Zoekresultaten

Wat betekent NIS2 voor jouw organisatie? Ontdek hoe je cybersecurity en governance nu al op orde brengt met praktische stappen en tips. Alle blogs IT-beheersing NIS2 Stel je voor: je werkt bij een ziekenhuis, een drinkwaterbedrijf of een regionale vervoerder. Het is maandagochtend, systemen vallen uit, bestanden zijn versleuteld, meldingen stromen binnen. Patiënten kunnen niet ingepland worden, pompen zijn niet op afstand aan te sturen, reisinformatie klopt niet meer. Binnen een uur gaat het niet meer alleen over “IT”, maar over continuïteit, veiligheid en over reputatie. In dat spanningsveld is de NIS2-richtlijn ontstaan. NIS2 moet ervoor zorgen dat organisaties in kritieke sectoren hun cybersecurity en digitale weerbaarheid structureel op orde brengen, mét duidelijke verantwoordelijkheden voor bestuur en management. In deze blog nemen we NIS2 onder de loep. Wat is het, wie valt eronder, wat vraagt het concreet en vooral: wat betekent dit voor internal audit, risk management en control? Wat is NIS2 en waarom nu? NIS2 staat voor de Network and Information Security Directive 2 : een Europese richtlijn die als doel heeft een hoog, gemeenschappelijk niveau van cybersecurity in alle lidstaten af te dwingen. Het is de opvolger van de eerste NIS-richtlijn en breidt de scope, verplichtingen en handhaving flink uit. De kern is: lidstaten en organisaties moeten hun netwerk- en informatiesystemen zo inrichten dat essentiële diensten, denk aan energie, transport, zorg, financiën en digitale infrastructuur ook bij cyberincidenten kunnen blijven draaien. Belangrijke data: De NIS2-richtlijn is op EU-niveau in werking getreden op 17 oktober 2024 . Lidstaten moesten NIS2 uiterlijk op 17 oktober 2024 omzetten in nationale wetgeving; in de praktijk zijn veel landen te laat, waardoor de Europese Commissie in 2024 en 2025 inbreukprocedures is gestart. In Nederland gebeurt de implementatie via de Cyberbeveiligingswet (Cbw) . Die wordt, zoals het er nu uitziet in de tweede helft van 2026 van kracht. Dat de nationale wet in Nederland later komt, betekent niet dat je achterover kunt leunen. De richtlijn is er, de verwachtingen van toezichthouders groeien en de cyberdreiging neemt aantoonbaar toe. Wie valt er onder NIS2? NIS2 richt zich op organisaties die essentiële of belangrijke diensten leveren aan de economie en de samenleving. De richtlijn onderscheidt: Essentiële entiteiten , zoals energie- en netwerkbeheerders, grote zorginstellingen, banken en aanbieders van digitale infrastructuur. Belangrijke entiteiten , zoals bepaalde industriële producenten, logistieke bedrijven, digitale dienstverleners, post- en koeriersdiensten en delen van de maakindustrie. In grote lijnen geldt: NIS2 is gericht op middelgrote en grote organisaties (vanaf 50 medewerkers of een jaaromzet vanaf 10 miljoen euro), in sectoren die als kritisch zijn aangewezen. Micro- en kleine ondernemingen vallen meestal buiten scope, behalve in uitzonderlijke gevallen, bijvoorbeeld bepaalde trust- of digitale dienstverleners. Veel organisaties zijn nog druk bezig om überhaupt te bepalen: “Vallen wij eronder?” Juist hier ligt een rol voor riskmanagers en internal auditors: sector, omvang, rol in de keten en afhankelijkheden scherp krijgen en op basis daarvan bepalen of NIS2 (direct of indirect) relevant is. De kernverplichtingen van NIS2 in gewone taal NIS2 vertaalt zich voor organisaties grofweg in vier grote “blokjes verplichtingen”: 1. Risicomanagement Organisaties moeten systematisch cyberrisico’s identificeren, beoordelen en beheersen . Dat gaat veel verder dan een eenmalige risicoanalyse. Denk aan beleid, processen, technische maatregelen, monitoring, logging, vulnerability management, encryptie, identity & access management en security in de supply chain. 2. Corporate accountability Bestuur en hoger management kunnen zich niet langer verschuilen achter “IT regelt dit wel”. Zij moeten de cybersecuritymaatregelen goedkeuren, toezien op de uitvoering en blijven eindverantwoordelijk . Lidstaten moeten bovendien zorgen dat bestuurders bij ernstige nalatigheid persoonlijk aansprakelijk kunnen worden gesteld; in uiterste gevallen kunnen functies tijdelijk worden geschorst bij essentiële entiteiten. 3. Meldplicht en rapportage Bij ernstige incidenten geldt een strikte meldplicht richting de bevoegde autoriteit (en vaak ook Computer Security Incident Response Team: CSIRT), inclusief een eerste melding binnen 24 uur, een gedetailleerdere melding binnen enkele dagen en een eindrapportage na afhandeling. 4. Business continuity en crisismanagement Organisaties moeten aantonen dat ze continuïteit en herstel kunnen waarborgen: back-up- en herstelprocedures, noodscenario’s, crisisplannen, communicatieafspraken met stakeholders, en het oefenen hiervan. Deze verplichtingen worden versterkt met stevige toezicht- en sanctiebevoegdheden . Boetes kunnen in de miljoenen lopen en zijn gekoppeld aan omzet. Voor internal auditors en risicomanagers sluiten deze thema’s aan bij waar ze al mee bezig zijn: risico’s in kaart brengen, beheersmaatregelen beoordelen, incidenten analyseren en bestuurders in positie brengen. NIS2 is geen IT-project maar een governancevraagstuk Een veelgemaakte denkfout is dat NIS2 “iets van IT” is. Natuurlijk gaat het over firewalls, logging, kwetsbaarhedenscans en patchmanagement. Maar de essentie van NIS2 is governance. De richtlijn maakt IT onderdeel van risicomanagement en de besturing van de organisatie. Het gaat om strategische keuzes: welke processen zijn vitaal, welke impact tolereren we, hoe verankeren we cybersecurity in onze planning & control, hoe sturen we op gedrag en cultuur? Dit sluit aan bij de praktijk van operational auditing: de auditor kijkt niet alleen naar individuele controles, maar naar de vraag of de beheersing zo is ingericht dat de organisatie haar doelen waarschijnlijk gaat behalen. Met andere woorden: is de organisatie digitaal weerbaar genoeg om te blijven functioneren in een wereld vol dreiging? De rol van internal audit, risk en control bij NIS2 Voor de drie lijnen (three lines model) creëert NIS2 het volgende speelveld: Eerste lijn (business & IT) : eigenaar van processen, systemen en maatregelen. Zij moeten NIS2 echt implementeren in ontwerp, inrichting en dagelijkse operatie. Tweede lijn (risk, compliance, CISO) : ontwikkelt kaders, monitort, ondersteunt en daagt uit. Derde lijn (internal audit) : geeft een onafhankelijk oordeel over het geheel: governance, risico’s, controles, rapportages én cultuur. Voor internal auditors en risicomanagers betekent dit: 1. Scope en impact scherp krijgen Wie in jouw organisatie valt onder NIS2? Welke entiteiten, processen, ketens en systemen zijn kritisch? Hoe verhouden NIS2-eisen zich tot bestaande kaders als ISO 27001, COBIT, DORA of sectorale regelgeving? 2. Gap-analyse en roadmap Een gestructureerde vergelijking tussen de huidige situatie en NIS2-verplichtingen: beleid, risk assessments, incidentprocessen, monitoring, contracten met leveranciers, governance, rapportages en training van bestuur en medewerkers. Daaruit volgt een realistische roadmap met prioriteiten, afhankelijkheden en mijlpalen. 3. Opzet van een meerjarig audit- en toetsprogramma NIS2 is geen eenmalige compliance oefening. Het vraagt om een meerjarige cyclus van onderzoeken, toetsen en verbeteren . Internal audit kan bijvoorbeeld jaarlijks de governance en incidentmanagement beoordelen, periodiek deep dives doen op kritieke ketens en specifieke thema-audits uitvoeren op topics als third-party risk of OT-security. Risk Management kan daarbij de risicokaders actualiseren, de NIS2-risicoanalyse coördineren, voortgang en effectiviteit van beheersmaatregelen monitoren, en de eerste lijn ondersteunen bij het doorvoeren van verbeteringen en het verhogen van risicobewustzijn. 4. Aandacht voor soft controls Net als bij andere governance- en risicothema’s geldt ook hier: gedrag bepaalt of maatregelen écht werken. Worden phishingmails gemeld? Durft een medewerker een datalek te escaleren? Neemt het management cyberrisico’s serieus, of blijft het een IT-agenda-item onderaan? In de opleidingen en blogs van Ferocia komt deze balans tussen hard en soft controls nadrukkelijk terug. Auditors die naast de formele beheersmaatregelen ook cultuur en gedrag meenemen, leveren aanbevelingen op die verder gaan dan het “afvinken” van NIS2-artikelen. Specifiek voor Nederland: NIS2 zonder wet? Een veelgehoorde vraag in de Nederlandse praktijk: “Moeten we nu al iets met NIS2? De wet is er toch nog niet?” Formeel klopt dat: de Cyberbeveiligingswet , de Nederlandse implementatie van NIS2 wordt pas in 2026 verwacht. Tegelijkertijd benadrukken overheid, toezichthouders en adviespartijen: wacht niet tot het laatste moment. De inhoudelijke eisen veranderen niet wezenlijk meer, de dreiging is er al en je hebt tijd nodig om volwassen processen op te bouwen. Voor internal audit en risk biedt dit juist een kans: Je kunt proactief een nulmeting doen. Je hebt ruimte om maatregelen goed te laten aansluiten op de organisatie , in plaats van ad hoc te reageren op wetgeving. Je kunt NIS2 integreren in bestaande trajecten rond DORA, ISO 27001, privacy en business continuity, zodat er één samenhangend weerbaarheidsverhaal ontstaat. Veelvoorkomende valkuilen bij NIS2 In gesprekken met auditors, risicomanagers en controllers komen steeds dezelfde valkuilen naar voren: tijdgebrek, snel veranderende regelgeving en complexe IT-omgevingen. Een eerste valkuil is dat NIS2 wordt behandeld als een los compliance project . Er wordt beleid geschreven, procedures bij elkaar gezocht en een incidentformulier gemaakt, maar de relatie met strategische doelen, risk appetite en de planning- & controlcyclus ontbreekt. Een tweede valkuil: NIS2 verdwijnt in een technisch jargon dat voor bestuur en business niet te volgen is. Dan wordt het toch weer een IT-verhaal, terwijl de richtlijn juist inzet op bestuurlijke verantwoordelijkheid, training van management en brede verankering in de organisatie. Een derde valkuil is dat organisaties zich blindstaren op het moment dat de wet in werking treedt. Terwijl NIS2 in de kern gaat over structurele weerbaarheid : de kwaliteit van je processen, de volwassenheid van je riskmanagement en het lerend vermogen van je organisatie. Dat bouw je niet in een paar maanden op. Hoe kun je vandaag al beginnen? Of je nu internal auditor, riskmanager, CISO of controller bent: je hoeft niet te wachten op een Kamerdebat of op de wet. Een paar concrete eerste stappen: Begin met een inventarisatie op hoofdlijnen : in welke NIS2-sectoren ben je actief, wat is je omvang, welke rol speel je in de keten? Gebruik daarbij publiek beschikbare overzichten van sectoren en entiteitstypen als grove check. Breng vervolgens in kaart welke elementen je al hebt: riskmanagementprocessen, ISO 27001, BCM-plannen, incidentprocessen, awarenessprogramma’s. Vaak blijkt dat er veel ís, maar dat samenhang, eigenaarschap en rapportage ontbreken. En tenslotte: zet NIS2 op de agenda van bestuur en auditcommissie. Niet als angstverhaal over boetes, maar als strategisch gesprek over digitale continuïteit, reputatie en vertrouwen. Daar ligt precies de meerwaarde van de internal auditor en risicomanager: scherpe vragen stellen, verbanden leggen en het gesprek verder brengen dan “hebben we dit afgevinkt?”. Tot slot NIS2 is een stevige zet van Europa om de digitale ruggengraat van economie en samenleving weerbaar te maken, in een tijd waarin cyberaanvallen, geopolitieke spanningen en ketenafhankelijkheden elkaar versterken. Voor organisaties in kritieke sectoren én voor professionals in audit, risk, control en compliance is NIS2 daarmee vooral een uitnodiging: om cybersecurity niet meer als bijzaak of IT-hobby te zien, maar als volwaardig onderdeel van governance, risicomanagement en strategie. Juist hier ondersteunt Ferocia organisaties, via opleidingen en training, interim en consultancy en werving & selectie zodat je niet alleen “NIS2-compliant” bent, maar vooral: aantoonbaar digitaal weerbaar, nu én in de toekomst. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe soft controls gedrag en cultuur in organisaties beïnvloeden. Volg de training Soft Controls van Ferocia en pas ze direct toe in jouw audits. Alle blogs Internal auditing Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde controles zoals procedures, rapportages en bevoegdheden nog steeds belangrijk. Maar wie echt wil begrijpen hoe een organisatie functioneert, moet verder durven kijken. Naar gedrag, naar cultuur, naar wat mensen drijft en naar de ongeschreven regels. Oftewel: naar soft controls. Wat zijn soft controls? Soft controls zijn de niet-tastbare beheersmaatregelen die het gedrag van mensen in een organisatie beïnvloeden. Denk aan integriteit, voorbeeldgedrag, betrokkenheid, vertrouwen, loyaliteit en aanspreekbaarheid. Waar hard controls zijn vastgelegd in beleid en processen, zitten soft controls in de hoofden en harten van mensen. Ze bepalen in hoge mate of die regels in de praktijk ook echt worden nageleefd. Steeds meer internal auditfuncties voegen daarom cultuur- en gedragsaspecten toe aan hun werk. Onderwerpen als sociale veiligheid, psychologische veiligheid en vertrouwen verschijnen steeds vaker op de auditkalender. En terecht, want als je als auditor, controller of risk officer echt waarde wilt toevoegen, kun je soft controls niet negeren. Maar hoe onderzoek je soft controls op een gedegen manier? Welke modellen en technieken gebruik je? En hoe zorg je ervoor dat je bevindingen overtuigend zijn en leiden tot actie? Wat leer je tijdens de training soft controls? De training soft controls van Ferocia geeft je in korte tijd (twee dagdelen) de juiste kennis en vaardigheden om met soft controls aan de slag te gaan in jouw eigen praktijk. Je leert: wat cultuur en gedrag zijn en hoe ze zich tot elkaar verhouden; waarom soft controls onmisbaar zijn voor effectieve beheersing; hoe je met modellen onderzoek doet naar cultuur en gedrag; hoe je gerichte vragen stelt om soft controls in kaart te brengen; en welke interventies je kunt voorstellen om soft controls in organisaties te verbeteren. Het programma bestaat uit een interactieve lesdag van zes uur en een innovatieve e-learning. De e-learning ‘Cultuur en Gedrag’ volg je waar en wanneer je maar wilt. Tijdens de lesdag oefen je actief met modellen, cases en praktijkopdrachten. Je past het geleerde direct toe op je eigen situatie, stelt een persoonlijk actieplan op en ontvangt feedback van je docent en van andere deelnemers. Geen lange theorieën of abstracte concepten, maar praktisch toepasbare inzichten, afgestemd op de realiteit van jouw werk. Wat kan ik nadat ik de training heb afgerond? Na afronding van deze training ben jij in staat om: Soft controls te herkennen en te benoemen in audits. Cultuur- en gedragsaspecten doelgericht te onderzoeken. Inzichten uit modellen te vertalen naar jouw praktijk. Interventies aan te reiken die het functioneren van soft controls verbeteren. Je ontvangt een certificaat van deelname en (indien van toepassing) 9 PE-punten. Maar belangrijker nog, je beschikt over een solide basis om met vertrouwen soft controls mee te nemen in jouw audits, controles of risicoanalyses. De opgedane kennis levert directe toegevoegde waarde in je dagelijkse werk. Zoals een oud-deelnemer het verwoordde: “De training bood praktische handvatten om soft controls toe te passen binnen audits. De opgedane kennis levert direct toegevoegde waarde in mijn werk.” Voor wie is deze training bedoeld? Deze training is ontwikkeld voor professionals die zich bezighouden met auditing, risicobeheersing of procesbeheersing en die hun vakmanschap willen verdiepen met inzichten over cultuur en gedrag. Herken jij jezelf in één van onderstaande rollen? Operational auditor IT-auditor Financial auditor Accountant Controller Risk officer Compliance officer Medewerker AO/IC Kwaliteitsmedewerker Proceseigenaar Dan is deze training voor jou. Voor deelname is hbo werk- en denkniveau gewenst. Er is géén voorkennis van psychologie of veranderkunde vereist. Juist omdat we het belangrijk vinden dat soft controls niet iets zijn ‘voor de experts’, maar voor elke professional die zich bezighoudt met beheersing en sturing binnen organisaties. De werkvorm: leren door te doen Bij Ferocia geloven we in activerend leren. Dat betekent dat je tijdens deze training niet alleen maar luistert, maar vooral ook zelf aan de slag gaat. De training bestaat uit: E-learning : De module 'Cultuur en Gedrag' volg je zelfstandig, op een moment dat jou uitkomt. De inhoud sluit direct aan bij de thema’s van de lesdag. Lesdag : Tijdens deze dag (fysiek of digitaal) oefen je actief met modellen en technieken. Je werkt aan een eigen case, stelt een persoonlijk actieplan op en ontvangt feedback. Interactieve werkvormen : Je oefent met vraagtechnieken, neemt deel aan rollenspellen en werkt aan praktijkopdrachten. Daarbij werk je zowel individueel als in kleine groepen. Ervaringsuitwisseling : Je leert niet alleen van de docent, maar ook van de ervaringen en perspectieven van andere deelnemers. Dit zorgt voor nieuwe inzichten en inspiratie. De bijeenkomsten vinden plaats in onze mixed classrooms : je kunt dus zelf kiezen of je fysiek aanwezig bent of digitaal aansluit. De docenten: experts met praktijkervaring De training wordt verzorgd door topdocenten met zowel academische bagage als stevige praktijkervaring. Zij begrijpen de uitdagingen van jouw werk en weten complexe concepten begrijpelijk én toepasbaar te maken. Klaar om soft controls in jouw werk te integreren? Wil jij: Soft controls echt begrijpen en toepassen? Cultuur en gedrag meenemen in je audits of risicoanalyses? Praktische tools, modellen en handvatten om direct mee aan de slag te gaan? Sparren met professionals uit andere organisaties? In korte tijd grote stappen zetten? Dan is deze training precies wat je zoekt. Meer informatie over de kosten en startdata, klik hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Agile auditing maakt internal audits sneller en relevanter. Ontdek waarom wendbaarheid essentieel is voor auditors in een snel veranderende wereld. Alle blogs Internal auditing Agile auditing Risico’s veranderen sneller dan ooit. Organisaties worden wendbaarder, kortcyclischer en klantgerichter. En dat heeft directe gevolgen voor de manier waarop je als internal auditor je werk doet. De klassieke auditaanpak; zorgvuldig, diepgaand en vaak maanden onderweg schiet steeds vaker tekort. Niet omdat deze inhoudelijk niet klopt, maar omdat de wereld waarbinnen audits plaatsvinden inmiddels wel is veranderd. Agile auditing is het antwoord op die veranderde context. Wat is agile auditing? Verandering is de enige constante geworden. Organisaties opereren in een dynamische wereld waarin digitale transformaties, maatschappelijke verwachtingen en geopolitieke verschuivingen in hoog tempo op elkaar inwerken. Ook de risico’s waar zij mee te maken krijgen, ontwikkelen zich razendsnel. De klassieke auditaanpak, met vaste draaiboeken, lange voorbereidingstijden en rapporten die pas na maanden verschijnen, past niet meer bij die realiteit. Agile auditing is ontstaan als antwoord op deze veranderende context. Het is geen modieuze hype of cosmetische aanpassing van bestaande auditprocessen. Het is een fundamenteel andere manier van werken en denken. Een aanpak die is geïnspireerd op de principes van agile werken, zoals we die kennen uit softwareontwikkeling en projectmanagement, maar dan toegepast op het auditvak. De kern van agile auditing? Flexibiliteit: De audit volgt niet meer één rigide plan, maar past zich aan op basis van voortschrijdend inzicht. Iteratie: Er wordt gewerkt in korte, herhaalbare cycli met tussentijdse evaluatiemomenten. Samenwerking: Stakeholders worden vanaf de start betrokken en blijven continu aangesloten bij de audit. Transparantie: Bevindingen worden direct gedeeld, zodat verbeteringen sneller kunnen worden doorgevoerd. Waardecreatie: Niet het eindrapport, maar het effect op de organisatie is het ultieme doel. De agile auditor laat zich niet meer uitsluitend leiden door planning & control-cycli, maar anticipeert op urgente vraagstukken, verschuivende prioriteiten en risico’s die zich van de ene op de andere dag kunnen aandienen. Denk aan cyberdreigingen, plotselinge uitval in internationale ketens, reputatierisico’s of maatschappelijke druk rondom ESG-thema’s. Waarom kan agile auditing interessant zijn voor jouw organisatie? Voor veel organisaties voelt ‘agile’ nog als een buzzwoord. Maar wie zich verdiept in de uitgangspunten van agile auditing, ziet al snel dat het precies dat is wat nodig is in de praktijk: sneller schakelen, dichter op de business zitten, beter aansluiten bij de snelheid van besluitvorming. We zetten drie concrete voordelen op een rij: 1. Sneller en relevanter inzicht Traditionele audits duren vaak maanden, van voorbereiding tot rapportage. Tegen de tijd dat de uitkomsten op tafel liggen, is de realiteit alweer veranderd. Agile auditing maakt het mogelijk om sneller te starten en tussentijds waarde toe te voegen. Denk aan korte sprints waarin gericht op één risicogebied wordt ingezoomd. Of aan real-time feedbackloops, waarbij management direct kan handelen op basis van voorlopige bevindingen. 2. Meer betrokkenheid vanuit de business In agile audits wordt de auditee niet pas bij het eindrapport betrokken, maar vanaf dag één. De audit wordt geen verrassing achteraf, maar een gedeeld leerproces. Die co-creatie zorgt niet alleen voor meer draagvlak, maar ook voor scherpere inzichten en snellere opvolging. Audits worden zo niet iets ‘dat je overkomt’, maar iets waar je actief aan bijdraagt. 3. Beter inspelen op snel veranderende risico’s Sommige risico’s, zoals cultuurverandering, technologische disruptie of ketenafhankelijkheid zijn zo dynamisch dat een traditionele auditaanpak niet volstaat. Agile auditing maakt het mogelijk om die thema’s sneller te adresseren, voortgang te monitoren en flexibel bij te sturen. Voor organisaties die werken met scrumteams, zelforganiserende afdelingen of kortcyclische besluitvorming, is agile auditing bovendien een natuurlijke aanvulling. De auditor wordt een gesprekspartner die meebeweegt, in plaats van een controlerende partij die achteraf oordeelt. Onze visie op agile auditing Bij Ferocia zien we agile auditing niet als een tegenhanger van de klassieke audit, maar als een aanvulling. De essentie van ons vak, onafhankelijkheid, objectiviteit en vakmanschap blijft overeind. Wat verandert, is de vorm waarin we waarde leveren. Onze visie rust op vier pijlers: 1. Audit is een continu proces Risico’s stoppen niet zodra de audit is afgerond. Daarom zien wij agile auditing als een doorlopend proces van dialoog, reflectie en bijsturing. Agile auditing ondersteunt dat met kortcyclische momenten van feedback en interactie. 2. De auditor als partner in verandering De tijd dat de auditor uitsluitend ‘de politieagent van de organisatie’ was, ligt achter ons. De auditor van nu is een kritische vriend: onafhankelijk, maar niet afstandelijk. Betrokken, maar niet bevooroordeeld. Een partner die niet alleen risico’s signaleert, maar ook helpt om beweging te creëren. 3. Pragmatisme boven perfectionisme Natuurlijk blijft zorgvuldigheid essentieel. Maar in een agile audit zijn ‘good enough’ en ‘just in time’ ook belangrijk. Je hoeft niet alles 100% uit te zoeken voordat je een voorlopige conclusie deelt. Juist door sneller feedback te geven, kun je als auditor meer waarde toevoegen en eerder impact maken. 4. Leren staat centraal Agile auditing draait om het vergroten van het lerend vermogen van de organisatie. Door samen te reflecteren op risico’s, controles en gedrag, groeit de risicobewustwording. Auditing wordt daarmee een motor van continue verbetering. Hoe kan Ferocia je helpen bij agile auditing? De stap naar agile auditing vraagt om een andere mindset en een andere manier van werken. Bij Ferocia begeleiden we organisaties en auditors bij deze transitie, zowel in de vorm van opleidingen als via interim- en consultancytrajecten. 1. Opleidingen en trainingen Onze opleidingen zijn ontworpen om auditors stap voor stap vertrouwd te maken met de principes en praktijk van agile auditing. In onze trainingen besteden we aandacht aan: Scrum en agile principes toegepast op auditprocessen Stakeholdermanagement in een kortcyclische omgeving Tools en technieken om sneller tot inzichten te komen Soft skills zoals co-creatie, communicatie en iteratief adviseren We werken met realistische praktijkcases en simulaties, zodat deelnemers meteen kunnen oefenen met het toepassen van agile technieken binnen hun eigen context. 2. Interim en consultancy Heb je tijdelijk extra capaciteit nodig of wil je een agile auditproject uitvoeren met ondersteuning van een ervaren auditor? Onze consultants staan klaar. Ze brengen niet alleen vakinhoudelijke expertise mee, maar ook ervaring met agile werken in verschillende sectoren, van overheid en zorg tot finance en industrie. We helpen auditafdelingen om agile werkmethoden te implementeren, auditprocessen te herontwerpen en teams te begeleiden in de praktijk. Daarbij zorgen we altijd voor maatwerk: geen dogmatisch agile, maar precies die vorm die past bij jouw organisatie. Tot slot Agile auditing is geen doel op zich, maar een manier om als auditor relevant te blijven in een wereld die steeds sneller verandert. Het stelt je in staat om als volwaardige sparringpartner op te treden binnen een dynamische omgeving met oog voor snelheid, samenwerking en impact. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Steeds meer organisaties kiezen voor outsourcing van internal audit. Ontdek de voordelen zoals flexibiliteit, nichekennis en hogere auditkwaliteit. Alle blogs Co- en outsourcing Outsourcing auditafdeling Waarom steeds meer organisaties kiezen voor outsourcing van hun internal auditafdeling. In een wereld waarin veranderingen elkaar in razend tempo opvolgen, staat de interne auditfunctie onder druk. Organisaties worstelen met het behouden van capaciteit, het waarborgen van kwaliteit en het bieden van continuïteit. Tegelijkertijd worden compliance-eisen en wet- en regelgeving complexer. Steeds vaker stellen organisaties zichzelf de vraag: moeten we onze internal audit blijven uitvoeren met interne capaciteit, of is het tijd om deze auditafdeling uit te besteden? Outsourcing van internal audit: van noodgreep naar strategische keuze. Outsourcing van de internal auditfunctie wordt allang niet meer alleen ingezet bij personeelstekort. Voor veel organisaties, van multinationals tot publieke instellingen, is het uitbesteden van interne auditdiensten een doordachte, strategische keuze geworden. Door een externe auditpartij in te schakelen, kun je: auditcapaciteit uitbreiden zonder vaste kosten; specialistische kennis binnenhalen op thema’s zoals ESG-audits, cyberrisico’s, en digitale auditoplossingen; compliance-doelen beter borgen; en auditprocessen versnellen en optimaliseren. Wat zijn de voordelen van outsourcing van de auditafdeling? Op basis van gesprekken met Chief Audit Executives en compliance officers komen we steeds dezelfde voordelen tegen bij het uitbesteden van interne auditdiensten: Flexibele inzetbaarheid Geen langdurige werving, maar direct beschikbare expertise bij piekbelasting of specifieke thema-audits. Toegang tot nichekennis Denk aan AI in internal audits of audits gericht op de DORA-wetgeving en Europese richtlijnen. Frisse blik en kwaliteitsimpuls Een externe auditor stelt andere vragen, werkt vanuit andere kaders en brengt scherpere inzichten. Versnelling en efficiency Audit outsourcing helpt je sneller resultaten te boeken en ruimte te creëren voor interne focus op risicobeheersing. Hoe werkt succesvolle samenwerking met een externe auditpartij? Een geslaagde samenwerking met een externe partij vraagt om meer dan alleen het ondertekenen van een contract. De meest succesvolle vormen van internal audit outsourcing kenmerken zich door: Heldere scope en verwachtingsmanagement Formuleer duidelijk welke auditfuncties worden uitbesteed, met welk doel, en hoe de samenwerking eruitziet. Actieve kennisoverdracht Vermijd ‘black box’-audits. Werk samen aan overdracht en borging van kennis in de organisatie. Kiezen van de juiste partner Selecteer een audit outsourcing partner die de taal van governance, risicomanagement en gedrag begrijpt. Wanneer is outsourcing van de auditafdeling geschikt? Uitbesteden is niet altijd de oplossing. Maar bij capaciteitstekort, toenemende complexiteit of veranderende compliance-eisen kan outsourcing een manier zijn om: in control te blijven; auditfuncties toekomstbestendig in te richten; risico’s beheersbaar te houden; en te voldoen aan strengere regelgeving. Het is essentieel om goed af te wegen wanneer internal audit uitbesteden zinvol is. In gereguleerde sectoren is audit outsourcing toegestaan, mits voldaan wordt aan wet- en regelgeving, inclusief vereisten rondom privacy en onafhankelijkheid. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Versterk risicobeheersing binnen jouw organisatie met de opleiding Operational Auditing. Ontdek hoe jij het verschil maakt als auditor en strategisch adviseur. Alle blogs Opleiding operational auditing Lopen onze processen eigenlijk wel beheerst? Gaan we onze doelen wel halen dit jaar? En is onze interne controle robuust genoeg? Zomaar wat vragen die bij veel bestuurders en managers leven. Vragen waarop de operational auditor het antwoord geeft en daarmee van onschatbare waarde is voor iedere organisatie die serieus werk maakt van risicobeheersing, compliance en prestatiesturing. Met de postbacheloropleiding Operational auditing ontwikkel je je tot een volwaardige, onafhankelijke gesprekspartner van het management en lever je een directe bijdrage aan het lerend vermogen van je organisatie. In deze blog lees je alles over de opleiding: wat operational auditing inhoudt, wat je leert, wat je er na afloop mee kunt, voor wie de opleiding is bedoeld en hoe het leertraject is opgebouwd. Wat is operational auditing? Operational auditing is een vorm van intern onderzoek waarbij de auditor beoordeelt in hoeverre risico’s binnen bedrijfsprocessen op een beheersbare manier worden gemanaged. Het draait om het geven van aanvullende zekerheid aan bestuur en management over de kwaliteit van de risicobeheersing, zodat de organisatie haar doelstellingen daadwerkelijk kan realiseren. De operational auditor kijkt breed en procesgericht, niet alleen naar de harde beheersmaatregelen (hard controls), maar ook naar de zachte kant: gedrag, cultuur en samenwerking (soft controls). De blik is niet achteraf controleren, maar juist aan de voorkant beoordelen of de organisatie in staat is zijn doelen te realiseren. Met dit inzicht kan de organisatie nog bijsturen, waardoor operational auditing bijdraagt aan het lerende vermogen van de organisatie. De kernvraag is telkens: in hoeverre is de organisatie in staat haar organisatiedoelen waar te maken, gegeven de huidige risicobeheersing? Operational auditing is daarmee meer dan controleren, het is een vak dat vraagt om scherpe analyses, strategisch inzicht en overtuigende communicatie. Wat leer je tijdens de opleiding operational auditing? De postbacheloropleiding Operational auditing is modulair opgebouwd en kent een logische verdeling tussen theorie en praktijk. Tijdens de opleiding leer je niet alleen het vakmatig uitvoeren van operational audits, maar ook het versterken van je adviesvaardigheden en de impact van je werk vergroten. Module 1: Basisprincipes In de eerste module leer je de fundamenten van het vak. Je krijgt inzicht in: De positionering van operational auditing ten opzichte van andere auditvormen. De structuur en inrichting van een effectieve auditfunctie. Het gebruik van controlmodellen zoals COSO, INK, KAD, Simons en ISO. De toepassing van soft controls in je beoordeling. De relatie tussen integraal risicomanagement en auditing. Theorie staat hierbij nooit op zichzelf: alles wordt direct vertaald naar jouw praktijk. Dat maakt het relevant en toepasbaar. Module 2: Praktijk en toepassing In de tweede module pas je de opgedane kennis toe in je eigen organisatie. Je voert een volledige operational audit uit, van ontwerp tot rapportage onder begeleiding van een ervaren docent. Deze praktijkmodule bestaat uit drie fasen: Auditontwerp – Je maakt een concreet plan van aanpak, inclusief doelstelling, normenkader, gegevensverzameling en oordeelsvorming. Veldwerk – Je toetst de praktijk aan het normenkader via documentanalyse, interviews en observaties. Hierbij is veel aandacht voor gesprekstechnieken, omgaan met weerstand en het creëren van acceptatie. Rapportage – Je leert hoe je je bevindingen effectief en overtuigend rapporteert, inclusief oorzaakanalyse en concrete verbeteradviezen. Alles met één doel: het management aanzetten tot actie. Wat kan ik nadat ik de opleiding operational auditing heb afgerond? Na afronding van de opleiding ontvang je het postbachelordiploma Operational auditing van Avans en 110 PE-punten als je PE-plichtig bent. Maar belangrijker: je bent in staat om zelfstandig een auditproces te doorlopen en het bestuur en management te adviseren over de kwaliteit van risicobeheersing. Je levert een aantoonbare bijdrage aan: de verbetering van processen; de effectiviteit van beheersmaatregelen; de naleving van wet- en regelgeving; en het vergroten van het lerend vermogen van je organisatie. Daarmee ben je niet alleen auditor, maar ook adviseur, bruggenbouwer en veranderaar. Je ontwikkelt je tot een strategische sparringpartner en dat wordt in vrijwel elke organisatie enorm gewaardeerd. Voor wie is deze opleiding bedoeld? De postbacheloropleiding Operational auditing is ontwikkeld voor professionals die (gaan) werken op het snijvlak van procesbeheersing, risicomanagement en organisatieontwikkeling. Denk aan: Controllers Risk officers Compliance officers Kwaliteitsmanagers AO/IC-medewerkers (Internal) auditors Accountants Proceseigenaren Werk je in een van deze functies, of wil je je naar zo’n rol ontwikkelen, en wil je met audits echt het verschil maken? Dan is deze opleiding voor jou. Een belangrijk uitgangspunt van de opleiding is dat deelnemers afkomstig zijn uit uiteenlopende sectoren en organisaties. Die diversiteit aan perspectieven zorgt voor een rijk leerklimaat en waardevolle interactie. De werkvorm: leren door doen De opleiding is ontworpen volgens het principe van blended learning , waarbij praktijk en theorie elkaar versterken. E-learning : Je bereidt je online voor op de bijeenkomsten. Dat doe je in je eigen tijd, op je eigen tempo. Hierdoor kunnen de bijeenkomsten zelf worden benut voor verdieping en toepassing naar jouw partijk. Bijeenkomsten : In totaal volg je 14 bijeenkomsten (6 theorie + 8 praktijk). Hierin werk je met casuïstiek, rollenspellen en intervisie. Ook leer je van de ervaringen van je mededeelnemers. Coaching : Tijdens het uitvoeren van je audit krijg je persoonlijke begeleiding van een ervaren docent. Zo ben je verzekerd van inhoudelijke ondersteuning en praktische feedback. De docenten van de opleiding operational auditing doceren aan verschillende universiteiten en hogescholen, waaronder de post- initiële RO auditing opleiding van de UvA en de Erasmus Universiteit Het interactieve karakter van de opleiding maakt dat je niet alleen leert van de theorie, maar vooral van het toepassen ervan. Dat is de kracht van deze postbacheloropleiding. Conclusie: een investering die rendeert Operational auditing is geen vak dat je uit een boekje leert. Het is een ambacht dat je ontwikkelt door te oefenen, te reflecteren en continu beter te worden. Precies dat is waar de postbacheloropleiding Operational auditing in voorziet. Praktisch, diepgaand en relevant met directe impact op jouw werk en je organisatie. Wil jij: Je verdiepen in risicobeheersing? Organisaties echt helpen leren en verbeteren? Jouw rol als auditor, controller of adviseur versterken? Je carrière een serieuze boost geven? Dan is deze opleiding de volgende stap. Meer informatie over startdata, locaties en kosten vind je hier . Liever een korte cursus? Naast de postbachelor opleiding operational auditing, biedt Ferocia ook een vierdaagse cursus operational auditing aan. Meer informatie over deze cursus vind je hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe soft controls zoals cultuur en gedrag cruciaal zijn voor effectieve interne beheersing en risicomanagement. Versterk jouw organisatie vandaag! Alle blogs Gedrag en cultuur Soft Controls In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en toegepaste controlemaatregelen, doen zich toch incidenten voor. Denk aan integriteitskwesties, vertrouwensbreuken of zelfs fraude. Hoe kan dat? Steeds vaker ligt de echte oorzaak niet in de systemen, maar in de cultuur. In de ongeschreven regels. In het gedrag. In wat we noemen: soft controls . Wat zijn soft controls precies? Soft controls zijn de informele vaak onzichtbare factoren die gedrag binnen organisaties beïnvloeden. Het gaat om zaken als: Psychologische veiligheid: durven mensen zich uit te spreken? Leiderschap en voorbeeldgedrag: wat laat het management echt zien? Vertrouwen en openheid: is er ruimte voor kwetsbaarheid? Normen en waarden: wat vinden we ‘normaal’ gedrag? Betrokkenheid en motivatie: waarom doen mensen wat ze doen? Deze elementen sturen gedrag, vaak sterker dan formele regels of procedures. Ze bepalen of mensen hun verantwoordelijkheid nemen, fouten durven melden, dilemma’s delen en ethisch handelen. Hard vs. soft: twee zijden van dezelfde munt Traditionele interne beheersing leunt sterk op hard controls , zoals functiescheiding, autorisatieprotocollen, rapportagestructuren en IT-systemen. Deze zijn namelijk tastbaar, meetbaar en controleerbaar. Soft controls daarentegen zijn minder grijpbaar, maar wel minstens zo belangrijk. Ze bepalen de effectiviteit van die harde maatregelen. Een autorisatieprocedure is zo sterk als de mate waarin medewerkers bereid zijn zich eraan te houden. En dat gedrag wordt juist gestuurd door soft controls. Of zoals een ervaren auditor eens zei: “Op papier klopt alles. In de praktijk doet men iets anders.” Soft en hard controls versterken elkaar, of juist niet. Een organisatiecultuur waarin kleine fouten zwaar worden bestraft, zorgt ervoor dat risico’s niet worden gemeld. Terwijl openheid en vertrouwen het melden van incidenten juist stimuleren. Soft controls vormen dus het fundament van een lerende organisatie. Waarom soft controls cruciaal zijn voor auditors De rol van de internal auditor verandert. Waar vroeger vooral werd gekeken naar structuur en processen, komt er nu steeds meer aandacht voor gedrag, cultuur en context. Soft controls helpen auditors om: blinde vlekken te signaleren; risico’s realistischer in te schatten; aannames over controles te toetsen; en betere, effectievere aanbevelingen te formuleren. Auditen van soft controls vraagt echter een andere aanpak. Geen vinklijstjes, maar nieuwsgierigheid. Geen check op procedures, maar gesprekken over dilemma’s. Geen observaties van cijfers, maar observaties van gedrag. Je onderzoekt niet alleen wat er gebeurt, maar ook waarom het gebeurt. Hoe onderzoek je soft controls? Het beoordelen van soft controls is maatwerk. Elk team, elke organisatie en elke context is anders. Ferocia werkt daarom met een aanpak waarin meerdere methoden worden gecombineerd: Diagnoses en nulmetingen : een eerste beeld van cultuur en gedrag, via scans of vragenlijsten. Interviews en groepsgesprekken : verdiepen op thema’s als integriteit, voorbeeldgedrag en aanspreekcultuur. Observaties in de praktijk : meekijken bij vergaderingen of besluitvormingsprocessen. Gebruik van beproefde frameworks : zoals het model van Muel Kaptein. Door deze methoden slim te combineren, ontstaat een realistisch en werkbaar beeld van de soft controls binnen een organisatie. Geen theoretisch model, maar praktische inzichten waar direct mee gewerkt kan worden. Soft controls in tijden van verandering De urgentie van soft controls neemt toe. Organisaties opereren steeds vaker in complexe, hybride omgevingen. Werknemers zijn deels thuis, deels op kantoor. Teams werken digitaal samen. De formele controle wordt minder zichtbaar en het belang van vertrouwen en intrinsieke motivatie juist groter. Tegelijkertijd zien we een toename in externe druk: strengere regelgeving, maatschappelijke verwachtingen rond ESG (Environmental, Social, Governance), en de noodzaak tot transparantie. In deze context is het essentieel dat medewerkers niet alleen ‘doen wat moet’, maar vooral ‘doen wat juist is’. En dat vraagt om sterke soft controls. Soft controls implementeren: hoe doe je dat? Soft controls versterken begint bij bewustwording. Veel organisaties herkennen gedragspatronen wel, maar vinden het lastig om ze te benoemen of bespreekbaar te maken. Ferocia ondersteunt organisaties daarom met advies, training en audits op maat. Denk aan: Trainingen over ethiek, cultuur en integriteit: wat verstaan we onder voorbeeldgedrag? Hoe spreken we elkaar aan? Wat doen we als we een dilemma tegenkomen? Gedragsaudits: geen controle op cijfers, maar op gedragspatronen. Waar zitten de risico’s in houding, communicatie of leiderschap? Integratie in risicomanagement en compliance: soft controls als volwaardig onderdeel van het control framework. Niet als ‘extraatje’, maar als strategische pijler. Coaching en ondersteuning van leidinggevenden: want gedrag begint aan de top. Managers en teamleiders zijn cruciaal in het versterken van een gezonde cultuur. Voorbeeld uit de praktijk Een zorginstelling merkte dat incidenten rondom medicatieveiligheid bleven voorkomen, ondanks goede protocollen en technische ondersteuning. De oorzaak? Medewerkers durfden elkaar niet aan te spreken. Uit gesprekken bleek dat er onvoldoende psychologische veiligheid was. Door met het team te werken aan openheid, vertrouwen en feedbackvaardigheden, nam het aantal incidenten substantieel af, zonder dat er iets aan de procedures werd aangepast. Het laat zien: soft controls maken het verschil. Soft controls in jouw organisatie? De grote vraag is: hoe sterk zijn de soft controls in jouw organisatie? Worden risico’s besproken of vermeden? Is er ruimte voor feedback, of speelt men op zeker? Voelen medewerkers zich verantwoordelijk, of juist gecontroleerd? Hebben mensen het lef om afwijkingen te melden? Als je twijfelt over het antwoord, is dat op zichzelf al waardevol. Want het betekent dat je bereid bent te kijken. En dat is de eerste stap naar verbetering. Of je nu soft controls wilt onderzoeken, versterken of integreren in je organisatiecultuur, wij helpen je verder! Opleidingen en trainingen – op het gebied van soft controls zowel open als inhouse. Interim en consultancy – tijdelijke inzet van internal auditors die gespecialiseerd zijn in cultuur en gedrag . Werving en selectie – voor het vinden van de juiste auditprofessional die je team permanent komt versterken. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Vergroot je impact met de opleiding risicomanagement van Ferocia. Leer risico’s beheersen, draagvlak creëren en pas je opgedane kennis direct toe. Alle blogs Opleiding risicomanagement Iedere organisatie, groot of klein heeft ermee te maken: risico’s. Of het nu gaat om cyberdreigingen, veranderende wetgeving, operationele afhankelijkheden of reputatieschade, risico’s zijn overal. Toch blijkt effectief risicomanagement in de praktijk vaak een uitdaging. Want hoe breng je risico’s gestructureerd in kaart? Hoe zorg je voor draagvlak bij collega’s? En belangrijker nog: hoe zorg je ervoor dat risicobeheersing bijdraagt aan het behalen van organisatiedoelen? Daarvoor is de opleiding Risicomanagement van Ferocia ontwikkeld. Praktisch, verdiepend en direct toepasbaar. In deze blog lees je wat risicomanagement inhoudt, wat je leert tijdens de opleiding, wat je erna kunt, voor wie de opleiding bedoeld is en hoe de opleiding risicomanagement is opgebouwd. Wat is risicomanagement? Risicomanagement is meer dan alleen het signaleren van dreigingen. Het is een manier van denken en werken die organisaties helpt hun doelstellingen te realiseren in een continu veranderende omgeving. Goed risicomanagement betekent dat je proactief omgaat met onzekerheden en kansen. Dat je risico’s niet als bedreiging ziet, maar als stuurinformatie voor betere besluitvorming. Risico’s veranderen razendsnel. Organisaties staan voor de uitdaging om deze continu te identificeren, te beoordelen en te beheersen. Denk aan nieuwe technologieën, strengere wet- en regelgeving of veranderingen in klantgedrag. Wie daar niet op anticipeert, loopt achter de feiten aan. Maar risicomanagement is geen losstaande functie of afdeling. Het moet onderdeel zijn van het DNA van de hele organisatie. Dat vraagt om professionals die niet alleen methodieken beheersen, maar ook weten hoe je anderen meeneemt, draagvlak creëert en daadwerkelijk tot actie aanzet. En precies dat leer je in deze cursus. Wat leer je tijdens de opleiding risicomanagement? In acht interactieve dagdelen leer je hoe je risicomanagement integraal en effectief toepast binnen jouw organisatie. Van strategie tot operatie. Van theorie tot praktijk. Je verdiept je onder andere in: de rol van corporate governance en risicomanagementbeleid; verschillende controlmodellen; de risicomanagementcyclus: van risicobeoordeling tot opvolging; het opstellen van een risico/controlmatrix; het ontwikkelen van testplannen voor zowel first line als second line monitoring; het faciliteren van risk control self assessments (RCSA’s); effectieve gesprekstechnieken om risicobewustzijn te vergroten; en het creëren van draagvlak voor jouw inzichten en voorstellen. De cursus combineert theoretische verdieping met praktische opdrachten. Zo werk je tijdens de opleiding aan een concreet risicomanagementvraagstuk binnen jouw eigen organisatie. Dat maakt het niet alleen leerzaam, maar ook direct relevant. Wat kan ik nadat ik de opleiding risicomanagement heb afgerond? Na afloop van deze opleiding risicomanagement beschik je over de kennis en vaardigheden om zelfstandig risicomanagement binnen jouw organisatie te versterken of verder te professionaliseren. Je kunt: risicomanagement positioneren binnen het bredere governance- en controlraamwerk; een risicoanalyse uitvoeren en opvolgen met een concrete risico/controlmatrix; controlmaatregelen ontwerpen, toetsen en verbeteren; collega’s meenemen in risicobewust denken en handelen; en risicomanagement verankeren in de praktijk van jouw organisatie. Voor wie is deze opleiding risicomanagement bedoeld? De cursus is ontwikkeld voor professionals die in hun functie te maken hebben met beheersing, control of risico’s en daar een actievere rol in willen pakken. Denk aan: Controllers; Risk officers; Compliance officers; Medewerkers AO/IC; Kwaliteitsmanagers; Procesverantwoordelijken; (Operational, IT- of financial) auditors; Accountants. Of je nu net begint met risicomanagement of je bestaande kennis wilt verdiepen en verbreden: deze cursus biedt jou de tools en inzichten om direct impact te maken. Wel is een HBO werk- en denkniveau vereist om de stof goed te kunnen volgen. De werkvorm: praktijkgericht en interactief Ferocia gelooft in leren door te doen. Daarom bestaat de cursus uit een mix van: vier lesdagen (acht dagdelen), met interactieve sessies, cases en groepsopdrachten; twee e-learnings , die je zelfstandig en op je eigen tempo kunt volgen; praktijkopdrachten , waarmee je leert door aan de slag te gaan met jouw eigen organisatievraagstukken; en rollenspellen en simulaties , zodat je je gesprekstechnieken en adviesvaardigheden ontwikkelt. De bijeenkomsten kun je zowel fysiek als online bijwonen via de zogeheten mixed classrooms . Dat maakt de cursus toegankelijk, flexibel en goed te combineren met een drukke werkagenda. Wie zijn de docenten? De opleiding risicomanagement wordt verzorgd door ervaren experts die theorie en praktijk feilloos weten te verbinden: Björn Walrave – Docent aan de UvA (RO en RE opleiding), hoofdredacteur van Audit Magazine en ervaren audit- en riskprofessional. Mark Daamen – Docent Hogeschool avans+ en begeleider van professionals en organisaties op het gebied van auditing, control en risicomanagement. Karin van der Lelij – Specialist in het opleiden, coachen en adviseren van control- en risicoteams met een scherp oog voor strategie en leerbehoeften. Hun kracht? Ze weten wat er speelt in het veld en vertalen dat naar concrete handvatten waar jij morgen mee aan de slag kunt. Waarom kiezen voor Ferocia? Ferocia staat voor impactvol leren. Geen stoffige colleges, maar dynamische programma’s waarin jouw praktijk centraal staat. Onze aanpak combineert: inspiratie (kennis die je prikkelt); co-creatie (leren met en van elkaar); en prestatie (direct toepassen en resultaat boeken). Met deze cursus til je jouw professionele rol naar een hoger niveau en lever je direct toegevoegde waarde aan je organisatie. Meer informatie over de cursus risicomanagement vind je hier . Naast de cursus risicomanagement biedt Ferocia ook een tweedaagse training risicomanagement aan. Meer informatie over deze training vind je hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit control risk. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Welkom Ferocia ondersteunt organisaties op het gebied van internal audit, control en risicomanagement. Wij bieden interim en consultancy, opleidingen en trainingen, en werving en selectie. Zo helpen we organisaties zich duurzaam te versterken met de juiste mensen en de juiste kennis. Lees meer download nu! probeer nu! De kracht van complete dienstverlening Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! INTERIM EN CONSULTANCY Ferocia biedt tijdelijke capaciteit en deskundigheid op het gebied van internal audit, control en risicomanagement. Lees meer OPLEIDINGEN EN TRAININGEN Ferocia verzorgt open en incompany opleidingen en trainingen voor internal auditors, risk officers en controllers. Lees meer WERVING EN SELECTIE Ferocia ontzorgt organisaties bij het invullen van vacatures op het gebied van internal audit, control en risicomanagement. Lees meer Kim Meijer Manager Financiën "Ferocia hielp ons bij de herinrichting van het cluster Financiën. Dankzij hun scherpe blik en directe aanpak kwamen we snel tot de kern en kregen we een concreet en uitvoerbaar advies. Prettige samenwerking met echte professionals en een no-nonsense-aanpak!" Interim en consultancy Uitgelichte thema's De wereld van internal audit, control en risicomanagement verandert snel. Ferocia volgt voor jou de belangrijkste ontwikkelingen en biedt inzichten, zodat je goed voorbereid bent op wat komen gaat. Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken... 10 sep 17 minuten om te lezen GRC Governance Risk Compliance GRC Governance Risk Compliance staat voor drie fundamentele pijlers die bepalen hoe organisaties worden bestuurd, hoe zij omgaan met... 22 aug 6 minuten om te lezen TPM-verklaring: aantoonbaar in control Steeds meer organisaties besteden processen of systemen uit aan externe partijen. Van IT-hosting tot klantdata, van financiële verwerking... 14 mei 5 minuten om te lezen Alle thema's

Bereid je auditfunctie voor op de toekomst met GIAS 2025. Ontdek hoe de vernieuwde standaarden waarde en controle versterken. Start nu met de implementatie! GIAS De wereld verandert. Snel. Organisaties staan onder druk door toenemende complexiteit, regelgeving, digitalisering en maatschappelijke verwachtingen. In dat speelveld krijgt de internal auditfunctie een steeds belangrijkere rol. Niet als ‘compliancepolitie’, maar als strategische sparringpartner die echt waarde toevoegt. Precies dat is de kern van de vernieuwde Global Internal Audit Standards™ (GIAS), die vanaf 2025 wereldwijd de standaard zullen vormen. In deze blog nemen we je mee in wat de GIAS precies zijn, waarom deze herziening zo belangrijk is, wat er verandert en minstens zo relevant, wat jij nu al kunt doen om jouw auditfunctie klaar te stomen voor de toekomst. Wat is GIAS? De GIAS 2025 zijn het resultaat van een omvangrijke herziening van de bestaande International Professional Practices Framework (IPPF) van het Institute of Internal Auditors (IIA). Dit is niet zomaar een update van de oude IIA-standaarden; het is een fundamentele transformatie van de beroepspraktijk van internal auditors. Waar de vorige standaarden vooral draaiden om het borgen van kwaliteit en structuur in de auditfunctie, leggen de nieuwe GIAS veel nadrukkelijker de focus op impact, ethiek, governance, en strategische relevantie. Niet alleen voor auditors zelf, maar ook voor hun stakeholders. De GIAS zijn opgebouwd rond 15 principes, onderverdeeld in vijf domeinen: Doel en positie van de auditfunctie Ethiek en professionaliteit Governance, risicobeheer en interne beheersing Auditplanning en uitvoering Kwaliteitsmanagement en continue verbetering Wat maakt GIAS 2025 fundamenteel anders? 1. Principle based in plaats van checklist denken De nieuwe standaard is principle based. Dat betekent: minder regels om af te vinken, meer ruimte voor professioneel oordeel. Elke internal auditor wordt uitgedaagd om na te denken over het ‘waarom’ van zijn werk. Wat draag je echt bij aan de organisatie? Hoe maak je risico’s zichtbaar die er écht toe doen? 2. Meer focus op waardecreatie Waar internal auditing traditioneel werd geassocieerd met controle, ligt de nadruk nu veel sterker op het verbeteren van processen, versterken van governance en strategische ondersteuning van directie en bestuur. De auditor als aanjager van continue verbetering, daar draait het om. 3. Toepasbaar voor alle organisaties De GIAS zijn ontworpen voor wereldwijde toepasbaarheid. Of je nu werkt bij een multinational, een ziekenhuis, een woningcorporatie of een gemeente: de principes zijn toepasbaar en schaalbaar. Dat betekent ook dat kleinere auditfuncties kunnen (moeten) voldoen aan de GIAS. 4. Verwevenheid met ethiek en onafhankelijkheid De standaard begint niet voor niets met principes rondom ethiek en onafhankelijkheid. Het IIA onderstreept: integriteit is geen optionele bijzaak, maar het fundament van vertrouwen. In een tijd van maatschappelijke onrust en toenemende transparantieverplichtingen, is dat actueler dan ooit. 5. Ondersteuning met implementatiegidsen Bij elk principe hoort een set met implementatiegidsen, tools en voorbeelden. Daarmee is het niet alleen een normatief kader, maar ook een concreet handvat voor de praktijk. Wat moet je doen? Hoe pak je dat aan? Welke valkuilen moet je vermijden? De GIAS helpen je verder. Waarom deze herziening nu? De laatste jaren is het vakgebied internal auditing ingrijpend veranderd. Denk aan: Verschuiving van financiële naar strategische risico’s Opkomst van thema’s als duurzaamheid, cyberweerbaarheid, soft controls Toenemende verwachtingen van toezichthouders, stakeholders en maatschappij Snelle technologische ontwikkelingen (AI, data-analyse, automatisering) In dat speelveld is een auditor die puur controleert, simpelweg niet meer voldoende. Organisaties vragen om auditors die meedenken, vooruitkijken, en verbinden. De GIAS 2025 zijn ontwikkeld om dat profiel te ondersteunen en te versterken. Wat betekenen de GIAS voor jouw auditfunctie? Voor veel auditafdelingen betekent GIAS een verschuiving in denken en doen. Niet alleen in procedures, maar vooral in houding, communicatie en positionering. Een aantal voorbeelden: – Kritischer reflecteren op je eigen onafhankelijkheid Ben je werkelijk onafhankelijk, of sta je ‘te dichtbij’ je stakeholders? GIAS dwingt auditors om zichzelf, en hun posities, kritisch onder de loep te nemen. – Meer aandacht voor ethiek, cultuur en gedrag Auditors worden uitgedaagd om verder te kijken dan harde controls. Soft controls zoals leiderschap, communicatie, voorbeeldgedrag en cultuur krijgen een prominentere plek. – Grotere verantwoordelijkheid voor kwaliteit Kwaliteitsborging wordt niet meer gezien als een externe verplichting, maar als een interne verantwoordelijkheid. Dat betekent structurele zelfevaluatie, intervisie, bijscholing en het delen van lessons learned. En nu? Vijf stappen om je voor te bereiden op GIAS 2025 Ben je internal auditor, auditmanager of verantwoordelijk voor governance en risicobeheersing? Dan kun je niet wachten om je voor te bereiden. Deze zes stappen helpen je op weg: Verdiep je in de 15 principes Neem de nieuwe GIAS zorgvuldig door en betrek je team bij de interpretatie. Doe een gap-analyse Waar voldoe je al aan? Waar zijn nog hiaten? Wat vraagt om meer ontwikkeling? Leg verbinding met je stakeholders Bespreek met bestuur, directie en toezichthouders wat de GIAS betekenen voor jullie samenwerking. Ontwikkel je mensen Investeer in training, intervisie en kennisdeling. Niet alleen over de standaarden, maar ook over communicatie, ethiek en soft controls. Gebruik de implementatiegidsen Maak gebruik van de tools, formats en voorbeelden die het IIA biedt. Daarmee maak je de vertaalslag van theorie naar praktijk. GIAS 2025 is meer dan een norm, het is een mindset De echte waarde van de GIAS zit niet in de documenten zelf, maar in de manier waarop jij ze toepast. Ze dagen je uit om kritisch te kijken naar je eigen rol, je positie binnen de organisatie en je bijdrage aan het geheel. Ze vragen om lef, reflectie en continue verbetering. Of zoals een ervaren auditor het verwoordde: “Met GIAS is internal auditing niet langer een controlerende rol, maar een strategische professie.” Hoe kan Ferocia je helpen met de transitie naar GIAS? Ferocia helpt auditfuncties al jaren bij het versterken van hun rol in organisaties. Van training tot coaching, van auditmethodiek tot verandermanagement: wij zijn jouw partner in deze transitie. Onze experts denken met je mee, geven praktische handvatten en zorgen dat jouw auditfunctie klaar is voor de GIAS, en alles wat daarna komt. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs

Thema's Ferocia ondersteunt organisaties op het gebied van internal audit, control en risicomanagement. Onze consultants en trainers combineren diepgaande kennis met jarenlange ervaring in uiteenlopende sectoren. Hieronder vindt u enkele veelgevraagde thema’s waarop wij worden ingezet. Ontdek wat wij voor uw organisatie kunnen betekenen. Internal auditing Internal auditing GRC governance risk compliance GRC governance risk compliance Third Party Mededelingen Third Party Mededelingen Risicomanagement Risicomanagement IT beheersing IT beheersing Business Continuity Management Business Continuity Management Gedrag en cultuur Gedrag en cultuur Kwaliteitstoetsingen Kwaliteitstoetsingen GIAS GIAS

Ontdek hoe strategische IT-beheersing bijdraagt aan groei, vertrouwen en innovatie. Ga verder dan compliance met een toekomstgerichte aanpak. IT beheersing In een wereld waarin digitale technologie de ruggengraat vormt van vrijwel elke organisatie, is IT-beheersing uitgegroeid tot een strategisch speerpunt. Waar IT vroeger vooral werd gezien als ondersteunend, is het vandaag onmisbaar voor het behalen van bedrijfsdoelen, het waarborgen van vertrouwen en het vergroten van de weerbaarheid tegen risico’s. Toch blijft IT-beheersing voor veel organisaties een uitdaging. Vaak overheerst het beeld van ‘compliance’ – voldoen aan regels, audits doorstaan en sancties vermijden. Belangrijk, maar het raakt slechts de oppervlakte. De echte waarde van IT-beheersing ligt in de stap van verplichting naar strategische grip: van vinklijstjes afwerken naar toekomstgericht sturen. In dit artikel leggen we uit wat IT-beheersing inhoudt, welke bouwstenen onmisbaar zijn, hoe je de valkuil van compliance voorbijgaat en welke stappen je kunt zetten om IT-beheersing te laten bijdragen aan groei, innovatie en vertrouwen. Wat verstaan we onder IT-beheersing? IT-beheersing gaat over de maatregelen, processen en structuren waarmee organisaties grip houden op hun digitale omgeving. Het is geen puur technische aangelegenheid, maar een integrale benadering waarin techniek, processen én menselijk gedrag samenkomen. Een effectieve aanpak combineert harde elementen (firewalls, encryptie, logging) met zachte factoren zoals risicobewustzijn, duidelijke governance en verandermanagement. Alleen zo ontstaat een duurzaam fundament. De belangrijkste bouwstenen: Informatiebeveiliging: het beschermen van data en systemen tegen ongeoorloofde toegang of datalekken. Risicomanagement: het systematisch identificeren, beoordelen en beheersen van digitale risico’s. Change management: gecontroleerd doorvoeren van wijzigingen in systemen en infrastructuur. Compliance: voldoen aan wet- en regelgeving zoals de AVG, NIS2, DORA en ISO 27001. Governance: heldere verantwoordelijkheden, besluitvorming en toezicht op IT-processen. Het uiteindelijke doel? IT inzetten op een manier die veilig, voorspelbaar en doelgericht bijdraagt aan de strategische koers van de organisatie. Van regels naar waarde Voor veel organisaties is compliance de eerste drijfveer om met IT-beheersing aan de slag te gaan. Logisch: wetgeving en audits zijn concrete prikkels. Maar wie IT uitsluitend benadert vanuit verplichting, benut slechts een fractie van het potentieel. Wanneer je IT-beheersing strategisch inzet, ontstaan wezenlijke voordelen: Vertrouwen: Stakeholders zien dat risico’s onder controle zijn en dat de organisatie grip heeft op haar digitale omgeving. Transparantie: Beslissingen worden beter onderbouwd, risico’s inzichtelijker en keuzes beter uitlegbaar. Weerbaarheid: Incidenten kunnen sneller en effectiever worden opgevangen, van cyberaanvallen tot systeemuitval. Prestatieverbetering: Gestroomlijnde IT-processen leiden tot lagere kosten en hogere kwaliteit. Innovatiekracht: Met een solide fundament ontstaat ruimte om nieuwe technologieën te omarmen en digitale initiatieven te versnellen. Kortom: goed ingerichte IT-beheersing verandert van een kostenpost in een bron van strategische waarde. Ferocia’s visie op IT-beheersing Bij Ferocia zien we IT-beheersing als een integraal onderdeel van modern risicomanagement en strategische sturing. IT is niet langer een ondersteunend domein, maar een kernproces dat vraagt om proactieve aansturing. Onze aanpak is nuchter en pragmatisch. Geen dikke rapporten of standaardchecklists, maar maatwerkoplossingen die passen bij de context, het risicoprofiel en de volwassenheid van de organisatie. We combineren expertise in auditing, risicomanagement en IT-governance met oog voor verandermanagement en organisatiecultuur. Concreet helpen wij organisaties om: inzicht te krijgen in IT-risico’s via audits, assessments en nulmetingen; verbetermaatregelen te formuleren en door te voeren, zowel technisch als organisatorisch; governance en beleid te versterken, inclusief rollen, verantwoordelijkheden en sturingsmodellen; compliance te borgen met normen en wetgeving (ISO 27001, NIS2, DORA); interne kennis en capaciteit te vergroten via training, coaching en tijdelijke inzet van specialisten. Altijd met hetzelfde uitgangspunt: structurele verbetering en draagvlak in de organisatie. We doen dit met ervaren professionals die de taal van zowel IT als de business spreken. Zo zorgen we voor structurele verbetering en draagvlak in de organisatie. Welke frameworks ondersteunen IT-beheersing? Er zijn meerdere frameworks beschikbaar die organisaties kunnen helpen bij het inrichten en versterken van IT-beheersing. De keuze hangt af van je sector, doelstellingen en volwassenheidsniveau. Hieronder de meest gebruikte kaders: Framework Doelstelling Toepassing COBIT IT governance en management Strategisch en operationeel niveau. COBIT biedt een raamwerk voor het afstemmen van IT op bedrijfsdoelen. Het is vooral geschikt voor organisaties die IT strategisch willen inzetten en verantwoording willen afleggen aan stakeholders. Denk aan het inrichten van IT governance, het definiëren van rollen en verantwoordelijkheden, en het meten van prestaties op directieniveau. ISO 27001 Informatie- beveiliging Beveiligingsbeleid en audits. ISO 27001 is dé internationale standaard voor het opzetten van een Information Security Management System (ISMS). Organisaties gebruiken het om systematisch risico’s te identificeren, beveiligingsmaatregelen te implementeren en audits uit te voeren. Het is essentieel voor compliance met privacywetgeving zoals de AVG en voor het aantonen van betrouwbaarheid richting klanten. ITIL Service management IT dienstverlening en processen. ITIL richt zich op het verbeteren van IT dienstverlening. Het helpt organisaties bij het structureren van processen zoals incidentbeheer, wijzigingsbeheer en service level management. ITIL is vooral waardevol voor operationele teams die de kwaliteit en continuïteit van IT services willen verhogen. NIST Cybersecurity Cybersecurity en risicobeheersing Incidentrespons en mitigatie. Het NIST framework biedt een praktische aanpak voor het identificeren, beschermen, detecteren, reageren en herstellen van cyberincidenten. Het is breed toepasbaar, van overheden tot commerciële organisaties, en helpt bij het verhogen van digitale weerbaarheid en het opstellen van responsplannen. Bij Ferocia zijn we goed thuis in deze frameworks. Maar we geloven ook: een framework is geen doel op zich. Het is een middel. We zorgen altijd dat het aansluit op de praktijk, en daadwerkelijk leidt tot betere beheersing en sturing. Hoe pak je IT-beheersing slim aan? Een effectieve IT-beheersingsaanpak begint met inzicht. Zonder dat weet je niet waar de kwetsbaarheden zitten, welke maatregelen werken of waar de grootste risico’s liggen. Onze ervaring leert: je hoeft niet alles in één keer te regelen. Begin klein, werk gefaseerd en zorg voor continue verbetering. Onze vijfstappenaanpak: Nulmeting en risicoanalyse Waar sta je nu? Welke IT-risico’s zijn het meest relevant? Doelstellingen en kaders formuleren Wat wil je bereiken? Welke normen, KPI’s en beleid horen daarbij? Beheersmaatregelen implementeren Technisch: firewalls, logging, authenticatie. Organisatorisch: beleid, rollen, gedrag, processen. Monitoring en rapportage inrichten Real-time dashboards, periodieke rapportages en audits. Escalaties en incidentprocedures. Continu verbeteren Op basis van incidenten, nieuwe risico’s en technologische ontwikkelingen. Vanuit feedbackloops en betrokkenheid van stakeholders. Deze aanpak sluit aan bij het volwassenheidsdenken: je groeit stap voor stap naar een hoger niveau van IT-beheersing. IT-beheersing in de praktijk: uitdagingen en valkuilen Hoewel de urgentie vaak wordt erkend, blijft effectieve IT-beheersing in veel organisaties achter. Waarom? Silo’s tussen IT en business : IT wordt nog te vaak als apart domein gezien. Complexe ketens en uitbesteding : Denk aan cloud, SaaS, outsourcing. Onvoldoende eigenaarschap : Wie is verantwoordelijk voor welk risico? Te veel focus op techniek : Terwijl processen, mensen en gedrag minstens zo belangrijk zijn. Bij Ferocia herkennen we deze valkuilen. We zorgen daarom voor een integrale aanpak, waarin IT-beheersing niet alleen een verantwoordelijkheid van de IT-afdeling is, maar een gezamenlijke opgave van bestuur, control, risk en operatie. Ferocia als partner in IT-beheersing Ferocia is jouw sparringpartner als het gaat om het professionaliseren van IT-beheersing. Of je nu net begint, op zoek bent naar verdieping of een externe blik nodig hebt: wij denken met je mee en helpen je vooruit. Onze dienstverlening bestaat onder meer uit: Quickscans en nulmetingen op het gebied van IT-risico’s en beheersmaatregelen. Interne audits op thema’s als informatiebeveiliging, dataprivacy of outsourcing. Begeleiding bij ISO 27001-certificering of NIS2-compliance. Trainingen en masterclasses over IT-beheersing, risicoanalyse en cyberweerbaarheid. Interim IT-auditors en risicomanagers voor tijdelijke versterking. We doen dit onafhankelijk, deskundig en altijd met oog voor jouw context. Niet omdat het in een model past, maar omdat het in jouw organisatie moet werken. Tot slot: IT-beheersing als motor van digitale volwassenheid De wereld wordt digitaler. Complexer. En risicovoller. Juist daarom is IT-beheersing geen luxe, maar noodzaak. Wie het goed regelt, wint niet alleen vertrouwen, maar ook wendbaarheid, veerkracht en innovatiekracht. Bij Ferocia geloven we dat IT-beheersing de sleutel is tot moderne sturing. En dat begint niet met techniek, maar met bewustzijn, leiderschap en samenwerking. Benieuwd waar jouw organisatie staat op het gebied van IT-beheersing? Of wil je vrijblijvend sparren over vervolgstappen? Neem contact met ons op. We denken graag met je mee. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs NIS2 verandert cybersecurity van IT-thema naar bestuurdersvraagstuk. In deze blog lees je wie onder NIS2 valt, wat er straks écht verplicht is en welke rol internal audit, risk en control spelen. Geen paniek om boetes, maar een kans om je organisatie aantoonbaar digitaal weerbaar te maken. NIS2 Knop ISO 27001 is geen papieren oefening, maar een manier om informatiebeveiliging écht te laten werken. In deze blog lees je hoe je met een scherpe scope, slimme verklaring van toepasselijkheid (SoA) en goede audits risico’s, gedrag en techniek verbindt, en zo van certificaat naar waardecreatie gaat. ISO 27001 Knop Sinds 17 januari 2025 moet jouw organisatie aantoonbaar digitaal weerbaar zijn. In deze blog lees je wat een DORA-audit is, welke vijf bouwstenen echt het verschil maken en hoe internal audit uitgroeit tot strategische partner. Onmisbaar leesvoer voor audit, risk en compliance. DORA audit Knop IT-auditing is veel meer dan vinkjes zetten. In deze blog lees je hoe de IT-auditor zorgt voor veilige systemen, naleving van AVG/NIS2/DORA en grip op digitale risico’s. Ontdek de belangrijkste inzichten voor een sterke IT-audit én hoe Ferocia je hierbij kan helpen. IT-auditing Knop COBIT is geen ingewikkeld IT-speeltje, maar jouw kompas voor digitale governance. In deze blog lees je hoe COBIT 2019 business, IT en bestuur dezelfde taal laat spreken, IT-risico’s structuur geeft en jouw audits versterkt. Ontdek hoe je COBIT praktisch inzet in jouw organisatie. Cobit Knop

Ontdek wat GRC Governance Risk Compliance is en hoe een geïntegreerde GRC-aanpak jouw organisatie helpt risico’s te beheersen en compliance te borgen. GRC governance risk compliance GRC Governance Risk Compliance staat voor drie fundamentele pijlers die bepalen hoe organisaties worden bestuurd, hoe zij omgaan met risico’s en hoe zij voldoen aan wet- en regelgeving. Maar GRC is meer dan een afkorting of een set losse functies. Het is een geïntegreerde benadering van besturing, beheersing en verantwoording. Governance gaat over de manier waarop een organisatie wordt geleid en gecontroleerd. Wie neemt welke beslissingen? Hoe worden belangen afgewogen? En hoe zorgen we ervoor dat de organisatie koersvast blijft, ook als de omstandigheden veranderen? Riskmanagement draait om het identificeren, analyseren en beheersen van risico’s. Dat kunnen strategische, financiële, operationele of compliance-gerelateerde risico’s zijn. Goed risicomanagement betekent niet dat je risico’s vermijdt, maar dat je bewust omgaat met onzekerheden door deze te beheersen. Compliance richt zich op het naleven van interne regels en externe wet- en regelgeving. Organisaties staan onder toenemende druk om te kunnen aantonen dat zij ‘in control’ zijn. Niet alleen richting toezichthouders, maar ook richting klanten, medewerkers en de maatschappij. De kracht van GRC zit in de integratie. In plaats van dat governance, risk en compliance als drie aparte domeinen opereren, werk je vanuit samenhang. Hierdoor ontstaat een breed, realistisch en toekomstgericht beeld van waar de organisatie staat. Waarom is GRC Governance Risk Compliance belangrijk voor jouw organisatie? In een wereld waarin wet- en regelgeving continu verandert, technologische ontwikkelingen elkaar razendsnel opvolgen en de maatschappelijke verwachtingen blijven toenemen, is een geïntegreerde GRC-aanpak geen luxe maar een noodzaak. Organisaties die GRC goed op orde hebben: Beheersen hun risico’s effectiever. Ze zien sneller waar het mis kan gaan en kunnen proactief maatregelen nemen. Verhogen hun betrouwbaarheid. Ze zijn in staat om aan te tonen dat ze hun processen onder controle hebben, een belangrijk signaal naar stakeholders. Verbeteren hun besluitvorming. Door GRC te integreren in de strategische sturing, worden besluiten beter onderbouwd en meer toekomstbestendig. Verlagen hun operationele kosten. Een efficiënte en gestroomlijnde aanpak voorkomt dubbel werk, fouten en intern gecreëerde incidenten omdat de drie functies elkaar tegenwerken. Versterken hun reputatie. Compliance is niet alleen een wettelijke vereiste, maar ook een manier om het vertrouwen van klanten, partners en toezichthouders te behouden. Tegelijkertijd is het opzetten en onderhouden van een volwassen GRC-structuur complex. Je hebt te maken met verschillende belanghebbenden, diverse normen en kaders, uiteenlopende risico’s en soms botsende belangen. En dan is er ook nog de menselijke factor: cultuur, gedrag en bewustzijn spelen een cruciale rol in het succes van GRC. Een goede GRC-aanpak vereist dus meer dan een checklist of softwarepakket. Het vraagt visie, leiderschap, samenwerking en continu leren. Onze visie op GRC: meer dan vinkjes zetten Sommige organisaties benaderen GRC als een verplicht nummertje. Er wordt een compliancebeleid opgesteld, een risicoregister ingevuld en het vinkje kan gezet worden. Maar zodra de audit voorbij is, verdwijnt het onderwerp weer van de agenda. Bij Ferocia geloven we niet in schijnbeheersing. GRC is wat ons betreft geen jaarlijkse exercitie voor de vorm, maar een manier van werken. Een aanpak die door de hele organisatie heen zichtbaar en voelbaar is, van directie tot werkvloer. 1. GRC is geen papieren werkelijkheid We komen regelmatig organisaties tegen met dikke beleidsdocumenten, uitgebreide risico-overzichten en lange lijsten met interne controles. Maar als je vraagt: “Wat doet een teamleider daadwerkelijk met dit beleid?”, blijft het stil. Wij zeggen dan: schrap liever 80% van je papieren regels en maak de overgebleven 20% echt werkbaar. Laat managers, proceseigenaren en medewerkers actief meedenken over risico’s in hun werk. In het Three Lines Model zijn zij tenslotte eigenaar. Binnen de wettelijke kader, pas beleid aan op hoe het in de praktijk werkt. Want alleen dan krijgt GRC Governance Risk Compliance betekenis. Voorbeeld: In plaats van jaarlijks een RCSA in te vullen ‘omdat het moet’, laten we teams zelf hun belangrijkste procesrisico’s benoemen en direct oplossingen bedenken. Dat levert niet alleen bruikbare input op, maar ook eigenaarschap. 2. Minder controles, meer gesprekken Hard controls zijn belangrijk, denk aan autorisatiematrices, functiescheiding of technische toegangsbeveiliging. Maar het echte verschil maak je in gedrag. Is er ruimte om fouten te bespreken? Durven mensen elkaar aan te spreken op onzorgvuldig gedrag? Wordt ‘de bedoeling’ van een regel begrepen? Wij helpen organisaties om die dialoog op gang te brengen. Niet met vage cultuurprogramma’s, maar met concrete interventies: workshops over soft controls, audit-interviews over gedrag, of het aanpassen van KPI’s zodat ze risicobewust gedrag stimuleren. Voorbeeld: Bij een klant in de energiesector bleken medewerkers maandrapportages ‘mooi te maken’ om targets te halen. Er stonden voldoende checks in het systeem, maar niemand stelde de vraag: “Waarom wijkt de prognose elke maand zoveel af van de realiteit?” We hebben toen niet nog een controle ingebouwd, maar zijn gestart met sessies over transparantie en aanspreekbaarheid. 3. GRC moet het werk makkelijker maken, niet moeilijker GRC wordt vaak gezien als iets wat ‘erbij komt’. Een last boven op het gewone werk. Begrijpelijk, maar onnodig. Goed ingerichte GRC-processen helpen organisaties juist om slimmer te werken. Wij maken GRC graag lean: minder bureaucratie, meer waarde. Door processen te standaardiseren, risico’s te prioriteren en controls te koppelen aan bestaande werkprocessen. Zo wordt compliance een onderdeel van het dagelijkse werk, in plaats van een extra taak. Voorbeeld: Bij een zorgorganisatie hebben we alle compliance-eisen rond medicatieveiligheid geïntegreerd in het EPD (elektronisch patiëntendossier). Geen losse checklists meer, maar automatische signalen op het juiste moment in het proces. Minder fouten, minder werkdruk, meer grip. 4. GRC is niet van de afdeling Risk of Compliance, het is van iedereen GRC werkt alleen als het onderdeel is van het DNA van de organisatie. Niet als een los eiland binnen Risk, Audit of Compliance. Daarom betrekken wij altijd de hele organisatie: van het managementteam tot HR, van IT tot de operatie. We trainen leidinggevenden in risicogestuurd denken, ondersteunen lijnmanagers in het beoordelen van controls en helpen compliance-afdelingen om echt het gesprek aan te gaan met de business. Voorbeeld: In een logistiek bedrijf gaven teamleiders aan dat het risicoregister “iets van het hoofdkantoor” was. Wij hebben toen met hen zelf werkvloerworkshops opgezet, waarin ze met hun team risico’s op leverbetrouwbaarheid bespraken. Het resultaat? Relevante risico’s, praktische acties en een gedragen GRC-aanpak. Hoe kan Ferocia je helpen met GRC Governance, Risk en Compliance? Ferocia ondersteunt organisaties in elke fase van hun GRC-reis: van bewustwording en visievorming tot implementatie en borging. We combineren diepgaande vakkennis met praktische toepasbaarheid en werken nauw samen met onze klanten om duurzame verbeteringen te realiseren. Onze aanpak kent drie pijlers: 1. Opleidingen & trainingen We bieden diverse leerlijnen aan op het gebied van governance, risicomanagement en compliance. Denk aan: Masterclasses over soft controls, gedrag en cultuur Trainingen in risicomanagement en Risk Control Self Assessments (RCSA) Cursussen over actuele wet- en regelgeving (bijv. Wwft, ESG, ISQM) Onze in company leerprogramma’s zijn actueel, praktijkgericht en altijd afgestemd op de doelgroep, van junior tot senior, van auditor tot lijnmanager. 2. Interim & consultancy Soms heb je tijdelijk behoefte aan extra expertise of capaciteit. Ferocia levert ervaren professionals die snel inzetbaar zijn op interim-basis, bijvoorbeeld als: GRC Governance Risk Compliance coördinator of -adviseur Compliance officer Risk manager Auditor Daarnaast begeleiden wij organisaties bij de ontwikkeling en implementatie van GRC-frameworks, risicomanagementprocessen, complianceprogramma’s en internal control-verbetertrajecten. 3. Werving & selectie Een stevig GRC-fundament vraagt ook om de juiste mensen op de juiste plek. Ferocia helpt bij het vinden en selecteren van professionals op het gebied van auditing, risk, compliance en control. We begrijpen het vak en de context en zorgen voor een match die verder gaat dan het cv. Klaar voor de volgende stap in GRC Governance, Risk en Compliance ? Of je nu net begint met het opzetten van een risicomanagementsysteem, worstelt met compliance-uitdagingen of je GRC-structuur wilt professionaliseren, Ferocia staat naast je. Wij brengen structuur, expertise en energie. Zodat GRC geen last is, maar een kracht. Wil je ontdekken hoe wij jouw organisatie kunnen ondersteunen? Neem dan vrijblijvend contact met ons op. Samen maken we GRC werkbaar, integraal en mensgericht. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs