Zoekresultaten

Blijf ‘in control’ bij uitbesteding met een TPM-verklaring. Ontdek welke standaard past bij jouw organisatie en vergroot het vertrouwen van stakeholders. Third Party Mededelingen Steeds meer organisaties besteden processen of systemen uit aan externe partijen. Van IT-hosting tot klantdata, van financiële verwerking tot ESG-rapportages. Uitbesteden is aantrekkelijk, het is vaak efficiënt, sneller en van een kwalitatief hoog niveau. Maar wie denkt dat daarmee ook de verantwoordelijkheid verdwijnt, komt bedrogen uit. De realiteit is simpel: als uitbestedende organisatie blijf jij eindverantwoordelijk. Klanten, toezichthouders en andere stakeholders verwachten dat jij kunt aantonen dat jouw processen veilig, beschikbaar en beheerst verlopen, ook als ze (gedeeltelijk) in handen zijn van een derde partij. En precies daar komt de Third Party Mededeling (TPM) om de hoek kijken. Wat is een Third Party Mededeling? Een TPM-verklaring is een assurance-rapport dat inzicht geeft in de kwaliteit en betrouwbaarheid van uitbestede processen of systemen. Het rapport wordt opgesteld op basis van een erkende norm en door een onafhankelijke auditor gecontroleerd. Daarmee biedt het de zekerheid die stakeholders verlangen: jouw organisatie heeft grip op uitbesteding. Of je nu werkt voor een cloudprovider, softwarebedrijf, detacheerder, administratiekantoor of gegevensverwerker, een TPM helpt je aantoonbaar ‘in control’ te zijn. Waarom kiezen organisaties voor een TPM-verklaring? De directe aanleiding voor een TPM is vaak een vraag van een klant of toezichthouder: “Kun je aantonen dat je onze data veilig beheert?” of “Hoe borg je continuïteit als processen zijn uitbesteed?” Maar steeds meer organisaties zijn de vragen voor. Ze zien in dat een TPM-verklaring meer is dan een vinkje voor compliance: Het versterkt je betrouwbaarheid richting klanten en partners. Het voorkomt discussie en tijdverlies bij aanbestedingen of due diligence. Het dwingt intern om processen goed te documenteren en te verbeteren. En niet onbelangrijk: het voorkomt reputatieschade bij incidenten. Kortom: een TPM is geen doel op zich, maar een strategisch middel om risico’s te beheersen, vertrouwen te versterken en commerciële kansen te vergroten. Welke standaard past bij jouw organisatie? De wereld van TPM kent meerdere internationale standaarden. Welke voor jouw situatie geschikt is, hangt af van het type dienstverlening, de sector en de verwachtingen van jouw stakeholders. Hieronder zetten we de meest voorkomende standaarden op een rij. ISAE 3000 Deze standaard is breed inzetbaar voor niet-financiële processen zoals informatiebeveiliging, privacy, ESG-rapportages of HR-dienstverlening. Het is een principes-gebaseerde standaard, wat betekent dat de inhoud flexibel is in te vullen op basis van de context. Toepassing : organisaties die procesverantwoordelijkheid dragen voor vertrouwelijke gegevens, zoals SaaS-aanbieders of hostingpartijen. ISAE 3402 (SOC 1) ISAE 3402 is specifiek gericht op processen die van invloed zijn op de interne beheersing rondom financiële verslaggeving. Deze standaard is zeer geschikt voor bijvoorbeeld administratiekantoor, uitbestedingspartijen of shared service centers die processen uitvoeren met impact op de jaarrekening van hun klant. Toepassing : organisaties die loonadministratie, boekhouding of financiële verwerking voor derden uitvoeren. Meer lezen over ISAE 3402? Klik hier voor een verdiepende blog. SOC 2 en SOC 3 Beide rapporten zijn gebaseerd op het Trust Services Criteria-raamwerk van AICPA. SOC 2 is bedoeld voor professioneel gebruik en richt zich op vijf domeinen: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. SOC 3 is een publieksversie van SOC 2, vooral bedoeld voor marketingdoeleinden. Toepassing : technologiebedrijven, datacenters, SaaS-leveranciers. ISO 27001 ISO 27001 is een internationale norm voor informatiebeveiliging. Het is geen assurance-rapport maar een certificering. ISO 27001 toont aan dat jouw organisatie een informatiebeveiligingsmanagementsysteem (ISMS) heeft ingericht volgens internationale normen. Toepassing : organisaties die vooral een formele, gecertificeerde aanpak willen tonen. Meer lezen over de verschillende TPM-verklaringen? Klik hier voor een verdiepende blog. Type 1 of type 2: wat is het verschil? TPM-rapporten kunnen in twee vormen worden opgeleverd: type 1 of type 2. · Een type 1-rapportage geeft een momentopname: zijn de beheersmaatregelen ingericht zoals beschreven? · Een type 2-rapportage gaat verder: het toont over een periode (meestal 6 tot 12 maanden) aan dat deze maatregelen ook effectief hebben gewerkt. Wil je vertrouwen opbouwen richting klanten of toezichthouders? Dan biedt een type 2-rapport meer zekerheid. Daarom adviseren wij organisaties om een type 1-rapport te zien als opstap naar een type 2-rapport, met voldoende tijd (minimaal 6 maanden) tussen beide. Onze aanpak: praktisch en gefaseerd Een TPM-traject klinkt complex, maar dat hoeft het niet te zijn. Ferocia begeleidt organisaties stap voor stap naar een succesvolle TPM-verklaring. Onze aanpak is helder, pragmatisch en altijd afgestemd op jouw situatie. Stap 1: Quick scan We starten met een verkennende analyse: welk normenkader past het best bij jouw dienstverlening en wat is de scope van de TPM? We kijken naar processen, systemen, risico’s en klantverwachtingen. Deze stap geeft snel helderheid over de route en de impact. Stap 2: Normenkader opstellen Samen stellen we een passend normenkader op en indien van toepassing combineren we normenkaders, zodat we geen dubbel werk hoeven uit te voeren. Hierin staan de beheersmaatregelen die nodig zijn om aan de gekozen standaard te voldoen. Denk aan toegangsbeheer, logging, continuïteitsplanning, dataclassificatie of change management. We helpen je om deze maatregelen praktisch en beheersbaar te implementeren. Stap 3: Testen van maatregelen Na implementatie voeren we testwerkzaamheden uit. We controleren of de maatregelen werken zoals beoogd. Dit helpt om kinderziektes te ontdekken voordat de externe auditor meekijkt. Stap 4: Rapportage Op basis van de testresultaten stellen we een conceptrapportage op die voldoet aan de eisen van de gekozen standaard. Deze rapportage vormt de basis voor het formele auditrapport. Stap 5: Selectie en begeleiding externe auditor Tot slot helpen we je bij de selectie van een geschikte, onafhankelijke externe auditor. Wij zorgen voor een soepele overdracht en begeleiden het auditproces, zodat jij met vertrouwen het traject afrondt. Waarom kiezen organisaties voor Ferocia? TPM is geen papieren exercitie. Het gaat om vertrouwen, om aantoonbaar grip op uitbestede processen. En precies dat is waar Ferocia in uitblinkt. Met tientallen succesvolle TPM-trajecten op onze naam, kennen we de praktijk. We snappen hoe processen echt werken. We combineren technische kennis met organisatiesensitiviteit. En we weten hoe je maatregelen werkbaar maakt. Onze klanten waarderen vooral onze: Praktische aanpak : geen dikke rapporten, wel concrete oplossingen. Persoonlijke begeleiding : we zijn betrokken, kritisch en altijd bereikbaar. Ervaring en expertise : we kennen de normen en de praktijk. Efficiënte ondersteuning : we ondersteunen alleen waar nodig. Datgene wat je als organisatie zelf kan, hoef je niet uit te besteden. TPM-verklaring: niet wachten tot iemand het vraagt De eisen aan dienstverleners worden steeds hoger. Of je nu werkt voor een zorginstelling, IT-dienstverlener of overheidsorganisatie, klanten en toezichthouders willen zekerheid. Wacht dus niet tot je die vraag krijgt, maar neem zelf het initiatief. Met een Third Party Mededeling laat je zien dat je serieus werk maakt van risicobeheersing, compliance en kwaliteit. Het is een krachtig signaal, onze organisatie is in control. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs ISAE 3402 hoeft geen jaarlijks hoofdpijndossier te zijn. In deze blog ontdek je hoe je van een verplicht vinkje een strategisch instrument maakt dat processen versterkt, risico’s aanscherpt en eigenaarschap in de lijn creëert. Zo levert jouw verklaring wél waarde op. Klik door voor de volledige aanpak. ISAE 3402 verklaring Knop ISAE 3402, SOC 1 of SOC 2? In deze blog ontdek je eindelijk het verschil. Helder uitgelegd, met praktische handvatten om te bepalen welke verklaring écht past bij jouw dienstverlening. Voorkom dure fouten en maak een keuze die vertrouwen uitstraalt. Klik door voor de complete uitleg. ISAE 3402, SOC 1, SOC 2. Knop

< Terug Vacature Partner/Director Toonaangevend consultancykantoor Per direct 40 uur per week Randstad / Hybride € 9.000 tot € 14.500 per maand SOLLICITEER Over de organisatie Je komt te werken binnen een toonaangevend internationaal opererend consultancykantoor dat actief is op het gebied van audit, tax en advisory. In Nederland werken circa 4.000 medewerkers verdeeld over ruim 10 kantoren. Het team waarin je terechtkomt bestaat uit circa 100 professionals eb richt zich op governance, internal audit, risk en compliance. Over de functie Als partner/director binnen deze organisatie vervul je een leidende rol. Je adviseert cliënten op strategisch niveau, borgt kwaliteit en integriteit binnen opdrachten, en stuurt teams van professionals aan. Je versterkt klantrelaties, ontwikkelt nieuwe marktkansen en draagt actief bij aan de verdere groei van de organisatie. Als inspirerend leider combineer je vakinhoudelijke expertise met ondernemerschap en visie. Deze functie ontstaat door een verwachte toename van werkzaamheden binnen de governance-, internal audit- risk- en compliance domeinen, waardoor de behoefte toeneemt aan ervaren leiders die zowel inhoudelijk sterk zijn als organisatorisch richting kunnen geven. Wie zoeken we? Je beschikt over academisch werk- en denkniveau en hebt minimaal veertien jaar relevante ervaring opgebouwd, met een duidelijk aantoonbaar track record. Je hebt een achtergrond in consultancy, bij voorkeur ook binnen grotere advies- of accountantsorganisaties. Daarnaast breng je ervaring mee in de tweede en/of derde lijn, waarbij stevige tweedelijnservaring extra gewaardeerd wordt. Je hebt een sterk en relevant netwerk in de markt en weet dat effectief in te zetten. In je manier van werken laat je zien dat je uitblinkt in relatiemanagement en dat je commercieel sterk bent, gedreven door inhoud en vakmanschap. Je neemt moeiteloos de leiding: je stuurt teams aan, ontwikkelt mensen en creëert een omgeving waarin professionals kunnen excelleren. Qua attitude ben je ondernemend en resultaatgericht, maar net zo goed verbindend en coachend. Je bent zichtbaar binnen én buiten de organisatie, en weet mensen op een natuurlijke manier mee te nemen in beweging en groei. Wat bieden we? Een salaris van tussen € 10.000,- en € 14.500,- per maand (partner) of tussen € 9.000 en € 12.500,- per maand (directors) op basis van 40 uur per week Contract voor onbepaalde tijd 30 vakantiedagen per jaar Elektrische leaseauto (budget € 1.200,-) of reiskostenvergoeding Thuiswerkvergoeding Premievrij pensioen Doorgroeimogelijkheden via een partnertraject, met perspectief tot aan equity partner Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

< Terug Vacature Internal auditor (CAE) Staedion Per direct 32 tot 36 uur per week Den Haag / Hybride € 80.843,44 tot € 115.550,32 per jaar SOLLICITEER Over Staedion Staedion zet zich met een sterk maatschappelijk hart in voor een betaalbaar en veilig thuis voor haar huurders. Een goed en betaalbaar huis is voor Staedion een randvoorwaarde voor het geluk en de gezondheid van mensen. De corporatie verhuurt circa 46.000 woningen, winkels, bedrijfsruimten en parkeerplaatsen in de regio Haaglanden en behoort daarmee tot de grotere woningcorporaties van Nederland. Met ongeveer 400 medewerkers werkt Staedion dagelijks aan een prettige, veilige en toekomstbestendige woonomgeving. De missie van Staedion is helder: passende woningen verhuren aan mensen die niet zelf in hun huisvesting kunnen voorzien, in wijken waar het prettig samenleven is. Met haar ruime ervaring in het verhuren, beheren en ontwikkelen van woningen geeft Staedion hier concreet invulling aan. In de visie van Staedion staan de veerkracht van wijken en de leefbaarheid centraal. Het woningtekort in het werkgebied is groot, en juist dat wil Staedion aanpakken. De nadruk ligt op het vergroten van de veerkracht van wijken, het verbeteren van de leefbaarheid en het uitbreiden van het woningaanbod. Staedion werkt continu aan verduurzaming en bouwt de komende jaren maar liefst 7.500 nieuwe woningen. De totale gebiedsontwikkeling gaat gepaard met een investering van meer dan € 1.000.000.000. Dit doet zij samen met bewoners en samenwerkingspartners, met durf en ambitie. Samen thuis, voor nu en later. Over de afdeling De Internal Auditor maakt deel uit van de afdeling Bestuur, is rechtstreeks gepositioneerd onder de bestuurder en werkt volledig onafhankelijk binnen de organisatie. Over de functie Staedion zoekt een scherpzinnige en onafhankelijke internal auditor die energie krijgt van het versterken van de governance van de organisatie. In deze rol lever je een directe bijdrage aan een betrouwbare en toekomstbestendige corporatie die dagelijks het verschil maakt voor tienduizenden huurders in de regio Haaglanden. Als internal auditor onderzoek je de effectiviteit van processen, risicomanagement, interne beheersing, compliance en governance. Je komt tot heldere en realistische aanbevelingen en weet anderen te overtuigen van het nut en de noodzaak van de voorgestelde verbeteringen. Daarmee ondersteun je de bestuurder, directie en de organisatie als geheel bij het verder versterken van de beheersing. Je vervult een onafhankelijke, strategische en duidelijk gepositioneerde rol binnen Staedion, rechtstreeks rapporterend aan de voorzitter van de Raad van Bestuur. Dankzij jouw werk worden risico’s en verbeterpunten tijdig en feitelijk in beeld gebracht, ontstaat er helder inzicht en focus, en groeit de organisatie verder in control. Zo lever je een onmisbare bijdrage aan veilige, betaalbare en toekomstbestendige huisvesting; nu en in de jaren die komen. Jouw taken Je stelt een meerjarenplan en jaarplan voor audits op en bewaakt de uitvoering daarvan. Je voert audits uit op processen, risicomanagement, interne beheersing, compliance en governance. Je adviseert gevraagd en ongevraagd over de wijze waarop de beheersing kan worden verbeterd. Je onderhoudt constructieve relaties met de externe accountant, toezichthouders (Aw en WSW) en de Raad van Commissarissen. Je levert een stevige inhoudelijke bijdrage aan de verdere professionalisering van Internal Audit binnen Staedion. Wie zoeken we? We zoeken een ervaren internal auditor met WO-werk- en denkniveau, bij voorkeur aangevuld met een RO-, RE- of RA-titel of een vergelijkbare opleiding. Je hebt minimaal drie tot vijf jaar relevante ervaring in het auditvak en bij voorkeur ook kennis van de woningcorporatiesector of het bredere semipublieke domein. Je beschikt over overtuigingskracht en organisatiesensitiviteit: je weet collega’s op een natuurlijke manier mee te nemen in verbeteringen en kunt draagvlak creëren, ook wanneer de boodschap scherp is. Je communiceert helder in het Nederlands, zowel mondeling als schriftelijk, en je voelt aan wat er in de organisatie speelt. In je manier van werken ben je zelfstandig, proactief en betrouwbaar. Je bent een verbinder die stevige oordeelsvorming combineert met een rechte rug. Je opereert onafhankelijk, maar altijd in verbinding met de organisatie, en je weet je rol als derde lijn helder en professioneel neer te zetten. Wat bieden we? Een bruto jaarsalaris van tussen € 80.843,44 en € 115.550,32 op basis van 36 uur (incl. vakantietoeslag en eindejaarsuitkering van 4%) 203 vakantie-uren op basis van 36 uur en de mogelijkheid tot onbetaald verlof Pensioen via Stichting Pensioenfonds voor Woningcorporaties Reiskostenvergoeding Thuiswerkvergoeding Loopbaanontwikkelingsbudget en ruime scholingsmogelijkheden Toegang tot OpenUp voor mentaal welzijn en korting bij Urban Sports Club Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Versterk je organisatie met een effectief risicomanagement model. Ontdek hoe je risico’s beheerst en veerkracht opbouwt in een VUCA-wereld. Alle blogs Risicomanagement Risicomanagement model In een wereld waarin organisaties dagelijks worden geconfronteerd met onzekerheden, incidenten en veranderingen is effectief risicomanagement geen luxe, maar een noodzaak. Toch worstelen veel organisaties met de vraag: Hoe structureer ik mijn risicomanagement op een manier die echt werkt voor mijn organisatie? Een goede start is het gebruik van een risicomanagement model. Maar wat houdt dat precies in? En welke modellen zijn er eigenlijk? In deze blog geven we een overzicht van vijf veelgebruikte risicomanagement modellen, hoe je deze in de praktijk toepast en hoe Ferocia jouw organisatie kan helpen bij het kiezen en ‘implementeren’ van het juiste model. Wat zijn risicomanagement modellen? Een risicomanagement model is een gestructureerd raamwerk dat helpt bij het identificeren, analyseren, beoordelen, beheersen en monitoren van risico’s. Het biedt een gemeenschappelijke taal en methodiek waarmee organisaties risico’s systematisch kunnen benaderen. Modellen zorgen voor structuur, houvast, ze maken risico’s bespreekbaar, zorgen voor consistentie in aanpak en helpen bij het borgen van risicomanagement in de organisatie. Kortom: zonder model is risicomanagement vaak ad hoc, persoonsafhankelijk en ineffectief. Met een goed gekozen model kun je risico’s integraal benaderen en echt waarde toevoegen aan je organisatie. Vijf veelgebruikte risicomanagement modellen 1. COSO ERM (Enterprise Risk Management) Kern van het model : COSO ERM is een geïntegreerd raamwerk dat organisaties helpt bij het identificeren en managen van risico’s die de strategie en doelstellingen kunnen beïnvloeden. Het model bestaat uit acht componenten en is gericht op het koppelen van risicomanagement aan strategievorming. Waarom kiezen voor COSO ERM? COSO ERM is bijzonder geschikt voor organisaties die risicomanagement willen integreren in hun strategisch besluitvormingsproces. Het model stimuleert een cultuur waarin risico’s vanuit meerdere perspectieven worden beschouwd. 2. ISO 31000 Kern van het model : ISO 31000 is een internationale norm voor risicomanagement. Het model is minder prescriptief dan COSO ERM maar biedt wel heldere principes, een raamwerk en een proces voor het effectief managen van risico’s. Waarom kiezen voor ISO 31000? ISO 31000 is breed toepasbaar en flexibel. Het model is geschikt voor organisaties die op zoek zijn naar een generiek, schaalbaar en internationaal erkend raamwerk. ISO legt sterk de nadruk op context, leiderschap en continue verbetering. 3. Three Lines Model (voorheen Three Lines of Defense) Kern van het model : Het Three Lines Model beschrijft de rolverdeling binnen risicomanagement. De eerste lijn is verantwoordelijk voor het nemen en beheersen van risico’s, de tweede lijn ondersteunt en monitort, en de derde lijn (interne audit) beoordeelt objectief en onafhankelijk. Waarom kiezen voor het Three Lines Model? Dit model is essentieel voor het organiseren van governance rondom risicomanagement. Het zorgt voor heldere rolverdeling, verantwoordelijkheden en samenwerking tussen afdelingen. Zeker bij grotere organisaties is dit model onmisbaar. 4. BIO – Baseline Informatiebeveiliging Overheid Kern van het model :De BIO is het normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het is gebaseerd op de ISO 27001- en 27002-standaarden, maar toegesneden op de context van overheidsorganisaties. De BIO biedt kaders en maatregelen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie(systemen). Waarom kiezen voor BIO? Voor overheidsorganisaties is de BIO verplicht. Maar ook voor semioverheden, uitvoeringsorganisaties en instellingen die met overheidsdata werken is het een logisch vertrekpunt. De kracht van de BIO zit in de combinatie van duidelijke normenkaders en het risicogericht denken. Niet alle maatregelen zijn verplicht; er mag gemotiveerd worden afgeweken, mits het restrisico acceptabel is en goed wordt vastgelegd. De BIO kent drie beveiligingsniveaus (BASIS, VERTROUWELIJK, ZEER VERTROUWELIJK), afhankelijk van de gevoeligheid van de informatie. Organisaties bepalen eerst hun 'classificatie', en kiezen op basis daarvan passende maatregelen. Dit maakt het model schaalbaar en praktisch toepasbaar. 5. RISMAN (Risicoanalyse en Management) Kern van het model : RISMAN is een Nederlands model dat veel wordt toegepast in projecten, met name binnen de bouw- en infrasector. Het richt zich op het systematisch identificeren, analyseren, beheersen en monitoren van projectrisico’s. Waarom kiezen voor RISMAN? Wanneer je te maken hebt met projectmatige risico’s — zoals bij aanbestedingen, infrastructurele werken of ICT-implementaties — is RISMAN een bewezen effectieve methode. Het model is praktisch en gericht op samenwerking tussen betrokkenen. Hoe gebruik je een risicomanagement model in de praktijk? Het kiezen van een model is een ding. Maar het model daadwerkelijk toepassen vergt maatwerk. Risicomanagement werkt alleen als het aansluit bij de context, cultuur en volwassenheid van jouw organisatie. Een paar praktische tips: Start met een volwassenheidsmeting : Waar staat jouw organisatie nu? Dat bepaalt of je kiest voor een basisaanpak (zoals ISO 31000) of een integraal raamwerk (zoals COSO ERM). Vertaal het model naar je eigen praktijk : Maak het niet te academisch. Gebruik herkenbare termen en voorbeelden uit de dagelijkse operatie. Het model is nooit een doel op zich, het blijft een hulpmiddel. Betrek alle lagen van de organisatie : Risicomanagement is geen feestje van de tweede lijn. Juist de mensen in de uitvoering kennen de risico’s het best. Combineer modellen waar nodig : Je kunt prima ISO 31000 gebruiken als overkoepelend kader en een ander model voor risico identificatie. Blijf oefenen en leren : Risicomanagement is geen eenmalig project, maar een continu leerproces. Hoe helpt Ferocia bij het implementeren van een risicomanagement model? Bij Ferocia begrijpen we dat ieder risicomanagement vraagstuk uniek is. Daarom ondersteunen we organisaties niet met standaardmodellen, maar met een aanpak die past bij hun ambities en realiteit. Wat we doen? 1. Diagnose en modelkeuze We helpen je organisatie om te bepalen welk model het beste past bij jullie situatie. We kijken naar de strategie, de risicocultuur, de sector en de bestaande werkwijze. 2. Training en opleiding Ferocia biedt diverse op en incompany opleidingen en trainingen op het gebied van risicomanagement; van integraal risicomanagement tot risico gestuurd werken. Theorie en praktijk gaan daarbij hand in hand. 3. Implementatiebegeleiding We begeleiden organisaties bij het vertalen van het gekozen model naar processen, formats en gedrag. Daarbij is aandacht voor zowel harde als zachte aspecten, zoals leiderschap en cultuur. 4. Interim en advies Heb je tijdelijk extra expertise nodig? Onze consultants en interim risk managers helpen bij het opzetten, herstructureren of professionaliseren van risicomanagement binnen jouw organisatie. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

< Terug Vacature Risk officer Bovemij Per direct 32 tot 40 uur per week Nijmegen / Hybride € 60.028,- tot € 104.700,- per jaar SOLLICITEER Over Bovemij Bovemij Group is de specialist in alles wat met mobiliteit te maken heeft. Met de merken Bovemij Verzekeringen, Autotrust, ENRA en RDC helpen zij bedrijven succesvol ondernemen. Omdat ze volop in beweging zijn, heeft Bovemij mensen nodig die uitdagingen niet uit de weg gaan: vooruitdenkers en –doeners! Over de functie Als risk officer binnen Bovemij maak je onderdeel uit van het team Risk binnen de afdeling Risk & Compliance en fungeer je als strategische sparringpartner voor directeuren, managers en proceseigenaren. Je speelt een sleutelrol in het versterken van integraal risicomanagement binnen één of meerdere businessunits. Samen met je collega uit het team Compliance geef je richting aan de risico- en compliancecyclus en werk je actief aan het vergroten van risicobewustzijn binnen de organisatie. Je werkt nauw samen met de eerste lijn, waar risicomanagement al stevig is verankerd. Daar bevinden zich ervaren processpecialisten en GRC-specialisten die risicobeheersing structureel onderdeel hebben gemaakt van hun dagelijkse werk. Dat stelt jou in staat om je te richten op de verdieping: het aanscherpen van de risicodialoog en het adviseren bij complexe afwegingen. Je voert risico- en compliance-assessments uit, formuleert passende maatregelen en denkt actief mee over risico’s die buiten de vastgestelde risk appetite vallen. Daarbij neem je collega’s mee in de nut en noodzaak van effectieve risicobeheersing en lever je zo een directe bijdrage aan een organisatie die aantoonbaar in control is. Binnen de afdeling is veel ruimte voor professionele en persoonlijke groei. Samen met je team neem je regelmatig deel aan intervisiesessies onder begeleiding van een externe teamcoach, waarbij kennisdeling en reflectie centraal staan. Wat ga je doen? Je treedt op als risicopartner voor de eerste lijn en coördineert risico- en compliance-assessments binnen één of meerdere businessunits. Deze assessments voer je uit samen met de compliance officer. Je legt de resultaten van de assessments vast in de GRC-tool. Je collega van het team AO/IC draagt zorg voor het testen en monitoren van de beheersmaatregelen. Je adviseert over passende risk responses voor risico’s die buiten de risicobereidheid vallen. Je rapporteert onafhankelijk – zowel mondeling als schriftelijk – over bruto- en nettorisico’s en over de effectiviteit van beheersmaatregelen. Collega Inge over de functie van risk officer binnen Bovemij “Wat mij direct opviel, is de informele sfeer. Je kunt hier echt jezelf zijn. Iedereen wordt gelijk behandeld, ongeacht je functie. Tijdens mijn sollicitatiegesprek vroegen ze niet alleen wat ik kan, maar ook wie ik ben en wat ik leuk vind om te doen. Die oprechte interesse zie ik dagelijks terug bij collega’s – even vragen hoe het met je gaat, gewoon oprecht.” Naast de inhoudelijke uitdaging, waardeert Inge vooral de samenwerking binnen het team: “We hebben per kwartaal intervisie. Dat zorgt voor openheid en transparantie. Je kunt je kwetsbaar opstellen, en dan word je geholpen.” Ook de korte lijnen noemt ze typerend: “Het is nog een overzichtelijke organisatie. Je loopt gewoon even bij iemand langs.” En tot slot: “Het team is superdivers en hulpvaardig – dat maakt het werk extra prettig.” Wie zoeken we? Je hebt een hbo- of wo-werk- en denkniveau en beschikt over minimaal drie jaar aantoonbare ervaring in een vergelijkbare functie binnen het risicodomein. Je weet hoe je risicomanagement op een professionele manier toepast binnen organisaties en voelt je thuis in een omgeving waar inhoud en samenwerking hand in hand gaan. Je bent communicatief sterk en schakelt gemakkelijk met verschillende lagen binnen de organisatie. Je weet mensen met elkaar te verbinden, kunt zelfstandig opereren en neemt verantwoordelijkheid voor je werk. Tegelijkertijd ben je een echte teamspeler die gericht is op resultaat én op het bouwen aan langdurige relaties binnen de organisatie. Je voelt je thuis in een cultuur waar eigenaarschap, betrokkenheid en gezamenlijke doelen centraal staan. Wat bieden we? Een salaris van maximaal € 104.700,- per jaar (inclusief vakantiegeld en 13 de maand, exclusief winstdeling). En uitstekende secundaire arbeidsvoorwaarden. Denk daarbij aan een thuiswerkvergoeding, internetvergoeding, een vergoeding voor thuiswerkfaciliteiten, 200 uur vakantie op basis van 40 uur en de mogelijkheid om jaarlijks uren bij te kopen, een extra vrije dag op je verjaardag, reiskostenvergoeding, een fietsplan, een collectieve zorgverzekering, korting op de aanvullende ziektekostenverzekering, korting op particuliere verzekeringen, ruime leer- en ontwikkelingsmogelijkheden en een beschikbare premieregeling bij Zwitserleven met gedeeltelijke inleg voor de werkgever. Maar bovenal een prettige werkomgeving met leuke collega’s! Over ons Ferocia levert verschillende diensten op het gebied van audit, controlen risicomanagement. Zo bemiddelen we in (interim-)professionals, waarbij we ons onderscheiden met onder meer ons uitgebreide netwerk en scherpe tarieven. Daarnaast ontzorgen onze ervaren consultants organisaties bij vraagstukken op het gebied van sturing en beheersing; van coaching van raden van bestuur tot implementatie van beheersmaatregelen in complexe omgevingen. Ook biedt Ferocia open en inhouse opleidingen en trainingen op voorgenoemde gebieden. Dit alles doen we vanuit het principe ‘inspiratie, co-creatie, prestatie’. Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures ! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Thema's Ferocia ondersteunt organisaties op het gebied van internal audit, control en risicomanagement. Onze consultants en trainers combineren diepgaande kennis met jarenlange ervaring in uiteenlopende sectoren. Hieronder vindt u enkele veelgevraagde thema’s waarop wij worden ingezet. Ontdek wat wij voor uw organisatie kunnen betekenen. Internal auditing Internal auditing GRC governance risk compliance GRC governance risk compliance Third Party Mededelingen Third Party Mededelingen VOR Verklaring Omtrent Risicobeheersing VOR Verklaring Omtrent Risicobeheersing Risicomanagement Risicomanagement IT beheersing IT beheersing Business Continuity Management Business Continuity Management Gedrag en cultuur Gedrag en cultuur Kwaliteitstoetsingen Kwaliteitstoetsingen GIAS GIAS

De wet DBA 2025: voorkom risico’s met de bewezen aanpak van Ferocia. Ontdek hoe je zzp of loondienst kiest op basis van feiten en met een onderbouwde aanpak. Alle blogs Interim en consultancy Wet DBA 2025: zekerheid zonder frictie Sinds 1 januari 2025 handhaaft de Belastingdienst de Wet DBA actief. Geen papieren werkelijkheid meer, maar een beoordeling van de praktijk: hoe is het werk georganiseerd, hoeveel sturing is er, hoe is de professional ingebed in het team? Voor iedereen die in audit, control, risk en compliance met zelfstandigen werkt, is dat merkbaar. De vraag is niet langer of je een modelovereenkomst kunt overleggen, maar of de feiten op de werkvloer passen bij zelfstandigheid. Dat klinkt streng, maar het biedt ook helderheid. Wie zijn keuzes zorgvuldig onderbouwt en vastlegt, hoeft niet te schrikken van een controle. Wat de Wet DBA in de praktijk vraagt De kern van de Wet DBA is simpel: wie feitelijk als werknemer werkt, hoort in loondienst. Het label op het contract is minder relevant dan de manier waarop de samenwerking is ingericht. Daarom kijkt de Belastingdienst naar onder andere naar gezag, inbedding, vervangbaarheid en ondernemersrisico. Wie dagelijks meedraait in een vast rooster, werkt met bedrijfsapparatuur, inhoudelijk wordt aangestuurd en zelf geen enkel ondernemingsrisico draagt, werkt in de ogen van de wet waarschijnlijk niet zelfstandig. Andersom geldt ook: wie resultaatverplichtingen heeft, eigen keuzes maakt, zich kan laten vervangen, zich presenteert als een ondernemer en zichtbare ondernemersrisico’s draagt, staat doorgaans steviger als zelfstandige. Daartussen zit een groot grijs gebied. Van grijs gebied naar heldere keuze Veel organisaties herkennen het “grijze gebied” tussen zzp en loondienst. Het verdwijnt niet door een extra clausule. Het verdwijnt als je de inhoud van het werk en de inrichting van de samenwerking op één lijn brengt met de gekozen contractvorm. Dat vraagt om een heldere afweging met concrete argumenten, consequente uitvoering in de praktijk en een dossier dat het verhaal vertelt. Teams gaan hierdoor beter functioneren, omdat het voor professionals eerlijker en volwassener voelt. Voor opdrachtgevers levert het rust en voorspelbaarheid op. Ferocia & wet DBA Bij Ferocia vertalen we de Wet DBA naar een helder, toetsbaar afwegingsproces: van intake en analyse tot dossiervorming en contractering. Dat proces is tijdens een bedrijfsbezoek door de Belastingdienst volledig doorgenomen en passend bevonden bij hun toetsingskader. Dat geeft rust. Opdrachtgevers behouden grip op capaciteit en compliance, zzp’ers leveren met vakmanschap waarde terwijl het DBA-risico wordt geminimaliseerd, en wij borgen structureel kwaliteit en zorgvuldigheid. Per opdracht bepalen we op basis van doel en aard van het werk of inzet via zzp of loondienst passend is; denk aan afgebakend resultaat versus structurele capaciteit, ervaring en inzet van kennis en kunde, wijze van belonen, ondernemerschap in presentatie, sturingsverhoudingen, kwaliteitsbewaking en ruimte om werkzaamheden buiten scope te weigeren. Die uitkomst bepaalt niet alleen de contractvorm, maar ook de praktische inrichting van de samenwerking, zodat een nette modelovereenkomst niet alsnog onderuitgaat in de dagelijkse realiteit. Hoe Ferocia afweegt en borgt Omdat we zowel met zzp’ers als met professionals in loondienst werken, is een robuust en transparant proces essentieel. Bij iedere nieuwe opdracht voeren we een DBA-scan uit. We toetsen op de bekende pijlers: gezagsverhouding, inbedding in de organisatie, vervangbaarheid, mate van ondernemersrisico, duur en exclusiviteit van de inzet. Dat doen we in gewone taal en met voorbeelden, zodat iedereen begrijpt wat de uitkomst betekent. De overwegingen leggen we vast in een afwegingsdocument. Dat document bevat de argumenten vóór en tegen zelfstandigheid, beschrijft de gekozen maatregelen om risico’s te beperken en maakt zichtbaar waarom we samen voor zzp of loondienst kiezen. Hiermee ontstaat een auditabel dossier dat ook maanden later nog uitlegt waarom een keuze logisch en juist was. Daarbij checken we elke drie maanden of de uitgangspunten ook daadwerkelijk nog zo in de praktijk worden toegepast. Valt de keuze op zzp, dan vertalen we de afweging naar de praktijk. We formuleren resultaten in plaats van taken, plannen reviewmomenten in plaats van dagelijkse sturing, maken duidelijke afspraken over bereikbaarheid en aanwezigheid, en bevorderen waar mogelijk het gebruik van eigen middelen. Zo blijft de samenwerking wendbaar en blijft het karakter van zelfstandigheid overeind. Valt de keuze op loondienst, dan schakelen we zonder ruis over en zorgen we dat de professional moeiteloos door kan werken, met behoud van motivatie en waarde voor de opdrachtgever. Onze tijdelijke loondienstverband oplossing: zekerheid zonder verlies van waarde Soms is loondienst eenvoudigweg de juiste route. In die situaties bieden we een heldere loondienstconstructie die zekerheid biedt zonder de professional tekort te doen. De arbeidsovereenkomst loopt via Ferocia onder de ABU-cao; pensioenopbouw vindt plaats bij StiPP. Het beloningsmodel is transparant: 85% van het tarief wordt besteed aan de professional en 15% bestemd voor Ferocia. Hiermee betalen wij eventuele begeleiding, loonadministratie en een stukje marge. En we regelen de praktische zaken, van vergoedingen tot tooling zodat iedereen zich kan richten op de inhoud. Voor opdrachtgevers betekent dit continuïteit, compliance en één aanspreekpunt. Voor professionals betekent het, erkenning van hun waarde, met de zekerheid die past bij de feitelijke werkrelatie. Wat dit oplevert voor opdrachtgevers De DBA-vraag is geen juridisch voetnootje, maar raakt aan risicomanagement en bedrijfsvoering. Onzekere constructies kosten tijd en energie en kunnen leiden tot naheffingen, premies en reputatierisico. Door aan de voorkant goed te wegen, vast te leggen en uit te voeren, voorkom je verrassingen. Organisaties die met Ferocia werken, krijgen grip op de volledige keten: van intake en risicoanalyse tot contractering en dossiervorming. Bestaande inhuur kunnen we herbeoordelen, zodat zichtbaar wordt waar zelfstandigheid goed gaat en waar bijsturing nodig is. Waar nodig begeleiden we de overstap naar loondienst zonder kennisverlies of frictie met het team. Zo blijft de operatie draaien, terwijl de compliance op orde is. Belangrijk is dat we dit samen doen. Het is geen trucje dat je als bemiddelaar “even” voor een opdrachtgever oplost. Het gaat om gedrag in de praktijk. Daarom betrekken we opdrachtgevers, teamleads en professionals bij de inrichting van de samenwerking. We spreken af wat we doen en we doen wat we afspreken. Dat klinkt vanzelfsprekend, maar het is precies waardoor een dossier klopt wanneer er later vragen over komen. Wat dit betekent voor zzp’ers De meeste zelfstandigen in ons vak kiezen voor het zzp-schap uit overtuiging. Ze willen autonomie in aanpak, variatie in opdrachten en een duidelijke link tussen resultaat en beloning. Dat kan uitstekend binnen de huidige regels, mits je het consequent en eerlijk organiseert. Bij Ferocia start dat met een heldere opdrachtformulering: wat is het resultaat, hoe toets je kwaliteit en welke vrijheid is er in de uitvoering? Vervolgens borgen we in de dagelijkse praktijk dat die vrijheid er ook echt is. Denk aan eigen planning, het voorkomen van standaard roosters, het terugdringen van micromanagement en het stimuleren van werken met eigen middelen. Waar dat niet kan, bijvoorbeeld bij strenge security-eisen leggen we uit waarom, en zoeken we naar alternatieven die het zelfstandige karakter helpen behouden. Transparantie richting opdrachtgever hoort daarbij. We leggen uit dat zelfstandigheid iets anders is dan “geen gedoe met HR”, maar dat het vraagt om anders organiseren. In ruil daarvoor krijgt de opdrachtgever vaak meer snelheid en betere resultaten, omdat professionals eigenaarschap voelen en verantwoordelijkheid nemen voor het afgesproken resultaat. En als de feiten bij aanvang of gaandeweg toch richting loondienst wijzen, dan is er geen drama, maar een duidelijke route naar een passende arbeidsovereenkomst. Zo blijft de samenwerking stabiel, eerlijk en toekomstbestendig. Conclusie en uitnodiging De handhaving van de Wet DBA is geen belemmering, maar een kans om samenwerking professioneel en toekomstbestendig te organiseren. Echte zelfstandigheid blijft mogelijk, wanneer je keuzes onderbouwt en de praktijk daarop inricht. En als loondienst de juiste weg is, dan regel je dat met zekerheid, transparantie en behoud van waarde. Ferocia helpt opdrachtgevers en zzp’ers bij die afweging, borgt de gekozen route en biedt een passende oplossing wanneer loondienst nodig is. Dat doen we niet alleen netjes op papier, maar bewezen in de praktijk en bevestigd tijdens het bedrijfsbezoek van de Belastingdienst. Wil je je huidige inzet laten toetsen, twijfel je over de juiste contractvorm of wil je overstappen zonder gedoe? Neem contact op met Ferocia. We wegen mee, we leggen vast en we zorgen dat je morgen met een gerust hart verder werkt. Met duidelijkheid, zekerheid en keuzevrijheid. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek wat de VOR (Verklaring Omtrent Risicobeheersing) betekent onder de Corporate Governance Code 2025 en versterk je risicobeheersing met Ferocia. VOR Verklaring Omtrent Risicobeheersing Het is een vraag die steeds vaker op tafel komt in de bestuurskamer. Niet alleen bij financiële instellingen, maar ook bij uitvoeringsorganisaties, zorginstellingen en andere (semi)publieke organisaties. Toezichthouders stellen hogere eisen. De maatschappelijke druk neemt toe. Incidenten halen direct het nieuws. En dan is daar de VOR Verklaring Omtrent Risicobeheersing. Voor sommige organisaties een logisch vervolg op bestaande verantwoordingsdocumenten. Voor anderen een spannend nieuw instrument dat vragen oproept. Wat verklaar je precies? Waar baseer je dat op? En belangrijker: wat betekent het voor de manier waarop je risico’s beheerst? In deze blog gaan we in op vier vragen: Wat is de VOR? Voor welke organisaties is de VOR van toepassing? Waarom is de VOR belangrijk? Wat is de visie van Ferocia op de VOR en hoe kunnen wij ondersteunen? Wat is de VOR? De Verklaring Omtrent Risicobeheersing (VOR) is een expliciete bestuurlijke verklaring waarin het bestuur aangeeft in hoeverre de interne risicobeheersing effectief is ingericht en functioneert. Kort gezegd: het bestuur spreekt zich uit over de mate waarin de organisatie haar belangrijkste risico’s beheerst. Met de VOR verschuift de nadruk van impliciete naar expliciete verantwoordelijkheid. Waar risicobeheersing voorheen vaak besloten lag in rapportages van internal audit, risk of compliance, vraagt de VOR om een duidelijke uitspraak van het bestuur zelf. Het bestuur moet voortaan expliciet rapporteren over: De opzet en werking van de interne risicobeheersings- en controlesystemen (IRCS); De beoordeling van de effectiviteit van deze systemen; De mate van zekerheid die deze systemen bieden ten aanzien van: operationele risico’s compliance risico’s verslaggevingsrisico’s (financieel én duurzaam). De VOR dwingt organisaties om deze vragen niet alleen intern te bespreken, maar ook formeel vast te leggen richting toezichthouders en stakeholders. Dat maakt het geen administratieve formaliteit, maar een bestuurlijk instrument. Wat er nu concreet verandert is dat het bestuur: jaarlijks de effectiviteit van de IRCS moet beoordelen; hierover transparant moet rapporteren in het bestuursverslag; expliciet moet aangeven welk niveau van zekerheid de systemen bieden voor operationele en compliance risico’s; ook duurzaamheidsinformatie moet betrekken in de risicobeheersing. Voor welke organisaties is de VOR (Verklaring Omtrent Risicobeheersing) van toepassing? De VOR is per de Nederlandse Corporate Governance Code 2025 verplicht voor alle beursgenoteerde ondernemingen. Deze bedrijven moeten vanaf het boekjaar dat start op of na 1 januari 2025 in hun bestuursverslag expliciet verantwoording afleggen over de hierboven beschreven elementen. Hoewel de VOR formeel onderdeel is van de Corporate Governance Code (en dus alleen verplicht is voor beursgenoteerde bedrijven), wordt deze in toenemende mate vrijwillig toegepast door andere typen organisaties, zoals: maatschappelijke organisaties; financiële instellingen; grotere familiebedrijven; ondernemingen die zich willen voorbereiden op CSRD-rapportage; en organisaties met complexe governance-, risico- of compliancevraagstukken. De VOR sluit inhoudelijk aan bij bredere risicobeheer eisen vanuit de CSRD. Organisaties die onder CSRD vallen, zullen merken dat de VOR-methodiek goed aansluit bij de vereiste risicoparagraaf, al is de VOR zelf niet verplicht voor niet-beursgenoteerde CSRD-plichtige ondernemingen. Niet omdat het moet maar omdat het bijdraagt aan vertrouwen, transparantie en professioneel bestuur. Kortom: de VOR is vooral relevant voor organisaties waar maatschappelijke impact, toezicht en governance zwaar wegen. Hoe groter de impact van falende beheersing, hoe groter de noodzaak van een expliciete verklaring. Waarom is de VOR belangrijk? De introductie van de VOR komt niet uit de lucht vallen. Organisaties opereren in een omgeving waarin onzekerheid structureel is geworden. Waar digitalisering de afhankelijkheid van IT-systemen vergroot, waar maatschappelijke verwachtingen toenemen en waar incidenten rondom datalekken, fraude, integriteitsschendingen of falend toezicht laten zien wat er gebeurt als risicobeheersing tekortschiet. De VOR speelt in op deze realiteit. 1. Versterking van bestuurlijke verantwoordelijkheid De VOR maakt risicobeheersing expliciet onderdeel van de bestuurlijke verantwoordelijkheid. Het bestuur kan zich niet verschuilen achter rapportages van stafafdelingen of assurance-functies. De vraag wordt persoonlijker: Durf ik te verklaren dat wij onze risico’s beheersen? Dat leidt tot scherpere gesprekken binnen het bestuur en met toezichthouders. 2. Stimulans voor integraal risicomanagement Een VOR kun je niet afgeven op basis van een losse risicoanalyse of een jaarlijkse update van het risicoregister. De verklaring vraagt om: Een actueel en integraal risicobeeld Heldere governance-structuren Effectieve monitoring Betrouwbare managementinformatie De VOR fungeert daarmee als katalysator voor volwassen integraal risicomanagement. 3. Verbinding tussen strategie en beheersing Risicobeheersing draait om het realiseren van organisatiedoelen binnen aanvaardbare risicogrenzen. Als je verklaart dat je “in control” bent, zeg je in feite: Wij achten het aannemelijk dat wij onze strategische doelstellingen realiseren binnen de gestelde kaders. Dat maakt de VOR strategisch relevant. Het gesprek verschuift van compliance naar doelrealisatie. 4. Transparantie en vertrouwen Stakeholders verwachten inzicht in hoe organisaties omgaan met onzekerheden en risico’s. De VOR draagt bij aan transparantie. Niet door elk detail openbaar te maken, maar door helder te communiceren over de mate van beheersing en eventuele verbetermaatregelen. Transparantie versterkt vertrouwen. En vertrouwen is in veel sectoren cruciaal. De visie van Ferocia ten aanzien van de VOR Bij Ferocia zien wij de VOR niet als een verplicht nummer, maar als een strategisch instrument. Een kans om risicobeheersing te versterken, om het gesprek in de bestuurskamer te verdiepen en een kans om audit, risk en compliance steviger te positioneren. Onze visie rust op drie pijlers. 1. Inhoud vóór formulering De verklaring volgt uit de kwaliteit van de beheersing. Niet andersom. Dat betekent investeren in: Een scherp en actueel risicoprofiel Een duidelijke risk appetite Effectieve beheersmaatregelen Aantoonbare werking van controls De VOR is het sluitstuk van een goed ingericht systeem van governance, risk en control. 2. Aandacht voor gedrag en cultuur Risicobeheersing is meer dan processen en systemen. Gedrag, voorbeeldrol en aanspreekcultuur bepalen of controls werken. Wij pleiten ervoor om bij de onderbouwing van de VOR expliciet aandacht te besteden aan gedrag en cultuur: Hoe ziet de beheerscultuur eruit en in welke mate is de consistent met de interne risicobeheersing? Is er ruimte voor tegenspraak? Durven medewerkers dilemma’s te delen? Zonder deze dimensie blijft “in control” kwetsbaar. 3. De VOR als continu proces De VOR mag geen jaarlijkse momentopname zijn. Het moet het resultaat zijn van een doorlopend proces van identificeren, beheersen, monitoren en bijstellen. Dat vraagt om volwassen professionals en een lerende organisatie. Hoe kan Ferocia je ondersteunen bij de VOR? De implementatie en borging van de VOR vraagt om kennis, ervaring en capaciteit. Ferocia ondersteunt organisaties via opleidingen, interim en consultancy en werving en selectie. Opleidingen en trainingen Internal auditors, risk managers en compliance officers spelen een sleutelrol bij het onderbouwen van de VOR. Onze opleidingen versterken: Analytische vaardigheden Oordeelsvorming Inzicht in integraal risicomanagement Kennis van soft controls en governance Professionals leren niet alleen toetsen, maar ook adviseren op strategisch niveau. Interim en consultancy Staat jouw organisatie aan het begin van de invoering van de VOR? Of wil je het bestaande risicomanagement naar een hoger niveau tillen? Onze interim-professionals en consultants ondersteunen bij: Het Het inrichten of herijken van het risicomanagementframework Het uitvoeren van maturity-assessments Het verbeteren van control effectiveness Het voorbereiden en onderbouwen van de VOR Altijd met focus op inhoud en duurzame verankering. Werving en selectie Een stevige VOR vraagt om stevige professionals. Wij ondersteunen bij het vinden van auditors, risk managers en controllers die bestuurlijk sensitief zijn, analytisch sterk en in staat om het gesprek op niveau te voeren. Want uiteindelijk staat de kwaliteit van de VOR of valt zij met de kwaliteit van de mensen die haar dragen. Tot slot: durf je te verklaren dat je in control bent? De VOR stelt een eenvoudige, maar confronterende vraag: Zijn wij écht in control? Niet alleen op papier, maar in gedrag, in besluitvorming en in uitvoering. Voor organisaties met een publiek belang is die vraag urgenter dan ooit. Bij Ferocia geloven wij dat de VOR geen bedreiging is, maar een kans. Mits je bereid bent het eerlijke gesprek te voeren en te investeren in volwassen risicobeheersing. Wil je weten waar jouw organisatie staat?Of wil je sparren over de impact van de VOR op jouw governance en control? Wij gaan graag met je in gesprek. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Waarom blijven dezelfde fouten terugkomen in organisaties? In deze blog lees je hoe internal auditing kan uitgroeien van controleur tot aanjager van leren en verbeteren. Ontdek hoe je met focus op gedrag, patronen en dialoog het lerend vermogen écht versterkt. Klik door voor meer informatie. Internal auditing en het lerend vermogen Knop De VOR vergroot de verantwoordelijkheid van het bestuur en dat vraagt om een stevige onderbouwing van de interne risicobeheersing. Internal audit blijft onafhankelijk en moet samenwerken met de 1ste en 2de lijn en de effectiviteit van de beheersing duiden. De VOR biedt zo een kans om strategisch waarde toe te voegen. VOR en de impact op de internal auditor Knop Veel risicoanalyses blijven hangen in lijstjes en matrixen waar niemand iets mee doet. In deze blog lees je wat een écht goede risicoanalyse is, welke valkuilen je moet vermijden en hoe je risico’s verbindt met gedrag, besluitvorming en resultaat. Maak van risicoanalyse een krachtig stuurinstrument. Risicoanalyse Knop Behavioral Auditing 2.0 legt de link tussen beheerscultuur en controlframework bloot met AI-ondersteunde gedragsanalyse. Sneller, dieper en concreter inzicht in hoe gedrag risicobeheersing écht beïnvloedt – volledig in lijn met de IIA-standaarden. Behavioral Auditing 2.0 Knop

Onderzoek cultuur en gedrag in audits met de training soft controls. Leer modellen over cultuur en gedrag praktisch toepassen in jouw audits en stimuleer verandering. Schrijf je nu in! Training Soft controls Duur Studiekosten PE-punten 2 dagdelen € 495,- 9 Inschrijven Training Soft Controls Soft controls, ‘de menselijke factor’ binnen organisaties, krijgen steeds meer aandacht en staan steeds vaker op de auditkalender. Denk aan thema’s als sociale veiligheid, voorbeeldgedrag en vertrouwen. Maar hoe toets je soft controls tijdens een audit? In de training Soft Controls leer je in één lesdag en via een aanvullende e-learning de noodzakelijke technieken en modellen om soft controls effectief te onderzoeken in jouw praktijk. Je scherpt je begrip van cultuur en gedrag aan, oefent met vraagtechnieken en leert hoe je signalen uit de organisatie interpreteert en vertaalt naar concrete interventies. Wat leer je tijdens de training soft controls? Na afloop van deze training kun je cultuur, gedrag en soft controls helder definiëren en begrijp je waarom deze onmisbaar zijn voor effectieve beheersing en sturing. Je leert verschillende modellen toepassen binnen je audits en je bent in staat soft controls gericht te onderzoeken. Daarnaast maak je kennis met interventies die bijdragen aan het versterken van soft controls binnen jouw organisatie, zodat je niet alleen inzicht krijgt, maar ook handvatten hebt om daadwerkelijk verandering te stimuleren. Waarom kiezen voor de training soft controls? Praktisch en theoretisch onderbouwd: je leert bewezen modellen rond cultuur en gedrag kennen en direct toe te passen. Interactie met vakgenoten: ervaringsuitwisseling met collega’s uit andere organisaties. Direct inzetbaar: je stelt een persoonlijk actieplan op dat je kunt toepassen in de eigen praktijk. Flexibiliteit: kies voor fysiek of digitaal onderwijs via onze mixed classrooms. Korte, krachtige investering: in slechts één trainingsdag en een e-learning krijg je de essentiële inzichten en vaardigheden rond soft controls. Waarom kiezen voor Ferocia? Ferocia is de opleider voor professionals in audit, control en risk. Wij combineren academische diepgang met praktijkgericht leren, zodat je kennis direct toepasbaar is in jouw werkomgeving. Onze docenten zijn verbonden aan universiteiten, hogescholen en beroepsorganisaties en brengen hun ervaring uit de praktijk mee de opleiding in. We werken met een innovatieve didactiek waarin e-learning, rollenspellen, praktijkcases en coaching samenkomen in een blended format. Daarbij staat toepassing altijd centraal: je leert het niet alleen, je doet het ook. Ferocia gelooft in inspiratie, co-creatie en prestatie, en dat ervaar je in al onze programma’s! Wil jij leren hoe je met audits echt inzicht krijgt in cultuur en gedrag binnen organisaties? Schrijf je dan nu in voor de training Soft Controls en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar en van jou wordt verwacht een oordeel te kunnen vormen over cultuur- en gedragsaspecten binnen jouw organisatie. Je wenst in korte tijd de basisbeginselen van soft controls te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 10 uur. Dit is inclusief lesdagen en praktijkopdrachten. In deze training werken we met een innovatieve e-learning, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Deelnemers kunnen de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 9 PE-punten. De studiekosten bedragen € 495,- (all-in en vrij van btw). Wat eerdere deelnemers zeggen Bert van Scherpenzeel Quality manager "De training Soft controls is zeer interessant en inspirerend! " Marsha van Iersel Business controller "Veel interactie, levendige discussies en praktische voorbeelden maakten de training Soft controls bijzonder waardevol!" Menny Barendse Auditmanager "Het op praktische wijze leren toepassen van soft controls is een waardevolle aanvulling op onze audits!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde... 26 aug 2025 4 minuten om te lezen Soft Controls: de kracht van beheersing In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en... 13 mei 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Ferocia deelt haar expertise graag. Onze consultants en trainers schrijven regelmatig expertblogs over internal audit, control en risicomanagement. Blogs Ferocia deelt haar expertise graag. Onze consultants en trainers schrijven regelmatig expertblogs over internal audit, control en risicomanagement. Vanuit diepgaande vakkennis en jarenlange ervaring gaan zij in op actuele ontwikkelingen, concrete vraagstukken en praktische oplossingen. Laat u inspireren en ontdek wat wij voor uw organisatie kunnen betekenen. Co- en outsourcing Gedrag en cultuur IT-beheersing Interim en consultancy Internal auditing Opleiding en training Risicomanagement TPM Waarom blijven dezelfde fouten terugkomen in organisaties? In deze blog lees je hoe internal auditing kan uitgroeien van controleur tot aanjager van leren en verbeteren. Ontdek hoe je met focus op gedrag, patronen en dialoog het lerend vermogen écht versterkt. Klik door voor meer informatie. Internal auditing en het lerend vermogen Internal auditing en het lerend vermogen Internal audit verandert snel. Auditmethodiek 2.0 laat zien hoe u met een gestructureerde, AI-ondersteunde aanpak relevantere en impactvollere audits uitvoert. Van voorbereiding tot rapportage. Ontdek hoe referentiemodellen, datamatrices en de AI-agents uw audits versnellen én de organisatie echt in beweging brengen. Auditmethodiek 2.0 Auditmethodiek 2.0 Personeelstekort, piek in audits of een spannend verandertraject? Met een interim auditor van Ferocia haal je geen ‘opvulling’ binnen, maar een ervaren professional die vanaf dag één productief is, rust brengt én je auditfunctie versterkt. Lees in de blog waarom dit een slimme, strategische keuze is. Interim auditor inhuren via Ferocia Interim auditor inhuren via Ferocia Veel risicoanalyses blijven hangen in lijstjes en matrixen waar niemand iets mee doet. In deze blog lees je wat een écht goede risicoanalyse is, welke valkuilen je moet vermijden en hoe je risico’s verbindt met gedrag, besluitvorming en resultaat. Maak van risicoanalyse een krachtig stuurinstrument. Risicoanalyse Risicoanalyse Sinds 17 januari 2025 moet jouw organisatie aantoonbaar digitaal weerbaar zijn. In deze blog lees je wat een DORA-audit is, welke vijf bouwstenen echt het verschil maken en hoe internal audit uitgroeit tot strategische partner. Onmisbaar leesvoer voor audit, risk en compliance. DORA audit DORA audit Waarom lopen scherp bedachte verbetertrajecten toch vast? Behavioural auditing legt ongeschreven spelregels, cultuur en gedrag bloot én maakt ze bespreekbaar. Ontdek hoe Ferocia je helpt om risicobeheersing echt te laten werken. Behavioural auditing Behavioural auditing Steeds meer organisaties besteden hun internal audit uit; niet uit nood, maar als bewuste strategische keuze. In deze blog lees je hoe outsourcing zorgt voor flexibele capaciteit, specialistische kennis en een frisse kwaliteitsimpuls, én wanneer het wél of juist niet past. Klik door om verder te lezen. Outsourcing auditafdeling Outsourcing auditafdeling ISAE 3402 hoeft geen jaarlijks hoofdpijndossier te zijn. In deze blog ontdek je hoe je van een verplicht vinkje een strategisch instrument maakt dat processen versterkt, risico’s aanscherpt en eigenaarschap in de lijn creëert. Zo levert jouw verklaring wél waarde op. Klik door voor de volledige aanpak. ISAE 3402 verklaring ISAE 3402 verklaring Word de auditor die écht impact maakt. In de postbachelor Operational Auditing leer je risico’s scherp analyseren, processen verbeteren en organisaties helpen sturen op resultaat. Praktijkgericht, blended en direct toepasbaar. Ontdek hoe jij uitgroeit tot strategisch sparringpartner én versterker van het lerend vermogen. Klik door voor de hele blog. Opleiding operational auditing Opleiding operational auditing Ontdek hoe je als auditor, controller of risk professional méér invloed krijgt met krachtige gesprekstechnieken. In deze training leer je lastige gesprekken voeren, weerstand ombuigen en echt doorgronden wat er speelt. Praktijkgericht, interactief en direct toepasbaar. Klik door en til je vakmanschap naar een hoger niveau. Training gesprekstechnieken voor auditors en riskmanagers Training gesprekstechnieken voor auditors en riskmanagers Sta jij als internal auditfunctie voor een (aanstaande) kwaliteitstoetsing? Ferocia helpt je van readiness assessment tot en met onafhankelijke externe toetsing volgens de GIAS. Ontdek hoe je van ‘spannend examen’ naar kans op groei en professionalisering gaat. Kwaliteitstoetsing auditafdelingen Kwaliteitstoetsing auditafdelingen De VOR vergroot de verantwoordelijkheid van het bestuur en dat vraagt om een stevige onderbouwing van de interne risicobeheersing. Internal audit blijft onafhankelijk en moet samenwerken met de 1ste en 2de lijn en de effectiviteit van de beheersing duiden. De VOR biedt zo een kans om strategisch waarde toe te voegen. VOR en de impact op de internal auditor VOR en de impact op de internal auditor Operational auditing geeft organisaties grip in een complexe wereld. In deze blog lees je hoe de operational auditor uitgroeit tot katalysator voor leren en verandering met oog voor digitalisering, cultuur, agile werken én transparantie. Ontdek waarom geen toekomstbestendige organisatie zonder kan. Operational auditing en jouw organisatie Operational auditing en jouw organisatie Hoe blijft jouw auditfunctie relevant in een snel veranderende wereld? Agile auditing draait audits om: kortcyclisch, samen met de business en gericht op échte impact in plaats van alleen een eindrapport. Ontdek in deze blog hoe jij van controleur uitgroeit tot navigator van de toekomst. Agile auditing Agile auditing Waarom werkt risicomanagement zo vaak wél op papier, maar niet in de praktijk? In deze blog ontdek je de meest voorkomende oorzaken; gebrek aan eigenaarschap, slechte timing en geen ondersteunende cultuur. Leer hoe je risicomanagement wél laat leven in besluitvorming en gedrag. Klik door en maak jouw organisatie écht weerbaar. Waarom risicomanagement vaak niet werkt Waarom risicomanagement vaak niet werkt Welk risicomanagementmodel past bij jouw organisatie? In deze blog ontdek je de verschillen tussen COSO ERM, ISO 31000, het Three Lines Model, de BIO en RISMAN én hoe je ze slim toepast. Praktisch, helder en direct inzetbaar. Klik door en kies het model dat jouw organisatie écht vooruit helpt. Risicomanagement model Risicomanagement model COBIT is geen ingewikkeld IT-speeltje, maar jouw kompas voor digitale governance. In deze blog lees je hoe COBIT 2019 business, IT en bestuur dezelfde taal laat spreken, IT-risico’s structuur geeft en jouw audits versterkt. Ontdek hoe je COBIT praktisch inzet in jouw organisatie. Cobit Cobit Blijven dezelfde bevindingen terugkeren in je audits? Met een diepgaande oorzaakanalyse op gedrag en cultuur maakt Ferocia de onderstroom zichtbaar en vertaal je 'soft controls' naar concrete acties. Ontdek hoe je naar echte en duurzame veranderingen gaat. Oorzaakanalyse op gedrag en cultuur Oorzaakanalyse op gedrag en cultuur Co-sourcing geeft je audit- of riskafdeling precies de extra slagkracht die je nu mist, zonder regie uit handen te geven. Met de experts van Ferocia vul je je team flexibel aan, haal je specialistische kennis binnen en bouw je tegelijk aan een sterker, toekomstbestendig functiehuis. Co-sourcing auditafdeling of riskafdeling Co-sourcing auditafdeling of riskafdeling ISAE 3402, SOC 1 of SOC 2? In deze blog ontdek je eindelijk het verschil. Helder uitgelegd, met praktische handvatten om te bepalen welke verklaring écht past bij jouw dienstverlening. Voorkom dure fouten en maak een keuze die vertrouwen uitstraalt. Klik door voor de complete uitleg. ISAE 3402, SOC 1, SOC 2. ISAE 3402, SOC 1, SOC 2. Verdiep je in de digitale wereld met de postbachelor IT-auditing. Leer hoe je IT-processen, cybersecurity en governance beoordeelt én direct toepast in je eigen organisatie. Praktijkgericht, blended en ontworpen om jou een volwaardig gesprekspartner voor bestuur en IT-managers te maken. Klik door voor de volledige blog. IT-auditing opleiding IT-auditing opleiding Wil je meer doen dan beheersmaatregelen toetsen in audits? In de training Soft Controls van Ferocia leer je in twee dagdelen hoe je gedrag, cultuur en soft controls onderzoekt én vertaalt naar concrete interventies. Met e-learning, praktijkcases en feedback van experts. Training soft controls Training soft controls Sinds 1 januari 2025 handhaaft de Belastingdienst de Wet DBA écht. Wat betekent dat voor jouw inzet van zzp’ers in audit, risk en compliance? Ferocia laat zien hoe je grijs gebied omzet in duidelijke keuzes, minimale risico’s én behoud van flexibiliteit. Lees meer. Wet DBA 2025: zekerheid zonder frictie Wet DBA 2025: zekerheid zonder frictie De BIO2 is het vernieuwde normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het legt meer nadruk op risicogedreven beveiliging, bestuurlijke verantwoordelijkheid, ketenrisico’s en continue verbetering. Voor auditors en risicomanagers verschuift de focus van maatregel controles naar beoordeling van governance, ISMS en risicomanagementprocessen. BIO2 BIO2 IT-auditing is veel meer dan vinkjes zetten. In deze blog lees je hoe de IT-auditor zorgt voor veilige systemen, naleving van AVG/NIS2/DORA en grip op digitale risico’s. Ontdek de belangrijkste inzichten voor een sterke IT-audit én hoe Ferocia je hierbij kan helpen. IT-auditing IT-auditing Wil je dat jouw auditrapport wél leidt tot actie? In deze blog ontdek je hoe je rapporten schrijft die beweging creëren: helder, krachtig, visueel en gericht op eigenaarschap in de 1e lijn. Geen papieren eindproduct, maar een interventie die echt verandering start. Klik door en maak jouw rapporten impactvoller dan ooit. Auditrapporten die wel leiden tot actie Auditrapporten die wel leiden tot actie Risk appetite en risk tolerances lijken theoretisch, maar bepalen in de praktijk of uw organisatie met vertrouwen durft te innoveren én tijdig begrenst. In deze blog leest u hoe u ze concreet maakt, van bestuurskamer tot werkvloer, met voorbeelden, valkuilen en praktische tips. Risk appetite en risk tolerance Risk appetite en risk tolerance NIS2 verandert cybersecurity van IT-thema naar bestuurdersvraagstuk. In deze blog lees je wie onder NIS2 valt, wat er straks écht verplicht is en welke rol internal audit, risk en control spelen. Geen paniek om boetes, maar een kans om je organisatie aantoonbaar digitaal weerbaar te maken. NIS2 NIS2 ISO 27001 is geen papieren oefening, maar een manier om informatiebeveiliging écht te laten werken. In deze blog lees je hoe je met een scherpe scope, slimme verklaring van toepasselijkheid (SoA) en goede audits risico’s, gedrag en techniek verbindt, en zo van certificaat naar waardecreatie gaat. ISO 27001 ISO 27001 Waarom gaat het mis terwijl alle regels kloppen? In deze blog ontdek je de onzichtbare kracht van soft controls: cultuur, gedrag en psychologische veiligheid. Lees hoe je als auditor of controller die zachte kant onderzoekt én inzet om de kwaliteit van risicobeheersing en het lerend vermogen echt te versterken. Soft Controls Soft Controls Audits uitbesteden kan je auditfunctie juist versterken, mits je het slim regelt. In deze blog lees je wanneer uitbesteden écht loont, welke vormen werken, hoe je onafhankelijkheid borgt en hoe je stuurt op resultaten in plaats van uren. Uitbesteden van audits Uitbesteden van audits Internal auditing geeft organisaties grip op risico’s, processen en IT. In deze blog ontdek je het verschil tussen operational en IT-auditing, en waarom de postbacheloropleidingen van Ferocia en Habeo+ je klaarmaken voor een rol als strategische sparringpartner. Word internal auditor en vergroot je impact. Klik door voor meer. Opleiding Internal auditing Opleiding Internal auditing Vergroot de grip op risico’s én je invloed in de organisatie. In de opleiding Risicomanagement van Ferocia leer je in acht interactieve dagdelen risico’s structureren, draagvlak creëren en risicobewustzijn vergroten. Praktisch, verdiepend en direct toepasbaar in jouw eigen organisatie. Opleiding risicomanagement Opleiding risicomanagement Hoe zorg je dat auditors en risicomanagers niet alleen kennis opstapelen, maar écht leren in de praktijk? In deze blog lees je hoe Ferocia e-learning, hybride onderwijs en levensechte simulaties combineert tot opleidingen die raken én blijven hangen. Hoe technologie onze opleidingen en trainingen vernieuwt. Hoe technologie onze opleidingen en trainingen vernieuwt. Behavioral Auditing 2.0 legt de link tussen beheerscultuur en controlframework bloot met AI-ondersteunde gedragsanalyse. Sneller, dieper en concreter inzicht in hoe gedrag risicobeheersing écht beïnvloedt – volledig in lijn met de IIA-standaarden. Behavioral Auditing 2.0 Behavioral Auditing 2.0

Ontdek hoe je een ISAE 3402-verklaring effectief inricht en onderhoudt. En voorkom dat het een papieren tijger wordt zonder strategische waarde. Alle blogs TPM ISAE 3402 verklaring Zo haal je echt waarde uit je ISAE 3402-verklaring. Van verplicht vinkje naar integraal onderdeel van je interne beheersing De vraag is zelden of je een ISAE 3402-verklaring nodig hebt. Zeker niet als je organisatie diensten levert die impact hebben op de beheersing van klanten. De echte uitdaging zit in de hoe: Hoe richt je die verklaring zo in dat het geen jaarlijks hoofdpijndossier wordt? Hoe zorg je dat de controls niet alleen op papier kloppen, maar ook in de praktijk werken? En hoe maak je er een instrument van waar je organisatie echt beter van wordt? Want dat kan! Want als je ISAE 3402 slim aanpakt, levert het veel meer op dan een ‘groen vinkje’ voor de accountant. ISAE 3402 verklaring Zo haal je echt waarde uit je ISAE 3402-verklaring. Van verplicht vinkje naar integraal onderdeel van je interne beheersing De vraag is zelden of je een ISAE 3402-verklaring nodig hebt. Zeker niet als je organisatie diensten levert die impact hebben op de beheersing van klanten. De echte uitdaging zit in de hoe: Hoe richt je die verklaring zo in dat het geen jaarlijks hoofdpijndossier wordt? Hoe zorg je dat de controls niet alleen op papier kloppen, maar ook in de praktijk werken? En hoe maak je er een instrument van waar je organisatie echt beter van wordt? Want dat kan! Want als je ISAE 3402 slim aanpakt, levert het veel meer op dan een ‘groen vinkje’ voor de accountant. ISAE 3402: meer dan compliance Veel organisaties zien de ISAE 3402-verklaring nog altijd als een verplicht nummer. Iets wat je doet voor de auditor, of voor een klant die het nu eenmaal vraagt. Daardoor belanden ze in een jaarlijks repeterend patroon: Documenten verzamelen Control descriptions actualiseren Risicoanalyse herzien (maar vaak alleen oppervlakkig) Testplan afronden vóór de deadline En zodra de controle erop zit? Dan verdwijnt het hele framework weer in een digitale la. Tot volgend jaar. Zonde . Want wie ISAE 3402 serieus en strategisch inzet, creëert een structuur die: inzicht geeft in de volwassenheid van processen; houvast biedt aan klanten en toezichthouders; en rust en zekerheid geeft binnen je eigen organisatie. Dan wordt ISAE geen last, maar een kans. De drie grootste valkuilen Om die stap te maken, moet je eerst begrijpen waar het meestal misgaat. Drie valkuilen zie je in veel trajecten terug: 1. Je bouwt voort op verouderde processen Een klassieke fout: bij de (her)inrichting van het ISAE-framework neem je het bestaande procesmodel als uitgangspunt. Handig, denk je. Maar stel jezelf eens deze vragen: Zijn je processen sinds de vorige verklaring veranderd? Is er sprake van automatisering, hybride werken of outsourcing? Is je dienstverlening verschoven naar andere producten of markten? Als het antwoord op één van deze vragen ‘ja’ is, dan is je oude procesmodel geen stevig fundament meer en sluit je verklaring niet langer aan bij de praktijk. 2. De control descriptions zijn onbegrijpelijk Te technisch, te abstract of juist zo gedetailleerd dat niemand er nog chocola van kan maken. De control descriptions zijn het hart van je verklaring. En als die niet goed zijn, klopt de rest ook niet. Een goede control voldoet aan drie eisen: Begrijpelijk : proceseigenaren moeten snappen waar de control over gaat. Toetsbaar : auditors moeten objectief kunnen vaststellen of de control werkt. Toepasbaar : de control moet realistisch uitvoerbaar zijn binnen het proces. Kwaliteit zit dus niet in de hoeveelheid, maar in de scherpte ervan. Vijf heldere, werkende controls zijn waardevoller dan twintig wollige maatregelen die niemand echt uitvoert. 3. Geen eigenaarschap in de lijn Zolang ISAE 3402 ‘iets is van audit of compliance’, zal het nooit echt gaan leven. Je wilt dat proceseigenaren zich verantwoordelijk voelen voor hun beheersmaatregelen. Dat zij snappen waarom die controls er zijn. En dat zij zelf actief bijdragen aan het onderhoud en de verbetering ervan. Zonder dat eigenaarschap verwordt je verklaring tot een papieren tijger. Mooi op papier, maar nutteloos in de praktijk. Zo til je ISAE 3402 naar een hoger niveau De stap van compliance naar continu verbeteren vraagt om een andere mindset en aanpak. Onderstaande tips helpen je op weg: 1. Begin opnieuw met je risicoanalyse Laat de bestaande versie even voor wat die is. En stel jezelf en je team opnieuw de fundamentele vraag: Wat zijn de risico’s in onze dienstverlening vandaag, met deze klanten, deze processen en deze systemen? Breng die risico’s concreet in kaart. Ga daarbij verder dan alleen financiële of operationele risico’s. Kijk ook naar: Technologische risico’s (bijv. afhankelijkheid van platforms of integraties) Organisatorische risico’s (bijv. personele krapte, hybride werken) Reputatierisico’s (bijv. bij een datalek of foutieve rapportage) Pas als je deze risico’s scherp hebt, kun je ook passende en effectieve controls formuleren. 2. Breng je controls naar de praktijk Laat niet alleen de audit- of complianceafdeling de controls beschrijven. Leg ze voor aan de mensen die het werk doen. Vraag hen: “Wat betekent deze control voor jouw werkdag?” Als ze het niet kunnen uitleggen, werkt de control niet. Dan is er of iets mis met de formulering of met de uitvoerbaarheid. Beide zijn een probleem en bieden tegelijk een kans om te verbeteren. Door proceseigenaren actief te betrekken, verhoog je de acceptatie en de kwaliteit van je controls. 3. Veranker ISAE in je governance Een ISAE-framework moet niet losstaan van de rest van je organisatie. Integendeel. Integreer je controls in bestaande managementprocessen, bijvoorbeeld: Koppel controls aan bestaande KPI’s en dashboards. Neem beheersmaatregelen op in kwartaalrapportages. Bespreek knelpunten structureel in RvB- of MT-overleggen. Zo houd je het onderwerp levend. En voorkom je dat het alleen in het voorjaar relevant is, als de audit eraan komt. ISAE 3402 is nooit ‘af’ Nieuwe technologieën, nieuwe klanten, nieuwe eisen van toezichthouders, alles verandert voortdurend. Dat betekent ook dat je ISAE-verklaring een levend document moet zijn. Niet een set documenten die je jaarlijks afvinkt, maar een dynamisch framework dat meebeweegt met je organisatie. Dat vraagt om: Continu herijken van je risico’s en controls. Periodieke reflectie op de effectiviteit van je beheersmaatregelen. Een cultuur waarin eigenaarschap voor beheersing breed wordt gedragen. Zie het als een kans: organisaties die hun ISAE 3402 slim inzetten, bouwen aan veerkracht, klantvertrouwen en interne rust. Ze kunnen met recht zeggen: wij zijn ‘in control’. Tot slot: zie ISAE als hefboom, niet als hinderpaal Een goed ingericht ISAE 3402-framework kost tijd en aandacht. Maar het levert ook veel op: Meer grip op je processen Beter onderbouwde keuzes Hogere klanttevredenheid Meer rust bij management en bestuur Of je nu net begint met een verklaring of al jaren een framework hebt: er valt altijd winst te behalen. Maar dan moet je wel durven kijken. En durven verbeteren. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Vergroot je impact met de training Risicomanagement: leer risico’s analyseren, beheersen en maak direct de vertaalslag naar jouw praktijk. Schrijf je direct in! Training Risicomanagement Duur Studiekosten PE-punten 4 dagdelen € 1.395,- 18 Inschrijven Training Risicomanagement Wat leer je tijdens de training Risicomanagement? Teneinde organisatiedoelstellingen te kunnen realiseren heeft het management de belangrijke taak tijdig in te spelen op veranderingen in de omgeving en risico’s te managen. Risico’s veranderen echter snel; dit maakt dat het managen van deze risico’s de voortdurende aandacht van de organisatie eist. Beheersing betekent dat de organisatie effectief en proactief omgaat met het dynamische spanningsveld tussen doelrealisatie, verandering en risico’s. Veranderingen in risico’s moeten worden onderkend en beheerst, wil een organisatie ‘in control’ zijn. Een belangrijke randvoorwaarde voor effectief en integraal risicomanagement is het incorporeren van consistent risicomanagementbeleid en een risicomethodiek in de gehele organisatie. Door een juiste risicomethodiek te organiseren ondersteund vanuit een risicomanagementbeleid, kun je het resultaat van je inspanningen vergroten om risico’s te onderkennen en te beheersen. Waarom kiezen voor de training Risicomanagement? Organisaties die risico’s goed beheersen, presteren aantoonbaar beter. Maar effectieve risicobeheersing vraagt om meer dan beleid en formats. Het vereist inzicht, samenwerking en eigenaarschap. In deze training: • leer je hoe je risicodenken integreert in alle lagen van de organisatie; • werk je met actuele inzichten op het gebied van corporate governance en risicocycli; • vertaal je theorie direct naar jouw eigen praktijk; en • en werk je met andere professionals aan echte vraagstukken. Je ontwikkelt niet alleen kennis, maar ook vaardigheden. Van het analyseren van risico’s tot het betrekken van stakeholders bij het beheersen ervan. Daarmee vergroot je jouw waarde als controller, risk officer, auditor of proceseigenaar, en die van je organisatie. Waarom kiezen voor Ferocia? Ferocia is de specialist in audit, risk en control. Wij combineren inhoudelijke diepgang met didactisch vakmanschap, zodat jij niet alleen leert maar ook daadwerkelijk presteert. Onze docenten zijn verbonden aan toonaangevende hogescholen en universiteiten en brengen hun praktijkervaring rechtstreeks de klas in. Daarbij werken we vanuit inspiratie, co-creatie en prestatie: leren doe je samen en altijd met het oog op resultaat. Dankzij de unieke mix van e-learning, interactieve bijeenkomsten en praktijkopdrachten weet je na afloop precies hoe je auditing van echte waarde maakt voor jouw organisatie. Wil jij de risico’s in jouw organisatie beter begrijpen en beheersen? Schrijf je dan nu in voor de training risicomanagement. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker, proceseigenaar, (operational, IT- of financial) auditor of accountant en je wilt een stevige bijdrage leveren aan het optimaliseren van risicomanagement binnen je organisatie. De tijdsinvestering bedraagt ongeveer 18 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze training werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 18 PE-punten. De studiekosten bedragen € 1.395,- (all-in en vrij van btw). Wat eerdere deelnemers zeggen Ilse Boesjes Risk manager "Goede introductie in de wereld van risicomanagement met waardevolle inzichten voor het uitvoeren van een RCSA!" Inzichten Risk appetite en risk tolerance Risicomanagement gaat niet over alle risico’s uitsluiten. Het draait om het maken van bewuste keuzes: waar geven we ruimte aan ondernemerschap, waar trekken we een heldere lijn en wanneer grijpen we in. In dat spanningsveld spelen twee begrippen de hoofdrol: risk appetite (of risicobereidheid) en risk tolerances. In theorie lijken ze overzichtelijk, in de praktijk lopen ze vaak door elkaar. Zonde, want organisaties die hun risicohouding scherp formuleren én vertalen naar hant 21 okt 2025 7 minuten om te lezen Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Opleiding risicomanagement Iedere organisatie, groot of klein heeft ermee te maken: risico’s. Of het nu gaat om cyberdreigingen, veranderende wetgeving,... 26 aug 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven