Zoekresultaten

Ontdek hoe risk appetite en risk tolerance organisaties helpen beter te sturen en sneller beslissingen te nemen. Maak risicomanagement écht werkbaar. Alle blogs Risicomanagement Risk appetite en risk tolerance Risicomanagement gaat niet over alle risico’s uitsluiten. Het draait om het maken van bewuste keuzes: waar geven we ruimte aan ondernemerschap, waar trekken we een heldere lijn en wanneer grijpen we in. In dat spanningsveld spelen twee begrippen de hoofdrol: risk appetite (of risicobereidheid) en risk tolerances. In theorie lijken ze overzichtelijk, in de praktijk lopen ze vaak door elkaar. Zonde, want organisaties die hun risicohouding scherp formuleren én vertalen naar hanteerbare grenzen, nemen sneller betere beslissingen en sturen beter. Laten we daarom niet in opsommingen vervallen, maar het verhaal vertellen van hoe risk appetite en risk tolerances tot leven komen, van de bestuurskamer tot op de werkvloer. In deze blog leggen we het verschil uit tussen de twee begrippen, laten we zien hoe je risk appetite en risk tolerances inricht, en geven we praktische voorbeelden en valkuilen. Risk appetite en risk tolerances. Het strategisch kompas en de vangrails langs de weg. Stel je een organisatie voor die hard wil groeien met digitale diensten. In de bestuurskamer wordt gesproken over innovaties, marktaandeel, klantveiligheid en toezicht. Er is ambitie, maar ook onzekerheid. Op dat moment helpt risk appetite: het bestuurlijke kompas dat aangeeft hoeveel risico acceptabel is om strategische doelen te bereiken. Risicobereidheid is geen tabel met percentages, maar een richtinggevende uitspraak. Het bestuur kan zeggen: we zijn bereid enige reputatierisico’s te nemen bij baanbrekende innovaties, zolang klantveiligheid en wet- en regelgeving niet in het geding komen. Of: we hebben geen enkele tolerantie voor fraude en ernstige veiligheidsincidenten. Zulke zinnen klinken eenvoudig, maar ze geven in één keer richting aan talloze dagelijkse keuzes. Dat kompas alleen is niet genoeg. Gedurende de dagelijkse uitvoering wil je weten: waar ligt de grens precies? Daar komen risk tolerances in beeld. Dat zijn de concrete, operationele vangrails, vaak gekoppeld aan operationele doelen. Waar risk appetite zegt “we willen geen langdurige uitval van kritieke systemen”, maken tolerances dat praktisch: uptime van 99,9 procent per maand, een hersteldoel van maximaal één uur, beveiligingspatches binnen 72 uur. De combinatie is krachtig: een duidelijke intentie aan de top, vertaald naar meetbare bandbreedtes in de operatie. Waarom het verschil ertoe doet Zonder uitgesproken risk appetite gaan beslissingen op gevoel. De ene keer kiest men voor snelheid, de andere keer voor veiligheid, afhankelijk van wie er aan tafel zit. En zonder risk tolerances wordt sturen moeilijker: teams zien wel dat “het beter moet”, maar niet wanneer er echt een grens is overschreden. Het gevolg is herkenbaar: discussies over cijfers in plaats van over risico’s, verrassingen in rapportages en irritatie tussen “de business” en “risk”. Het onderscheid haalt die ruis weg. Het bestuur zegt in heldere taal op welke risico’s acceptabel zijn en welke niet. De organisatie krijgt concrete bandbreedtes om binnen te handelen. Internal audit kan vervolgens toetsen of het raamwerk klopt én werkt: sluiten de grenzen aan op de strategie, zijn de indicatoren betrouwbaar, worden overschrijdingen tijdig opgevolgd? Van de bestuurskamer naar de werkvloer Neem een fictieve organisatie, DeltaNova, actief in de energiesector. De strategie is scherp: versnellen met digitale dienstverlening, de keten verduurzamen en de operationele betrouwbaarheid verhogen. In een werksessie bespreekt het bestuur geen vragenlijst, maar concrete dilemma’s. Zijn we bereid een deel van de marge in te ruilen voor versnelde CO₂-reductie? Willen we de time-to-market met dertig procent verkorten, ook als de eerste release dan meer kwaliteitsissues kent? Hoeveel afhankelijkheid van één toeleverancier vinden we acceptabel wanneer de prijs fors lager is? De antwoorden worden gevat in korte risk appetite-uitspraken. Voor innovatie luidt die bijvoorbeeld: “Gematigde risk appetite voor reputatierisico bij marktintroducties, mits klantveiligheid en compliance onaangetast blijven.” Voor cybersecurity: “Zeer lage risk appetite voor vertrouwelijkheids- en beschikbaarheidsincidenten op kritieke systemen.” Voor compliance: “geen risk appetite voor opzettelijke overtredingen; zeer laag voor materiële tekortkomingen.” En voor ESG en veiligheid: “Nul risk appetite voor ernstige veiligheidsincidenten en mensenrechtenschendingen in de keten.” Daarna komt het echte werk: de cascade naar de operatie. Samen met IT, productie, commercie en HR vertaalt de tweede lijn (risk & compliance) de uitspraken naar indicatoren en drempels die ertoe doen. Niet vijftien signalen per domein, maar een handvol die echt sturen. Bij cybersecurity worden uptime, hersteldoel, patch-achterstanden en phishing-klikpercentages gekozen. Bij compliance gaat het om het aantal materiële bevindingen, de tijdigheid van training en de doorlooptijd van KYC-dossiers. Bij veiligheid kijkt men bijvoorbeeld naar near-miss meldingen en de afhandeling van acties binnen afgesproken termijnen. Zo wordt de risicohouding zichtbaar in het dagelijks werk. Groen, oranje, rood, maar dan met consequenties DeltaNova werkt met duidelijke bandbreedtes. Zolang indicatoren in het groen staan, is er vrijheid om binnen de kaders te optimaliseren. Oranje betekent: er is spanning op de lijn, er moet worden bijgestuurd en de eigenaar legt vast welke acties volgen en wanneer effect zichtbaar moet zijn. Rood is geen “we houden het in de gaten”, maar een verplicht escalatiemoment: het management stelt een herstelplan op, de tweede lijn monitort en er wordt een keuze vastgelegd. Soms hoort daar risk acceptance of risico accepatie bij, een bewuste, gedocumenteerde afwijking van de tolerantie, ondertekend door iemand met de juiste bevoegdheid. Niet om het dashboard mooi te houden, maar omdat omstandigheden veranderen en ondernemerschap ook het nemen van verantwoorde afwijkingen vergt. Cruciaal is dat eigenaarschap glashelder is. Voor iedere indicator is vastgelegd wie meet, uit welke bron, hoe vaak, welke definities gelden en welk escalatiepad wordt gevolgd. Dat voorkomt het bekende “iedereen is verantwoordelijk”-syndroom, waarbij uiteindelijk niemand het is. Ook het zachte wordt concreet Niet alles laat zich vangen in cijfers, maar ook voor gedrag, cultuur en reputatie zijn werkbare afspraken te maken. DeltaNova heeft bijvoorbeeld “zeer lage risk appetite voor integriteitsschendingen” vertaald naar: alle meldingen worden binnen dertig dagen onderzocht en afgerond; periodiek wordt cultuur gemeten en afgezet tegen een sectorbenchmark; elke ‘substantiated’ melding kent een passende maatregel die zichtbaar wordt teruggekoppeld. Voor reputatie kiest men proxies die ertoe doen: het trendmatige sentiment in klantfeedback, de klachtenratio per productlijn en het aantal klachten op sociale kanalen. Het zijn geen perfecte maatstaven, maar ze maken bespreekbaar wat anders abstract blijft. De drie lijnen zonder schotten In de praktijk werkt het raamwerk alleen als de rolverdeling natuurlijk aanvoelt. De eerste lijn, business en operatie, stuurt binnen de afgesproken grenzen, monitort de indicatoren en handelt afwijkingen af. De tweede lijn ontwerpt en kalibreert het raamwerk, bewaakt onafhankelijk de overschrijdingen en adviseert over risk acceptance. De derde lijn toetst of ontwerp én werking deugen: sluiten de risk appetite-uitspraken aan op de strategie, zijn de tolerances logisch ten opzichte van de draagkracht van de organisatie, is datakwaliteit op orde en gebeurt escalatie op tijd en volgens afspraak? Een illustratief moment: in het eerste kwartaal na invoering kleurt het phishing-klikpercentage oranje. IT en HR starten een gerichte awareness-campagne, passen de testfrequentie aan en leggen vast binnen welke termijn verbetering zichtbaar moet zijn. Een maand later is het lampje groen. Even later kleurt het klachtenratio bij een nieuw digitaal product rood. Commercie wil door, maar de risk appetite statement over klantveiligheid biedt houvast. Er volgt een beperkte release-pauze, een bugfix-sprint en een heldere communicatie naar klanten. Niet leuk, wel consequent. Het is precies wat een goed raamwerk doet: sneller en consistenter besluiten mogelijk maken. Van gevoel naar getal: kalibreren en leren Risk appetite en risk tolerances bepaal je niet eenmalig op onderbuikgevoel. DeltaNova combineert top-down richting met bottom-up data. Historische variatie, externe benchmarks en incidentanalyses vormen het startpunt. Voor financiële en operationele drempels worden simpele stresstesten gedaan: wat betekent een drempel voor liquiditeit, voor levertijden, voor klantvertrouwen? Voor nieuwe indicatoren draait men een dry run mee: een kwartaal lang meten zonder harde consequenties, zodat de organisatie leert hoe de bandbreedtes uitpakken. Is alles permanent rood, dan is de lat te strak; staat alles groen, dan scherpt men aan. Zo groeit het raamwerk met de werkelijkheid mee. Belangrijk daarbij is het onderscheid tussen risk appetite en capacity. Risk appetite is wat je wílt dragen; capacity is wat je kúnt dragen zonder dat continuïteit in gevaar komt. De tolerances moeten binnen die capacity blijven. Anders klinkt de ambitie stoer op papier, maar blijkt ze in de praktijk onhoudbaar. De verleiding en de valkuilen Elke organisatie herkent ze. De eerste is de poster-appetite: fraaie volzinnen die niet landen in de operatie. De tweede is de dashboard-inflatie: zoveel indicatoren dat niemand ze nog kan duiden. De derde is de datadiscussie: onduidelijke definities leiden tot eindeloze debatten over de meter in plaats van over het risico. En dan is er nog de verdwijntruc: overschrijdingen zonder helder escalatiepad die in het luchtledige blijven hangen. De remedie is: vertaal elke uitspraak naar enkele kernindicatoren met heldere definities; leg bron, eigenaar en escalatie vast; oefen het gesprek aan de top met concrete scenario’s in plaats van abstracte vragen; en plan elk jaar een risk appetite-review, of eerder als de strategie of het speelveld verandert. Daarmee wordt risk appetite geen eenmalige exercitie, maar een vast onderdeel van het bestuurlijke ritme. Stakeholders als kompasnaald Een werkend raamwerk kijkt niet alleen naar interne doelen, maar ook naar wat stakeholders verwachten. Klanten willen leverbetrouwbaarheid en eerlijke communicatie; toezichthouders vragen aantoonbare beheersing; medewerkers verlangen een veilige werkomgeving en duidelijke keuzes; de samenleving kijkt naar milieu en mensenrechten. Door die verwachtingen expliciet te betrekken en de onvermijdelijke trade-offs uit te spreken, voorkom je verrassingen. Het maakt het bovendien makkelijker om bij incidenten transparant te communiceren: je kunt laten zien welke grenzen je hanteert en waarom je bepaalde keuzes maakt. Eerst kiezen, dan meten Wie appetite en tolerances goed inricht, merkt het in de dagelijkse praktijk. Vergaderingen duren korter, omdat de richting vooraf is bepaald. Dashboards worden dunner, maar betekenisvoller. Discussies verschuiven van “is dit cijfer wel goed?” naar “wat zegt dit over ons risico en welke keuze hoort daarbij?”. En internal audit kan haar rol waarmaken door met objectieve blik te toetsen of het systeem doet wat het belooft. De kern is eenvoudig: eerst kiezen, dan meten. Formuleer in begrijpelijke taal waar je wél en niet voor gaat. Vertaal dat naar hanteerbare grenzen met duidelijke eigenaars. Organiseer een strak escalatiepad en een jaarlijkse herijking. En zorg dat het verhaal klopt voor iedereen: van de bestuurder die koers zet tot de collega die dagelijks de indicatoren bijstuurt. Wil je die stap zetten en risk appetite en risk tolerances laten werken voor jouw organisatie? Ferocia helpt bij het formuleren van scherpe uitspraken, het kiezen van relevante indicatoren en het verankeren ervan in besluitvorming en rapportage. Zodat risicomanagement geen papieren tijger is, maar een praktische manier om met vertrouwen te durven, te doen en tijdig bij te sturen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontwikkel krachtige gesprekstechnieken voor auditors en riskmanagers. Vergroot je impact met de praktijkgerichte training gesprekstechnieken. Schrijf je in! Training Gesprekstechnieken Duur Studiekosten PE-punten 2 dagdelen € 595,- 9 Inschrijven Training Gesprekstechnieken Een sterke auditor, een impactvolle controller of een ervaren riskmanager valt of staat met het voeren van het juiste gesprek. Of het nu gaat om het scherpstellen van de opdracht, het doorgronden van gedragsaspecten tijdens een interview of het omgaan met weerstand aan tafel, jouw gesprekstechnieken bepalen het resultaat. Wat leer je tijdens de training gesprekstechnieken? In de training gesprekstechnieken ontwikkel je de vaardigheden om als auditor, controller of risicoprofessional met zelfvertrouwen en regie gesprekken te voeren met opdrachtgevers, geïnterviewden en andere stakeholders. In twee interactieve dagdelen, ondersteund door een e-learning, oefen je met verschillende interviewvormen, leer je zowel verbale als non-verbale technieken effectief in te zetten en train je het voeren van lastige gesprekken. Je ontdekt hoe een goede voorbereiding de kwaliteit van een gesprek verhoogt, hoe je structuur aanbrengt in interviews en hoe je regie en balans behoudt, ook in uitdagende situaties. Daarnaast leer je schakelen tussen verschillende communicatieniveaus en ga je aan de slag met het creëren van draagvlak, zelfs bij weerstand. Alle opgedane vaardigheden vertaal je direct naar je eigen praktijk in een persoonlijk actieplan, waarop je waardevolle feedback ontvangt van docent en medecursisten. Zo weet je zeker dat je gesprekken niet alleen beter verlopen, maar ook daadwerkelijk leiden tot resultaat. Waarom kiezen voor de training Gesprekstechnieken? Toegespitst op jouw vakgebied: gesprekstechnieken in de context van audit, control en risk. Praktisch en interactief: leren met cases, rollenspellen en uitwisseling van ervaringen. Krachtige voorbereiding: je start met een e-learning die je zelfstandig en flexibel doorloopt. Direct toepasbaar: je ontwikkelt een actieplan waarmee je gericht werkt aan je gespreksvaardigheid. Flexibele deelname: kies zelf of je de training fysiek of online bijwoont via onze mixed classroom. Waarom kiezen voor Ferocia? Ferocia is specialist in het opleiden van professionals in audit, control en risk. Bij ons kun je rekenen op topdocenten die verbonden zijn aan toonaangevende hogescholen en universiteiten en hun praktijkervaring volop meenemen in de opleiding. We werken met een innovatieve didactiek waarin e-learning, praktijkopdrachten en teamleren elkaar versterken. Altijd praktijkgericht, want bij Ferocia draait het niet alleen om kennis opdoen, maar vooral om kennis toepassen. Onze trainingen zijn gedreven door impact: je merkt direct dat je beter functioneert in je rol. Wil jij je ontwikkelen tot een gesprekspartner die met vertrouwen en regie elke situatie aankan? Schrijf je dan nu in voor de training Gesprekstechnieken en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar en van jou wordt verwacht kwalitatief goede gesprekken te voeren met de opdrachtgever, interviewees en andere belanghebbenden bij verschillende fases van een audit. De tijdsinvestering bedraagt ongeveer 9 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze training werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 9 PE-punten. De studiekosten bedragen € 595,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Brenda van den Berk Operational auditor "Deze training is ontzettend handig voor het verbeteren van auditgesprekken, dankzij de mix van theorie en oefening!" Marie-José Masseus Auditor "Interviewtechnieken worden opgefrist door een betrokken docent die met werkelijke praktijkvoorbeelden perfect aansluit bij onze doelgroep!" Tatyana Kiryakova Financial auditor "De training gesprekstechnieken biedt praktische tips die je helpen beter om te gaan met situaties die je dagelijks tegenkomt." Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Training gesprekstechnieken voor auditors en riskmanagers Of je nu werkt als auditor, controller of risk officer, je succes hangt meer af van je gespreksvaardigheden dan je misschien denkt. Hoe... 26 aug 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Volg de opleiding IT-auditing van Ferocia en Avans+ en ontwikkel je tot een impactvolle IT-auditor die organisaties helpt grip te krijgen op digitale risico’s en IT-beheersing. Postbacheloropleiding IT-auditing Duur Studiekosten PE-punten 8 maanden € 7.450,- 110 Inschrijven Opleiding IT-auditing Wil jij jouw carrière een stevige impuls geven? Kies dan voor de postbacheloropleiding IT-auditing, die wij in samenwerking met Habeo+ aanbieden. Deze praktijkgerichte opleiding helpt je om uit te groeien tot een volwaardige gesprekspartner voor bestuur en management. Je ontwikkelt de kennis en vaardigheden die nodig zijn om IT-risico’s inzichtelijk te maken en organisaties daadwerkelijk te helpen ‘in control’ te zijn. Wat leer je tijdens de opleiding IT-auditing? In een tijd waarin organisaties steeds afhankelijker worden van digitale processen, is grip op IT-risico’s van groot belang. De opleiding IT-auditing biedt jou de kennis en vaardigheden om professionele IT-audits uit te voeren en te dviseren over IT-governance, informatiebeveiliging en compliance. Als IT-auditor onderzoek je niet alleen de technologie zelf, maar ook de processen eromheen. Je leert hoe je zekerheid biedt over drie belangrijke pijlers van IT-beheersing: • Beschikbaarheid – zijn systemen toegankelijk wanneer nodig? • Integriteit – zijn gegevens volledig, juist en betrouwbaar? • Vertrouwelijkheid – is gevoelige informatie goed beschermd? Waarom kiezen voor de opleiding IT-auditing? De behoefte aan goed opgeleide IT-auditors groeit snel. Door digitalisering, strengere wet- en regelgeving (zoals de AVG/GDPR) en de toenemende aandacht voor cybersecurity, is er meer vraag dan ooit naar professionals die IT-risico’s inzichtelijk kunnen maken en beheersmaatregelen kunnen beoordelen. De opleiding IT-auditing sluit naadloos aan op deze ontwikkelingen en bereidt je voor op een rol met impact. Waarom kiezen voor Ferocia en Habeo+? De opleiding IT-auditing van Ferocia en Habeo+ is de best gewaardeerde en meest erkende postbacheloropleiding op dit vakgebied in Nederland. De opleiding onderscheidt zich door haar sterke praktijkgerichtheid, actuele lesinhoud en de begeleiding door ervaren docenten uit het werkveld. De lesstof sluit aan bij de nieuwste ontwikkelingen in het vak, zoals het gebruik van AI in audits en de toepassing van de meest moderne auditmethodiek (auditmethodiek 2.0). Je leert niet alleen de theorie, maar past deze direct toe in realistische casussen en opdrachten. Zo ben je optimaal voorbereid op een rol waarin je daadwerkelijk impact maakt op het IT-risicobeheer en de digitale weerbaarheid van jouw organisatie. Je kunt de opleiding volgen in Apeldoorn, Breda, Den Haag of Utrecht, en de colleges zijn desgewenst ook online te volgen. Zo heb je maximale flexibiliteit in hoe en waar je studeert. Wil jij je ontwikkelen tot een waardevolle IT-auditor die écht het verschil maakt? Schrijf je dan nu in voor de postbacheloropleiding IT-auditing en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (IT-, operational of financial) auditor, accountant, controller, risk officer, compliance officer, kwaliteitsmedewerker, medewerker AO/IC of proceseigenaar. Van jou wordt verwacht dat je een onderbouwd oordeel kunt vormen over IT-gerelateerde beheersing of hierover kunt adviseren binnen jouw organisatie. Of je bent werkzaam binnen de IT en krijgt steeds vaker te maken met vraagstukken op het gebied van audit en compliance. De postbacheloropleiding IT-auditing bestaat uit 14 fysieke bijeenkomsten van drie tot zes uur. Daarnaast volg je zeven e-learnings van ongeveer drie uur per stuk, op momenten die jou het beste uitkomen. Een belangrijk onderdeel van de opleiding is het uitvoeren van een IT-audit binnen je eigen organisatie. Hierbij word je intensief begeleid door een ervaren docent. Voor deze praktijkopdracht én de bijeenkomsten samen ben je gemiddeld vier tot acht uur per week kwijt. Daarnaast vragen we ongeveer twee uur per week aan zelfstudie, zodat je het maximale uit de opleiding haalt. De postbacheloropleiding IT-auditing is sterk praktijkgericht. Tijdens de opleiding voer je een eigen IT-audit uit binnen je organisatie, waarbij je intensief wordt begeleid door een ervaren docent. Via innovatieve e-learnings doe je voorafgaand aan de bijeenkomsten de benodigde basiskennis op, op een moment en locatie die jou het beste uitkomt. Omdat je goed voorbereid aan de bijeenkomsten deelneemt, is er tijdens de contactmomenten ruimte voor verdieping. We gaan dan actief aan de slag met het toepassen van de theorie in de praktijk, onder andere aan de hand van casuïstiek en rollenspellen. Daarnaast wissel je ervaringen uit met mededeelnemers die werkzaam zijn in uiteenlopende sectoren. Dankzij het interactieve karakter van de opleiding en de diversiteit aan perspectieven ontstaat een sterk lerend effect. Na afronding van de postbacheloropleiding IT-auditing ben je in staat om het management (aanvullende) zekerheid te bieden over de kwaliteit van IT-risicobeheersing binnen jouw organisatie. Dankzij de ontwikkelde adviesvaardigheden lever je bovendien een krachtige bijdrage aan het lerend vermogen van de organisatie. Je beheerst het IT-auditvak, hebt zicht op actuele ontwikkelingen in de praktijk en treedt op als volwaardig gesprekspartner voor bestuur en directie. Na succesvolle afronding ontvang je het postbachelordiploma IT-auditing. Ben je PE-plichtig? Dan levert deze opleiding je 110 PE-punten op. Wil je je na deze opleiding verder verbreden richting organisatiebrede risicobeheersing? Dan kun je de postbacheloropleiding Operational auditing volgen in verkorte vorm en tegen gereduceerd tarief. De investering in de postbacheloropleiding IT-auditing bestaat uit drie onderdelen: opleidingskosten, arrangementskosten en studiematerialen. Hieronder vind je een overzicht van de kosten en betalingsmogelijkheden: Opleidingskosten: € 7.450,- (vrijgesteld van btw) Arrangementskosten: € 770,- (excl. 9% btw) Studiematerialen: circa € 110,- (deze schaf je zelf aan) Voor aanvang van de opleiding ontvang je een factuur. Je kunt ervoor kiezen om de opleidingskosten in kwartaaltermijnen te betalen. In dat geval geldt een toeslag van 5% op het totaalbedrag van de opleidingskosten. Wat eerdere deelnemers zeggen Vincent Gieling Business analyst "De leraren waren erg bekwaam en bevlogen en gaven sprekende voorbeelden uit de praktijk!" Daniëlle Giezeman Internal auditor "De docenten zijn kundig en weten waar ze over spreken!" Sanne de Jongh IT-auditor “De opleiding IT-auditing gaf mij praktische handvatten om IT-risico’s beter te beoordelen!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken... 10 sep 2025 17 minuten om te lezen IT-auditing opleiding De wereld digitaliseert in razend tempo. Processen worden geautomatiseerd, data reist realtime over netwerken en systemen bepalen het... 13 aug 2025 4 minuten om te lezen Meer weten over of direct inschrijven voor de opleiding IT-auditing? Brochure Adviesgesprek Inschrijven

Voorkom papieren risicoanalyses en versterk besluitvorming. Ontdek effectieve methodes en valkuilen voor een succesvolle risicoanalyse. Alle blogs Risicomanagement Risicoanalyse Iedere organisatie krijgt ermee te maken: risico’s. Van kleine operationele incidenten tot strategische dreigingen die de continuïteit onder druk zetten. En dus voeren we risicoanalyses uit. Tenminste… dat denken we. In de praktijk blijkt dat veel analyses blijven steken in papieren exercities, onduidelijke terminologie of generieke risico-overzichten waar niemand echt iets mee doet. Hoe komt dat, wat is een risicoanalyse eigenlijk, en hoe doe je het dan wel goed? In deze blog duiken we hier dieper in; van definitie en valkuilen tot methodes en praktijktoepassingen. Ook lees je hoe Ferocia organisaties ondersteunt om risicoanalyse te verbinden aan resultaat, gedrag en besluitvorming. Wat is een risicoanalyse? Een risicoanalyse is het proces waarbij een organisatie systematisch identificeert, beoordeelt en prioriteert welke risico’s haar doelstellingen kunnen bedreigen. Het doel is om inzicht te krijgen in de risico’s die er echt toe doen, zodat er passende (beheers)maatregelen getroffen kunnen worden. Een goede risicoanalyse geeft antwoord op vragen als: Wat kan er misgaan? Hoe groot is de kans dat het gebeurt? Wat is het mogelijke effect op onze doelstellingen? Hoe effectief zijn onze bestaande beheersmaatregelen? Wat accepteren we, en wat niet? Het is een hulpmiddel, geen doel op zich. Een goede risicoanalyse ondersteunt besluitvorming, versterkt sturing en vergroot het risicobewustzijn binnen de organisatie. De valkuilen van een risicoanalyse In de praktijk zien we dat risicoanalyses vaak tekortschieten. Dit zijn de meest voorkomende valkuilen: 1. Te abstract Risico’s worden soms zo breed geformuleerd (“marktverandering”, “cyberdreiging”), dat niemand weet wat er echt bedoeld wordt. 2. Verwarring over begrippen Begrippen als risico, kans, impact, restrisico en beheersmaatregel worden door elkaar gebruikt of verschillend geïnterpreteerd. Dit leidt tot verwarring en inconsistente analyses. 3. Geen aansluiting bij besluitvorming Veel risicoanalyses eindigen in rapporten die in een la verdwijnen. De uitkomsten worden niet gekoppeld aan sturing, budgettering of organisatiedoelstellingen. 4. Te lineair en instrumenteel De analyse wordt als een check-the-box-activiteit uitgevoerd, lijstje invullen en vinkjes zetten. Gedrag, cultuur en interactie blijven buiten beeld, terwijl daar vaak juist de echte risico’s zitten. 5. Geen betrokkenheid van de business De risicoanalyse wordt vaak uitgevoerd door riskmanagers of compliance officers, zonder betrokkenheid van afdelingen of het lijnmanagement. Dan blijft het een papieren werkelijkheid. Methoden voor risicoanalyse Er zijn verschillende methoden om risico’s te analyseren. Welke geschikt is, hangt af van het doel, de context en het type risico’s. 1. Klassieke risico-inventarisatie (Kans x Impact) De meest gebruikte methode: je benoemt risico’s, schat de kans en impact in (bijvoorbeeld op een schaal van 1–5) en maakt een risicomatrix. Simpel en snel, maar gevoelig voor subjectiviteit. 2. Risk Control Self Assessment (RCSA) Bij een RCSA beoordelen medewerkers zelf, vaak in workshops, welke risico’s er zijn in hun proces en hoe goed de beheersmaatregelen werken. Deze methode vergroot eigenaarschap, bewustwording en betrokkenheid. 3. Bowtie-analyse Een visuele methode waarbij je de relatie tussen oorzaken, risico’s en gevolgen in kaart brengt, inclusief beheersmaatregelen. Helpt om de logica achter risico’s te begrijpen. 4. SWIFT (Structured What-If Technique) Een semi-gestructureerde brainstormmethode waarbij je scenario’s doorloopt: “Wat als X gebeurt?” Handig voor complexe processen of projecten. 5. FTA (Fault Tree Analysis) en ETA (Event Tree Analysis) Meer technische methodes voor het analyseren van oorzaken en gevolgen in ketens of technische systemen. Vaak gebruikt in industrie of IT. 6. Monte Carlo-simulatie Een kwantitatieve aanpak waarbij risico’s en variabelen worden doorgerekend op basis van duizenden scenario’s. Wordt vooral toegepast bij financiële of projectrisico’s. Hoe voer je een effectieve risicoanalyse uit? Een effectieve risicoanalyse herken je aan deze vijf kenmerken: 1. Vooraf helder doel en scope bepalen Gaat het om een proces, project of organisatiebreed? Hoe duidelijker de scope, hoe gerichter de analyse. 2. Taal en definities afstemmen Zorg dat iedereen die betrokken is, dezelfde begrippen en definities hanteert. Dit voorkomt miscommunicatie. Maak een risicotaxonomie en train mensen in het gebruik ervan. 3. Betrek de business actief Risico’s worden pas tastbaar als ze besproken worden met de mensen die het werk doen. Werk met workshops, interviews of RCSA-sessies. Laat mensen zelf risico’s benoemen en beoordelen. 4. Gebruik meerdere perspectieven Combineer data, proceskennis, interne audits, externe ontwikkelingen en menselijk gedrag. Analyseer niet alleen de ‘harde’ risico’s, maar ook cultuur, houding en motivatie. 5. Koppel risico’s aan doelen, sturing en gedrag Een risicoanalyse is pas effectief als de uitkomsten leiden tot actie. Koppel risico’s aan KPI’s, strategie en jaarplannen. Zorg voor eigenaarschap en opvolging. Hoe Ferocia helpt bij risicoanalyse Bij Ferocia geloven we niet in papieren exercities of standaardlijstjes. Wij helpen organisaties om risicoanalyses wél effectief te maken – als levend instrument dat richting geeft. Dat doen we op vijf manieren: 1. Training en opleiding Via opleidingen zoals Integraal Risicomanagement of masterclasses als RCSA in de praktijk helpen we professionals om risicoanalyse te begrijpen, toe te passen én te verankeren in hun organisatie. 2. Workshops en begeleiding op maat We begeleiden teams bij het uitvoeren van RCSA’s, bowtie-analyses of risicoworkshops. Daarbij zorgen we voor structuur, duidelijke definities en ruimte voor reflectie en gedrag. 3. Advies en co-creatie Samen met jouw organisatie ontwikkelen we een aanpak die werkt: afgestemd op jullie processen, cultuur en strategie. Geen blauwdruk, maar maatwerk. 4. Tooling en templates We bieden praktische formats en methodieken om risicoanalyses eenvoudig en consistent uit te voeren. Daarmee creëren we overzicht én diepgang. 5. Verbinding met control, audit en strategie Wij zorgen dat risicoanalyse niet op zichzelf staat, maar verbonden is met de interne controlcyclus, de auditagenda en strategisch risicomanagement. Tot slot: een risicoanalyse is geen doel, maar een middel Een risicoanalyse is pas waardevol als het gedrag verandert, besluitvorming verbetert en risico’s echt beheerst worden. Dat vraagt om meer dan een matrixje invullen. Het vraagt om een gedeeld begrip van risico’s, om scherpe analyses, en om een cultuur waarin mensen verantwoordelijkheid nemen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Bereid je auditfunctie voor op de toekomst met GIAS 2025. Ontdek hoe de vernieuwde standaarden waarde en controle versterken. Start nu met de implementatie! GIAS De wereld verandert. Snel. Organisaties staan onder druk door toenemende complexiteit, regelgeving, digitalisering en maatschappelijke verwachtingen. In dat speelveld krijgt de internal auditfunctie een steeds belangrijkere rol. Niet als ‘compliancepolitie’, maar als strategische sparringpartner die echt waarde toevoegt. Precies dat is de kern van de vernieuwde Global Internal Audit Standards™ (GIAS), die vanaf 2025 wereldwijd de standaard zullen vormen. In deze blog nemen we je mee in wat de GIAS precies zijn, waarom deze herziening zo belangrijk is, wat er verandert en minstens zo relevant, wat jij nu al kunt doen om jouw auditfunctie klaar te stomen voor de toekomst. Wat is GIAS? De GIAS 2025 zijn het resultaat van een omvangrijke herziening van de bestaande International Professional Practices Framework (IPPF) van het Institute of Internal Auditors (IIA). Dit is niet zomaar een update van de oude IIA-standaarden; het is een fundamentele transformatie van de beroepspraktijk van internal auditors. Waar de vorige standaarden vooral draaiden om het borgen van kwaliteit en structuur in de auditfunctie, leggen de nieuwe GIAS veel nadrukkelijker de focus op impact, ethiek, governance, en strategische relevantie. Niet alleen voor auditors zelf, maar ook voor hun stakeholders. De GIAS zijn opgebouwd rond 15 principes, onderverdeeld in vijf domeinen: Doel en positie van de auditfunctie Ethiek en professionaliteit Governance, risicobeheer en interne beheersing Auditplanning en uitvoering Kwaliteitsmanagement en continue verbetering Wat maakt GIAS 2025 fundamenteel anders? 1. Principle based in plaats van checklist denken De nieuwe standaard is principle based. Dat betekent: minder regels om af te vinken, meer ruimte voor professioneel oordeel. Elke internal auditor wordt uitgedaagd om na te denken over het ‘waarom’ van zijn werk. Wat draag je echt bij aan de organisatie? Hoe maak je risico’s zichtbaar die er écht toe doen? 2. Meer focus op waardecreatie Waar internal auditing traditioneel werd geassocieerd met controle, ligt de nadruk nu veel sterker op het verbeteren van processen, versterken van governance en strategische ondersteuning van directie en bestuur. De auditor als aanjager van continue verbetering, daar draait het om. 3. Toepasbaar voor alle organisaties De GIAS zijn ontworpen voor wereldwijde toepasbaarheid. Of je nu werkt bij een multinational, een ziekenhuis, een woningcorporatie of een gemeente: de principes zijn toepasbaar en schaalbaar. Dat betekent ook dat kleinere auditfuncties kunnen (moeten) voldoen aan de GIAS. 4. Verwevenheid met ethiek en onafhankelijkheid De standaard begint niet voor niets met principes rondom ethiek en onafhankelijkheid. Het IIA onderstreept: integriteit is geen optionele bijzaak, maar het fundament van vertrouwen. In een tijd van maatschappelijke onrust en toenemende transparantieverplichtingen, is dat actueler dan ooit. 5. Ondersteuning met implementatiegidsen Bij elk principe hoort een set met implementatiegidsen, tools en voorbeelden. Daarmee is het niet alleen een normatief kader, maar ook een concreet handvat voor de praktijk. Wat moet je doen? Hoe pak je dat aan? Welke valkuilen moet je vermijden? De GIAS helpen je verder. Waarom deze herziening nu? De laatste jaren is het vakgebied internal auditing ingrijpend veranderd. Denk aan: Verschuiving van financiële naar strategische risico’s Opkomst van thema’s als duurzaamheid, cyberweerbaarheid, soft controls Toenemende verwachtingen van toezichthouders, stakeholders en maatschappij Snelle technologische ontwikkelingen (AI, data-analyse, automatisering) In dat speelveld is een auditor die puur controleert, simpelweg niet meer voldoende. Organisaties vragen om auditors die meedenken, vooruitkijken, en verbinden. De GIAS 2025 zijn ontwikkeld om dat profiel te ondersteunen en te versterken. Wat betekenen de GIAS voor jouw auditfunctie? Voor veel auditafdelingen betekent GIAS een verschuiving in denken en doen. Niet alleen in procedures, maar vooral in houding, communicatie en positionering. Een aantal voorbeelden: – Kritischer reflecteren op je eigen onafhankelijkheid Ben je werkelijk onafhankelijk, of sta je ‘te dichtbij’ je stakeholders? GIAS dwingt auditors om zichzelf, en hun posities, kritisch onder de loep te nemen. – Meer aandacht voor ethiek, cultuur en gedrag Auditors worden uitgedaagd om verder te kijken dan harde controls. Soft controls zoals leiderschap, communicatie, voorbeeldgedrag en cultuur krijgen een prominentere plek. – Grotere verantwoordelijkheid voor kwaliteit Kwaliteitsborging wordt niet meer gezien als een externe verplichting, maar als een interne verantwoordelijkheid. Dat betekent structurele zelfevaluatie, intervisie, bijscholing en het delen van lessons learned. En nu? Vijf stappen om je voor te bereiden op GIAS 2025 Ben je internal auditor, auditmanager of verantwoordelijk voor governance en risicobeheersing? Dan kun je niet wachten om je voor te bereiden. Deze zes stappen helpen je op weg: Verdiep je in de 15 principes Neem de nieuwe GIAS zorgvuldig door en betrek je team bij de interpretatie. Doe een gap-analyse Waar voldoe je al aan? Waar zijn nog hiaten? Wat vraagt om meer ontwikkeling? Leg verbinding met je stakeholders Bespreek met bestuur, directie en toezichthouders wat de GIAS betekenen voor jullie samenwerking. Ontwikkel je mensen Investeer in training, intervisie en kennisdeling. Niet alleen over de standaarden, maar ook over communicatie, ethiek en soft controls. Gebruik de implementatiegidsen Maak gebruik van de tools, formats en voorbeelden die het IIA biedt. Daarmee maak je de vertaalslag van theorie naar praktijk. GIAS 2025 is meer dan een norm, het is een mindset De echte waarde van de GIAS zit niet in de documenten zelf, maar in de manier waarop jij ze toepast. Ze dagen je uit om kritisch te kijken naar je eigen rol, je positie binnen de organisatie en je bijdrage aan het geheel. Ze vragen om lef, reflectie en continue verbetering. Of zoals een ervaren auditor het verwoordde: “Met GIAS is internal auditing niet langer een controlerende rol, maar een strategische professie.” Hoe kan Ferocia je helpen met de transitie naar GIAS? Ferocia helpt auditfuncties al jaren bij het versterken van hun rol in organisaties. Van training tot coaching, van auditmethodiek tot verandermanagement: wij zijn jouw partner in deze transitie. Onze experts denken met je mee, geven praktische handvatten en zorgen dat jouw auditfunctie klaar is voor de GIAS, en alles wat daarna komt. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs

Ferocia helpt internal auditafdelingen bij voorbereiding en uitvoering van de externe kwaliteitstoetsing volgens GIAS. Versterk je auditfunctie en ontdek hoe. Kwaliteitstoetsingen Hoe Ferocia internal auditafdelingen ondersteunt bij de kwaliteitstoetsing De rol van de internal auditfunctie binnen organisaties is de afgelopen jaren aanzienlijk veranderd. Internal auditors worden tegenwoordig steeds vaker gezien als strategische partners die bijdragen aan governance, risicobeheersing en waardecreatie. Die ontwikkeling brengt ook een grotere verantwoordelijkheid met zich mee. Stakeholders verwachten dat auditafdelingen niet alleen voldoen aan wet- en regelgeving, maar ook dat zij aantoonbaar werken volgens de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA). Om dit te waarborgen, is er de ‘verplichte’ kwaliteitstoets, een periodieke beoordeling van de internal auditfunctie, uitgevoerd door een onafhankelijke partij. Voor veel auditafdelingen is dit een spannend en intensief traject. Hoe toon je aan dat je voldoet aan de kwaliteitscriteria? Hoe bereid je je voor op een externe toets? En hoe vertaal je de uitkomsten naar duurzame verbeteringen? Daar komt Ferocia in beeld. Ferocia als partner in kwaliteitstoetsing Ferocia ondersteunt internal auditafdelingen van A tot Z bij de kwaliteitstoetsing. Dat doen wij vanuit drie diensten: Audit readiness assessment. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS. Uitvoering van de externe kwaliteitstoets (Ferocia is gecertificeerd door het IIA). Door deze combinatie zijn wij voor auditafdelingen niet alleen een sparringpartner, maar ook een onafhankelijke beoordelaar die de kwaliteit van het vakgebied helpt versterken (uiteraard kunnen en willen wij dienstverlening 1 en 2 niet combineren met 3). 1. Audit readiness assessment: voorbereid de kwaliteitstoetsing in Een kwaliteitstoets kan voor auditteams een pittige exercitie zijn. Vaak heerst er onzekerheid: Hoe zit het met onze ethiek en professionele moed? Is onze auditcharter up-to-date? Sluiten onze werkprogramma’s voldoende aan op de standaarden? Hoe scoren we op onafhankelijkheid en objectiviteit? Met het audit readiness assessment helpt Ferocia auditafdelingen deze vragen te beantwoorden. Dit assessment is een grondige analyse die inzicht geeft in de huidige situatie en de mate van gereedheid voor de externe kwaliteitstoetsing. Wat houdt het in? Documentreview: We analyseren beleidsstukken, auditplannen, werkdossiers en rapportages. Interviews: We spreken met auditors, management en stakeholders om te toetsen hoe processen in de praktijk werken. Gap-analyse: We vergelijken de huidige werkwijze met de GIAS-criteria en brengen eventuele verbeterpunten in kaart. Het resultaat Een concreet rapport met: Sterke punten die de auditfunctie onderscheiden. Verbeterpunten die aandacht vragen voor de externe toets. Praktische aanbevelingen waarmee de afdeling direct aan de slag kan. Het readiness assessment geeft auditteams rust, duidelijkheid en een routekaart richting een succesvolle kwaliteitstoets. 2. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS De GIAS stelt duidelijke eisen aan de inrichting en uitvoering van internal auditfunctie. Denk aan ethiek, onafhankelijkheid, positionering binnen de organisatie, kwaliteit van werkprogramma’s en continue professionalisering van het team. Veel auditafdelingen ervaren dat het lastig is om deze criteria consequent door te vertalen naar hun eigen praktijk. Ferocia biedt hier gerichte ondersteuning. Hoe ondersteunen wij? Workshops & trainingen: Gericht op specifieke thema’s zoals onafhankelijkheid, rapportagekwaliteit of stakeholdermanagement. Coaching on the job: Onze experts werken samen met auditteams tijdens lopende audits en geven direct feedback. Template- en procesontwikkeling: We helpen bij het opstellen van praktische formats, auditplannen, auditcharter, etc. die voldoen aan de GIAS. Voorbeeld uit de praktijk Een middelgrote financiële instelling vroeg ons om hulp omdat hun auditfunctie wel operationeel draaide, maar onvoldoende aantoonbaar voldeed aan de GIAS. Ferocia heeft een maatwerk verbeterprogramma opgesteld, inclusief workshops voor het auditteam, begeleiding bij het actualiseren van het auditcharter en ondersteuning bij rapportages. Bij de externe toets werd het team geprezen om hun professionaliteit en verbeterkracht. 3. Externe kwaliteitstoets: onafhankelijk en gecertificeerd Uiteindelijk komt het moment dat de auditfunctie een externe kwaliteitstoets moet ondergaan. Deze toets is ‘verplicht’ voor internal auditfuncties die aangesloten zijn bij het IIA en biedt zekerheid aan de organisatie en haar stakeholders. Ferocia is gecertificeerd om deze externe kwaliteitstoetsen uit te voeren. Dat betekent dat wij onafhankelijk beoordelen of een auditafdeling voldoet aan de GIAS. Hoe verloopt de externe kwaliteitstoetsing? Voorbereiding: We bereiden de externe kwaliteitstoetsing voor en stellen een planning op. Onderzoek: Ferocia voert interviews, documentanalyses en dossierreviews uit. Beoordeling: We vergelijken de praktijk met de kwaliteitscriteria. Rapportage: Het auditteam ontvangt een rapportage met een gedetailleerd oordeel met onderbouwing en eventuele concrete aanbevelingen. Meerwaarde van Ferocia als toetsende partij Ervaring: Onze auditors hebben vele kwaliteitstoetsen uitgevoerd bij uiteenlopende organisaties. Praktische blik: We kijken niet alleen of criteria worden gehaald, maar ook hoe de auditfunctie zich verder kan ontwikkelen. Onafhankelijkheid: Als gecertificeerde partij borgen we een objectief en betrouwbaar oordeel. Waarom kiezen auditafdelingen voor Ferocia? De kracht van Ferocia zit in de combinatie van kennis, ervaring en betrokkenheid. We kennen de praktijk van internal auditing door en door. We combineren theoretische kennis van de GIAS met praktische inzichten uit tientallen organisaties. We denken niet alleen in termen van toetsing, maar ook in ontwikkeling en groei van de auditfunctie. Onze klanten waarderen dat wij niet alleen toetsen, maar ook meedenken over hoe hun afdeling sterker, professioneler en toekomstbestendiger kan worden. De impact van een externe kwaliteitstoets: meer dan een verplichting Soms wordt de externe kwaliteitstoets gezien als een administratieve verplichting. Maar in werkelijkheid is het veel meer dan dat. Een goed doorlopen kwaliteitstoets biedt: Vertrouwen bij bestuur en toezichthouders dat de auditfunctie onafhankelijk en professioneel opereert. Meerwaarde voor de organisatie, omdat verbeterpunten direct bijdragen aan betere governance en risicobeheersing. Professionele groei voor auditors zelf, doordat zij leren van feedback en best practices. Met de juiste voorbereiding en begeleiding kan een kwaliteitstoets zo veranderen van een “spannend examen” naar een kans om de auditfunctie naar een hoger niveau te tillen. Conclusie: Samen werken aan auditkwaliteit Internal auditafdelingen staan voor de uitdaging om niet alleen hun werk goed te doen, maar dit ook aantoonbaar te maken volgens internationale standaarden. De kwaliteitstoets is daarbij een krachtig instrument, mits goed voorbereid en uitgevoerd. Ferocia ondersteunt auditafdelingen op drie niveaus: Audit readiness assessment: inzicht en voorbereiding. Ondersteuning bij voldoen aan de GIAS: kennis, begeleiding en praktische tools. Externe kwaliteitstoets: onafhankelijk, gecertificeerd en met oog voor ontwikkeling. Zo helpen wij internal auditors niet alleen om de toets te halen, maar vooral om sterker en toekomstbestendiger uit het traject te komen. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Sta jij als internal auditfunctie voor een (aanstaande) kwaliteitstoetsing? Ferocia helpt je van readiness assessment tot en met onafhankelijke externe toetsing volgens de GIAS. Ontdek hoe je van ‘spannend examen’ naar kans op groei en professionalisering gaat. Kwaliteitstoetsing auditafdelingen Knop

Business Continuity Management helpt organisaties veerkrachtig te blijven bij crises. Ontdek hoe BCM risico’s vertaalt naar actie en weerbaarheid vergroot. Business Continuity Management Stel je voor: je organisatie ligt een dag stil. Niet alleen de mailserver, maar een cruciaal systeem. Orders worden niet verwerkt. Klanten kunnen niet geholpen worden. Een fabriek draait niet. Of een cyberaanval raakt juist die processen waar je als organisatie je license to operate aan ontleent. De eerste uren red je het op improvisatie en adrenaline. Maar dan komt de echte vraag: hebben we hier grip op, of zijn we overgeleverd aan de omstandigheden? Dat is precies waar Business Continuity Management (BCM) over gaat. Wat is Business Continuity Management? BCM wordt vaak verward met IT-disaster recovery of een mapje “calamiteitenplannen” in SharePoint. Nuttig, maar te beperkt. In essentie is BCM het gestructureerd vermogen van een organisatie om kritieke processen te blijven uitvoeren bij verstoringen. Het gaat om continuïteit van dienstverlening, niet om het voorkomen van elk incident. Dat laatste lukt toch niet. De kernvragen zijn: welke processen moeten doorlopen, welke maximale impact accepteren we, welke structuur en welk raamwerk zetten we neer en wie neemt welke besluiten onder druk? BCM verbindt strategie, processen, mensen, technologie en leveranciers in één verhaal. Dat maakt het bij uitstek een onderwerp voor riskmanagers, controllers en internal auditors: jullie zitten precies op het snijvlak van doelen, risico’s en beheersing. Waarom BCM nu belangrijker is dan ooit Organisaties opereren allang niet meer in een stabiele, voorspelbare omgeving. De afgelopen jaren hebben laten zien hoe kwetsbaar ketens zijn. Cyberaanvallen, energietekorten, personeelsschaarste, pandemieën, geopolitieke spanningen, falende leveranciers: het zijn geen theoretische scenario’s, maar dingen die “gewoon gebeuren”. Tegelijk neemt de afhankelijkheid van digitale hulpmiddelen exponentieel toe. Een verstoring is zelden nog geïsoleerd; vaak raakt het meerdere ketenpartners tegelijk. Daarbij komen aangescherpte verwachtingen van toezichthouders en wetgevers, zoals DORA in de financiële sector of NIS2 voor vitale en belangrijke sectoren. BCM schuift daarmee van “nice to have” naar kernonderdeel van goed bestuur. Bestuurders zien dat ook. Continuïteit, reputatie en vertrouwen van klanten zijn strategische thema’s. Maar tussen die bestuurlijke ambitie en de praktijk op de werkvloer zit vaak een gat. Precies daar kan goed BCM het verschil maken. BCM, risicomanagement en incidentmanagement: hoe hangt het samen? Een veel gestelde vraag: hebben we naast risicomanagement nu óók BCM nodig? Het antwoord is ja, maar niet als los traject. Risicomanagement richt zich primair op het identificeren en behandelen van risico’s voordat ze zich voordoen. Je probeert de kans te verlagen en de impact te beperken. BCM gaat uit van de veronderstelling dat verstoringen óók daadwerkelijk optreden. Niet als “zwarte zwaan”, maar als realistische gebeurtenis. De vraag verschuift van “hoe voorkomen we dit volledig?” naar “hoe zorgen we dat we door kunnen?”. Incidentmanagement heeft vervolgens de focus op de eerste reactie: detecteren, escaleren, oplossen. BCM kijkt verder: hoe vangen we de impact op, hoe herstellen we, hoe houden we de organisatie bestuurbaar, hoe communiceren we en hoe leren we na afloop? Je kunt het zien als drie lagen:– risicomanagement om slimmer te worden vóór een incident,– incidentmanagement om effectief te reageren tijdens een incident,– BCM om de continuïteit van de organisatie te borgen rondom het incident. Als internal auditor of riskmanager is het dus niet de vraag óf je met BCM te maken krijgt, maar vooral hoe goed die drie lagen op elkaar aansluiten. De kern van BCM: van BIA tot herstel in de praktijk Hoewel ieder BCM-traject een eigen kleur krijgt, zie je in volwassen organisaties steeds een aantal vaste bouwstenen terug. Niet als theoretisch model, maar als logisch groeipad. Het startpunt is bijna altijd een Business Impact Analyse (BIA). Daarin breng je in kaart welke processen echt kritisch zijn, welke producten en diensten daarvan afhangen, wat de impact is van uitval en binnen hoeveel tijd je weer op een minimaal niveau moet functioneren. Het mooie van een goede BIA is dat hij het gesprek dwingt over prioriteiten. Niet alles is “hoog, rood, kritisch”. Vanuit die impactanalyse werk je naar continuïteitsstrategieën. Wat doe je als een locatie uitvalt? Als een kernapplicatie niet beschikbaar is? Als een cruciale leverancier faalt? Ga je uit van alternatieve locaties, redundante systemen, handmatige noodprocedures, afspraken met andere partijen? Hier raakt BCM direct de wereld van architectuur, sourcing, IT-inrichting en contractmanagement. Vervolgens worden deze keuzes vertaald naar concrete business continuity-plannen. Geen dikke bundels die niemand leest, maar praktische, rolgerichte instructies: wie belt wie, welke beslissingen worden waar genomen, welke processen schalen we eerst op, welke klanten moeten we actief informeren, hoe documenteren we wat er gebeurt? Tot slot komt een cruciaal onderdeel dat in veel organisaties wordt onderschat: oefenen en leren. Een plan dat nooit getest is, is geen plan. Oefeningen, simulaties, onverwachte uitvalsessies: ze maken zichtbaar wat er in de praktijk wel en niet werkt. En ze leggen vaak bloot dat het echte knelpunt niet in de techniek zit, maar in coördinatie, besluitvorming en communicatie. Mensen, gedrag en soft controls in BCM BCM klinkt al snel technisch: fallback-locaties, RTO’s, RPO’s, redundante lijnen. Maar als je kijkt naar incidenten en crises in de praktijk, zie je dat succes of mislukking vaak wordt bepaald door gedrag. Wordt een storing tijdig gemeld of schuift iemand het voor zich uit? Durven medewerkers een incident te escaleren als ze bang zijn dat het “gedoe” oplevert? Neemt het management onder druk besluiten of vervalt men in afwachten en micro-management? Worden verantwoordelijkheden tijdens een crisis duidelijk opgepakt, of is iedereen tegelijk “bezig”? Dat zijn geen hard-controlvragen, maar soft-controlvragen. Ze gaan over leiderschap, cultuur, voorbeeldgedrag, open communicatie en psychologische veiligheid. In opleidingen zoals operational auditing en integraal risicomanagement zie je die thema’s steeds nadrukkelijker terugkomen, juist omdat auditors merken dat een systeem op papier klopt maar in de praktijk niet werkt als gedrag niet meedoet. Voor BCM geldt hetzelfde. Een continuïteitsplan zonder geoefend crisisteam is als een ongelezen handleiding. Een prachtige BIA zonder draagvlak in de business is als een spreadsheet in de la. Daarom is het zo belangrijk dat BCM niet alleen “in de staf” plaatsvindt, maar dat lijnmanagement vanaf het begin betrokken is. De rol van internal audit en risicomanagement in BCM BCM is typisch zo’n thema waar de drie lijnen (three lines model) elkaar nodig hebben. De eerste lijn, de business en de operationele teams kennen de processen, klanten en systemen. Zij weten welke activiteiten echt niet stil kunnen vallen en welke workaround in de praktijk nog nét werkt. Zij zijn eigenaar van continuïteitsplannen. De tweede lijn, risk, compliance en security, helpt om kaders te zetten, methodiek te kiezen, scenario’s te beoordelen en de kwaliteit van plannen te bewaken. Zij zorgen dat BCM niet eenmalig is, maar ingebed wordt in de reguliere planning- & controlcyclus en risicodialogen. De derde lijn, internal audit heeft een unieke rol. De auditor kijkt onafhankelijk en objectief naar de opzet, het bestaan en de werking van BCM. Klopt de logica van het raamwerk? Sluit de BIA aan op de strategische doelen? Zijn de plannen getest en geactualiseerd? Leren we van oefeningen en echte incidenten? En misschien wel de meest interessante vraag: past de continuïteitsaanpak bij de risk appetite van bestuur en directie, of is men óf veel te krampachtig, óf juist te laconiek? Daarnaast kan internal audit een katalysator zijn voor een bredere discussie. Een audit op BCM raakt per definitie meerdere disciplines: IT, HR, facility, inkoop, business, communicatie. Het is een uitgelezen kans om silo’s te doorbreken en de organisatie als geheel naar een hoger niveau van weerbaarheid te helpen. BCM in een wereld van ketens en uitbesteding Waar BCM vroeger nog vooral binnen de eigen muren werd bekeken, is dat vandaag niet meer houdbaar. Vrijwel iedere organisatie is onderdeel van meerdere ketens. Denk aan cloud leveranciers, SaaS-applicaties, logistieke partners, shared service centers, uitbestede klantcontactcentra. Dat betekent dat continuïteitsrisico’s ook buiten je eigen organisatie liggen. Een verstoring bij een leverancier kan jouw dienstverlening direct raken. BCM moet daarom hand in hand gaan met Third Party Risk Management en contractuele afspraken. Wat staat er in de SLA over beschikbaarheid en herstel? Is er een exit-strategie als een leverancier langere tijd uitvalt? Zijn er afspraken over gedeelde oefeningen en testscenario’s? Voor auditors en riskmanagers is dit een interessante maar ook complexe dimensie. Je bent niet alleen meer bezig met interne controls, maar ook met de vraag in hoeverre je zicht en grip hebt op de weerbaarheid van partners. Zeker in sectoren waar DORA of NIS2 gelden, zie je dat toezichthouders nadrukkelijk vragen naar deze ketenblik. BCM kan daar een sterke kapstok voor zijn. Hoe begin je zonder te verdrinken in modellen? BCM kan intimiderend overkomen. Frameworks, standaarden, maturity-modellen, je ziet al snel door de bomen het bos niet meer. Toch hoeft een eerste stap niet ingewikkeld te zijn. Begin met het gesprek: welke processen of diensten zijn voor ons écht cruciaal? Wat gebeurt er als die een dag, drie dagen, een week uitvallen? Welke klanten raken we dan? Welke wettelijke verplichtingen spelen een rol? Dit soort gesprekken levert vaak meer inzicht en urgentie op dan een dikke rapportage. Van daaruit kun je gericht starten met één of twee processen. Liever klein en concreet, dan meteen een organisatiebrede exercitie die vastloopt in complexiteit. Kies een kernproces, doe een beknopte BIA, stel een praktisch continuïteitsplan op, oefen dat plan met het team en leer ervan. De ervaring die je daar opdoet, gebruik je om de rest van de organisatie stapsgewijs mee te nemen. Internal auditors en riskmanagers hebben hierbij een mooie rol als gids. Niet door BCM “over te nemen”, maar door scherpe vragen te stellen, methodische ondersteuning te bieden en te helpen prioriteren. Zo wordt BCM geen project van één afdeling, maar een organisatiebrede beweging. Business Continuity Management als investering in lerend vermogen Als je BCM terugbrengt tot “een plan voor als het misgaat”, doe je jezelf tekort. In de kern is het een manier om als organisatie te leren omgaan met onzekerheid. Je gaat bewuster kijken naar afhankelijkheden. Je ontdekt welke processen stiekem kritischer zijn dan gedacht. Je ziet hoe beslissingen in het hier en nu, bijvoorbeeld over uitbesteding, cloudmigratie of personeelsbezetting gevolgen hebben voor je toekomstige weerbaarheid. En je leert door te oefenen: hoe reageren mensen onder druk, welke informatie mis je, waar ontstaan misverstanden, waar gaat het juist heel goed? Dat maakt BCM niet alleen een audit, risk- of compliance-verhaal, maar een ontwikkelvraagstuk. Een kans om het lerend vermogen van management en medewerkers te vergroten, en daarmee de kans dat je als organisatie ook in turbulente tijden je doelen blijft realiseren. Tot slot Business Continuity Management is een noodzakelijk antwoord op een wereld waarin verstoringen de norm zijn geworden. Het helpt organisaties om verder te kijken dan incidenten en brandjes, en structureel na te denken over de vraag: hoe blijven wij waarde leveren als het tegenzit? Voor internal auditors, riskmanagers, controllers en compliance-professionals is BCM daarmee een krachtig thema om het gesprek over risico’s, governance en gedrag te verdiepen. Niet met nog een checklist, maar met concrete scenario’s, eerlijke gesprekken en praktische plannen die getest en geleefd worden. Wil je BCM in jouw organisatie naar een hoger niveau brengen, of zoek je ondersteuning bij het uitvoeren van een audit, het opzetten van een raamwerk of het trainen van teams? Dan is dit precies het terrein waar Ferocia je kan helpen, via opleidingen en trainingen, interim en consultancy en werving en selectie. Zodat je niet alleen een “BCM-plan” hebt, maar een organisatie die daadwerkelijk veerkrachtig is als het erop aankomt. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs

Versterk je gespreksvaardigheden met de training gesprekstechnieken. Leer omgaan met weerstand en maak écht impact. Alle blogs Risicomanagement, Internal auditing Training gesprekstechnieken voor auditors en riskmanagers Of je nu werkt als auditor, controller of risk officer, je succes hangt meer af van je gespreksvaardigheden dan je misschien denkt. Hoe scherp je analyses ook zijn en hoe goed je dossiers ook zijn voorbereid: zonder een open, doelgericht en effectief gesprek blijft je impact beperkt. Goede gesprekstechnieken zijn onmisbaar. Niet alleen om informatie boven tafel te krijgen, maar ook om echt verbinding te maken, weerstand te overbruggen en gedrag bespreekbaar te maken. Dat is precies waar de training gesprekstechnieken voor auditors en risicoprofessionals van Ferocia op inspeelt. Wat zijn gesprekstechnieken? Gesprekstechnieken zijn methoden en vaardigheden die je inzet om een gesprek doelgericht, gestructureerd en effectief te laten verlopen. Denk aan het stellen van de juiste vragen, het actief luisteren, het herkennen van non-verbale signalen, het omgaan met weerstand en het schakelen tussen verschillende communicatieniveaus. In het vakgebied van auditing en risicomanagement krijgen deze technieken nog een extra dimensie: je gesprekspartner is vaak iemand van binnen de organisatie, met eigen belangen, belangen die soms haaks staan op jouw bevindingen of observaties. Daarom is het cruciaal dat je als professional niet alleen vaktechnisch onderlegd bent, maar ook beschikt over de juiste gespreksvaardigheden. Gesprekstechnieken zijn geen ‘soft skill’ die je er zomaar bijdoet; ze vormen een wezenlijk onderdeel van je vakmanschap. Wat leer je tijdens de training gesprekstechnieken? De training Gesprekstechnieken van Ferocia is ontworpen voor professionals die werken binnen het domein van audit, control, risk of compliance en die effectiever willen worden in het voeren van kwalitatief goede gesprekken. In drie interactieve dagdelen leer je hoe je gesprekken beter voorbereidt, gestructureerd voert en afrondt. De training is opgebouwd rondom de volgende thema’s: Gespreksvoorbereiding : Hoe bereid je je voor op een auditinterview? Hoe sluit je interviewschema’s aan op het normenkader? Gesprekstechnieken : Je leert welke gesprekstechnieken je wanneer inzet en hoe je daarmee de regie in handen houdt, zonder het contact te verliezen. Vraagformulering : Je ontwikkelt vaardigheden om vragen scherp te formuleren, ook als het gaat over lastige onderwerpen als cultuur en gedrag. Communicatieniveaus : Je leert schakelen tussen inhoud, proces en relatie. Want alleen met bewustzijn op deze drie niveaus maak je echt impact. Omgaan met weerstand : Hoe herken je weerstand? En hoe kun je het ombuigen naar een constructief gesprek? Tijdens de training oefen je met deze vaardigheden aan de hand van praktijkcasussen, rollenspellen en reflectie. De theorie krijg je aangereikt via een innovatieve e-learningmodule, die je voorafgaand aan de bijeenkomsten zelfstandig doorloopt. Zo ben je optimaal voorbereid om tijdens de bijeenkomsten aan de slag te gaan met de toepassing in jouw praktijk. Wat kun je nadat je de training hebt afgerond? Na het afronden van de training ben je geen theoretisch expert, maar een beter uitgeruste professional. Je bent in staat om: gesprekken doelgericht en gestructureerd te voeren; de juiste gesprekstechnieken op het juiste moment in te zetten; de regie te houden, ook in lastige gesprekken of bij weerstand; diepere, betekenisvollere gesprekken te voeren over cultuur en gedrag; verschillende communicatieniveaus te herkennen en te benutten; effectiever informatie te verzamelen en gedragsaspecten bespreekbaar te maken; en jouw eigen stijl te ontwikkelen en bewust in te zetten. Je krijgt bovendien 12 PE-punten en een certificaat van deelname. Maar belangrijker nog: je ontwikkelt jezelf tot een gesprekspartner die gehoord wordt en die echt verschil maakt in de organisatie. Voor wie is deze training bedoeld? Deze training is speciaal ontwikkeld voor professionals die betrokken zijn bij audits, risicomanagement, compliance of control. Denk aan: Internal auditors (operational, IT of financial) Controllers Risk en compliance officers Accountants Medewerkers AO/IC Kwaliteitsmedewerkers Proceseigenaren Wat deze groep professionals verbindt? Van hen wordt verwacht dat zij gesprekken kunnen voeren waarin informatie wordt opgehaald, geanalyseerd en teruggekoppeld, vaak in een complexe of gevoelige context. De training is gericht op mensen met een HBO werk- en denkniveau die willen investeren in hun effectiviteit als gesprekspartner. De werkvorm van de training De training gesprekstechnieken is allesbehalve klassikaal en eenzijdig. Het is een praktijkgerichte, interactieve en blended leerervaring. Wat houdt dat in? E-learning (3 uur) : Voorafgaand aan de bijeenkomsten volg je de e-learning Interviewvaardigheden. Deze module doorloop je zelfstandig en in je eigen tempo. Zo leg je een solide basis aan theorie, die je vervolgens in de bijeenkomsten direct toepast. Drie interactieve bijeenkomsten (3 uur per bijeenkomst) : Deze sessies kun je fysiek of online bijwonen. Hier oefen je met de praktijk, ontvang je feedback en deel je ervaringen met andere deelnemers. Rollenspellen en praktijkopdrachten : Je oefent met realistische cases uit je eigen werkpraktijk. Persoonlijk actieplan : Je formuleert je eigen ontwikkeldoelen en krijgt daarop feedback van de docent en je mededeelnemers. Mixed classroom : Je kunt zelf kiezen of je fysiek of digitaal deelneemt. De training is volledig hybride ingericht. Het resultaat? Een training die aansluit op jouw praktijk, jouw uitdagingen en jouw leerstijl. En die jou helpt om niet alleen beter te luisteren, maar ook beter gehoord te worden. Waarom gesprekstechnieken een must zijn voor auditors en risicoprofessionals In een tijd waarin risicobeheersing, cultuur en gedrag steeds vaker centraal staan in audits, kun je als professional niet meer leunen op inhoud alleen. Het is niet genoeg om een dossier te analyseren; je moet ook het verhaal achter het proces boven tafel krijgen. Je moet gedrag bespreekbaar kunnen maken, de vinger kunnen leggen op impliciete overtuigingen en met weerstand kunnen omgaan zonder dat het gesprek stokt. Sterke gesprekstechnieken zijn daarbij geen luxe, maar noodzaak. Ze vormen de brug tussen observatie en actie, tussen analyse en interventie. En juist daarom verdienen ze een vaste plek in de gereedschapskist van iedere audit- en riskprofessional. Meer informatie over de training gesprekstechnieken klik hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Vergroot je impact met de training Risicomanagement: leer risico’s analyseren, beheersen en maak direct de vertaalslag naar jouw praktijk. Schrijf je direct in! Training Risicomanagement Duur Studiekosten PE-punten 4 dagdelen € 1.395,- 18 Inschrijven Training Risicomanagement Wat leer je tijdens de training Risicomanagement? Teneinde organisatiedoelstellingen te kunnen realiseren heeft het management de belangrijke taak tijdig in te spelen op veranderingen in de omgeving en risico’s te managen. Risico’s veranderen echter snel; dit maakt dat het managen van deze risico’s de voortdurende aandacht van de organisatie eist. Beheersing betekent dat de organisatie effectief en proactief omgaat met het dynamische spanningsveld tussen doelrealisatie, verandering en risico’s. Veranderingen in risico’s moeten worden onderkend en beheerst, wil een organisatie ‘in control’ zijn. Een belangrijke randvoorwaarde voor effectief en integraal risicomanagement is het incorporeren van consistent risicomanagementbeleid en een risicomethodiek in de gehele organisatie. Door een juiste risicomethodiek te organiseren ondersteund vanuit een risicomanagementbeleid, kun je het resultaat van je inspanningen vergroten om risico’s te onderkennen en te beheersen. Waarom kiezen voor de training Risicomanagement? Organisaties die risico’s goed beheersen, presteren aantoonbaar beter. Maar effectieve risicobeheersing vraagt om meer dan beleid en formats. Het vereist inzicht, samenwerking en eigenaarschap. In deze training: • leer je hoe je risicodenken integreert in alle lagen van de organisatie; • werk je met actuele inzichten op het gebied van corporate governance en risicocycli; • vertaal je theorie direct naar jouw eigen praktijk; en • en werk je met andere professionals aan echte vraagstukken. Je ontwikkelt niet alleen kennis, maar ook vaardigheden. Van het analyseren van risico’s tot het betrekken van stakeholders bij het beheersen ervan. Daarmee vergroot je jouw waarde als controller, risk officer, auditor of proceseigenaar, en die van je organisatie. Waarom kiezen voor Ferocia? Ferocia is de specialist in audit, risk en control. Wij combineren inhoudelijke diepgang met didactisch vakmanschap, zodat jij niet alleen leert maar ook daadwerkelijk presteert. Onze docenten zijn verbonden aan toonaangevende hogescholen en universiteiten en brengen hun praktijkervaring rechtstreeks de klas in. Daarbij werken we vanuit inspiratie, co-creatie en prestatie: leren doe je samen en altijd met het oog op resultaat. Dankzij de unieke mix van e-learning, interactieve bijeenkomsten en praktijkopdrachten weet je na afloop precies hoe je auditing van echte waarde maakt voor jouw organisatie. Wil jij de risico’s in jouw organisatie beter begrijpen en beheersen? Schrijf je dan nu in voor de training risicomanagement. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker, proceseigenaar, (operational, IT- of financial) auditor of accountant en je wilt een stevige bijdrage leveren aan het optimaliseren van risicomanagement binnen je organisatie. De tijdsinvestering bedraagt ongeveer 18 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze training werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 18 PE-punten. De studiekosten bedragen € 1.395,- (all-in en vrij van btw). Wat eerdere deelnemers zeggen Ilse Boesjes Risk manager "Goede introductie in de wereld van risicomanagement met waardevolle inzichten voor het uitvoeren van een RCSA!" Inzichten Risk appetite en risk tolerance Risicomanagement gaat niet over alle risico’s uitsluiten. Het draait om het maken van bewuste keuzes: waar geven we ruimte aan ondernemerschap, waar trekken we een heldere lijn en wanneer grijpen we in. In dat spanningsveld spelen twee begrippen de hoofdrol: risk appetite (of risicobereidheid) en risk tolerances. In theorie lijken ze overzichtelijk, in de praktijk lopen ze vaak door elkaar. Zonde, want organisaties die hun risicohouding scherp formuleren én vertalen naar hant 21 okt 2025 7 minuten om te lezen Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Opleiding risicomanagement Iedere organisatie, groot of klein heeft ermee te maken: risico’s. Of het nu gaat om cyberdreigingen, veranderende wetgeving,... 26 aug 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Leer in één dag effectieve projectaudits uitvoeren met Scrum en PRINCE2. Versterk je rol als auditor en vergroot je impact. Schrijf je direct in voor de training projectauditing! Training Projectauditing Duur Studiekosten PE-punten 2 dagdelen € 650,- 8 Inschrijven Training Projectauditing Projecten, programma’s en portfolio’s zijn niet meer weg te denken uit moderne organisaties en nemen in aantal en complexiteit snel toe. Toch voelen veel auditors zich nog onzeker over hun rol binnen projectaudits. Hoe beoordeel je of een project goed wordt aangestuurd? Welke standaarden gebruik je als referentiekader en hoe blijf je kritisch zonder het proces te vertragen? Wat leer je tijdens de training projectauditing? In de training projectauditing leer je in één intensieve lesdag hoe je gestructureerd en effectief audits uitvoert op projecten, programma’s en portfolio’s. Je verdiept je in methodieken zoals PRINCE2 en Scrum, oefent met het opstellen van normenkaders en ontdekt hoe je de rol van auditor optimaal invult binnen een projectmatige context. Na afloop ben je in staat om projecten, programma’s en portfolio’s helder te definiëren en van elkaar te onderscheiden. Je weet de uitgangspunten van PRINCE2 en Scrum toe te passen in je audits en kunt verschillende rollen van de auditor binnen projectcontexten herkennen en invullen. Bovendien stel je zelfstandig normenkaders op voor audits op projecten, programma’s en portfolio’s. De opgedane kennis pas je direct toe in praktijkcases, waarbij je waardevolle feedback ontvangt van de docent en je mededeelnemers. Waarom kiezen voor de training projectauditing? Concreet en toepasbaar: je leert projectauditing koppelen aan bekende projectmethodieken en past dit direct toe in je werk. Praktijkgericht leren: je werkt met realistische cases, ontwikkelt een auditontwerp en oefent in teamverband met tools en technieken. Korte doorlooptijd, groot effect: in slechts één dag vergroot je je impact als auditor. Flexibel te volgen: de training vindt plaats via mixed classroom, fysiek of online, wat jou het beste uitkomt. Gecertificeerd resultaat: je ontvangt 8 PE-punten en een certificaat van deelname. Waarom kiezen voor Ferocia? Ferocia is gespecialiseerd in opleidingen op het snijvlak van audit, control, risk en compliance. Wat ons onderscheidt, is de combinatie van topdocenten die verbonden zijn aan toonaangevende hogescholen, universiteiten en beroepsverenigingen én hun brede praktijkervaring meenemen. Onze opleidingen zijn altijd praktijkgericht: we vertalen actuele kennis direct naar jouw werkomgeving. Bovendien zijn we gedreven door resultaat, zodat je na afloop zelfstandig en met zelfvertrouwen aan de slag kunt in je eigen organisatie. Ferocia staat voor inspiratie, co-creatie en prestatie, en dat merk je in alles wat we doen! Wil jij je ontwikkelen tot een projectauditor die met structuur en scherpte elk project weet te beoordelen? Schrijf je dan nu in voor de training Projectauditing en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar en van jou wordt verwacht een oordeel te kunnen vormen over projecten, programma’s en/of portfolio’s binnen jouw organisatie. Je wenst in korte tijd de beginselen van project, programma en portfolio auditing te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 10 uur. Dit is inclusief lesdagen en praktijkopdrachten. In deze training werken we met cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Deelnemers kunnen de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 8 PE-punten. De studiekosten bedragen € 650,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Anne Verslag Auditor "Deze training gaat mij zeker helpen bij het toetsen van belangrijke projecten binnen mijn organisatie!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Internal auditing In deze blog gaan we in op het begrip internal auditing. Wat is het, hoe is het vakgebied ontstaan, waarom is het belangrijk voor... 7 aug 2025 7 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Beheers risico’s effectief met de cursus risicomanagement van Ferocia. Ontwikkel direct toepasbare kennis en vergroot je impact in je organisatie! Cursus Risicomanagement Duur Studiekosten PE-punten 7 dagdelen € 2.195,- 30 Inschrijven Cursus Risicomanagement Veranderingen, onzekerheden en toenemende verwachtingen van toezichthouders en stakeholders maken risicomanagement belangrijker dan ooit. Maar effectief risicomanagement gaat verder dan het inrichten van een afdeling of het opstellen van een risicoanalyse. Het vraagt om een organisatiebrede aanpak waarbij risicodenken is ingebed in de cultuur en structuur. In de cursus Risicomanagement leer je in zeven dagdelen hoe je risicomanagement inricht, optimaliseert en verankert binnen jouw organisatie. Theorie en praktijk zijn naadloos met elkaar verbonden, Je ontwikkelt tijdens de cursus een risico/controlmatrix en testplan voor je eigen organisatie, ontvangt feedback van mededeelnemers en docenten en oefent met concrete vaardigheden zoals het faciliteren van risk control self assessments. Wat leer je tijdens de cursus Risicomanagement? Na het volgen van deze cursus heb je een stevig fundament in risicomanagement. Je leert het belang van risicomanagement overtuigend te brengen, belangrijke controlmodellen toe te passen en een risico/controlmatrix te ontwikkelen. Daarnaast stel je een testplan op voor zowel ‘first line’ als ‘second line monitoring’ en begeleid je risk control self assessments. Ook train je gesprekstechnieken die je helpen draagvlak te creëren voor risicobeheersing en de opvolging van acties. Tijdens de cursus komen onder meer corporate governance, de risicomanagementcyclus, risicofilosofie en -beleid, controlmodellen, monitoring en control self assessments aan bod. En dit altijd met een sterke koppeling naar jouw praktijk. Waarom kiezen voor de cursus Risicomanagement? Direct toepasbaar: je werkt tijdens de cursus aan een concreet risicoanalyse-instrument voor jouw organisatie. Multidisciplinaire opzet: leer van en met professionals uit diverse sectoren. Doordachte leermethodiek: innovatieve e-learnings, praktijkopdrachten, rollenspellen en feedbackmomenten. Flexibele deelname: lesdagen zijn fysiek en digitaal bij te wonen via onze mixed classrooms. Compleet leereffect: van theoretisch inzicht tot praktische toepassing, variërend van strategieontwikkeling tot gespreksvoering. Waarom kiezen voor Ferocia? Ferocia is expert in risicomanagement, audit en control. Onze kracht ligt in het vertalen van complexe theorie naar praktische toepassingen die direct waarde toevoegen binnen jouw organisatie. Onze docenten zijn verbonden aan toonaangevende hogescholen en universiteiten en brengen hun praktijkervaring mee in de opleiding. We werken volgens het principe van inspiratie, co-creatie en prestatie, zodat je leert in een omgeving waar kennisdeling, samenwerking en persoonlijke groei centraal staan. Na afloop beschik je niet alleen over waardevolle inzichten, maar ook over concrete instrumenten en vaardigheden om daadwerkelijk impact te maken op risicobeheersing. Wil jij je ontwikkelen tot een risicomanager die echt impact maakt op de beheersing van risico’s binnen jouw organisatie? Schrijf je dan nu in voor de cursus Risicomanagement en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker, proceseigenaar, (operational, IT- of financial) auditor of accountant, en je wilt een stevige bijdrage leveren aan het optimaliseren van risicomanagement binnen je organisatie. De tijdsinvestering bedraagt ongeveer 40 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze cursus werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de cursus ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze cursus via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de cursus ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 30 PE-punten. De studiekosten bedragen € 2.195,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Bram Schade Risk officer "De cursus Risicomanagement is een echte aanrader voor iedereen die het vak van risicomanagement echt wil begrijpen!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Opleiding risicomanagement Iedere organisatie, groot of klein heeft ermee te maken: risico’s. Of het nu gaat om cyberdreigingen, veranderende wetgeving,... 26 aug 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Versterk jouw IT-beheersing met een effectieve IT audits. Ontdek waarom IT auditing essentieel is voor veiligheid, compliance en continuïteit. Alle blogs Internal auditing IT-auditing De digitale transformatie is in volle gang. Organisaties automatiseren processen, slaan gevoelige gegevens op in de cloud en maken steeds vaker gebruik van algoritmes en AI. Daarmee neemt ook de afhankelijkheid van IT-systemen toe, en dus ook de risico’s. Maar hoe weet je of je IT-omgeving daadwerkelijk ‘in control’ is? Of je systemen veilig zijn? En of jouw organisatie voldoet aan relevante wet- en regelgeving? Hier komt de IT-auditor in beeld. In deze blog lees je wat IT-auditing is, waarom het onmisbaar is in moderne organisaties en wat de belangrijkste inzichten zijn voor het uitvoeren van een effectieve IT-audit. Wat is IT-auditing? Een IT-audit is een gestructureerd en onafhankelijk onderzoek naar de beheersing van IT-processen en -systemen binnen een organisatie. De IT-auditor beoordeelt of deze processen: betrouwbaar zijn; voldoen aan interne en externe normen; bijdragen aan de organisatiedoelen; voldoende beschermd zijn tegen risico’s, zoals datalekken of uitval. Het doel van een IT-audit is niet alleen om te controleren, maar vooral om inzicht te geven in risico’s en handvatten te bieden om deze te beheersen. Daarmee draagt een IT-audit direct bij aan de kwaliteit en continuïteit van bedrijfsvoering. Waarom is IT-auditing zo belangrijk? Waar lang geleden de focus van audits vooral lag op financiële en operationele processen zijn IT-audits vandaag de dag essentieel. Dat heeft drie belangrijke redenen: 1. Digitalisering raakt alle processen Vrijwel elke organisatie draait op digitale systemen. Van HR tot finance, van productie tot klantcontact, alles loopt via IT. Een storing of beveiligingslek kan direct impact hebben op de hele organisatie. 2. Regelgeving wordt strenger Wet- en regelgeving zoals de AVG, NIS2 of DORA stellen steeds hogere eisen aan informatiebeveiliging, privacy en beschikbaarheid. Een IT-audit helpt om aan te tonen dat je hieraan voldoet. 3. Complexiteit neemt toe Cloudomgevingen, ketenintegratie, third-party risico’s, legacy systemen: IT-omgevingen zijn complexer dan ooit. Dit vraagt om specialistische audits die verder kijken dan de standaard checklist. Wat onderzoekt een IT-auditor? Een IT-audit kan verschillende onderwerpen omvatten. Denk bijvoorbeeld aan: Informatiebeveiliging (Information Security) Zijn vertrouwelijkheid, integriteit en beschikbaarheid van data geborgd? Change management Worden wijzigingen in systemen gecontroleerd en goedgekeurd? Toegangsbeheer Hebben alleen bevoegde personen toegang tot systemen en gegevens? Continuïteitsbeheer Zijn er procedures bij calamiteiten? Is er een disaster recovery plan? IT-governance Zijn verantwoordelijkheden, beleid en controlemechanismen goed ingericht? Compliance Voldoet de organisatie aan relevante wet- en regelgeving? De scope van een IT-audit hangt sterk af van de risico’s die binnen een specifieke organisatie of sector spelen. De belangrijkste inzichten bij het uitvoeren van een IT audit 1. Begrijp het bedrijfsproces voor je de techniek induikt Een veelgemaakte fout is om meteen de techniek in te duiken. Een effectieve IT-auditor begint bij het bedrijfsproces. Wat is het doel van het systeem? Welke risico’s bedreigen dat doel? En welke IT-maatregelen zijn genomen om die risico’s te beheersen? De techniek is belangrijk, maar niet het vertrekpunt. Zonder procesinzicht mist je audit impact. 2. Werk met een helder normenkader Een IT-audit draait om toetsing en toetsing vereist een normenkader. Dat kan een standaard zijn (zoals COBIT, ISO27001 of NIST) maar ook intern beleid. Zorg dat je deze normen vooraf goed definieert en vertaalt naar toetsbare criteria. Zorg dat je met de opdrachtgever en eventueel de auditee dit normenkader goed afstemt. Alleen dan kun je op gestructureerde wijze beoordelen of de beheersmaatregelen effectief zijn en als dat niet zo is, zet je auditrapport aan te verbetering.. 3. Toon niet alleen gebreken, maar geef handelingsperspectief Een goed auditrapport laat niet alleen zien wat er fout gaat, maar ook hoe het beter kan. Kom samen met de 1 ste lijn tot concrete aanbevelingen en quick wins. Daarmee maak je jouw werk relevant voor het management en worden bevindingen ook echt worden opgepakt. 4. Zorg voor stakeholdermanagement Een IT-audit raakt vaak meerdere afdelingen: IT, security, operations, legal, etc.. Elke stakeholder heeft andere belangen en verwachtingen. Het is cruciaal dat je dit veld goed overziet, belangen scherp krijgt en open communiceert. Daarmee creëer je draagvlak en voorkom je weerstand. 5. Let op soft controls en gedrag Niet alleen systemen bepalen of een IT-omgeving veilig is. Ook gedrag speelt een belangrijke rol. Worden wachtwoorden gedeeld? Klikken medewerkers op phishinglinks? Is er voldoende security awareness? Een IT-audit die alleen op hard controls (zoals firewalls of toegangssystemen) focust, mist vaak de kern van het risico. Neem daarom ook cultuur en gedrag mee in je beoordeling. 6. Automatiseer waar mogelijk IT-auditors beschikken steeds vaker over tools voor data-analyse, continuous monitoring en geautomatiseerde toetsing. Maak hier slim gebruik van. Niet om het menselijke oordeel te vervangen, maar wel om sneller, breder en diepgaander te kunnen auditen. 7. Wees wendbaar en actueel IT-omgevingen veranderen snel. Wacht daarom niet altijd op een jaarlijkse audit, maar werk met flexibele en iteratieve audits. Zo blijf je relevant en sluit je beter aan bij de dynamiek van de organisatie. De toekomst van IT-auditing De komende jaren zal IT-auditing alleen maar belangrijker worden. Nieuwe technologieën brengen nieuwe risico’s: AI, blockchain, quantum computing. Tegelijkertijd groeit de behoefte aan zekerheid, transparantie en compliance. De IT-auditor van de toekomst is dan ook niet alleen technisch onderlegd, maar: · begrijpt businessprocessen; · kan risico’s vertalen naar impact; · communiceert effectief met bestuurders en techneuten; en · en blijft continu leren. Tot slot: investeren in kwaliteit loont Een goede IT-audit levert meer op dan alleen een rapport. Het creëert inzicht, versterkt de beheersing en vergroot het vertrouwen van stakeholders. Zeker in een wereld waarin data en technologie de kern van je organisatie vormen, is investeren in IT-auditing geen luxe maar noodzaak. Hoe Ferocia IT-auditing binnen jouw organisatie versterkt Bij Ferocia geloven we in IT-auditing als strategisch instrument. Een manier om niet alleen risico’s te beheersen, maar om organisaties sterker en wendbaarder te maken. Daarom ondersteunen wij organisaties op drie manieren: 1. Opleidingen en trainingen We leiden auditors op tot echte professionals die zelfstandig en met impact een audit kunnen uitvoeren. Denk aan onze postbacheloropleiding IT Auditing of de cursus IT voor auditors . Theorie en praktijk, met aandacht voor zowel hard controls als soft controls. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een IT-audit? Wij leveren ervaren IT-auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe IT-auditor? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl