen naar het cv, maar vooral naar de match met jouw organisatie en opdracht. En ook tijdens de inzet blijven we betrokken, zodat je kunt bijsturen of opschalen als dat nodig is. Meer informatie over het inhuren van een interim professional via Ferocia, lees hier onze blog . Zeker verlonen in lijn met de Wet DBA? Sinds 1 januari 2025 handhaaft de Belastingdienst de Wet DBA actief. Geen schijnzelfstandigheid, geen grijs gebied, maar duidelijkheid: wie feitelijk als werknemer werkt, hoort in loondienst. Met de verloningsdienst van Ferocia zorg je dat jouw inzet van internal auditors, controllers, risk- en complianceprofessionals klopt. Juridisch én in de praktijk. Wij nemen de professional bij Ferocia in loondienst onder de ABU-cao, met pensioenopbouw bij StiPP en een transparant beloningsmodel: 85% van de omzet wordt verloond, 15% gaat naar Ferocia voor loonadministratie, begeleiding, risicodekking en onze marge. Ferocia is bovendien SNA-gecertificeerd, waardoor je zeker weet dat alle verplichtingen rondom arbeid, loonheffingen en afdrachten aantoonbaar volgens de norm worden uitgevoerd. Zo blijft de professional inzetbaar zonder risico’s, en weet jij dat alles goed geregeld is. Vooraf voeren we een DBA-scan uit, leggen we de afweging vast in een duidelijk dossier en vertalen we dat naar heldere afspraken in de praktijk. Geen constructies, maar een oplossing die toetsbaar is bij controle en rust geeft in de organisatie. Twijfel je over de juiste contractvorm of wil je bestaande inhuur “DBA-proof” maken via verloning? Ferocia denkt graag met je mee, neem contact met ons op via onderstaande button. Meer informatie over verlonen via Ferocia, lees deze blog . Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Opdrachten Voor interim-professionals Ben je interim-professional op het gebied van audit, control, risk management of compliance? Dan komen we graag met je in contact. Ferocia investeert in mensen die óók in zichzelf willen investeren en matcht je met opdrachten die passen bij jouw niveau en ontwikkelbehoefte. Samenwerken kan via een zzp-constructie of via verloning. Bij verloning verzorgen wij de loonadministratie en afdrachten, zodat jij je volledig kunt focussen op de opdracht. Natuurlijk borgen we compliance met de Wet DBA en werken we als SNA-gecertificeerde organisatie volgens alle geldende regels. Waarom Ferocia? Uitmuntende consultants aangevuld met een sterk netwerk van interim-professionals. Eerlijke tarieven. Onze standaardmarge bij bemiddeling bedraagt € 17,50 per uur. SNA-gecertificeerd en volledig compliant met de Wet DBA – gegarandeerde naleving van alle wet- en regelgeving De meest gunstige condities voor onze interim-professionals Oprechte aandacht voor zowel onze opdrachtgevers als onze interim-professionals.

Ferocia deelt haar expertise graag. Onze consultants en trainers schrijven regelmatig expertblogs over internal audit, control en risicomanagement. Blogs Ferocia deelt haar expertise graag. Onze consultants en trainers schrijven regelmatig expertblogs over internal audit, control en risicomanagement. Vanuit diepgaande vakkennis en jarenlange ervaring gaan zij in op actuele ontwikkelingen, concrete vraagstukken en praktische oplossingen. Laat u inspireren en ontdek wat wij voor uw organisatie kunnen betekenen. Co- en outsourcing Gedrag en cultuur IT-beheersing Interim en consultancy Internal auditing Opleiding en training Risicomanagement TPM Waarom blijven dezelfde fouten terugkomen in organisaties? In deze blog lees je hoe internal auditing kan uitgroeien van controleur tot aanjager van leren en verbeteren. Ontdek hoe je met focus op gedrag, patronen en dialoog het lerend vermogen écht versterkt. Klik door voor meer informatie. Internal auditing en het lerend vermogen Internal auditing en het lerend vermogen Internal audit verandert snel. Auditmethodiek 2.0 laat zien hoe u met een gestructureerde, AI-ondersteunde aanpak relevantere en impactvollere audits uitvoert. Van voorbereiding tot rapportage. Ontdek hoe referentiemodellen, datamatrices en de AI-agents uw audits versnellen én de organisatie echt in beweging brengen. Auditmethodiek 2.0 Auditmethodiek 2.0 Personeelstekort, piek in audits of een spannend verandertraject? Met een interim auditor van Ferocia haal je geen ‘opvulling’ binnen, maar een ervaren professional die vanaf dag één productief is, rust brengt én je auditfunctie versterkt. Lees in de blog waarom dit een slimme, strategische keuze is. Interim auditor inhuren via Ferocia Interim auditor inhuren via Ferocia Veel risicoanalyses blijven hangen in lijstjes en matrixen waar niemand iets mee doet. In deze blog lees je wat een écht goede risicoanalyse is, welke valkuilen je moet vermijden en hoe je risico’s verbindt met gedrag, besluitvorming en resultaat. Maak van risicoanalyse een krachtig stuurinstrument. Risicoanalyse Risicoanalyse Sinds 17 januari 2025 moet jouw organisatie aantoonbaar digitaal weerbaar zijn. In deze blog lees je wat een DORA-audit is, welke vijf bouwstenen echt het verschil maken en hoe internal audit uitgroeit tot strategische partner. Onmisbaar leesvoer voor audit, risk en compliance. DORA audit DORA audit Waarom lopen scherp bedachte verbetertrajecten toch vast? Behavioural auditing legt ongeschreven spelregels, cultuur en gedrag bloot én maakt ze bespreekbaar. Ontdek hoe Ferocia je helpt om risicobeheersing echt te laten werken. Behavioural auditing Behavioural auditing Steeds meer organisaties besteden hun internal audit uit; niet uit nood, maar als bewuste strategische keuze. In deze blog lees je hoe outsourcing zorgt voor flexibele capaciteit, specialistische kennis en een frisse kwaliteitsimpuls, én wanneer het wél of juist niet past. Klik door om verder te lezen. Outsourcing auditafdeling Outsourcing auditafdeling ISAE 3402 hoeft geen jaarlijks hoofdpijndossier te zijn. In deze blog ontdek je hoe je van een verplicht vinkje een strategisch instrument maakt dat processen versterkt, risico’s aanscherpt en eigenaarschap in de lijn creëert. Zo levert jouw verklaring wél waarde op. Klik door voor de volledige aanpak. ISAE 3402 verklaring ISAE 3402 verklaring Word de auditor die écht impact maakt. In de postbachelor Operational Auditing leer je risico’s scherp analyseren, processen verbeteren en organisaties helpen sturen op resultaat. Praktijkgericht, blended en direct toepasbaar. Ontdek hoe jij uitgroeit tot strategisch sparringpartner én versterker van het lerend vermogen. Klik door voor de hele blog. Opleiding operational auditing Opleiding operational auditing Ontdek hoe je als auditor, controller of risk professional méér invloed krijgt met krachtige gesprekstechnieken. In deze training leer je lastige gesprekken voeren, weerstand ombuigen en echt doorgronden wat er speelt. Praktijkgericht, interactief en direct toepasbaar. Klik door en til je vakmanschap naar een hoger niveau. Training gesprekstechnieken voor auditors en riskmanagers Training gesprekstechnieken voor auditors en riskmanagers Sta jij als internal auditfunctie voor een (aanstaande) kwaliteitstoetsing? Ferocia helpt je van readiness assessment tot en met onafhankelijke externe toetsing volgens de GIAS. Ontdek hoe je van ‘spannend examen’ naar kans op groei en professionalisering gaat. Kwaliteitstoetsing auditafdelingen Kwaliteitstoetsing auditafdelingen De VOR vergroot de verantwoordelijkheid van het bestuur en dat vraagt om een stevige onderbouwing van de interne risicobeheersing. Internal audit blijft onafhankelijk en moet samenwerken met de 1ste en 2de lijn en de effectiviteit van de beheersing duiden. De VOR biedt zo een kans om strategisch waarde toe te voegen. VOR en de impact op de internal auditor VOR en de impact op de internal auditor Operational auditing geeft organisaties grip in een complexe wereld. In deze blog lees je hoe de operational auditor uitgroeit tot katalysator voor leren en verandering met oog voor digitalisering, cultuur, agile werken én transparantie. Ontdek waarom geen toekomstbestendige organisatie zonder kan. Operational auditing en jouw organisatie Operational auditing en jouw organisatie Hoe blijft jouw auditfunctie relevant in een snel veranderende wereld? Agile auditing draait audits om: kortcyclisch, samen met de business en gericht op échte impact in plaats van alleen een eindrapport. Ontdek in deze blog hoe jij van controleur uitgroeit tot navigator van de toekomst. Agile auditing Agile auditing Waarom werkt risicomanagement zo vaak wél op papier, maar niet in de praktijk? In deze blog ontdek je de meest voorkomende oorzaken; gebrek aan eigenaarschap, slechte timing en geen ondersteunende cultuur. Leer hoe je risicomanagement wél laat leven in besluitvorming en gedrag. Klik door en maak jouw organisatie écht weerbaar. Waarom risicomanagement vaak niet werkt Waarom risicomanagement vaak niet werkt Welk risicomanagementmodel past bij jouw organisatie? In deze blog ontdek je de verschillen tussen COSO ERM, ISO 31000, het Three Lines Model, de BIO en RISMAN én hoe je ze slim toepast. Praktisch, helder en direct inzetbaar. Klik door en kies het model dat jouw organisatie écht vooruit helpt. Risicomanagement model Risicomanagement model COBIT is geen ingewikkeld IT-speeltje, maar jouw kompas voor digitale governance. In deze blog lees je hoe COBIT 2019 business, IT en bestuur dezelfde taal laat spreken, IT-risico’s structuur geeft en jouw audits versterkt. Ontdek hoe je COBIT praktisch inzet in jouw organisatie. Cobit Cobit Blijven dezelfde bevindingen terugkeren in je audits? Met een diepgaande oorzaakanalyse op gedrag en cultuur maakt Ferocia de onderstroom zichtbaar en vertaal je 'soft controls' naar concrete acties. Ontdek hoe je naar echte en duurzame veranderingen gaat. Oorzaakanalyse op gedrag en cultuur Oorzaakanalyse op gedrag en cultuur Co-sourcing geeft je audit- of riskafdeling precies de extra slagkracht die je nu mist, zonder regie uit handen te geven. Met de experts van Ferocia vul je je team flexibel aan, haal je specialistische kennis binnen en bouw je tegelijk aan een sterker, toekomstbestendig functiehuis. Co-sourcing auditafdeling of riskafdeling Co-sourcing auditafdeling of riskafdeling ISAE 3402, SOC 1 of SOC 2? In deze blog ontdek je eindelijk het verschil. Helder uitgelegd, met praktische handvatten om te bepalen welke verklaring écht past bij jouw dienstverlening. Voorkom dure fouten en maak een keuze die vertrouwen uitstraalt. Klik door voor de complete uitleg. ISAE 3402, SOC 1, SOC 2. ISAE 3402, SOC 1, SOC 2. Verdiep je in de digitale wereld met de postbachelor IT-auditing. Leer hoe je IT-processen, cybersecurity en governance beoordeelt én direct toepast in je eigen organisatie. Praktijkgericht, blended en ontworpen om jou een volwaardig gesprekspartner voor bestuur en IT-managers te maken. Klik door voor de volledige blog. IT-auditing opleiding IT-auditing opleiding Wil je meer doen dan beheersmaatregelen toetsen in audits? In de training Soft Controls van Ferocia leer je in twee dagdelen hoe je gedrag, cultuur en soft controls onderzoekt én vertaalt naar concrete interventies. Met e-learning, praktijkcases en feedback van experts. Training soft controls Training soft controls Sinds 1 januari 2025 handhaaft de Belastingdienst de Wet DBA écht. Wat betekent dat voor jouw inzet van zzp’ers in audit, risk en compliance? Ferocia laat zien hoe je grijs gebied omzet in duidelijke keuzes, minimale risico’s én behoud van flexibiliteit. Lees meer. Wet DBA 2025: zekerheid zonder frictie Wet DBA 2025: zekerheid zonder frictie De BIO2 is het vernieuwde normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het legt meer nadruk op risicogedreven beveiliging, bestuurlijke verantwoordelijkheid, ketenrisico’s en continue verbetering. Voor auditors en risicomanagers verschuift de focus van maatregel controles naar beoordeling van governance, ISMS en risicomanagementprocessen. BIO2 BIO2 IT-auditing is veel meer dan vinkjes zetten. In deze blog lees je hoe de IT-auditor zorgt voor veilige systemen, naleving van AVG/NIS2/DORA en grip op digitale risico’s. Ontdek de belangrijkste inzichten voor een sterke IT-audit én hoe Ferocia je hierbij kan helpen. IT-auditing IT-auditing Wil je dat jouw auditrapport wél leidt tot actie? In deze blog ontdek je hoe je rapporten schrijft die beweging creëren: helder, krachtig, visueel en gericht op eigenaarschap in de 1e lijn. Geen papieren eindproduct, maar een interventie die echt verandering start. Klik door en maak jouw rapporten impactvoller dan ooit. Auditrapporten die wel leiden tot actie Auditrapporten die wel leiden tot actie Risk appetite en risk tolerances lijken theoretisch, maar bepalen in de praktijk of uw organisatie met vertrouwen durft te innoveren én tijdig begrenst. In deze blog leest u hoe u ze concreet maakt, van bestuurskamer tot werkvloer, met voorbeelden, valkuilen en praktische tips. Risk appetite en risk tolerance Risk appetite en risk tolerance NIS2 verandert cybersecurity van IT-thema naar bestuurdersvraagstuk. In deze blog lees je wie onder NIS2 valt, wat er straks écht verplicht is en welke rol internal audit, risk en control spelen. Geen paniek om boetes, maar een kans om je organisatie aantoonbaar digitaal weerbaar te maken. NIS2 NIS2 ISO 27001 is geen papieren oefening, maar een manier om informatiebeveiliging écht te laten werken. In deze blog lees je hoe je met een scherpe scope, slimme verklaring van toepasselijkheid (SoA) en goede audits risico’s, gedrag en techniek verbindt, en zo van certificaat naar waardecreatie gaat. ISO 27001 ISO 27001 Waarom gaat het mis terwijl alle regels kloppen? In deze blog ontdek je de onzichtbare kracht van soft controls: cultuur, gedrag en psychologische veiligheid. Lees hoe je als auditor of controller die zachte kant onderzoekt én inzet om de kwaliteit van risicobeheersing en het lerend vermogen echt te versterken. Soft Controls Soft Controls Audits uitbesteden kan je auditfunctie juist versterken, mits je het slim regelt. In deze blog lees je wanneer uitbesteden écht loont, welke vormen werken, hoe je onafhankelijkheid borgt en hoe je stuurt op resultaten in plaats van uren. Uitbesteden van audits Uitbesteden van audits Internal auditing geeft organisaties grip op risico’s, processen en IT. In deze blog ontdek je het verschil tussen operational en IT-auditing, en waarom de postbacheloropleidingen van Ferocia en Habeo+ je klaarmaken voor een rol als strategische sparringpartner. Word internal auditor en vergroot je impact. Klik door voor meer. Opleiding Internal auditing Opleiding Internal auditing Vergroot de grip op risico’s én je invloed in de organisatie. In de opleiding Risicomanagement van Ferocia leer je in acht interactieve dagdelen risico’s structureren, draagvlak creëren en risicobewustzijn vergroten. Praktisch, verdiepend en direct toepasbaar in jouw eigen organisatie. Opleiding risicomanagement Opleiding risicomanagement Hoe zorg je dat auditors en risicomanagers niet alleen kennis opstapelen, maar écht leren in de praktijk? In deze blog lees je hoe Ferocia e-learning, hybride onderwijs en levensechte simulaties combineert tot opleidingen die raken én blijven hangen. Hoe technologie onze opleidingen en trainingen vernieuwt. Hoe technologie onze opleidingen en trainingen vernieuwt. Behavioral Auditing 2.0 legt de link tussen beheerscultuur en controlframework bloot met AI-ondersteunde gedragsanalyse. Sneller, dieper en concreter inzicht in hoe gedrag risicobeheersing écht beïnvloedt – volledig in lijn met de IIA-standaarden. Behavioral Auditing 2.0 Behavioral Auditing 2.0

Onderzoek cultuur en gedrag in audits met de training soft controls. Leer modellen over cultuur en gedrag praktisch toepassen in jouw audits en stimuleer verandering. Schrijf je nu in! Training Soft controls Duur Studiekosten PE-punten 2 dagdelen € 495,- 9 Inschrijven Training Soft Controls Soft controls, ‘de menselijke factor’ binnen organisaties, krijgen steeds meer aandacht en staan steeds vaker op de auditkalender. Denk aan thema’s als sociale veiligheid, voorbeeldgedrag en vertrouwen. Maar hoe toets je soft controls tijdens een audit? In de training Soft Controls leer je in één lesdag en via een aanvullende e-learning de noodzakelijke technieken en modellen om soft controls effectief te onderzoeken in jouw praktijk. Je scherpt je begrip van cultuur en gedrag aan, oefent met vraagtechnieken en leert hoe je signalen uit de organisatie interpreteert en vertaalt naar concrete interventies. Wat leer je tijdens de training soft controls? Na afloop van deze training kun je cultuur, gedrag en soft controls helder definiëren en begrijp je waarom deze onmisbaar zijn voor effectieve beheersing en sturing. Je leert verschillende modellen toepassen binnen je audits en je bent in staat soft controls gericht te onderzoeken. Daarnaast maak je kennis met interventies die bijdragen aan het versterken van soft controls binnen jouw organisatie, zodat je niet alleen inzicht krijgt, maar ook handvatten hebt om daadwerkelijk verandering te stimuleren. Waarom kiezen voor de training soft controls? Praktisch en theoretisch onderbouwd: je leert bewezen modellen rond cultuur en gedrag kennen en direct toe te passen. Interactie met vakgenoten: ervaringsuitwisseling met collega’s uit andere organisaties. Direct inzetbaar: je stelt een persoonlijk actieplan op dat je kunt toepassen in de eigen praktijk. Flexibiliteit: kies voor fysiek of digitaal onderwijs via onze mixed classrooms. Korte, krachtige investering: in slechts één trainingsdag en een e-learning krijg je de essentiële inzichten en vaardigheden rond soft controls. Waarom kiezen voor Ferocia? Ferocia is de opleider voor professionals in audit, control en risk. Wij combineren academische diepgang met praktijkgericht leren, zodat je kennis direct toepasbaar is in jouw werkomgeving. Onze docenten zijn verbonden aan universiteiten, hogescholen en beroepsorganisaties en brengen hun ervaring uit de praktijk mee de opleiding in. We werken met een innovatieve didactiek waarin e-learning, rollenspellen, praktijkcases en coaching samenkomen in een blended format. Daarbij staat toepassing altijd centraal: je leert het niet alleen, je doet het ook. Ferocia gelooft in inspiratie, co-creatie en prestatie, en dat ervaar je in al onze programma’s! Wil jij leren hoe je met audits echt inzicht krijgt in cultuur en gedrag binnen organisaties? Schrijf je dan nu in voor de training Soft Controls en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar en van jou wordt verwacht een oordeel te kunnen vormen over cultuur- en gedragsaspecten binnen jouw organisatie. Je wenst in korte tijd de basisbeginselen van soft controls te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 10 uur. Dit is inclusief lesdagen en praktijkopdrachten. In deze training werken we met een innovatieve e-learning, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Deelnemers kunnen de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 9 PE-punten. De studiekosten bedragen € 495,- (all-in en vrij van btw). Wat eerdere deelnemers zeggen Bert van Scherpenzeel Quality manager "De training Soft controls is zeer interessant en inspirerend! " Marsha van Iersel Business controller "Veel interactie, levendige discussies en praktische voorbeelden maakten de training Soft controls bijzonder waardevol!" Menny Barendse Auditmanager "Het op praktische wijze leren toepassen van soft controls is een waardevolle aanvulling op onze audits!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde... 26 aug 2025 4 minuten om te lezen Soft Controls: de kracht van beheersing In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en... 13 mei 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Versterk jouw IT-beheersing met een effectieve IT audits. Ontdek waarom IT auditing essentieel is voor veiligheid, compliance en continuïteit. Alle blogs Internal auditing IT-auditing De digitale transformatie is in volle gang. Organisaties automatiseren processen, slaan gevoelige gegevens op in de cloud en maken steeds vaker gebruik van algoritmes en AI. Daarmee neemt ook de afhankelijkheid van IT-systemen toe, en dus ook de risico’s. Maar hoe weet je of je IT-omgeving daadwerkelijk ‘in control’ is? Of je systemen veilig zijn? En of jouw organisatie voldoet aan relevante wet- en regelgeving? Hier komt de IT-auditor in beeld. In deze blog lees je wat IT-auditing is, waarom het onmisbaar is in moderne organisaties en wat de belangrijkste inzichten zijn voor het uitvoeren van een effectieve IT-audit. Wat is IT-auditing? Een IT-audit is een gestructureerd en onafhankelijk onderzoek naar de beheersing van IT-processen en -systemen binnen een organisatie. De IT-auditor beoordeelt of deze processen: betrouwbaar zijn; voldoen aan interne en externe normen; bijdragen aan de organisatiedoelen; voldoende beschermd zijn tegen risico’s, zoals datalekken of uitval. Het doel van een IT-audit is niet alleen om te controleren, maar vooral om inzicht te geven in risico’s en handvatten te bieden om deze te beheersen. Daarmee draagt een IT-audit direct bij aan de kwaliteit en continuïteit van bedrijfsvoering. Waarom is IT-auditing zo belangrijk? Waar lang geleden de focus van audits vooral lag op financiële en operationele processen zijn IT-audits vandaag de dag essentieel. Dat heeft drie belangrijke redenen: 1. Digitalisering raakt alle processen Vrijwel elke organisatie draait op digitale systemen. Van HR tot finance, van productie tot klantcontact, alles loopt via IT. Een storing of beveiligingslek kan direct impact hebben op de hele organisatie. 2. Regelgeving wordt strenger Wet- en regelgeving zoals de AVG, NIS2 of DORA stellen steeds hogere eisen aan informatiebeveiliging, privacy en beschikbaarheid. Een IT-audit helpt om aan te tonen dat je hieraan voldoet. 3. Complexiteit neemt toe Cloudomgevingen, ketenintegratie, third-party risico’s, legacy systemen: IT-omgevingen zijn complexer dan ooit. Dit vraagt om specialistische audits die verder kijken dan de standaard checklist. Wat onderzoekt een IT-auditor? Een IT-audit kan verschillende onderwerpen omvatten. Denk bijvoorbeeld aan: Informatiebeveiliging (Information Security) Zijn vertrouwelijkheid, integriteit en beschikbaarheid van data geborgd? Change management Worden wijzigingen in systemen gecontroleerd en goedgekeurd? Toegangsbeheer Hebben alleen bevoegde personen toegang tot systemen en gegevens? Continuïteitsbeheer Zijn er procedures bij calamiteiten? Is er een disaster recovery plan? IT-governance Zijn verantwoordelijkheden, beleid en controlemechanismen goed ingericht? Compliance Voldoet de organisatie aan relevante wet- en regelgeving? De scope van een IT-audit hangt sterk af van de risico’s die binnen een specifieke organisatie of sector spelen. De belangrijkste inzichten bij het uitvoeren van een IT audit 1. Begrijp het bedrijfsproces voor je de techniek induikt Een veelgemaakte fout is om meteen de techniek in te duiken. Een effectieve IT-auditor begint bij het bedrijfsproces. Wat is het doel van het systeem? Welke risico’s bedreigen dat doel? En welke IT-maatregelen zijn genomen om die risico’s te beheersen? De techniek is belangrijk, maar niet het vertrekpunt. Zonder procesinzicht mist je audit impact. 2. Werk met een helder normenkader Een IT-audit draait om toetsing en toetsing vereist een normenkader. Dat kan een standaard zijn (zoals COBIT, ISO27001 of NIST) maar ook intern beleid. Zorg dat je deze normen vooraf goed definieert en vertaalt naar toetsbare criteria. Zorg dat je met de opdrachtgever en eventueel de auditee dit normenkader goed afstemt. Alleen dan kun je op gestructureerde wijze beoordelen of de beheersmaatregelen effectief zijn en als dat niet zo is, zet je auditrapport aan te verbetering.. 3. Toon niet alleen gebreken, maar geef handelingsperspectief Een goed auditrapport laat niet alleen zien wat er fout gaat, maar ook hoe het beter kan. Kom samen met de 1 ste lijn tot concrete aanbevelingen en quick wins. Daarmee maak je jouw werk relevant voor het management en worden bevindingen ook echt worden opgepakt. 4. Zorg voor stakeholdermanagement Een IT-audit raakt vaak meerdere afdelingen: IT, security, operations, legal, etc.. Elke stakeholder heeft andere belangen en verwachtingen. Het is cruciaal dat je dit veld goed overziet, belangen scherp krijgt en open communiceert. Daarmee creëer je draagvlak en voorkom je weerstand. 5. Let op soft controls en gedrag Niet alleen systemen bepalen of een IT-omgeving veilig is. Ook gedrag speelt een belangrijke rol. Worden wachtwoorden gedeeld? Klikken medewerkers op phishinglinks? Is er voldoende security awareness? Een IT-audit die alleen op hard controls (zoals firewalls of toegangssystemen) focust, mist vaak de kern van het risico. Neem daarom ook cultuur en gedrag mee in je beoordeling. 6. Automatiseer waar mogelijk IT-auditors beschikken steeds vaker over tools voor data-analyse, continuous monitoring en geautomatiseerde toetsing. Maak hier slim gebruik van. Niet om het menselijke oordeel te vervangen, maar wel om sneller, breder en diepgaander te kunnen auditen. 7. Wees wendbaar en actueel IT-omgevingen veranderen snel. Wacht daarom niet altijd op een jaarlijkse audit, maar werk met flexibele en iteratieve audits. Zo blijf je relevant en sluit je beter aan bij de dynamiek van de organisatie. De toekomst van IT-auditing De komende jaren zal IT-auditing alleen maar belangrijker worden. Nieuwe technologieën brengen nieuwe risico’s: AI, blockchain, quantum computing. Tegelijkertijd groeit de behoefte aan zekerheid, transparantie en compliance. De IT-auditor van de toekomst is dan ook niet alleen technisch onderlegd, maar: · begrijpt businessprocessen; · kan risico’s vertalen naar impact; · communiceert effectief met bestuurders en techneuten; en · en blijft continu leren. Tot slot: investeren in kwaliteit loont Een goede IT-audit levert meer op dan alleen een rapport. Het creëert inzicht, versterkt de beheersing en vergroot het vertrouwen van stakeholders. Zeker in een wereld waarin data en technologie de kern van je organisatie vormen, is investeren in IT-auditing geen luxe maar noodzaak. Hoe Ferocia IT-auditing binnen jouw organisatie versterkt Bij Ferocia geloven we in IT-auditing als strategisch instrument. Een manier om niet alleen risico’s te beheersen, maar om organisaties sterker en wendbaarder te maken. Daarom ondersteunen wij organisaties op drie manieren: 1. Opleidingen en trainingen We leiden auditors op tot echte professionals die zelfstandig en met impact een audit kunnen uitvoeren. Denk aan onze postbacheloropleiding IT Auditing of de cursus IT voor auditors . Theorie en praktijk, met aandacht voor zowel hard controls als soft controls. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een IT-audit? Wij leveren ervaren IT-auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe IT-auditor? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Versterk risicobeheersing binnen jouw organisatie met de opleiding Operational Auditing. Ontdek hoe jij het verschil maakt als auditor en strategisch adviseur. Alle blogs Opleiding en training, Internal auditing Opleiding operational auditing Lopen onze processen eigenlijk wel beheerst? Gaan we onze doelen wel halen dit jaar? En is onze interne controle robuust genoeg? Zomaar wat vragen die bij veel bestuurders en managers leven. Vragen waarop de operational auditor het antwoord geeft en daarmee van onschatbare waarde is voor iedere organisatie die serieus werk maakt van risicobeheersing, compliance en prestatiesturing. Met de postbacheloropleiding Operational auditing ontwikkel je je tot een volwaardige, onafhankelijke gesprekspartner van het management en lever je een directe bijdrage aan het lerend vermogen van je organisatie. In deze blog lees je alles over de opleiding: wat operational auditing inhoudt, wat je leert, wat je er na afloop mee kunt, voor wie de opleiding is bedoeld en hoe het leertraject is opgebouwd. Wat is operational auditing? Operational auditing is een vorm van intern onderzoek waarbij de auditor beoordeelt in hoeverre risico’s binnen bedrijfsprocessen op een beheersbare manier worden gemanaged. Het draait om het geven van aanvullende zekerheid aan bestuur en management over de kwaliteit van de risicobeheersing, zodat de organisatie haar doelstellingen daadwerkelijk kan realiseren. De operational auditor kijkt breed en procesgericht, niet alleen naar de harde beheersmaatregelen (hard controls), maar ook naar de zachte kant: gedrag, cultuur en samenwerking (soft controls). De blik is niet achteraf controleren, maar juist aan de voorkant beoordelen of de organisatie in staat is zijn doelen te realiseren. Met dit inzicht kan de organisatie nog bijsturen, waardoor operational auditing bijdraagt aan het lerende vermogen van de organisatie. De kernvraag is telkens: in hoeverre is de organisatie in staat haar organisatiedoelen waar te maken, gegeven de huidige risicobeheersing? Operational auditing is daarmee meer dan controleren, het is een vak dat vraagt om scherpe analyses, strategisch inzicht en overtuigende communicatie. Wat leer je tijdens de opleiding operational auditing? De postbacheloropleiding Operational auditing is modulair opgebouwd en kent een logische verdeling tussen theorie en praktijk. Tijdens de opleiding leer je niet alleen het vakmatig uitvoeren van operational audits, maar ook het versterken van je adviesvaardigheden en de impact van je werk vergroten. Module 1: Basisprincipes In de eerste module leer je de fundamenten van het vak. Je krijgt inzicht in: De positionering van operational auditing ten opzichte van andere auditvormen. De structuur en inrichting van een effectieve auditfunctie. Het gebruik van controlmodellen zoals COSO, INK, KAD, Simons en ISO. De toepassing van soft controls in je beoordeling. De relatie tussen integraal risicomanagement en auditing. Theorie staat hierbij nooit op zichzelf: alles wordt direct vertaald naar jouw praktijk. Dat maakt het relevant en toepasbaar. Module 2: Praktijk en toepassing In de tweede module pas je de opgedane kennis toe in je eigen organisatie. Je voert een volledige operational audit uit, van ontwerp tot rapportage onder begeleiding van een ervaren docent. Deze praktijkmodule bestaat uit drie fasen: Auditontwerp – Je maakt een concreet plan van aanpak, inclusief doelstelling, normenkader, gegevensverzameling en oordeelsvorming. Veldwerk – Je toetst de praktijk aan het normenkader via documentanalyse, interviews en observaties. Hierbij is veel aandacht voor gesprekstechnieken, omgaan met weerstand en het creëren van acceptatie. Rapportage – Je leert hoe je je bevindingen effectief en overtuigend rapporteert, inclusief oorzaakanalyse en concrete verbeteradviezen. Alles met één doel: het management aanzetten tot actie. Wat kan ik nadat ik de opleiding operational auditing heb afgerond? Na afronding van de opleiding ontvang je het postbachelordiploma Operational auditing van Avans en 110 PE-punten als je PE-plichtig bent. Maar belangrijker: je bent in staat om zelfstandig een auditproces te doorlopen en het bestuur en management te adviseren over de kwaliteit van risicobeheersing. Je levert een aantoonbare bijdrage aan: de verbetering van processen; de effectiviteit van beheersmaatregelen; de naleving van wet- en regelgeving; en het vergroten van het lerend vermogen van je organisatie. Daarmee ben je niet alleen auditor, maar ook adviseur, bruggenbouwer en veranderaar. Je ontwikkelt je tot een strategische sparringpartner en dat wordt in vrijwel elke organisatie enorm gewaardeerd. Voor wie is deze opleiding bedoeld? De postbacheloropleiding Operational auditing is ontwikkeld voor professionals die (gaan) werken op het snijvlak van procesbeheersing, risicomanagement en organisatieontwikkeling. Denk aan: Controllers Risk officers Compliance officers Kwaliteitsmanagers AO/IC-medewerkers (Internal) auditors Accountants Proceseigenaren Werk je in een van deze functies, of wil je je naar zo’n rol ontwikkelen, en wil je met audits echt het verschil maken? Dan is deze opleiding voor jou. Een belangrijk uitgangspunt van de opleiding is dat deelnemers afkomstig zijn uit uiteenlopende sectoren en organisaties. Die diversiteit aan perspectieven zorgt voor een rijk leerklimaat en waardevolle interactie. De werkvorm: leren door doen De opleiding is ontworpen volgens het principe van blended learning , waarbij praktijk en theorie elkaar versterken. E-learning : Je bereidt je online voor op de bijeenkomsten. Dat doe je in je eigen tijd, op je eigen tempo. Hierdoor kunnen de bijeenkomsten zelf worden benut voor verdieping en toepassing naar jouw partijk. Bijeenkomsten : In totaal volg je 14 bijeenkomsten (6 theorie + 8 praktijk). Hierin werk je met casuïstiek, rollenspellen en intervisie. Ook leer je van de ervaringen van je mededeelnemers. Coaching : Tijdens het uitvoeren van je audit krijg je persoonlijke begeleiding van een ervaren docent. Zo ben je verzekerd van inhoudelijke ondersteuning en praktische feedback. De docenten van de opleiding operational auditing doceren aan verschillende universiteiten en hogescholen, waaronder de post- initiële RO auditing opleiding van de UvA en de Erasmus Universiteit Het interactieve karakter van de opleiding maakt dat je niet alleen leert van de theorie, maar vooral van het toepassen ervan. Dat is de kracht van deze postbacheloropleiding. Conclusie: een investering die rendeert Operational auditing is geen vak dat je uit een boekje leert. Het is een ambacht dat je ontwikkelt door te oefenen, te reflecteren en continu beter te worden. Precies dat is waar de postbacheloropleiding Operational auditing in voorziet. Praktisch, diepgaand en relevant met directe impact op jouw werk en je organisatie. Wil jij: Je verdiepen in risicobeheersing? Organisaties echt helpen leren en verbeteren? Jouw rol als auditor, controller of adviseur versterken? Je carrière een serieuze boost geven? Dan is deze opleiding de volgende stap. Meer informatie over startdata, locaties en kosten vind je hier . Liever een korte cursus? Naast de postbachelor opleiding operational auditing, biedt Ferocia ook een vierdaagse cursus operational auditing aan. Meer informatie over deze cursus vind je hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Volg een actuele, praktijkgerichte opleiding Internal auditing bij Ferocia & Avans+. Kies Operational of IT-auditing en versterk jouw rol als interne auditor. Alle blogs Internal auditing Opleiding Internal auditing Wat is internal auditing? Internal auditing is het vakgebied dat organisaties helpt grip te krijgen op risico’s, processen en IT-systemen. Internal auditors beoordelen onafhankelijk de kwaliteit van interne beheersmaatregelen en geven op basis daarvan onderbouwd advies over mogelijke verbeteringen. Ze onderzoeken of processen effectief verlopen, of risico’s adequaat worden beheerst en of wet- en regelgeving wordt nageleefd. De internal auditor is veel meer dan een controleur: het is een strategische sparringpartner van bestuur en management. Vanuit een onafhankelijke positie stelt de auditor kritische vragen, benoemt blinde vlekken en helpt de organisatie beter voorbereid te zijn op interne én externe ontwikkelingen. Door structuur aan te brengen in het beheersen van risico’s en het verbeteren van processen, draagt internal auditing bij aan betere besluitvorming, verantwoordingsinformatie en structurele verbetering van prestaties. Twee specialisaties binnen internal auditing Binnen het vakgebied van internal auditing zijn twee specialisaties toonaangevend: operational auditing en IT-auditing . Beide richten zich op het versterken van interne beheersing, maar doen dat vanuit een ander perspectief. Operational auditing is gericht op het beoordelen van bedrijfsprocessen en de effectiviteit van beheersmaatregelen. De focus ligt op de vraag of processen efficiënt, effectief en risicobewust zijn ingericht. Een operational auditor onderzoekt niet alleen of bestaande werkwijzen aansluiten bij organisatiedoelen, maar adviseert ook over mogelijke verbeteringen. Denk aan het optimaliseren van de samenwerking tussen afdelingen, het terugdringen van fouten of verspilling, en het versterken van interne controles. IT-auditing daarentegen zoomt in op de digitale kant van de organisatie. IT-auditors beoordelen of IT-systemen betrouwbaar, veilig en goed beheerd zijn. Daarbij onderzoeken zij onder meer of systemen beschikbaar zijn wanneer nodig, of data juist en volledig is (integriteit), en of gevoelige informatie goed wordt beschermd (vertrouwelijkheid). Ook toets je als IT-auditor of de organisatie voldoet aan relevante wet- en regelgeving, zoals de AVG of sectorspecifieke normen. Beide specialisaties binnen internal auditing leveren een waardevolle bijdrage aan het inzicht in risico’s en de kwaliteit van beheersing — en vormen samen een krachtige combinatie voor organisaties die in control willen zijn. Opleiding Internal auditing: kies jouw specialisatie Een opleiding Internal auditing is pas echt waardevol als deze aansluit bij de praktijk en inspeelt op de complexiteit van het vak. Daarom kies je bij Ferocia en Avans+ niet voor een algemene verzamelopleiding, maar voor twee gerichte postbacheloropleidingen die elk een belangrijk specialisme binnen internal auditing behandelen. Postbacheloropleiding Operational auditing De opleiding Operational auditing richt zich op het beoordelen en verbeteren van processen binnen organisaties. Als operational auditor analyseer je risico’s, toets je de werking van interne beheersmaatregelen en geef je onderbouwde verbeteradviezen. Tijdens deze opleiding internal auditing werk je aan een auditopdracht in je eigen praktijkomgeving, onder begeleiding van ervaren docenten. Zo ontwikkel je je tot een kritische, resultaatgerichte auditor met impact. Postbacheloropleiding IT-auditing De opleiding IT-auditing is bedoeld voor professionals die digitale risico’s willen beheersen. IT-auditors onderzoeken onder meer of systemen veilig zijn, data betrouwbaar is en wet- en regelgeving wordt nageleefd. Denk aan thema’s zoals informatiebeveiliging, systeemintegriteit en privacybescherming. Deze opleiding internal auditing geeft je alle kennis en tools om IT-systemen effectief te beoordelen en organisaties digitaal ‘in control’ te brengen. Versterk jouw organisatie met een gecombineerde opleiding Internal auditing Heb je bij Ferocia en Habeo+ al een opleiding Internal auditing gevolgd, zoals Operational auditing of IT-auditing? Dan kun je de tweede opleiding in verkorte vorm én tegen een gereduceerd tarief volgen. Dankzij deze modulaire opzet breid je jouw expertise uit van processen naar IT of andersom. Zo ontwikkel je je tot een allround internal auditor met brede inzetbaarheid en diepgaande kennis. Met de gecombineerde opleidingen Internal auditing van Ferocia en Avans+ vergroot je jouw toegevoegde waarde binnen elke organisatie. Waarom kiezen voor Ferocia en Habeo+? Ferocia en Habeo+ bundelen hun krachten om professionals op te leiden tot krachtige internal auditors die direct impact maken in de praktijk. Onze opleidingen onderscheiden zich door hun combinatie van theoretische diepgang, praktijkgericht leren én actualiteit. Je krijgt les van ervaren auditors en docenten uit het werkveld, werkt aan een echte auditopdracht binnen je eigen organisatie en leert in een groep met gelijkgestemde professionals. De lesstof is actueel en sluit aan bij de nieuwste ontwikkelingen in het vak, zoals het gebruik van AI in audits en de toepassing van de meest moderne vorm van auditmethodiek (auditmethodiek 2.0). Zo ontwikkel je niet alleen kennis, maar ook vaardigheden en zelfvertrouwen om als volwaardig sparringpartner op te treden. Met een diploma van Ferocia en Avans+ ben je optimaal voorbereid op de uitdagingen van morgen. Wil jij je ontwikkelen tot een allround internal auditor die écht het verschil maakt? Schrijf je dan nu in voor de postbacheloropleiding Operational auditing of IT-auditing van Ferocia en Habeo+, en geef jouw carrière een boost! Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Agile auditing maakt internal audits sneller en relevanter. Ontdek waarom wendbaarheid essentieel is voor auditors in een snel veranderende wereld. Alle blogs Internal auditing Agile auditing Risico’s veranderen sneller dan ooit. Organisaties worden wendbaarder, kortcyclischer en klantgerichter. En dat heeft directe gevolgen voor de manier waarop je als internal auditor je werk doet. De klassieke auditaanpak; zorgvuldig, diepgaand en vaak maanden onderweg schiet steeds vaker tekort. Niet omdat deze inhoudelijk niet klopt, maar omdat de wereld waarbinnen audits plaatsvinden inmiddels wel is veranderd. Agile auditing is het antwoord op die veranderde context. Wat is agile auditing? Verandering is de enige constante geworden. Organisaties opereren in een dynamische wereld waarin digitale transformaties, maatschappelijke verwachtingen en geopolitieke verschuivingen in hoog tempo op elkaar inwerken. Ook de risico’s waar zij mee te maken krijgen, ontwikkelen zich razendsnel. De klassieke auditaanpak, met vaste draaiboeken, lange voorbereidingstijden en rapporten die pas na maanden verschijnen, past niet meer bij die realiteit. Agile auditing is ontstaan als antwoord op deze veranderende context. Het is geen modieuze hype of cosmetische aanpassing van bestaande auditprocessen. Het is een fundamenteel andere manier van werken en denken. Een aanpak die is geïnspireerd op de principes van agile werken, zoals we die kennen uit softwareontwikkeling en projectmanagement, maar dan toegepast op het auditvak. De kern van agile auditing? Flexibiliteit: De audit volgt niet meer één rigide plan, maar past zich aan op basis van voortschrijdend inzicht. Iteratie: Er wordt gewerkt in korte, herhaalbare cycli met tussentijdse evaluatiemomenten. Samenwerking: Stakeholders worden vanaf de start betrokken en blijven continu aangesloten bij de audit. Transparantie: Bevindingen worden direct gedeeld, zodat verbeteringen sneller kunnen worden doorgevoerd. Waardecreatie: Niet het eindrapport, maar het effect op de organisatie is het ultieme doel. De agile auditor laat zich niet meer uitsluitend leiden door planning & control-cycli, maar anticipeert op urgente vraagstukken, verschuivende prioriteiten en risico’s die zich van de ene op de andere dag kunnen aandienen. Denk aan cyberdreigingen, plotselinge uitval in internationale ketens, reputatierisico’s of maatschappelijke druk rondom ESG-thema’s. Waarom kan agile auditing interessant zijn voor jouw organisatie? Voor veel organisaties voelt ‘agile’ nog als een buzzwoord. Maar wie zich verdiept in de uitgangspunten van agile auditing, ziet al snel dat het precies dat is wat nodig is in de praktijk: sneller schakelen, dichter op de business zitten, beter aansluiten bij de snelheid van besluitvorming. We zetten drie concrete voordelen op een rij: 1. Sneller en relevanter inzicht Traditionele audits duren vaak maanden, van voorbereiding tot rapportage. Tegen de tijd dat de uitkomsten op tafel liggen, is de realiteit alweer veranderd. Agile auditing maakt het mogelijk om sneller te starten en tussentijds waarde toe te voegen. Denk aan korte sprints waarin gericht op één risicogebied wordt ingezoomd. Of aan real-time feedbackloops, waarbij management direct kan handelen op basis van voorlopige bevindingen. 2. Meer betrokkenheid vanuit de business In agile audits wordt de auditee niet pas bij het eindrapport betrokken, maar vanaf dag één. De audit wordt geen verrassing achteraf, maar een gedeeld leerproces. Die co-creatie zorgt niet alleen voor meer draagvlak, maar ook voor scherpere inzichten en snellere opvolging. Audits worden zo niet iets ‘dat je overkomt’, maar iets waar je actief aan bijdraagt. 3. Beter inspelen op snel veranderende risico’s Sommige risico’s, zoals cultuurverandering, technologische disruptie of ketenafhankelijkheid zijn zo dynamisch dat een traditionele auditaanpak niet volstaat. Agile auditing maakt het mogelijk om die thema’s sneller te adresseren, voortgang te monitoren en flexibel bij te sturen. Voor organisaties die werken met scrumteams, zelforganiserende afdelingen of kortcyclische besluitvorming, is agile auditing bovendien een natuurlijke aanvulling. De auditor wordt een gesprekspartner die meebeweegt, in plaats van een controlerende partij die achteraf oordeelt. Onze visie op agile auditing Bij Ferocia zien we agile auditing niet als een tegenhanger van de klassieke audit, maar als een aanvulling. De essentie van ons vak, onafhankelijkheid, objectiviteit en vakmanschap blijft overeind. Wat verandert, is de vorm waarin we waarde leveren. Onze visie rust op vier pijlers: 1. Audit is een continu proces Risico’s stoppen niet zodra de audit is afgerond. Daarom zien wij agile auditing als een doorlopend proces van dialoog, reflectie en bijsturing. Agile auditing ondersteunt dat met kortcyclische momenten van feedback en interactie. 2. De auditor als partner in verandering De tijd dat de auditor uitsluitend ‘de politieagent van de organisatie’ was, ligt achter ons. De auditor van nu is een kritische vriend: onafhankelijk, maar niet afstandelijk. Betrokken, maar niet bevooroordeeld. Een partner die niet alleen risico’s signaleert, maar ook helpt om beweging te creëren. 3. Pragmatisme boven perfectionisme Natuurlijk blijft zorgvuldigheid essentieel. Maar in een agile audit zijn ‘good enough’ en ‘just in time’ ook belangrijk. Je hoeft niet alles 100% uit te zoeken voordat je een voorlopige conclusie deelt. Juist door sneller feedback te geven, kun je als auditor meer waarde toevoegen en eerder impact maken. 4. Leren staat centraal Agile auditing draait om het vergroten van het lerend vermogen van de organisatie. Door samen te reflecteren op risico’s, controles en gedrag, groeit de risicobewustwording. Auditing wordt daarmee een motor van continue verbetering. Hoe kan Ferocia je helpen bij agile auditing? De stap naar agile auditing vraagt om een andere mindset en een andere manier van werken. Bij Ferocia begeleiden we organisaties en auditors bij deze transitie, zowel in de vorm van opleidingen als via interim- en consultancytrajecten. 1. Opleidingen en trainingen Onze opleidingen zijn ontworpen om auditors stap voor stap vertrouwd te maken met de principes en praktijk van agile auditing. In onze trainingen besteden we aandacht aan: Scrum en agile principes toegepast op auditprocessen Stakeholdermanagement in een kortcyclische omgeving Tools en technieken om sneller tot inzichten te komen Soft skills zoals co-creatie, communicatie en iteratief adviseren We werken met realistische praktijkcases en simulaties, zodat deelnemers meteen kunnen oefenen met het toepassen van agile technieken binnen hun eigen context. 2. Interim en consultancy Heb je tijdelijk extra capaciteit nodig of wil je een agile auditproject uitvoeren met ondersteuning van een ervaren auditor? Onze consultants staan klaar. Ze brengen niet alleen vakinhoudelijke expertise mee, maar ook ervaring met agile werken in verschillende sectoren, van overheid en zorg tot finance en industrie. We helpen auditafdelingen om agile werkmethoden te implementeren, auditprocessen te herontwerpen en teams te begeleiden in de praktijk. Daarbij zorgen we altijd voor maatwerk: geen dogmatisch agile, maar precies die vorm die past bij jouw organisatie. Tot slot Agile auditing is geen doel op zich, maar een manier om als auditor relevant te blijven in een wereld die steeds sneller verandert. Het stelt je in staat om als volwaardige sparringpartner op te treden binnen een dynamische omgeving met oog voor snelheid, samenwerking en impact. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Internal auditing: Versterk het lerend vermogen van je organisatie. Ontdek hoe auditors verandering stimuleren en leren aanjagen in de praktijk. Alle blogs Internal auditing Internal auditing en het lerend vermogen Waarom blijven dezelfde fouten zich herhalen? Waarom worden risico’s wel geïdentificeerd, maar niet gemitigeerd? Waarom blijft verandering zo vaak hangen in goede bedoelingen, in plaats van tot zichtbare verbetering te leiden? De antwoorden op deze vragen liggen zelden in een gebrek aan beleid, rapportages of systemen. Veel vaker zit het probleem dieper: in een organisatie die wel constateert, maar niet reflecteert. Die wel wil veranderen, maar onvoldoende leert. Die risicobeheersing ziet als iets dat je “afvinkt” in plaats van iets dat je integreert in het dagelijkse werk. En precies daar ligt een krachtig en vaak onderschat potentieel van internal auditing: het versterken van het lerend vermogen van organisaties. Van toetsing naar transformatie Auditing wordt nog vaak gezien als een vorm van “controle achteraf”: processen beoordelen, risico’s identificeren, toetsen op naleving van wet- en regelgeving. Belangrijk werk; maar het is slechts één kant van de medaille. Auditing kan, en moet veel meer zijn dan dat. Het kan de motor zijn achter organisatieontwikkeling. Een goede audit leidt niet alleen tot een oordeel, maar tot inzicht, dialoog en verbeteringen. Tot reflectie op de achterliggende oorzaken van problemen. Tot een andere manier van kijken, en dus van doen. Internal auditors hebben de unieke positie om dwars door de organisatie heen te kijken, van strategie tot operatie, van papieren procedures tot de praktijk van alledag. Dat maakt hen bij uitstek geschikt om het lerend vermogen van de organisatie aan te jagen. Wat is lerend vermogen precies? Met het lerend vermogen van een organisatie bedoelen we het vermogen om signalen uit de omgeving en interne praktijk: te herkennen – Waar zitten de afwijkingen, de risico’s, de knelpunten? te duiden – Wat betekenen deze signalen? Wat zeggen ze over beleid, gedrag, cultuur of processen? te vertalen naar actie – Hoe zorgen we dat we structureel verbeteren, in plaats van incidenteel reageren? Organisaties met een sterk lerend vermogen zijn veerkrachtiger, wendbaarder en innovatiever. Ze herkennen patronen eerder, reageren sneller en bouwen continu aan verbetering. Ze zijn minder afhankelijk van incidentmanagement en meer gericht op duurzame prestaties. Voor auditors betekent dit: niet alleen kijken naar wat er misgaat, maar vooral naar waarom het misgaat en hoe het beter kan. Hoe maak je het verschil als auditor? Drie invalshoeken Het versterken van het lerend vermogen vraagt om een andere manier van auditen. Niet soft of vaag, maar juist scherp, systemisch en verbindend. Drie concrete aanknopingspunten: 1. Kijk verder dan de hard controls; focus op gedrag en cultuur In veel audits ligt de nadruk op formele beheersmaatregelen: zijn er procedures? Zijn verantwoordelijkheden vastgelegd? Worden afspraken nageleefd? Maar gedrag is vaak een betere voorspeller van risico’s dan beleid op papier. Als auditor kun je dus méér waarde toevoegen door te kijken naar: Hoe wordt er echt gewerkt in de praktijk? Durven mensen fouten te melden? Hoe worden besluiten genomen? Wordt er ruimte ervaren voor tegenspraak? Door aannames te bevragen, communicatiepatronen te analyseren en psychologische veiligheid te signaleren, maak je inzichtelijk wat er onder de waterlijn speelt. Juist daar liggen vaak de oorzaken van risico’s en de sleutels tot verandering. 2. Zoom uit; van incidenten naar patronen Een fout is zelden een op zichzelf staand incident. Het zegt vaak iets over onderliggende patronen: Worden dezelfde fouten herhaald? Is er sprake van structurele knelpunten in samenwerking of besluitvorming? Worden signalen van de werkvloer serieus genomen? Door niet alleen te kijken naar wat er is misgegaan, maar ook naar wat dit zegt over het systeem, bied je als auditor veel meer dan een “foto” van het verleden, je geeft richting voor de toekomst. Gebruik daarbij systemische vragen: Wat maakt dat dit kan gebeuren? Wat houdt het in stand? Wat wordt hier niet gezegd? 3. Maak van je rapportage een startpunt, niet het eindstation Veel auditrapporten eindigen met bevindingen, conclusies en aanbevelingen. Maar als niemand er iets mee doet, blijft de impact beperkt. Wil je als auditor bijdragen aan leren en veranderen? Maak dan van je rapport een vertrekpunt voor dialoog en reflectie. Betrek de eerste lijn actief bij het duiden van de bevindingen. Organiseer bijvoorbeeld: een interactieve workshop om samen de oorzaken van bevindingen te analyseren; een gespreksronde met teamleiders om oplossingsrichtingen te verkennen; een feedbacksessie waarin bevindingen worden besproken vanuit verschillende perspectieven. Zo wordt auditing niet iets dat over de organisatie wordt uitgerold, maar iets dat van binnenuit wordt omarmd. Wat vraagt dit van de internal auditor? Auditing als katalysator van lerend vermogen vraagt om meer dan alleen vakinhoudelijke kennis. Het vraagt om een ander profiel en om andere vaardigheden. Denk aan: Kritisch reflectievermogen: Kun je de bril afzetten van 'zo hoort het' en kijken naar 'zo werkt het'? Faciliterende vaardigheden: Kun je processen begeleiden waarin mensen zelf tot inzichten komen? Gespreksvaardigheden: Kun je weerstand hanteren en doorvragen op wat er écht speelt? Kennis van veranderkunde: Snap je hoe gedrag en cultuur te beïnvloeden zijn? Lef: Durf je ongemakkelijke waarheden op tafel te leggen, ook als dat schuurt? De auditor wordt zo een interne veranderaar: geen controleur op afstand, maar een sparringpartner van binnenuit. Iemand die niet alleen toetst, maar ook het lerend vermogen aanjaagt. Iemand die verbindt in plaats van verwijt. Waarom dit zo urgent is In een tijd van complexe risico’s, snelle veranderingen en toenemende maatschappelijke druk is het lerend vermogen van organisaties belangrijker dan ooit. Verouderde structuren, rigide processen en top-down sturing werken steeds minder goed. Wat vandaag werkt, kan morgen achterhaald zijn. Organisaties moeten dus leren om continu te leren. Niet alleen van grote incidenten, maar juist van de kleine signalen. Niet pas na een crisis, maar vóór het misgaat. En niet alleen in de bestuurskamer, maar door de hele organisatie heen. Auditors kunnen hierin een sleutelrol spelen. Door risico’s niet alleen te signaleren, maar ook te vertalen naar inzicht en actie. Door gedrag bespreekbaar te maken. Door patronen zichtbaar te maken. Door stilstand om te buigen naar vooruitgang. Tot slot: internal auditing met impact De organisaties die het verschil maken, zijn niet per se de meest efficiënte of de best gestructureerde. Het zijn de organisaties die zich het snelst aanpassen. Die fouten zien als kans. Die risico’s gebruiken om sterker te worden. Die zichzelf continu blijven bevragen, verbeteren en vernieuwen. Internal auditing kan en moet die beweging versterken. Niet als de politieagent van de organisatie, maar als de gids. Niet als degene die afrekent, maar als degene die helpt leren. Niet alleen met een rapport, maar met een veranderimpuls. Want uiteindelijk is dat waar de echte toegevoegde waarde ligt: het versterken van het lerend vermogen, zodat de organisatie klaar is voor morgen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl