Zoekresultaten

Word IT-auditor en versterk de IT-beheersing in jouw organisatie. Ontdek hoe je IT risico’s beheerst en strategisch advies geeft met deze IT auditing opleiding. Alle blogs Opleiding en training, Internal auditing IT-auditing opleiding De wereld digitaliseert in razend tempo. Processen worden geautomatiseerd, data reist realtime over netwerken en systemen bepalen het ritme van bedrijfsvoering. Maar wie bewaakt de betrouwbaarheid, veiligheid en integriteit van al die IT? Hier komt de IT-auditor in beeld als onafhankelijke auditor, sparringpartner en strategisch adviseur. De postbacheloropleiding IT-auditing van Hogeschool Avans+ en Ferocia biedt jou de kennis en vaardigheden om die rol professioneel te vervullen. In deze blog lees je wat IT-auditing inhoudt, wat je leert tijdens de opleiding, wat je na afloop kunt en voor wie deze opleiding bedoeld is. We sluiten af met de unieke werkvorm die theorie en praktijk naadloos verbindt. Wat is IT-auditing? IT-auditing draait om vertrouwen. Vertrouwen in digitale processen, in data, in systemen en in de organisatie als geheel. Als IT-auditor onderzoek je hoe goed een organisatie haar IT heeft ingericht, beheerst en beschermd. Je kijkt niet alleen naar de techniek, maar vooral naar de processen die de techniek aansturen. Jij stelt vragen als: Is de data die we gebruiken betrouwbaar en volledig? Is gevoelige informatie afdoende beschermd? Kunnen we erop vertrouwen dat onze systemen blijven functioneren wanneer het erop aankomt? Voldoen we aan wet- en regelgeving? De IT-auditor geeft zekerheid op drie cruciale punten: Beschikbaarheid – Zijn systemen operationeel wanneer nodig? Integriteit – Klopt de data en zijn de processen betrouwbaar? Vertrouwelijkheid – Is informatie goed beschermd tegen onbevoegde toegang? Daarnaast beoordeel je de mate waarin een organisatie is beschermd tegen cyberdreigingen, van buiten en van binnen. Zo lever je een essentiële bijdrage aan risicobeheersing, compliance en strategische besluitvorming. Wat leer je tijdens de IT auditing opleiding? De postbacheloropleiding IT-auditing is opgebouwd uit een theorie- en praktijkdeel. Je maakt kennis met de kaders, instrumenten en frameworks die je nodig hebt als professional, en past deze direct toe in jouw eigen praktijk. 1. Theoretische fundamenten. Tijdens het eerste deel van de opleiding leg je een stevige basis. Je duikt onder andere in: Business & IT – De relatie tussen corporate governance, IT-governance, risicomanagement en operational auditing. IT & Risk – Het classificeren van risico’s en de koppeling met specifieke IT-risico’s. IT-componenten – Alles over hardware, software, operating systems, infrastructuur en cloudtechnologie. IT-processen – Beheersmodellen zoals COBIT en ITIL, en onderwerpen als change management, logical access en incident management. Cyber security – De wereld van hackers, kwetsbaarheden en de frameworks om cyberweerbaarheid te toetsen. Projectmanagement – Methodieken zoals Agile en Scrum, en hoe je daar als auditor zekerheid over biedt. 2. Praktische toepassing in je eigen organisatie. In het tweede deel voer je een volledige IT-audit uit in je eigen praktijk. Je werkt aan drie fasen: Auditontwerp – Opstellen van plan van aanpak: doelstelling, normenkader, dataverzameling en oordeelsvorming. Veldwerk en onderzoek – Uitvoeren van interviews, documentanalyse en observaties. Veel aandacht voor adviesgesprekken, omgaan met weerstand en het creëren van draagvlak. Rapportage en opvolging – Leren hoe je een rapport opstelt dat actie uitlokt. Je traint vaardigheden als oorzaakanalyse, het opstellen van verbeterplannen en het verhogen van acceptatie. Wat kan ik nadat ik de IT auditing opleiding heb afgerond? Na het afronden van deze IT auditing opleiding ben je geen toeschouwer meer, je bent een speler. Je weet hoe je als IT-auditor objectief, onafhankelijk en gestructureerd zekerheid biedt over IT-beheersing binnen jouw organisatie. Je: voert zelfstandig IT-audits uit van A tot Z; spreekt de taal van de Chief Information Officer en de Chief Information Security Officer; bent in staat om risico’s en kwetsbaarheden te identificeren en te vertalen naar concrete adviezen; kunt de brug slaan tussen IT en bedrijfsvoering; bent een volwaardig gesprekspartner voor bestuur, directie en toezicht; draagt actief bij aan het lerend vermogen en de strategische koers van jouw organisatie. Je ontvangt het erkende postbachelordiploma IT-auditing van Avans+ en, indien van toepassing, 110 PE-punten. Voor wie is deze opleiding bedoeld? De IT auditing opleiding is ontwikkeld voor professionals die hun expertise willen uitbreiden naar het snijvlak van IT, audit en control. Denk aan: Operational of financial auditors Controllers Risk- en compliance officers AO/IC-medewerkers, kwaliteitsmanagers of proceseigenaren IT-professionals die steeds vaker te maken krijgen met audits of compliancevraagstukken Kortom: iedereen die een onderbouwd oordeel moet kunnen vormen en een gefundeerd advies moet kunnen geven over de beheersing van IT. Twijfel je of jouw achtergrond aansluit? Neem contact met ons op. Deelnemers aan deze opleiding komen uit zeer uiteenlopende sectoren, van zorg tot financiële dienstverlening, van overheid tot industrie. De werkvorm: praktijkgericht, interactief en blended Bij Avans+ en Ferocia draait het om praktijkgericht leren. Geen lange hoorcolleges, maar leren door te doen. De opleiding is ingericht als blended traject: Je doet basiskennis op via e-learning wanneer het jou uitkomt. De bijeenkomsten zijn actief en verdiepend met veel casuïstiek, oefeningen en intervisie. Je voert een audit uit in je eigen praktijk met begeleiding van ervaren docenten. De docenten van de IT auditing opleiding doceren aan verschillende universiteiten en hogescholen, waaronder de post- initiële IT auditing opleiding van de UvA. Je leert met en van andere professionals uit verschillende organisaties en sectoren. Deze combinatie van theorie, praktijk en interactie zorgt voor een sterk lerend effect. Wat je vandaag leert, pas je morgen toe. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Leer zelfstandig operational audits uitvoeren en maak direct impact in je organisatie. Volg de praktijkgerichte cursus operational auditing bij Ferocia! Cursus Operational auditing Duur Studiekosten PE-punten 7 dagdelen € 2.195,- 30 Inschrijven Cursus Operational auditing Organisaties staan continu onder druk om aantoonbaar ‘in control’ te zijn. De behoefte aan zekerheid over de kwaliteit van risicobeheersing groeit, en daarmee de vraag naar goed opgeleide operational auditors. In deze praktijkgerichte cursus leer je in zeven dagdelen zelfstandig een operational audit uit te voeren. Je ontwikkelt een auditontwerp, bouwt aan je vaardigheden en krijgt inzicht in controlmodellen, auditmethodiek en rapportage. Alles wat je leert, pas je direct toe op een audit binnen je eigen organisatie. Wat leer je tijdens de cursus operational auditing? Tijdens de cursus operational auditing leer je zelfstandig operational audits ontwerpen en uitvoeren. Je ontdekt hoe je het belang van operational auditing onderbouwt en toepast in jouw praktijk. Daarbij stel je een auditontwerp op met normenkader en testplan, ontwikkel je interviewschema’s en train je effectieve gesprekstechnieken. Ook leer je bevindingen helder te presenteren, draagvlak te creëren voor aanbevelingen en de toegevoegde waarde van auditing overtuigend zichtbaar te maken richting bestuur en management. De inhoud van de cursus sluit nauw aan op de vraagstukken die internal auditors, risicomanagers en controllers dagelijks tegenkomen. Onderwerpen die aan bod komen zijn onder meer: corporate governance en de rol van auditing daarin; controlmodellen en hoe je deze effectief toepast; auditmethodiek en het opzetten van een auditontwerp; normenkaders en testplannen; en en natuurlijk de essentiële vaardigheden rondom interviewen en rapporteren. Waarom kiezen voor de cursus Operational Auditing? Direct toepasbaar: je voert een audit uit en koppelt theorie direct aan je praktijk. Krachtige mix van leren: innovatieve e-learnings, cases, rollenspellen en klassikale bijeenkomsten (fysiek of online). Peer learning: uitwisseling van ervaringen en inzichten met deelnemers uit diverse organisaties. Actieve begeleiding: ervaren docenten geven feedback op jouw auditontwerp en voortgang. Compleet leerpad: van basisbegrip tot het schrijven van een professionele auditrapportage. Waarom kiezen voor Ferocia? Ferocia is de specialist in audit, risk en control. Wij combineren inhoudelijke diepgang met didactisch vakmanschap, zodat jij niet alleen leert maar ook daadwerkelijk presteert. Onze docenten zijn verbonden aan toonaangevende hogescholen en universiteiten en brengen hun praktijkervaring rechtstreeks de klas in. Daarbij werken we vanuit inspiratie, co-creatie en prestatie: leren doe je samen en altijd met het oog op resultaat. Dankzij de unieke mix van e-learning, interactieve bijeenkomsten en praktijkopdrachten weet je na afloop precies hoe je auditing van echte waarde maakt voor jouw organisatie. Wil jij je ontwikkelen tot een waardevolle operational auditor die echt het verschil maakt? Schrijf je dan nu in voor de cursus Operational auditing en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar, en van jou wordt verwacht een oordeel te kunnen vormen of te kunnen adviseren over de kwaliteit van risicobeheersing binnen jouw organisatie. Je wenst in korte tijd de basisbeginselen van operational auditing te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 40 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze cursus werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de cursus ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze cursus via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de cursus ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 30 PE-punten. De studiekosten bedragen € 2.195,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Ellen van den Berg Procescontroller “Handige e-learnings en goede praktijkdagen die je klaarmaken voor het uitvoeren van impactvolle operational audits.” Janet Marso Kwaliteitsspecialist “Sterke mix van e-learning en klassikale sessies waarin je leert risicoanalyses maken, referentiekaders opstellen en bevindingen overtuigend rapporteren.” Jurgen van Zuijlen Junior internal auditor “De cursus geeft een heldere uitleg over de verschillende soorten audits en biedt praktische handvatten om zelf een sterke audit op te zetten.” Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken... 10 sep 2025 17 minuten om te lezen Opleiding operational auditing Lopen onze processen eigenlijk wel beheerst? Gaan we onze doelen wel halen dit jaar? En is onze interne controle robuust genoeg? Zomaar... 13 aug 2025 5 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

< Terug Vacature Lead Risk monitoring Bovemij Per direct 32 tot 40 uur per week Nijmegen / Hybride € 60.028,- tot € 104.700,- per jaar SOLLICITEER Over Bovemij Bovemij Group is de specialist in alles wat met mobiliteit te maken heeft. Met de merken Bovemij Verzekeringen, Autotrust, ENRA en RDC helpen zij bedrijven succesvol ondernemen. Omdat ze volop in beweging zijn, heeft Bovemij mensen nodig die uitdagingen niet uit de weg gaan: vooruitdenkers en –doeners! Over de functie Als Lead Risk monitoring geef je leiding aan het monitoringsteam binnen de tweede lijn en speel je een sleutelrol in het versterken van de interne beheersing binnen Bovemij. Je bent verantwoordelijk voor de coördinatie en kwaliteitsbewaking van de werkzaamheden op het gebied van risicobeheersing, met een bijzondere focus op IT, informatiebeveiliging en procesrisico’s. Je draagt actief bij aan het verder opbouwen van een toekomstbestendig control framework en het aantoonbaar ‘in control’ zijn van de organisatie. Je stuurt twee collega’s aan binnen het monitoringsteam en zorgt voor een heldere taakverdeling, begeleiding en inhoudelijke afstemming. Daarnaast werk je zelf ook mee in het uitvoeren van monitoring en toetsing van beheersmaatregelen. Je bent inhoudelijk aanspreekpunt, rapporteert op duidelijke en overtuigende wijze aan de eerste lijn en begeleidt audits, waaronder die van toezichthouders zoals DNB en RDW. Een belangrijk aspect van je rol is het stroomlijnen en verder ontwikkelen van de GRC-tool (ServiceNow). Je borgt de aansluiting op de processen en zorgt ervoor dat de tooling slim en toegankelijk wordt ingezet ter ondersteuning van risicobeheersing en verantwoording. In dit kader ben je ook voorzitter van het functioneel overleg rondom ServiceNow, waarin je de afstemming met betrokken stakeholders coördineert en initiatieven voor doorontwikkeling begeleidt. Je werkt nauw samen met de leads van Risk en Compliance en met de business, en fungeert als bruggenbouwer tussen de eerste en tweede lijn. Je weet mensen mee te nemen in het belang van structurele beheersing, signaleert verbetermogelijkheden en zet deze om in concrete acties. Je levert daarmee een tastbare bijdrage aan de professionalisering van de risicofunctie van Bovemij. Wat ga je doen? Je coördineert het monitoringsteam en zorgt voor een heldere taakverdeling, inhoudelijke aansturing en begeleiding van de teamleden. Je bent aanspreekpunt binnen de afdeling en bewaakt de voortgang en kwaliteit van de werkzaamheden. Je ontwikkelt en beheert tweede lijns monitoringsplannen en toetst of de interne beheersmaatregelen binnen de eerste lijn effectief zijn ingericht en werken zoals bedoeld. Je voert zelf ook toetsingen en reviews uit op beheersmaatregelen binnen zowel IT- als operationele processen, waarbij je let op aspecten als juistheid, volledigheid, tijdigheid, integriteit en vertrouwelijkheid. Je rapporteert helder en overtuigend over de uitkomsten van monitoring aan proceseigenaren en het lijnmanagement, en helpt hen bij het doorvoeren van verbetermaatregelen. Je begeleidt audits en reviews op het gebied van onder meer informatiebeveiliging, DORA, en het normenkader van toezichthouders zoals de RDW en DNB. Je bent verantwoordelijk voor de doorontwikkeling van de GRC-tool (ServiceNow). Je zorgt voor een slimme en toegankelijke inzet van het systeem en bewaakt de aansluiting op het Bovemij Control Framework. Je fungeert als verbindende schakel tussen de tweede lijn en de business. Je weet collega’s in de eerste lijn mee te nemen in het belang van structurele risicobeheersing en draagt bij aan een risicobewuste organisatiecultuur. Je denkt actief mee over procesverbetering en levert input aan het management over trends, risico’s en beheersingsvraagstukken binnen de organisatie. Collega Chantal over de functie van risk monitoring specialist binnen Bovemij “Het mooie aan deze functie is dat je niet alleen toetst, maar ook echt meedenkt. Over risico’s, over processen, over tooling – én over hoe je anderen daarin meeneemt. Je bent inhoudelijk betrokken, maar ook adviserend en verbindend.” Ze vervolgt: “Je gaat de hele organisatie door en leert daardoor veel collega’s kennen. Je kunt daadwerkelijk impact maken, omdat er nog veel te bouwen is. Je wordt gestimuleerd om ideeën aan te dragen, en daar wordt ook wat mee gedaan.” En over het team zegt ze: “We werken fijn samen, met vragen kunnen we altijd bij elkaar terecht. We zijn een divers team en iedereen brengt kennis en ervaring mee, waardoor we veel van elkaar kunnen leren.” Wie zoeken we? Je hebt een hbo- of wo-werk- en denkniveau en minimaal drie jaar ervaring in een vergelijkbare (coördinerende) functie. Leidinggevende ervaring is een pré. Kennis van en ervaring met een GRC-tool is vereist; ervaring met ServiceNow is hierbij een pré. Je bent communicatief sterk en schakelt gemakkelijk met verschillende lagen binnen de organisatie. Je weet complexe onderwerpen toegankelijk te maken en anderen mee te nemen in het belang van risicobeheersing. Daarbij stel je je proactief en resultaatgericht op: je werkt zelfstandig, maar bent tegelijkertijd een echte teamspeler die verbinding zoekt en eigenaarschap toont. Wat bieden we? Een salaris van maximaal € 104.700,- per jaar (inclusief vakantiegeld en 13de maand, exclusief winstdeling). En uitstekende secundaire arbeidsvoorwaarden. Denk daarbij aan een thuiswerkvergoeding, internetvergoeding, een vergoeding voor thuiswerkfaciliteiten, 200 uur vakantie op basis van 40 uur en de mogelijkheid om jaarlijks uren bij te kopen, een extra vrije dag op je verjaardag, reiskostenvergoeding, een fietsplan, een collectieve zorgverzekering, korting op de aanvullende ziektekostenverzekering, korting op particuliere verzekeringen, ruime leer- en ontwikkelingsmogelijkheden en een beschikbare premieregeling bij Zwitserleven met gedeeltelijke inleg voor de werkgever. Maar bovenal een prettige werkomgeving met leuke collega’s! Over ons Ferocia levert verschillende diensten op het gebied van audit, controlen risicomanagement. Zo bemiddelen we in (interim-)professionals, waarbij we ons onderscheiden met onder meer ons uitgebreide netwerk en scherpe tarieven. Daarnaast ontzorgen onze ervaren consultants organisaties bij vraagstukken op het gebied van sturing en beheersing; van coaching van raden van bestuur tot implementatie van beheersmaatregelen in complexe omgevingen. Ook biedt Ferocia open en inhouse opleidingen en trainingen op voorgenoemde gebieden. Dit alles doen we vanuit het principe ‘inspiratie, co-creatie, prestatie’. Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures ! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Ontwikkel krachtige gesprekstechnieken voor auditors en riskmanagers. Vergroot je impact met de praktijkgerichte training gesprekstechnieken. Schrijf je in! Training Gesprekstechnieken Duur Studiekosten PE-punten 2 dagdelen € 595,- 9 Inschrijven Training Gesprekstechnieken Een sterke auditor, een impactvolle controller of een ervaren riskmanager valt of staat met het voeren van het juiste gesprek. Of het nu gaat om het scherpstellen van de opdracht, het doorgronden van gedragsaspecten tijdens een interview of het omgaan met weerstand aan tafel, jouw gesprekstechnieken bepalen het resultaat. Wat leer je tijdens de training gesprekstechnieken? In de training gesprekstechnieken ontwikkel je de vaardigheden om als auditor, controller of risicoprofessional met zelfvertrouwen en regie gesprekken te voeren met opdrachtgevers, geïnterviewden en andere stakeholders. In twee interactieve dagdelen, ondersteund door een e-learning, oefen je met verschillende interviewvormen, leer je zowel verbale als non-verbale technieken effectief in te zetten en train je het voeren van lastige gesprekken. Je ontdekt hoe een goede voorbereiding de kwaliteit van een gesprek verhoogt, hoe je structuur aanbrengt in interviews en hoe je regie en balans behoudt, ook in uitdagende situaties. Daarnaast leer je schakelen tussen verschillende communicatieniveaus en ga je aan de slag met het creëren van draagvlak, zelfs bij weerstand. Alle opgedane vaardigheden vertaal je direct naar je eigen praktijk in een persoonlijk actieplan, waarop je waardevolle feedback ontvangt van docent en medecursisten. Zo weet je zeker dat je gesprekken niet alleen beter verlopen, maar ook daadwerkelijk leiden tot resultaat. Waarom kiezen voor de training Gesprekstechnieken? Toegespitst op jouw vakgebied: gesprekstechnieken in de context van audit, control en risk. Praktisch en interactief: leren met cases, rollenspellen en uitwisseling van ervaringen. Krachtige voorbereiding: je start met een e-learning die je zelfstandig en flexibel doorloopt. Direct toepasbaar: je ontwikkelt een actieplan waarmee je gericht werkt aan je gespreksvaardigheid. Flexibele deelname: kies zelf of je de training fysiek of online bijwoont via onze mixed classroom. Waarom kiezen voor Ferocia? Ferocia is specialist in het opleiden van professionals in audit, control en risk. Bij ons kun je rekenen op topdocenten die verbonden zijn aan toonaangevende hogescholen en universiteiten en hun praktijkervaring volop meenemen in de opleiding. We werken met een innovatieve didactiek waarin e-learning, praktijkopdrachten en teamleren elkaar versterken. Altijd praktijkgericht, want bij Ferocia draait het niet alleen om kennis opdoen, maar vooral om kennis toepassen. Onze trainingen zijn gedreven door impact: je merkt direct dat je beter functioneert in je rol. Wil jij je ontwikkelen tot een gesprekspartner die met vertrouwen en regie elke situatie aankan? Schrijf je dan nu in voor de training Gesprekstechnieken en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar en van jou wordt verwacht kwalitatief goede gesprekken te voeren met de opdrachtgever, interviewees en andere belanghebbenden bij verschillende fases van een audit. De tijdsinvestering bedraagt ongeveer 9 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze training werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 9 PE-punten. De studiekosten bedragen € 595,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Brenda van den Berk Operational auditor "Deze training is ontzettend handig voor het verbeteren van auditgesprekken, dankzij de mix van theorie en oefening!" Marie-José Masseus Auditor "Interviewtechnieken worden opgefrist door een betrokken docent die met werkelijke praktijkvoorbeelden perfect aansluit bij onze doelgroep!" Tatyana Kiryakova Financial auditor "De training gesprekstechnieken biedt praktische tips die je helpen beter om te gaan met situaties die je dagelijks tegenkomt." Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Training gesprekstechnieken voor auditors en riskmanagers Of je nu werkt als auditor, controller of risk officer, je succes hangt meer af van je gespreksvaardigheden dan je misschien denkt. Hoe... 26 aug 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Agile auditing maakt internal audits sneller en relevanter. Ontdek waarom wendbaarheid essentieel is voor auditors in een snel veranderende wereld. Alle blogs Internal auditing Agile auditing Risico’s veranderen sneller dan ooit. Organisaties worden wendbaarder, kortcyclischer en klantgerichter. En dat heeft directe gevolgen voor de manier waarop je als internal auditor je werk doet. De klassieke auditaanpak; zorgvuldig, diepgaand en vaak maanden onderweg schiet steeds vaker tekort. Niet omdat deze inhoudelijk niet klopt, maar omdat de wereld waarbinnen audits plaatsvinden inmiddels wel is veranderd. Agile auditing is het antwoord op die veranderde context. Wat is agile auditing? Verandering is de enige constante geworden. Organisaties opereren in een dynamische wereld waarin digitale transformaties, maatschappelijke verwachtingen en geopolitieke verschuivingen in hoog tempo op elkaar inwerken. Ook de risico’s waar zij mee te maken krijgen, ontwikkelen zich razendsnel. De klassieke auditaanpak, met vaste draaiboeken, lange voorbereidingstijden en rapporten die pas na maanden verschijnen, past niet meer bij die realiteit. Agile auditing is ontstaan als antwoord op deze veranderende context. Het is geen modieuze hype of cosmetische aanpassing van bestaande auditprocessen. Het is een fundamenteel andere manier van werken en denken. Een aanpak die is geïnspireerd op de principes van agile werken, zoals we die kennen uit softwareontwikkeling en projectmanagement, maar dan toegepast op het auditvak. De kern van agile auditing? Flexibiliteit: De audit volgt niet meer één rigide plan, maar past zich aan op basis van voortschrijdend inzicht. Iteratie: Er wordt gewerkt in korte, herhaalbare cycli met tussentijdse evaluatiemomenten. Samenwerking: Stakeholders worden vanaf de start betrokken en blijven continu aangesloten bij de audit. Transparantie: Bevindingen worden direct gedeeld, zodat verbeteringen sneller kunnen worden doorgevoerd. Waardecreatie: Niet het eindrapport, maar het effect op de organisatie is het ultieme doel. De agile auditor laat zich niet meer uitsluitend leiden door planning & control-cycli, maar anticipeert op urgente vraagstukken, verschuivende prioriteiten en risico’s die zich van de ene op de andere dag kunnen aandienen. Denk aan cyberdreigingen, plotselinge uitval in internationale ketens, reputatierisico’s of maatschappelijke druk rondom ESG-thema’s. Waarom kan agile auditing interessant zijn voor jouw organisatie? Voor veel organisaties voelt ‘agile’ nog als een buzzwoord. Maar wie zich verdiept in de uitgangspunten van agile auditing, ziet al snel dat het precies dat is wat nodig is in de praktijk: sneller schakelen, dichter op de business zitten, beter aansluiten bij de snelheid van besluitvorming. We zetten drie concrete voordelen op een rij: 1. Sneller en relevanter inzicht Traditionele audits duren vaak maanden, van voorbereiding tot rapportage. Tegen de tijd dat de uitkomsten op tafel liggen, is de realiteit alweer veranderd. Agile auditing maakt het mogelijk om sneller te starten en tussentijds waarde toe te voegen. Denk aan korte sprints waarin gericht op één risicogebied wordt ingezoomd. Of aan real-time feedbackloops, waarbij management direct kan handelen op basis van voorlopige bevindingen. 2. Meer betrokkenheid vanuit de business In agile audits wordt de auditee niet pas bij het eindrapport betrokken, maar vanaf dag één. De audit wordt geen verrassing achteraf, maar een gedeeld leerproces. Die co-creatie zorgt niet alleen voor meer draagvlak, maar ook voor scherpere inzichten en snellere opvolging. Audits worden zo niet iets ‘dat je overkomt’, maar iets waar je actief aan bijdraagt. 3. Beter inspelen op snel veranderende risico’s Sommige risico’s, zoals cultuurverandering, technologische disruptie of ketenafhankelijkheid zijn zo dynamisch dat een traditionele auditaanpak niet volstaat. Agile auditing maakt het mogelijk om die thema’s sneller te adresseren, voortgang te monitoren en flexibel bij te sturen. Voor organisaties die werken met scrumteams, zelforganiserende afdelingen of kortcyclische besluitvorming, is agile auditing bovendien een natuurlijke aanvulling. De auditor wordt een gesprekspartner die meebeweegt, in plaats van een controlerende partij die achteraf oordeelt. Onze visie op agile auditing Bij Ferocia zien we agile auditing niet als een tegenhanger van de klassieke audit, maar als een aanvulling. De essentie van ons vak, onafhankelijkheid, objectiviteit en vakmanschap blijft overeind. Wat verandert, is de vorm waarin we waarde leveren. Onze visie rust op vier pijlers: 1. Audit is een continu proces Risico’s stoppen niet zodra de audit is afgerond. Daarom zien wij agile auditing als een doorlopend proces van dialoog, reflectie en bijsturing. Agile auditing ondersteunt dat met kortcyclische momenten van feedback en interactie. 2. De auditor als partner in verandering De tijd dat de auditor uitsluitend ‘de politieagent van de organisatie’ was, ligt achter ons. De auditor van nu is een kritische vriend: onafhankelijk, maar niet afstandelijk. Betrokken, maar niet bevooroordeeld. Een partner die niet alleen risico’s signaleert, maar ook helpt om beweging te creëren. 3. Pragmatisme boven perfectionisme Natuurlijk blijft zorgvuldigheid essentieel. Maar in een agile audit zijn ‘good enough’ en ‘just in time’ ook belangrijk. Je hoeft niet alles 100% uit te zoeken voordat je een voorlopige conclusie deelt. Juist door sneller feedback te geven, kun je als auditor meer waarde toevoegen en eerder impact maken. 4. Leren staat centraal Agile auditing draait om het vergroten van het lerend vermogen van de organisatie. Door samen te reflecteren op risico’s, controles en gedrag, groeit de risicobewustwording. Auditing wordt daarmee een motor van continue verbetering. Hoe kan Ferocia je helpen bij agile auditing? De stap naar agile auditing vraagt om een andere mindset en een andere manier van werken. Bij Ferocia begeleiden we organisaties en auditors bij deze transitie, zowel in de vorm van opleidingen als via interim- en consultancytrajecten. 1. Opleidingen en trainingen Onze opleidingen zijn ontworpen om auditors stap voor stap vertrouwd te maken met de principes en praktijk van agile auditing. In onze trainingen besteden we aandacht aan: Scrum en agile principes toegepast op auditprocessen Stakeholdermanagement in een kortcyclische omgeving Tools en technieken om sneller tot inzichten te komen Soft skills zoals co-creatie, communicatie en iteratief adviseren We werken met realistische praktijkcases en simulaties, zodat deelnemers meteen kunnen oefenen met het toepassen van agile technieken binnen hun eigen context. 2. Interim en consultancy Heb je tijdelijk extra capaciteit nodig of wil je een agile auditproject uitvoeren met ondersteuning van een ervaren auditor? Onze consultants staan klaar. Ze brengen niet alleen vakinhoudelijke expertise mee, maar ook ervaring met agile werken in verschillende sectoren, van overheid en zorg tot finance en industrie. We helpen auditafdelingen om agile werkmethoden te implementeren, auditprocessen te herontwerpen en teams te begeleiden in de praktijk. Daarbij zorgen we altijd voor maatwerk: geen dogmatisch agile, maar precies die vorm die past bij jouw organisatie. Tot slot Agile auditing is geen doel op zich, maar een manier om als auditor relevant te blijven in een wereld die steeds sneller verandert. Het stelt je in staat om als volwaardige sparringpartner op te treden binnen een dynamische omgeving met oog voor snelheid, samenwerking en impact. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek waarom beheersmaatregelen falen en los structurele problemen op met onze diepgaande oorzaakanalyse op gedrag en cultuur. Alle blogs Gedrag en cultuur Oorzaakanalyse op gedrag en cultuur Van symptoombestrijding naar structurele oplossing Een internal auditor beoordeeld o.a. de kwaliteit van de risicobeheersing. Soms blijkt uit de audit dat een maatregel niet effectief is. De auditor geeft aanbevelingen en als er geen weerstand is bij het management, worden de aanbevelingen uitgevoerd. En toch keert bij de volgende audit dezelfde bevinding terug. De maatregel werkt nog steeds niet. Niet omdat mensen onwillig zijn of “het niet wisten”, maar omdat in sommige situaties de echte oorzaak dieper ligt. Vaak ligt die oorzaak dan in motieven van medewerkers die niet stroken met de papieren werkelijkheid, in waarden die botsen en/of in overtuigingen en ongeschreven regels die het dagelijkse handelen sturen. Precies daar begint onze aanpak. Ferocia biedt een diepgaande oorzaakanalyse op gedrag en cultuur. We kijken voorbij de zichtbare symptomen en onderzoeken waarom de maatregel in de praktijk niet werkt. Door die onderstroom expliciet te maken, ontstaat een ander beeld van de oorzaak en andere acties om het geconstateerd probleem structureel op te lossen. Dat doen we samen met het management en de medewerkers die verantwoordelijk zijn voor de niet werkende beheersmaatregel. Want zij kennen het werk, de context en de signalen die een beheersmaatregel vormgeven. Wat bedoelen we met gedrag en cultuur? Gedrag zie je. Het is wat mensen doen en laten, wat ze zeggen, hun reflexen en de routines van het team. Cultuur is het onzichtbare draaiboek dat dit aanstuurt. Het zijn de stille spelregels die we van elkaar overnemen: wat hier normaal is, wat wordt beloond, wat risico heet en wat onbespreekbaar blijft. Je leest cultuur niet in een handboek; je merkt haar bij de koffieautomaat, in de stand-up, aan de bestuurstafel en op de vrijmibo. Je hoort haar in wie het woord pakt, hoeveel tegenspraak past, welke fouten we delen en welke we liever onder het tapijt schuiven. Van “bijsturen” naar begrijpen waarom het misgaat Na een reguliere audit volgt vaak een vertrouwd ritueel: auditors geven aanbevelingen, het management neemt de aanbevelingen over, een deel van de aanbevelingen worden ook daadwerkelijk uitgevoerd en het andere deel blijft eindeloos op actielijsten staan waarbij de deadline continu verschoven wordt. Maar wat als uit een vervolg audit (of 2 de lijnscontrole) blijkt dat dezelfde bevinding terugkomt? Dan is er in de meeste gevallen meer aan de hand. Dan speelt er ‘onder water’ iets waardoor oppervlakkige acties of aanbevelingen geen effect meer hebben. Onder water zitten overtuigingen, aannames en (onbewuste) patronen die een sterke invloed hebben hoe mensen handelen. Denk aan de overtuiging dat snelheid altijd voorrang heeft op zorgvuldigheid. Of aan een teamnorm die zegt dat je elkaar in het overleg niet publiek corrigeert. Of aan een beloningsstructuur die “brandjes blussen” meer waarde geeft dan “incidenten voorkomen”. In zo’n context zal het gedrag zich herhalen, hoe goed de maatregel ook is beschreven. Onze oorzaakanalyse is ontworpen om die onderliggende overtuigingen, aannames en patronen zichtbaar te maken. We reconstrueren waarom het op dat moment logisch voelde om zo te handelen. Welke waarde gaf de doorslag? Welke mentale modellen kleurden het handelen? Welke informele regel maakte de uitzonderingsroute acceptabel? Door die vragen te beantwoorden, verschuift het gesprek van schuld naar inzicht, en van nog meer maatregelen naar de juiste ingreep op het juiste niveau. Binnen Ferocia hebben we twee type dienstverlening om de oorzaken op gedrag en cultuur in beeld te brengen als beheersmaatregelen blijvend niet effectief zijn. Hoe gaan we tewerk als je nog geen beeld hebt waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Een interactieve workshop. We starten bij de bevinding(en) uit de audit. We organiseren groepsinterviews met de direct betrokken medewerkers en lopen stap voor stap terug naar het beslismoment. Wie was erbij? Welke informatie was beschikbaar? Welke druk speelde? Welke doelen concurreerden? We luisteren naar woorden die veel zeggen, bijvoorbeeld: “even snel”, “voor deze klant maken we een uitzondering”, “zo doen we dat hier”. In die reconstructie zoeken we naar de onderliggende patronen, waarden en motieven die ten grondslag hebben gelegen aan de handelingen. Bijvoorbeeld het markeren van een change als “spoed”, het aftekenen van een contract zonder tweede paar ogen of het schuiven met bevoegdheden “omdat het nu eenmaal moet”. De data uit de groepsinterviews worden vervolgens geanalyseerd waarna de patronen van een team of afdeling in beeld worden gebracht. In een zogenaamde validatieworkshop wordt de analyse gedeeld en besproken, waarna de concrete actiepunten opgesteld worden. Deze actiepunten kunnen plaatsvinden op drie niveaus: het herontwerpen van de beheersmaatregel en/of risico, het versterken van gewenst gedrag en het gericht sturen op cultuur (denk aan feedback-rituelen, rolmodellen en teamafspraken). Hoe gaan we tewerk als je wel een beeld hebt waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Het IPPA-model Heb je een duidelijk beeld waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Dan is het IPPA-model van het IIA een zeer effectief en praktisch hulpmiddel de diepere oorzaken te onderzoeken die schuilgaan achter falende beheersmaatregelen of uitblijvende resultaten Denk aan zaken als verantwoordelijkheid nemen, aanspreekcultuur of samenwerking binnen teams. We starten met het bepalen van de kritieke people-process-combinaties: waar is gedrag cruciaal om een proces goed te laten functioneren? Vervolgens gebruiken we het gedragsrepertoire van IPPA, bestaande uit meer dan 80 gedragsaspecten om scherpe interviewvragen te formuleren. Daarmee krijgen we zicht op wat mensen daadwerkelijk doen, waarom ze dat doen en hoe dat past binnen de cultuur van de organisatie. Daarna analyseren we de data en verbinden deze aan de risico’s en beheersmaatregelen. Ten slotte worden de inzichten vertaald naar concrete en uitvoerbare acties. Deze verbeteractie kunnen ook hier plaatsvinden op drie niveaus: het herontwerpen van de beheersmaatregel en/of risico, het versterken van gewenst gedrag en het gericht sturen op cultuur. Het mooie is: IPPA biedt structuur zonder star te zijn. Het geeft richting aan het gesprek over gedrag, zonder te vervallen in vage termen. En het maakt soft controls concreet. Samen met de mensen die het werk doen Een diepgaande oorzaakanalyse naar gedrag en cultuur kan alleen maar met de direct betrokken medewerkers. Hun overtuigingen, aannames en patronen moeten namelijk inzichtelijk worden gemaakt. Daarom reconstrueren we deze diepgaande oorzaakanalyse niet over mensen, maar met mensen. We maken het veilig om te spreken over overtuigingen en dilemma’s, zonder beschuldigende toon. We laten zien dat gedrag logisch is gegeven de prikkels en verhalen in de organisatie. Daardoor ontstaat eigenaarschap: niet omdat het moet, maar omdat het klopt. Het effect van samenwerken is tweeledig. We krijgen rijkere data, omdat mensen zich herkennen in wat er werkelijk speelt. En de verbetering vindt sneller plaats, omdat dezelfde mensen die het moeten waarmaken hebben meegedacht over het ontwerp. Van inzicht naar ingreep die blijft werken Een goede analyse eindigt met handelingsperspectief. Geen dikke rapporten, wel heldere keuzes. Vaak gaat het om gerichte aanpassingen die samen het gedrag kantelen. We koppelen afspraken aan concrete beslispunten, niet aan abstracte intenties. We leggen vast wie waarover beslist als waarden botsen, hoe afwijkingen worden gemeld zonder verlies van gezicht, en hoe we leren van incidenten zonder jacht op schuldigen. Zo blijft de maatregel niet alleen op papier overeind, maar ook in de praktijk, juist onder druk. Wat levert dit concreet op? Allereerst verdwijnen terugkerende bevindingen. Niet omdat we ze beter formuleren, maar omdat de oorzaak is aangepakt. Beheersmaatregelen gaan doen waarvoor ze ooit zijn ontworpen. De opvolging van auditbevindingen wordt korter en effectiever, omdat maatregelen logisch voelen voor de uitvoering. Incidenten worden eerder en vollediger gemeld, waardoor de leercurve stijgt en het rest-risico daalt. Daarnaast verbetert de kwaliteit van de dialoog tussen internal audit en de 1 ste lijn. Management en medewerkers spreken dezelfde taal over risico’s en waarden. De geloofwaardigheid richting bestuur, toezichthouder en auditor groeit: je kunt uitleggen hoe gedrag en cultuur bijdragen aan beheersing en hoe je dat zichtbaar maakt in resultaten. Op langere termijn kan de auditor concrete invulling geven aan haar rol als strategisch adviseur van het bestuur, door de uitkomsten van meerdere diepgaande oorzaakanalyse op gedrag en cultuur in samenhang te analyseren. Dit levert organisatie brede inzichten op waarom we bepaalde zaken juist wel of juist niet weren. Door de diepgaande oorzaakanalysebouw werk je aan veerkracht. Teams ontwikkelen een gedeelde reflex om spanning te herkennen en vroeg te adresseren. Controls worden eenvoudiger omdat ze aansluiten op de manier waarop mensen werkelijk werken. Dat maakt naleving minder zwaar en betrouwbaarder. Waarom Ferocia? Wij verbinden vaktechniek met gedragskunde. We spreken de taal van audit, control, risk en compliance en weten tegelijk hoe je menselijk gedrag duurzaam beïnvloedt. Onze aanpak is nuchter, snel en precies. We brengen de onderstroom naar boven in duidelijke taal, ontwerpen interventies die passen bij de realiteit van jouw organisatie en verankeren ze in ritmes die je al hebt. Geen extra bureaucratie, wel een blijvende verandering in hoe beslissingen worden genomen als het spannend is. Klaar om van vinken naar veranderen te gaan? Als uit de audit blijkt dat een beheersmaatregel niet werkt, kun je opnieuw bijsturen en hopen op een beter resultaat. Of je kunt begrijpen waarom de maatregel niet landt en precies dáár ingrijpen waar gedrag en cultuur de koers bepalen. Kies je voor dat laatste, dan helpen wij je graag. Met een diepgaande oorzaakanalyse die motieven, waarden en overtuigingen zichtbaar maakt. Met oplossingen die niet alleen vandaag werken, maar blijven werken. En met een samenwerking waarin de mensen die het moeten doen, het ook willen doen, omdat het klopt! Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Operational auditing helpt organisaties risico’s te beheersen, processen te verbeteren en strategische doelen te realiseren met scherp inzicht en impact. Alle blogs Internal auditing Operational auditing en jouw organisatie Zijn onze processen nog wel beheerst? Bereiken we onze doelen dit jaar? Is onze informatiebeveiliging op orde? Zomaar wat vragen die bij bestuurders en managers kunnen spelen. En niet zelden blijven ze onbeantwoord, met alle risico’s van dien. Gelukkig is er een vakgebied dat hier wel grip op biedt: operational auditing. In deze blog lees je wat operational auditing precies is, welke ontwikkelingen het vak transformeren en waarom deze auditor steeds belangrijker wordt voor organisaties die vooruit willen. Wat is operational auditing? Operational auditing is het vakgebied waarin een auditor objectief en onafhankelijk onderzoekt of de beheersing van processen en systemen binnen een organisatie zodanig zijn ingericht, dat strategische en operationele doelstellingen worden behaald. Daarbij kijkt de auditor niet alleen naar wat er is , maar vooral naar wat er moet gebeuren om risico’s te beperken en prestaties te verbeteren. Het gaat dus niet om het afvinken van regels, maar om het versterken van het lerend vermogen van de organisatie. De operational auditor stelt de juiste vragen, ontwikkelt een maatwerk normenkader, voert gedegen onderzoek uit en presenteert bevindingen op een manier die beweging brengt. Een blik naar voren dus. En dat maakt operational auditing tot veel meer dan een controlefunctie: het is een katalysator voor leren en verandering. Wat doet een operational auditor precies? De competenties van een goede operational auditor reiken ver. Het is iemand die: de werkelijke vraag achter de opdracht weet te achterhalen; een relevant toetsingskader kan samenstellen op basis van beleid, wetgeving, controlmodellen en best practices; een betrouwbaar beeld schetst van de huidige beheersingssituatie; scherpe, onderbouwde conclusies trekt; en bevindingen samen met de 1 ste lijn vertaalt naar aanbevelingen die daadwerkelijk tot verbetering leiden. En dat alles in een omgeving die steeds complexer, digitaler en wendbaarder wordt. Waarom is operational auditing zo relevant? De wereld verandert razendsnel. Organisaties moeten zich aanpassen aan nieuwe technologieën, veranderende wet- en regelgeving, maatschappelijke verwachtingen en de interne dynamiek. Daarbij zien we vier structurele trends die het vakgebied van operational auditing extra urgent maken: 1. Digitalisering en IT-risico’s IT is niet langer een ondersteunende functie, maar het fundament van vrijwel ieder bedrijfsproces. Denk aan ERP-systemen, data-analytics, AI, cloudoplossingen en cybersecurity. Tegelijkertijd lopen organisaties steeds meer risico door systeemstoringen, datalekken of gebrekkige autorisatieprocessen. Voor operational auditors betekent dit: opdoen van meer technische kennis, meer samenwerking met IT-auditors en -specialisten, en meer aandacht voor digitale weerbaarheid. De operational auditor van vandaag moet ook de wereld van morgen begrijpen. 2. Focus op cultuur en gedrag Traditioneel lag de nadruk van audits op hard controls : processen, procedures en systemen. Maar steeds meer organisaties beseffen dat beheersing ook vraagt om inzicht in gedrag, communicatie en leiderschap. De operational auditor richt zich daarom steeds vaker ook op soft controls : vertrouwen, integriteit, aanspreekbaarheid en voorbeeldgedrag. Geen gemakkelijk terrein, maar wel essentieel. Want zoals Merchant het zegt: " Management control is het doelgericht beïnvloeden van gedrag ." 3. Agile werken en wendbaarheid Waar vroeger stabiliteit de norm was, draait het nu om aanpassingsvermogen. Organisaties kiezen voor agile werkmethoden, multidisciplinaire teams en kortcyclisch ontwikkelen. Deze wendbaarheid vraagt ook iets van auditors: minder focus op lange audittrajecten, meer op continue feedback, korte doorlooptijden en realtime risico-inzichten. Agile auditing komt hiermee in opmars: een aanpak waarin auditing en wendbaarheid elkaar versterken. 4. Verantwoordingsdruk en transparantie Vanuit toezichthouders, klanten en de maatschappij groeit de druk op organisaties om transparant te zijn over prestaties, risico’s en beheersmaatregelen. Denk aan ESG-rapportages, ketenverantwoordelijkheid en sociale rechtvaardigheid. Operational auditors kunnen een cruciale rol spelen in het aantoonbaar maken van beheersing binnen deze complexe context, mits zij over de juiste vaardigheden en attitude beschikken. De toekomst van operational auditing: waar gaat het heen? De ontwikkelingen binnen het vakgebied zijn veelbelovend en uitdagend. Dit zijn de belangrijkste bewegingen: ➤ Van controlerend naar vooruitkijkend Audits blikken niet alleen terug, maar moeten ook vooruitkijken. Steeds vaker wordt gevraagd: Wat moeten we nu weten om straks in control te zijn? ➤ Van compliance naar performance Naast naleving van regels verschuift de aandacht naar het verbeteren van processen, kwaliteit en effectiviteit. Audits dragen daarmee direct bij aan strategisch succes. ➤ Van onafhankelijk naar verbindend De auditor van nu is geen afstandelijke beoordelaar, maar een kritische vriend. Iemand die scherp blijft, maar ook meedenkt. Die de verbinding zoekt met de business en interventies doet die echt verschil maken. ➤ Van generalist naar specialist (en vice versa) De opkomst van thema’s als data-auditing, AI, duurzaamheid en cyber maakt dat sommige auditors zich specialiseren. Tegelijkertijd blijft er behoefte aan de generalistische operational auditor die het geheel overziet en verbanden legt. Wat betekent dit voor organisaties? Organisaties die werk willen maken van beheersing, wendbaarheid en verantwoording, kunnen niet zonder sterke operational auditors. Zij zijn het kompas in onrustige tijden. Maar dan moeten organisaties ook investeren: in opleiding, in positionering, in een cultuur waarin audits serieus worden genomen. En bovenal in mensen. Want goede auditors zijn schaars. En voor auditors zelf? Voor auditors betekent dit: blijven leren. Blijven trainen. Blijven reflecteren. Het vak vraagt meer dan ooit om een combinatie van harde expertise en zachte vaardigheden: onderzoekskunde, oordeelsvorming, communicatie, psychologie, verandermanagement. Of, zoals we het in onze opleiding zeggen: een goede auditor is niet alleen een vakman, maar ook een veranderaar. Tot slot Operational auditing is geen luxe of last. Het is een noodzaak. Voor elke organisatie die haar doelen wil bereiken in een complexe wereld. Het is een vakgebied in beweging, net als de wereld waarin het opereert. En juist daarom is het nu het moment om als operational auditor te groeien. In kennis, in invloed en in impact. Hoe Ferocia operational auditing binnen jouw organisatie versterkt Bij Ferocia geloven we in operational auditing als strategisch instrument. Een manier om niet alleen risico’s te beheersen, maar om organisaties sterker en wendbaarder te maken. Daarom ondersteunen wij organisaties op drie manieren: 1. Opleidingen en trainingen We leiden auditors op tot echte professionals die zelfstandig en met impact een audit kunnen uitvoeren. Denk aan onze postbacheloropleiding Operational Auditing of de cursus operational auditoring . Theorie en praktijk, met aandacht voor zowel hard controls als soft controls. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een operational audit? Wij leveren ervaren operational auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe operational auditor om je team te versterken? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Wat verandert er met BIO2? Ontdek wat de nieuwe Baseline Informatiebeveiliging Overheid betekent voor auditors, CISO’s en risicomanagers binnen de overheid. Alle blogs IT-beheersing BIO2 Baseline Informatiebeveiliging Overheid 2: Wat verandert er voor auditors en risicomanagers? Overheden verwerken enorme hoeveelheden gevoelige informatie. Denk aan persoonsgegevens van burgers, financiële gegevens, beleidsdocumenten en vertrouwelijke communicatie. Burgers en bedrijven moeten erop kunnen vertrouwen dat deze informatie veilig wordt behandeld. Maar hoe borg je dat binnen duizenden systemen, processen en organisaties? Daarvoor is de Baseline Informatiebeveiliging Overheid (BIO) ontwikkeld. In 2026 is de opvolger geïntroduceerd: BIO2. Deze nieuwe versie sluit beter aan op actuele cyberdreigingen, internationale normen en nieuwe wetgeving zoals de Cyberbeveiligingswet (Cbw). Voor internal auditors, CISO’s, risk managers en compliance officers binnen de overheid betekent BIO2 meer dan alleen een update van een normenkader. Het vraagt om een andere manier van kijken naar informatiebeveiliging: risicogedreven, aantoonbaar en continu verbeterend. In deze blog bespreken we wat BIO2 precies is, wat er verandert en wat dit betekent voor professionals in audit, risk en control. Waarom een nieuwe versie van de BIO? Digitalisering binnen de overheid gaat snel. Steeds meer diensten worden digitaal aangeboden, systemen zijn gekoppeld in complexe ketens en er is toenemende afhankelijkheid van cloud- en IT-leveranciers. Tegelijkertijd nemen cyberdreigingen toe. De overheid heeft daarom behoefte aan een actueel en uniform normenkader voor informatiebeveiliging. De BIO2 heeft als doel om informatieveiligheid binnen alle overheidsorganisaties op een gemeenschappelijk basisniveau te brengen en tegelijkertijd vertrouwen te creëren tussen ketenpartners die gegevens met elkaar uitwisselen. De BIO2 is daarmee het centrale normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het beschrijft hoe organisaties informatiebeveiliging moeten inrichten, implementeren, onderhouden en verbeteren. De structuur van BIO2 De BIO2 bestaat uit twee onderdelen: Het BIO2-kader; de governance, principes en aanpak van informatiebeveiliging BIO-overheidsmaatregelen; concrete maatregelen die organisaties minimaal moeten implementeren Het kader beschrijft onder andere: de rol van bestuurders en CISO’s; het managementsysteem voor informatiebeveiliging (ISMS); risicomanagementprocessen; en monitoring en verantwoording. De maatregelen vormen de minimale invulling van informatiebeveiliging voor overheidsorganisaties en zijn gebaseerd op internationale standaarden zoals ISO 27001 en ISO 27002. De kern van BIO2: risicogedreven informatiebeveiliging Een belangrijk uitgangspunt van BIO2 is dat informatiebeveiliging niet alleen technisch is, maar vooral een kwestie van risicomanagement. Het proces bestaat uit vijf stappen: Context bepalen Risicomanagementmethodiek kiezen Risico’s identificeren Risicoanalyse uitvoeren Risicobehandeling en selectie van maatregelen Deze stappen vormen de basis voor het managementsysteem voor informatiebeveiliging (ISMS). Het doel is dat organisaties systematisch risico’s identificeren, analyseren en beheersen, en dit proces continu verbeteren. Voor auditors en risicomanagers betekent dit dat de focus verschuift van controle op losse maatregelen naar beoordeling van het gehele risicomanagementproces. Belangrijke thema’s binnen BIO2 Hoewel BIO2 honderden maatregelen bevat, zijn er een aantal thema’s die eruit springen. 1. Bestuurlijke verantwoordelijkheid BIO2 legt nadrukkelijk de verantwoordelijkheid bij de bestuurder van de organisatie. Bestuurders zijn verantwoordelijk voor: het treffen van passende beveiligingsmaatregelen; het goedkeuren van risicobehandelingsmaatregelen; en het toezien op de kwaliteit van de uitvoering. Daarnaast moeten bestuurders voldoende kennis hebben van cyberrisico’s en ervoor zorgen dat medewerkers regelmatig trainingen volgen. Dit betekent dat informatiebeveiliging niet langer alleen een IT-onderwerp is, maar een expliciet bestuurlijk vraagstuk. 2. De rol van de CISO De Chief Information Security Officer (CISO) krijgt binnen BIO2 een duidelijke positie. De CISO: coördineert informatiebeveiliging; adviseert bestuurders; vertaalt wetgeving naar beleid; en rapporteert over de implementatie van maatregelen. Belangrijk daarbij is dat de CISO niet verantwoordelijk is voor de uitvoering van beveiliging, maar voor advies en toezicht. De daadwerkelijke verantwoordelijkheid ligt bij het lijnmanagement. 3. Verplichte minimale maatregelen BIO2 bevat een uitgebreide set verplichte maatregelen, bijvoorbeeld op het gebied van: toegangsbeheer (zoals het toepassen van multi-factor authenticatie); leveranciersmanagement; incidentmanagement; kwetsbaarhedenbeheer; en logging en monitoring. Zo schrijft BIO2 bijvoorbeeld voor dat organisaties multi-factor authenticatie (MFA) moeten toepassen voor accounts met beheerrechten en internettoegang. Ook moet elke organisatie een meldloket voor informatiebeveiligingsincidenten hebben en incidenten systematisch registreren en opvolgen. Deze maatregelen vormen het minimale beveiligingsniveau binnen de overheid. 4. Leveranciers en ketenrisico’s Overheden werken steeds vaker met externe IT-leveranciers en cloudproviders. BIO2 besteedt daarom veel aandacht aan ketenbeveiliging. Organisaties blijven zelf verantwoordelijk voor de risico’s van uitbestede diensten. Dit betekent onder andere dat: beveiligingseisen onderdeel moeten zijn van contracten; leveranciers moeten aantonen dat zij aan beveiligingseisen voldoen; en organisaties audits bij leveranciers moeten kunnen uitvoeren. Voor auditors en risicomanagers wordt supply chain risk management daarmee een belangrijk auditgebied. 5. Continue monitoring en verbetering Informatiebeveiliging is volgens BIO2 geen eenmalig project, maar een continu proces. Organisaties moeten: regelmatig audits uitvoeren; risicoanalyses bijwerken; managementrapportages opstellen; en verbetermaatregelen implementeren. In veel organisaties resulteert dit in een jaarlijkse In Control Verklaring (ICV) over de staat van informatiebeveiliging. Wat betekent BIO2 voor internal auditors? Voor internal auditors verandert er relatief veel. De BIO2 vraagt namelijk niet alleen om controle op maatregelen, maar ook om beoordeling van: governance en verantwoordelijkheden; het risicomanagementproces; de werking van het ISMS; en de effectiviteit van beveiligingsmaatregelen. Auditors zullen daarom vaker kijken naar vragen zoals: Zijn risico’s systematisch geïdentificeerd en geanalyseerd? Is de rol van bestuurders en management duidelijk vastgelegd? Worden incidenten structureel geanalyseerd en gebruikt voor verbetering? Is de afhankelijkheid van leveranciers voldoende beheerst? De audit verschuift daarmee van technische compliance-checks naar brede governance-audits. Wat betekent BIO2 voor risicomanagers en CISO’s? Voor risicomanagers en CISO’s ligt de grootste uitdaging in het operationeel maken van de maatregelen. BIO2 bevat namelijk vooral tactische maatregelen. Organisaties moeten deze eerst vertalen naar concrete processen en technische oplossingen voordat ze geïmplementeerd kunnen worden. Dit vraagt onder andere om: duidelijke beleidskaders; volwassen risicomanagementmethodieken; goede samenwerking tussen IT, security en business; en structurele rapportage richting bestuur. BIO2 als startpunt De BIO2 biedt een stevig fundament voor informatiebeveiliging binnen de overheid. Maar het is geen garantie voor veiligheid. Cyberdreigingen blijven zich ontwikkelen. Organisaties zullen hun maatregelen daarom continu moeten aanpassen en verbeteren. De echte uitdaging zit daarom niet in het implementeren van een normenkader, maar in het creëren van een organisatie waarin informatiebeveiliging structureel onderdeel is van besluitvorming en risicomanagement. Voor auditors, CISO’s en risicomanagers ligt daar een belangrijke rol: zorgen dat informatiebeveiliging niet alleen op papier goed geregeld is, maar ook daadwerkelijk werkt in de praktijk. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe Ferocia e-learning, hybride classrooms en simulaties inzet voor effectiever leren in audit, control en risk. Flexibel, persoonlijk en impactvol. Alle blogs Opleiding en training Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties. In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De tijd van “jij zit en wij zenden” is voorbij We hoeven je niet te vertellen dat de tijd van klassikale eenrichtingsverkeer voorbij is. Toch is het goed om stil te staan bij hoe ingrijpend die verschuiving is. Ooit was een opleiding of training vrijwel altijd een bijeenkomst op locatie. Een docent vertelt. De groep luistert. Aan het eind een vragenrondje. Klaar. Maar de professionals van nu, internal auditors, compliance officers, riskmanagers, controllers hebben andere verwachtingen. Hun werk is complexer geworden. Sneller en meer verspreid over locaties, rollen en disciplines. Ze willen leren op het moment dat het nodig is, niet alleen als het uitkomt in de planning van een lesrooster. Daarom werken we bij Ferocia met een hybride leeraanpak , waarbij we de sterke kanten van fysiek onderwijs combineren met de voordelen van technologie. Geen zwart-witkeuze, maar een slimme mix. E-learning als fundament: zelf leren, op je eigen moment E-learning heeft inmiddels zijn plek veroverd binnen het opleidingslandschap. Bij Ferocia gebruiken we e-learningmodules als fundament onder veel van onze opleidingen en trainingen. Denk aan: voorbereidingsmodules voorafgaand aan een training of opleiding; verdiepingstrajecten naast een klassikale of online les; toetsmomenten om kennis tussentijds te evalueren; en kennisclips en casussen die je kunt terugkijken wanneer jij dat wilt. Zo kunnen deelnemers zich in hun eigen tempo voorbereiden, herhalen of verdiepen. Geen tijdverspilling meer met klassikale kennisoverdracht die je ook prima individueel kunt doen. Daardoor blijft er meer ruimte over voor interactie, verdieping en toepassing naar jouw praktijk tijdens de bijeenkomsten zelf. En dat is belangrijk. Want kennis beklijft beter als je het zelf hebt ontdekt en kunt vertalen naar jouw eigen praktijk. Onze hybride classroom studio’s: fysiek en online echt verbonden Soms is fysiek samenkomen waardevol. Maar het is niet altijd haalbaar, zeker niet als je teamleden verspreid zijn over het land of als de reistijd niet opweegt tegen de lestijd. Daarom hebben we bij Ferocia geïnvesteerd in moderne hybride classroom studio’s. Hiermee combineren we fysieke en online deelname op een manier die voor iedereen werkt. Wat maakt onze hybride classrooms bijzonder? Volledige interactie : deelnemers op afstand kunnen net zo goed meedoen als degenen in de zaal. Met camera’s, microfoons en schermen zorgen we dat iedereen zichtbaar en hoorbaar is. Flexibiliteit : deelnemers kiezen zelf of ze fysiek aanwezig zijn of online inloggen. Gelijke leerervaring : zowel online als fysiek krijg je dezelfde inhoud, dezelfde opdrachten, en dezelfde aandacht van de docent. De tijd van "wie online meedoet, kijkt alleen maar mee" is voorbij. In onze hybride trainingen ben je volwaardig deelnemer, ongeacht je locatie. Simulaties: waar leren echt tot leven komt Een goede training stopt niet bij kennis. Want in het werkveld van audit, risk en control draait het om meer dan wat je weet, het gaat vooral om hoe je handelt. Wat doe je als een afdeling niet meewerkt aan je audit? Hoe presenteer je een kritisch rapport zonder de relatie te schaden? Hoe ga je om met ethische dilemma’s? Daarom werken we bij Ferocia steeds vaker met realistische simulaties. Bijvoorbeeld: een auditopdracht in een fictieve maar levensechte organisatieomgeving; een crisissituatie waarbij deelnemers moeten adviseren onder tijdsdruk; een teamopdracht waarbij soft controls net zo belangrijk zijn als het proces. Deze simulaties vinden deels plaats in onze studio’s en/of deels online middels breakout rooms. Ze zijn spannend, intensief en vooral ontzettend leerzaam. Waarom het werkt? Deelnemers ervaren echte dilemma’s, in een veilige oefenomgeving. Ze oefenen niet alleen kennis, maar ook gedrag en samenwerking. Ze krijgen directe feedback op keuzes en reflecteren op hun aanpak. Zo brengen we leren dichter bij de praktijk en dat is waar de echte groei plaatsvindt. Hybride leren: meer dan techniek alleen Natuurlijk is technologie belangrijk. Maar hybride leren is meer dan wat knoppen en schermen. Het gaat om didactiek; hoe bouw je een leerervaring die echt blijft hangen? Hoe zorg je dat deelnemers betrokken blijven? Hoe stimuleer je reflectie, interactie, nieuwsgierigheid? Daarom ontwerpen we onze programma’s rondom het hybride leerproces, met aandacht voor: Voorbereiding: wat kun je zelf doen voordat je samenkomt? Interactieve bijeenkomsten: fysiek of online, altijd met ruimte voor oefenen, reflecteren en feedback. Follow-up: hoe zorg je dat het geleerde beklijft? Welke opdrachten, coaching of e-learning helpen daarbij? Hybride leren vraagt dus ook iets van ons als opleiders. We trainen onze docenten in online didactiek. We ontwerpen modules met afwisseling en activatie. En we evalueren voortdurend wat werkt en wat beter kan. Wat blijft er wel hetzelfde? In al die innovatie vergeten we één ding niet; goed onderwijs draait nog altijd om mensen. Om het gesprek met de docent of trainer. Het sparren met vakgenoten. De ruimte om stil te staan bij wat je doet, waarom je het doet, en wat beter kan. Technologie is geen vervanger van de menselijke maat. Het is een verrijking. Het biedt flexibiliteit, snelheid en schaalbaarheid. Maar de kern blijft, leren is mensenwerk en dat geldt zeker ook voor onze trainingen en opleidingen. Wat betekent dit voor jou? Of je nu een individueel professional bent die wil bijblijven, of HR- of L&D-verantwoordelijke die zoekt naar impactvolle inhouse leertrajecten voor je team, onze aanpak maakt het verschil. Door slim gebruik van technologie en persoonlijke begeleiding zorgen we dat leren werkt. Dus: Wil je je vakkennis verdiepen via e-learning op je eigen moment? Wil je een training volgen waarbij je kunt kiezen tussen fysiek of online deelnemen, zonder concessies? Wil je echte situaties oefenen, zodat je sterker staat in je werk? Dan ben je bij Ferocia aan het juiste adres. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe Auditmethodiek 2.0 auditors helpt sneller, relevanter en effectiever te auditen met AI-ondersteuning. Verhoog direct de kwaliteit van je audit. Alle blogs Internal auditing Auditmethodiek 2.0 Een gestructureerde aanpak voor effectieve internal audits. De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken dat traditionele auditmethoden steeds vaker tekortschieten. Auditteams moeten niet alleen controleren, maar ook richting geven en direct waarde toevoegen aan de organisatie. Auditmethodiek 2.0 is ontwikkeld om precies dat te doen: een gestructureerde, AI-ondersteunde aanpak die audits relevant, deugdelijk en doelmatig maakt en daarmee direct bijdraagt aan effectieve risicobeheersing en doelrealisatie. Auditmethodiek 2.0 Ferocia heeft Auditmethodiek 2.0 ontwikkeld om auditors en auditmanagers te helpen voldoen aan de snel stijgende eisen van het vak. Organisaties verwachten tegenwoordig snelle, bruikbare inzichten die direct bijdragen aan effectieve risicobeheersing en doelrealisatie. In de praktijk gaat dit nog vaak mis: voorbereidingen duren te lang of blijven te oppervlakkig, het taalgebruik tussen audit en organisatie sluit niet aan, bevindingen in rapportages worden niet herkend of erkend en actielijsten groeien zonder zichtbaar resultaat. Auditmethodiek 2.0 biedt hiervoor een gestructureerde, praktijkgerichte oplossing. De methodiek doorloopt drie fasen: voorbereiding, veldwerk en rapportage, en vertaalt elke stap naar concrete werkwijzen, ondersteund door speciaal ontwikkelde AI-agents die snelheid en kwaliteit verhogen. De methodiek sluit naadloos aan op de Global Internal Audit Standards (GIAS), zet de opdrachtgever centraal zonder concessies aan onafhankelijkheid en zorgt voor rapportages waar de organisatie daadwerkelijk verder mee kan. Auditmethodiek 2.0 is ontwikkeld voor auditors en auditmanagers die efficiënt relevante en kwalitatief hoogwaardige audits willen uitvoeren. Met deze methodiek krijgen zij een bewezen aanpak in handen die inspeelt op de informatiebehoefte van de organisatie en verbeteringen versnelt. Kwaliteitseisen voor audits Een goede internal audit voldoet aan drie fundamentele kwaliteitseisen: relevantie, deugdelijkheid en doelmatigheid. Deze eisen vormen samen de basis voor audits die daadwerkelijk bijdragen aan effectieve risicobeheersing en doelrealisatie. Relevantie De audit sluit aan op de kennisbehoefte van de opdrachtgever. Alleen wanneer de audit goed is afgestemd op de vragen en zorgen van de opdrachtgever, levert de audit bruikbare inzichten op. Relevantie begint bij een grondige verkenning van de informatiebehoefte van de opdrachtgever: wat moet deze audit opleveren en waarom is dat nu van belang? Deugdelijkheid De audit is methodologisch goed onderbouwd. Dat betekent dat de uitkomsten zijn gebaseerd op meerdere bronnen en dat de gevolgde werkwijze transparant en herleidbaar is. Een deugdelijke audit gebruikt een logisch opgebouwd referentiemodel, een goed doordacht testplan en past triangulatie toe bij de gegevensverzameling. Hierdoor ontstaan conclusies die overtuigend zijn. Doelmatigheid De audit wordt uitgevoerd met een efficiënte inzet van tijd en middelen. Er is een goede verhouding tussen de scope en diepgang van de audit enerzijds en de capaciteit en doorlooptijd anderzijds. Doelmatigheid vraagt om scherpe keuzes: niet alles hoeft onderzocht te worden. De audit moet snel tot de kern komen, zonder overbodige inspanning of vertraging. Auditmethodiek 2.0 is ontwikkeld om gericht invulling te geven aan deze kwaliteitseisen. De drie fasen van een audit Een effectieve audit doorloopt drie opeenvolgende fasen: voorbereiding, veldwerk en rapportage. In de voorbereidingsfase wordt de basis gelegd voor een succesvolle uitvoering. De auditor voert een vooronderzoek uit, inventariseert de kennisbehoefte van de opdrachtgever, stelt de scope en afbakening vast, formuleert de auditdoelstelling en stelt een referentiemodel, testplan en auditplanning op. Dit mondt uit in een door de opdrachtgever goedgekeurd auditontwerp. Zo wordt geborgd dat de audit relevant is en op een deugdelijke en doelmatige manier wordt uitgevoerd. De veldwerkfase draait om het systematisch verzamelen en analyseren van gegevens. De auditor past de in het testplan vastgelegde onderzoeksmethoden toe, zoals interviews, documentanalyses en observaties. De verzamelde gegevens worden vastgelegd in een datamatrix, die de basis vormt voor onderbouwde conclusies. In de rapportagefase worden de bevindingen vertaald naar heldere conclusies en, waar nodig, verbeteracties. Door bevindingen te bespreken met de opdrachtgever en eventueel de proceseigenaar, en samen oorzaken en verbeteracties te formuleren, ontstaat draagvlak voor opvolging. Binnen Auditmethodiek 2.0 wordt deze fase versterkt door het gebruik van de SPROA-systematiek en het faciliteren van workshops gericht op het achterhalen van oorzaken, zodat verbeteracties structureel effect hebben. Fase 1: Voorbereiding De voorbereidingsfase van Auditmethodiek 2.0 bestaat uit acht opeenvolgende stappen die samen waarborgen dat audits relevant, deugdelijk en doelmatig worden uitgevoerd. Stap 1. Uitvoeren vooronderzoek Het vooronderzoek vormt het startpunt van de audit en heeft als doel om in korte tijd een helder beeld te krijgen van het auditobject, de mogelijke problematiek en het krachtenveld. Dit vormt de basis voor een goed gefundeerde scope en afbakening. De auditor beantwoordt daarbij drie clusters van vragen: Auditobject Wat is de aard en functie van het auditobject? Uit welke deelobjecten bestaat het auditobject? Welke aspecten zijn van belang? Welke functionarissen spelen een rol? Welke (wettelijke en interne) kaders zijn van toepassing? Problematiek Welke (mogelijke) problemen spelen er? Wat zijn de achtergronden of oorzaken van deze problemen? Welke bijdrage moet de audit leveren? Krachtenveld Welke interne en externe factoren hebben invloed op de audit? Welke belangen, verwachtingen en gevoeligheden spelen er bij stakeholders? De auditor combineert in deze stap twee methoden om bovenstaande vragen te beantwoorden: Documentstudie, zoals beleidsstukken, procesbeschrijvingen, werkinstructies, rapportages, risicoregisters en relevante wet- en regelgeving. Interviews met sleutelpersonen, zoals proceseigenaren, teamleiders, en coördinatoren. AI kan in deze stap ondersteunen bij het snel in beeld brengen van mogelijke objectkenmerken, problemen en belanghebbenden. Met Ferocia’s AI-client kan dit op drie niveaus: door alleen het auditobject in te voeren, de branche te vermelden voor gerichtere output, of interne documenten toe te voegen. Hoe meer informatie u deelt, hoe specifieker de output, maar ook hoe meer (en mogelijk gevoeligere) gegevens u prijsgeeft. Stap 2. Inventariseren kennisbehoefte De tweede stap in de voorbereidingsfase is het inventariseren van de kennisbehoefte bij de opdrachtgever. Door middel van een interview met de opdrachtgever en eventueel de proceseigenaar wil de auditor achterhalen wat het doel is van het auditobject, wat eventuele problematiek is waar tijdens de audit rekening mee moet worden gehouden en welke inzichten de opdrachtgever verwacht. Om dit scherp te krijgen, beantwoordt de auditor samen met de opdrachtgever drie clusters van vragen: Auditobject Wat is volgens de opdrachtgever het doel van het auditobject? Welke aspecten zijn volgens de opdrachtgever van belang? Problematiek Welke incidenten hebben zich voorgedaan? Welke (mogelijke) problemen ziet de opdrachtgever? Waar maakt de opdrachtgever zich zorgen over? Verwachte inzichten Welke specifieke vragen moet de audit volgens de opdrachtgever beantwoorden? Wat gaat de opdrachtgever met deze inzichten doen? Bij het bepalen van de kennisbehoefte is het relevant om onderscheid te maken tussen twee typen audits, de systeemtoets en de performancetoets. Een systeemtoets richt zich op de kwaliteit van de beheersing die moet waarborgen dat doelstellingen structureel worden gerealiseerd. Een performancetoets richt zich op de doelrealisatie zelf: worden operationele doelstellingen behaald, klopt de jaarrekening en wordt voldaan aan wet- en regelgeving? Systeemtoets vs. performancetoets De kennisbehoefte kan afkomstig zijn van een intern gerichte opdrachtgever, zoals de raad van bestuur, directie of management, of van een extern gerichte opdrachtgever, zoals de raad van commissarissen of de externe accountant. Intern gerichte opdrachtgevers kiezen vaker voor systeemtoetsen, omdat deze inzicht geven in de kwaliteit van de beheersing en daarmee concrete handvatten bieden om processen en risicobeheersing verder te verbeteren. Extern gerichte opdrachtgevers hebben doorgaans meer behoefte aan performancetoetsen, zodat zij de resultaten kunnen vergelijken met andere organisaties of met de uitkomsten van eerdere audits. Soorten kennisbehoefte Overigens is de praktijk minder zwart-wit dan hierboven geschetst. Zo stellen sommige regels (zoals NEN-normen) ook eisen aan het systeem en toetst de externe accountant, voorafgaand aan de controle van de jaarrekening, het totstandkomingsproces van de jaarrekening, om zodoende inzicht te krijgen in de risico’s. Stap 3. Vaststellen scope en afbakening Het vaststellen van de scope en afbakening is een belangrijke stap in de voorbereidingsfase van de audit en is gebaseerd op de uitkomsten van het vooronderzoek en het gesprek met de opdrachtgever. Het bepaalt waar het onderzoek zich op richt en welke onderdelen bewust buiten beschouwing blijven. Een heldere scope verhoogt de kans dat de audit aansluit op de kennisbehoefte van de opdrachtgever, zorgt voor focus en voorkomt onnodig werk. Scope De scope beschrijft welk auditobject en welke aspecten binnen de reikwijdte van de audit vallen en waarom. Auditobject: dit is waar je naar kijkt. Een auditobject kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn. Aspect: dit is hoe je naar het auditobject kijkt. Hierbij gaat het om de invalshoek, zoals tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving. Scope Afbakening De afbakening beschrijft welke gerelateerde auditobjecten en aspecten buiten de audit vallen en waarom. Dit kan bijvoorbeeld zijn omdat ze niet relevant zijn voor de actuele kennisbehoefte, omzet ze recent al onderzocht zijn, of omdat er onvoldoende middelen beschikbaar zijn om ze te onderzoeken. Het expliciet vaststellen van de afbakening is minstens zo belangrijk als het vaststellen van de scope: het voorkomt onduidelijkheid en teleurstelling bij de opdrachtgever wanneer onderwerpen achteraf buiten beschouwing blijken te zijn gebleven. Stap 4. Formuleren auditdoelstelling De vierde stap in de voorbereidingsfase is het formuleren van de auditdoelstelling. Deze stap volgt logisch op het vaststellen van de scope en afbakening, omdat de doelstelling direct gebaseerd is op het gekozen auditobject, aspecten en het beoogde gebruik van de resultaten door de opdrachtgever. Een duidelijke auditdoelstelling zorgt voor richting tijdens de uitvoering van de audit en helpt om verwachtingen tussen auditor en opdrachtgever vooraf helder af te stemmen. Zo wordt voorkomen dat het onderzoek te breed of te smal wordt uitgevoerd of dat de opdrachtgever niet verder kan met de uitkomsten. De auditdoelstelling bestaat uit vier onderdelen: Het auditobject, inclusief eventuele deelobjecten. De aspecten die binnen de scope vallen (bijvoorbeeld tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving). De opdrachtgever, die de resultaten van de audit ontvangt en ermee aan de slag gaat. De relevantie (wat de opdrachtgever met de resultaten van de audit wil bereiken, bijvoorbeeld het onderbouwd kunnen besluiten of een proces geoptimaliseerd of uitbesteed moet worden). De auditdoelstelling wordt geformuleerd volgens het vaste stramien: “Het doel van de audit is vaststellen in hoeverre [auditobject] waarborgt dat [aspecten], teneinde [opdrachtgever] in staat te stellen [relevantie].” Voorbeeld Het doel van de audit is vaststellen in hoeverre het campagnebeheerproces waarborgt dat marketingcampagnes effectief, doelgroeppgericht en conform wet- en regelgeving worden uitgevoerd, teneinde de marketingmanager in staat te stellen de interne beheersing te verbeteren. Ook in deze stap kan AI ondersteuning bieden. Voor het formuleren van een heldere auditdoelstelling heeft Ferocia een AI-agent ontwikkeld. Door het auditobject, de aspecten die binnen de scope vallen en de opdrachtgever in te voeren, genereert de AI-agent direct een zorgvuldig geformuleerde doelstelling die voldoet aan de vereiste opbouw. Stap 5. Opstellen referentiemodel De auditdoelstelling vormt het uitgangspunt voor het opstellen van het referentiemodel. Dit model beschrijft de norm waartegen de werkelijkheid wordt getoetst. Het kan worden gebaseerd op bestaande risk- en controlframeworks (zoals COSO, INK of ISO), wet- en regelgeving (zoals AVG, DORA of Wft) of andere relevante theorieën, modellen en best practises. Het referentiemodel wordt niet achter het bureau opgesteld, maar in nauwe samenwerking met de opdrachtgever en/of de proceseigenaar. De eerste lijn is immers verantwoordelijk voor de kwaliteit van de risicobeheersing die moet waarborgen dat doelstellingen gerealiseerd worden. Co-creatie vergroot de kans dat de eerste lijn het referentiemodel herkent, erkent en er daadwerkelijk mee aan de slag gaat. Het referentiemodel bestaat bij een systeemtoets uit zes elementen: Auditobjecten Beheersdoelstellingen Risico’s Classificatie risico’s Beheersmaatregelen Classificatie beheersmaatregelen Auditobjecten Een auditobject is het (deel)object waarop dit deel van de audit zich richt. Dit kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn. Beheersdoelstellingen Een beheersdoelstelling beschrijft het gewenste resultaat van de interne beheersing. Een beheersdoelstelling wordt altijd gekoppeld aan een auditobject en geformuleerd als: “Beheersmaatregelen bieden een redelijke mate van zekerheid dat […].” Ook in deze stap kan AI ondersteuning bieden. Voor het formuleren van heldere beheersdoelstellingen heeft Ferocia een AI-agent ontwikkeld. Door de aspecten uit de auditdoelstelling een voor een in te voeren, genereert de AI-agent direct per aspect een zorgvuldig geformuleerde beheersdoelstelling die voldoet aan de vereiste opbouw. Risico’s Een risico is een mogelijke gebeurtenis die het behalen van de beheersdoelstelling in gevaar kan brengen. Een risico wordt altijd opgebouwd uit drie elementen: Gebeurtenis: wat kan er misgaan? Oorzaak: waardoor kan dit misgaan? Gevolg: wat is de impact als het misgaat? Doorgaans betreft dit het niet behalen van de beheersdoelstelling. Formuleer risico’s als volgt: “Er bestaat een risico dat [gebeurtenis], als gevolg van [oorzaak], wat kan leiden tot [gevolg].” Classificatie risico’s Risico’s worden geclassificeerd op basis van kans en impact. Kans geeft aan hoe waarschijnlijk het is dat het risico zich daadwerkelijk voordoet. Dit kan variëren van zeer onwaarschijnlijk tot zeer waarschijnlijk. Impact beschrijft de ernst van de gevolgen als het risico zich voordoet. Dit kan variëren van verwaarloosbare gevolgen tot zeer ernstige of onherstelbare gevolgen. Er wordt gewerkt met een vijfpuntsschaal voor zowel kans als impact. Door kans en impact met elkaar te vermenigvuldigen, ontstaat een risicoscore tussen 1 en 25. Hoe hoger de score, hoe groter de prioriteit om het risico te beheersen. Beheersmaatregelen Per risico worden een of meer beheersmaatregelen vastgesteld. Deze maatregelen zijn erop gericht het risico te mitigeren door óf de kans op het optreden van de oorzaak te verkleinen, óf de impact van het gevolg te beperken. Daarmee vergroten beheersmaatregelen de waarschijnlijkheid dat de beheersdoelstellingen daadwerkelijk worden gerealiseerd. Ze vormen de kern van effectieve risicobeheersing. We hanteren bij het formuleren van beheersmaatregelen de volgende opbouw: “[Wie] [wat] [wanneer] aan de hand van [waarmee] en [vastlegging].” Classificatie van beheersmaatregelen Beheersmaatregelen worden geclassificeerd op basis van hun rol in het beheersingsproces: Preventief: voorkomt dat een fout of incident optreedt. Detectief: signaleert dat er iets fout is gegaan. Correctief: corrigeert fouten of herstelt de situatie. Referentiemodel bij een systeemtoets Voorbeeld Auditobject: proces voor afhandelen van facturen van ingehuurde ZZP’ers Beheersdoelstelling: Beheersmaatregelen bieden een redelijke mate van zekerheid dat alle facturen tijdig worden verwerkt. Risico: Er bestaat een risico dat er onvoldoende capaciteit is om de facturen van ingehuurde ZZP’ers tijdig af te handelen als gevolg van inadequate personeelsplanning, wat kan leiden tot te late betalingen. Classificatie risico: 9/25 (kans: 3/5, impact: 3/5) Beheersmaatregel: De teamleider stelt maandelijks een personeelsplanning op aan de hand van de verwachte hoeveelheid facturen en de verlofplanning en legt deze als zodanig vast in het planningssysteem. Classificatie beheersmaatregel: Preventief Het referentiemodel bij een performancetoets is eenvoudiger van opzet dan bij een systeemtoets. Waar een systeemtoets de volledige keten van beheersdoelstellingen, risico’s en beheersmaatregelen analyseert, richt een performancetoets zich uitsluitend op het vaststellen in welke mate de doelstellingen daadwerkelijk zijn behaald. Bij het formuleren van de norm doorloopt de auditor een aantal denkstappen. Deze stappen helpen om scherp te krijgen wat er écht toe doet en hoe dit meetbaar kan worden gemaakt. Het gaat hier niet om losse onderdelen die in het referentiemodel worden opgenomen, maar om een denkkader waarmee de auditor tot een heldere en toetsbare norm komt. De denkstappen zijn: Kritische succesfactor (KSF): het aspect dat bepalend is voor het succes van het auditobject, zoals tijdigheid, klantvriendelijkheid of doelmatigheid. De KSF geeft richting aan wat essentieel is om de doelstellingen te bereiken. Maatstaf: de wijze waarop de KSF meetbaar wordt gemaakt, bijvoorbeeld in percentages, aantallen of doorlooptijd in dagen. De maatstaf vertaalt de succesfactor naar een concrete meeteenheid. Norm: de streef- of grenswaarde die aangeeft wanneer de prestatie als voldoende wordt beoordeeld. Dit is de uiteindelijke toetssteen die in het referentiemodel wordt opgenomen. Voorbeeld Auditobject: proces voor afhandelen van facturen van ingehuurde ZZP’ers Kritische succesfactor: Tijdigheid Maatstaf: Aantal dagen Norm: 99% binnen 30 dagen Referentiemodel bij een performancetoets Hoewel systeemtoetsen en performancetoetsen verschillende invalshoeken hebben, kunnen zij binnen één referentiemodel worden gecombineerd. Een gecombineerde opzet biedt zowel inzicht in de kwaliteit van de interne beheersing (systeemtoets) als in de mate waarin doelstellingen daadwerkelijk worden gerealiseerd (performancetoets). Ook in deze stap kan AI waardevolle ondersteuning bieden. Ferocia heeft een AI-agent ontwikkeld die op basis van het auditobject en de beheersdoelstelling, suggesties doet voor risico’s en bijbehorende beheersmaatregelen, inclusief hun classificatie. Hoe specifieker de context wordt ingevoerd (bijvoorbeeld branche, interne werkinstructies of relevante wet- en regelgeving), hoe beter de uitvoer aansluit op de praktijk van de organisatie. Standaard identificeert de AI-agent per beheersdoelstelling tien risico’s, elk voorzien van drie beheersmaatregelen inclusief classificatie. Stap 6. Opstellen testplan Het testplan beschrijft per beheersmaatregel op welke manier (met welke methoden en bronnen) wordt vastgesteld of de maatregel is ingericht en werkt. Er zijn drie verschillende methoden om dit te onderzoeken: Observatie Inhoudsanalyse Documenten Registraties (integraal of steekproef) Ondervraging van personen (Groeps)interviews (topic based) Enquêtes De keuze voor de onderzoeksmethode hangt af van wat je op basis van de omschrijving van de beheersmaatregel wilt vaststellen. Vaak is al direct te herleiden welke methode het meest voor de hand ligt en de grootste betrouwbaarheid biedt. Voorbeeld Als uit de beheersmaatregel blijkt dat functie X een bepaalde handeling moet uitvoeren en deze moet vastleggen in systeem Y, dan is het logisch om functie X te interviewen en in systeem Y te controleren of de vastlegging daadwerkelijk plaatsvindt. Indien mogelijk kan ook observatie worden toegepast om het proces rechtstreeks waar te nemen. Tests bij systeemtoetsen worden als volgt geformuleerd: “Stel vast door middel van [methode(n) voor gegevensverzameling] dat [te toetsen beheersmaatregel] bestaat en werkt.” Tests bij performancetoetsen worden als volgt geformuleerd: “Stel vast door middel van [methode(n) voor gegevensverzameling] in hoeverre [norm].” De betrouwbaarheid van de audit wordt verhoogd door zoveel mogelijk gebruik te maken van triangulatie: het combineren van verschillende onderzoeksmethoden, bronnen en/of onderzoekers bij het beoordelen van een beheersmaatregel. Triangulatie zorgt ervoor dat bevindingen worden bevestigd vanuit meerdere invalshoeken, wat de kans op een vertekend beeld verkleint. Tijdens deze stap wordt ook een bronnenmatrix opgesteld. Een bronnenmatrix geeft in één overzicht weer welke bronnen worden gebruikt om iedere beheersmaatregel te testen. Hieruit blijkt dus ook gelijk of triangulatie is toegepast. Bronnenmatrix Het testplan wordt doorgaans in een kolom naast het referentiemodel opgenomen. Tijdens het veldwerk worden hieraan de testresultaten en conclusies toegevoegd. Testplan AI kan je helpen bij het opstellen van het testplan. Ferocia heeft een AI-agent ontwikkeld die, op basis van het referentiemodel, automatisch een eerste opzet van het testplan genereert. Stap 7. Opstellen auditplanning De auditplanning maakt concreet welke activiteiten in welke volgorde plaatsvinden, hoe lang ze duren (doorlooptijd in weken) en hoeveel tijd het auditteam eraan besteedt (bewerkingstijd in uren). Dit overzicht helpt om realistische verwachtingen te scheppen, de werkdruk te verdelen en de voortgang te monitoren. Voorbeeld auditplanning Ook wordt een urenplanning per auditor opgesteld. Deze planning laat zien hoeveel werkuren iedere auditor aan de afzonderlijke auditactiviteiten besteedt. Het totaal aantal uren in deze individuele urenplanningen moet altijd exact overeenkomen met het totaal aantal uren in de auditplanning. Voorbeeld urenplanning per auditor Stap 8. Samenstellen auditontwerp In deze laatste stap worden de resultaten van alle voorgaande fasen samengevoegd tot één integraal document: het auditontwerp. Het auditontwerp bestaat uit: Aanleiding en kennisbehoefte Auditobject Problematiek Krachtenveld Kennisbehoefte Scope en afbakening Auditdoelstelling Auditplanning Bijlage: Referentiemodel en testplan Let op! Stem het auditontwerp altijd af met de opdrachtgever. Pas na akkoord kan het veldwerk van start gaan. Fase 2: Veldwerk In de tweede fase wordt het testplan uitgevoerd. Dit houdt in dat documentanalyses en steekproeven van registraties worden uitgevoerd, en dat de geplande observaties, interviews en enquêtes plaatsvinden. Stap 1. Verzamelen van gegevens De verzamelde gegevens/data worden vastgelegd in een datamatrix. Deze matrix is gebaseerd op de bronnenmatrix. Waar in de bronnenmatrix kruisjes aangeven welke bronnen per beheersmaatregel worden geraadpleegd, bevat de datamatrix per bron de verzamelde gegevens die als basis dienen voor de analyse. Datamatrix Stap 2. Analyseren van gegevens Om de verzamelde gegevens te kunnen analyseren, worden ze geclassificeerd volgens een scoresysteem. Veelal wordt hiervoor een vierpuntsschaal gehanteerd: · (--) De beheersmaatregel bestaat niet · (-) De beheersmaatregel werkt niet altijd · (+) De beheersmaatregel werkt vrijwel altijd · (++) De beheersmaatregel werkt altijd Datamatrix met scores Het is aan te raden om deze scores samen met een collega-auditor vast te stellen. Iedere auditor beoordeelt eerst zelfstandig de beheersmaatregelen, waarna de verschillen in scores gezamenlijk worden besproken. Op deze manier wordt consensus bereikt en de objectiviteit vergroot. Op basis van de modus (meest voorkomende waarde) of mediaan (middelste waarde) wordt vervolgens het testresultaat per beheersmaatregel bepaald. Soms is dit niet goed mogelijk, omdat de scores van de verschillende bronnen te veel van elkaar afwijken. In dat geval is uitbreiding noodzakelijk. Indien dit niet mogelijk is, is het beter om niet te oordelen. Eventueel kan er nog een wegingsfactor toegepast worden, als men bijvoorbeeld van mening is dat het antwoord van de directeur zwaarder of juist minder zwaar weegt dan het antwoord van de teamleider. Datamatrix met testresultaat Let op! Het samenvoegen (oprollen) van de testresultaten per beheersmaatregel tot een of meer conclusies is aan het professionele oordeel van de auditor. De datamatrix vormt de brug tussen de test enerzijds en het testresultaat anderzijds in het testplan. Het is niet alleen een praktisch hulpmiddel om objectief te bepalen of een beheersmaatregel bestaat en werkt, maar ook een krachtig communicatiemiddel richting de opdrachtgever. Met de datamatrix kan de auditor helder onderbouwen waar bevindingen op zijn gebaseerd. Hierdoor wordt de auditrapportage volledig reproduceerbaar en ontstaat er automatisch een duidelijke audittrail. Testplan en datamatrix Fase 3: Rapportage In de derde fase staat de rapportage centraal. Deze fase bestaat uit drie hoofdstappen: het opstellen en delen van het conceptrapport, het faciliteren van een workshop om oorzaken en verbeteracties vast te stellen, en het opstellen en delen van het definitieve rapport. Aansluitend volgt de monitoring van de afgesproken verbeteracties. Stap 1. Opstellen conceptrapport Het conceptrapport bevat: Aanleiding en kennisbehoefte Scope en afbakening Auditdoelstelling Conclusies Bijlage 1: Referentiemodel Bijlage 2: Nota van bevindingen De eerste drie onderdelen en het referentiemodel kunnen grotendeels ongewijzigd uit het auditontwerp worden overgenomen. De conclusies worden gebaseerd op de testresultaten. Daarnaast wordt een nota van bevindingen opgesteld volgens de SPROA-methodiek: een gestructureerd analysekader waarmee problemen helder worden beschreven en de basis wordt gelegd voor structurele oplossingen. In het conceptrapport worden per niet-werkende beheersmaatregel de eerste drie onderdelen van SPROA opgenomen: Situatie (S): Feitelijke bevindingen van de auditor zoals deze blijken uit de datamatrix en zijn vastgelegd in de testresultaten. Probleem (P): De constatering of er daadwerkelijk sprake is van een probleem ten aanzien van de beheersing (systeemtoets) of doelrealisatie (performancetoets), bedoeld om urgentie te creëren bij de opdrachtgever. Risico (R): De mogelijke gevolgen als het probleem zich voordoet (overeenkomstig het risico in het referentiemodel). De O (Oorzaak) en A (Actie) volgen pas in het definitieve rapport. Voorbeeld nota van bevindingen (SPR) Het conceptrapport wordt gedeeld binnen de vooraf afgesproken kring, in ieder geval met de opdrachtgever. Stap 2. Organiseren workshop In de tweede stap organiseert de auditor een workshop met betrokken managers en medewerkers uit de eerste lijn. Tijdens deze sessie worden: de achterliggende oorzaken van ineffectieve beheersmaatregelen onderzocht; concrete, SMART-geformuleerde verbeteracties opgesteld (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden); en voor elke actie een verantwoordelijke eigenaar en deadline vastgesteld. Door de verantwoordelijkheid voor de analyse en oplossingsvorming bij de eerste lijn zelf te beleggen, ontstaat meer draagvlak en eigenaarschap voor de uitvoering van de verbetermaatregelen. Stap 3. Opstellen definitief rapport In de derde stap wordt het conceptrapport aangevuld met de resultaten uit de workshop. Hiermee wordt de nota van bevindingen compleet gemaakt volgens de SPROA-methodiek, door de laatste twee onderdelen toe te voegen: Oorzaak (O): De achterliggende redenen van het probleem, zoals vastgesteld tijdens de workshop. Door de oorzaken weg te nemen, wordt een structurele oplossing mogelijk. Actie (A): De overeengekomen SMART-geformuleerde verbeteracties, inclusief de verantwoordelijke eigenaar en de afgesproken deadline. Het definitieve rapport wordt gedeeld binnen de vooraf afgesproken kring, met de opdrachtgever en andere relevante stakeholders, zodat de verbeteracties formeel zijn vastgelegd en de uitvoering kan starten. Voorbeeld nota van bevindingen (SPROA) Stap 4. Monitoring Na afronding van het definitieve rapport start de monitoringsfase. Het doel van monitoring is vaststellen of de overeengekomen verbeteracties daadwerkelijk zijn uitgevoerd en of de beoogde effecten zijn bereikt. Het gaat hierbij dus niet om het meten van inspanningen, maar om het beoordelen van effectiviteit: zijn de beheersmaatregelen nu wel in staat om het risico te mitigeren? De eerste lijn is primair verantwoordelijk voor deze monitoring. Zij leggen periodiek vast welke verbeteracties zijn afgerond en tonen aan of de beheersmaatregelen naar verwachting blijvend zullen werken. Dit noemen we ook wel first line monitoring. Indien uit de monitoring blijkt dat een maatregel nog steeds ineffectief is, wordt direct een nieuwe oorzaakanalyse uitgevoerd en worden aanvullende verbeteracties geformuleerd. De tweede lijn kan de voortgang steekproefsgewijs toetsen. De rol van de auditor (derde lijn) is het beoordelen van de kwaliteit van de eerste- en tweedelijnsmonitoring. Zo wordt gewaarborgd dat het risicobeheer structureel op orde blijft en iedere lijn haar eigen verantwoordelijkheid behoudt. Conclusie Auditmethodiek 2.0 biedt auditors een gestructureerde, praktijkgerichte aanpak waarmee audits niet alleen voldoen aan de hoogste kwaliteitseisen, maar ook aantoonbaar bijdragen aan doelrealisatie, effectieve sturing en robuuste risicobeheersing. Door de audit op te bouwen in drie fasen: voorbereiding, veldwerk en rapportage – en elke stap te ondersteunen met concrete werkwijzen, AI-tools en herkenbaar taalgebruik, wordt de kans vergroot dat de opdrachtgever de uitkomsten herkent, erkent en benut. Een belangrijk fundament hierbij is het referentiemodel, dat in co-creatie met de eerste lijn wordt opgesteld. Dit zorgt voor een gemeenschappelijk begrippenkader, verhoogt de objectiviteit en beperkt discussies over bevindingen, omdat vooraf overeenstemming is bereikt over de normen waaraan wordt getoetst. De inzet van de SPROA-methodiek in de rapportagefase en het faciliteren van workshops met de eerste lijn vergroten het draagvlak en leiden tot structurele verbeteringen. Door de monitoring bij de eerste lijn te beleggen en internal audit een toetsende rol te geven, verschuift de focus van inspanningscontrole naar effectmeting. Zo blijft het risicobeheer structureel geborgd, terwijl internal audit haar onafhankelijke rol behoudt en maximaal meerwaarde levert. Kortom: auditors die kiezen voor Auditmethodiek 2.0 zetten een belangrijke stap naar relevantere en impactvollere audits. Bronnen Bos, P. W., Korte, R. W., & Otten, J. (2017). Management control auditing: bijdragen aan doelrealisatie en verbetering . Auditing.nl . Driessen, A., & Molenkamp, A. (2012). Internal auditing: een managementkundige benadering . Vakmedianet. Hartog, P.A, Molenkamp A. & Otten J.H.M. (1992). Kwaliteit van administratieve dienstverlening: managen is integreren . Kluwer. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Veel risicobeleid faalt in de praktijk. Ontdek hoe je risicomanagement laat leven in je organisatie met 3 concrete pijlers voor duurzaam succes. Alle blogs Risicomanagement Waarom risicomanagement vaak niet werkt Veel organisaties hebben het op papier goed voor elkaar. Er ligt een risicomanagementbeleid, er zijn risicomatrixen, control frameworks en procedures die tot in detail zijn beschreven. Soms zelfs met keurige versies en goedgekeurd door de directie. Maar als je goed kijkt, doemt een ongemakkelijke vraag op: wordt dat beleid in de praktijk ook echt nageleefd? Worden risico’s tijdig herkend, geanalyseerd en beheerst? Of is het hele proces verworden tot een papieren tijger die in de kast verdwijnt tot de volgende risicosessie? Steeds meer organisaties erkennen dat effectieve risicobeheersing geen eenmalige inspanning is. Het werkt alleen als het een integraal onderdeel van de bedrijfsstrategie en -cultuur wordt. Niet als jaarlijkse verplichte ronde voor het jaarverslag, maar als een continu proces dat zichtbaar is in het dagelijks handelen van medewerkers.En vooral niet alleen in spreadsheets, maar merkbaar in het gedrag van mensen. De grootste valkuil: denken dat je ‘het geregeld hebt’ Een mooi en volledig risicodossier is geen garantie voor een weerbare organisatie. Het kan zelfs een vals gevoel van veiligheid geven. Juist in de dagelijkse praktijk ontstaat het verschil tussen formele risicobeheersing en daadwerkelijke weerbaarheid. Dat verschil zit vaak in ogenschijnlijk kleine dingen: Timing van de risicoanalyse Worden risico’s besproken bij de start van een project, of pas als de eerste problemen zich aandienen? Opvolging van afwijkingen Worden afwijkingen structureel opgepakt, of verdwijnen ze in de drukte van de dagelijkse operatie? Eigenaarschap Is risicobewustzijn ingebed in de hele organisatie, of wordt het gezien als “iets van de riskmanager”? We leven in een VUCA-wereld – vol Volatility, Uncertainty, Complexity en Ambiguity . In zo’n omgeving is risicomanagement niet alleen een methodiek maar een vaardigheid. De kernvraag wordt dan: Hoe zorg je dat risicobeheersing echt leeft in je organisatie? Drie pijlers voor duurzaam risicomanagement Een robuust risicomanagementsysteem is geen verzameling documenten, maar een set van werkende principes die gedragen worden door de hele organisatie. Drie pijlers zijn daarbij essentieel. 1. Van compliance naar cultuur Veel risicoprogramma’s stranden omdat ze worden ingericht als een compliance-oefening. Controles afvinken, rapportages maken en klaar. Dat is niet genoeg. Echte weerbaarheid ontstaat pas als er bewustwording en gedragsverandering plaatsvindt. Stel jezelf en je team vragen als: Waarom is dit risico belangrijk voor ons succes? Wat gebeurt er als we niets doen? Wat kan ik persoonlijk doen om dit risico te beperken? Door die vragen centraal te stellen, verschuift risicomanagement van een checklist naar een gedeelde verantwoordelijkheid. Medewerkers begrijpen dan niet alleen wat ze moeten doen, maar ook waarom . Praktisch voorbeeld: Een productielocatie met strakke veiligheidsprocedures merkte dat incidenten bleven voorkomen. Na onderzoek bleek dat medewerkers de regels wel kenden, maar ze als omslachtig ervaarden. Door samen te kijken naar werkbare aanpassingen en de achterliggende risico’s uit te leggen, nam de naleving toe en daalde het aantal incidenten. 2. Integreer risico’s in besluitvorming Risicomanagement werkt het best als het geen losstaand proces is. Het hoort in de haarvaten van de besluitvorming te zitten. Dat betekent: niet één keer per jaar een risicoworkshop, maar bij elke vergadering, elk project en elke evaluatie expliciet de vraag stellen: “Wat zijn de risico’s?” en “Hoe beheersen we die?” Dit vraagt ook om toegankelijke en actuele informatie. Risicoregisters moeten niet alleen compleet zijn, maar ook in een vorm beschikbaar die snel te gebruiken is bij beslissingen. Praktisch voorbeeld: Een retailorganisatie nam bij elke productintroductie standaard een marketing- en kostenanalyse door. Sinds kort voegen ze een “risicoparagraaf” toe waarin potentiële leveringsproblemen, reputatierisico’s en juridische vraagstukken direct worden meegenomen. Dit voorkomt verrassingen en versnelt de besluitvorming. 3. Maak risico’s bespreekbaar Risico’s identificeren is stap één. Ze durven benoemen is stap twee. In veel organisaties bestaat terughoudendheid om afwijkingen, twijfels of zorgen te delen. Soms uit angst voor gezichtsverlies, soms omdat “het toch niets uitmaakt”. Een effectieve risicocultuur vraagt om psychologische veiligheid: het gevoel dat je vrijuit kunt spreken zonder negatieve consequenties. Faciliteer open gesprekken, bijvoorbeeld via risk walks waarbij teams gezamenlijk operationele processen bekijken. Waardeer signalen van afwijkingen, ook als ze klein zijn. Beloon het melden van risico’s, in plaats van alleen het voorkomen van incidenten. Praktisch voorbeeld: Een ziekenhuisteam introduceerde een maandelijks “veiligheidsoverleg” waarin medewerkers incidenten en bijna-incidenten konden delen. Door deze openheid nam het aantal gemelde risico’s toe, waardoor preventieve maatregelen eerder konden worden genomen. Risicomanagement is mensenwerk Enterprise Risk Management (ERM), modellen en IT-systemen zijn belangrijke hulpmiddelen. Maar de kern van effectief risicobeheer blijft altijd: mensen . Het zijn de medewerkers die: risico’s signaleren; risico’s durven bespreken en maatregelen daadwerkelijk uitvoeren. Daarom is investeren in vaardigheden, bewustzijn en cultuur minstens zo belangrijk als investeren in systemen. Een organisatie met een beperkte toolset maar een hoog risicobewustzijn is vaak weerbaarder dan een organisatie met uitgebreide tooling en een lage betrokkenheid. Hoe krijg je dat voor elkaar? Begin met een goed gesprek Vraag in teams: “Wat kan er misgaan?” en “Wat doen we als dat gebeurt?” Dit opent de deur naar gedeeld eigenaarschap. Maak het concreet Gebruik voorbeelden uit de eigen praktijk. Theorie blijft pas hangen als mensen het herkennen in hun eigen werk. Investeer in training en begeleiding Richt je niet alleen op procedures, maar ook op besluitvormingsvaardigheden, communicatie en samenwerking. Vier successen Benoem en waardeer situaties waarin risico’s tijdig zijn herkend en aangepakt. Dat versterkt gewenst gedrag. De weg naar een veerkrachtige organisatie Organisaties die risicomanagement laten werken, hebben een paar dingen gemeen: Risicobewustzijn is zichtbaar in alle lagen Van directie tot werkvloer, iedereen ziet het belang en kent zijn rol. Besluitvorming en risicobeheer zijn onlosmakelijk verbonden Geen strategische keuze zonder risicobeoordeling. Openheid is de norm Risico’s benoemen wordt gezien als professionaliteit, niet als kritiek. Het proces is continu Risicomanagement leeft dagelijks, niet alleen bij jaarafsluiting of audits. Het resultaat? Een organisatie die sneller herstelt van tegenslagen, minder verrassingen kent en beter inspeelt op veranderingen in de omgeving. Oftewel: een organisatie die in control is. Tot slot Wil je jouw risicomanagementsysteem optimaliseren? Begin dan niet met een nieuw sjabloon of nog een control framework. Start met het gesprek. Vraag, luister, betrek en creëer een cultuur waarin iedereen zich verantwoordelijk voelt voor het herkennen en beheersen van risico’s. Dat is de eerste, en misschien wel belangrijkste, stap naar een veerkrachtige organisatie die klaar is voor de toekomst. Hoe Ferocia helpt organisaties met risicomanagement Ferocia ondersteunt organisaties op een manier die past bij hun ambitie, volwassenheidsniveau en context. Geen standaardmethodes, maar maatwerk. Praktisch en strategisch. Altijd gericht op verankering in de praktijk. Onze dienstverlening bestaat uit vier pijlers: 1. Opleidingen en trainingen We leiden professionals op in risicomanagement, control en compliance. Praktijkgericht, actueel en afgestemd op de uitdagingen van vandaag. Denk aan opleidingen als Cursus Risicomanagement of risicomanagement methodiek . 2. Interim ondersteuning Tijdelijk capaciteit nodig? Onze ervaren risk-professionals helpen bij implementatie, monitoring of verandermanagement. Ze zijn snel inzetbaar en gewend om te schakelen tussen strategie en uitvoering. 3. Consultancy en implementatie Van het opzetten van een risicomanagement framework tot het begeleiden van RCSA’s of het inrichten van de drie lijnen: onze consultants helpen je om risicomanagement praktisch en strategisch neer te zetten. 4. Werving en selectie We helpen je bij het vinden van de juiste mensen op het gebied van risk, control en audit. Mensen die niet alleen de kennis hebben, maar ook de vaardigheden om risico’s bespreekbaar te maken, draagvlak te creëren en resultaten te boeken. Onze kracht? We combineren inhoudelijke expertise met een scherp oog voor cultuur, gedrag en verandervraagstukken. Want uiteindelijk draait het niet alleen om het proces maar om de mensen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Gratis event Behavioral Auditing 2.0. Leer hoe u gedrag en cultuur kunt auditen. Compact, efficiënt en ondersteund door AI. Fysiek of online te volgen. Event Behavioral auditing 2.0 Duur Studiekosten PE-punten 1 uur Gratis 1 Inschrijven Event Behavioral auditing 2.0 Gedrag en cultuur zijn cruciaal voor effectieve beheersing, maar blijven in audits vaak abstract en lastig toetsbaar. Met Behavioral Auditing 2.0 introduceren Ferocia en Jan Otten een doorontwikkelde aanpak voor het uitvoeren van gedragsaudits die wél houvast biedt in de praktijk. Behavioral Auditing 2.0 geeft verdiepend inzicht in de mentale modellen, overtuigingen en drijfveren die gedrag binnen organisaties sturen. De kern van de methode is behouden, maar de werkwijze is compacter, efficiënter en ondersteund door AI. Hierdoor wordt gedragsauditing beter uitvoerbaar, zonder concessies te doen aan kwaliteit, diepgang of privacy. De aanpak helpt organisaties bovendien om op een praktische en onderbouwde manier invulling te geven aan de IIA Topical Requirement for Organizational Behavior, met een duidelijke koppeling tussen cultuur en het bestaande controlframework. Leerdoelen Na afloop van dit event: begrijpt u de uitgangspunten en opbouw van Behavioral Auditing 2.0; heeft u inzicht in hoe AI kan worden ingezet binnen gedragsaudits; kunt u gedrag en cultuur concreter verbinden aan beheersing en auditkaders; en weet u hoe deze aanpak kan worden toegepast binnen de eigen auditpraktijk. Meld je nu aan voor het gratis event op 25 maart a.s. van 8:00 tot 9:00 uur , zowel fysiek als digitaal te volgen. Het event op 20 maart is al volledig volgeboekt. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als auditor, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of accountant en van jou wordt verwacht dat je gedrag en cultuur onderzoekt. De tijdsinvestering bedraagt 1 uur. Interactieve bijeenkomst die zowel fysiek als digitaal bij te wonen is. Na afloop van dit event ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 1 PE-punt. Je kunt dit event kosteloos bijwonen. Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven