Zoekresultaten

Wat verandert er met BIO2? Ontdek wat de nieuwe Baseline Informatiebeveiliging Overheid betekent voor auditors, CISO’s en risicomanagers binnen de overheid. Alle blogs IT-beheersing BIO2 Baseline Informatiebeveiliging Overheid 2: Wat verandert er voor auditors en risicomanagers? Overheden verwerken enorme hoeveelheden gevoelige informatie. Denk aan persoonsgegevens van burgers, financiële gegevens, beleidsdocumenten en vertrouwelijke communicatie. Burgers en bedrijven moeten erop kunnen vertrouwen dat deze informatie veilig wordt behandeld. Maar hoe borg je dat binnen duizenden systemen, processen en organisaties? Daarvoor is de Baseline Informatiebeveiliging Overheid (BIO) ontwikkeld. In 2026 is de opvolger geïntroduceerd: BIO2. Deze nieuwe versie sluit beter aan op actuele cyberdreigingen, internationale normen en nieuwe wetgeving zoals de Cyberbeveiligingswet (Cbw). Voor internal auditors, CISO’s, risk managers en compliance officers binnen de overheid betekent BIO2 meer dan alleen een update van een normenkader. Het vraagt om een andere manier van kijken naar informatiebeveiliging: risicogedreven, aantoonbaar en continu verbeterend. In deze blog bespreken we wat BIO2 precies is, wat er verandert en wat dit betekent voor professionals in audit, risk en control. Waarom een nieuwe versie van de BIO? Digitalisering binnen de overheid gaat snel. Steeds meer diensten worden digitaal aangeboden, systemen zijn gekoppeld in complexe ketens en er is toenemende afhankelijkheid van cloud- en IT-leveranciers. Tegelijkertijd nemen cyberdreigingen toe. De overheid heeft daarom behoefte aan een actueel en uniform normenkader voor informatiebeveiliging. De BIO2 heeft als doel om informatieveiligheid binnen alle overheidsorganisaties op een gemeenschappelijk basisniveau te brengen en tegelijkertijd vertrouwen te creëren tussen ketenpartners die gegevens met elkaar uitwisselen. De BIO2 is daarmee het centrale normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het beschrijft hoe organisaties informatiebeveiliging moeten inrichten, implementeren, onderhouden en verbeteren. De structuur van BIO2 De BIO2 bestaat uit twee onderdelen: Het BIO2-kader; de governance, principes en aanpak van informatiebeveiliging BIO-overheidsmaatregelen; concrete maatregelen die organisaties minimaal moeten implementeren Het kader beschrijft onder andere: de rol van bestuurders en CISO’s; het managementsysteem voor informatiebeveiliging (ISMS); risicomanagementprocessen; en monitoring en verantwoording. De maatregelen vormen de minimale invulling van informatiebeveiliging voor overheidsorganisaties en zijn gebaseerd op internationale standaarden zoals ISO 27001 en ISO 27002. De kern van BIO2: risicogedreven informatiebeveiliging Een belangrijk uitgangspunt van BIO2 is dat informatiebeveiliging niet alleen technisch is, maar vooral een kwestie van risicomanagement. Het proces bestaat uit vijf stappen: Context bepalen Risicomanagementmethodiek kiezen Risico’s identificeren Risicoanalyse uitvoeren Risicobehandeling en selectie van maatregelen Deze stappen vormen de basis voor het managementsysteem voor informatiebeveiliging (ISMS). Het doel is dat organisaties systematisch risico’s identificeren, analyseren en beheersen, en dit proces continu verbeteren. Voor auditors en risicomanagers betekent dit dat de focus verschuift van controle op losse maatregelen naar beoordeling van het gehele risicomanagementproces. Belangrijke thema’s binnen BIO2 Hoewel BIO2 honderden maatregelen bevat, zijn er een aantal thema’s die eruit springen. 1. Bestuurlijke verantwoordelijkheid BIO2 legt nadrukkelijk de verantwoordelijkheid bij de bestuurder van de organisatie. Bestuurders zijn verantwoordelijk voor: het treffen van passende beveiligingsmaatregelen; het goedkeuren van risicobehandelingsmaatregelen; en het toezien op de kwaliteit van de uitvoering. Daarnaast moeten bestuurders voldoende kennis hebben van cyberrisico’s en ervoor zorgen dat medewerkers regelmatig trainingen volgen. Dit betekent dat informatiebeveiliging niet langer alleen een IT-onderwerp is, maar een expliciet bestuurlijk vraagstuk. 2. De rol van de CISO De Chief Information Security Officer (CISO) krijgt binnen BIO2 een duidelijke positie. De CISO: coördineert informatiebeveiliging; adviseert bestuurders; vertaalt wetgeving naar beleid; en rapporteert over de implementatie van maatregelen. Belangrijk daarbij is dat de CISO niet verantwoordelijk is voor de uitvoering van beveiliging, maar voor advies en toezicht. De daadwerkelijke verantwoordelijkheid ligt bij het lijnmanagement. 3. Verplichte minimale maatregelen BIO2 bevat een uitgebreide set verplichte maatregelen, bijvoorbeeld op het gebied van: toegangsbeheer (zoals het toepassen van multi-factor authenticatie); leveranciersmanagement; incidentmanagement; kwetsbaarhedenbeheer; en logging en monitoring. Zo schrijft BIO2 bijvoorbeeld voor dat organisaties multi-factor authenticatie (MFA) moeten toepassen voor accounts met beheerrechten en internettoegang. Ook moet elke organisatie een meldloket voor informatiebeveiligingsincidenten hebben en incidenten systematisch registreren en opvolgen. Deze maatregelen vormen het minimale beveiligingsniveau binnen de overheid. 4. Leveranciers en ketenrisico’s Overheden werken steeds vaker met externe IT-leveranciers en cloudproviders. BIO2 besteedt daarom veel aandacht aan ketenbeveiliging. Organisaties blijven zelf verantwoordelijk voor de risico’s van uitbestede diensten. Dit betekent onder andere dat: beveiligingseisen onderdeel moeten zijn van contracten; leveranciers moeten aantonen dat zij aan beveiligingseisen voldoen; en organisaties audits bij leveranciers moeten kunnen uitvoeren. Voor auditors en risicomanagers wordt supply chain risk management daarmee een belangrijk auditgebied. 5. Continue monitoring en verbetering Informatiebeveiliging is volgens BIO2 geen eenmalig project, maar een continu proces. Organisaties moeten: regelmatig audits uitvoeren; risicoanalyses bijwerken; managementrapportages opstellen; en verbetermaatregelen implementeren. In veel organisaties resulteert dit in een jaarlijkse In Control Verklaring (ICV) over de staat van informatiebeveiliging. Wat betekent BIO2 voor internal auditors? Voor internal auditors verandert er relatief veel. De BIO2 vraagt namelijk niet alleen om controle op maatregelen, maar ook om beoordeling van: governance en verantwoordelijkheden; het risicomanagementproces; de werking van het ISMS; en de effectiviteit van beveiligingsmaatregelen. Auditors zullen daarom vaker kijken naar vragen zoals: Zijn risico’s systematisch geïdentificeerd en geanalyseerd? Is de rol van bestuurders en management duidelijk vastgelegd? Worden incidenten structureel geanalyseerd en gebruikt voor verbetering? Is de afhankelijkheid van leveranciers voldoende beheerst? De audit verschuift daarmee van technische compliance-checks naar brede governance-audits. Wat betekent BIO2 voor risicomanagers en CISO’s? Voor risicomanagers en CISO’s ligt de grootste uitdaging in het operationeel maken van de maatregelen. BIO2 bevat namelijk vooral tactische maatregelen. Organisaties moeten deze eerst vertalen naar concrete processen en technische oplossingen voordat ze geïmplementeerd kunnen worden. Dit vraagt onder andere om: duidelijke beleidskaders; volwassen risicomanagementmethodieken; goede samenwerking tussen IT, security en business; en structurele rapportage richting bestuur. BIO2 als startpunt De BIO2 biedt een stevig fundament voor informatiebeveiliging binnen de overheid. Maar het is geen garantie voor veiligheid. Cyberdreigingen blijven zich ontwikkelen. Organisaties zullen hun maatregelen daarom continu moeten aanpassen en verbeteren. De echte uitdaging zit daarom niet in het implementeren van een normenkader, maar in het creëren van een organisatie waarin informatiebeveiliging structureel onderdeel is van besluitvorming en risicomanagement. Voor auditors, CISO’s en risicomanagers ligt daar een belangrijke rol: zorgen dat informatiebeveiliging niet alleen op papier goed geregeld is, maar ook daadwerkelijk werkt in de praktijk. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Versterk je audit- of riskafdeling met co-sourcing: behoud controle, vergroot expertise en blijf wendbaar. Ontdek hoe Ferocia jou helpt. Alle blogs Co- en outsourcing, Risicomanagement, Internal auditing Co-sourcing auditafdeling of riskafdeling De druk op audit- en riskafdelingen neemt toe. Veranderende wet- en regelgeving, krapte op de arbeidsmarkt en technologische ontwikkelingen vragen om slagkracht, wendbaarheid en specifieke expertise. Maar wat als je die expertise (tijdelijk) niet in huis hebt? Of als je team piekbelasting ervaart? Dan biedt co-sourcing een praktische oplossing. In deze blog lees je wat co-sourcing precies is, wat de voordelen zijn, hoe het in de praktijk werkt en waarom Ferocia de partner is voor co-sourcing op het gebied van audit, risk en control. Wat is co-sourcing? Co-sourcing is een samenwerkingsvorm waarbij je als organisatie externe professionals inschakelt die onderdeel worden van je interne team, zonder dat je de regie verliest. Je houdt zelf de controle over beleid, richting en besluitvorming, en je werkt nauw samen met een (vast) team van externe specialisten die jouw team aanvullen. In tegenstelling tot outsourcing, waarbij je een volledige functie of afdeling overdraagt aan een externe partij, blijft bij co-sourcing het eigenaarschap in jouw handen. De externe professional werkt vanuit jouw visie, jouw structuur en jouw prioriteiten. Denk aan een IT-auditor die tijdelijk je interne auditteam versterkt bij een complexe audit. Of een riskmanager die meedenkt over de inrichting van je risicoraamwerk tijdens een transformatie. Co-sourcing draait dus om samenwerken. Niet om uitbesteden, maar om versterken. Wat zijn de voordelen van co-sourcing? Co-sourcing van je auditafdeling of riskafdeling biedt een reeks concrete voordelen voor organisaties die hun audit- of riskfunctie toekomstbestendig willen maken: 1. Flexibele capaciteit, precies waar en wanneer je het nodig hebt Of het nu gaat om vervanging bij ziekte, tijdelijke onderbezetting of pieken in het werk, co-sourcing geeft je directe toegang tot een vast team van gekwalificeerde professionals die snel kunnen instappen en jouw organisatie en team al kennen. Geen langdurige wervingsprocessen of contractuele verplichtingen voor een kleine opdracht, maar een vaste partner die jou en je team kent en die je ‘direct’ kunt inzetten. 2. Toegang tot gespecialiseerde kennis en ervaring Audit- en riskvraagstukken worden steeds complexer. Denk aan ESG, cybersecurity, dataprivacy, cloudbeveiliging of soft controls. Het is onrealistisch om voor elk onderwerp een specialist in huis te hebben. Via co-sourcing breng je precies die expertise naar binnen die je op dat moment nodig hebt. 3. Kennisoverdracht en versterking van je eigen team Een belangrijk voordeel van co-sourcing is de structurele kennisoverdracht. De externe professional werkt samen met je interne medewerkers en draagt actief kennis, werkwijzen en tools over. Zo investeer je niet alleen in de oplossing van vandaag, maar ook in de veerkracht van morgen. 4. Continuïteit en kwaliteit waarborgen Ziekte, verloop of krapte op de arbeidsmarkt kunnen de kwaliteit en continuïteit van audits of risicomanagement in gevaar brengen. Co-sourcing voorkomt dat je concessies moet doen. Je blijft “in control”, zelfs onder druk. 5. Strategisch sparren op niveau Een ervaren co-sourcingpartner denkt niet alleen mee op operationeel niveau, maar ook op tactisch en strategisch vlak. Zo krijg je waardevolle sparringpartnerschap bij organisatievraagstukken, auditplanning, risicoprofielen of het professionaliseren van je control-framework. Hoe werkt co-sourcing in de praktijk, en waar moet je op letten? Co-sourcing is maatwerk. Succes hangt af van de juiste afstemming, voorbereiding en samenwerking. Dit zijn de belangrijkste aandachtspunten: 1. Start met een heldere behoefteanalyse Welk probleem wil je oplossen? Zoek je tijdelijke capaciteit, specifieke expertise, een frisse blik op je bestaande aanpak of juist een combinatie van deze? Hoe duidelijker de vraag, hoe beter de match. 2. Kies voor inhoudelijke en culturele fit Een goede co-sourcingpartner begrijpt jouw branche, jouw type organisatie en jouw mensen. De externe professional moet niet alleen vakinhoudelijk sterk zijn, maar ook passen binnen de cultuur van je team. Geen solist, maar iemand die direct meedraait. 3. Formuleer gezamenlijke doelen en verwachtingen Leg vooraf vast wat je wilt bereiken, wie waarvoor verantwoordelijk is en hoe je de samenwerking evalueert. Heldere afspraken over doelstellingen, rapportages en terugkoppelmomenten maken het verschil tussen meedraaien en mee-ontwikkelen. 4. Zorg voor voldoende interne verankering Een co-sourcer moet snel kunnen landen. Zorg dus dat er een aanspreekpunt is binnen het team, dat kennis gedeeld wordt en dat de samenwerking wordt ingebed in bestaande werkprocessen. Co-sourcing werkt alleen als er ruimte is om echt samen te werken. 5. Gebruik co-sourcing strategisch Zie co-sourcing niet alleen als “brandjesblusser”, maar als strategisch instrument. Zet het in bij vernieuwing, transformatie of kwaliteitsverbetering. Laat de externe professional bijvoorbeeld een nieuwe auditmethodiek helpen implementeren, of een risicomanagementframework valideren. Zo haal je er maximale waarde uit. Waarom Ferocia jouw co-sourcingpartner is Bij Ferocia begrijpen we dat audit, risk en control geen vakgebieden zijn waarin je met generieke oplossingen uit de voeten kunt. Onze kracht zit in maatwerk, vakmanschap en meedenken op niveau. We werken niet vóór je, we werken met je. Wat maakt ons uniek? Inhoudelijke expertise Onze professionals zijn stuk voor stuk ervaren vakmensen: auditors, risicomanagers en controllers met jarenlange ervaring in uiteenlopende sectoren, van financiële dienstverlening en zorg tot overheid en multinationals. We kennen het vak en de praktijk. Focus op kennisontwikkeling en duurzame versterking Ferocia is niet alleen een detacheerder of opleider. We combineren beide werelden. Onze co-sourcingtrajecten zijn gericht op duurzame ontwikkeling van jouw team. Onze mensen brengen niet alleen capaciteit, maar ook opleiding, coaching en structuur. Direct inzetbaar, snel resultaat Of je nu morgen iemand nodig hebt voor een belangrijke audit, of over drie maanden wilt starten met het herontwerpen van je risicomanagementstructuur, wij leveren snelheid en kwaliteit. Onze consultants zijn gewend om snel te schakelen en direct mee te draaien. Vertrouwd en professioneel partner in governance-vraagstukken We werken met opdrachtgevers in het publieke en private domein aan het versterken van hun governance, compliance en control. We begrijpen hoe het werkt aan de top van de organisatie, en hoe je daar met gezag en vertrouwen acteert. Altijd een sparringpartner Bij Ferocia krijg je niet alleen een consultant, maar ook een vaste contactpersoon die met je meedenkt over de bredere context: strategische personeelsplanning, kennisontwikkeling, verandervraagstukken. Zo denken we met je mee, ook vóór de opdracht. Tot slot: versterken zonder overnemen Co-sourcing is de ideale oplossing voor organisaties die willen groeien in volwassenheid, maar niet willen inleveren op controle, cultuur of kwaliteit. Het is geen quick fix, maar een bewuste keuze om je interne capaciteit en expertise op een slimme manier aan te vullen. Bij Ferocia geloven we in samenwerking die verder gaat dan het vullen van een stoel. Wij geloven in het versterken van jouw team, jouw processen en jouw impact. Wil je kennismaken met co-sourcing op jouw manier? Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek wat de VOR betekent voor internal audit. Lees hoe je de effectiviteit van risicobeheersing aantoont binnen het three lines model. Alle blogs Internal auditing, Risicomanagement, Interim en consultancy VOR en de impact op de internal auditor “Mag ik tekenen?” Het is de vraag die iedere Chief Audit Executive vroeg of laat krijgt van zijn CEO. Met de komst van de Verklaring Omtrent Risicobeheersing (VOR) wordt die vraag urgenter. Bestuurders moeten zich expliciet uitspreken over de opzet, werking en effectiviteit van de interne risicobeheersings- en controlesystemen. Niet alleen voor financiële verslaggeving, maar ook voor operationele, compliance- en duurzaamheidsrisico’s. Dat vergroot de relevantie van internal audit. In deze blog gaan we in op de centrale vraag: Wat is de rol van internal audit ten opzichte van de VOR? De VOR verandert de rol van internal audit niet… en toch ook weer wel Formeel wijzigt de rol van de internal auditfunctie (IAF) niet. De kerntaak blijft het objectief en onafhankelijk beoordelen van de opzet en werking van governance, risicomanagement en beheersing. Maar de context verandert wel, het bestuur moet voortaan: de effectiviteit van de risicobeheersing beoordelen; daarover verantwoording afleggen; en en in de bestuursverklaring aangeven welke mate van zekerheid de systemen bieden. Dit vraagt om een onderbouwing waar internal audit een bijdrage aan kan/moet leveren. Want de werkzaamheden van internal audit vormen een belangrijke pijler onder de VOR. Dat betekent dat auditors scherper moeten nadenken over: de reikwijdte van hun audits; de formulering van hun conclusies; de aansluiting met de risk appetite; en de samenhang met 1e en 2e lijn. Hiermee ‘dwingt’ de VOR internal audit om haar rol explicieter te positioneren binnen het totale ‘assurance’-landschap. De VOR en het Three Lines-model: wie doet wat? De VOR is primair geen verantwoordelijkheid van internal audit. Het bestuur is en blijft eindverantwoordelijk. De 1e lijn identificeert en beheerst risico’s. De 2e lijn ondersteunt en monitort. Internal audit fungeert als onafhankelijke derde lijn. Dat klinkt logisch maar in de praktijk zien we regelmatig: overlap in werkzaamheden; onduidelijkheid over verantwoordelijkheden; gaten in assurance; en/of dubbel uitgevoerde werkzaamheden. De VOR vergroot de noodzaak van het effectief en efficiënt samenwerken tussen de drie lijnen. Het IIA benadrukt het belang van afstemming tussen interne en externe assuranceproviders, zodat de dekking volledig is en inefficiëntie wordt voorkomen. Voor internal audit betekent dit: actief het gesprek voeren over de assurance-architectuur; inzicht hebben in wat de 1e en 2e lijn daadwerkelijk doen; en waar nodig lacunes signaleren. Een ‘assurance map’ is daarbij een praktisch instrument. Door per risicogebied inzichtelijk te maken wie welke zekerheid levert, ontstaat overzicht. Niet alleen voor audit, maar ook voor de 1 ste en 2 de lijn en juist voor het bestuur en de auditcommissie. Aanvullende zekerheid: meer dan bevindingen opsommen De rol van internal audit in relatie tot de VOR is het leveren van aanvullende zekerheid. Internal audit kan op verschillende manieren toegevoegde waarde bieden: 1. Audits op specifieke risicogebieden Operational audits, compliance audits en IT-audits. De bevindingen uit deze onderzoeken vormen bouwstenen voor het oordeel over de effectiviteit van beheersing. Maar let op: alleen bevindingen rapporteren is niet genoeg. De VOR vraagt om een uitspraak over effectiviteit. Dat betekent dat auditors hun observaties moeten plaatsen in de context van onder andere doelrealisatie en risicobereidheid. Een lijst met alleen tekortkomingen zonder duiding zegt namelijk weinig over de vraag of de organisatie haar doelen binnen acceptabele risico’s realiseert. 2. Audit van het risicomanagementproces Internal audit kan ook het proces van risicomanagement zelf beoordelen. Worden (materiële) risico’s volledig geïdentificeerd? Is de systematiek consistent? Wordt de effectiviteit periodiek beoordeeld? Met andere woorden: kan het bestuur op basis van het systeem redelijkerwijs tot een onderbouwde VOR komen? Dit zijn dus audit die niet zozeer gericht zijn op één proces, meer op het managementcontrol systeem als geheel. 3. Toetsing van de concept-VOR Internal audit kan ook beoordelen of de conceptverklaring verenigbaar is met haar bevindingen. Zitten er spanningen tussen auditrapportages en de gekozen formulering van zekerheid? Worden tekortkomingen adequaat benoemd en is de beheerscultuur in lijn met de conceptverklaring? Advies: waar ligt de grens? Naast assurance kan internal audit ook adviseren. Het IIA onderscheidt onder meer: Advies gericht op de onderbouwing van de VOR Advies gericht op de implementatie van de VOR Denk aan: het helpen opzetten van een assurancemap; reflecteren op de materialiteitsanalyse; adviseren over de inrichting van het IRCS; en meedenken over de formulering van zekerheid. Maar hier ligt een spanningsveld. Hoe dichter internal audit betrokken raakt bij de inrichting van het systeem, hoe scherper zij haar onafhankelijkheid moet bewaken. Zeker wanneer zij later hetzelfde systeem moet beoordelen. De mate van volwassenheid van de 2e lijn is daarbij een belangrijk uitgangspunt. In organisaties met een sterke risk- en compliancefunctie zal internal audit zich primair richten op het geven van objectieve en onafhankelijke aanvullende zekerheid. In minder volwassen omgevingen kan tijdelijk een meer faciliterende rol nodig zijn. De echte uitdaging: effectiviteit definiëren Misschien wel de grootste uitdaging rond de VOR is de interpretatie van begrippen als “effectiviteit” en “mate van zekerheid”. De Code laat ruimte voor organisaties om zelf te bepalen hoe zij deze begrippen invullen. Dat klinkt comfortabel, maar het betekent dat internal audit moet meedenken over: Wat verstaan wij onder effectieve beheersing? Wanneer vinden wij de zekerheid voldoende? Hoe verhoudt zich dat tot onze riskappetite? Een control kan technisch goed functioneren, terwijl het restrisico nog steeds hoog is. Een procedure kan bestaan, maar in gedrag worden genegeerd. Effectiviteit is méér dan aanwezigheid van maatregelen. Internal audit moet daarom verder kijken dan checklists. De internal auditor moet controls verbinden aan strategische doelstellingen, betrekt cultuur en gedrag in haar oordeel en durft een integraal oordeel te geven. Wat betekent dit concreet voor de internal auditor? De VOR stelt internal audit voor vijf concrete opgaven. 1. Denk vanuit het totaalplaatje Beperk je niet tot losse audits. Denk na over de samenhang. Hoe dragen jouw audits bij aan de onderbouwing van de VOR als geheel? 2. Stem actief af met 1e en 2e lijn Zorg voor een gedeeld risicoregister en voorkom dat iedereen met zijn eigen risicobeeld werkt. 3. Formuleer scherpere conclusies Durf je oordeel te expliciteren. Plaats bevindingen in het kader van effectiviteit en doelrealisatie. 4. Bewaak je onafhankelijkheid Adviseer waar nodig, maar blijf helder over je rol. Transparantie hierover richting het bestuur en de auditcommissie is essentieel. 5. Ga het bestuurlijke gesprek aan De VOR is geen technisch document. Het is een bestuurlijke verklaring. Internal audit moet daarom op bestuurlijk niveau kunnen sparren over (rest)risico’s, onzekerheden en doelrealisatie. Van controleur naar strategische partner De VOR biedt internal audit dus een kans, een kans om zichtbaar bij te dragen aan: versterking van governance; verbetering van risicomanagement; en transparantie richting stakeholders. En dat vraagt om meer dan alleen technische kennis. Het vraagt om oordeelsvorming, communicatieve kracht, organisatiesensitiviteit en professionele moed. De vraag “mag ik tekenen?” is niet met een simpel ja of nee te beantwoorden. Het antwoord zit in de kwaliteit van het samenspel tussen 1e, 2e en 3e lijn. Internal audit kan daarin het verschil maken. Niet door zelf de VOR te dragen maar door ervoor te zorgen dat het bestuur haar verklaring met overtuiging kan afleggen. En dat is misschien wel de grootste waarde van ons vak! Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek wanneer het uitbesteden van audits slim is, hoe je grip houdt en kwaliteit borgt. Inclusief tips voor co-sourcing, contracten en KPI’s. Alle blogs Co- en outsourcing Uitbesteden van audits Wanneer het slim is, hoe je het regelt en waar je op móét letten Het uitbesteden van audits klinkt aantrekkelijk: extra capaciteit, specialistische kennis en een frisse blik. Toch is het geen eenvoudige keuze. Zonder duidelijke regie ontstaat al snel ruis, lopen kosten uit de pas of verslapt de aandacht voor opvolging. Wie het goed wil doen, begint bij de vraag waarom uitbesteden waarde toevoegt, bepaalt zorgvuldig wat er extern belegd wordt en borgt de kwaliteit vanaf de eerste opdrachtformulering tot en met de laatste verbeteractie. In dit stuk lees je wanneer uitbesteden wel werkt, welke vormen effectief zijn, hoe je onafhankelijkheid en governance organiseert en hoe je stuurt op resultaat in plaats van op uren. Waarom zou je audits uitbesteden? De meest gehoorde reden is schaarste. Teams hebben piekbelasting door reorganisaties, verschuivende behoeften vanuit de opdrachtgever of uitlopende audits, terwijl de jaarplanning gewoon gerealiseerd moet worden. Het uitbesteden van audits helpt dan om het tempo vast te houden zonder concessies te doen aan kwaliteit. Een tweede motief is de behoefte aan specialistische kennis. IT-auditing, cybersecurity, privacy, data-analyse of ESG-audits vragen om ervaring die niet elke interne auditafdeling dagelijks inzet. Door tijdelijk expertise in te kopen, voorkom je dat je team maanden moet investeren in leercurves, terwijl de risico’s nu aandacht vragen. Ook objectiviteit speelt mee. Een externe auditor kijkt met minder bedrijfsblindheid naar processen en durft eerder een ongemakkelijke vraag te stellen. Dat levert scherpere bevindingen op en vaak ook een betere aansluiting op wat bestuur en toezichthouders willen weten. Belangrijk is dat uitbesteden nooit de verantwoordelijkheid verlegt naar de uitbestedende partij. De regie over de werkwijze, templates, communicatie met de organisatie blijft binnen de internal auditfunctie zelf. De externe partij levert capaciteit, kennis en methodiek; de interne auditfunctie behoudt het stuur, bepaalt de prioriteiten en bewaakt de kwaliteit. Wie dat onderscheid helder houdt, ervaart uitbesteden niet als uit handen geven, maar als een manier om de eigen auditdoelen beter en sneller te realiseren. Hoe kun je uitbesteden? (de werkbare modellen) Organisaties kiezen doorgaans uit drie werkvormen. De meest laagdrempelige is projectmatige uitbesteding: één duidelijke opdracht, bijvoorbeeld een IT-audit, een privacyreview of een audit op het inkoopproces. Deze aanpak is ideaal bij piekdrukte of een afgebakende expertisebehoefte. Wie structureel wil versterken, kiest vaak voor co-sourcing. Interne en externe auditors vormen dan één team, hanteren één planning en leveren één rapport. De aanpak combineert continuïteit met kennisoverdracht: interne auditors groeien mee in methodiek en tooling, externe collega’s leren de organisatie sneller doorgronden. Tot slot is er de (deels) uitbestede auditfunctie. Daarbij neemt een externe partij geheel of gedeeltelijk de internal auditfunctie over. De regie blijft bij het bestuur en de uitvoering wordt door de externe partij georganiseerd. Wie net begint, doet er goed aan klein te starten. Een afgebakend project maakt zichtbaar wat de samenwerking oplevert en waar de frictie zit. Op basis van die ervaring schaal je eventueel gericht op naar een structureel model. Governance en onafhankelijkheid: de randvoorwaarden Een effectieve samenwerking begint met helder eigenaarschap. De directie en de auditcommissie blijven eindverantwoordelijk voor het auditplan en de opvolging van bevindingen. De tweede lijn levert input en deelt risicobeelden. De internal auditfunctie is verantwoordelijk voor uit uitvoeren van relevante, deugdelijke en doelmatige audits. Leg vast dat de externe partij geen tegenstrijdige werkzaamheden uitvoert. Wie een proces ontwerpt of implementaties begeleidt, kan niet in dezelfde periode datzelfde domein beoordelen op beheersing en effectiviteit. Toegang en integriteit vragen eveneens aandacht. Externe auditors hebben volledige toegang nodig tot systemen, data en medewerkers. Regel dat vooraf, inclusief geheimhouding, datalocatie, bewaartermijnen en versleuteling. Heldere afspraken maak je niet pas aan het einde van de opdracht of als er iets mis is gegaan, maar direct bij de start van de samenwerking. Regel bijvoorbeeld vooraf hoe de externe partij de haar Quality Assurance organiseert. Denk bijvoorbeeld aan naar de manier waarop dossiers intern worden gereviewd en zorg dat je zelf ook kunt meekijken in werkprogramma’s en dossiervorming. Transparantie is hier geen luxe, maar een basisvoorwaarde voor vertrouwen. Selectie van je auditpartner: waar let je op? De beste pitch is een dossier dat spreekt. Vraag niet alleen om mooie slides, maar om geanonimiseerde voorbeeldrapporten, volledig doorlopen werkprogramma’s en zicht op de gebruikte tooling. Past de aanpak bij jouw sector en risicotaal? Sluiten bevindingen aan op root causes in plaats van symptomen? En zijn aanbevelingen concreet genoeg om binnen jouw organisatie te realiseren? Kijk verder dan het cv van de partner: wie staat er daadwerkelijk op de vloer, hoeveel senioriteit is er in het kernteam en hoe is continuïteit geborgd als het druk wordt? Minstens zo belangrijk is de cultuurfit. Een strakke methodiek is waardevol, maar landt alleen als de toon en het tempo aansluiten bij je organisatie. Dat ontdek je niet in een offerte, maar in de praktijk. Overweeg om bijvoorbeeld een proof-of-concept te organiseren met een echte scope en echte deadlines. Werk samen door alle fasen heen, van intake tot conceptrapport, en evalueer daarna scherp op kwaliteit, tijdigheid, samenwerking en impact. Contracteren van een externe partij Een duidelijk contract voorkomt discussies achteraf en versnelt het werk vooraf. Begin met een scherpe doelomschrijving en reikwijdte van de opdracht. Beschrijf processen, locaties, systemen en standaarden en leg vast hoe de auditcharter zich verhoudt tot interne policy’s en wettelijke eisen. Spreek af welke deliverables je krijgt: het auditprogramma, tussentijdse updates, een managementletter, een concept- en eindrapport en de presentatie aan het managementteam of de auditcommissie. Maak afspraken over doorlooptijden per fase, inclusief afhankelijkheden zoals dataleveringen en interviewplanning. Leg kwaliteitscriteria vast, bijvoorbeeld het aantal fouten in de conceptrapportage en de wijze waarop het dossier wordt opgebouwd en bewaard. Privacy en security vragen om specifieke clausules. Denk aan een verwerkersovereenkomst, dataclassificatie, versleuteling, toegangsbewaking en duidelijke regels over dataretentie en vernietiging. Wie uitbesteden gebruikt om de interne functie te versterken, borgt kennisoverdracht contractueel. Dat kan door co-creatie van normenkaders, overdracht van methodieken, dashboards en gerichte training van het interne team. Neem een helder escalatiemechanisme op, met vaste doorlooptijden en een duidelijke lijn naar het management. En vergeet het einde niet: een exit-plan zorgt dat data worden teruggegeven, openstaande bevindingen worden overgedragen en de auditkalender zonder hapering doorgaat. Commercieel werkt een vaste prijs vaak het beste bij een goed afgebakende scope. Waar flexibiliteit nodig is, help je jezelf met een strak change-proces: elke wijziging krijgt een beoordeling op risico, impact, planning en kosten, zodat bestuurders bewust kiezen. KPI’s en SLA’s die sturen op waarde Uren vertellen weinig. Sturen op waarde begint bij indicatoren die iets zeggen over tijdigheid, kwaliteit, relevantie en effect/impact. Kijk naar het percentage audits dat op planning wordt opgeleverd, naar de doorlooptijd per fase en naar het aantal reviews dat nodig is om het conceptrapport te finaliseren. Meet of aanbevelingen aansluiten bij de kern van het probleem in plaats van bij symptomen. De impact zie je uiteindelijk terug in opvolging: hoe snel worden maatregelen geïmplementeerd en wat is er daadwerkelijk verbetert bij vervolgaudits? Vergeet de samenwerking niet. Een korte vergadering onder proceseigenaren en het interne auditteam geeft inzicht in de kwaliteit van communicatie en kennisoverdracht. Spreek drempelwaarden af en koppel er verbeteracties aan. Als audits structureel te laat zijn, volgt automatisch een gezamenlijke root-cause-analyse en een verbeterplan met concrete acties. Een praktijkvoorbeeld Stel: een middelgrote retailer versnelt de digitalisering met een nieuw e-commerceplatform. De interne auditcapaciteit is beperkt en IT-kennis schaars. De auditcommissie kiest voor co-sourcing op twee sporen. IT-gerelateerde audits worden projectmatig uitbesteed, inclusief data-analyse op logbestanden en autorisaties. Tegelijkertijd investeert de organisatie in kennisopbouw: twee interne auditors leren in de praktijk hoe zij IT-normenkaders opstellen en data-extracties uitvoeren. Contractueel zijn vaste prijzen per audit afgesproken, duidelijke KPI’s op tijdigheid en kwaliteit en een minimale acceptatiegraad van aanbevelingen door het management. De rapportage volgt het interne format en elke conceptfase eindigt met een interactieve sessie met proceseigenaren. Na een half jaar is de doorlooptijd aantoonbaar gedaald en voeren de interne auditors zelfstandig een vervolg-audit uit met hergebruikte methodes. Bevindingen worden sneller opgevolgd omdat de aanbevelingen zijn geschreven in de risicotaal van de organisatie. De auditcommissie besluit de samenwerking uit te breiden naar vendor risk management, maar borgt tegelijk de onafhankelijkheid door advies- en assurance-activiteiten strikt te scheiden. Het stappenplan, maar dan zonder checklist Wie verantwoord wil uitbesteden, begint met een scherpe doelstelling. Gaat het om capaciteit, specialistische kennis of versnelling? Koppel dat doel aan de risicogebaseerde auditplanning en kies vervolgens het model dat daarbij past. Een beperkte, afgebakende opdracht is een verstandige start. Laat de markt zien wat zij kan, maar zet je eigen kwaliteitskaders ernaast. Vervolgens leg je afspraken vast in een solide contract, inclusief privacy- en securityclausules, duidelijke doorlooptijden en expliciete kennisoverdracht. Richt governance in met heldere rollen, een strakke escalatielijn en vaste reviewmomenten. Bewaak de scope en maak het opvolgen van aanbevelingen onderdeel van de opdracht. Tot slot evalueer je niet alleen het rapport, maar het hele proces: wat kon sneller, wat kon scherper en welke templates of methodes verdienen een update? Op die manier wordt elke uitbestede audit ook een investering in je eigen functie. Conclusie: uitbesteden van audits is geen doel, het is een onderbouwde keuze Uitbesteden van audits werkt wanneer je het gebruikt om je eigen functie te versterken. Houd de regie, kies bewust voor een model dat past bij je doelen en borg onafhankelijkheid en kwaliteit in elke stap. Contracteer op resultaten, niet op inspanning, en schrijf aanbevelingen in de taal van je organisatie. Begin klein, leer snel en schaal op waar het rendeert. Zo vergroot je niet alleen de kwaliteit en snelheid van je audits, maar vooral het lerend vermogen van de organisatie. Wie daar vandaag mee begint, zet morgen al de eerste stap naar aantoonbaar effectievere beheersing. Vrijblijvend sparren of het uitbesteden van audits is voor jouw organisatie is en zo ja, welke vorm dat het meest passend is? Neem contact met ons op via telefoon of e-mail, of start direct een chat via het gele tekstbolletje rechtsonder. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

< Terug Vacature Coördinator Financiële administratie VluchtelingenWerk Nederland Per direct 32 tot 36 uur per week Amsterdam / Hybride € 57.404,12 tot € 92.205,93 per jaar SOLLICITEER Over Vluchtelingenwerk Overal ter wereld moeten mensen vluchten voor hun leven vanwege oorlog, politiek geweld, hun seksuele geaardheid, afkomst of religie. In Nederland kunnen zij rekenen op de ondersteuning van VluchtelingenWerk Nederland. Van aankomst tot zelfredzaamheid, zetten velen vrijwilligers en betaalde krachten zich dagelijks in. Jij kunt hieraan bijdragen en helpen de toekomst van vluchtelingen en asielzoekers vorm te geven. Bij VluchtelingenWerk werk je met bevlogen mensen in een organisatie die sterk in beweging is. Over de functie Als Coördinator Financiële Administratie stuur jij dagelijks een team van zes tot acht collega’s functioneel aan. Jij zorgt ervoor dat de financiële administratie op rolletjes loopt – met name aan de inkoop- en betalingskant. Daarnaast ondersteun je de business controller en financial controller met rapportages, analyses en managementinformatie. Je bewaakt de kwaliteit van de cijfers en de betrouwbaarheid van de administratie. Je signaleert verbetermogelijkheden, stelt richtlijnen en procedures op, en vertaalt deze in werkbare processen. Kortom: jij zorgt voor grip, structuur en continuïteit. Waarom dit jouw volgende stap is Je krijgt een centrale rol binnen de organisatie en bent van grote waarde voor de financiële betrouwbaarheid. Je werkt samen met betrokken collega’s in een informele en professionele werkomgeving. Er is volop ruimte om mee te denken en jouw ideeën te realiseren. Je combineert vakinhoudelijke en coördinatiewerkzaamheden. Wat ga je doen? Toezien op correcte verwerking van financiële mutaties en het uitvoeren van interne controles. Implementeren en onderhouden van administratieve richtlijnen en processen. Coördineren van maandrapportages en aanleveren van cijfers volgens de P&C-cyclus. Ondersteunen van je team bij administratieve vraagstukken. Samenwerken met controllers bij het opstellen van analyses, begrotingen en jaarstukken. Fungeren als verbindende schakel tussen afdelingen en schakelen met verschillende lagen in de organisatie. Wie zoeken we? Je beschikt over een afgeronde hbo-opleiding, bij voorkeur in een financiële richting. Je hebt ruime ervaring opgedaan binnen de financiële administratie, en weet hoe je betrouwbare rapportages opstelt en interne controleprocessen effectief inricht. Je analytisch vermogen stelt je in staat om knelpunten te herkennen en verbetermogelijkheden te signaleren. Je overziet het grotere geheel, maar hebt ook oog voor detail. Daarnaast neem je initiatief en toon je eigenaarschap: je wacht niet af, maar handelt proactief. Heb je ervaring met projectadministratie? Dan is dat zeker een pré. Je weet dan hoe je financiële stromen binnen projecten beheerst en overzicht houdt in een dynamische omgeving. Tot slot ben je een echte verbinder. Je bent toegankelijk en communiceert helder. Je biedt ondersteuning waar nodig, hebt oog voor je collega’s en draagt actief bij aan een prettige en professionele werksfeer binnen het team. Voor alle functies binnen VluchtelingenWerk Nederland is een Verklaring Omtrent het Gedrag (VOG) vereist. Kandidaten dienen bereid te zijn om deze VOG aan te vragen en te overleggen voorafgaand aan de indiensttreding. Wat bieden we? Een salaris van tussen € 57.404,12 en € 92.205,93 per jaar inclusief vakantietoeslag en 16,5% IKB (schaal 10). De mogelijkheid om 32 of 36 uur te werken. Hybride werken. Reiskostenvergoeding en thuiswerkvergoeding. Een pensioenregeling via Pensioenfonds Zorg & Welzijn. Loopbaanbudget voor studiekosten. Een telefoon en laptop van de zaak. Over ons Ferocia levert verschillende diensten op het gebied van audit, controlen risicomanagement. Zo bemiddelen we in (interim-)professionals, waarbij we ons onderscheiden met onder meer ons uitgebreide netwerk en scherpe tarieven. Daarnaast ontzorgen onze ervaren consultants organisaties bij vraagstukken op het gebied van sturing en beheersing; van coaching van raden van bestuur tot implementatie van beheersmaatregelen in complexe omgevingen. Ook biedt Ferocia open en inhouse opleidingen en trainingen op voorgenoemde gebieden. Dit alles doen we vanuit het principe ‘inspiratie, co-creatie, prestatie’. Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures ! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Wat betekent NIS2 voor jouw organisatie? Ontdek hoe je cybersecurity en governance nu al op orde brengt met praktische stappen en tips. Alle blogs IT-beheersing NIS2 Stel je voor: je werkt bij een ziekenhuis, een drinkwaterbedrijf of een regionale vervoerder. Het is maandagochtend, systemen vallen uit, bestanden zijn versleuteld, meldingen stromen binnen. Patiënten kunnen niet ingepland worden, pompen zijn niet op afstand aan te sturen, reisinformatie klopt niet meer. Binnen een uur gaat het niet meer alleen over “IT”, maar over continuïteit, veiligheid en over reputatie. In dat spanningsveld is de NIS2-richtlijn ontstaan. NIS2 moet ervoor zorgen dat organisaties in kritieke sectoren hun cybersecurity en digitale weerbaarheid structureel op orde brengen, mét duidelijke verantwoordelijkheden voor bestuur en management. In deze blog nemen we NIS2 onder de loep. Wat is het, wie valt eronder, wat vraagt het concreet en vooral: wat betekent dit voor internal audit, risk management en control? Wat is NIS2 en waarom nu? NIS2 staat voor de Network and Information Security Directive 2 : een Europese richtlijn die als doel heeft een hoog, gemeenschappelijk niveau van cybersecurity in alle lidstaten af te dwingen. Het is de opvolger van de eerste NIS-richtlijn en breidt de scope, verplichtingen en handhaving flink uit. De kern is: lidstaten en organisaties moeten hun netwerk- en informatiesystemen zo inrichten dat essentiële diensten, denk aan energie, transport, zorg, financiën en digitale infrastructuur ook bij cyberincidenten kunnen blijven draaien. Belangrijke data: De NIS2-richtlijn is op EU-niveau in werking getreden op 17 oktober 2024 . Lidstaten moesten NIS2 uiterlijk op 17 oktober 2024 omzetten in nationale wetgeving; in de praktijk zijn veel landen te laat, waardoor de Europese Commissie in 2024 en 2025 inbreukprocedures is gestart. In Nederland gebeurt de implementatie via de Cyberbeveiligingswet (Cbw) . Die wordt, zoals het er nu uitziet in de tweede helft van 2026 van kracht. Dat de nationale wet in Nederland later komt, betekent niet dat je achterover kunt leunen. De richtlijn is er, de verwachtingen van toezichthouders groeien en de cyberdreiging neemt aantoonbaar toe. Wie valt er onder NIS2? NIS2 richt zich op organisaties die essentiële of belangrijke diensten leveren aan de economie en de samenleving. De richtlijn onderscheidt: Essentiële entiteiten , zoals energie- en netwerkbeheerders, grote zorginstellingen, banken en aanbieders van digitale infrastructuur. Belangrijke entiteiten , zoals bepaalde industriële producenten, logistieke bedrijven, digitale dienstverleners, post- en koeriersdiensten en delen van de maakindustrie. In grote lijnen geldt: NIS2 is gericht op middelgrote en grote organisaties (vanaf 50 medewerkers of een jaaromzet vanaf 10 miljoen euro), in sectoren die als kritisch zijn aangewezen. Micro- en kleine ondernemingen vallen meestal buiten scope, behalve in uitzonderlijke gevallen, bijvoorbeeld bepaalde trust- of digitale dienstverleners. Veel organisaties zijn nog druk bezig om überhaupt te bepalen: “Vallen wij eronder?” Juist hier ligt een rol voor riskmanagers en internal auditors: sector, omvang, rol in de keten en afhankelijkheden scherp krijgen en op basis daarvan bepalen of NIS2 (direct of indirect) relevant is. De kernverplichtingen van NIS2 in gewone taal NIS2 vertaalt zich voor organisaties grofweg in vier grote “blokjes verplichtingen”: 1. Risicomanagement Organisaties moeten systematisch cyberrisico’s identificeren, beoordelen en beheersen . Dat gaat veel verder dan een eenmalige risicoanalyse. Denk aan beleid, processen, technische maatregelen, monitoring, logging, vulnerability management, encryptie, identity & access management en security in de supply chain. 2. Corporate accountability Bestuur en hoger management kunnen zich niet langer verschuilen achter “IT regelt dit wel”. Zij moeten de cybersecuritymaatregelen goedkeuren, toezien op de uitvoering en blijven eindverantwoordelijk . Lidstaten moeten bovendien zorgen dat bestuurders bij ernstige nalatigheid persoonlijk aansprakelijk kunnen worden gesteld; in uiterste gevallen kunnen functies tijdelijk worden geschorst bij essentiële entiteiten. 3. Meldplicht en rapportage Bij ernstige incidenten geldt een strikte meldplicht richting de bevoegde autoriteit (en vaak ook Computer Security Incident Response Team: CSIRT), inclusief een eerste melding binnen 24 uur, een gedetailleerdere melding binnen enkele dagen en een eindrapportage na afhandeling. 4. Business continuity en crisismanagement Organisaties moeten aantonen dat ze continuïteit en herstel kunnen waarborgen: back-up- en herstelprocedures, noodscenario’s, crisisplannen, communicatieafspraken met stakeholders, en het oefenen hiervan. Deze verplichtingen worden versterkt met stevige toezicht- en sanctiebevoegdheden . Boetes kunnen in de miljoenen lopen en zijn gekoppeld aan omzet. Voor internal auditors en risicomanagers sluiten deze thema’s aan bij waar ze al mee bezig zijn: risico’s in kaart brengen, beheersmaatregelen beoordelen, incidenten analyseren en bestuurders in positie brengen. NIS2 is geen IT-project maar een governancevraagstuk Een veelgemaakte denkfout is dat NIS2 “iets van IT” is. Natuurlijk gaat het over firewalls, logging, kwetsbaarhedenscans en patchmanagement. Maar de essentie van NIS2 is governance. De richtlijn maakt IT onderdeel van risicomanagement en de besturing van de organisatie. Het gaat om strategische keuzes: welke processen zijn vitaal, welke impact tolereren we, hoe verankeren we cybersecurity in onze planning & control, hoe sturen we op gedrag en cultuur? Dit sluit aan bij de praktijk van operational auditing: de auditor kijkt niet alleen naar individuele controles, maar naar de vraag of de beheersing zo is ingericht dat de organisatie haar doelen waarschijnlijk gaat behalen. Met andere woorden: is de organisatie digitaal weerbaar genoeg om te blijven functioneren in een wereld vol dreiging? De rol van internal audit, risk en control bij NIS2 Voor de drie lijnen (three lines model) creëert NIS2 het volgende speelveld: Eerste lijn (business & IT) : eigenaar van processen, systemen en maatregelen. Zij moeten NIS2 echt implementeren in ontwerp, inrichting en dagelijkse operatie. Tweede lijn (risk, compliance, CISO) : ontwikkelt kaders, monitort, ondersteunt en daagt uit. Derde lijn (internal audit) : geeft een onafhankelijk oordeel over het geheel: governance, risico’s, controles, rapportages én cultuur. Voor internal auditors en risicomanagers betekent dit: 1. Scope en impact scherp krijgen Wie in jouw organisatie valt onder NIS2? Welke entiteiten, processen, ketens en systemen zijn kritisch? Hoe verhouden NIS2-eisen zich tot bestaande kaders als ISO 27001, COBIT, DORA of sectorale regelgeving? 2. Gap-analyse en roadmap Een gestructureerde vergelijking tussen de huidige situatie en NIS2-verplichtingen: beleid, risk assessments, incidentprocessen, monitoring, contracten met leveranciers, governance, rapportages en training van bestuur en medewerkers. Daaruit volgt een realistische roadmap met prioriteiten, afhankelijkheden en mijlpalen. 3. Opzet van een meerjarig audit- en toetsprogramma NIS2 is geen eenmalige compliance oefening. Het vraagt om een meerjarige cyclus van onderzoeken, toetsen en verbeteren . Internal audit kan bijvoorbeeld jaarlijks de governance en incidentmanagement beoordelen, periodiek deep dives doen op kritieke ketens en specifieke thema-audits uitvoeren op topics als third-party risk of OT-security. Risk Management kan daarbij de risicokaders actualiseren, de NIS2-risicoanalyse coördineren, voortgang en effectiviteit van beheersmaatregelen monitoren, en de eerste lijn ondersteunen bij het doorvoeren van verbeteringen en het verhogen van risicobewustzijn. 4. Aandacht voor soft controls Net als bij andere governance- en risicothema’s geldt ook hier: gedrag bepaalt of maatregelen écht werken. Worden phishingmails gemeld? Durft een medewerker een datalek te escaleren? Neemt het management cyberrisico’s serieus, of blijft het een IT-agenda-item onderaan? In de opleidingen en blogs van Ferocia komt deze balans tussen hard en soft controls nadrukkelijk terug. Auditors die naast de formele beheersmaatregelen ook cultuur en gedrag meenemen, leveren aanbevelingen op die verder gaan dan het “afvinken” van NIS2-artikelen. Specifiek voor Nederland: NIS2 zonder wet? Een veelgehoorde vraag in de Nederlandse praktijk: “Moeten we nu al iets met NIS2? De wet is er toch nog niet?” Formeel klopt dat: de Cyberbeveiligingswet , de Nederlandse implementatie van NIS2 wordt pas in 2026 verwacht. Tegelijkertijd benadrukken overheid, toezichthouders en adviespartijen: wacht niet tot het laatste moment. De inhoudelijke eisen veranderen niet wezenlijk meer, de dreiging is er al en je hebt tijd nodig om volwassen processen op te bouwen. Voor internal audit en risk biedt dit juist een kans: Je kunt proactief een nulmeting doen. Je hebt ruimte om maatregelen goed te laten aansluiten op de organisatie , in plaats van ad hoc te reageren op wetgeving. Je kunt NIS2 integreren in bestaande trajecten rond DORA, ISO 27001, privacy en business continuity, zodat er één samenhangend weerbaarheidsverhaal ontstaat. Veelvoorkomende valkuilen bij NIS2 In gesprekken met auditors, risicomanagers en controllers komen steeds dezelfde valkuilen naar voren: tijdgebrek, snel veranderende regelgeving en complexe IT-omgevingen. Een eerste valkuil is dat NIS2 wordt behandeld als een los compliance project . Er wordt beleid geschreven, procedures bij elkaar gezocht en een incidentformulier gemaakt, maar de relatie met strategische doelen, risk appetite en de planning- & controlcyclus ontbreekt. Een tweede valkuil: NIS2 verdwijnt in een technisch jargon dat voor bestuur en business niet te volgen is. Dan wordt het toch weer een IT-verhaal, terwijl de richtlijn juist inzet op bestuurlijke verantwoordelijkheid, training van management en brede verankering in de organisatie. Een derde valkuil is dat organisaties zich blindstaren op het moment dat de wet in werking treedt. Terwijl NIS2 in de kern gaat over structurele weerbaarheid : de kwaliteit van je processen, de volwassenheid van je riskmanagement en het lerend vermogen van je organisatie. Dat bouw je niet in een paar maanden op. Hoe kun je vandaag al beginnen? Of je nu internal auditor, riskmanager, CISO of controller bent: je hoeft niet te wachten op een Kamerdebat of op de wet. Een paar concrete eerste stappen: Begin met een inventarisatie op hoofdlijnen : in welke NIS2-sectoren ben je actief, wat is je omvang, welke rol speel je in de keten? Gebruik daarbij publiek beschikbare overzichten van sectoren en entiteitstypen als grove check. Breng vervolgens in kaart welke elementen je al hebt: riskmanagementprocessen, ISO 27001, BCM-plannen, incidentprocessen, awarenessprogramma’s. Vaak blijkt dat er veel ís, maar dat samenhang, eigenaarschap en rapportage ontbreken. En tenslotte: zet NIS2 op de agenda van bestuur en auditcommissie. Niet als angstverhaal over boetes, maar als strategisch gesprek over digitale continuïteit, reputatie en vertrouwen. Daar ligt precies de meerwaarde van de internal auditor en risicomanager: scherpe vragen stellen, verbanden leggen en het gesprek verder brengen dan “hebben we dit afgevinkt?”. Tot slot NIS2 is een stevige zet van Europa om de digitale ruggengraat van economie en samenleving weerbaar te maken, in een tijd waarin cyberaanvallen, geopolitieke spanningen en ketenafhankelijkheden elkaar versterken. Voor organisaties in kritieke sectoren én voor professionals in audit, risk, control en compliance is NIS2 daarmee vooral een uitnodiging: om cybersecurity niet meer als bijzaak of IT-hobby te zien, maar als volwaardig onderdeel van governance, risicomanagement en strategie. Juist hier ondersteunt Ferocia organisaties, via opleidingen en training, interim en consultancy en werving & selectie zodat je niet alleen “NIS2-compliant” bent, maar vooral: aantoonbaar digitaal weerbaar, nu én in de toekomst. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe een DORA audit bijdraagt om jouw organisatie digitaal weerbaar maakt. Praktische tips en een stappenplan! Alle blogs IT-beheersing DORA audit Stel je voor: je wordt wakker en internetbankieren werkt niet. Betalingen lopen vast, orders worden niet verwerkt, de klantenservice raakt overspoeld. Een storing van een paar uur, maar de impact is direct voelbaar in omzet, vertrouwen en misschien zelfs in de headline van het journaal. Precies dát scenario wil de Digital Operational Resilience Act (DORA) beperken. En precies dáár komt de DORA audit in beeld. Wat is DORA in gewone mensentaal DORA is Europese regelgeving die moet borgen dat financiële organisaties digitaal weerbaar zijn. Niet alleen tegen cyberaanvallen, maar tegen álle ICT-gerelateerde verstoringen: van uitval van een datacenter tot een mislukte release van nieuwe software. De regeling geldt voor een breed palet aan financiële instellingen: banken, verzekeraars, beleggingsinstellingen, betaalinstellingen en meer. In totaal zo’n twintig typen financiële entiteiten vallen onder de reikwijdte. Daarnaast introduceert DORA een toezichtskader op zogeheten “kritieke ICT-dienstverleners”, zoals grote cloud- en technologiepartijen die cruciaal zijn voor de financiële sector. De kern van DORA draait om vijf thema’s: Een robuust ICT-riskmanagement raamwerk. Beheersing en rapportage van ICT-incidenten. Periodieke testen van digitale weerbaarheid. Beheer van risico’s rond uitbestede ICT-diensten (third parties). Informatie-uitwisseling over dreigingen en kwetsbaarheden. Belangrijk detail: instellingen moeten vanaf 17 januari 2025 aantoonbaar voldoen aan DORA. Dat maakt de vraag “hoe DORA-proof zijn wij eigenlijk?” urgent voor bestuur, directie én internal audit. Wat is een DORA audit? Een DORA audit is een systematisch onderzoek naar de vraag in hoeverre een organisatie voldoet aan de eisen van DORA én of de digitale operationele weerbaarheid daadwerkelijk op niveau is. Het gaat dus niet alleen om “hebben we beleid op papier?”, maar vooral om: werkt het, sluiten we aan bij de risico’s van deze organisatie, en kunnen we dat aantonen richting de toezichthouder? Inhoudelijk raakt een DORA audit onder meer: Governance en rol van bestuur en hoger management in ICT-risicomanagement. Opzet, bestaan en werking van het ICT-riskmanagementframework (beleid, processen, rapportages). Registratie, classificatie en rapportage van ICT-incidenten en “major incidents”. De manier waarop digitale weerbaarheid getest wordt, van business continuity tot penetratietests. Contractmanagement en riskmanagement rond ICT-dienstverleners, inclusief kritieke third parties. DORA schrijft expliciet voor dat het ICT-risicomanagement framework onderdeel moet zijn van het totale risicomanagementsysteem en dat dit framework periodiek onderwerp van interne audit is. Daarmee is de DORA audit geen ‘nice to have’, maar een directe opdracht aan de derde lijn. Voor internal auditors, riskmanagers en compliance officers sluit dit nauw aan bij hun bestaande verantwoordelijkheden: risico’s identificeren, beheersmaatregelen beoordelen, compliance borgen en het bestuur in positie brengen. Waarom een DORA audit méér is dan “nog een IT-audit” Veel organisaties behandelen DORA aanvankelijk als “de zoveelste IT-regelgeving”. Maar wie DORA reduceert tot een technisch compliance-project, mist de essentie. DORA gaat niet alleen over firewalls, back-ups en loggingsystemen. Het gaat over de continuïteit van primaire processen en het vertrouwen van klanten. De wetgever heeft bewust gekozen voor een integrale benadering waarin ICT-risico’s expliciet onderdeel zijn van het bredere risicomanagement en de governance van de organisatie. Dat zie je bijvoorbeeld terug in: De nadruk op bestuur en senior management: zij blijven eindverantwoordelijk voor digitale weerbaarheid, ook als er veel is uitbesteed. De rol van critical ICT third-party providers, die onder direct Europees toezicht kunnen vallen. De verplichting om ICT-risico’s, incidentmanagement, testen en third-party risk in één samenhangend framework onder te brengen. Een DORA audit raakt dus de volle breedte van de organisatie: business, IT, risk, compliance, inkoop én directie. Juist daarom ligt hier een belangrijke kans voor internal audit om zich te positioneren als strategische partner in plaats van “controleur achteraf”. De vijf bouwstenen van een DORA audit verder uitgediept Om de DORA audit concreter te maken, loont het om de vijf thema’s nog iets verder uit te werken, in gewone taal. 1. Governance en strategie Hier gaat het om de vraag: heeft de organisatie digitaal risicobewust leiderschap? Bestuur en directie moeten niet alleen formeel verantwoordelijk zijn, maar ook aantoonbaar betrokken: via rapportages, besluitvorming over risk appetite, prioritering van investeringen en het stellen van de juiste vragen. Een goede DORA audit kijkt of digitale weerbaarheid verankerd is in strategie, risk appetite, impacttoleranties en de planning- & controlcyclus. 2. ICT-riskmanagementframework DORA verlangt een “sound, comprehensive and well-documented” ICT-risicomanagementframework. Dat betekent: duidelijke policies, processen, rollen, risk assessments, controls, monitoring en rapportages. Voor auditors is dit vertrouwd terrein: je beoordeelt de opzet, het bestaan en de werking van het framework, met specifieke aandacht voor de aansluiting op de organisatiecontext en de proportionaliteit (niet elk klein kantoor hoeft een bank-achtige inrichting te hebben). 3. Incidentmanagement en rapportage Als er iets misgaat, moet dat snel zichtbaar zijn, intern én, bij grote incidenten, voor de toezichthouder. DORA stelt eisen aan detectie, logging, classificatie, escalatie en rapportages van ICT-incidenten. In de audit kijk je daarom niet alleen naar het incidentregister, maar ook naar monitoring, alerting, de praktijk van storingsafhandeling en de kwaliteit van root cause analyses. 4. Testen van digitale weerbaarheid Weerbaarheid kun je niet alleen op papier beoordelen. DORA verlangt periodieke testen, variërend van basis-testen tot geavanceerde threat-led penetratietests. Voor de audit betekent dit: beoordelen of het testplan risicogebaseerd is, of de resultaten leiden tot concrete verbeteracties en of lessen uit oefeningen (bijvoorbeeld crisis-simulaties) daadwerkelijk worden opgepakt. 5. Third-party risk management Veel financiële instellingen leunen (zwaar) op externe ICT-dienstverleners, van cloud tot betalingsplatforms. DORA stelt scherpe eisen aan contracten, auditrechten, exit-strategieën en het structureel monitoren van deze leveranciers. Een DORA audit zoomt in op de keten: begrijpt de organisatie welke functies afhankelijk zijn van welke leveranciers, zijn de contracten DORA-proof en hoe wordt de performance en security van leveranciers gemonitord? De DORA audit stap voor stap Hoewel elke organisatie en elke auditopdracht uniek is, kun je een DORA audit grofweg langs vijf stappen opbouwen. 1. Begrijp de context en scope Start met helderheid: op welke entiteiten is DORA van toepassing, welke diensten zijn kritisch en welke ICT-ketens horen daarbij? Voor internal auditors betekent dit: De organisatiestructuur en vergunningen goed begrijpen. In kaart brengen welke processen “kritieke of belangrijke functies” ondersteunen. Bepalen welke ICT-assets en third parties essentieel zijn voor die functies. Pas als deze scope scherp is, kun je zinnige uitspraken doen over digitale operationele weerbaarheid. 2. Leg de link met het bestaande risicomanagement DORA vraagt om integratie met het bestaande risicomanagementframework, niet om een parallel DORA-universum. Een logische vervolgstap is dus om te analyseren: Hoe ICT-risico’s nu in de enterprise risk management (ERM)-cyclus zijn opgenomen. In hoeverre het bestaande risk- en control-framework al aansluit bij de DORA-eisen. Of rollen en verantwoordelijkheden rondom ICT-risico’s duidelijk zijn belegd, in lijn met het three lines model . Internal auditors en riskmanagers ervaren in de praktijk vaak dat ICT-risico’s versnipperd zijn belegd en dat IT en business verschillende talen spreken. Een DORA audit legt deze fricties helder bloot, en kan zo een katalysator zijn voor verbetering. 3. Voer een gerichte DORA gap-analyse uit Een goede DORA audit begint met inzicht in de grootste gaten. Geen checklist van honderden eisen, maar een gerichte analyse langs de volgende hoofdthema’s: Governance en strategie: is er een duidelijke digitale weerbaarheidsstrategie, met risk appetite en impacttoleranties voor ICT-verstoringen? ICT-riskmanagement: is er een gedocumenteerd framework, inclusief beleid, processen, rollen, rapportages en monitoring? Incidentmanagement: worden ICT-incidenten volledig en uniform geregistreerd, geclassificeerd en opgevolgd? Kun je major incidents tijdig rapporteren aan toezichthouders? Testen van digitale weerbaarheid: zijn er structurele tests, van functionele recovery-tests tot crisis-oefeningen en – waar nodig – threat-led penetratietests? Third-party risk: zijn contracten, exit-strategieën, auditrechten en rapportages rond kritieke ICT-leveranciers in lijn met DORA vereisten? In deze fase komt de expertise van auditors sterk naar voren: het scherp krijgen van de werkelijke onderzoeksvraag, het kiezen van passende criteria en het analyseren van complexe ICT-ketens. 4. Ontwerp een meerjarig DORA auditprogramma Een DORA audit is geen eenmalige exercitie. Het ICT-riskmanagementframework moet periodiek worden herzien en is onderwerp van terugkerende interne audits. Een volwassen aanpak vraagt dus om een meerjarig auditprogramma, waarin je bijvoorbeeld: Jaarlijks de governance, risk-rapportages en incidentmanagement beoordeelt. Periodiek diepgravende audits doet op kritieke ICT-ketens, zoals betaalverkeer of handelsplatforms. Thematisch audits plant op third-party risk, security-monitoring of crisis-oefeningen. Voor internal auditors bij grote organisaties sluit dit goed aan bij bestaande auditplannen en KPI’s zoals het aantal afgeronde audits, de dekking van kritieke risico’s en de mate van compliance. 5. Besteed expliciet aandacht aan cultuur en gedrag Digitale weerbaarheid is niet alleen techniek, processen en papieren beleidsdocumenten. Het draait net zo goed om gedrag: melden mensen incidenten? Nemen lijnmanagers eigenaarschap voor ICT-risico’s? Worden lessons learned echt benut? Ferocia besteedt in haar opleidingen veel aandacht aan de balans tussen hard en soft controls en aan het doelgericht beïnvloeden van gedrag binnen organisaties. De DORA audit is een uitstekende gelegenheid om die bril op te zetten: Hoe praten mensen in de organisatie over ICT-risico’s; als “IT-probleem” of als strategische factor? Is er een open meldcultuur rondom incidenten en bijna-incidenten? Worden testresultaten en auditbevindingen gebruikt om te leren, of alleen om vinkjes te zetten richting toezichthouder? Internal auditors die ook de culturele dimensie onderzoeken, leveren veel rijkere en duurzamere aanbevelingen op dan wanneer ze alleen de formele beheersmaatregelen beoordelen. Veelgemaakte fouten bij DORA audits In de praktijk zien we een aantal valkuilen terugkeren: Organisaties die DORA puur als IT-project behandelen, missen de koppeling met strategie en business. Dan ontstaat er een “compliance-laagje” over bestaande processen, zonder dat de echte kwetsbaarheden verdwijnen. Een andere valkuil is het overschatten van de huidige volwassenheid: “we doen al jaren iets met BCM en cyber, dus dat zal wel goed zitten”. Een DORA audit laat vaak zien dat processen niet integraal zijn, dat rapportages versnipperd zijn en dat er gaten zitten in incidentregistratie of third-party-beheer. Tot slot is er het risico van te veel focus op documenten. Een fraai geschreven beleidsstuk zegt weinig als medewerkers het niet kennen, systemen het niet ondersteunen of incidenten tóch langs de radar glippen. Hier komt het vakmanschap van de operational auditor naar voren: dóórvragen, de werkvloer op, feiten checken. De rol van internal audit na 17 januari 2025 Vanaf het moment dat DORA volledig van kracht is, wordt de DORA audit geen eenmalige exercitie maar een terugkerend onderdeel van de auditplanning. Voor internal auditors bij grote organisaties betekent dit: ICT-risico’s structureel opnemen in de risicobeoordeling en audituniversum. Zorgen voor voldoende kennis en vaardigheden op het gebied van ICT-risicomanagement en digitale weerbaarheid. Intensief samenwerken met risk management en compliance om dubbel werk te voorkomen en toch onafhankelijke assurance te bieden. Daarmee groeit de internal auditor steeds meer uit tot gesprekspartner van bestuur en toezichthouder over digitale weerbaarheid. Door scherp, onafhankelijk en toekomstgericht te onderzoeken en te rapporteren. Hoe Ferocia kan ondersteunen? DORA raakt precies de gebieden waar Ferocia dagelijks mee bezig is: audit, control, risk management en compliance, zowel via opleidingen en trainingen als via interim en consultancy en werving en selectie. Of je nu internal auditor, riskmanager of compliance officer bent: een stevig DORA onderzoek vraagt om actuele kennis, praktische vaardigheden en het vermogen om techniek, processen en gedrag met elkaar te verbinden. Met praktijkgerichte opleidingen, ervaren interim-professionals en ondersteuning bij het opbouwen van je audit- en riskteam helpt Ferocia organisaties om niet alleen “DORA-compliant” te zijn, maar vooral écht digitaal weerbaar. Zodat bestuurders rustig kunnen slapen, óók als er ergens in de keten een storing optreedt. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe Ferocia e-learning, hybride classrooms en simulaties inzet voor effectiever leren in audit, control en risk. Flexibel, persoonlijk en impactvol. Alle blogs Opleiding en training Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties. In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De tijd van “jij zit en wij zenden” is voorbij We hoeven je niet te vertellen dat de tijd van klassikale eenrichtingsverkeer voorbij is. Toch is het goed om stil te staan bij hoe ingrijpend die verschuiving is. Ooit was een opleiding of training vrijwel altijd een bijeenkomst op locatie. Een docent vertelt. De groep luistert. Aan het eind een vragenrondje. Klaar. Maar de professionals van nu, internal auditors, compliance officers, riskmanagers, controllers hebben andere verwachtingen. Hun werk is complexer geworden. Sneller en meer verspreid over locaties, rollen en disciplines. Ze willen leren op het moment dat het nodig is, niet alleen als het uitkomt in de planning van een lesrooster. Daarom werken we bij Ferocia met een hybride leeraanpak , waarbij we de sterke kanten van fysiek onderwijs combineren met de voordelen van technologie. Geen zwart-witkeuze, maar een slimme mix. E-learning als fundament: zelf leren, op je eigen moment E-learning heeft inmiddels zijn plek veroverd binnen het opleidingslandschap. Bij Ferocia gebruiken we e-learningmodules als fundament onder veel van onze opleidingen en trainingen. Denk aan: voorbereidingsmodules voorafgaand aan een training of opleiding; verdiepingstrajecten naast een klassikale of online les; toetsmomenten om kennis tussentijds te evalueren; en kennisclips en casussen die je kunt terugkijken wanneer jij dat wilt. Zo kunnen deelnemers zich in hun eigen tempo voorbereiden, herhalen of verdiepen. Geen tijdverspilling meer met klassikale kennisoverdracht die je ook prima individueel kunt doen. Daardoor blijft er meer ruimte over voor interactie, verdieping en toepassing naar jouw praktijk tijdens de bijeenkomsten zelf. En dat is belangrijk. Want kennis beklijft beter als je het zelf hebt ontdekt en kunt vertalen naar jouw eigen praktijk. Onze hybride classroom studio’s: fysiek en online echt verbonden Soms is fysiek samenkomen waardevol. Maar het is niet altijd haalbaar, zeker niet als je teamleden verspreid zijn over het land of als de reistijd niet opweegt tegen de lestijd. Daarom hebben we bij Ferocia geïnvesteerd in moderne hybride classroom studio’s. Hiermee combineren we fysieke en online deelname op een manier die voor iedereen werkt. Wat maakt onze hybride classrooms bijzonder? Volledige interactie : deelnemers op afstand kunnen net zo goed meedoen als degenen in de zaal. Met camera’s, microfoons en schermen zorgen we dat iedereen zichtbaar en hoorbaar is. Flexibiliteit : deelnemers kiezen zelf of ze fysiek aanwezig zijn of online inloggen. Gelijke leerervaring : zowel online als fysiek krijg je dezelfde inhoud, dezelfde opdrachten, en dezelfde aandacht van de docent. De tijd van "wie online meedoet, kijkt alleen maar mee" is voorbij. In onze hybride trainingen ben je volwaardig deelnemer, ongeacht je locatie. Simulaties: waar leren echt tot leven komt Een goede training stopt niet bij kennis. Want in het werkveld van audit, risk en control draait het om meer dan wat je weet, het gaat vooral om hoe je handelt. Wat doe je als een afdeling niet meewerkt aan je audit? Hoe presenteer je een kritisch rapport zonder de relatie te schaden? Hoe ga je om met ethische dilemma’s? Daarom werken we bij Ferocia steeds vaker met realistische simulaties. Bijvoorbeeld: een auditopdracht in een fictieve maar levensechte organisatieomgeving; een crisissituatie waarbij deelnemers moeten adviseren onder tijdsdruk; een teamopdracht waarbij soft controls net zo belangrijk zijn als het proces. Deze simulaties vinden deels plaats in onze studio’s en/of deels online middels breakout rooms. Ze zijn spannend, intensief en vooral ontzettend leerzaam. Waarom het werkt? Deelnemers ervaren echte dilemma’s, in een veilige oefenomgeving. Ze oefenen niet alleen kennis, maar ook gedrag en samenwerking. Ze krijgen directe feedback op keuzes en reflecteren op hun aanpak. Zo brengen we leren dichter bij de praktijk en dat is waar de echte groei plaatsvindt. Hybride leren: meer dan techniek alleen Natuurlijk is technologie belangrijk. Maar hybride leren is meer dan wat knoppen en schermen. Het gaat om didactiek; hoe bouw je een leerervaring die echt blijft hangen? Hoe zorg je dat deelnemers betrokken blijven? Hoe stimuleer je reflectie, interactie, nieuwsgierigheid? Daarom ontwerpen we onze programma’s rondom het hybride leerproces, met aandacht voor: Voorbereiding: wat kun je zelf doen voordat je samenkomt? Interactieve bijeenkomsten: fysiek of online, altijd met ruimte voor oefenen, reflecteren en feedback. Follow-up: hoe zorg je dat het geleerde beklijft? Welke opdrachten, coaching of e-learning helpen daarbij? Hybride leren vraagt dus ook iets van ons als opleiders. We trainen onze docenten in online didactiek. We ontwerpen modules met afwisseling en activatie. En we evalueren voortdurend wat werkt en wat beter kan. Wat blijft er wel hetzelfde? In al die innovatie vergeten we één ding niet; goed onderwijs draait nog altijd om mensen. Om het gesprek met de docent of trainer. Het sparren met vakgenoten. De ruimte om stil te staan bij wat je doet, waarom je het doet, en wat beter kan. Technologie is geen vervanger van de menselijke maat. Het is een verrijking. Het biedt flexibiliteit, snelheid en schaalbaarheid. Maar de kern blijft, leren is mensenwerk en dat geldt zeker ook voor onze trainingen en opleidingen. Wat betekent dit voor jou? Of je nu een individueel professional bent die wil bijblijven, of HR- of L&D-verantwoordelijke die zoekt naar impactvolle inhouse leertrajecten voor je team, onze aanpak maakt het verschil. Door slim gebruik van technologie en persoonlijke begeleiding zorgen we dat leren werkt. Dus: Wil je je vakkennis verdiepen via e-learning op je eigen moment? Wil je een training volgen waarbij je kunt kiezen tussen fysiek of online deelnemen, zonder concessies? Wil je echte situaties oefenen, zodat je sterker staat in je werk? Dan ben je bij Ferocia aan het juiste adres. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

< Terug Vacature Lead Risk monitoring Bovemij Per direct 32 tot 40 uur per week Nijmegen / Hybride € 60.028,- tot € 104.700,- per jaar SOLLICITEER Over Bovemij Bovemij Group is de specialist in alles wat met mobiliteit te maken heeft. Met de merken Bovemij Verzekeringen, Autotrust, ENRA en RDC helpen zij bedrijven succesvol ondernemen. Omdat ze volop in beweging zijn, heeft Bovemij mensen nodig die uitdagingen niet uit de weg gaan: vooruitdenkers en –doeners! Over de functie Als Lead Risk monitoring geef je leiding aan het monitoringsteam binnen de tweede lijn en speel je een sleutelrol in het versterken van de interne beheersing binnen Bovemij. Je bent verantwoordelijk voor de coördinatie en kwaliteitsbewaking van de werkzaamheden op het gebied van risicobeheersing, met een bijzondere focus op IT, informatiebeveiliging en procesrisico’s. Je draagt actief bij aan het verder opbouwen van een toekomstbestendig control framework en het aantoonbaar ‘in control’ zijn van de organisatie. Je stuurt twee collega’s aan binnen het monitoringsteam en zorgt voor een heldere taakverdeling, begeleiding en inhoudelijke afstemming. Daarnaast werk je zelf ook mee in het uitvoeren van monitoring en toetsing van beheersmaatregelen. Je bent inhoudelijk aanspreekpunt, rapporteert op duidelijke en overtuigende wijze aan de eerste lijn en begeleidt audits, waaronder die van toezichthouders zoals DNB en RDW. Een belangrijk aspect van je rol is het stroomlijnen en verder ontwikkelen van de GRC-tool (ServiceNow). Je borgt de aansluiting op de processen en zorgt ervoor dat de tooling slim en toegankelijk wordt ingezet ter ondersteuning van risicobeheersing en verantwoording. In dit kader ben je ook voorzitter van het functioneel overleg rondom ServiceNow, waarin je de afstemming met betrokken stakeholders coördineert en initiatieven voor doorontwikkeling begeleidt. Je werkt nauw samen met de leads van Risk en Compliance en met de business, en fungeert als bruggenbouwer tussen de eerste en tweede lijn. Je weet mensen mee te nemen in het belang van structurele beheersing, signaleert verbetermogelijkheden en zet deze om in concrete acties. Je levert daarmee een tastbare bijdrage aan de professionalisering van de risicofunctie van Bovemij. Wat ga je doen? Je coördineert het monitoringsteam en zorgt voor een heldere taakverdeling, inhoudelijke aansturing en begeleiding van de teamleden. Je bent aanspreekpunt binnen de afdeling en bewaakt de voortgang en kwaliteit van de werkzaamheden. Je ontwikkelt en beheert tweede lijns monitoringsplannen en toetst of de interne beheersmaatregelen binnen de eerste lijn effectief zijn ingericht en werken zoals bedoeld. Je voert zelf ook toetsingen en reviews uit op beheersmaatregelen binnen zowel IT- als operationele processen, waarbij je let op aspecten als juistheid, volledigheid, tijdigheid, integriteit en vertrouwelijkheid. Je rapporteert helder en overtuigend over de uitkomsten van monitoring aan proceseigenaren en het lijnmanagement, en helpt hen bij het doorvoeren van verbetermaatregelen. Je begeleidt audits en reviews op het gebied van onder meer informatiebeveiliging, DORA, en het normenkader van toezichthouders zoals de RDW en DNB. Je bent verantwoordelijk voor de doorontwikkeling van de GRC-tool (ServiceNow). Je zorgt voor een slimme en toegankelijke inzet van het systeem en bewaakt de aansluiting op het Bovemij Control Framework. Je fungeert als verbindende schakel tussen de tweede lijn en de business. Je weet collega’s in de eerste lijn mee te nemen in het belang van structurele risicobeheersing en draagt bij aan een risicobewuste organisatiecultuur. Je denkt actief mee over procesverbetering en levert input aan het management over trends, risico’s en beheersingsvraagstukken binnen de organisatie. Collega Chantal over de functie van risk monitoring specialist binnen Bovemij “Het mooie aan deze functie is dat je niet alleen toetst, maar ook echt meedenkt. Over risico’s, over processen, over tooling – én over hoe je anderen daarin meeneemt. Je bent inhoudelijk betrokken, maar ook adviserend en verbindend.” Ze vervolgt: “Je gaat de hele organisatie door en leert daardoor veel collega’s kennen. Je kunt daadwerkelijk impact maken, omdat er nog veel te bouwen is. Je wordt gestimuleerd om ideeën aan te dragen, en daar wordt ook wat mee gedaan.” En over het team zegt ze: “We werken fijn samen, met vragen kunnen we altijd bij elkaar terecht. We zijn een divers team en iedereen brengt kennis en ervaring mee, waardoor we veel van elkaar kunnen leren.” Wie zoeken we? Je hebt een hbo- of wo-werk- en denkniveau en minimaal drie jaar ervaring in een vergelijkbare (coördinerende) functie. Leidinggevende ervaring is een pré. Kennis van en ervaring met een GRC-tool is vereist; ervaring met ServiceNow is hierbij een pré. Je bent communicatief sterk en schakelt gemakkelijk met verschillende lagen binnen de organisatie. Je weet complexe onderwerpen toegankelijk te maken en anderen mee te nemen in het belang van risicobeheersing. Daarbij stel je je proactief en resultaatgericht op: je werkt zelfstandig, maar bent tegelijkertijd een echte teamspeler die verbinding zoekt en eigenaarschap toont. Wat bieden we? Een salaris van maximaal € 104.700,- per jaar (inclusief vakantiegeld en 13de maand, exclusief winstdeling). En uitstekende secundaire arbeidsvoorwaarden. Denk daarbij aan een thuiswerkvergoeding, internetvergoeding, een vergoeding voor thuiswerkfaciliteiten, 200 uur vakantie op basis van 40 uur en de mogelijkheid om jaarlijks uren bij te kopen, een extra vrije dag op je verjaardag, reiskostenvergoeding, een fietsplan, een collectieve zorgverzekering, korting op de aanvullende ziektekostenverzekering, korting op particuliere verzekeringen, ruime leer- en ontwikkelingsmogelijkheden en een beschikbare premieregeling bij Zwitserleven met gedeeltelijke inleg voor de werkgever. Maar bovenal een prettige werkomgeving met leuke collega’s! Over ons Ferocia levert verschillende diensten op het gebied van audit, controlen risicomanagement. Zo bemiddelen we in (interim-)professionals, waarbij we ons onderscheiden met onder meer ons uitgebreide netwerk en scherpe tarieven. Daarnaast ontzorgen onze ervaren consultants organisaties bij vraagstukken op het gebied van sturing en beheersing; van coaching van raden van bestuur tot implementatie van beheersmaatregelen in complexe omgevingen. Ook biedt Ferocia open en inhouse opleidingen en trainingen op voorgenoemde gebieden. Dit alles doen we vanuit het principe ‘inspiratie, co-creatie, prestatie’. Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures ! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Ben jij internal auditor, controller of risicomanager en wil je groeien in je vak? Ferocia biedt praktijkgerichte opleidingen en trainingen op het gebied van internal auditing, control en risicomanagement. Ontworpen voor professionals die zich willen ontwikkelen en meer willen betekenen voor hun organisatie. Opleidingen en trainingen Ferocia verzorgt open en incompany opleidingen en trainingen voor internal auditors, risk officers en controllers. Onze dienstverlening Ben jij internal auditor, controller of risicomanager en wil je groeien in je vak? Ferocia biedt praktijkgerichte opleidingen en trainingen op het gebied van internal auditing, control en risicomanagement. Ontworpen voor professionals die zich willen ontwikkelen en meer willen betekenen voor hun organisatie. Leren bij Ferocia is anders! Wij bieden geen standaardopleidingen, maar trajecten die direct aansluiten op jouw dagelijkse praktijk. Geen droge theorie, maar kennis en vaardigheden die je meteen kunt toepassen in je werk. Zo wordt leren niet iets wat je erbij doet, maar iets dat je direct vooruithelpt! Wat ons uniek maakt? Wij begeleiden je niet alleen in de leeromgeving, maar ook bij de toepassing in jouw eigen praktijk. Met een doordachte combinatie van online theoretische voorbereiding (e-learning), interactie (virtuele of fysieke) bijeenkomsten en persoonlijke coaching, zorgen we ervoor dat jij de opgedane kennis zelfstandig en met vertrouwen toepast op je werkvloer. Daarbij werken wij samen met toonaangevende partners zoals Avans+, het Instituut van Internal Auditors (IIA Nederland) en Sijthoff Accountants Academy. Daardoor ben je verzekerd van de hoogste inhoudelijke kwaliteit en maximale relevantie voor jouw vakgebied. Kwaliteit gegarandeerd Onze opleidingen en trainingen worden verzorgd door ervaren en gediplomeerde docenten die hun sporen ruimschoots hebben verdiend in de praktijk, en zijn verbonden aan één of meerdere universiteiten (RE, RO, RC) en hogescholen. Zij weten als geen ander hoe ze theorie moeten vertalen naar situaties die jij in je dagelijkse werkzaamheden tegenkomt. Je kunt hierdoor de opgedane kennis direct toepassen binnen jouw praktijk, waardoor een meerwaarde wordt geleverd aan zowel jouw persoonlijke ontwikkeling als aan het succes van je organisatie! Meer weten? Bekijk dan ons aanbod aan open leertrajecten op het gebied van internal auditing, control en risicomanagement. Op zoek naar een incompany leertraject op maat? Ook dan helpen we je graag verder! Neem contact met ons op en we verkennen graag je leervraag. Contact Open leertrajecten Ben je op zoek naar een opleiding of training binnen audit, control of risicomanagement? Ontdek onze praktijkgerichte leertrajecten. Audit Control Risk Waarom Ferocia? Innovatieve en praktijkgerichte leertrajecten  voor internal auditors, controllers en risk officers. Blended learning. Online voorbereiding, interactieve sessies en coaching in je eigen werksituatie. Open en incompany leertrajecten. Schrijf je in voor een van onze open leertraject of kies voor een incompany leertraject op maat. Gediplomeerde docenten die hun sporen in de praktijk hebben verdiend. Onze docenten zijn niet voor niets allemaal als docent verbonden aan universiteiten en hogescholen! Gerenommeerde partners , zoals Avans+, het Instituut van Internal Auditors Nederland (IIA Nederland) en Sijthoff Accountants Academy.

Ontdek hoe soft controls gedrag en cultuur in organisaties beïnvloeden. Volg de training Soft Controls van Ferocia en pas ze direct toe in jouw audits. Alle blogs Internal auditing Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde controles zoals procedures, rapportages en bevoegdheden nog steeds belangrijk. Maar wie echt wil begrijpen hoe een organisatie functioneert, moet verder durven kijken. Naar gedrag, naar cultuur, naar wat mensen drijft en naar de ongeschreven regels. Oftewel: naar soft controls. Wat zijn soft controls? Soft controls zijn de niet-tastbare beheersmaatregelen die het gedrag van mensen in een organisatie beïnvloeden. Denk aan integriteit, voorbeeldgedrag, betrokkenheid, vertrouwen, loyaliteit en aanspreekbaarheid. Waar hard controls zijn vastgelegd in beleid en processen, zitten soft controls in de hoofden en harten van mensen. Ze bepalen in hoge mate of die regels in de praktijk ook echt worden nageleefd. Steeds meer internal auditfuncties voegen daarom cultuur- en gedragsaspecten toe aan hun werk. Onderwerpen als sociale veiligheid, psychologische veiligheid en vertrouwen verschijnen steeds vaker op de auditkalender. En terecht, want als je als auditor, controller of risk officer echt waarde wilt toevoegen, kun je soft controls niet negeren. Maar hoe onderzoek je soft controls op een gedegen manier? Welke modellen en technieken gebruik je? En hoe zorg je ervoor dat je bevindingen overtuigend zijn en leiden tot actie? Wat leer je tijdens de training soft controls? De training soft controls van Ferocia geeft je in korte tijd (twee dagdelen) de juiste kennis en vaardigheden om met soft controls aan de slag te gaan in jouw eigen praktijk. Je leert: wat cultuur en gedrag zijn en hoe ze zich tot elkaar verhouden; waarom soft controls onmisbaar zijn voor effectieve beheersing; hoe je met modellen onderzoek doet naar cultuur en gedrag; hoe je gerichte vragen stelt om soft controls in kaart te brengen; en welke interventies je kunt voorstellen om soft controls in organisaties te verbeteren. Het programma bestaat uit een interactieve lesdag van zes uur en een innovatieve e-learning. De e-learning ‘Cultuur en Gedrag’ volg je waar en wanneer je maar wilt. Tijdens de lesdag oefen je actief met modellen, cases en praktijkopdrachten. Je past het geleerde direct toe op je eigen situatie, stelt een persoonlijk actieplan op en ontvangt feedback van je docent en van andere deelnemers. Geen lange theorieën of abstracte concepten, maar praktisch toepasbare inzichten, afgestemd op de realiteit van jouw werk. Wat kan ik nadat ik de training heb afgerond? Na afronding van deze training ben jij in staat om: Soft controls te herkennen en te benoemen in audits. Cultuur- en gedragsaspecten doelgericht te onderzoeken. Inzichten uit modellen te vertalen naar jouw praktijk. Interventies aan te reiken die het functioneren van soft controls verbeteren. Je ontvangt een certificaat van deelname en (indien van toepassing) 9 PE-punten. Maar belangrijker nog, je beschikt over een solide basis om met vertrouwen soft controls mee te nemen in jouw audits, controles of risicoanalyses. De opgedane kennis levert directe toegevoegde waarde in je dagelijkse werk. Zoals een oud-deelnemer het verwoordde: “De training bood praktische handvatten om soft controls toe te passen binnen audits. De opgedane kennis levert direct toegevoegde waarde in mijn werk.” Voor wie is deze training bedoeld? Deze training is ontwikkeld voor professionals die zich bezighouden met auditing, risicobeheersing of procesbeheersing en die hun vakmanschap willen verdiepen met inzichten over cultuur en gedrag. Herken jij jezelf in één van onderstaande rollen? Operational auditor IT-auditor Financial auditor Accountant Controller Risk officer Compliance officer Medewerker AO/IC Kwaliteitsmedewerker Proceseigenaar Dan is deze training voor jou. Voor deelname is hbo werk- en denkniveau gewenst. Er is géén voorkennis van psychologie of veranderkunde vereist. Juist omdat we het belangrijk vinden dat soft controls niet iets zijn ‘voor de experts’, maar voor elke professional die zich bezighoudt met beheersing en sturing binnen organisaties. De werkvorm: leren door te doen Bij Ferocia geloven we in activerend leren. Dat betekent dat je tijdens deze training niet alleen maar luistert, maar vooral ook zelf aan de slag gaat. De training bestaat uit: E-learning : De module 'Cultuur en Gedrag' volg je zelfstandig, op een moment dat jou uitkomt. De inhoud sluit direct aan bij de thema’s van de lesdag. Lesdag : Tijdens deze dag (fysiek of digitaal) oefen je actief met modellen en technieken. Je werkt aan een eigen case, stelt een persoonlijk actieplan op en ontvangt feedback. Interactieve werkvormen : Je oefent met vraagtechnieken, neemt deel aan rollenspellen en werkt aan praktijkopdrachten. Daarbij werk je zowel individueel als in kleine groepen. Ervaringsuitwisseling : Je leert niet alleen van de docent, maar ook van de ervaringen en perspectieven van andere deelnemers. Dit zorgt voor nieuwe inzichten en inspiratie. De bijeenkomsten vinden plaats in onze mixed classrooms : je kunt dus zelf kiezen of je fysiek aanwezig bent of digitaal aansluit. De docenten: experts met praktijkervaring De training wordt verzorgd door topdocenten met zowel academische bagage als stevige praktijkervaring. Zij begrijpen de uitdagingen van jouw werk en weten complexe concepten begrijpelijk én toepasbaar te maken. Klaar om soft controls in jouw werk te integreren? Wil jij: Soft controls echt begrijpen en toepassen? Cultuur en gedrag meenemen in je audits of risicoanalyses? Praktische tools, modellen en handvatten om direct mee aan de slag te gaan? Sparren met professionals uit andere organisaties? In korte tijd grote stappen zetten? Dan is deze training precies wat je zoekt. Meer informatie over de kosten en startdata, klik hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Leer zelfstandig operational audits uitvoeren en maak direct impact in je organisatie. Volg de praktijkgerichte cursus operational auditing bij Ferocia! Cursus Operational auditing Duur Studiekosten PE-punten 7 dagdelen € 2.195,- 30 Inschrijven Cursus Operational auditing Organisaties staan continu onder druk om aantoonbaar ‘in control’ te zijn. De behoefte aan zekerheid over de kwaliteit van risicobeheersing groeit, en daarmee de vraag naar goed opgeleide operational auditors. In deze praktijkgerichte cursus leer je in zeven dagdelen zelfstandig een operational audit uit te voeren. Je ontwikkelt een auditontwerp, bouwt aan je vaardigheden en krijgt inzicht in controlmodellen, auditmethodiek en rapportage. Alles wat je leert, pas je direct toe op een audit binnen je eigen organisatie. Wat leer je tijdens de cursus operational auditing? Tijdens de cursus operational auditing leer je zelfstandig operational audits ontwerpen en uitvoeren. Je ontdekt hoe je het belang van operational auditing onderbouwt en toepast in jouw praktijk. Daarbij stel je een auditontwerp op met normenkader en testplan, ontwikkel je interviewschema’s en train je effectieve gesprekstechnieken. Ook leer je bevindingen helder te presenteren, draagvlak te creëren voor aanbevelingen en de toegevoegde waarde van auditing overtuigend zichtbaar te maken richting bestuur en management. De inhoud van de cursus sluit nauw aan op de vraagstukken die internal auditors, risicomanagers en controllers dagelijks tegenkomen. Onderwerpen die aan bod komen zijn onder meer: corporate governance en de rol van auditing daarin; controlmodellen en hoe je deze effectief toepast; auditmethodiek en het opzetten van een auditontwerp; normenkaders en testplannen; en en natuurlijk de essentiële vaardigheden rondom interviewen en rapporteren. Waarom kiezen voor de cursus Operational Auditing? Direct toepasbaar: je voert een audit uit en koppelt theorie direct aan je praktijk. Krachtige mix van leren: innovatieve e-learnings, cases, rollenspellen en klassikale bijeenkomsten (fysiek of online). Peer learning: uitwisseling van ervaringen en inzichten met deelnemers uit diverse organisaties. Actieve begeleiding: ervaren docenten geven feedback op jouw auditontwerp en voortgang. Compleet leerpad: van basisbegrip tot het schrijven van een professionele auditrapportage. Waarom kiezen voor Ferocia? Ferocia is de specialist in audit, risk en control. Wij combineren inhoudelijke diepgang met didactisch vakmanschap, zodat jij niet alleen leert maar ook daadwerkelijk presteert. Onze docenten zijn verbonden aan toonaangevende hogescholen en universiteiten en brengen hun praktijkervaring rechtstreeks de klas in. Daarbij werken we vanuit inspiratie, co-creatie en prestatie: leren doe je samen en altijd met het oog op resultaat. Dankzij de unieke mix van e-learning, interactieve bijeenkomsten en praktijkopdrachten weet je na afloop precies hoe je auditing van echte waarde maakt voor jouw organisatie. Wil jij je ontwikkelen tot een waardevolle operational auditor die echt het verschil maakt? Schrijf je dan nu in voor de cursus Operational auditing en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar, en van jou wordt verwacht een oordeel te kunnen vormen of te kunnen adviseren over de kwaliteit van risicobeheersing binnen jouw organisatie. Je wenst in korte tijd de basisbeginselen van operational auditing te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 40 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze cursus werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de cursus ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze cursus via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de cursus ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 30 PE-punten. De studiekosten bedragen € 2.195,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Ellen van den Berg Procescontroller “Handige e-learnings en goede praktijkdagen die je klaarmaken voor het uitvoeren van impactvolle operational audits.” Janet Marso Kwaliteitsspecialist “Sterke mix van e-learning en klassikale sessies waarin je leert risicoanalyses maken, referentiekaders opstellen en bevindingen overtuigend rapporteren.” Jurgen van Zuijlen Junior internal auditor “De cursus geeft een heldere uitleg over de verschillende soorten audits en biedt praktische handvatten om zelf een sterke audit op te zetten.” Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken... 10 sep 2025 17 minuten om te lezen Opleiding operational auditing Lopen onze processen eigenlijk wel beheerst? Gaan we onze doelen wel halen dit jaar? En is onze interne controle robuust genoeg? Zomaar... 13 aug 2025 5 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven