Zoekresultaten

Leer zelfstandig operational audits uitvoeren en maak direct impact in je organisatie. Volg de praktijkgerichte cursus operational auditing bij Ferocia! Cursus Operational auditing Duur Studiekosten PE-punten 7 dagdelen € 2.195,- 30 Inschrijven Cursus Operational auditing Organisaties staan continu onder druk om aantoonbaar ‘in control’ te zijn. De behoefte aan zekerheid over de kwaliteit van risicobeheersing groeit, en daarmee de vraag naar goed opgeleide operational auditors. In deze praktijkgerichte cursus leer je in zeven dagdelen zelfstandig een operational audit uit te voeren. Je ontwikkelt een auditontwerp, bouwt aan je vaardigheden en krijgt inzicht in controlmodellen, auditmethodiek en rapportage. Alles wat je leert, pas je direct toe op een audit binnen je eigen organisatie. Wat leer je tijdens de cursus operational auditing? Tijdens de cursus operational auditing leer je zelfstandig operational audits ontwerpen en uitvoeren. Je ontdekt hoe je het belang van operational auditing onderbouwt en toepast in jouw praktijk. Daarbij stel je een auditontwerp op met normenkader en testplan, ontwikkel je interviewschema’s en train je effectieve gesprekstechnieken. Ook leer je bevindingen helder te presenteren, draagvlak te creëren voor aanbevelingen en de toegevoegde waarde van auditing overtuigend zichtbaar te maken richting bestuur en management. De inhoud van de cursus sluit nauw aan op de vraagstukken die internal auditors, risicomanagers en controllers dagelijks tegenkomen. Onderwerpen die aan bod komen zijn onder meer: corporate governance en de rol van auditing daarin; controlmodellen en hoe je deze effectief toepast; auditmethodiek en het opzetten van een auditontwerp; normenkaders en testplannen; en en natuurlijk de essentiële vaardigheden rondom interviewen en rapporteren. Waarom kiezen voor de cursus Operational Auditing? Direct toepasbaar: je voert een audit uit en koppelt theorie direct aan je praktijk. Krachtige mix van leren: innovatieve e-learnings, cases, rollenspellen en klassikale bijeenkomsten (fysiek of online). Peer learning: uitwisseling van ervaringen en inzichten met deelnemers uit diverse organisaties. Actieve begeleiding: ervaren docenten geven feedback op jouw auditontwerp en voortgang. Compleet leerpad: van basisbegrip tot het schrijven van een professionele auditrapportage. Waarom kiezen voor Ferocia? Ferocia is de specialist in audit, risk en control. Wij combineren inhoudelijke diepgang met didactisch vakmanschap, zodat jij niet alleen leert maar ook daadwerkelijk presteert. Onze docenten zijn verbonden aan toonaangevende hogescholen en universiteiten en brengen hun praktijkervaring rechtstreeks de klas in. Daarbij werken we vanuit inspiratie, co-creatie en prestatie: leren doe je samen en altijd met het oog op resultaat. Dankzij de unieke mix van e-learning, interactieve bijeenkomsten en praktijkopdrachten weet je na afloop precies hoe je auditing van echte waarde maakt voor jouw organisatie. Wil jij je ontwikkelen tot een waardevolle operational auditor die echt het verschil maakt? Schrijf je dan nu in voor de cursus Operational auditing en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar, en van jou wordt verwacht een oordeel te kunnen vormen of te kunnen adviseren over de kwaliteit van risicobeheersing binnen jouw organisatie. Je wenst in korte tijd de basisbeginselen van operational auditing te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 40 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze cursus werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de cursus ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze cursus via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de cursus ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 30 PE-punten. De studiekosten bedragen € 2.195,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Ellen van den Berg Procescontroller “Handige e-learnings en goede praktijkdagen die je klaarmaken voor het uitvoeren van impactvolle operational audits.” Janet Marso Kwaliteitsspecialist “Sterke mix van e-learning en klassikale sessies waarin je leert risicoanalyses maken, referentiekaders opstellen en bevindingen overtuigend rapporteren.” Jurgen van Zuijlen Junior internal auditor “De cursus geeft een heldere uitleg over de verschillende soorten audits en biedt praktische handvatten om zelf een sterke audit op te zetten.” Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken... 10 sep 2025 17 minuten om te lezen Opleiding operational auditing Lopen onze processen eigenlijk wel beheerst? Gaan we onze doelen wel halen dit jaar? En is onze interne controle robuust genoeg? Zomaar... 13 aug 2025 5 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Volg de opleiding Operational auditing van Ferocia en Avans+ en ontwikkel je tot een impactvolle internal auditor die organisaties helpt écht ‘in control’ te zijn. Postbacheloropleiding Operational auditing Duur Studiekosten PE-punten 8 maanden € 7.450,- 110 Inschrijven Opleiding Operational auditing Wil jij jouw carrière een stevige impuls geven? Kies dan voor de postbacheloropleiding Operational auditing, die wij in samenwerking met Habeo+ aanbieden. Deze praktijkgerichte opleiding helpt je om uit te groeien tot een volwaardige gesprekspartner voor bestuur en management. Je ontwikkelt de kennis en vaardigheden die nodig zijn om risico’s inzichtelijk te maken en organisaties daadwerkelijk te helpen ‘in control’ te zijn. Wat leer je tijdens de opleiding Operational auditing? De postbacheloropleiding Operational auditing bereidt je voor op een belangrijke rol binnen organisaties. Als operational auditor bied je onafhankelijke en objectieve zekerheid over de mate waarin risico’s worden beheerst die het behalen van organisatiedoelstellingen kunnen bedreigen. Blijkt de beheersing onvoldoende? Dan adviseer jij het bestuur en management over concrete verbetermaatregelen. Op die manier draag je actief bij aan het lerend vermogen van de organisatie en versterk je de kwaliteit van interne beheersing. Waarom kiezen voor de opleiding Operational auditing? De vraag naar professionals die een opleiding Operational auditing hebben gevolgd, groeit snel. Door maatschappelijke ontwikkelingen, strengere wet- en regelgeving en recente incidenten ligt de lat voor risicobeheersing hoger dan ooit. Organisaties worden kritischer beoordeeld op hun interne controlesystemen – en hebben behoefte aan goed opgeleide operational auditors die het verschil maken. Waarom kiezen voor Ferocia en Habeo+? De opleiding Operational auditing van Ferocia en Habeo+ is de best gewaardeerde en meest erkende postbacheloropleiding op dit vakgebied in Nederland. De opleiding onderscheidt zich door haar sterke praktijkgerichtheid, actuele lesinhoud en de begeleiding door ervaren docenten uit het werkveld. De lesstof sluit aan bij de nieuwste ontwikkelingen in het vak, zoals het gebruik van AI in audits en de toepassing van de meest moderne auditmethodiek (auditmethodiek 2.0). Je leert niet alleen de theorie, maar past deze direct toe in realistische casussen en opdrachten. Zo ben je optimaal voorbereid op een rol waarin je daadwerkelijk impact maakt op de governance en het risicobeheer van organisaties. Je kunt de opleiding volgen in Apeldoorn, Breda, Den Haag of Utrecht, en de colleges zijn desgewenst ook online te volgen. Zo heb je maximale flexibiliteit in hoe en waar je studeert. Wil jij je ontwikkelen tot een waardevolle operational auditor die écht het verschil maakt? Schrijf je dan nu in voor de postbacheloropleiding Operational auditing en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, kwaliteitsmedewerker, medewerker AO/IC of proceseigenaar. Van jou wordt verwacht dat je een onderbouwd oordeel kunt vormen of kunt adviseren over de kwaliteit van risicobeheersing binnen jouw organisatie. Je wilt met jouw onderzoeken een stevige bijdrage leveren aan het lerend vermogen van de organisatie. De postbacheloropleiding Operational auditing bestaat uit 14 fysieke bijeenkomsten van drie tot zes uur. Daarnaast volg je vijf e-learnings van ongeveer drie uur per stuk, op momenten die jou het beste uitkomen. Een belangrijk onderdeel van de opleiding is het uitvoeren van een operational audit binnen je eigen organisatie. Hierbij word je intensief begeleid door een ervaren docent. Voor deze praktijkopdracht én de bijeenkomsten samen ben je gemiddeld vier tot acht uur per week kwijt. Daarnaast vragen we ongeveer twee uur per week aan zelfstudie, zodat je het maximale uit de opleiding haalt. De postbacheloropleiding Operational auditing is sterk praktijkgericht. Tijdens de opleiding voer je een eigen operational audit uit binnen je organisatie, waarbij je intensief wordt begeleid door een ervaren docent. Via innovatieve e-learnings doe je voorafgaand aan de bijeenkomsten de benodigde basiskennis op, op een moment en locatie die jou het beste uitkomt. Omdat je goed voorbereid aan de bijeenkomsten deelneemt, is er tijdens de contactmomenten ruimte voor verdieping. We gaan dan actief aan de slag met het toepassen van de theorie in de praktijk, onder andere aan de hand van casuïstiek en rollenspellen. Daarnaast wissel je ervaringen uit met mededeelnemers die werkzaam zijn in uiteenlopende sectoren. Dankzij het interactieve karakter van de opleiding en de diversiteit aan perspectieven ontstaat een sterk lerend effect. Na afronding van de postbacheloropleiding Operational auditing ben je in staat om het management (aanvullende) zekerheid te bieden over de kwaliteit van risicobeheersing binnen jouw organisatie. Dankzij de ontwikkelde adviesvaardigheden lever je bovendien een krachtige bijdrage aan het lerend vermogen van de organisatie. Je beheerst het auditvak, hebt zicht op actuele ontwikkelingen in de praktijk en treedt op als volwaardig gesprekspartner voor bestuur en directie. Na succesvolle afronding ontvang je het postbachelordiploma Operational auditing. Ben je PE-plichtig? Dan levert deze opleiding je 110 PE-punten op. Wil je je na deze opleiding verder verdiepen in IT-risico’s en digitale beheersing? Dan kun je de postbacheloropleiding IT-auditing volgen in verkorte vorm en tegen gereduceerd tarief. De investering in de postbacheloropleiding Operational auditing bestaat uit drie onderdelen: opleidingskosten, arrangementskosten en studiematerialen. Hieronder vind je een overzicht van de kosten en betalingsmogelijkheden: Opleidingskosten: € 7.450,- (vrijgesteld van btw) Arrangementskosten: € 770,- (excl. 9% btw) Studiematerialen: circa € 120,- (deze schaf je zelf aan) Voor aanvang van de opleiding ontvang je een factuur. Je kunt ervoor kiezen om de opleidingskosten in kwartaaltermijnen te betalen. In dat geval geldt een toeslag van 5% op het totaalbedrag van de opleidingskosten. Wat eerdere deelnemers zeggen Casper Brouwer Business analyst "Ik merk dat ik meer inzicht heb in de auditvak en hoe het de hele organisatie versterkt." Kolette Visser Auditor "Ik ben gegroeid als auditor en kan mijn audits nu naar een hoger niveau tillen!" Monique Wulff Senior adviseur "Door de opleiding ben ik mij er veel bewuster van dat ik vaker en meer vragen moet stellen." Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken... 10 sep 2025 17 minuten om te lezen Opleiding operational auditing Lopen onze processen eigenlijk wel beheerst? Gaan we onze doelen wel halen dit jaar? En is onze interne controle robuust genoeg? Zomaar... 13 aug 2025 5 minuten om te lezen Meer weten over of direct inschrijven voor de opleiding Operational auditing? Brochure Adviesgesprek Inschrijven

Breng IT, risk en governance samen met COBIT 2019. Ontdek hoe dit framework je helpt IT-risico’s te beheersen en je organisatie écht in control te brengen. Alle blogs IT-beheersing Cobit COBIT: het kompas voor IT-governance, risk en control Je herkent het vast. De IT-omgeving van je organisatie wordt elk jaar complexer. Er zijn legacy-systemen, cloudplatformen, ketens met leveranciers, security-eisen, privacywetgeving, DORA, AI-experimenten… En ondertussen verwacht de directie één simpel antwoord: “Zijn we in control?” Voor internal auditors, riskmanagers en controllers is dat geen makkelijke vraag meer. Excel-lijstjes en losse IT-audits zijn een goede basis maar niet voldoende. Je hebt een gemeenschappelijke taal nodig tussen business, IT en bestuur. Precies daar komt COBIT in beeld. In deze blog nemen we COBIT onder de loep. Wat is het, waarom is COBIT 2019 zo belangrijk, en hoe helpt het jou concreet in je audit- en risicopraktijk? Wat is COBIT? COBIT staat voor Control Objectives for Information and Related Technologies en is een internationaal erkend raamwerk van ISACA (de beroepsvereniging van IT-auditors) voor de governance en het management van informatie en technologie. Het is geen technisch handboek voor IT, maar een overkoepelend raamwerk dat helpt om IT-activiteiten te verbinden met organisatiedoelen, risico’s en compliance-eisen. Sinds de eerste versie in de jaren ’90 is COBIT flink geëvolueerd. De huidige versie, COBIT 2019 , bouwt voort op COBIT 5 en scherpt de focus op enterprise governance of information & technology (EGIT). Waar COBIT 5 vijf kernprincipes en 37 processen kende, werkt COBIT 2019 met zes governanceprincipes en een model van 40 governance- en managementdoelstellingen , verdeeld over vijf domeinen. Belangrijk om te benadrukken: COBIT is niet bedoeld als “IT-trucje” dat je bij de ICT-afdeling parkeert. Het framework richt zich nadrukkelijk op het speelveld tussen bestuur, business en IT. Het helpt bestuurders, lijnmanagement, IT, risk, security én internal audit om vanuit hetzelfde referentiekader naar IT-risico’s, prestaties en controls te kijken. COBIT als fundament voor IT-governance De gedachte achter COBIT is simpel en tegelijk krachtig: organisaties zijn steeds afhankelijker van informatie en technologie, dus moet de governance van IT integraal onderdeel zijn van corporate governance. In plaats van “IT beheert IT en de rest kijkt toe” zegt COBIT: informatie en technologie worden bestuurd vanuit dezelfde principes als de rest van de organisatie. Denk aan helder eigenaarschap, duidelijke doelen, risicobereidheid, prestatiemeting en continue verbetering. COBIT 2019 maakt dit concreet via een core model met 40 governance- en managementdoelstellingen. Deze zijn ondergebracht in vijf domeinen met elk een eigen focus: Evaluate, Direct and Monitor (EDM) voor governance door bestuur en directie. Align, Plan and Organize (APO) voor strategie, architectuur en organisatie van IT. Build, Acquire and Implement (BAI) voor veranderingen en projecten. Deliver, Service and Support (DSS) voor de dagelijkse dienstverlening en security. Monitor, Evaluate and Assess (MEA) voor monitoring, compliance en assurance. Elke doelstelling is verder uitgewerkt in processen, rollen, informatiestromen, benodigde vaardigheden, policies en onderliggende services en applicaties. Met andere woorden: COBIT beschrijft niet alleen wat er moet gebeuren, maar ook hoe je het governancesysteem kunt vormgeven. Waarom COBIT zo relevant is voor auditors en risk professionals Voor de doelgroep van Ferocia; internal auditors, risk managers, controllers en compliance officers is COBIT in feite een rijk gevulde gereedschapskist. Je krijgt een gestructureerde manier om naar IT-risico’s en beheersing te kijken, die je direct kunt aansluiten aan organisatiedoelen en enterprise risk management. In de praktijk zie je vaak drie problemen terugkomen: IT-risico’s worden versnipperd behandeld, business en IT spreken een andere taal, en auditplannen zijn wel risicogebaseerd, maar niet verankerd in een consistent IT-governancemodel. COBIT helpt op alle drie de punten. Ten eerste biedt het een gemeenschappelijke taal . Als jij het over DSS02 of BAI06 hebt, weet de IT-organisatie precies welke processen en activiteiten je bedoelt. Tegelijk kun je de koppeling leggen met enterprise goals, risk appetite en compliance-eisen, waardoor bestuurders zich herkennen in de taal. Ten tweede ondersteunt COBIT risicogebaseerde prioritering . Via de zogenaamde goals cascade vertaal je organisatiedoelen en risico’s naar alignment goals en vervolgens naar relevante governance- en managementdoelstellingen. Dat maakt het veel eenvoudiger om te onderbouwen waarom je bepaalde IT-processen wél en andere (nog) niet onderzoekt. En ten derde sluit COBIT goed aan bij de rol van de audit- en riskmanager als “schaap met vijf poten”: je combineert kennis van processen, risico’s, IT, governance én gedrag om het lerend vermogen van de organisatie te versterken. De kern van COBIT 2019: principes, doelen en design factors COBIT 2019 introduceert zes governanceprincipes voor een goed ingericht IT-governancesysteem. Dat zijn waardecreatie, risicobeheersing, transparante verantwoordelijkheid, integratie in corporate governance, een holistische aanpak en flexibiliteit. Die principes zijn geen theorie voor op de muur, maar concrete toetsstenen. Als jij een onderzoek doet op IT-outsourcing, cloudgebruik of cyberbeveiliging, kun je de vraag stellen: dragen deze keuzes bij aan waardecreatie, zijn de risico’s aantoonbaar in beeld en past de inrichting bij de rol van IT in onze organisatie? Een belangrijk nieuw element in COBIT 2019 zijn de design factors . Dat zijn factoren als ondernemingsstrategie, risicoprofiel, compliance-eisen, de rol van IT, sourcingmodel en dreigingslandschap, die bepalen hoe je governance-systeem er in jouw context uit moet zien. Voor auditors en riskmanagers is dit herkenbaar: een systeembeheerclub van 20 mensen bij een middelgroot bedrijf vraagt een andere invulling van IT-governance dan een internationaal opererende bank. Met de design factors voorkom je dat COBIT wordt gebruikt als “one size fits all”-checklist. Je ontwerpt een governancesysteem dat proportioneel is én toch stevig genoeg om de risico’s te dragen. COBIT in de audit- en riskpraktijk: van theorie naar veldwerk Hoe ziet dit er nu uit als je met je team bij een organisatie binnenstapt? In grote lijnen kun je drie gebruiksscenario’s onderscheiden. Allereerst kun je COBIT gebruiken als referentiemodel voor specifieke IT-onderzoek. Stel, je voert een onderzoek uit op change management of op de beveiliging van een kritieke applicatie. Via de relevante BAI- of DSS-processen zie je welke activiteiten, rollen, informatiestromen en controls “normaal” zijn om te verwachten. Dat helpt je om je normenkader scherp te krijgen en bevindingen beter te onderbouwen. Ten tweede kun je COBIT inzetten voor een brede beoordeling van IT-governance . Je kijkt dan niet naar één proces, maar naar de samenhang tussen processen. Hoe worden IT-doelen afgeleid van organisatiedoelen? Hoe lopen rapportagelijnen? Welke KPI’s en KRI’s worden gebruikt? Hoe wordt de performance van IT-leveranciers gemonitord? Je bouwt een integraal beeld op van de “besturing van IT”. Het derde scenario is dat je COBIT gebruikt als verbeterraamwerk . Daar komt de performance- en maturiteitscomponent van COBIT 2019 in beeld. Processen kunnen beoordeeld worden op een capabilityniveau van 0 tot 5. In plaats van alleen te concluderen dat iets “onvoldoende” is, kun je laten zien waar een proces nu staat, waar het minimaal zou moeten zitten gegeven het risicoprofiel, en welke concrete verbeterstappen nodig zijn om daar te komen. Die manier van werken past goed bij de rol van de moderne internal auditor en riskmanager: niet alleen controleren of een vinkje gezet kan worden, maar vooral organisaties helpen om doelgericht te groeien in volwassenheid. Koppeling met andere kaders: DORA, ISO, NIST en AI Een veelgehoorde vraag is: “Maar we doen al iets met ISO 27001, NIST CSF of we zijn bezig met DORA. Hebben we COBIT dan echt nog nodig?” Het korte antwoord: COBIT is geen concurrent van deze kaders, maar een paraplu . Waar ISO- en NIST-standaarden diep de inhoud in gaan op bijvoorbeeld informatiebeveiliging, geeft COBIT je het overkoepelende raamwerk waarin al die standaarden een plek krijgen. Ook richting nieuwe thema’s, zoals AI-governance, blijkt COBIT goed bruikbaar. ISACA laat in recente publicaties zien hoe je COBIT-principes en -doelstellingen kunt gebruiken voor het inrichten van verantwoord AI-gebruik, zonder dat je meteen alles opnieuw hoeft uit te vinden. Voor auditors en riskmanagers is dat prettig: je kunt bestaande frameworks, richtlijnen en wetgeving (zoals DORA voor financiële instellingen) koppelen aan concrete COBIT-doelstellingen en zo een geïntegreerd beeld vormen van risico’s en beheersing. Veelgemaakte fouten bij het werken met COBIT Toch gaat het in de praktijk regelmatig mis. Een paar valkuilen komen steeds terug. Een eerste valkuil is dat COBIT wordt behandeld als een starre checklist . Organisaties plakken procesnamen op bestaande activiteiten en verklaren zichzelf vervolgens “COBIT-compliant”. De essentie, namelijk of IT-governance echt bijdraagt aan waardecreatie, risicobeheersing en transparantie blijft dan onderbelicht. Een tweede valkuil is dat COBIT te technisch wordt ingestoken. De discussie belandt dan in de sfeer van tooling en detailprocessen, terwijl bestuurders en lijnmanagers juist behoefte hebben aan inzicht in risico’s, afhankelijkheden, verantwoordelijkheden en impact op organisatiedoelen. Derde valkuil: er wordt wel een prachtig governance-model op papier gezet, maar cultuur en gedrag blijven buiten beschouwing. Meldt men incidenten echt? Neemt het management eigenaarschap voor IT-risico’s? Worden auditbevindingen gebruikt om te leren of alleen om het dossier op orde te krijgen? Als je alleen naar hard controls kijkt, mis je een groot deel van het verhaal, iets wat in de opleidingen en trainingen van Ferocia wel duidelijk naar voren komt. Hoe begin je als organisatie met COBIT? De kracht van COBIT zit niet in dikke rapporten, maar in gesprekken die je ermee kunt voeren. Begin klein. Breng met bestuur, IT en risk een paar vragen in kaart: welke organisatiedoelen leunen het zwaarst op informatie en technologie? Welke risico’s houden jullie wakker? Waar zitten de grootste afhankelijkheden in de keten? Leg daar vervolgens het COBIT-model naast. Welke governance- en managementdoelstellingen zijn in jullie context echt cruciaal? Hoe zijn die nu ingericht? Welke hiaten zie je? Zo wordt COBIT geen theoretisch boekwerk, maar een praktische bril om anders naar je IT-landschap, risico’s en controls te kijken. Voor internal auditors en riskmanagers is COBIT daarmee een manier om je rol te verbreden. Je bent niet alleen meer de specialist die individuele processen controleert, maar ook de sparringpartner die de samenhang ziet tussen strategie, risico’s, IT-governance en gedrag. Tot slot COBIT 2019 is veel meer dan een IT-framework. Het is een kompas voor organisaties die serieus werk willen maken van digitale governance, risicobeheersing en verantwoording. Het helpt je om de taal van bestuurders, lijnmanagement en IT met elkaar te verbinden, risico’s scherp te krijgen en gericht te werken aan volwassenheid. Voor professionals in audit, risk, control en compliance biedt COBIT een stevige basis om je werk naar een hoger niveau te tillen. Of je nu een eerste IT-governance-scan doet of een meerjarig verbeterprogramma begeleidt: met COBIT heb je een internationaal erkend referentiekader in handen dat meegroeit met de veranderende digitale werkelijkheid. De vraag is dus niet zozeer of je iets met COBIT gaat doen, maar hoe je het gaat gebruiken: als vinklijstje, of als strategisch instrument om jouw organisatie écht in control te brengen over informatie en technologie. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Schrijf auditrapporten die echt impact maken. Ontdek hoe je met heldere taal, visuele kracht en strategische focus actie bereikt. Alle blogs Internal auditing Auditrapporten die wel leiden tot actie Je kent het scenario vast. Als internal / operational auditor steek je weken, soms maanden, in je audit. Je plant interviews, analyseert processen, legt verbanden en scherpt je bevindingen aan tot ze precies kloppen. Met een gevoel van voldoening zet je de laatste punt in je rapport, je stuurt het op en bespreekt de rapportage met je opdrachtgever… En daarna, niets. Je auditrapport verdwijnt, letterlijk of figuurlijk, in een la. Geen opvolging, geen discussie en belangrijker nog geen verandering ter wel hier wel aanleiding voor is. Het werk dat je erin hebt gestopt, haalt nauwelijks rendement. Hoe voorkom je dat jouw rapport de vergetelheid in glijdt?Het antwoord zit ‘m in het schrijven van een auditrapport dat niet alleen wordt gelezen, maar dat ook beweging veroorzaakt. Een rapport dat gesprek, besluitvorming en actie in gang zet. In deze blog ontdek je hoe je jouw auditrapport inzet als aanjager van een verandering en niet als administratief eindproduct. Van auditrapporten naar interventies Een effectief auditrapport is meer dan een opsomming van bevindingen. Het is in de kern een interventie, een instrument dat richting geeft aan beslissingen, verbeteringen in gang zet en gedrag beïnvloedt. Dat vraagt om een andere mindset. Zie je rapport niet als de afronding van je werk, maar als het startpunt van verandering. Een sterk rapport: Activeert gesprekken op directieniveau. Maakt risico’s en kansen concreet. Verbindt conclusies met strategische prioriteiten. Zet de lezer aan tot handelen om de geconstateerde bevindingen op te lossen. 1. Begin bij de basis: een gedragen auditontwerp Een audit is een toetsend onderzoek aan een vooraf vastgestelde norm. Maar wat als de ontvanger van het rapport die norm niet kent, of er simpelweg niet achter staat? Dan kun je bevindingen presenteren wat je wilt, maar de kans dat ze landen is klein. De sleutel ligt in het voortraject. Zorg dat je het auditontwerp expliciet afstemt met je opdrachtgever en/of auditee: Stel de norm samen met de opdrachtgever en/of auditee op De 1 ste lijn is immers ‘eigenaar’ van de beheersmaatregelen in zijn/haar processen. Eigenaarschap van de 1 ste lijn bij het auditontwerp of opdrachtbrief waarborg eigenaarschap bij de rapportage. Toets herkenning Herkent de auditee zich echt in de gekozen criteria? Maak afspraken over definities en hoe je je audit gaat uitvoeren Zo voorkom je discussies achteraf. Een gedragen norm aan de voorkant, is de beste garantie voor een gedragen rapport aan de achterkant. 2. Zet de kern voorop in je auditrapporten Veel auditrapporten verliezen hun impact al op de eerste pagina. De reden? Ze starten met achtergrondinformatie, methodologie en context. Waardevolle elementen, maar niet als opening.Lezers in het management willen één ding weten: wat betekent dit voor ons? Begin daarom met de kern. Beantwoord direct deze drie vragen: Wat is er aan de hand, wat heb je als auditor gevonden? Wat is precies het probleem? Vaak omschreven als beheersmaatregelen die er niet zijn of niet werken. Hoe erg is dat in de vorm van het risico dat de organisatie loopt. Je kunt dit vormgeven in een krachtige managementsamenvatting. Een korte, to-the-point intro zorgt dat je lezer meteen snapt waarom dit rapport relevant is. 3. Schrijf begrijpelijk Vakjargon is de sluipmoordenaar van impact. Je wilt dat je rapport wordt gelezen door bestuurders, managers en teamleiders die niet dagelijks in auditmethodiek zitten. Als zij je niet begrijpen, haken ze af. Vermijd daarom wollige, afstandelijke formuleringen.Niet: “Er is sprake van een suboptimale borging van interne controlemaatregelen.” Wel:“In 7 van de 8 dossiers hebben wij gezien dat… Hier werkt beheersmaatregel x niet wat leidt tot het risico Y. 4. Visualiseer waar mogelijk Ons brein verwerkt beelden sneller dan tekst. Door visuele elementen in je auditrapporten op te nemen, verhoog je de kans dat de boodschap blijft hangen. Denk aan: Infographics die oorzaak-gevolg relaties laten zien. Heatmaps of dashboards voor risico-inschatting. Visuele samenvattingen van kernbevindingen. Procesflows om verbeterpunten te illustreren. Zorg ervoor dat je visuals in één oogopslag de essentie laten zien. Een drukke, complexe grafiek zonder toelichting werkt averechts. 5. Verbind bevindingen aan organisatiedoelen en compliance Door de bevinding af te sluiten met het benoemen van het risico (zie opbouw bij 3) leg je direct de koppeling met de organisatiedoelen en/of compliance. Risicobeschrijvingen zijn namelijk opgebouwd, gebeurtenis, oorzaak en gevolg. In het gevolg ligt vaak de relatie met de doelstelling of compliance. Hierdoor wordt direct de impact van de bevinding duidelijk, wat leidt tot meer acceptatie en veranderbereidheid. 6. Betrek de 1ste bij het opstellen van de aanbevelingen De auditor toets objectief en onafhankelijk wat goed gaat en wat niet goed gaat. Vaak in de vorm of beheersmaatregelen en zijn of niet en/of werken of niet. De 1 ste lijn is verantwoordelijk voor de kwaliteit van de beheersing. Als de auditor heeft vastgesteld dat bijvoorbeeld een beheersmaatregel niet werkt, betrek dan de 1 ste lijn bij het formuleren van de oorzaken en aanbevelingen. Zij zijn immers toch verantwoordelijk dat de niet werkende beheersmaatregel weer gaat werken. Organiseer daarom een workshop met de 1 ste lijn om samen met hun de oorzaken te achterhalen en de aanbevelingen te formuleren. de kans dat zelf geformuleerde aanbevelingen opgepakt worden is namelijk vele malen groter dan opgelegde aanbevelingen! Uiteraard moet de auditor ook het gevoel hebben dat de geformuleerde aanbevelingen de bevinding blijvend oplost. Formuleer de aanbeveling altijd concreet: Wie doet wat , wanneer. Wie stelt wanneer vast dat de uitgevoerde aanbeveling ook daadwerkelijk het probleem heeft opgelost. 7. Stimuleer het gesprek Wil je dat jouw rapport werkelijk impact maakt? Dan moet het gesprek erover plaatsvinden, liefst meteen na publicatie. Praktische tips: Plan direct na oplevering een bespreking met opdrachtgever en sleutelpersonen. Stuur vooraf een korte visuele samenvatting zodat deelnemers voorbereid zijn. Gebruik de bijeenkomst om prioriteiten te bepalen, niet om bevindingen voor te lezen . Je doel is dat de betrokkenen het rapport ervaren als een hulpmiddel om vooruit te komen, niet als een beoordelingsverslag waar ze zich tegen moeten verdedigen. 8. Houd rekening met de ‘leeswens’ van je gebruiker Niet iedereen leest rapporten op dezelfde manier. Sommige personen wegen elk woord, andere bladeren direct naar de conclusies. Pas je opmaak en structuur hierop aan: Voor detailgerichte lezers: zorg voor volledige bijlagen en bronvermeldingen. Voor besluitgerichte lezers: zet kernpunten in kaders of tabellen. Voor visueel ingestelde lezers: werk met kleurcodes, iconen en grafieken. 9. Maak het menselijk Uiteindelijk gaat auditing over mensen, over hoe zij werken, beslissen en veranderen. Een goed auditrapport laat dat zien. Benoem waar gedrag, cultuur of samenwerking invloed hebben op de risico’s of verbeterpunten. Door niet alleen op processen te focussen, maar ook op menselijk handelen, maak je je rapport relevanter en praktischer. 10. Blijf leren van je eigen rapporten Het schrijven van impactvolle auditrapporten is een vaardigheid die je kunt aanscherpen. Evalueer daarom na afloop: Welke aanbevelingen zijn opgevolgd? Welke niet – en waarom niet? Hoe hebben ontvangers het rapport ervaren? Waren er onderdelen die verwarring opriepen? Gebruik deze feedback om je volgende rapport nog effectiever te maken. Conclusie Een auditrapport dat in een la belandt, is zonde van al je inspanning en van de kans om de organisatie vooruit te helpen. Door te starten met de kern, begrijpelijke taal te gebruiken, visuele ondersteuning te bieden en je bevindingen te koppelen aan de organisatiedoelen, vergroot je de kans dat jouw rapport leidt tot echte actie. Zie je rapport niet als afsluiting, maar als startpunt. Dan wordt het geen papieren eindproduct, maar een middel dat beslissingen versnelt, risico’s bespreekbaar maakt en het lerend vermogen van de organisatie versterkt. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Heb je tijdelijk extra capaciteit en deskundigheid nodig op het gebied van internal auditing, control of risicomanagement? Wij helpen je graag! Onze ervaren interim professionals vullen jouw capaciteitsbehoefte naadloos in. Interim en consultancy Ferocia biedt tijdelijke capaciteit en deskundigheid op het gebied van internal audit, control en risicomanagement. Onze dienstverlening Ferocia levert ervaren interim-professionals die direct inzetbaar zijn voor onder meer het uitvoeren van audits, het inrichten en versterken van risicomanagement, het toetsen van de kwaliteit van de IAF en het implementeren/ondersteunen van third-party rapportages zoals ISAE 3000 en ISAE 3402, evenals trajecten rond ISO 27001; bekijk het volledige overzicht van onze dienstverlening op onze themapagina . We hanteren eerlijke, transparante tarieven en richten de inzet in conform de Wet DBA; als SNA-gecertificeerde organisatie werken wij aantoonbaar betrouwbaar en volgens geldende regelgeving. Bij inzet van zzp’ers beoordelen wij de arbeidsrelatie zorgvuldig en kiezen de juiste contractvorm, zodat jouw organisatie geen onnodige risico’s loopt. Interim Consultancy Co- en outsourcing Verloning Je internal audit- of riskfunctie versterken via co- of outsourcing? De eisen aan governance, risicobeheersing en interne controle worden steeds zwaarder. Tegelijk is goede capaciteit én specifieke expertise schaars. Co- en outsourcing zijn dan geen noodgreep, maar een strategische keuze om je internal audit- of riskfunctie structureel te versterken. Met co-sourcing werk je samen met onze professionals als één team. Jij houdt de regie, wij voegen capaciteit, kennis en een frisse blik toe. Ideaal bij piekbelasting, specialistische onderzoeken (bijvoorbeeld DORA, ESG of AI) of als je de kwaliteit van je functie wilt verstevigen. Kies je voor outsourcing, dan nemen wij (een deel van) de functie voor je over, van planning en uitvoering tot rapportage en kwaliteitsborging. Jij bepaalt de kaders en doelen, wij zorgen voor heldere processen, betrouwbare rapportages en kwalitatieve professionals. Met Ferocia kies je voor: • bewezen expertise in internal auditing en risicomanagement; • een partner die meedenkt over vandaag én morgen; • schaalbare ondersteuning, zonder in te leveren op kwaliteit; en • een efficiënte en structurele oplossing. Meer informatie over co-sourcing of outsourcing lees hier onze blogs Strategisch advies nodig op het gebied van audit, control of risk? Soms heb je meer nodig dan een extra paar handen. Je zoekt een sparringpartner die meekijkt, scherpe vragen stelt en helpt om echt stappen te zetten. Of het nu gaat om het versterken van je internal auditfunctie, het uitvoeren van een internal audit, het opzetten van integraal risicomanagement, het aanscherpen van je controls of het voldoen aan strengere regelgeving: Ferocia staat naast je. Onze consultants combineren diepgaande vakkennis met praktijkervaring in onder meer overheid, zorg, financiële dienstverlening, infra en industrie. Ze begrijpen jouw wereld, de druk van stakeholders en de dagelijkse realiteit. Met de consultants van Ferocia krijg je: inhoudelijke expertise op audit, risk en control; praktische oplossingen die passen bij jouw organisatie en cultuur; helderheid en structuur in processen, rollen en verantwoordelijkheden; en concrete verbeterplannen waar je morgen mee aan de slag kunt. We starten altijd met een goed gesprek over context, doelen en ambities. Vanuit daar werken we samen aan een aanpak die past. Geen dikke rapporten voor in de la, maar oplossingen die werken in jouw praktijk. Snel versterking nodig op het gebied van internal auditing, control of risicomanagement? Een zieke collega, een vacature die maar niet ingevuld wordt, een grote veranderopgave of een flinke auditpiek… Juist op die momenten wil je iemand naast je hebben die direct meedraait en weet wat er moet gebeuren. Ferocia helpt je snel aan een interim-professional die meer doet dan “de boel draaiende houden”. Onze mensen brengen rust, structuur en kwaliteit, en laten iets duurzaams achter als ze weer weg zijn. Onze interimmers: hebben ruime ervaring binnen onder meer de overheid, financiële dienstverlening, zorg en industrie; stappen snel in, pakken zelf op wat nodig is en voegen direct waarde toe; combineren vakinhoudelijke stevigheid met goede communicatieve vaardigheden; sluiten aan bij jouw doelen: continuïteit, versnelling, kennisopbouw of verandering; en zijn scherp geprijsd. Als wij een zzp’er bemiddelen is onze standaardmarge € 17,50. We kijken niet alleen naar het cv, maar vooral naar de match met jouw organisatie en opdracht. En ook tijdens de inzet blijven we betrokken, zodat je kunt bijsturen of opschalen als dat nodig is. Meer informatie over het inhuren van een interim professional via Ferocia, lees hier onze blog . Zeker verlonen in lijn met de Wet DBA? Sinds 1 januari 2025 handhaaft de Belastingdienst de Wet DBA actief. Geen schijnzelfstandigheid, geen grijs gebied, maar duidelijkheid: wie feitelijk als werknemer werkt, hoort in loondienst. Met de verloningsdienst van Ferocia zorg je dat jouw inzet van internal auditors, controllers, risk- en complianceprofessionals klopt. Juridisch én in de praktijk. Wij nemen de professional bij Ferocia in loondienst onder de ABU-cao, met pensioenopbouw bij StiPP en een transparant beloningsmodel: 85% van de omzet wordt verloond, 15% gaat naar Ferocia voor loonadministratie, begeleiding, risicodekking en onze marge. Ferocia is bovendien SNA-gecertificeerd, waardoor je zeker weet dat alle verplichtingen rondom arbeid, loonheffingen en afdrachten aantoonbaar volgens de norm worden uitgevoerd. Zo blijft de professional inzetbaar zonder risico’s, en weet jij dat alles goed geregeld is. Vooraf voeren we een DBA-scan uit, leggen we de afweging vast in een duidelijk dossier en vertalen we dat naar heldere afspraken in de praktijk. Geen constructies, maar een oplossing die toetsbaar is bij controle en rust geeft in de organisatie. Twijfel je over de juiste contractvorm of wil je bestaande inhuur “DBA-proof” maken via verloning? Ferocia denkt graag met je mee, neem contact met ons op via onderstaande button. Meer informatie over verlonen via Ferocia, lees deze blog . Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Opdrachten Voor interim-professionals Ben je interim-professional op het gebied van audit, control, risk management of compliance? Dan komen we graag met je in contact. Ferocia investeert in mensen die óók in zichzelf willen investeren en matcht je met opdrachten die passen bij jouw niveau en ontwikkelbehoefte. Samenwerken kan via een zzp-constructie of via verloning. Bij verloning verzorgen wij de loonadministratie en afdrachten, zodat jij je volledig kunt focussen op de opdracht. Natuurlijk borgen we compliance met de Wet DBA en werken we als SNA-gecertificeerde organisatie volgens alle geldende regels. Waarom Ferocia? Uitmuntende consultants aangevuld met een sterk netwerk van interim-professionals. Eerlijke tarieven – onze standaardmarge bij bemiddeling bedraagt € 17,50 per uur. SNA-gecertificeerd en volledig compliant met de Wet DBA – gegarandeerde naleving van alle wet- en regelgeving De meest gunstige condities voor onze interim-professionals Oprechte aandacht voor zowel onze opdrachtgevers als onze interim-professionals.

Ontdek het verschil tussen ISAE 3402 en SOC-verklaringen. Kies de juiste TPM en voorkom fouten die tijd en geld kosten. Laat je goed informeren! Alle blogs TPM ISAE 3402, SOC 1, SOC 2. Welke verklaring past bij jouw organisatie? De wereld van derde partijverklaringen is soms verwarrend. ISAE 3402, SOC 1, SOC 2, ze lijken op elkaar, maar dienen elk een ander doel. Welke verklaring is relevant voor jouw organisatie? En wat verwachten auditors en toezichthouders eigenlijk van je? In deze blog leggen we helder uit wat de verschillen zijn, waar je op moet letten en hoe je voorkomt dat je de verkeerde verklaring aanvraagt. Wat zijn derde partijverklaringen? Organisaties besteden steeds vaker processen uit. Denk aan salarisadministratie, IT-beheer of klantenservice. Maar ook al draag je de uitvoering over, je blijft als organisatie verantwoordelijk. Daarom vragen klanten en toezichthouders steeds vaker om een onafhankelijke verklaring over de kwaliteit en betrouwbaarheid van jouw dienstverlening. Daar komen derde partijverklaringen zoals ISAE 3402 en SOC om de hoek kijken. ISAE 3402 vs. SOC: een kwestie van perspectief Hoewel de termen vaak door elkaar worden gebruikt, zijn er belangrijke verschillen: ISAE 3402: focus op financiële processen ISAE 3402 is een internationaal assurance-standaard voor serviceorganisaties die processen uitvoeren die relevant zijn voor de financiële verslaggeving van hun klanten. Denk aan een salarisverwerker of een IT-bedrijf dat financiële systemen beheert. Binnen ISAE 3402 onderscheiden we twee typen: Type I: een momentopname; de opzet en bestaan van beheersmaatregelen worden beoordeeld. Type II: meeromvattend; hier wordt ook getoetst of de maatregelen effectief hebben gewerkt over een langere periode. Deze verklaring is vooral van belang voor organisaties die deel uitmaken van de financiële keten van hun klanten. SOC 1 en SOC 2: Amerikaans kader, breder bereik SOC staat voor System and Organization Controls en is afkomstig uit de VS. De SOC-verklaringen zijn gebaseerd op de Amerikaanse standaard SSAE 18 en hebben drie hoofdtypen: SOC 1: vergelijkbaar met ISAE 3402, gericht op interne beheersing van financiële processen. SOC 2: gaat verder dan financiële processen. Deze verklaring is gericht op trust service criteria zoals beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy. SOC 2 is met name relevant voor technologiebedrijven en cloudproviders die willen aantonen dat ze zorgvuldig omgaan met klantdata en IT-processen. SOC 3: een publieksvriendelijke versie van SOC 2, zonder gevoelige details. Welk rapport past bij jouw organisatie? De keuze hangt af van: Wat je doet voor je klant: Hebben jouw processen invloed op hun jaarrekening? Dan is een ISAE 3402 of SOC 1 relevant. Wat je klant belangrijk vindt: Gaat het meer om informatiebeveiliging en privacy? Dan ligt SOC 2 voor de hand. Waar je klant gevestigd is: Amerikaanse klanten vragen vaak specifiek om SOC-rapporten. Let op bij de aanvraag. Een veel gemaakte fout is namelijk dat men een verklaring aanvraagt die niet aansluit bij de eigen dienstverlening. Dat leidt tot onnodige kosten, verwarring bij klanten en soms zelfs reputatieschade. Laat je daarom altijd adviseren door een auditor die beide kaders kent en je kan helpen bij de juiste keuze en implementatie. Tot slot Een derde partijverklaring is geen vinkje, maar een strategisch instrument. Het toont aan dat je grip hebt op je processen en serieus werk maakt van vertrouwen. Maar dan moet je wel de juiste verklaring kiezen. Twijfel je over ISAE 3402 of SOC 2? Laat je goed informeren. De juiste verklaring opent deuren. De verkeerde zet je organisatie op achterstand. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek wanneer het uitbesteden van audits slim is, hoe je grip houdt en kwaliteit borgt. Inclusief tips voor co-sourcing, contracten en KPI’s. Alle blogs Co- en outsourcing Uitbesteden van audits Wanneer het slim is, hoe je het regelt en waar je op móét letten Het uitbesteden van audits klinkt aantrekkelijk: extra capaciteit, specialistische kennis en een frisse blik. Toch is het geen eenvoudige keuze. Zonder duidelijke regie ontstaat al snel ruis, lopen kosten uit de pas of verslapt de aandacht voor opvolging. Wie het goed wil doen, begint bij de vraag waarom uitbesteden waarde toevoegt, bepaalt zorgvuldig wat er extern belegd wordt en borgt de kwaliteit vanaf de eerste opdrachtformulering tot en met de laatste verbeteractie. In dit stuk lees je wanneer uitbesteden wel werkt, welke vormen effectief zijn, hoe je onafhankelijkheid en governance organiseert en hoe je stuurt op resultaat in plaats van op uren. Waarom zou je audits uitbesteden? De meest gehoorde reden is schaarste. Teams hebben piekbelasting door reorganisaties, verschuivende behoeften vanuit de opdrachtgever of uitlopende audits, terwijl de jaarplanning gewoon gerealiseerd moet worden. Het uitbesteden van audits helpt dan om het tempo vast te houden zonder concessies te doen aan kwaliteit. Een tweede motief is de behoefte aan specialistische kennis. IT-auditing, cybersecurity, privacy, data-analyse of ESG-audits vragen om ervaring die niet elke interne auditafdeling dagelijks inzet. Door tijdelijk expertise in te kopen, voorkom je dat je team maanden moet investeren in leercurves, terwijl de risico’s nu aandacht vragen. Ook objectiviteit speelt mee. Een externe auditor kijkt met minder bedrijfsblindheid naar processen en durft eerder een ongemakkelijke vraag te stellen. Dat levert scherpere bevindingen op en vaak ook een betere aansluiting op wat bestuur en toezichthouders willen weten. Belangrijk is dat uitbesteden nooit de verantwoordelijkheid verlegt naar de uitbestedende partij. De regie over de werkwijze, templates, communicatie met de organisatie blijft binnen de internal auditfunctie zelf. De externe partij levert capaciteit, kennis en methodiek; de interne auditfunctie behoudt het stuur, bepaalt de prioriteiten en bewaakt de kwaliteit. Wie dat onderscheid helder houdt, ervaart uitbesteden niet als uit handen geven, maar als een manier om de eigen auditdoelen beter en sneller te realiseren. Hoe kun je uitbesteden? (de werkbare modellen) Organisaties kiezen doorgaans uit drie werkvormen. De meest laagdrempelige is projectmatige uitbesteding: één duidelijke opdracht, bijvoorbeeld een IT-audit, een privacyreview of een audit op het inkoopproces. Deze aanpak is ideaal bij piekdrukte of een afgebakende expertisebehoefte. Wie structureel wil versterken, kiest vaak voor co-sourcing. Interne en externe auditors vormen dan één team, hanteren één planning en leveren één rapport. De aanpak combineert continuïteit met kennisoverdracht: interne auditors groeien mee in methodiek en tooling, externe collega’s leren de organisatie sneller doorgronden. Tot slot is er de (deels) uitbestede auditfunctie. Daarbij neemt een externe partij geheel of gedeeltelijk de internal auditfunctie over. De regie blijft bij het bestuur en de uitvoering wordt door de externe partij georganiseerd. Wie net begint, doet er goed aan klein te starten. Een afgebakend project maakt zichtbaar wat de samenwerking oplevert en waar de frictie zit. Op basis van die ervaring schaal je eventueel gericht op naar een structureel model. Governance en onafhankelijkheid: de randvoorwaarden Een effectieve samenwerking begint met helder eigenaarschap. De directie en de auditcommissie blijven eindverantwoordelijk voor het auditplan en de opvolging van bevindingen. De tweede lijn levert input en deelt risicobeelden. De internal auditfunctie is verantwoordelijk voor uit uitvoeren van relevante, deugdelijke en doelmatige audits. Leg vast dat de externe partij geen tegenstrijdige werkzaamheden uitvoert. Wie een proces ontwerpt of implementaties begeleidt, kan niet in dezelfde periode datzelfde domein beoordelen op beheersing en effectiviteit. Toegang en integriteit vragen eveneens aandacht. Externe auditors hebben volledige toegang nodig tot systemen, data en medewerkers. Regel dat vooraf, inclusief geheimhouding, datalocatie, bewaartermijnen en versleuteling. Heldere afspraken maak je niet pas aan het einde van de opdracht of als er iets mis is gegaan, maar direct bij de start van de samenwerking. Regel bijvoorbeeld vooraf hoe de externe partij de haar Quality Assurance organiseert. Denk bijvoorbeeld aan naar de manier waarop dossiers intern worden gereviewd en zorg dat je zelf ook kunt meekijken in werkprogramma’s en dossiervorming. Transparantie is hier geen luxe, maar een basisvoorwaarde voor vertrouwen. Selectie van je auditpartner: waar let je op? De beste pitch is een dossier dat spreekt. Vraag niet alleen om mooie slides, maar om geanonimiseerde voorbeeldrapporten, volledig doorlopen werkprogramma’s en zicht op de gebruikte tooling. Past de aanpak bij jouw sector en risicotaal? Sluiten bevindingen aan op root causes in plaats van symptomen? En zijn aanbevelingen concreet genoeg om binnen jouw organisatie te realiseren? Kijk verder dan het cv van de partner: wie staat er daadwerkelijk op de vloer, hoeveel senioriteit is er in het kernteam en hoe is continuïteit geborgd als het druk wordt? Minstens zo belangrijk is de cultuurfit. Een strakke methodiek is waardevol, maar landt alleen als de toon en het tempo aansluiten bij je organisatie. Dat ontdek je niet in een offerte, maar in de praktijk. Overweeg om bijvoorbeeld een proof-of-concept te organiseren met een echte scope en echte deadlines. Werk samen door alle fasen heen, van intake tot conceptrapport, en evalueer daarna scherp op kwaliteit, tijdigheid, samenwerking en impact. Contracteren van een externe partij Een duidelijk contract voorkomt discussies achteraf en versnelt het werk vooraf. Begin met een scherpe doelomschrijving en reikwijdte van de opdracht. Beschrijf processen, locaties, systemen en standaarden en leg vast hoe de auditcharter zich verhoudt tot interne policy’s en wettelijke eisen. Spreek af welke deliverables je krijgt: het auditprogramma, tussentijdse updates, een managementletter, een concept- en eindrapport en de presentatie aan het managementteam of de auditcommissie. Maak afspraken over doorlooptijden per fase, inclusief afhankelijkheden zoals dataleveringen en interviewplanning. Leg kwaliteitscriteria vast, bijvoorbeeld het aantal fouten in de conceptrapportage en de wijze waarop het dossier wordt opgebouwd en bewaard. Privacy en security vragen om specifieke clausules. Denk aan een verwerkersovereenkomst, dataclassificatie, versleuteling, toegangsbewaking en duidelijke regels over dataretentie en vernietiging. Wie uitbesteden gebruikt om de interne functie te versterken, borgt kennisoverdracht contractueel. Dat kan door co-creatie van normenkaders, overdracht van methodieken, dashboards en gerichte training van het interne team. Neem een helder escalatiemechanisme op, met vaste doorlooptijden en een duidelijke lijn naar het management. En vergeet het einde niet: een exit-plan zorgt dat data worden teruggegeven, openstaande bevindingen worden overgedragen en de auditkalender zonder hapering doorgaat. Commercieel werkt een vaste prijs vaak het beste bij een goed afgebakende scope. Waar flexibiliteit nodig is, help je jezelf met een strak change-proces: elke wijziging krijgt een beoordeling op risico, impact, planning en kosten, zodat bestuurders bewust kiezen. KPI’s en SLA’s die sturen op waarde Uren vertellen weinig. Sturen op waarde begint bij indicatoren die iets zeggen over tijdigheid, kwaliteit, relevantie en effect/impact. Kijk naar het percentage audits dat op planning wordt opgeleverd, naar de doorlooptijd per fase en naar het aantal reviews dat nodig is om het conceptrapport te finaliseren. Meet of aanbevelingen aansluiten bij de kern van het probleem in plaats van bij symptomen. De impact zie je uiteindelijk terug in opvolging: hoe snel worden maatregelen geïmplementeerd en wat is er daadwerkelijk verbetert bij vervolgaudits? Vergeet de samenwerking niet. Een korte vergadering onder proceseigenaren en het interne auditteam geeft inzicht in de kwaliteit van communicatie en kennisoverdracht. Spreek drempelwaarden af en koppel er verbeteracties aan. Als audits structureel te laat zijn, volgt automatisch een gezamenlijke root-cause-analyse en een verbeterplan met concrete acties. Een praktijkvoorbeeld Stel: een middelgrote retailer versnelt de digitalisering met een nieuw e-commerceplatform. De interne auditcapaciteit is beperkt en IT-kennis schaars. De auditcommissie kiest voor co-sourcing op twee sporen. IT-gerelateerde audits worden projectmatig uitbesteed, inclusief data-analyse op logbestanden en autorisaties. Tegelijkertijd investeert de organisatie in kennisopbouw: twee interne auditors leren in de praktijk hoe zij IT-normenkaders opstellen en data-extracties uitvoeren. Contractueel zijn vaste prijzen per audit afgesproken, duidelijke KPI’s op tijdigheid en kwaliteit en een minimale acceptatiegraad van aanbevelingen door het management. De rapportage volgt het interne format en elke conceptfase eindigt met een interactieve sessie met proceseigenaren. Na een half jaar is de doorlooptijd aantoonbaar gedaald en voeren de interne auditors zelfstandig een vervolg-audit uit met hergebruikte methodes. Bevindingen worden sneller opgevolgd omdat de aanbevelingen zijn geschreven in de risicotaal van de organisatie. De auditcommissie besluit de samenwerking uit te breiden naar vendor risk management, maar borgt tegelijk de onafhankelijkheid door advies- en assurance-activiteiten strikt te scheiden. Het stappenplan, maar dan zonder checklist Wie verantwoord wil uitbesteden, begint met een scherpe doelstelling. Gaat het om capaciteit, specialistische kennis of versnelling? Koppel dat doel aan de risicogebaseerde auditplanning en kies vervolgens het model dat daarbij past. Een beperkte, afgebakende opdracht is een verstandige start. Laat de markt zien wat zij kan, maar zet je eigen kwaliteitskaders ernaast. Vervolgens leg je afspraken vast in een solide contract, inclusief privacy- en securityclausules, duidelijke doorlooptijden en expliciete kennisoverdracht. Richt governance in met heldere rollen, een strakke escalatielijn en vaste reviewmomenten. Bewaak de scope en maak het opvolgen van aanbevelingen onderdeel van de opdracht. Tot slot evalueer je niet alleen het rapport, maar het hele proces: wat kon sneller, wat kon scherper en welke templates of methodes verdienen een update? Op die manier wordt elke uitbestede audit ook een investering in je eigen functie. Conclusie: uitbesteden van audits is geen doel, het is een onderbouwde keuze Uitbesteden van audits werkt wanneer je het gebruikt om je eigen functie te versterken. Houd de regie, kies bewust voor een model dat past bij je doelen en borg onafhankelijkheid en kwaliteit in elke stap. Contracteer op resultaten, niet op inspanning, en schrijf aanbevelingen in de taal van je organisatie. Begin klein, leer snel en schaal op waar het rendeert. Zo vergroot je niet alleen de kwaliteit en snelheid van je audits, maar vooral het lerend vermogen van de organisatie. Wie daar vandaag mee begint, zet morgen al de eerste stap naar aantoonbaar effectievere beheersing. Vrijblijvend sparren of het uitbesteden van audits is voor jouw organisatie is en zo ja, welke vorm dat het meest passend is? Neem contact met ons op via telefoon of e-mail, of start direct een chat via het gele tekstbolletje rechtsonder. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe strategische IT-beheersing bijdraagt aan groei, vertrouwen en innovatie. Ga verder dan compliance met een toekomstgerichte aanpak. IT beheersing In een wereld waarin digitale technologie de ruggengraat vormt van vrijwel elke organisatie, is IT-beheersing uitgegroeid tot een strategisch speerpunt. Waar IT vroeger vooral werd gezien als ondersteunend, is het vandaag onmisbaar voor het behalen van bedrijfsdoelen, het waarborgen van vertrouwen en het vergroten van de weerbaarheid tegen risico’s. Toch blijft IT-beheersing voor veel organisaties een uitdaging. Vaak overheerst het beeld van ‘compliance’ – voldoen aan regels, audits doorstaan en sancties vermijden. Belangrijk, maar het raakt slechts de oppervlakte. De echte waarde van IT-beheersing ligt in de stap van verplichting naar strategische grip: van vinklijstjes afwerken naar toekomstgericht sturen. In dit artikel leggen we uit wat IT-beheersing inhoudt, welke bouwstenen onmisbaar zijn, hoe je de valkuil van compliance voorbijgaat en welke stappen je kunt zetten om IT-beheersing te laten bijdragen aan groei, innovatie en vertrouwen. Wat verstaan we onder IT-beheersing? IT-beheersing gaat over de maatregelen, processen en structuren waarmee organisaties grip houden op hun digitale omgeving. Het is geen puur technische aangelegenheid, maar een integrale benadering waarin techniek, processen én menselijk gedrag samenkomen. Een effectieve aanpak combineert harde elementen (firewalls, encryptie, logging) met zachte factoren zoals risicobewustzijn, duidelijke governance en verandermanagement. Alleen zo ontstaat een duurzaam fundament. De belangrijkste bouwstenen: Informatiebeveiliging: het beschermen van data en systemen tegen ongeoorloofde toegang of datalekken. Risicomanagement: het systematisch identificeren, beoordelen en beheersen van digitale risico’s. Change management: gecontroleerd doorvoeren van wijzigingen in systemen en infrastructuur. Compliance: voldoen aan wet- en regelgeving zoals de AVG, NIS2, DORA en ISO 27001. Governance: heldere verantwoordelijkheden, besluitvorming en toezicht op IT-processen. Het uiteindelijke doel? IT inzetten op een manier die veilig, voorspelbaar en doelgericht bijdraagt aan de strategische koers van de organisatie. Van regels naar waarde Voor veel organisaties is compliance de eerste drijfveer om met IT-beheersing aan de slag te gaan. Logisch: wetgeving en audits zijn concrete prikkels. Maar wie IT uitsluitend benadert vanuit verplichting, benut slechts een fractie van het potentieel. Wanneer je IT-beheersing strategisch inzet, ontstaan wezenlijke voordelen: Vertrouwen: Stakeholders zien dat risico’s onder controle zijn en dat de organisatie grip heeft op haar digitale omgeving. Transparantie: Beslissingen worden beter onderbouwd, risico’s inzichtelijker en keuzes beter uitlegbaar. Weerbaarheid: Incidenten kunnen sneller en effectiever worden opgevangen, van cyberaanvallen tot systeemuitval. Prestatieverbetering: Gestroomlijnde IT-processen leiden tot lagere kosten en hogere kwaliteit. Innovatiekracht: Met een solide fundament ontstaat ruimte om nieuwe technologieën te omarmen en digitale initiatieven te versnellen. Kortom: goed ingerichte IT-beheersing verandert van een kostenpost in een bron van strategische waarde. Ferocia’s visie op IT-beheersing Bij Ferocia zien we IT-beheersing als een integraal onderdeel van modern risicomanagement en strategische sturing. IT is niet langer een ondersteunend domein, maar een kernproces dat vraagt om proactieve aansturing. Onze aanpak is nuchter en pragmatisch. Geen dikke rapporten of standaardchecklists, maar maatwerkoplossingen die passen bij de context, het risicoprofiel en de volwassenheid van de organisatie. We combineren expertise in auditing, risicomanagement en IT-governance met oog voor verandermanagement en organisatiecultuur. Concreet helpen wij organisaties om: inzicht te krijgen in IT-risico’s via audits, assessments en nulmetingen; verbetermaatregelen te formuleren en door te voeren, zowel technisch als organisatorisch; governance en beleid te versterken, inclusief rollen, verantwoordelijkheden en sturingsmodellen; compliance te borgen met normen en wetgeving (ISO 27001, NIS2, DORA); interne kennis en capaciteit te vergroten via training, coaching en tijdelijke inzet van specialisten. Altijd met hetzelfde uitgangspunt: structurele verbetering en draagvlak in de organisatie. We doen dit met ervaren professionals die de taal van zowel IT als de business spreken. Zo zorgen we voor structurele verbetering en draagvlak in de organisatie. Welke frameworks ondersteunen IT-beheersing? Er zijn meerdere frameworks beschikbaar die organisaties kunnen helpen bij het inrichten en versterken van IT-beheersing. De keuze hangt af van je sector, doelstellingen en volwassenheidsniveau. Hieronder de meest gebruikte kaders: Framework Doelstelling Toepassing COBIT IT governance en management Strategisch en operationeel niveau. COBIT biedt een raamwerk voor het afstemmen van IT op bedrijfsdoelen. Het is vooral geschikt voor organisaties die IT strategisch willen inzetten en verantwoording willen afleggen aan stakeholders. Denk aan het inrichten van IT governance, het definiëren van rollen en verantwoordelijkheden, en het meten van prestaties op directieniveau. ISO 27001 Informatie- beveiliging Beveiligingsbeleid en audits. ISO 27001 is dé internationale standaard voor het opzetten van een Information Security Management System (ISMS). Organisaties gebruiken het om systematisch risico’s te identificeren, beveiligingsmaatregelen te implementeren en audits uit te voeren. Het is essentieel voor compliance met privacywetgeving zoals de AVG en voor het aantonen van betrouwbaarheid richting klanten. ITIL Service management IT dienstverlening en processen. ITIL richt zich op het verbeteren van IT dienstverlening. Het helpt organisaties bij het structureren van processen zoals incidentbeheer, wijzigingsbeheer en service level management. ITIL is vooral waardevol voor operationele teams die de kwaliteit en continuïteit van IT services willen verhogen. NIST Cybersecurity Cybersecurity en risicobeheersing Incidentrespons en mitigatie. Het NIST framework biedt een praktische aanpak voor het identificeren, beschermen, detecteren, reageren en herstellen van cyberincidenten. Het is breed toepasbaar, van overheden tot commerciële organisaties, en helpt bij het verhogen van digitale weerbaarheid en het opstellen van responsplannen. Bij Ferocia zijn we goed thuis in deze frameworks. Maar we geloven ook: een framework is geen doel op zich. Het is een middel. We zorgen altijd dat het aansluit op de praktijk, en daadwerkelijk leidt tot betere beheersing en sturing. Hoe pak je IT-beheersing slim aan? Een effectieve IT-beheersingsaanpak begint met inzicht. Zonder dat weet je niet waar de kwetsbaarheden zitten, welke maatregelen werken of waar de grootste risico’s liggen. Onze ervaring leert: je hoeft niet alles in één keer te regelen. Begin klein, werk gefaseerd en zorg voor continue verbetering. Onze vijfstappenaanpak: Nulmeting en risicoanalyse Waar sta je nu? Welke IT-risico’s zijn het meest relevant? Doelstellingen en kaders formuleren Wat wil je bereiken? Welke normen, KPI’s en beleid horen daarbij? Beheersmaatregelen implementeren Technisch: firewalls, logging, authenticatie. Organisatorisch: beleid, rollen, gedrag, processen. Monitoring en rapportage inrichten Real-time dashboards, periodieke rapportages en audits. Escalaties en incidentprocedures. Continu verbeteren Op basis van incidenten, nieuwe risico’s en technologische ontwikkelingen. Vanuit feedbackloops en betrokkenheid van stakeholders. Deze aanpak sluit aan bij het volwassenheidsdenken: je groeit stap voor stap naar een hoger niveau van IT-beheersing. IT-beheersing in de praktijk: uitdagingen en valkuilen Hoewel de urgentie vaak wordt erkend, blijft effectieve IT-beheersing in veel organisaties achter. Waarom? Silo’s tussen IT en business : IT wordt nog te vaak als apart domein gezien. Complexe ketens en uitbesteding : Denk aan cloud, SaaS, outsourcing. Onvoldoende eigenaarschap : Wie is verantwoordelijk voor welk risico? Te veel focus op techniek : Terwijl processen, mensen en gedrag minstens zo belangrijk zijn. Bij Ferocia herkennen we deze valkuilen. We zorgen daarom voor een integrale aanpak, waarin IT-beheersing niet alleen een verantwoordelijkheid van de IT-afdeling is, maar een gezamenlijke opgave van bestuur, control, risk en operatie. Ferocia als partner in IT-beheersing Ferocia is jouw sparringpartner als het gaat om het professionaliseren van IT-beheersing. Of je nu net begint, op zoek bent naar verdieping of een externe blik nodig hebt: wij denken met je mee en helpen je vooruit. Onze dienstverlening bestaat onder meer uit: Quickscans en nulmetingen op het gebied van IT-risico’s en beheersmaatregelen. Interne audits op thema’s als informatiebeveiliging, dataprivacy of outsourcing. Begeleiding bij ISO 27001-certificering of NIS2-compliance. Trainingen en masterclasses over IT-beheersing, risicoanalyse en cyberweerbaarheid. Interim IT-auditors en risicomanagers voor tijdelijke versterking. We doen dit onafhankelijk, deskundig en altijd met oog voor jouw context. Niet omdat het in een model past, maar omdat het in jouw organisatie moet werken. Tot slot: IT-beheersing als motor van digitale volwassenheid De wereld wordt digitaler. Complexer. En risicovoller. Juist daarom is IT-beheersing geen luxe, maar noodzaak. Wie het goed regelt, wint niet alleen vertrouwen, maar ook wendbaarheid, veerkracht en innovatiekracht. Bij Ferocia geloven we dat IT-beheersing de sleutel is tot moderne sturing. En dat begint niet met techniek, maar met bewustzijn, leiderschap en samenwerking. Benieuwd waar jouw organisatie staat op het gebied van IT-beheersing? Of wil je vrijblijvend sparren over vervolgstappen? Neem contact met ons op. We denken graag met je mee. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs IT-auditing is veel meer dan vinkjes zetten. In deze blog lees je hoe de IT-auditor zorgt voor veilige systemen, naleving van AVG/NIS2/DORA en grip op digitale risico’s. Ontdek de belangrijkste inzichten voor een sterke IT-audit én hoe Ferocia je hierbij kan helpen. IT-auditing Knop COBIT is geen ingewikkeld IT-speeltje, maar jouw kompas voor digitale governance. In deze blog lees je hoe COBIT 2019 business, IT en bestuur dezelfde taal laat spreken, IT-risico’s structuur geeft en jouw audits versterkt. Ontdek hoe je COBIT praktisch inzet in jouw organisatie. Cobit Knop NIS2 verandert cybersecurity van IT-thema naar bestuurdersvraagstuk. In deze blog lees je wie onder NIS2 valt, wat er straks écht verplicht is en welke rol internal audit, risk en control spelen. Geen paniek om boetes, maar een kans om je organisatie aantoonbaar digitaal weerbaar te maken. NIS2 Knop ISO 27001 is geen papieren oefening, maar een manier om informatiebeveiliging écht te laten werken. In deze blog lees je hoe je met een scherpe scope, slimme verklaring van toepasselijkheid (SoA) en goede audits risico’s, gedrag en techniek verbindt, en zo van certificaat naar waardecreatie gaat. ISO 27001 Knop Sinds 17 januari 2025 moet jouw organisatie aantoonbaar digitaal weerbaar zijn. In deze blog lees je wat een DORA-audit is, welke vijf bouwstenen echt het verschil maken en hoe internal audit uitgroeit tot strategische partner. Onmisbaar leesvoer voor audit, risk en compliance. DORA audit Knop

Versterk je organisatie met een effectief risicomanagement model. Ontdek hoe je risico’s beheerst en veerkracht opbouwt in een VUCA-wereld. Alle blogs Risicomanagement Risicomanagement model In een wereld waarin organisaties dagelijks worden geconfronteerd met onzekerheden, incidenten en veranderingen is effectief risicomanagement geen luxe, maar een noodzaak. Toch worstelen veel organisaties met de vraag: Hoe structureer ik mijn risicomanagement op een manier die echt werkt voor mijn organisatie? Een goede start is het gebruik van een risicomanagement model. Maar wat houdt dat precies in? En welke modellen zijn er eigenlijk? In deze blog geven we een overzicht van vijf veelgebruikte risicomanagement modellen, hoe je deze in de praktijk toepast en hoe Ferocia jouw organisatie kan helpen bij het kiezen en ‘implementeren’ van het juiste model. Wat zijn risicomanagement modellen? Een risicomanagement model is een gestructureerd raamwerk dat helpt bij het identificeren, analyseren, beoordelen, beheersen en monitoren van risico’s. Het biedt een gemeenschappelijke taal en methodiek waarmee organisaties risico’s systematisch kunnen benaderen. Modellen zorgen voor structuur, houvast, ze maken risico’s bespreekbaar, zorgen voor consistentie in aanpak en helpen bij het borgen van risicomanagement in de organisatie. Kortom: zonder model is risicomanagement vaak ad hoc, persoonsafhankelijk en ineffectief. Met een goed gekozen model kun je risico’s integraal benaderen en echt waarde toevoegen aan je organisatie. Vijf veelgebruikte risicomanagement modellen 1. COSO ERM (Enterprise Risk Management) Kern van het model : COSO ERM is een geïntegreerd raamwerk dat organisaties helpt bij het identificeren en managen van risico’s die de strategie en doelstellingen kunnen beïnvloeden. Het model bestaat uit acht componenten en is gericht op het koppelen van risicomanagement aan strategievorming. Waarom kiezen voor COSO ERM? COSO ERM is bijzonder geschikt voor organisaties die risicomanagement willen integreren in hun strategisch besluitvormingsproces. Het model stimuleert een cultuur waarin risico’s vanuit meerdere perspectieven worden beschouwd. 2. ISO 31000 Kern van het model : ISO 31000 is een internationale norm voor risicomanagement. Het model is minder prescriptief dan COSO ERM maar biedt wel heldere principes, een raamwerk en een proces voor het effectief managen van risico’s. Waarom kiezen voor ISO 31000? ISO 31000 is breed toepasbaar en flexibel. Het model is geschikt voor organisaties die op zoek zijn naar een generiek, schaalbaar en internationaal erkend raamwerk. ISO legt sterk de nadruk op context, leiderschap en continue verbetering. 3. Three Lines Model (voorheen Three Lines of Defense) Kern van het model : Het Three Lines Model beschrijft de rolverdeling binnen risicomanagement. De eerste lijn is verantwoordelijk voor het nemen en beheersen van risico’s, de tweede lijn ondersteunt en monitort, en de derde lijn (interne audit) beoordeelt objectief en onafhankelijk. Waarom kiezen voor het Three Lines Model? Dit model is essentieel voor het organiseren van governance rondom risicomanagement. Het zorgt voor heldere rolverdeling, verantwoordelijkheden en samenwerking tussen afdelingen. Zeker bij grotere organisaties is dit model onmisbaar. 4. BIO – Baseline Informatiebeveiliging Overheid Kern van het model :De BIO is het normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het is gebaseerd op de ISO 27001- en 27002-standaarden, maar toegesneden op de context van overheidsorganisaties. De BIO biedt kaders en maatregelen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie(systemen). Waarom kiezen voor BIO? Voor overheidsorganisaties is de BIO verplicht. Maar ook voor semioverheden, uitvoeringsorganisaties en instellingen die met overheidsdata werken is het een logisch vertrekpunt. De kracht van de BIO zit in de combinatie van duidelijke normenkaders en het risicogericht denken. Niet alle maatregelen zijn verplicht; er mag gemotiveerd worden afgeweken, mits het restrisico acceptabel is en goed wordt vastgelegd. De BIO kent drie beveiligingsniveaus (BASIS, VERTROUWELIJK, ZEER VERTROUWELIJK), afhankelijk van de gevoeligheid van de informatie. Organisaties bepalen eerst hun 'classificatie', en kiezen op basis daarvan passende maatregelen. Dit maakt het model schaalbaar en praktisch toepasbaar. 5. RISMAN (Risicoanalyse en Management) Kern van het model : RISMAN is een Nederlands model dat veel wordt toegepast in projecten, met name binnen de bouw- en infrasector. Het richt zich op het systematisch identificeren, analyseren, beheersen en monitoren van projectrisico’s. Waarom kiezen voor RISMAN? Wanneer je te maken hebt met projectmatige risico’s — zoals bij aanbestedingen, infrastructurele werken of ICT-implementaties — is RISMAN een bewezen effectieve methode. Het model is praktisch en gericht op samenwerking tussen betrokkenen. Hoe gebruik je een risicomanagement model in de praktijk? Het kiezen van een model is een ding. Maar het model daadwerkelijk toepassen vergt maatwerk. Risicomanagement werkt alleen als het aansluit bij de context, cultuur en volwassenheid van jouw organisatie. Een paar praktische tips: Start met een volwassenheidsmeting : Waar staat jouw organisatie nu? Dat bepaalt of je kiest voor een basisaanpak (zoals ISO 31000) of een integraal raamwerk (zoals COSO ERM). Vertaal het model naar je eigen praktijk : Maak het niet te academisch. Gebruik herkenbare termen en voorbeelden uit de dagelijkse operatie. Het model is nooit een doel op zich, het blijft een hulpmiddel. Betrek alle lagen van de organisatie : Risicomanagement is geen feestje van de tweede lijn. Juist de mensen in de uitvoering kennen de risico’s het best. Combineer modellen waar nodig : Je kunt prima ISO 31000 gebruiken als overkoepelend kader en een ander model voor risico identificatie. Blijf oefenen en leren : Risicomanagement is geen eenmalig project, maar een continu leerproces. Hoe helpt Ferocia bij het implementeren van een risicomanagement model? Bij Ferocia begrijpen we dat ieder risicomanagement vraagstuk uniek is. Daarom ondersteunen we organisaties niet met standaardmodellen, maar met een aanpak die past bij hun ambities en realiteit. Wat we doen? 1. Diagnose en modelkeuze We helpen je organisatie om te bepalen welk model het beste past bij jullie situatie. We kijken naar de strategie, de risicocultuur, de sector en de bestaande werkwijze. 2. Training en opleiding Ferocia biedt diverse op en incompany opleidingen en trainingen op het gebied van risicomanagement; van integraal risicomanagement tot risico gestuurd werken. Theorie en praktijk gaan daarbij hand in hand. 3. Implementatiebegeleiding We begeleiden organisaties bij het vertalen van het gekozen model naar processen, formats en gedrag. Daarbij is aandacht voor zowel harde als zachte aspecten, zoals leiderschap en cultuur. 4. Interim en advies Heb je tijdelijk extra expertise nodig? Onze consultants en interim risk managers helpen bij het opzetten, herstructureren of professionaliseren van risicomanagement binnen jouw organisatie. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Blijf ‘in control’ bij uitbesteding met een TPM-verklaring. Ontdek welke standaard past bij jouw organisatie en vergroot het vertrouwen van stakeholders. Third Party Mededelingen Steeds meer organisaties besteden processen of systemen uit aan externe partijen. Van IT-hosting tot klantdata, van financiële verwerking tot ESG-rapportages. Uitbesteden is aantrekkelijk, het is vaak efficiënt, sneller en van een kwalitatief hoog niveau. Maar wie denkt dat daarmee ook de verantwoordelijkheid verdwijnt, komt bedrogen uit. De realiteit is simpel: als uitbestedende organisatie blijf jij eindverantwoordelijk. Klanten, toezichthouders en andere stakeholders verwachten dat jij kunt aantonen dat jouw processen veilig, beschikbaar en beheerst verlopen, ook als ze (gedeeltelijk) in handen zijn van een derde partij. En precies daar komt de Third Party Mededeling (TPM) om de hoek kijken. Wat is een Third Party Mededeling? Een TPM-verklaring is een assurance-rapport dat inzicht geeft in de kwaliteit en betrouwbaarheid van uitbestede processen of systemen. Het rapport wordt opgesteld op basis van een erkende norm en door een onafhankelijke auditor gecontroleerd. Daarmee biedt het de zekerheid die stakeholders verlangen: jouw organisatie heeft grip op uitbesteding. Of je nu werkt voor een cloudprovider, softwarebedrijf, detacheerder, administratiekantoor of gegevensverwerker, een TPM helpt je aantoonbaar ‘in control’ te zijn. Waarom kiezen organisaties voor een TPM-verklaring? De directe aanleiding voor een TPM is vaak een vraag van een klant of toezichthouder: “Kun je aantonen dat je onze data veilig beheert?” of “Hoe borg je continuïteit als processen zijn uitbesteed?” Maar steeds meer organisaties zijn de vragen voor. Ze zien in dat een TPM-verklaring meer is dan een vinkje voor compliance: Het versterkt je betrouwbaarheid richting klanten en partners. Het voorkomt discussie en tijdverlies bij aanbestedingen of due diligence. Het dwingt intern om processen goed te documenteren en te verbeteren. En niet onbelangrijk: het voorkomt reputatieschade bij incidenten. Kortom: een TPM is geen doel op zich, maar een strategisch middel om risico’s te beheersen, vertrouwen te versterken en commerciële kansen te vergroten. Welke standaard past bij jouw organisatie? De wereld van TPM kent meerdere internationale standaarden. Welke voor jouw situatie geschikt is, hangt af van het type dienstverlening, de sector en de verwachtingen van jouw stakeholders. Hieronder zetten we de meest voorkomende standaarden op een rij. ISAE 3000 Deze standaard is breed inzetbaar voor niet-financiële processen zoals informatiebeveiliging, privacy, ESG-rapportages of HR-dienstverlening. Het is een principes-gebaseerde standaard, wat betekent dat de inhoud flexibel is in te vullen op basis van de context. Toepassing : organisaties die procesverantwoordelijkheid dragen voor vertrouwelijke gegevens, zoals SaaS-aanbieders of hostingpartijen. ISAE 3402 (SOC 1) ISAE 3402 is specifiek gericht op processen die van invloed zijn op de interne beheersing rondom financiële verslaggeving. Deze standaard is zeer geschikt voor bijvoorbeeld administratiekantoor, uitbestedingspartijen of shared service centers die processen uitvoeren met impact op de jaarrekening van hun klant. Toepassing : organisaties die loonadministratie, boekhouding of financiële verwerking voor derden uitvoeren. Meer lezen over ISAE 3402? Klik hier voor een verdiepende blog. SOC 2 en SOC 3 Beide rapporten zijn gebaseerd op het Trust Services Criteria-raamwerk van AICPA. SOC 2 is bedoeld voor professioneel gebruik en richt zich op vijf domeinen: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. SOC 3 is een publieksversie van SOC 2, vooral bedoeld voor marketingdoeleinden. Toepassing : technologiebedrijven, datacenters, SaaS-leveranciers. ISO 27001 ISO 27001 is een internationale norm voor informatiebeveiliging. Het is geen assurance-rapport maar een certificering. ISO 27001 toont aan dat jouw organisatie een informatiebeveiligingsmanagementsysteem (ISMS) heeft ingericht volgens internationale normen. Toepassing : organisaties die vooral een formele, gecertificeerde aanpak willen tonen. Meer lezen over de verschillende TPM-verklaringen? Klik hier voor een verdiepende blog. Type 1 of type 2: wat is het verschil? TPM-rapporten kunnen in twee vormen worden opgeleverd: type 1 of type 2. · Een type 1-rapportage geeft een momentopname: zijn de beheersmaatregelen ingericht zoals beschreven? · Een type 2-rapportage gaat verder: het toont over een periode (meestal 6 tot 12 maanden) aan dat deze maatregelen ook effectief hebben gewerkt. Wil je vertrouwen opbouwen richting klanten of toezichthouders? Dan biedt een type 2-rapport meer zekerheid. Daarom adviseren wij organisaties om een type 1-rapport te zien als opstap naar een type 2-rapport, met voldoende tijd (minimaal 6 maanden) tussen beide. Onze aanpak: praktisch en gefaseerd Een TPM-traject klinkt complex, maar dat hoeft het niet te zijn. Ferocia begeleidt organisaties stap voor stap naar een succesvolle TPM-verklaring. Onze aanpak is helder, pragmatisch en altijd afgestemd op jouw situatie. Stap 1: Quick scan We starten met een verkennende analyse: welk normenkader past het best bij jouw dienstverlening en wat is de scope van de TPM? We kijken naar processen, systemen, risico’s en klantverwachtingen. Deze stap geeft snel helderheid over de route en de impact. Stap 2: Normenkader opstellen Samen stellen we een passend normenkader op en indien van toepassing combineren we normenkaders, zodat we geen dubbel werk hoeven uit te voeren. Hierin staan de beheersmaatregelen die nodig zijn om aan de gekozen standaard te voldoen. Denk aan toegangsbeheer, logging, continuïteitsplanning, dataclassificatie of change management. We helpen je om deze maatregelen praktisch en beheersbaar te implementeren. Stap 3: Testen van maatregelen Na implementatie voeren we testwerkzaamheden uit. We controleren of de maatregelen werken zoals beoogd. Dit helpt om kinderziektes te ontdekken voordat de externe auditor meekijkt. Stap 4: Rapportage Op basis van de testresultaten stellen we een conceptrapportage op die voldoet aan de eisen van de gekozen standaard. Deze rapportage vormt de basis voor het formele auditrapport. Stap 5: Selectie en begeleiding externe auditor Tot slot helpen we je bij de selectie van een geschikte, onafhankelijke externe auditor. Wij zorgen voor een soepele overdracht en begeleiden het auditproces, zodat jij met vertrouwen het traject afrondt. Waarom kiezen organisaties voor Ferocia? TPM is geen papieren exercitie. Het gaat om vertrouwen, om aantoonbaar grip op uitbestede processen. En precies dat is waar Ferocia in uitblinkt. Met tientallen succesvolle TPM-trajecten op onze naam, kennen we de praktijk. We snappen hoe processen echt werken. We combineren technische kennis met organisatiesensitiviteit. En we weten hoe je maatregelen werkbaar maakt. Onze klanten waarderen vooral onze: Praktische aanpak : geen dikke rapporten, wel concrete oplossingen. Persoonlijke begeleiding : we zijn betrokken, kritisch en altijd bereikbaar. Ervaring en expertise : we kennen de normen en de praktijk. Efficiënte ondersteuning : we ondersteunen alleen waar nodig. Datgene wat je als organisatie zelf kan, hoef je niet uit te besteden. TPM-verklaring: niet wachten tot iemand het vraagt De eisen aan dienstverleners worden steeds hoger. Of je nu werkt voor een zorginstelling, IT-dienstverlener of overheidsorganisatie, klanten en toezichthouders willen zekerheid. Wacht dus niet tot je die vraag krijgt, maar neem zelf het initiatief. Met een Third Party Mededeling laat je zien dat je serieus werk maakt van risicobeheersing, compliance en kwaliteit. Het is een krachtig signaal, onze organisatie is in control. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs ISAE 3402 hoeft geen jaarlijks hoofdpijndossier te zijn. In deze blog ontdek je hoe je van een verplicht vinkje een strategisch instrument maakt dat processen versterkt, risico’s aanscherpt en eigenaarschap in de lijn creëert. Zo levert jouw verklaring wél waarde op. Klik door voor de volledige aanpak. ISAE 3402 verklaring Knop ISAE 3402, SOC 1 of SOC 2? In deze blog ontdek je eindelijk het verschil. Helder uitgelegd, met praktische handvatten om te bepalen welke verklaring écht past bij jouw dienstverlening. Voorkom dure fouten en maak een keuze die vertrouwen uitstraalt. Klik door voor de complete uitleg. ISAE 3402, SOC 1, SOC 2. Knop

De wet DBA 2025: voorkom risico’s met de bewezen aanpak van Ferocia. Ontdek hoe je zzp of loondienst kiest op basis van feiten en met een onderbouwde aanpak. Alle blogs Interim en consultancy Wet DBA 2025: zekerheid zonder frictie Sinds 1 januari 2025 handhaaft de Belastingdienst de Wet DBA actief. Geen papieren werkelijkheid meer, maar een beoordeling van de praktijk: hoe is het werk georganiseerd, hoeveel sturing is er, hoe is de professional ingebed in het team? Voor iedereen die in audit, control, risk en compliance met zelfstandigen werkt, is dat merkbaar. De vraag is niet langer of je een modelovereenkomst kunt overleggen, maar of de feiten op de werkvloer passen bij zelfstandigheid. Dat klinkt streng, maar het biedt ook helderheid. Wie zijn keuzes zorgvuldig onderbouwt en vastlegt, hoeft niet te schrikken van een controle. Wat de Wet DBA in de praktijk vraagt De kern van de Wet DBA is simpel: wie feitelijk als werknemer werkt, hoort in loondienst. Het label op het contract is minder relevant dan de manier waarop de samenwerking is ingericht. Daarom kijkt de Belastingdienst naar onder andere naar gezag, inbedding, vervangbaarheid en ondernemersrisico. Wie dagelijks meedraait in een vast rooster, werkt met bedrijfsapparatuur, inhoudelijk wordt aangestuurd en zelf geen enkel ondernemingsrisico draagt, werkt in de ogen van de wet waarschijnlijk niet zelfstandig. Andersom geldt ook: wie resultaatverplichtingen heeft, eigen keuzes maakt, zich kan laten vervangen, zich presenteert als een ondernemer en zichtbare ondernemersrisico’s draagt, staat doorgaans steviger als zelfstandige. Daartussen zit een groot grijs gebied. Van grijs gebied naar heldere keuze Veel organisaties herkennen het “grijze gebied” tussen zzp en loondienst. Het verdwijnt niet door een extra clausule. Het verdwijnt als je de inhoud van het werk en de inrichting van de samenwerking op één lijn brengt met de gekozen contractvorm. Dat vraagt om een heldere afweging met concrete argumenten, consequente uitvoering in de praktijk en een dossier dat het verhaal vertelt. Teams gaan hierdoor beter functioneren, omdat het voor professionals eerlijker en volwassener voelt. Voor opdrachtgevers levert het rust en voorspelbaarheid op. Ferocia & wet DBA Bij Ferocia vertalen we de Wet DBA naar een helder, toetsbaar afwegingsproces: van intake en analyse tot dossiervorming en contractering. Dat proces is tijdens een bedrijfsbezoek door de Belastingdienst volledig doorgenomen en passend bevonden bij hun toetsingskader. Dat geeft rust. Opdrachtgevers behouden grip op capaciteit en compliance, zzp’ers leveren met vakmanschap waarde terwijl het DBA-risico wordt geminimaliseerd, en wij borgen structureel kwaliteit en zorgvuldigheid. Per opdracht bepalen we op basis van doel en aard van het werk of inzet via zzp of loondienst passend is; denk aan afgebakend resultaat versus structurele capaciteit, ervaring en inzet van kennis en kunde, wijze van belonen, ondernemerschap in presentatie, sturingsverhoudingen, kwaliteitsbewaking en ruimte om werkzaamheden buiten scope te weigeren. Die uitkomst bepaalt niet alleen de contractvorm, maar ook de praktische inrichting van de samenwerking, zodat een nette modelovereenkomst niet alsnog onderuitgaat in de dagelijkse realiteit. Hoe Ferocia afweegt en borgt Omdat we zowel met zzp’ers als met professionals in loondienst werken, is een robuust en transparant proces essentieel. Bij iedere nieuwe opdracht voeren we een DBA-scan uit. We toetsen op de bekende pijlers: gezagsverhouding, inbedding in de organisatie, vervangbaarheid, mate van ondernemersrisico, duur en exclusiviteit van de inzet. Dat doen we in gewone taal en met voorbeelden, zodat iedereen begrijpt wat de uitkomst betekent. De overwegingen leggen we vast in een afwegingsdocument. Dat document bevat de argumenten vóór en tegen zelfstandigheid, beschrijft de gekozen maatregelen om risico’s te beperken en maakt zichtbaar waarom we samen voor zzp of loondienst kiezen. Hiermee ontstaat een auditabel dossier dat ook maanden later nog uitlegt waarom een keuze logisch en juist was. Daarbij checken we elke drie maanden of de uitgangspunten ook daadwerkelijk nog zo in de praktijk worden toegepast. Valt de keuze op zzp, dan vertalen we de afweging naar de praktijk. We formuleren resultaten in plaats van taken, plannen reviewmomenten in plaats van dagelijkse sturing, maken duidelijke afspraken over bereikbaarheid en aanwezigheid, en bevorderen waar mogelijk het gebruik van eigen middelen. Zo blijft de samenwerking wendbaar en blijft het karakter van zelfstandigheid overeind. Valt de keuze op loondienst, dan schakelen we zonder ruis over en zorgen we dat de professional moeiteloos door kan werken, met behoud van motivatie en waarde voor de opdrachtgever. Onze tijdelijke loondienstverband oplossing: zekerheid zonder verlies van waarde Soms is loondienst eenvoudigweg de juiste route. In die situaties bieden we een heldere loondienstconstructie die zekerheid biedt zonder de professional tekort te doen. De arbeidsovereenkomst loopt via Ferocia onder de ABU-cao; pensioenopbouw vindt plaats bij StiPP. Het beloningsmodel is transparant: 85% van het tarief wordt besteed aan de professional en 15% bestemd voor Ferocia. Hiermee betalen wij eventuele begeleiding, loonadministratie en een stukje marge. En we regelen de praktische zaken, van vergoedingen tot tooling zodat iedereen zich kan richten op de inhoud. Voor opdrachtgevers betekent dit continuïteit, compliance en één aanspreekpunt. Voor professionals betekent het, erkenning van hun waarde, met de zekerheid die past bij de feitelijke werkrelatie. Wat dit oplevert voor opdrachtgevers De DBA-vraag is geen juridisch voetnootje, maar raakt aan risicomanagement en bedrijfsvoering. Onzekere constructies kosten tijd en energie en kunnen leiden tot naheffingen, premies en reputatierisico. Door aan de voorkant goed te wegen, vast te leggen en uit te voeren, voorkom je verrassingen. Organisaties die met Ferocia werken, krijgen grip op de volledige keten: van intake en risicoanalyse tot contractering en dossiervorming. Bestaande inhuur kunnen we herbeoordelen, zodat zichtbaar wordt waar zelfstandigheid goed gaat en waar bijsturing nodig is. Waar nodig begeleiden we de overstap naar loondienst zonder kennisverlies of frictie met het team. Zo blijft de operatie draaien, terwijl de compliance op orde is. Belangrijk is dat we dit samen doen. Het is geen trucje dat je als bemiddelaar “even” voor een opdrachtgever oplost. Het gaat om gedrag in de praktijk. Daarom betrekken we opdrachtgevers, teamleads en professionals bij de inrichting van de samenwerking. We spreken af wat we doen en we doen wat we afspreken. Dat klinkt vanzelfsprekend, maar het is precies waardoor een dossier klopt wanneer er later vragen over komen. Wat dit betekent voor zzp’ers De meeste zelfstandigen in ons vak kiezen voor het zzp-schap uit overtuiging. Ze willen autonomie in aanpak, variatie in opdrachten en een duidelijke link tussen resultaat en beloning. Dat kan uitstekend binnen de huidige regels, mits je het consequent en eerlijk organiseert. Bij Ferocia start dat met een heldere opdrachtformulering: wat is het resultaat, hoe toets je kwaliteit en welke vrijheid is er in de uitvoering? Vervolgens borgen we in de dagelijkse praktijk dat die vrijheid er ook echt is. Denk aan eigen planning, het voorkomen van standaard roosters, het terugdringen van micromanagement en het stimuleren van werken met eigen middelen. Waar dat niet kan, bijvoorbeeld bij strenge security-eisen leggen we uit waarom, en zoeken we naar alternatieven die het zelfstandige karakter helpen behouden. Transparantie richting opdrachtgever hoort daarbij. We leggen uit dat zelfstandigheid iets anders is dan “geen gedoe met HR”, maar dat het vraagt om anders organiseren. In ruil daarvoor krijgt de opdrachtgever vaak meer snelheid en betere resultaten, omdat professionals eigenaarschap voelen en verantwoordelijkheid nemen voor het afgesproken resultaat. En als de feiten bij aanvang of gaandeweg toch richting loondienst wijzen, dan is er geen drama, maar een duidelijke route naar een passende arbeidsovereenkomst. Zo blijft de samenwerking stabiel, eerlijk en toekomstbestendig. Conclusie en uitnodiging De handhaving van de Wet DBA is geen belemmering, maar een kans om samenwerking professioneel en toekomstbestendig te organiseren. Echte zelfstandigheid blijft mogelijk, wanneer je keuzes onderbouwt en de praktijk daarop inricht. En als loondienst de juiste weg is, dan regel je dat met zekerheid, transparantie en behoud van waarde. Ferocia helpt opdrachtgevers en zzp’ers bij die afweging, borgt de gekozen route en biedt een passende oplossing wanneer loondienst nodig is. Dat doen we niet alleen netjes op papier, maar bewezen in de praktijk en bevestigd tijdens het bedrijfsbezoek van de Belastingdienst. Wil je je huidige inzet laten toetsen, twijfel je over de juiste contractvorm of wil je overstappen zonder gedoe? Neem contact op met Ferocia. We wegen mee, we leggen vast en we zorgen dat je morgen met een gerust hart verder werkt. Met duidelijkheid, zekerheid en keuzevrijheid. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Veel risicobeleid faalt in de praktijk. Ontdek hoe je risicomanagement laat leven in je organisatie met 3 concrete pijlers voor duurzaam succes. Alle blogs Risicomanagement Waarom risicomanagement vaak niet werkt Veel organisaties hebben het op papier goed voor elkaar. Er ligt een risicomanagementbeleid, er zijn risicomatrixen, control frameworks en procedures die tot in detail zijn beschreven. Soms zelfs met keurige versies en goedgekeurd door de directie. Maar als je goed kijkt, doemt een ongemakkelijke vraag op: wordt dat beleid in de praktijk ook echt nageleefd? Worden risico’s tijdig herkend, geanalyseerd en beheerst? Of is het hele proces verworden tot een papieren tijger die in de kast verdwijnt tot de volgende risicosessie? Steeds meer organisaties erkennen dat effectieve risicobeheersing geen eenmalige inspanning is. Het werkt alleen als het een integraal onderdeel van de bedrijfsstrategie en -cultuur wordt. Niet als jaarlijkse verplichte ronde voor het jaarverslag, maar als een continu proces dat zichtbaar is in het dagelijks handelen van medewerkers.En vooral niet alleen in spreadsheets, maar merkbaar in het gedrag van mensen. De grootste valkuil: denken dat je ‘het geregeld hebt’ Een mooi en volledig risicodossier is geen garantie voor een weerbare organisatie. Het kan zelfs een vals gevoel van veiligheid geven. Juist in de dagelijkse praktijk ontstaat het verschil tussen formele risicobeheersing en daadwerkelijke weerbaarheid. Dat verschil zit vaak in ogenschijnlijk kleine dingen: Timing van de risicoanalyse Worden risico’s besproken bij de start van een project, of pas als de eerste problemen zich aandienen? Opvolging van afwijkingen Worden afwijkingen structureel opgepakt, of verdwijnen ze in de drukte van de dagelijkse operatie? Eigenaarschap Is risicobewustzijn ingebed in de hele organisatie, of wordt het gezien als “iets van de riskmanager”? We leven in een VUCA-wereld – vol Volatility, Uncertainty, Complexity en Ambiguity . In zo’n omgeving is risicomanagement niet alleen een methodiek maar een vaardigheid. De kernvraag wordt dan: Hoe zorg je dat risicobeheersing echt leeft in je organisatie? Drie pijlers voor duurzaam risicomanagement Een robuust risicomanagementsysteem is geen verzameling documenten, maar een set van werkende principes die gedragen worden door de hele organisatie. Drie pijlers zijn daarbij essentieel. 1. Van compliance naar cultuur Veel risicoprogramma’s stranden omdat ze worden ingericht als een compliance-oefening. Controles afvinken, rapportages maken en klaar. Dat is niet genoeg. Echte weerbaarheid ontstaat pas als er bewustwording en gedragsverandering plaatsvindt. Stel jezelf en je team vragen als: Waarom is dit risico belangrijk voor ons succes? Wat gebeurt er als we niets doen? Wat kan ik persoonlijk doen om dit risico te beperken? Door die vragen centraal te stellen, verschuift risicomanagement van een checklist naar een gedeelde verantwoordelijkheid. Medewerkers begrijpen dan niet alleen wat ze moeten doen, maar ook waarom . Praktisch voorbeeld: Een productielocatie met strakke veiligheidsprocedures merkte dat incidenten bleven voorkomen. Na onderzoek bleek dat medewerkers de regels wel kenden, maar ze als omslachtig ervaarden. Door samen te kijken naar werkbare aanpassingen en de achterliggende risico’s uit te leggen, nam de naleving toe en daalde het aantal incidenten. 2. Integreer risico’s in besluitvorming Risicomanagement werkt het best als het geen losstaand proces is. Het hoort in de haarvaten van de besluitvorming te zitten. Dat betekent: niet één keer per jaar een risicoworkshop, maar bij elke vergadering, elk project en elke evaluatie expliciet de vraag stellen: “Wat zijn de risico’s?” en “Hoe beheersen we die?” Dit vraagt ook om toegankelijke en actuele informatie. Risicoregisters moeten niet alleen compleet zijn, maar ook in een vorm beschikbaar die snel te gebruiken is bij beslissingen. Praktisch voorbeeld: Een retailorganisatie nam bij elke productintroductie standaard een marketing- en kostenanalyse door. Sinds kort voegen ze een “risicoparagraaf” toe waarin potentiële leveringsproblemen, reputatierisico’s en juridische vraagstukken direct worden meegenomen. Dit voorkomt verrassingen en versnelt de besluitvorming. 3. Maak risico’s bespreekbaar Risico’s identificeren is stap één. Ze durven benoemen is stap twee. In veel organisaties bestaat terughoudendheid om afwijkingen, twijfels of zorgen te delen. Soms uit angst voor gezichtsverlies, soms omdat “het toch niets uitmaakt”. Een effectieve risicocultuur vraagt om psychologische veiligheid: het gevoel dat je vrijuit kunt spreken zonder negatieve consequenties. Faciliteer open gesprekken, bijvoorbeeld via risk walks waarbij teams gezamenlijk operationele processen bekijken. Waardeer signalen van afwijkingen, ook als ze klein zijn. Beloon het melden van risico’s, in plaats van alleen het voorkomen van incidenten. Praktisch voorbeeld: Een ziekenhuisteam introduceerde een maandelijks “veiligheidsoverleg” waarin medewerkers incidenten en bijna-incidenten konden delen. Door deze openheid nam het aantal gemelde risico’s toe, waardoor preventieve maatregelen eerder konden worden genomen. Risicomanagement is mensenwerk Enterprise Risk Management (ERM), modellen en IT-systemen zijn belangrijke hulpmiddelen. Maar de kern van effectief risicobeheer blijft altijd: mensen . Het zijn de medewerkers die: risico’s signaleren; risico’s durven bespreken en maatregelen daadwerkelijk uitvoeren. Daarom is investeren in vaardigheden, bewustzijn en cultuur minstens zo belangrijk als investeren in systemen. Een organisatie met een beperkte toolset maar een hoog risicobewustzijn is vaak weerbaarder dan een organisatie met uitgebreide tooling en een lage betrokkenheid. Hoe krijg je dat voor elkaar? Begin met een goed gesprek Vraag in teams: “Wat kan er misgaan?” en “Wat doen we als dat gebeurt?” Dit opent de deur naar gedeeld eigenaarschap. Maak het concreet Gebruik voorbeelden uit de eigen praktijk. Theorie blijft pas hangen als mensen het herkennen in hun eigen werk. Investeer in training en begeleiding Richt je niet alleen op procedures, maar ook op besluitvormingsvaardigheden, communicatie en samenwerking. Vier successen Benoem en waardeer situaties waarin risico’s tijdig zijn herkend en aangepakt. Dat versterkt gewenst gedrag. De weg naar een veerkrachtige organisatie Organisaties die risicomanagement laten werken, hebben een paar dingen gemeen: Risicobewustzijn is zichtbaar in alle lagen Van directie tot werkvloer, iedereen ziet het belang en kent zijn rol. Besluitvorming en risicobeheer zijn onlosmakelijk verbonden Geen strategische keuze zonder risicobeoordeling. Openheid is de norm Risico’s benoemen wordt gezien als professionaliteit, niet als kritiek. Het proces is continu Risicomanagement leeft dagelijks, niet alleen bij jaarafsluiting of audits. Het resultaat? Een organisatie die sneller herstelt van tegenslagen, minder verrassingen kent en beter inspeelt op veranderingen in de omgeving. Oftewel: een organisatie die in control is. Tot slot Wil je jouw risicomanagementsysteem optimaliseren? Begin dan niet met een nieuw sjabloon of nog een control framework. Start met het gesprek. Vraag, luister, betrek en creëer een cultuur waarin iedereen zich verantwoordelijk voelt voor het herkennen en beheersen van risico’s. Dat is de eerste, en misschien wel belangrijkste, stap naar een veerkrachtige organisatie die klaar is voor de toekomst. Hoe Ferocia helpt organisaties met risicomanagement Ferocia ondersteunt organisaties op een manier die past bij hun ambitie, volwassenheidsniveau en context. Geen standaardmethodes, maar maatwerk. Praktisch en strategisch. Altijd gericht op verankering in de praktijk. Onze dienstverlening bestaat uit vier pijlers: 1. Opleidingen en trainingen We leiden professionals op in risicomanagement, control en compliance. Praktijkgericht, actueel en afgestemd op de uitdagingen van vandaag. Denk aan opleidingen als Cursus Risicomanagement of risicomanagement methodiek . 2. Interim ondersteuning Tijdelijk capaciteit nodig? Onze ervaren risk-professionals helpen bij implementatie, monitoring of verandermanagement. Ze zijn snel inzetbaar en gewend om te schakelen tussen strategie en uitvoering. 3. Consultancy en implementatie Van het opzetten van een risicomanagement framework tot het begeleiden van RCSA’s of het inrichten van de drie lijnen: onze consultants helpen je om risicomanagement praktisch en strategisch neer te zetten. 4. Werving en selectie We helpen je bij het vinden van de juiste mensen op het gebied van risk, control en audit. Mensen die niet alleen de kennis hebben, maar ook de vaardigheden om risico’s bespreekbaar te maken, draagvlak te creëren en resultaten te boeken. Onze kracht? We combineren inhoudelijke expertise met een scherp oog voor cultuur, gedrag en verandervraagstukken. Want uiteindelijk draait het niet alleen om het proces maar om de mensen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl