Zoekresultaten

Ferocia helpt internal auditafdelingen bij voorbereiding en uitvoering van de externe kwaliteitstoetsing volgens GIAS. Versterk je auditfunctie en ontdek hoe. Kwaliteitstoetsingen Hoe Ferocia internal auditafdelingen ondersteunt bij de kwaliteitstoetsing De rol van de internal auditfunctie binnen organisaties is de afgelopen jaren aanzienlijk veranderd. Internal auditors worden tegenwoordig steeds vaker gezien als strategische partners die bijdragen aan governance, risicobeheersing en waardecreatie. Die ontwikkeling brengt ook een grotere verantwoordelijkheid met zich mee. Stakeholders verwachten dat auditafdelingen niet alleen voldoen aan wet- en regelgeving, maar ook dat zij aantoonbaar werken volgens de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA). Om dit te waarborgen, is er de ‘verplichte’ kwaliteitstoets, een periodieke beoordeling van de internal auditfunctie, uitgevoerd door een onafhankelijke partij. Voor veel auditafdelingen is dit een spannend en intensief traject. Hoe toon je aan dat je voldoet aan de kwaliteitscriteria? Hoe bereid je je voor op een externe toets? En hoe vertaal je de uitkomsten naar duurzame verbeteringen? Daar komt Ferocia in beeld. Ferocia als partner in kwaliteitstoetsing Ferocia ondersteunt internal auditafdelingen van A tot Z bij de kwaliteitstoetsing. Dat doen wij vanuit drie diensten: Audit readiness assessment. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS. Uitvoering van de externe kwaliteitstoets (Ferocia is gecertificeerd door het IIA). Door deze combinatie zijn wij voor auditafdelingen niet alleen een sparringpartner, maar ook een onafhankelijke beoordelaar die de kwaliteit van het vakgebied helpt versterken (uiteraard kunnen en willen wij dienstverlening 1 en 2 niet combineren met 3). 1. Audit readiness assessment: voorbereid de kwaliteitstoetsing in Een kwaliteitstoets kan voor auditteams een pittige exercitie zijn. Vaak heerst er onzekerheid: Hoe zit het met onze ethiek en professionele moed? Is onze auditcharter up-to-date? Sluiten onze werkprogramma’s voldoende aan op de standaarden? Hoe scoren we op onafhankelijkheid en objectiviteit? Met het audit readiness assessment helpt Ferocia auditafdelingen deze vragen te beantwoorden. Dit assessment is een grondige analyse die inzicht geeft in de huidige situatie en de mate van gereedheid voor de externe kwaliteitstoetsing. Wat houdt het in? Documentreview: We analyseren beleidsstukken, auditplannen, werkdossiers en rapportages. Interviews: We spreken met auditors, management en stakeholders om te toetsen hoe processen in de praktijk werken. Gap-analyse: We vergelijken de huidige werkwijze met de GIAS-criteria en brengen eventuele verbeterpunten in kaart. Het resultaat Een concreet rapport met: Sterke punten die de auditfunctie onderscheiden. Verbeterpunten die aandacht vragen voor de externe toets. Praktische aanbevelingen waarmee de afdeling direct aan de slag kan. Het readiness assessment geeft auditteams rust, duidelijkheid en een routekaart richting een succesvolle kwaliteitstoets. 2. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS De GIAS stelt duidelijke eisen aan de inrichting en uitvoering van internal auditfunctie. Denk aan ethiek, onafhankelijkheid, positionering binnen de organisatie, kwaliteit van werkprogramma’s en continue professionalisering van het team. Veel auditafdelingen ervaren dat het lastig is om deze criteria consequent door te vertalen naar hun eigen praktijk. Ferocia biedt hier gerichte ondersteuning. Hoe ondersteunen wij? Workshops & trainingen: Gericht op specifieke thema’s zoals onafhankelijkheid, rapportagekwaliteit of stakeholdermanagement. Coaching on the job: Onze experts werken samen met auditteams tijdens lopende audits en geven direct feedback. Template- en procesontwikkeling: We helpen bij het opstellen van praktische formats, auditplannen, auditcharter, etc. die voldoen aan de GIAS. Voorbeeld uit de praktijk Een middelgrote financiële instelling vroeg ons om hulp omdat hun auditfunctie wel operationeel draaide, maar onvoldoende aantoonbaar voldeed aan de GIAS. Ferocia heeft een maatwerk verbeterprogramma opgesteld, inclusief workshops voor het auditteam, begeleiding bij het actualiseren van het auditcharter en ondersteuning bij rapportages. Bij de externe toets werd het team geprezen om hun professionaliteit en verbeterkracht. 3. Externe kwaliteitstoets: onafhankelijk en gecertificeerd Uiteindelijk komt het moment dat de auditfunctie een externe kwaliteitstoets moet ondergaan. Deze toets is ‘verplicht’ voor internal auditfuncties die aangesloten zijn bij het IIA en biedt zekerheid aan de organisatie en haar stakeholders. Ferocia is gecertificeerd om deze externe kwaliteitstoetsen uit te voeren. Dat betekent dat wij onafhankelijk beoordelen of een auditafdeling voldoet aan de GIAS. Hoe verloopt de externe kwaliteitstoetsing? Voorbereiding: We bereiden de externe kwaliteitstoetsing voor en stellen een planning op. Onderzoek: Ferocia voert interviews, documentanalyses en dossierreviews uit. Beoordeling: We vergelijken de praktijk met de kwaliteitscriteria. Rapportage: Het auditteam ontvangt een rapportage met een gedetailleerd oordeel met onderbouwing en eventuele concrete aanbevelingen. Meerwaarde van Ferocia als toetsende partij Ervaring: Onze auditors hebben vele kwaliteitstoetsen uitgevoerd bij uiteenlopende organisaties. Praktische blik: We kijken niet alleen of criteria worden gehaald, maar ook hoe de auditfunctie zich verder kan ontwikkelen. Onafhankelijkheid: Als gecertificeerde partij borgen we een objectief en betrouwbaar oordeel. Waarom kiezen auditafdelingen voor Ferocia? De kracht van Ferocia zit in de combinatie van kennis, ervaring en betrokkenheid. We kennen de praktijk van internal auditing door en door. We combineren theoretische kennis van de GIAS met praktische inzichten uit tientallen organisaties. We denken niet alleen in termen van toetsing, maar ook in ontwikkeling en groei van de auditfunctie. Onze klanten waarderen dat wij niet alleen toetsen, maar ook meedenken over hoe hun afdeling sterker, professioneler en toekomstbestendiger kan worden. De impact van een externe kwaliteitstoets: meer dan een verplichting Soms wordt de externe kwaliteitstoets gezien als een administratieve verplichting. Maar in werkelijkheid is het veel meer dan dat. Een goed doorlopen kwaliteitstoets biedt: Vertrouwen bij bestuur en toezichthouders dat de auditfunctie onafhankelijk en professioneel opereert. Meerwaarde voor de organisatie, omdat verbeterpunten direct bijdragen aan betere governance en risicobeheersing. Professionele groei voor auditors zelf, doordat zij leren van feedback en best practices. Met de juiste voorbereiding en begeleiding kan een kwaliteitstoets zo veranderen van een “spannend examen” naar een kans om de auditfunctie naar een hoger niveau te tillen. Conclusie: Samen werken aan auditkwaliteit Internal auditafdelingen staan voor de uitdaging om niet alleen hun werk goed te doen, maar dit ook aantoonbaar te maken volgens internationale standaarden. De kwaliteitstoets is daarbij een krachtig instrument, mits goed voorbereid en uitgevoerd. Ferocia ondersteunt auditafdelingen op drie niveaus: Audit readiness assessment: inzicht en voorbereiding. Ondersteuning bij voldoen aan de GIAS: kennis, begeleiding en praktische tools. Externe kwaliteitstoets: onafhankelijk, gecertificeerd en met oog voor ontwikkeling. Zo helpen wij internal auditors niet alleen om de toets te halen, maar vooral om sterker en toekomstbestendiger uit het traject te komen. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Sta jij als internal auditfunctie voor een (aanstaande) kwaliteitstoetsing? Ferocia helpt je van readiness assessment tot en met onafhankelijke externe toetsing volgens de GIAS. Ontdek hoe je van ‘spannend examen’ naar kans op groei en professionalisering gaat. Kwaliteitstoetsing auditafdelingen Knop

Ontdek hoe Behavioral Auditing 2.0 met AI snel diep inzicht biedt in gedrag en cultuur binnen controlframeworks. Maak organisatiegedrag auditbaar. Alle blogs Gedrag en cultuur Behavioral Auditing 2.0 Gedrag en cultuur in relatie tot risicobeheersing Ferocia heeft samen met Jan Otten Behavioral Auditing 2.0 ontwikkeld. D e vernieuwde methode voor het uitvoeren van gedragsaudits. Krijg diep inzicht in mentale modellen, drijfveren en overtuigingen achter gedrag. Net zo krachtig als voorheen, maar nu nog simpeler, sneller en AI-ondersteund. Een praktische aanpak om invulling te geven aan de IIA Topical Requirement for Organizational Behavior. De eerste generatie Behavioral auditing, ontwikkeld door Jan Otten en Inge van der Meulen, gaf organisaties al inzicht in gedrag en cultuur. Het bracht onderstromen aan het licht: waarom blijven verbetertrajecten steken, ondanks heldere rapporten? Waarom verzanden veranderingen, ook al zijn rollen en processen op papier logisch ingericht? Antwoorden lagen zelden in nog een procedure of nog een training, maar in wat mensen werkelijk doen, gestuurd door gewoonten, groepsdynamiek, onuitgesproken normen en impliciete aannames. Wat maakt Behavioral Auditing 2.0 vernieuwend? Behavioral auditing 2.0 is op twee manier vernieuwd: het gebruik van geavanceerde AI-modellen waardoor de audit simpel en sneller uitgevoerd kan worden met behoud van dezelfde kwaliteit en diepgang; en de expliciete koppeling tussen de beheerscultuur en het controlframework waardoor het herkenbaarder en dicht bij het werk van een internal auditor komt te staan. Behavioral Auditing 2.0 is de doorontwikkeling van de vertrouwde gedragsaudit, waarin de volledige kwalitatieve data-analyse is vervangen door een AI‑gestuurde aanpak. De kern blijft identiek: diep inzicht in mentale modellen, drijfveren en overtuigingen achter gedrag, op basis van rijke interviewdata. In plaats van handmatig coderen, clusteren en thematiseren, laat Behavioral Auditing 2.0 dit werk doen door geavanceerde AI‑modellen die grote hoeveelheden interview transcripten razendsnel analyseren. Deze modellen herkennen patronen, thema’s en sentimenten die voorheen veel uren denkarbeid vroegen, met een consistentie en reproduceerbaarheid die handmatige analyse vaak niet haalt. De geavanceerde AI-modellen zet de transcripten om in een gestructureerd, doorlopend narratief dat qua opbouw en scherpte aansluit bij de verhalen die auditors eerder handmatig maakten. Dat narratief is nog steeds volledig opgebouwd uit letterlijke citaten uit de interviews, zodat de stem van de organisatie hoorbaar blijft en direct als input kan dienen voor de validatieworkshop. Waar de auditor voorheen diep in de codering en classificatie van fragmenten moest duiken, verschuift de focus nu naar duiding, toetsing en dialoog met de organisatie. De geavanceerde AI-modellen leveren in minuten een eerste, rijk onderbouwd narratief en thematische indeling op, waardoor de auditor zijn expertise kan inzetten waar die de meeste waarde heeft: interpretatie, risicoweging en het ontwerpen van interventies. De essentie van Behavioral Auditing blijft volledig behouden: inductieve gedragsanalyse, stevige onderbouwing en herkenbare narratieve die beweging in organisaties op gang brengen. Behavioral Audit 2.0 levert deze kwaliteit nu in een fractie van de tijd, met minder doorlooptijd, lagere analysekosten en meer ruimte voor reflectie en interactie met bestuur, management en medewerkers Daarbij focust Behavioral Auditing 2.0 zich specifiek op de vraag: is onze (beheers)cultuur congruent met ons controlframework? Oftewel, als we kijken naar de formeel ingerichte beheersmaatregelen om risico te mitigeren, en naar hoe de cultuur binnen de organisatie hoe medewerkers werkelijk met deze beheersmaatregelen omgaan, herkennen we dan een logisch, samenhangend geheel? Of staat het controlframework en de cultuur op gespannen voet met elkaar? Die vraag lijkt simpel, maar is het niet. Want het controlframework is meer dan een set maatregelen. Het is een netwerk van checks, autorisaties, routines, dashboards, normenkaders en verwachtingen. En “(beheers)cultuur” is meer dan een slogan op een poster. Het is hoe mensen in de praktijk betekenis geven aan regels, hoe zij onder tijdsdruk keuzes maken, wie zich veilig voelt om iets te zeggen, wie elkaar aanspreekt, en wat er gebeurt als iemand wél een grens trekt. Met andere woorden: het is “de manier waarop we hier de dingen doen”, en precies daar zitten zowel de kracht als de kwetsbaarheid van beheersing. Neem het vierogenprincipe. In veel organisaties is dat een beheersmaatregel in het controlframework. Maar stel dat de cultuur zo is ingericht dat elkaar aanspreken ongemakkelijk is. Dat feedback snel als kritiek wordt ervaren. Dat medewerkers liever vermijden dan confronteren, omdat “gedoe” interne conflicten oplevert of omdat er toch niets mee gebeurt. Dan verandert het vierogenprincipe van een beheersmaatregel in een ritueel. Er wordt wel gekeken, maar niet echt gezien. De tweede handtekening wordt gezet omdat dat nu eenmaal moet, niet omdat er een inhoudelijke dialoog plaatsvindt. Formeel klopt het. Gedragsmatig is het een leeg omhulsel. Het kan ook precies andersom. Een organisatie kan zichzelf graag beschrijven als “betrokken, mensgericht en gebaseerd op vertrouwen”. Maar ondertussen bestaat het controlframework uit een dicht netwerk van microcontroles, dubbele registraties, autorisaties op de kleinste handelingen en escalatieprocedures die vooral wantrouwen communiceren. Medewerkers ervaren: “ze geloven ons niet.” En wat doet dat met gedrag? Mensen gaan slimmer worden in het systeem in plaats van beter in het werk. Ze gaan afvinken, verstoppen, omzeilen, ‘netjes’ rapporteren wat veilig is. De formele stapel groeit, de werkdruk stijgt, en de echte risico’s verhuizen naar de schaduw. Het controlframework is ontworpen als bescherming, maar wordt beleefd als controle op de persoon. Ook hier: een mismatch tussen wat we zeggen en wat we doen. Behavioral Auditing 2.0 maakt precies deze eventuele mismatch zichtbaar. Niet door er een extra vragenlijst over cultuur naast te leggen, maar door het controlframework te analyseren en de beheerscultuur te onderzoeken en te beoordelen in welke mate deze congruent zijn. Dat deze beweging nodig is, is inmiddels ook expliciet terug te zien in de ontwikkeling van het vak. Het IIA heeft in het kader van de Global Internal Audit Standards een Topical Requirement voor Organizational Behavior gepubliceerd. Organisatiegedrag is niet langer een vage bijlage bij ‘culture’, maar een te auditen risicodomein. Slecht uitgelijnd gedrag kan tot slechte uitkomsten leiden, zelfs als de intenties goed zijn, en vraagt daarom om governance-, risk- en controlprocessen die je net zo serieus beoordeelt als andere risico’s. Het Topical Requirement biedt een minimum-baseline. Het vraagt dat auditors op drie niveaus kijken: governance, risk management en controls rondom organisatiegedrag. Kijk je naar de governance-eisen, dan gaat het onder meer om de rol van board en senior management: is er heldere accountability voor gedragsverwachtingen, en bestaan er processen om alignment tussen gedragsinzichten en organisatiedoelen te monitoren en bij te sturen. Dat is precies waar Behavioral Auditing 2.0 antwoord op geeft. Niet door te vragen of “tone at the top” ergens in een code staat, maar door te onderzoeken welk gedrag daadwerkelijk wordt beloond, welke dilemma’s managers in het echt tegenkomen, en hoe besluitvorming, aanspreekbaarheid en voorbeeldgedrag uitpakken in de operatie. Op risk managementniveau vraagt het IIA onder meer of de organisatie een aanpak heeft om gedragsrisico’s te managen, of monitoring van organisatiegedrag adequaat en tijdig is, of gaps tussen verwacht en daadwerkelijk gedrag (incl. root causes) consequent worden gecommuniceerd. Ook hier sluit Behavioral Auditing 2.0 naadloos aan, juist omdat het vertrekpunt niet is “wat is het gewenste gedrag?”, maar “wat gebeurt er nu, en welke aannames sturen dat?” En op het niveau van controls vraagt het IIA dat organisaties processen hebben om risicovolle gedragspatronen te identificeren en te mitigeren, dat er een duidelijke toon en communicatie over verwacht gedrag is, dat er meld- en escalatiemechanismen bestaan met bescherming, dat incentives en consequenties aligned zijn met doelen, dat issue management bestaat om misaligned gedrag te corrigeren en te escaleren en dat training, onboarding en talentprocessen gedragsverwachtingen ondersteunen. Met andere woorden: gedrag moet niet alleen “besproken” worden, het moet ontworpen worden in de manier waarop je mensen aanneemt, beoordeelt, beloont, corrigeert en beschermt. Hier wordt de waarde van Behavioral Auditing 2.0 zichtbaar: het maakt dit hele pakket toetsbaar, zonder te vervallen in vaagheid. Het helpt auditors om niet te blijven hangen in algemene cultuurwoorden, maar om scherp te kijken naar de consistentie tussen het controlframework en cultuur. De kernboodschap is daarom: in control zijn is niet het hebben van maatregelen, maar het hebben van maatregelen die passen bij de cultuur, of het ontwikkelen van een cultuur die de maatregelen kan dragen. Behavioral Auditing 2.0 brengt die twee werelden bij elkaar. Het legt bloot waar je controlframework en je beheerscultuur elkaar versterken, en waar ze elkaar ondermijnen. En precies daarin geeft het concreet invulling aan het Topical Requirement van het IIA: het maakt organisatiegedrag auditbaar, bespreekbaar en verbeterbaar, met dezelfde professionaliteit die we gewend zijn bij andere risicodomeinen. Wie dat eenmaal ziet, gaat anders kijken naar “de oplossing”. Niet automatisch meer controls toevoegen, maar eerst begrijpen wat er gebeurt. Soms blijkt dat je cultuur best volwassen is, maar dat je systeem nog in een wantrouwmodus staat. En soms blijkt dat je systeem prima is, maar dat je cultuur niet veilig genoeg is om het systeem te laten werken. En misschien is dat wel de grootste winst van Behavioral Auditing 2.0: het brengt beheersing terug naar waar het uiteindelijk altijd over gaat. Niet over papier, maar over keuzes. Niet over regels, maar over gedrag. Niet over hoe het hoort, maar over hoe het werkt. Hoe Ferocia gedrag en cultuur binnen jouw organisatie versterkt Wij ondersteunen organisaties op drie manieren: 1. Opleiding en training We leiden internal auditors, controlllers en risicomanagers op tot echte professionals die zelfstandig onderzoek kunnen uitvoeren naar gedrag en cultuur. Denk aan onze postbacheloropleiding Gedrag- en cultuuronderzoek voor financials. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een behavioral audit? Wij leveren ervaren auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe internal auditor die gespecialiseerd is in gedrag en cultuur om je team te versterken? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Jobboard 24 tot 32 uur per week Vacature NIEUW Functionaris Gegevensbescherming Universiteit Utrecht Per direct Utrecht / Hybride € 91.400,35 tot € 110.938,01 per jaar Bekijk 32 tot 36 uur per week Vacature NIEUW Senior business controller Vluchtelingenwerk Nederland Per direct Amsterdam / Hybride € 59.904,30 tot € 98.097,66 per jaar Bekijk 32 tot 40 uur per week Vacature Auditor Avans Hogeschool Per direct Tilburg / Hybride € 76.595,95 tot € 100.174,45 per jaar Bekijk 32 tot 40 uur per week Vacature Manager internal audit CMIS Group Per direct Amsterdam / Hybride € 64.800,- tot € 90.720,- per jaar Bekijk 36 tot 40 uur per week Vacature INGEVULD Financieel manager Plaza Foods Per direct Nijmegen €79.920,- tot €93.240,- per jaar Bekijk 32 tot 40 uur per week Vacature INGEVULD | Kandidaat gevonden in 17 dagen (Senior) internal auditor De Goudse Per direct Gouda / Hybride € 63.666,70 tot € 100.239,59 per jaar Bekijk 40 uur per week Vacature INGEVULD Partner/Director Toonaangevend consultancykantoor Per direct Randstad / Hybride € 9.000 tot € 14.500 per maand Bekijk 32 tot 36 uur per week Vacature INGEVULD | Kandidaat gevonden in 1 dag Internal auditor (CAE) Staedion Per direct Den Haag / Hybride € 80.843,44 tot € 115.550,32 per jaar Bekijk 32 tot 36 uur per week Vacature INGEVULD | Kandidaat gevonden in 17 dagen Coördinator Financiële administratie VluchtelingenWerk Nederland Per direct Amsterdam / Hybride € 57.404,12 tot € 92.205,93 per jaar Bekijk 32 tot 40 uur per week Vacature INGEVULD | Kandidaat gevonden in 55 dagen Lead Risk monitoring Bovemij Per direct Nijmegen / Hybride € 60.028,- tot € 104.700,- per jaar Bekijk 32 tot 40 uur per week Vacature INGEVULD | Kandidaat gevonden in 2 dagen Risk officer Bovemij Per direct Nijmegen / Hybride € 60.028,- tot € 104.700,- per jaar Bekijk 36 tot 40 uur per week Vacature INGEVULD | Kandidaat gevonden in 41 dagen Risk monitoring specialist Bovemij Per direct Nijmegen / Hybride € 51.652,- tot € 87.948,- per jaar Bekijk

Wat is internal auditing? Ontdek hoe internal auditing bijdraagt aan risicobeheersing, procesverbetering en strategische ondersteuning van organisaties. Internal auditing In deze blog gaan we in op het begrip internal auditing. Wat is het, hoe is het vakgebied ontstaan, waarom is het belangrijk voor organisaties en welke specialisaties zijn er binnen internal auditing? Voordat we hierop ingaan, gaan we eerst de term auditing bespreken en leggen we het verschil uit tussen extern en intern. Wat is auditing? Bij auditing denken veel mensen meteen aan het controleren van de boeken, het afvinken van lijstjes of het naleven van regels. Maar auditing is veel breder en waardevoller dan dat. Het is een vak dat steeds belangrijker wordt in een wereld vol risico’s, complexiteit en verandering. Auditing is toetsend onderzoek waarbij de werkelijk situatie wordt afgezet tegen een vooraf vastgestelde norm, wat resulteert in een oordeel. Audits worden systematisch, objectief en onafhankelijk uitgevoerd en de onderwerpen die ge-audit kunnen worden zijn eindeloos. Denk hierbij aan doelrealisatie, processen, systemen, wet- en regelgeving en gedragingen in een organisatie. Het doel is om te beoordelen of deze beheerst verlopen, voldoen aan normen of wet- en regelgeving en/of ze bijdragen aan het realiseren van organisatiedoelen. Maar auditing gaat verder dan controleren alleen. Het is ook een manier om organisaties te helpen verbeteren. De auditor is niet alleen de politieagent van de organisatie, maar zeker ook een objectieve en onafhankelijke expert die inzicht biedt, risico’s zichtbaar maakt en adviezen geeft die bijdragen aan het versterken van het lerend vermogen van de organisatie. Een goede audit is dus zowel toetsend als lerend. Het geeft duidelijkheid over wat er goed gaat, wat beter kan en waar risico’s liggen. External versus internal auditing Binnen het vakgebied auditing bestaan verschillende specialisaties die grofweg op de delen zijn in extern en intern. Afhankelijk ‘voor wie’ de audit wordt uitgevoerd bepaald in belangrijke mate in welke categorie deze valt. Bijvoorbeeld Financial auditing. Financial auditing, meestal uitgevoerd door een (externe) accountant, is de bekendste vorm van auditing en richt zich op de financiële verslaggeving. De financial auditor controleert of de jaarrekening een “getrouw beeld” geeft van de financiële situatie van een organisatie. Deze audits zijn vooral van belang voor externe stakeholders zoals aandeelhouders, toezichthouders en investeerders. Oftewel het maatschappelijke verkeer. Financial audits worden dan ook meestal door een externe auditor uitgevoerd. Hoewel dit type audit wettelijk verplicht is voor bepaalde organisaties, is de impact breder: het geeft vertrouwen in de financiële integriteit van de organisatie en stimuleert transparantie. Internal auditing is het vakgebied dat organisaties helpt grip te krijgen op risico’s, processen en IT-systemen. Internal auditors beoordelen onafhankelijk de kwaliteit van interne beheersmaatregelen en geven op basis daarvan onderbouwd advies over mogelijke verbeteringen. Ze onderzoeken of processen effectief verlopen, of risico’s adequaat worden beheerst en of wet- en regelgeving wordt nageleefd. De internal auditor is werkzaam in de organisatie en fungeert als 3de lijn binnen het three lines model. De internal auditor is veel meer dan een controleur, het is een strategische sparringpartner van bestuur en management. Vanuit een onafhankelijke positie stelt de auditor kritische vragen, benoemt blinde vlekken en helpt de organisatie beter voorbereid te zijn op interne en externe ontwikkelingen. Door structuur aan te brengen in het beheersen van risico’s en het verbeteren van processen, draagt internal auditing bij aan betere besluitvorming, verantwoordingsinformatie en structurele verbetering van prestaties. De oorsprong van internal auditing Het vakgebied van internal auditing zoals we dat vandaag de dag kennen is het resultaat van een lange evolutie. Oorspronkelijk ging het daarbij vooral om het controleren van financiële transacties. Kloppen de boeken? Wordt er niet gefraudeerd? Zijn de kasstromen zuiver? Het was een periode waarin vertrouwen hand in hand moest gaan met controle. En waar complexiteit in bedrijfsvoering toenam, nam ook de behoefte toe aan systematische interne controle. De wortels van internal auditing liggen dan ook in de administratie. In de negentiende eeuw, toen organisaties groeiden en multinationals ontstonden, werd het simpelweg te risicovol om alleen op externe accountants te vertrouwen. Men besefte: we hebben mensen nodig binnen de organisatie die meekijken, meedenken en controleren. Van controle naar aanvullende zekerheid over de kwaliteit van de beheersing De eerste internal auditors waren dus vooral bezig met het verifiëren van cijfers en het opsporen van fouten of fraude. Maar naarmate organisaties complexer werden, groeide het besef dat fouten niet alleen in de boekhouding ontstaan maar in processen, cultuur, systemen en gedrag. Hier begon de verschuiving van klassieke controle naar bredere ‘ assurance’ : zekerheid bieden over de kwaliteit van de risicobeheersing in processen en systemen. De internal auditor ging niet alleen kijken of iets klopt, maar vooral ook naar de kwaliteit van de beheersing en waarom iets niet werkt, inclusief hoe de organisatie kan leren en verbeteren. Het vak kreeg daarmee een fundamenteel andere insteek: van terugkijken naar vooruitkijken. Van financieel gericht naar organisatiebreed. De oprichting van het Institute of Internal Auditors (IIA) in 1941 markeerde een kantelpunt. Daarmee ontstond een beroepsorganisatie die het vak ging professionaliseren, standaarden ontwikkelde en het belang van onafhankelijkheid en objectiviteit benadrukte. Internal auditing werd een echt vak met eigen regels, normen en waarden. Het IIA stelde internal auditing officieel op de kaart als een onafhankelijk en gespecialiseerd beroep, los van de klassieke administratief-controlefuncties en de externe accountant. Dit gebeurde door: Het ontwikkelen van internationale standaarden en een ethische code, waardoor internal auditors een duidelijke professionele identiteit kregen. Het bieden van opleiding, certificering en normstelling, wat leidde tot een uniforme kwaliteitsbasis en verdere professionalisering van het vakgebied. De stimulans tot kennisdeling, praktijkontwikkeling en netwerking onder professionals, waarmee internal auditing zijn eigen positie veroverde binnen bedrijfsvoering en governance. Het Instituut van Internal Auditors Nederland (IIA Nederland) is officieel opgericht op 19 juni 1997 waarna ook in Nederland het vakgebied stevig op de kaart is gezet. Waarom is internal auditing belangrijk? Internal auditing is belangrijk omdat het organisaties helpt om grip te houden op hun interne processen, risico’s en complianceverplichtingen in een steeds complexere wereld. Of het nu gaat om het naleven van wet- en regelgeving, het voorkomen van fraude, het verbeteren van samenwerking tussen afdelingen of het vergroten van operationele efficiëntie, internal auditing speelt hierin een belangrijke rol. In tegenstelling tot externe auditing, waarbij de nadruk ligt op het controleren van financiële rapportages , richt internal auditing zich op het verbeteren van processen en het versterken van interne beheersing. De toegevoegde waarde zit niet alleen in het signaleren van risico’s of tekortkomingen, maar juist in het proactief adviseren over verbetermaatregelen . Dit maakt internal auditors waardevolle sparringpartners voor bestuurders en managers. Internal auditing vergroot ook het vertrouwen van stakeholders. Wanneer een organisatie intern laat zien dat zij haar processen kritisch en gestructureerd beoordeelt, straalt dat betrouwbaarheid uit naar klanten, toezichthouders en investeerders. Het draagt ook bij aan transparantie en goed bestuur. Kortom: internal auditing is geen verplichting, maar een strategisch instrument om als organisatie weerbaarder, efficiënter en toekomstbestendiger te worden. In een tijd waarin risico’s snel veranderen en informatie steeds belangrijker wordt, biedt internal auditing het overzicht, de structuur en de inzichten die nodig zijn om echt in control te zijn. Twee specialisaties binnen internal auditing Binnen het vakgebied van internal auditing zijn twee specialisaties toonaangevend: operational auditing en IT-auditing . Beide richten zich op het versterken van interne beheersing, maar doen dat vanuit een ander perspectief. Operational auditing is gericht op het beoordelen van bedrijfsprocessen en de effectiviteit van beheersmaatregelen. De focus ligt op de vraag of processen efficiënt, effectief en risicobewust zijn ingericht. Een operational auditor onderzoekt niet alleen of bestaande werkwijzen aansluiten bij organisatiedoelen, maar adviseert ook over mogelijke verbeteringen. Denk aan het optimaliseren van de samenwerking tussen afdelingen, het terugdringen van fouten of verspilling, en het versterken van interne controles. Lees meer over operational auditing in deze blog. IT-auditing daarentegen zoomt in op de digitale kant van de organisatie. IT-auditors beoordelen of IT-systemen betrouwbaar, veilig en goed beheerd zijn. Daarbij onderzoeken zij onder meer of systemen beschikbaar zijn wanneer nodig, of data juist en volledig is (integriteit), en of gevoelige informatie goed wordt beschermd (vertrouwelijkheid). Ook toets je als IT-auditor of de organisatie voldoet aan relevante wet- en regelgeving, zoals de AVG of sectorspecifieke normen. Lees meer over IT-auditing in deze blog. Beide specialisaties binnen internal auditing leveren een waardevolle bijdrage aan het inzicht in risico’s en de kwaliteit van beheersing, en vormen samen een krachtige combinatie voor organisaties die in control willen zijn. Internal auditing als strategisch instrument Internal auditing is allang niet meer alleen een controlefunctie. Steeds meer organisaties benutten internal auditing als een strategisch instrument dat bijdraagt aan beter bestuur, verantwoording en besluitvorming. Waar internal auditing vroeger vooral werd gezien als een manier om fouten of tekortkomingen op te sporen, ligt de nadruk vandaag de dag op het creëren van waarde en het ondersteunen van strategische doelstellingen. Een internal auditor kijkt niet alleen naar de vraag of processen en risico’s goed zijn ingericht, maar ook of ze bijdragen aan de missie en visie van de organisatie. Vanuit een onafhankelijke positie fungeert de auditor als een kritische en constructieve sparringpartner voor het bestuur en management. Door de vinger op de zere plek te leggen én met oplossingen te komen, helpt internal auditing om strategische risico’s beter te beheersen en kansen beter te benutten. Daarbij levert internal auditing ook betrouwbare informatie op voor belangrijke stakeholders zoals de raad van bestuur, toezichthouders of externe accountants. Goed onderbouwde auditbevindingen zorgen voor meer transparantie, betere besluitvorming en tijdige bijsturing. In een tijd van snelle technologische ontwikkelingen, toenemende complexiteit en strengere regelgeving biedt internal auditing organisaties het overzicht, de structuur en het inzicht dat nodig is om proactief, weerbaar en toekomstgericht te opereren. Juist daarom kiezen steeds meer organisaties ervoor om hun internal auditfunctie te versterken en nauwer te koppelen aan strategische thema’s zoals digitale transformatie, ESG-risico’s of ketenverantwoordelijkheid. Hoe Ferocia kan jou helpen met internal auditing? Bij Ferocia begrijpen we dat internal auditing meer is dan een controlefunctie, het is een strategisch onderdeel van goed bestuur en risicobeheersing. Daarom ondersteunen wij organisaties op meerdere manieren bij het versterken van hun auditfunctie. Heb je tijdelijk behoefte aan capaciteit, specifieke expertise of inhoudelijk advies? Ferocia biedt zowel interim auditors als consultancy op maat. Of het nu gaat om tijdelijke vervanging, ondersteuning bij piekbelasting, specialistische audits (bijvoorbeeld op het gebied van IT of ESG) of strategisch advies over de inrichting van de internal auditafdeling, wij denken mee en leveren vakinhoudelijke versterking die past bij jouw organisatie. Daarnaast bieden we opleidingen en trainingen aan voor internal auditors en teams. Van volledige opleidingen tot vakinhoudelijke verdieping, zodat auditors sterker in hun rol staan en beter kunnen bijdragen aan strategische vraagstukken. Ferocia helpt ook bij de werving en selectie van internal auditors — professionals die niet alleen inhoudelijk sterk zijn, maar ook passen bij de cultuur en ambitie van jouw organisatie. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Waarom blijven dezelfde fouten terugkomen in organisaties? In deze blog lees je hoe internal auditing kan uitgroeien van controleur tot aanjager van leren en verbeteren. Ontdek hoe je met focus op gedrag, patronen en dialoog het lerend vermogen écht versterkt. Klik door voor meer informatie. Internal auditing en het lerend vermogen Knop Internal audit verandert snel. Auditmethodiek 2.0 laat zien hoe u met een gestructureerde, AI-ondersteunde aanpak relevantere en impactvollere audits uitvoert. Van voorbereiding tot rapportage. Ontdek hoe referentiemodellen, datamatrices en de AI-agents uw audits versnellen én de organisatie echt in beweging brengen. Auditmethodiek 2.0 Knop Personeelstekort, piek in audits of een spannend verandertraject? Met een interim auditor van Ferocia haal je geen ‘opvulling’ binnen, maar een ervaren professional die vanaf dag één productief is, rust brengt én je auditfunctie versterkt. Lees in de blog waarom dit een slimme, strategische keuze is. Interim auditor inhuren via Ferocia Knop Behavioral Auditing 2.0 legt de link tussen beheerscultuur en controlframework bloot met AI-ondersteunde gedragsanalyse. Sneller, dieper en concreter inzicht in hoe gedrag risicobeheersing écht beïnvloedt – volledig in lijn met de IIA-standaarden. Behavioral Auditing 2.0 Knop Operational auditing geeft organisaties grip in een complexe wereld. In deze blog lees je hoe de operational auditor uitgroeit tot katalysator voor leren en verandering met oog voor digitalisering, cultuur, agile werken én transparantie. Ontdek waarom geen toekomstbestendige organisatie zonder kan. Operational auditing en jouw organisatie Knop Hoe blijft jouw auditfunctie relevant in een snel veranderende wereld? Agile auditing draait audits om: kortcyclisch, samen met de business en gericht op échte impact in plaats van alleen een eindrapport. Ontdek in deze blog hoe jij van controleur uitgroeit tot navigator van de toekomst. Agile auditing Knop Steeds meer organisaties besteden hun internal audit uit; niet uit nood, maar als bewuste strategische keuze. In deze blog lees je hoe outsourcing zorgt voor flexibele capaciteit, specialistische kennis en een frisse kwaliteitsimpuls, én wanneer het wél of juist niet past. Klik door om verder te lezen. Outsourcing auditafdeling Knop IT-auditing is veel meer dan vinkjes zetten. In deze blog lees je hoe de IT-auditor zorgt voor veilige systemen, naleving van AVG/NIS2/DORA en grip op digitale risico’s. Ontdek de belangrijkste inzichten voor een sterke IT-audit én hoe Ferocia je hierbij kan helpen. IT-auditing Knop Wil je dat jouw auditrapport wél leidt tot actie? In deze blog ontdek je hoe je rapporten schrijft die beweging creëren: helder, krachtig, visueel en gericht op eigenaarschap in de 1e lijn. Geen papieren eindproduct, maar een interventie die echt verandering start. Klik door en maak jouw rapporten impactvoller dan ooit. Auditrapporten die wel leiden tot actie Knop Sta jij als internal auditfunctie voor een (aanstaande) kwaliteitstoetsing? Ferocia helpt je van readiness assessment tot en met onafhankelijke externe toetsing volgens de GIAS. Ontdek hoe je van ‘spannend examen’ naar kans op groei en professionalisering gaat. Kwaliteitstoetsing auditafdelingen Knop

Beheers risico’s effectief met de cursus risicomanagement van Ferocia. Ontwikkel direct toepasbare kennis en vergroot je impact in je organisatie! Cursus Risicomanagement Duur Studiekosten PE-punten 7 dagdelen € 2.195,- 30 Inschrijven Cursus Risicomanagement Veranderingen, onzekerheden en toenemende verwachtingen van toezichthouders en stakeholders maken risicomanagement belangrijker dan ooit. Maar effectief risicomanagement gaat verder dan het inrichten van een afdeling of het opstellen van een risicoanalyse. Het vraagt om een organisatiebrede aanpak waarbij risicodenken is ingebed in de cultuur en structuur. In de cursus Risicomanagement leer je in zeven dagdelen hoe je risicomanagement inricht, optimaliseert en verankert binnen jouw organisatie. Theorie en praktijk zijn naadloos met elkaar verbonden, Je ontwikkelt tijdens de cursus een risico/controlmatrix en testplan voor je eigen organisatie, ontvangt feedback van mededeelnemers en docenten en oefent met concrete vaardigheden zoals het faciliteren van risk control self assessments. Wat leer je tijdens de cursus Risicomanagement? Na het volgen van deze cursus heb je een stevig fundament in risicomanagement. Je leert het belang van risicomanagement overtuigend te brengen, belangrijke controlmodellen toe te passen en een risico/controlmatrix te ontwikkelen. Daarnaast stel je een testplan op voor zowel ‘first line’ als ‘second line monitoring’ en begeleid je risk control self assessments. Ook train je gesprekstechnieken die je helpen draagvlak te creëren voor risicobeheersing en de opvolging van acties. Tijdens de cursus komen onder meer corporate governance, de risicomanagementcyclus, risicofilosofie en -beleid, controlmodellen, monitoring en control self assessments aan bod. En dit altijd met een sterke koppeling naar jouw praktijk. Waarom kiezen voor de cursus Risicomanagement? Direct toepasbaar: je werkt tijdens de cursus aan een concreet risicoanalyse-instrument voor jouw organisatie. Multidisciplinaire opzet: leer van en met professionals uit diverse sectoren. Doordachte leermethodiek: innovatieve e-learnings, praktijkopdrachten, rollenspellen en feedbackmomenten. Flexibele deelname: lesdagen zijn fysiek en digitaal bij te wonen via onze mixed classrooms. Compleet leereffect: van theoretisch inzicht tot praktische toepassing, variërend van strategieontwikkeling tot gespreksvoering. Waarom kiezen voor Ferocia? Ferocia is expert in risicomanagement, audit en control. Onze kracht ligt in het vertalen van complexe theorie naar praktische toepassingen die direct waarde toevoegen binnen jouw organisatie. Onze docenten zijn verbonden aan toonaangevende hogescholen en universiteiten en brengen hun praktijkervaring mee in de opleiding. We werken volgens het principe van inspiratie, co-creatie en prestatie, zodat je leert in een omgeving waar kennisdeling, samenwerking en persoonlijke groei centraal staan. Na afloop beschik je niet alleen over waardevolle inzichten, maar ook over concrete instrumenten en vaardigheden om daadwerkelijk impact te maken op risicobeheersing. Wil jij je ontwikkelen tot een risicomanager die echt impact maakt op de beheersing van risico’s binnen jouw organisatie? Schrijf je dan nu in voor de cursus Risicomanagement en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker, proceseigenaar, (operational, IT- of financial) auditor of accountant, en je wilt een stevige bijdrage leveren aan het optimaliseren van risicomanagement binnen je organisatie. De tijdsinvestering bedraagt ongeveer 40 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze cursus werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de cursus ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze cursus via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de cursus ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 30 PE-punten. De studiekosten bedragen € 2.195,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Bram Schade Risk officer "De cursus Risicomanagement is een echte aanrader voor iedereen die het vak van risicomanagement echt wil begrijpen!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Opleiding risicomanagement Iedere organisatie, groot of klein heeft ermee te maken: risico’s. Of het nu gaat om cyberdreigingen, veranderende wetgeving,... 26 aug 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

De wet DBA 2025: voorkom risico’s met de bewezen aanpak van Ferocia. Ontdek hoe je zzp of loondienst kiest op basis van feiten en met een onderbouwde aanpak. Alle blogs Interim en consultancy Wet DBA 2025: zekerheid zonder frictie Sinds 1 januari 2025 handhaaft de Belastingdienst de Wet DBA actief. Geen papieren werkelijkheid meer, maar een beoordeling van de praktijk: hoe is het werk georganiseerd, hoeveel sturing is er, hoe is de professional ingebed in het team? Voor iedereen die in audit, control, risk en compliance met zelfstandigen werkt, is dat merkbaar. De vraag is niet langer of je een modelovereenkomst kunt overleggen, maar of de feiten op de werkvloer passen bij zelfstandigheid. Dat klinkt streng, maar het biedt ook helderheid. Wie zijn keuzes zorgvuldig onderbouwt en vastlegt, hoeft niet te schrikken van een controle. Wat de Wet DBA in de praktijk vraagt De kern van de Wet DBA is simpel: wie feitelijk als werknemer werkt, hoort in loondienst. Het label op het contract is minder relevant dan de manier waarop de samenwerking is ingericht. Daarom kijkt de Belastingdienst naar onder andere naar gezag, inbedding, vervangbaarheid en ondernemersrisico. Wie dagelijks meedraait in een vast rooster, werkt met bedrijfsapparatuur, inhoudelijk wordt aangestuurd en zelf geen enkel ondernemingsrisico draagt, werkt in de ogen van de wet waarschijnlijk niet zelfstandig. Andersom geldt ook: wie resultaatverplichtingen heeft, eigen keuzes maakt, zich kan laten vervangen, zich presenteert als een ondernemer en zichtbare ondernemersrisico’s draagt, staat doorgaans steviger als zelfstandige. Daartussen zit een groot grijs gebied. Van grijs gebied naar heldere keuze Veel organisaties herkennen het “grijze gebied” tussen zzp en loondienst. Het verdwijnt niet door een extra clausule. Het verdwijnt als je de inhoud van het werk en de inrichting van de samenwerking op één lijn brengt met de gekozen contractvorm. Dat vraagt om een heldere afweging met concrete argumenten, consequente uitvoering in de praktijk en een dossier dat het verhaal vertelt. Teams gaan hierdoor beter functioneren, omdat het voor professionals eerlijker en volwassener voelt. Voor opdrachtgevers levert het rust en voorspelbaarheid op. Ferocia & wet DBA Bij Ferocia vertalen we de Wet DBA naar een helder, toetsbaar afwegingsproces: van intake en analyse tot dossiervorming en contractering. Dat proces is tijdens een bedrijfsbezoek door de Belastingdienst volledig doorgenomen en passend bevonden bij hun toetsingskader. Dat geeft rust. Opdrachtgevers behouden grip op capaciteit en compliance, zzp’ers leveren met vakmanschap waarde terwijl het DBA-risico wordt geminimaliseerd, en wij borgen structureel kwaliteit en zorgvuldigheid. Per opdracht bepalen we op basis van doel en aard van het werk of inzet via zzp of loondienst passend is; denk aan afgebakend resultaat versus structurele capaciteit, ervaring en inzet van kennis en kunde, wijze van belonen, ondernemerschap in presentatie, sturingsverhoudingen, kwaliteitsbewaking en ruimte om werkzaamheden buiten scope te weigeren. Die uitkomst bepaalt niet alleen de contractvorm, maar ook de praktische inrichting van de samenwerking, zodat een nette modelovereenkomst niet alsnog onderuitgaat in de dagelijkse realiteit. Hoe Ferocia afweegt en borgt Omdat we zowel met zzp’ers als met professionals in loondienst werken, is een robuust en transparant proces essentieel. Bij iedere nieuwe opdracht voeren we een DBA-scan uit. We toetsen op de bekende pijlers: gezagsverhouding, inbedding in de organisatie, vervangbaarheid, mate van ondernemersrisico, duur en exclusiviteit van de inzet. Dat doen we in gewone taal en met voorbeelden, zodat iedereen begrijpt wat de uitkomst betekent. De overwegingen leggen we vast in een afwegingsdocument. Dat document bevat de argumenten vóór en tegen zelfstandigheid, beschrijft de gekozen maatregelen om risico’s te beperken en maakt zichtbaar waarom we samen voor zzp of loondienst kiezen. Hiermee ontstaat een auditabel dossier dat ook maanden later nog uitlegt waarom een keuze logisch en juist was. Daarbij checken we elke drie maanden of de uitgangspunten ook daadwerkelijk nog zo in de praktijk worden toegepast. Valt de keuze op zzp, dan vertalen we de afweging naar de praktijk. We formuleren resultaten in plaats van taken, plannen reviewmomenten in plaats van dagelijkse sturing, maken duidelijke afspraken over bereikbaarheid en aanwezigheid, en bevorderen waar mogelijk het gebruik van eigen middelen. Zo blijft de samenwerking wendbaar en blijft het karakter van zelfstandigheid overeind. Valt de keuze op loondienst, dan schakelen we zonder ruis over en zorgen we dat de professional moeiteloos door kan werken, met behoud van motivatie en waarde voor de opdrachtgever. Onze tijdelijke loondienstverband oplossing: zekerheid zonder verlies van waarde Soms is loondienst eenvoudigweg de juiste route. In die situaties bieden we een heldere loondienstconstructie die zekerheid biedt zonder de professional tekort te doen. De arbeidsovereenkomst loopt via Ferocia onder de ABU-cao; pensioenopbouw vindt plaats bij StiPP. Het beloningsmodel is transparant: 85% van het tarief wordt besteed aan de professional en 15% bestemd voor Ferocia. Hiermee betalen wij eventuele begeleiding, loonadministratie en een stukje marge. En we regelen de praktische zaken, van vergoedingen tot tooling zodat iedereen zich kan richten op de inhoud. Voor opdrachtgevers betekent dit continuïteit, compliance en één aanspreekpunt. Voor professionals betekent het, erkenning van hun waarde, met de zekerheid die past bij de feitelijke werkrelatie. Wat dit oplevert voor opdrachtgevers De DBA-vraag is geen juridisch voetnootje, maar raakt aan risicomanagement en bedrijfsvoering. Onzekere constructies kosten tijd en energie en kunnen leiden tot naheffingen, premies en reputatierisico. Door aan de voorkant goed te wegen, vast te leggen en uit te voeren, voorkom je verrassingen. Organisaties die met Ferocia werken, krijgen grip op de volledige keten: van intake en risicoanalyse tot contractering en dossiervorming. Bestaande inhuur kunnen we herbeoordelen, zodat zichtbaar wordt waar zelfstandigheid goed gaat en waar bijsturing nodig is. Waar nodig begeleiden we de overstap naar loondienst zonder kennisverlies of frictie met het team. Zo blijft de operatie draaien, terwijl de compliance op orde is. Belangrijk is dat we dit samen doen. Het is geen trucje dat je als bemiddelaar “even” voor een opdrachtgever oplost. Het gaat om gedrag in de praktijk. Daarom betrekken we opdrachtgevers, teamleads en professionals bij de inrichting van de samenwerking. We spreken af wat we doen en we doen wat we afspreken. Dat klinkt vanzelfsprekend, maar het is precies waardoor een dossier klopt wanneer er later vragen over komen. Wat dit betekent voor zzp’ers De meeste zelfstandigen in ons vak kiezen voor het zzp-schap uit overtuiging. Ze willen autonomie in aanpak, variatie in opdrachten en een duidelijke link tussen resultaat en beloning. Dat kan uitstekend binnen de huidige regels, mits je het consequent en eerlijk organiseert. Bij Ferocia start dat met een heldere opdrachtformulering: wat is het resultaat, hoe toets je kwaliteit en welke vrijheid is er in de uitvoering? Vervolgens borgen we in de dagelijkse praktijk dat die vrijheid er ook echt is. Denk aan eigen planning, het voorkomen van standaard roosters, het terugdringen van micromanagement en het stimuleren van werken met eigen middelen. Waar dat niet kan, bijvoorbeeld bij strenge security-eisen leggen we uit waarom, en zoeken we naar alternatieven die het zelfstandige karakter helpen behouden. Transparantie richting opdrachtgever hoort daarbij. We leggen uit dat zelfstandigheid iets anders is dan “geen gedoe met HR”, maar dat het vraagt om anders organiseren. In ruil daarvoor krijgt de opdrachtgever vaak meer snelheid en betere resultaten, omdat professionals eigenaarschap voelen en verantwoordelijkheid nemen voor het afgesproken resultaat. En als de feiten bij aanvang of gaandeweg toch richting loondienst wijzen, dan is er geen drama, maar een duidelijke route naar een passende arbeidsovereenkomst. Zo blijft de samenwerking stabiel, eerlijk en toekomstbestendig. Conclusie en uitnodiging De handhaving van de Wet DBA is geen belemmering, maar een kans om samenwerking professioneel en toekomstbestendig te organiseren. Echte zelfstandigheid blijft mogelijk, wanneer je keuzes onderbouwt en de praktijk daarop inricht. En als loondienst de juiste weg is, dan regel je dat met zekerheid, transparantie en behoud van waarde. Ferocia helpt opdrachtgevers en zzp’ers bij die afweging, borgt de gekozen route en biedt een passende oplossing wanneer loondienst nodig is. Dat doen we niet alleen netjes op papier, maar bewezen in de praktijk en bevestigd tijdens het bedrijfsbezoek van de Belastingdienst. Wil je je huidige inzet laten toetsen, twijfel je over de juiste contractvorm of wil je overstappen zonder gedoe? Neem contact op met Ferocia. We wegen mee, we leggen vast en we zorgen dat je morgen met een gerust hart verder werkt. Met duidelijkheid, zekerheid en keuzevrijheid. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Breng IT, risk en governance samen met COBIT 2019. Ontdek hoe dit framework je helpt IT-risico’s te beheersen en je organisatie écht in control te brengen. Alle blogs IT-beheersing Cobit COBIT: het kompas voor IT-governance, risk en control Je herkent het vast. De IT-omgeving van je organisatie wordt elk jaar complexer. Er zijn legacy-systemen, cloudplatformen, ketens met leveranciers, security-eisen, privacywetgeving, DORA, AI-experimenten… En ondertussen verwacht de directie één simpel antwoord: “Zijn we in control?” Voor internal auditors, riskmanagers en controllers is dat geen makkelijke vraag meer. Excel-lijstjes en losse IT-audits zijn een goede basis maar niet voldoende. Je hebt een gemeenschappelijke taal nodig tussen business, IT en bestuur. Precies daar komt COBIT in beeld. In deze blog nemen we COBIT onder de loep. Wat is het, waarom is COBIT 2019 zo belangrijk, en hoe helpt het jou concreet in je audit- en risicopraktijk? Wat is COBIT? COBIT staat voor Control Objectives for Information and Related Technologies en is een internationaal erkend raamwerk van ISACA (de beroepsvereniging van IT-auditors) voor de governance en het management van informatie en technologie. Het is geen technisch handboek voor IT, maar een overkoepelend raamwerk dat helpt om IT-activiteiten te verbinden met organisatiedoelen, risico’s en compliance-eisen. Sinds de eerste versie in de jaren ’90 is COBIT flink geëvolueerd. De huidige versie, COBIT 2019 , bouwt voort op COBIT 5 en scherpt de focus op enterprise governance of information & technology (EGIT). Waar COBIT 5 vijf kernprincipes en 37 processen kende, werkt COBIT 2019 met zes governanceprincipes en een model van 40 governance- en managementdoelstellingen , verdeeld over vijf domeinen. Belangrijk om te benadrukken: COBIT is niet bedoeld als “IT-trucje” dat je bij de ICT-afdeling parkeert. Het framework richt zich nadrukkelijk op het speelveld tussen bestuur, business en IT. Het helpt bestuurders, lijnmanagement, IT, risk, security én internal audit om vanuit hetzelfde referentiekader naar IT-risico’s, prestaties en controls te kijken. COBIT als fundament voor IT-governance De gedachte achter COBIT is simpel en tegelijk krachtig: organisaties zijn steeds afhankelijker van informatie en technologie, dus moet de governance van IT integraal onderdeel zijn van corporate governance. In plaats van “IT beheert IT en de rest kijkt toe” zegt COBIT: informatie en technologie worden bestuurd vanuit dezelfde principes als de rest van de organisatie. Denk aan helder eigenaarschap, duidelijke doelen, risicobereidheid, prestatiemeting en continue verbetering. COBIT 2019 maakt dit concreet via een core model met 40 governance- en managementdoelstellingen. Deze zijn ondergebracht in vijf domeinen met elk een eigen focus: Evaluate, Direct and Monitor (EDM) voor governance door bestuur en directie. Align, Plan and Organize (APO) voor strategie, architectuur en organisatie van IT. Build, Acquire and Implement (BAI) voor veranderingen en projecten. Deliver, Service and Support (DSS) voor de dagelijkse dienstverlening en security. Monitor, Evaluate and Assess (MEA) voor monitoring, compliance en assurance. Elke doelstelling is verder uitgewerkt in processen, rollen, informatiestromen, benodigde vaardigheden, policies en onderliggende services en applicaties. Met andere woorden: COBIT beschrijft niet alleen wat er moet gebeuren, maar ook hoe je het governancesysteem kunt vormgeven. Waarom COBIT zo relevant is voor auditors en risk professionals Voor de doelgroep van Ferocia; internal auditors, risk managers, controllers en compliance officers is COBIT in feite een rijk gevulde gereedschapskist. Je krijgt een gestructureerde manier om naar IT-risico’s en beheersing te kijken, die je direct kunt aansluiten aan organisatiedoelen en enterprise risk management. In de praktijk zie je vaak drie problemen terugkomen: IT-risico’s worden versnipperd behandeld, business en IT spreken een andere taal, en auditplannen zijn wel risicogebaseerd, maar niet verankerd in een consistent IT-governancemodel. COBIT helpt op alle drie de punten. Ten eerste biedt het een gemeenschappelijke taal . Als jij het over DSS02 of BAI06 hebt, weet de IT-organisatie precies welke processen en activiteiten je bedoelt. Tegelijk kun je de koppeling leggen met enterprise goals, risk appetite en compliance-eisen, waardoor bestuurders zich herkennen in de taal. Ten tweede ondersteunt COBIT risicogebaseerde prioritering . Via de zogenaamde goals cascade vertaal je organisatiedoelen en risico’s naar alignment goals en vervolgens naar relevante governance- en managementdoelstellingen. Dat maakt het veel eenvoudiger om te onderbouwen waarom je bepaalde IT-processen wél en andere (nog) niet onderzoekt. En ten derde sluit COBIT goed aan bij de rol van de audit- en riskmanager als “schaap met vijf poten”: je combineert kennis van processen, risico’s, IT, governance én gedrag om het lerend vermogen van de organisatie te versterken. De kern van COBIT 2019: principes, doelen en design factors COBIT 2019 introduceert zes governanceprincipes voor een goed ingericht IT-governancesysteem. Dat zijn waardecreatie, risicobeheersing, transparante verantwoordelijkheid, integratie in corporate governance, een holistische aanpak en flexibiliteit. Die principes zijn geen theorie voor op de muur, maar concrete toetsstenen. Als jij een onderzoek doet op IT-outsourcing, cloudgebruik of cyberbeveiliging, kun je de vraag stellen: dragen deze keuzes bij aan waardecreatie, zijn de risico’s aantoonbaar in beeld en past de inrichting bij de rol van IT in onze organisatie? Een belangrijk nieuw element in COBIT 2019 zijn de design factors . Dat zijn factoren als ondernemingsstrategie, risicoprofiel, compliance-eisen, de rol van IT, sourcingmodel en dreigingslandschap, die bepalen hoe je governance-systeem er in jouw context uit moet zien. Voor auditors en riskmanagers is dit herkenbaar: een systeembeheerclub van 20 mensen bij een middelgroot bedrijf vraagt een andere invulling van IT-governance dan een internationaal opererende bank. Met de design factors voorkom je dat COBIT wordt gebruikt als “one size fits all”-checklist. Je ontwerpt een governancesysteem dat proportioneel is én toch stevig genoeg om de risico’s te dragen. COBIT in de audit- en riskpraktijk: van theorie naar veldwerk Hoe ziet dit er nu uit als je met je team bij een organisatie binnenstapt? In grote lijnen kun je drie gebruiksscenario’s onderscheiden. Allereerst kun je COBIT gebruiken als referentiemodel voor specifieke IT-onderzoek. Stel, je voert een onderzoek uit op change management of op de beveiliging van een kritieke applicatie. Via de relevante BAI- of DSS-processen zie je welke activiteiten, rollen, informatiestromen en controls “normaal” zijn om te verwachten. Dat helpt je om je normenkader scherp te krijgen en bevindingen beter te onderbouwen. Ten tweede kun je COBIT inzetten voor een brede beoordeling van IT-governance . Je kijkt dan niet naar één proces, maar naar de samenhang tussen processen. Hoe worden IT-doelen afgeleid van organisatiedoelen? Hoe lopen rapportagelijnen? Welke KPI’s en KRI’s worden gebruikt? Hoe wordt de performance van IT-leveranciers gemonitord? Je bouwt een integraal beeld op van de “besturing van IT”. Het derde scenario is dat je COBIT gebruikt als verbeterraamwerk . Daar komt de performance- en maturiteitscomponent van COBIT 2019 in beeld. Processen kunnen beoordeeld worden op een capabilityniveau van 0 tot 5. In plaats van alleen te concluderen dat iets “onvoldoende” is, kun je laten zien waar een proces nu staat, waar het minimaal zou moeten zitten gegeven het risicoprofiel, en welke concrete verbeterstappen nodig zijn om daar te komen. Die manier van werken past goed bij de rol van de moderne internal auditor en riskmanager: niet alleen controleren of een vinkje gezet kan worden, maar vooral organisaties helpen om doelgericht te groeien in volwassenheid. Koppeling met andere kaders: DORA, ISO, NIST en AI Een veelgehoorde vraag is: “Maar we doen al iets met ISO 27001, NIST CSF of we zijn bezig met DORA. Hebben we COBIT dan echt nog nodig?” Het korte antwoord: COBIT is geen concurrent van deze kaders, maar een paraplu . Waar ISO- en NIST-standaarden diep de inhoud in gaan op bijvoorbeeld informatiebeveiliging, geeft COBIT je het overkoepelende raamwerk waarin al die standaarden een plek krijgen. Ook richting nieuwe thema’s, zoals AI-governance, blijkt COBIT goed bruikbaar. ISACA laat in recente publicaties zien hoe je COBIT-principes en -doelstellingen kunt gebruiken voor het inrichten van verantwoord AI-gebruik, zonder dat je meteen alles opnieuw hoeft uit te vinden. Voor auditors en riskmanagers is dat prettig: je kunt bestaande frameworks, richtlijnen en wetgeving (zoals DORA voor financiële instellingen) koppelen aan concrete COBIT-doelstellingen en zo een geïntegreerd beeld vormen van risico’s en beheersing. Veelgemaakte fouten bij het werken met COBIT Toch gaat het in de praktijk regelmatig mis. Een paar valkuilen komen steeds terug. Een eerste valkuil is dat COBIT wordt behandeld als een starre checklist . Organisaties plakken procesnamen op bestaande activiteiten en verklaren zichzelf vervolgens “COBIT-compliant”. De essentie, namelijk of IT-governance echt bijdraagt aan waardecreatie, risicobeheersing en transparantie blijft dan onderbelicht. Een tweede valkuil is dat COBIT te technisch wordt ingestoken. De discussie belandt dan in de sfeer van tooling en detailprocessen, terwijl bestuurders en lijnmanagers juist behoefte hebben aan inzicht in risico’s, afhankelijkheden, verantwoordelijkheden en impact op organisatiedoelen. Derde valkuil: er wordt wel een prachtig governance-model op papier gezet, maar cultuur en gedrag blijven buiten beschouwing. Meldt men incidenten echt? Neemt het management eigenaarschap voor IT-risico’s? Worden auditbevindingen gebruikt om te leren of alleen om het dossier op orde te krijgen? Als je alleen naar hard controls kijkt, mis je een groot deel van het verhaal, iets wat in de opleidingen en trainingen van Ferocia wel duidelijk naar voren komt. Hoe begin je als organisatie met COBIT? De kracht van COBIT zit niet in dikke rapporten, maar in gesprekken die je ermee kunt voeren. Begin klein. Breng met bestuur, IT en risk een paar vragen in kaart: welke organisatiedoelen leunen het zwaarst op informatie en technologie? Welke risico’s houden jullie wakker? Waar zitten de grootste afhankelijkheden in de keten? Leg daar vervolgens het COBIT-model naast. Welke governance- en managementdoelstellingen zijn in jullie context echt cruciaal? Hoe zijn die nu ingericht? Welke hiaten zie je? Zo wordt COBIT geen theoretisch boekwerk, maar een praktische bril om anders naar je IT-landschap, risico’s en controls te kijken. Voor internal auditors en riskmanagers is COBIT daarmee een manier om je rol te verbreden. Je bent niet alleen meer de specialist die individuele processen controleert, maar ook de sparringpartner die de samenhang ziet tussen strategie, risico’s, IT-governance en gedrag. Tot slot COBIT 2019 is veel meer dan een IT-framework. Het is een kompas voor organisaties die serieus werk willen maken van digitale governance, risicobeheersing en verantwoording. Het helpt je om de taal van bestuurders, lijnmanagement en IT met elkaar te verbinden, risico’s scherp te krijgen en gericht te werken aan volwassenheid. Voor professionals in audit, risk, control en compliance biedt COBIT een stevige basis om je werk naar een hoger niveau te tillen. Of je nu een eerste IT-governance-scan doet of een meerjarig verbeterprogramma begeleidt: met COBIT heb je een internationaal erkend referentiekader in handen dat meegroeit met de veranderende digitale werkelijkheid. De vraag is dus niet zozeer of je iets met COBIT gaat doen, maar hoe je het gaat gebruiken: als vinklijstje, of als strategisch instrument om jouw organisatie écht in control te brengen over informatie en technologie. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek waarom beheersmaatregelen falen en los structurele problemen op met onze diepgaande oorzaakanalyse op gedrag en cultuur. Alle blogs Gedrag en cultuur Oorzaakanalyse op gedrag en cultuur Van symptoombestrijding naar structurele oplossing Een internal auditor beoordeeld o.a. de kwaliteit van de risicobeheersing. Soms blijkt uit de audit dat een maatregel niet effectief is. De auditor geeft aanbevelingen en als er geen weerstand is bij het management, worden de aanbevelingen uitgevoerd. En toch keert bij de volgende audit dezelfde bevinding terug. De maatregel werkt nog steeds niet. Niet omdat mensen onwillig zijn of “het niet wisten”, maar omdat in sommige situaties de echte oorzaak dieper ligt. Vaak ligt die oorzaak dan in motieven van medewerkers die niet stroken met de papieren werkelijkheid, in waarden die botsen en/of in overtuigingen en ongeschreven regels die het dagelijkse handelen sturen. Precies daar begint onze aanpak. Ferocia biedt een diepgaande oorzaakanalyse op gedrag en cultuur. We kijken voorbij de zichtbare symptomen en onderzoeken waarom de maatregel in de praktijk niet werkt. Door die onderstroom expliciet te maken, ontstaat een ander beeld van de oorzaak en andere acties om het geconstateerd probleem structureel op te lossen. Dat doen we samen met het management en de medewerkers die verantwoordelijk zijn voor de niet werkende beheersmaatregel. Want zij kennen het werk, de context en de signalen die een beheersmaatregel vormgeven. Wat bedoelen we met gedrag en cultuur? Gedrag zie je. Het is wat mensen doen en laten, wat ze zeggen, hun reflexen en de routines van het team. Cultuur is het onzichtbare draaiboek dat dit aanstuurt. Het zijn de stille spelregels die we van elkaar overnemen: wat hier normaal is, wat wordt beloond, wat risico heet en wat onbespreekbaar blijft. Je leest cultuur niet in een handboek; je merkt haar bij de koffieautomaat, in de stand-up, aan de bestuurstafel en op de vrijmibo. Je hoort haar in wie het woord pakt, hoeveel tegenspraak past, welke fouten we delen en welke we liever onder het tapijt schuiven. Van “bijsturen” naar begrijpen waarom het misgaat Na een reguliere audit volgt vaak een vertrouwd ritueel: auditors geven aanbevelingen, het management neemt de aanbevelingen over, een deel van de aanbevelingen worden ook daadwerkelijk uitgevoerd en het andere deel blijft eindeloos op actielijsten staan waarbij de deadline continu verschoven wordt. Maar wat als uit een vervolg audit (of 2 de lijnscontrole) blijkt dat dezelfde bevinding terugkomt? Dan is er in de meeste gevallen meer aan de hand. Dan speelt er ‘onder water’ iets waardoor oppervlakkige acties of aanbevelingen geen effect meer hebben. Onder water zitten overtuigingen, aannames en (onbewuste) patronen die een sterke invloed hebben hoe mensen handelen. Denk aan de overtuiging dat snelheid altijd voorrang heeft op zorgvuldigheid. Of aan een teamnorm die zegt dat je elkaar in het overleg niet publiek corrigeert. Of aan een beloningsstructuur die “brandjes blussen” meer waarde geeft dan “incidenten voorkomen”. In zo’n context zal het gedrag zich herhalen, hoe goed de maatregel ook is beschreven. Onze oorzaakanalyse is ontworpen om die onderliggende overtuigingen, aannames en patronen zichtbaar te maken. We reconstrueren waarom het op dat moment logisch voelde om zo te handelen. Welke waarde gaf de doorslag? Welke mentale modellen kleurden het handelen? Welke informele regel maakte de uitzonderingsroute acceptabel? Door die vragen te beantwoorden, verschuift het gesprek van schuld naar inzicht, en van nog meer maatregelen naar de juiste ingreep op het juiste niveau. Binnen Ferocia hebben we twee type dienstverlening om de oorzaken op gedrag en cultuur in beeld te brengen als beheersmaatregelen blijvend niet effectief zijn. Hoe gaan we tewerk als je nog geen beeld hebt waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Een interactieve workshop. We starten bij de bevinding(en) uit de audit. We organiseren groepsinterviews met de direct betrokken medewerkers en lopen stap voor stap terug naar het beslismoment. Wie was erbij? Welke informatie was beschikbaar? Welke druk speelde? Welke doelen concurreerden? We luisteren naar woorden die veel zeggen, bijvoorbeeld: “even snel”, “voor deze klant maken we een uitzondering”, “zo doen we dat hier”. In die reconstructie zoeken we naar de onderliggende patronen, waarden en motieven die ten grondslag hebben gelegen aan de handelingen. Bijvoorbeeld het markeren van een change als “spoed”, het aftekenen van een contract zonder tweede paar ogen of het schuiven met bevoegdheden “omdat het nu eenmaal moet”. De data uit de groepsinterviews worden vervolgens geanalyseerd waarna de patronen van een team of afdeling in beeld worden gebracht. In een zogenaamde validatieworkshop wordt de analyse gedeeld en besproken, waarna de concrete actiepunten opgesteld worden. Deze actiepunten kunnen plaatsvinden op drie niveaus: het herontwerpen van de beheersmaatregel en/of risico, het versterken van gewenst gedrag en het gericht sturen op cultuur (denk aan feedback-rituelen, rolmodellen en teamafspraken). Hoe gaan we tewerk als je wel een beeld hebt waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Het IPPA-model Heb je een duidelijk beeld waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Dan is het IPPA-model van het IIA een zeer effectief en praktisch hulpmiddel de diepere oorzaken te onderzoeken die schuilgaan achter falende beheersmaatregelen of uitblijvende resultaten Denk aan zaken als verantwoordelijkheid nemen, aanspreekcultuur of samenwerking binnen teams. We starten met het bepalen van de kritieke people-process-combinaties: waar is gedrag cruciaal om een proces goed te laten functioneren? Vervolgens gebruiken we het gedragsrepertoire van IPPA, bestaande uit meer dan 80 gedragsaspecten om scherpe interviewvragen te formuleren. Daarmee krijgen we zicht op wat mensen daadwerkelijk doen, waarom ze dat doen en hoe dat past binnen de cultuur van de organisatie. Daarna analyseren we de data en verbinden deze aan de risico’s en beheersmaatregelen. Ten slotte worden de inzichten vertaald naar concrete en uitvoerbare acties. Deze verbeteractie kunnen ook hier plaatsvinden op drie niveaus: het herontwerpen van de beheersmaatregel en/of risico, het versterken van gewenst gedrag en het gericht sturen op cultuur. Het mooie is: IPPA biedt structuur zonder star te zijn. Het geeft richting aan het gesprek over gedrag, zonder te vervallen in vage termen. En het maakt soft controls concreet. Samen met de mensen die het werk doen Een diepgaande oorzaakanalyse naar gedrag en cultuur kan alleen maar met de direct betrokken medewerkers. Hun overtuigingen, aannames en patronen moeten namelijk inzichtelijk worden gemaakt. Daarom reconstrueren we deze diepgaande oorzaakanalyse niet over mensen, maar met mensen. We maken het veilig om te spreken over overtuigingen en dilemma’s, zonder beschuldigende toon. We laten zien dat gedrag logisch is gegeven de prikkels en verhalen in de organisatie. Daardoor ontstaat eigenaarschap: niet omdat het moet, maar omdat het klopt. Het effect van samenwerken is tweeledig. We krijgen rijkere data, omdat mensen zich herkennen in wat er werkelijk speelt. En de verbetering vindt sneller plaats, omdat dezelfde mensen die het moeten waarmaken hebben meegedacht over het ontwerp. Van inzicht naar ingreep die blijft werken Een goede analyse eindigt met handelingsperspectief. Geen dikke rapporten, wel heldere keuzes. Vaak gaat het om gerichte aanpassingen die samen het gedrag kantelen. We koppelen afspraken aan concrete beslispunten, niet aan abstracte intenties. We leggen vast wie waarover beslist als waarden botsen, hoe afwijkingen worden gemeld zonder verlies van gezicht, en hoe we leren van incidenten zonder jacht op schuldigen. Zo blijft de maatregel niet alleen op papier overeind, maar ook in de praktijk, juist onder druk. Wat levert dit concreet op? Allereerst verdwijnen terugkerende bevindingen. Niet omdat we ze beter formuleren, maar omdat de oorzaak is aangepakt. Beheersmaatregelen gaan doen waarvoor ze ooit zijn ontworpen. De opvolging van auditbevindingen wordt korter en effectiever, omdat maatregelen logisch voelen voor de uitvoering. Incidenten worden eerder en vollediger gemeld, waardoor de leercurve stijgt en het rest-risico daalt. Daarnaast verbetert de kwaliteit van de dialoog tussen internal audit en de 1 ste lijn. Management en medewerkers spreken dezelfde taal over risico’s en waarden. De geloofwaardigheid richting bestuur, toezichthouder en auditor groeit: je kunt uitleggen hoe gedrag en cultuur bijdragen aan beheersing en hoe je dat zichtbaar maakt in resultaten. Op langere termijn kan de auditor concrete invulling geven aan haar rol als strategisch adviseur van het bestuur, door de uitkomsten van meerdere diepgaande oorzaakanalyse op gedrag en cultuur in samenhang te analyseren. Dit levert organisatie brede inzichten op waarom we bepaalde zaken juist wel of juist niet weren. Door de diepgaande oorzaakanalysebouw werk je aan veerkracht. Teams ontwikkelen een gedeelde reflex om spanning te herkennen en vroeg te adresseren. Controls worden eenvoudiger omdat ze aansluiten op de manier waarop mensen werkelijk werken. Dat maakt naleving minder zwaar en betrouwbaarder. Waarom Ferocia? Wij verbinden vaktechniek met gedragskunde. We spreken de taal van audit, control, risk en compliance en weten tegelijk hoe je menselijk gedrag duurzaam beïnvloedt. Onze aanpak is nuchter, snel en precies. We brengen de onderstroom naar boven in duidelijke taal, ontwerpen interventies die passen bij de realiteit van jouw organisatie en verankeren ze in ritmes die je al hebt. Geen extra bureaucratie, wel een blijvende verandering in hoe beslissingen worden genomen als het spannend is. Klaar om van vinken naar veranderen te gaan? Als uit de audit blijkt dat een beheersmaatregel niet werkt, kun je opnieuw bijsturen en hopen op een beter resultaat. Of je kunt begrijpen waarom de maatregel niet landt en precies dáár ingrijpen waar gedrag en cultuur de koers bepalen. Kies je voor dat laatste, dan helpen wij je graag. Met een diepgaande oorzaakanalyse die motieven, waarden en overtuigingen zichtbaar maakt. Met oplossingen die niet alleen vandaag werken, maar blijven werken. En met een samenwerking waarin de mensen die het moeten doen, het ook willen doen, omdat het klopt! Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Schrijf auditrapporten die echt impact maken. Ontdek hoe je met heldere taal, visuele kracht en strategische focus actie bereikt. Alle blogs Internal auditing Auditrapporten die wel leiden tot actie Je kent het scenario vast. Als internal / operational auditor steek je weken, soms maanden, in je audit. Je plant interviews, analyseert processen, legt verbanden en scherpt je bevindingen aan tot ze precies kloppen. Met een gevoel van voldoening zet je de laatste punt in je rapport, je stuurt het op en bespreekt de rapportage met je opdrachtgever… En daarna, niets. Je auditrapport verdwijnt, letterlijk of figuurlijk, in een la. Geen opvolging, geen discussie en belangrijker nog geen verandering ter wel hier wel aanleiding voor is. Het werk dat je erin hebt gestopt, haalt nauwelijks rendement. Hoe voorkom je dat jouw rapport de vergetelheid in glijdt?Het antwoord zit ‘m in het schrijven van een auditrapport dat niet alleen wordt gelezen, maar dat ook beweging veroorzaakt. Een rapport dat gesprek, besluitvorming en actie in gang zet. In deze blog ontdek je hoe je jouw auditrapport inzet als aanjager van een verandering en niet als administratief eindproduct. Van auditrapporten naar interventies Een effectief auditrapport is meer dan een opsomming van bevindingen. Het is in de kern een interventie, een instrument dat richting geeft aan beslissingen, verbeteringen in gang zet en gedrag beïnvloedt. Dat vraagt om een andere mindset. Zie je rapport niet als de afronding van je werk, maar als het startpunt van verandering. Een sterk rapport: Activeert gesprekken op directieniveau. Maakt risico’s en kansen concreet. Verbindt conclusies met strategische prioriteiten. Zet de lezer aan tot handelen om de geconstateerde bevindingen op te lossen. 1. Begin bij de basis: een gedragen auditontwerp Een audit is een toetsend onderzoek aan een vooraf vastgestelde norm. Maar wat als de ontvanger van het rapport die norm niet kent, of er simpelweg niet achter staat? Dan kun je bevindingen presenteren wat je wilt, maar de kans dat ze landen is klein. De sleutel ligt in het voortraject. Zorg dat je het auditontwerp expliciet afstemt met je opdrachtgever en/of auditee: Stel de norm samen met de opdrachtgever en/of auditee op De 1 ste lijn is immers ‘eigenaar’ van de beheersmaatregelen in zijn/haar processen. Eigenaarschap van de 1 ste lijn bij het auditontwerp of opdrachtbrief waarborg eigenaarschap bij de rapportage. Toets herkenning Herkent de auditee zich echt in de gekozen criteria? Maak afspraken over definities en hoe je je audit gaat uitvoeren Zo voorkom je discussies achteraf. Een gedragen norm aan de voorkant, is de beste garantie voor een gedragen rapport aan de achterkant. 2. Zet de kern voorop in je auditrapporten Veel auditrapporten verliezen hun impact al op de eerste pagina. De reden? Ze starten met achtergrondinformatie, methodologie en context. Waardevolle elementen, maar niet als opening.Lezers in het management willen één ding weten: wat betekent dit voor ons? Begin daarom met de kern. Beantwoord direct deze drie vragen: Wat is er aan de hand, wat heb je als auditor gevonden? Wat is precies het probleem? Vaak omschreven als beheersmaatregelen die er niet zijn of niet werken. Hoe erg is dat in de vorm van het risico dat de organisatie loopt. Je kunt dit vormgeven in een krachtige managementsamenvatting. Een korte, to-the-point intro zorgt dat je lezer meteen snapt waarom dit rapport relevant is. 3. Schrijf begrijpelijk Vakjargon is de sluipmoordenaar van impact. Je wilt dat je rapport wordt gelezen door bestuurders, managers en teamleiders die niet dagelijks in auditmethodiek zitten. Als zij je niet begrijpen, haken ze af. Vermijd daarom wollige, afstandelijke formuleringen.Niet: “Er is sprake van een suboptimale borging van interne controlemaatregelen.” Wel:“In 7 van de 8 dossiers hebben wij gezien dat… Hier werkt beheersmaatregel x niet wat leidt tot het risico Y. 4. Visualiseer waar mogelijk Ons brein verwerkt beelden sneller dan tekst. Door visuele elementen in je auditrapporten op te nemen, verhoog je de kans dat de boodschap blijft hangen. Denk aan: Infographics die oorzaak-gevolg relaties laten zien. Heatmaps of dashboards voor risico-inschatting. Visuele samenvattingen van kernbevindingen. Procesflows om verbeterpunten te illustreren. Zorg ervoor dat je visuals in één oogopslag de essentie laten zien. Een drukke, complexe grafiek zonder toelichting werkt averechts. 5. Verbind bevindingen aan organisatiedoelen en compliance Door de bevinding af te sluiten met het benoemen van het risico (zie opbouw bij 3) leg je direct de koppeling met de organisatiedoelen en/of compliance. Risicobeschrijvingen zijn namelijk opgebouwd, gebeurtenis, oorzaak en gevolg. In het gevolg ligt vaak de relatie met de doelstelling of compliance. Hierdoor wordt direct de impact van de bevinding duidelijk, wat leidt tot meer acceptatie en veranderbereidheid. 6. Betrek de 1ste bij het opstellen van de aanbevelingen De auditor toets objectief en onafhankelijk wat goed gaat en wat niet goed gaat. Vaak in de vorm of beheersmaatregelen en zijn of niet en/of werken of niet. De 1 ste lijn is verantwoordelijk voor de kwaliteit van de beheersing. Als de auditor heeft vastgesteld dat bijvoorbeeld een beheersmaatregel niet werkt, betrek dan de 1 ste lijn bij het formuleren van de oorzaken en aanbevelingen. Zij zijn immers toch verantwoordelijk dat de niet werkende beheersmaatregel weer gaat werken. Organiseer daarom een workshop met de 1 ste lijn om samen met hun de oorzaken te achterhalen en de aanbevelingen te formuleren. de kans dat zelf geformuleerde aanbevelingen opgepakt worden is namelijk vele malen groter dan opgelegde aanbevelingen! Uiteraard moet de auditor ook het gevoel hebben dat de geformuleerde aanbevelingen de bevinding blijvend oplost. Formuleer de aanbeveling altijd concreet: Wie doet wat , wanneer. Wie stelt wanneer vast dat de uitgevoerde aanbeveling ook daadwerkelijk het probleem heeft opgelost. 7. Stimuleer het gesprek Wil je dat jouw rapport werkelijk impact maakt? Dan moet het gesprek erover plaatsvinden, liefst meteen na publicatie. Praktische tips: Plan direct na oplevering een bespreking met opdrachtgever en sleutelpersonen. Stuur vooraf een korte visuele samenvatting zodat deelnemers voorbereid zijn. Gebruik de bijeenkomst om prioriteiten te bepalen, niet om bevindingen voor te lezen . Je doel is dat de betrokkenen het rapport ervaren als een hulpmiddel om vooruit te komen, niet als een beoordelingsverslag waar ze zich tegen moeten verdedigen. 8. Houd rekening met de ‘leeswens’ van je gebruiker Niet iedereen leest rapporten op dezelfde manier. Sommige personen wegen elk woord, andere bladeren direct naar de conclusies. Pas je opmaak en structuur hierop aan: Voor detailgerichte lezers: zorg voor volledige bijlagen en bronvermeldingen. Voor besluitgerichte lezers: zet kernpunten in kaders of tabellen. Voor visueel ingestelde lezers: werk met kleurcodes, iconen en grafieken. 9. Maak het menselijk Uiteindelijk gaat auditing over mensen, over hoe zij werken, beslissen en veranderen. Een goed auditrapport laat dat zien. Benoem waar gedrag, cultuur of samenwerking invloed hebben op de risico’s of verbeterpunten. Door niet alleen op processen te focussen, maar ook op menselijk handelen, maak je je rapport relevanter en praktischer. 10. Blijf leren van je eigen rapporten Het schrijven van impactvolle auditrapporten is een vaardigheid die je kunt aanscherpen. Evalueer daarom na afloop: Welke aanbevelingen zijn opgevolgd? Welke niet – en waarom niet? Hoe hebben ontvangers het rapport ervaren? Waren er onderdelen die verwarring opriepen? Gebruik deze feedback om je volgende rapport nog effectiever te maken. Conclusie Een auditrapport dat in een la belandt, is zonde van al je inspanning en van de kans om de organisatie vooruit te helpen. Door te starten met de kern, begrijpelijke taal te gebruiken, visuele ondersteuning te bieden en je bevindingen te koppelen aan de organisatiedoelen, vergroot je de kans dat jouw rapport leidt tot echte actie. Zie je rapport niet als afsluiting, maar als startpunt. Dan wordt het geen papieren eindproduct, maar een middel dat beslissingen versnelt, risico’s bespreekbaar maakt en het lerend vermogen van de organisatie versterkt. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

< Terug Vacature Senior business controller Vluchtelingenwerk Nederland Per direct 32 tot 36 uur per week Amsterdam / Hybride € 59.904,30 tot € 98.097,66 per jaar SOLLICITEER Over VluchtelingenWerk Nederland Over de hele wereld worden mensen gedwongen te vluchten vanwege oorlog, politiek geweld, hun seksuele geaardheid, afkomst of religie. In Nederland kunnen zij rekenen op de ondersteuning van VluchtelingenWerk Nederland. Van aankomst tot zelfredzaamheid zetten duizenden vrijwilligers en betaalde medewerkers zich dagelijks in om vluchtelingen te begeleiden en hun belangen te behartigen. Over het team Finance & Control Je komt te werken in het team Finance & Control, dat onderdeel uitmaakt van de Directie Bedrijfsvoering. Binnen dit team werken acht (senior) business controllers nauw samen met de financiële administratie (inkoop, betalingen, verkoop). De functie rapporteert aan de Manager Finance & Control. Over de functie Als senior business controller met focus op Asiel en Oekraïne speel je een sleutelrol in het financieel ondersteunen en adviseren van de organisatieonderdelen die zich inzetten voor vluchtelingen en asielzoekers. Je bent verantwoordelijk voor het financiële reilen en zeilen binnen deze domeinen en fungeert als strategisch sparringpartner voor directeuren en managers, met name op het gebied van subsidies en financieringsvraagstukken. In deze rol combineer je diepgaande financiële analyses met een sterk adviserende rol. Je vertaalt complexe financieel-economische vraagstukken naar heldere inzichten en betrouwbare managementinformatie, waarmee je bijdraagt aan weloverwogen besluitvorming. Je bent nauw betrokken bij subsidieaanvragen en -verantwoordingen en onderhoudt daarbij ook externe contacten, onder andere met het Ministerie van Asiel en Migratie. Daarnaast werk je samen met collega-controllers aan het uniformeren en verbeteren van werkwijzen binnen Finance & Control. Je levert een actieve bijdrage aan concernbrede overleggen en bent verantwoordelijk voor het opstellen van interne begrotingen en stukken ten behoeve van de accountant. Door het uitvoeren van scherpe ad-hoc analyses en het bewaken van financiële processen zorg je voor grip, transparantie en continuïteit in een dynamische en maatschappelijk relevante omgeving. Jouw taken Adviseren van directeuren en managers Asiel en Oekraïne over financiële en subsidievraagstukken. Opstellen van financiële begrotingen en verantwoordingen ten behoeve van subsidieaanvragen. Voeren van overleg en besprekingen met het Ministerie van Asiel en Migratie. Opstellen en analyseren van periodieke managementinformatie, waaronder doorbelaste loonkosten. Ondersteunen en adviseren over de gehanteerde financieringssystematiek voor subsidies. Uitvoeren van scherpe ad-hoc financiële analyses. Opstellen van interne begrotingen en financiële stukken ten behoeve van de accountant. Samenwerken met collega-controllers aan uniformering en verbetering van werkwijzen. Deelnemen aan concernoverleggen en controllersoverleggen. Beheren van procuratie binnen AFAS. Wie zoeken we? Voor deze functie wordt een ervaren en betrokken Senior Business Controller gezocht met een afgeronde hbo- of wo-opleiding. De ideale kandidaat beschikt over vijf tot tien jaar relevante en aantoonbare werkervaring in een vergelijkbare functie en heeft ruime ervaring met financiële administraties en financiële rapportages. Ervaring met het opstellen van subsidieverantwoordingen is essentieel, evenals een gedegen en praktische beheersing van Excel. Ervaring met AFAS is een pré. Daarnaast is affiniteit met de non-profitsector belangrijk en wordt waarde gehecht aan verbondenheid met de missie en waarden van VluchtelingenWerk Nederland. De functie vraagt om uitstekende communicatieve vaardigheden en het vermogen om effectief samen te werken met collega’s en stakeholders op verschillende niveaus binnen de organisatie. Als Senior Business Controller ben je cijfermatig sterk en analytisch ingesteld, weet je complexe financiële vraagstukken te doorgronden en kun je hierin zakelijkheid en scherpte combineren met een zorgvuldige en verbindende benadering. Daarbij hoort een dienstverlenende en ondersteunende houding, gericht op samenwerking en het gezamenlijk realiseren van resultaten. Tot slot past een flexibele, proactieve en hands-on werkhouding bij deze rol, in een dynamische en maatschappelijk relevante organisatieomgeving. Wat bieden we? Een salaris van € 59.904,30 t/m € 98.097,66 per jaar incl. 16,5% IKB Een salarisverhoging van 2,1% per 1 oktober 2026 Vakantieverlof van in totaal 170 uur per jaar op basis van 36 uur per week (144 wettelijke uren en 26 bovenwettelijke uren via het IKB) Mogelijkheid tot onbetaald verlof, in overleg Pensioenopbouw via Pensioenfonds Zorg & Welzijn (premie 25,8%, waarvan 50% wordt betaald door de werkgever) Individueel keuzebudget (IKB) van 16,5%, bestaande uit: Vakantietoeslag (8%) Eindejaarsuitkering (8,33%) Extra uitkering (0,1%) 26 uur bovenwettelijk verlof Tegemoetkoming in de premie zorgverzekering (€ 10,- per maand) Reiskostenvergoeding en thuiswerkvergoeding Loopbaanbudget voor opleiding en ontwikkeling (opbouw 1,5%) Beschikking over laptop en telefoon Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ).

There’s Nothing Here... We can’t find the page you’re looking for. Check the URL, or head back home. Go Home