Zoekresultaten

< Terug Vacature Risk monitoring specialist Bovemij Per direct 36 tot 40 uur per week Nijmegen / Hybride € 51.652,- tot € 87.948,- per jaar SOLLICITEER Over Bovemij Bovemij verbindt de 10.000 Nederlandse mobiliteitsbedrijven met de 10 miljoen consumenten. Zo helpt Bovemij de consument aan betrouwbare mobiliteit en de branche succesvol ondernemen. Bovemij biedt oplossingen die branche en consument dichter bij elkaar brengen. Van verzekeringen tot financieringen, van data tot online portalen. Zo versterken we de band van rijdend Nederland, en helpen we Nederland vooruit. Over de functie Als junior/medior risk officer binnen Bovemij maak je onderdeel uit van het team Risk binnen de afdeling Risk & Compliance en speel je een centrale rol in het versterken van de interne beheersing. Je houdt scherp toezicht op de werking van interne beheersmaatregelen binnen de belangrijkste processen en draagt actief bij aan het aantoonbaar ‘in control’ zijn van de organisatie. Je werkt nauw samen met proceseigenaren in de eerste lijn en helpt hen bij het verbeteren van beheersmaatregelen. Je toetst of deze beheersmaatregelen voldoende effectief zijn en overtuigt waar nodig de business van het belang van structurele risicobeheersing. Een van de focuspunten binnen deze functie ligt op risico’s rondom IT en informatiebeveiliging, maar je krijgt ook te maken met bredere procesrisico’s. Je denkt mee over procesinrichting, helpt bij het opstellen van testplannen voor de eerste lijn en ontwikkelt monitoringsplannen voor de tweede lijn. Het team AO/IC, waar je deel van uitmaakt, is eigenaar van de GRC-tool (ServiceNow). Jij speelt hierin een sleutelrol: je beheert het systeem, denkt mee over doorontwikkeling en zorgt ervoor dat de tooling op een slimme en toegankelijke manier wordt ingezet binnen de organisatie. Binnen de afdeling is veel ruimte voor professionele en persoonlijke groei. Samen met je team neem je regelmatig deel aan intervisiesessies onder begeleiding van een externe teamcoach, waarbij kennisdeling en reflectie centraal staan. Wat ga je doen? Je adviseert de eerste lijn bij het opstellen van testplannen en het aantonen van de werking van beheersmaatregelen. Je stelt monitoringsplannen op om de effectiviteit van beheersmaatregelen te toetsen. Je toetst en beoordeelt de kwaliteit van beheersmaatregelen binnen IT- en operationele processen en rapporteert hierover. Je bent medeverantwoordelijk voor de doorontwikkeling en het beheer van de GRC-tool (ServiceNow). Je fungeert als inhoudelijk sparringpartner bij vraagstukken op het gebied van risicobeheersing, procesinrichting en compliance. Je draagt bij aan het vergroten van risicobewustzijn en het structureel verbeteren van de controlomgeving. Je werkt samen met collega’s binnen Risk, Compliance én de business. Collega Chantal over de functie “Het mooie aan deze functie is dat je niet alleen toetst, maar ook echt meedenkt. Over risico’s, over processen, over tooling – én over hoe je anderen daarin meeneemt. Je bent inhoudelijk betrokken, maar ook adviserend en verbindend.” Ze vervolgt: “Je gaat de hele organisatie door en leert daardoor veel collega’s kennen. Je kunt daadwerkelijk impact maken, omdat er nog veel te bouwen is. Je wordt gestimuleerd om ideeën aan te dragen, en daar wordt ook wat mee gedaan.” En over het team zegt ze: “We werken fijn samen, met vragen kunnen we altijd bij elkaar terecht. We zijn een divers team en iedereen brengt kennis en ervaring mee, waardoor we veel van elkaar kunnen leren.” Wie zoeken we? Minimaal één tot twee jaar relevante werkervaring. Kennis van IT-control (of de bereidheid om dit snel eigen te maken). Je bent communicatief sterk en schakelt gemakkelijk met verschillende lagen binnen de organisatie. Je weet anderen mee te nemen in het belang van risicobeheersing. Je stelt je proactief en resultaatgericht op: je werkt zelfstandig, maar bent tegelijkertijd een echte teamspeler die verbinding zoekt en eigenaarschap toont. Wat bieden we? Een salaris van maximaal € 87.948,- per jaar (inclusief vakantiegeld en 13de maand, exclusief winstdeling). En uitstekende secundaire arbeidsvoorwaarden. Denk daarbij aan een thuiswerkvergoeding, internetvergoeding, een vergoeding voor thuiswerkfaciliteiten, 200 uur vakantie op basis van 40 uur en de mogelijkheid om jaarlijks uren bij te kopen, een extra vrije dag op je verjaardag, reiskostenvergoeding, een fietsplan, een collectieve zorgverzekering, korting op de aanvullende ziektekostenverzekering, korting op particuliere verzekeringen, ruime leer- en ontwikkelingsmogelijkheden en een beschikbare premieregeling bij Zwitserleven met gedeeltelijke inleg voor de werkgever. Maar bovenal: een prettige werkomgeving met leuke collega’s! Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures ! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Ontdek hoe strategische IT-beheersing bijdraagt aan groei, vertrouwen en innovatie. Ga verder dan compliance met een toekomstgerichte aanpak. IT beheersing In een wereld waarin digitale technologie de ruggengraat vormt van vrijwel elke organisatie, is IT-beheersing uitgegroeid tot een strategisch speerpunt. Waar IT vroeger vooral werd gezien als ondersteunend, is het vandaag onmisbaar voor het behalen van bedrijfsdoelen, het waarborgen van vertrouwen en het vergroten van de weerbaarheid tegen risico’s. Toch blijft IT-beheersing voor veel organisaties een uitdaging. Vaak overheerst het beeld van ‘compliance’ – voldoen aan regels, audits doorstaan en sancties vermijden. Belangrijk, maar het raakt slechts de oppervlakte. De echte waarde van IT-beheersing ligt in de stap van verplichting naar strategische grip: van vinklijstjes afwerken naar toekomstgericht sturen. In dit artikel leggen we uit wat IT-beheersing inhoudt, welke bouwstenen onmisbaar zijn, hoe je de valkuil van compliance voorbijgaat en welke stappen je kunt zetten om IT-beheersing te laten bijdragen aan groei, innovatie en vertrouwen. Wat verstaan we onder IT-beheersing? IT-beheersing gaat over de maatregelen, processen en structuren waarmee organisaties grip houden op hun digitale omgeving. Het is geen puur technische aangelegenheid, maar een integrale benadering waarin techniek, processen én menselijk gedrag samenkomen. Een effectieve aanpak combineert harde elementen (firewalls, encryptie, logging) met zachte factoren zoals risicobewustzijn, duidelijke governance en verandermanagement. Alleen zo ontstaat een duurzaam fundament. De belangrijkste bouwstenen: Informatiebeveiliging: het beschermen van data en systemen tegen ongeoorloofde toegang of datalekken. Risicomanagement: het systematisch identificeren, beoordelen en beheersen van digitale risico’s. Change management: gecontroleerd doorvoeren van wijzigingen in systemen en infrastructuur. Compliance: voldoen aan wet- en regelgeving zoals de AVG, NIS2, DORA en ISO 27001. Governance: heldere verantwoordelijkheden, besluitvorming en toezicht op IT-processen. Het uiteindelijke doel? IT inzetten op een manier die veilig, voorspelbaar en doelgericht bijdraagt aan de strategische koers van de organisatie. Van regels naar waarde Voor veel organisaties is compliance de eerste drijfveer om met IT-beheersing aan de slag te gaan. Logisch: wetgeving en audits zijn concrete prikkels. Maar wie IT uitsluitend benadert vanuit verplichting, benut slechts een fractie van het potentieel. Wanneer je IT-beheersing strategisch inzet, ontstaan wezenlijke voordelen: Vertrouwen: Stakeholders zien dat risico’s onder controle zijn en dat de organisatie grip heeft op haar digitale omgeving. Transparantie: Beslissingen worden beter onderbouwd, risico’s inzichtelijker en keuzes beter uitlegbaar. Weerbaarheid: Incidenten kunnen sneller en effectiever worden opgevangen, van cyberaanvallen tot systeemuitval. Prestatieverbetering: Gestroomlijnde IT-processen leiden tot lagere kosten en hogere kwaliteit. Innovatiekracht: Met een solide fundament ontstaat ruimte om nieuwe technologieën te omarmen en digitale initiatieven te versnellen. Kortom: goed ingerichte IT-beheersing verandert van een kostenpost in een bron van strategische waarde. Ferocia’s visie op IT-beheersing Bij Ferocia zien we IT-beheersing als een integraal onderdeel van modern risicomanagement en strategische sturing. IT is niet langer een ondersteunend domein, maar een kernproces dat vraagt om proactieve aansturing. Onze aanpak is nuchter en pragmatisch. Geen dikke rapporten of standaardchecklists, maar maatwerkoplossingen die passen bij de context, het risicoprofiel en de volwassenheid van de organisatie. We combineren expertise in auditing, risicomanagement en IT-governance met oog voor verandermanagement en organisatiecultuur. Concreet helpen wij organisaties om: inzicht te krijgen in IT-risico’s via audits, assessments en nulmetingen; verbetermaatregelen te formuleren en door te voeren, zowel technisch als organisatorisch; governance en beleid te versterken, inclusief rollen, verantwoordelijkheden en sturingsmodellen; compliance te borgen met normen en wetgeving (ISO 27001, NIS2, DORA); interne kennis en capaciteit te vergroten via training, coaching en tijdelijke inzet van specialisten. Altijd met hetzelfde uitgangspunt: structurele verbetering en draagvlak in de organisatie. We doen dit met ervaren professionals die de taal van zowel IT als de business spreken. Zo zorgen we voor structurele verbetering en draagvlak in de organisatie. Welke frameworks ondersteunen IT-beheersing? Er zijn meerdere frameworks beschikbaar die organisaties kunnen helpen bij het inrichten en versterken van IT-beheersing. De keuze hangt af van je sector, doelstellingen en volwassenheidsniveau. Hieronder de meest gebruikte kaders: Framework Doelstelling Toepassing COBIT IT governance en management Strategisch en operationeel niveau. COBIT biedt een raamwerk voor het afstemmen van IT op bedrijfsdoelen. Het is vooral geschikt voor organisaties die IT strategisch willen inzetten en verantwoording willen afleggen aan stakeholders. Denk aan het inrichten van IT governance, het definiëren van rollen en verantwoordelijkheden, en het meten van prestaties op directieniveau. ISO 27001 Informatie- beveiliging Beveiligingsbeleid en audits. ISO 27001 is dé internationale standaard voor het opzetten van een Information Security Management System (ISMS). Organisaties gebruiken het om systematisch risico’s te identificeren, beveiligingsmaatregelen te implementeren en audits uit te voeren. Het is essentieel voor compliance met privacywetgeving zoals de AVG en voor het aantonen van betrouwbaarheid richting klanten. ITIL Service management IT dienstverlening en processen. ITIL richt zich op het verbeteren van IT dienstverlening. Het helpt organisaties bij het structureren van processen zoals incidentbeheer, wijzigingsbeheer en service level management. ITIL is vooral waardevol voor operationele teams die de kwaliteit en continuïteit van IT services willen verhogen. NIST Cybersecurity Cybersecurity en risicobeheersing Incidentrespons en mitigatie. Het NIST framework biedt een praktische aanpak voor het identificeren, beschermen, detecteren, reageren en herstellen van cyberincidenten. Het is breed toepasbaar, van overheden tot commerciële organisaties, en helpt bij het verhogen van digitale weerbaarheid en het opstellen van responsplannen. Bij Ferocia zijn we goed thuis in deze frameworks. Maar we geloven ook: een framework is geen doel op zich. Het is een middel. We zorgen altijd dat het aansluit op de praktijk, en daadwerkelijk leidt tot betere beheersing en sturing. Hoe pak je IT-beheersing slim aan? Een effectieve IT-beheersingsaanpak begint met inzicht. Zonder dat weet je niet waar de kwetsbaarheden zitten, welke maatregelen werken of waar de grootste risico’s liggen. Onze ervaring leert: je hoeft niet alles in één keer te regelen. Begin klein, werk gefaseerd en zorg voor continue verbetering. Onze vijfstappenaanpak: Nulmeting en risicoanalyse Waar sta je nu? Welke IT-risico’s zijn het meest relevant? Doelstellingen en kaders formuleren Wat wil je bereiken? Welke normen, KPI’s en beleid horen daarbij? Beheersmaatregelen implementeren Technisch: firewalls, logging, authenticatie. Organisatorisch: beleid, rollen, gedrag, processen. Monitoring en rapportage inrichten Real-time dashboards, periodieke rapportages en audits. Escalaties en incidentprocedures. Continu verbeteren Op basis van incidenten, nieuwe risico’s en technologische ontwikkelingen. Vanuit feedbackloops en betrokkenheid van stakeholders. Deze aanpak sluit aan bij het volwassenheidsdenken: je groeit stap voor stap naar een hoger niveau van IT-beheersing. IT-beheersing in de praktijk: uitdagingen en valkuilen Hoewel de urgentie vaak wordt erkend, blijft effectieve IT-beheersing in veel organisaties achter. Waarom? Silo’s tussen IT en business : IT wordt nog te vaak als apart domein gezien. Complexe ketens en uitbesteding : Denk aan cloud, SaaS, outsourcing. Onvoldoende eigenaarschap : Wie is verantwoordelijk voor welk risico? Te veel focus op techniek : Terwijl processen, mensen en gedrag minstens zo belangrijk zijn. Bij Ferocia herkennen we deze valkuilen. We zorgen daarom voor een integrale aanpak, waarin IT-beheersing niet alleen een verantwoordelijkheid van de IT-afdeling is, maar een gezamenlijke opgave van bestuur, control, risk en operatie. Ferocia als partner in IT-beheersing Ferocia is jouw sparringpartner als het gaat om het professionaliseren van IT-beheersing. Of je nu net begint, op zoek bent naar verdieping of een externe blik nodig hebt: wij denken met je mee en helpen je vooruit. Onze dienstverlening bestaat onder meer uit: Quickscans en nulmetingen op het gebied van IT-risico’s en beheersmaatregelen. Interne audits op thema’s als informatiebeveiliging, dataprivacy of outsourcing. Begeleiding bij ISO 27001-certificering of NIS2-compliance. Trainingen en masterclasses over IT-beheersing, risicoanalyse en cyberweerbaarheid. Interim IT-auditors en risicomanagers voor tijdelijke versterking. We doen dit onafhankelijk, deskundig en altijd met oog voor jouw context. Niet omdat het in een model past, maar omdat het in jouw organisatie moet werken. Tot slot: IT-beheersing als motor van digitale volwassenheid De wereld wordt digitaler. Complexer. En risicovoller. Juist daarom is IT-beheersing geen luxe, maar noodzaak. Wie het goed regelt, wint niet alleen vertrouwen, maar ook wendbaarheid, veerkracht en innovatiekracht. Bij Ferocia geloven we dat IT-beheersing de sleutel is tot moderne sturing. En dat begint niet met techniek, maar met bewustzijn, leiderschap en samenwerking. Benieuwd waar jouw organisatie staat op het gebied van IT-beheersing? Of wil je vrijblijvend sparren over vervolgstappen? Neem contact met ons op. We denken graag met je mee. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs IT-auditing is veel meer dan vinkjes zetten. In deze blog lees je hoe de IT-auditor zorgt voor veilige systemen, naleving van AVG/NIS2/DORA en grip op digitale risico’s. Ontdek de belangrijkste inzichten voor een sterke IT-audit én hoe Ferocia je hierbij kan helpen. IT-auditing Knop COBIT is geen ingewikkeld IT-speeltje, maar jouw kompas voor digitale governance. In deze blog lees je hoe COBIT 2019 business, IT en bestuur dezelfde taal laat spreken, IT-risico’s structuur geeft en jouw audits versterkt. Ontdek hoe je COBIT praktisch inzet in jouw organisatie. Cobit Knop NIS2 verandert cybersecurity van IT-thema naar bestuurdersvraagstuk. In deze blog lees je wie onder NIS2 valt, wat er straks écht verplicht is en welke rol internal audit, risk en control spelen. Geen paniek om boetes, maar een kans om je organisatie aantoonbaar digitaal weerbaar te maken. NIS2 Knop ISO 27001 is geen papieren oefening, maar een manier om informatiebeveiliging écht te laten werken. In deze blog lees je hoe je met een scherpe scope, slimme verklaring van toepasselijkheid (SoA) en goede audits risico’s, gedrag en techniek verbindt, en zo van certificaat naar waardecreatie gaat. ISO 27001 Knop Sinds 17 januari 2025 moet jouw organisatie aantoonbaar digitaal weerbaar zijn. In deze blog lees je wat een DORA-audit is, welke vijf bouwstenen echt het verschil maken en hoe internal audit uitgroeit tot strategische partner. Onmisbaar leesvoer voor audit, risk en compliance. DORA audit Knop De BIO2 is het vernieuwde normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het legt meer nadruk op risicogedreven beveiliging, bestuurlijke verantwoordelijkheid, ketenrisico’s en continue verbetering. Voor auditors en risicomanagers verschuift de focus van maatregel controles naar beoordeling van governance, ISMS en risicomanagementprocessen. BIO2 Knop

Business Continuity Management helpt organisaties veerkrachtig te blijven bij crises. Ontdek hoe BCM risico’s vertaalt naar actie en weerbaarheid vergroot. Business Continuity Management Stel je voor: je organisatie ligt een dag stil. Niet alleen de mailserver, maar een cruciaal systeem. Orders worden niet verwerkt. Klanten kunnen niet geholpen worden. Een fabriek draait niet. Of een cyberaanval raakt juist die processen waar je als organisatie je license to operate aan ontleent. De eerste uren red je het op improvisatie en adrenaline. Maar dan komt de echte vraag: hebben we hier grip op, of zijn we overgeleverd aan de omstandigheden? Dat is precies waar Business Continuity Management (BCM) over gaat. Wat is Business Continuity Management? BCM wordt vaak verward met IT-disaster recovery of een mapje “calamiteitenplannen” in SharePoint. Nuttig, maar te beperkt. In essentie is BCM het gestructureerd vermogen van een organisatie om kritieke processen te blijven uitvoeren bij verstoringen. Het gaat om continuïteit van dienstverlening, niet om het voorkomen van elk incident. Dat laatste lukt toch niet. De kernvragen zijn: welke processen moeten doorlopen, welke maximale impact accepteren we, welke structuur en welk raamwerk zetten we neer en wie neemt welke besluiten onder druk? BCM verbindt strategie, processen, mensen, technologie en leveranciers in één verhaal. Dat maakt het bij uitstek een onderwerp voor riskmanagers, controllers en internal auditors: jullie zitten precies op het snijvlak van doelen, risico’s en beheersing. Waarom BCM nu belangrijker is dan ooit Organisaties opereren allang niet meer in een stabiele, voorspelbare omgeving. De afgelopen jaren hebben laten zien hoe kwetsbaar ketens zijn. Cyberaanvallen, energietekorten, personeelsschaarste, pandemieën, geopolitieke spanningen, falende leveranciers: het zijn geen theoretische scenario’s, maar dingen die “gewoon gebeuren”. Tegelijk neemt de afhankelijkheid van digitale hulpmiddelen exponentieel toe. Een verstoring is zelden nog geïsoleerd; vaak raakt het meerdere ketenpartners tegelijk. Daarbij komen aangescherpte verwachtingen van toezichthouders en wetgevers, zoals DORA in de financiële sector of NIS2 voor vitale en belangrijke sectoren. BCM schuift daarmee van “nice to have” naar kernonderdeel van goed bestuur. Bestuurders zien dat ook. Continuïteit, reputatie en vertrouwen van klanten zijn strategische thema’s. Maar tussen die bestuurlijke ambitie en de praktijk op de werkvloer zit vaak een gat. Precies daar kan goed BCM het verschil maken. BCM, risicomanagement en incidentmanagement: hoe hangt het samen? Een veel gestelde vraag: hebben we naast risicomanagement nu óók BCM nodig? Het antwoord is ja, maar niet als los traject. Risicomanagement richt zich primair op het identificeren en behandelen van risico’s voordat ze zich voordoen. Je probeert de kans te verlagen en de impact te beperken. BCM gaat uit van de veronderstelling dat verstoringen óók daadwerkelijk optreden. Niet als “zwarte zwaan”, maar als realistische gebeurtenis. De vraag verschuift van “hoe voorkomen we dit volledig?” naar “hoe zorgen we dat we door kunnen?”. Incidentmanagement heeft vervolgens de focus op de eerste reactie: detecteren, escaleren, oplossen. BCM kijkt verder: hoe vangen we de impact op, hoe herstellen we, hoe houden we de organisatie bestuurbaar, hoe communiceren we en hoe leren we na afloop? Je kunt het zien als drie lagen:– risicomanagement om slimmer te worden vóór een incident,– incidentmanagement om effectief te reageren tijdens een incident,– BCM om de continuïteit van de organisatie te borgen rondom het incident. Als internal auditor of riskmanager is het dus niet de vraag óf je met BCM te maken krijgt, maar vooral hoe goed die drie lagen op elkaar aansluiten. De kern van BCM: van BIA tot herstel in de praktijk Hoewel ieder BCM-traject een eigen kleur krijgt, zie je in volwassen organisaties steeds een aantal vaste bouwstenen terug. Niet als theoretisch model, maar als logisch groeipad. Het startpunt is bijna altijd een Business Impact Analyse (BIA). Daarin breng je in kaart welke processen echt kritisch zijn, welke producten en diensten daarvan afhangen, wat de impact is van uitval en binnen hoeveel tijd je weer op een minimaal niveau moet functioneren. Het mooie van een goede BIA is dat hij het gesprek dwingt over prioriteiten. Niet alles is “hoog, rood, kritisch”. Vanuit die impactanalyse werk je naar continuïteitsstrategieën. Wat doe je als een locatie uitvalt? Als een kernapplicatie niet beschikbaar is? Als een cruciale leverancier faalt? Ga je uit van alternatieve locaties, redundante systemen, handmatige noodprocedures, afspraken met andere partijen? Hier raakt BCM direct de wereld van architectuur, sourcing, IT-inrichting en contractmanagement. Vervolgens worden deze keuzes vertaald naar concrete business continuity-plannen. Geen dikke bundels die niemand leest, maar praktische, rolgerichte instructies: wie belt wie, welke beslissingen worden waar genomen, welke processen schalen we eerst op, welke klanten moeten we actief informeren, hoe documenteren we wat er gebeurt? Tot slot komt een cruciaal onderdeel dat in veel organisaties wordt onderschat: oefenen en leren. Een plan dat nooit getest is, is geen plan. Oefeningen, simulaties, onverwachte uitvalsessies: ze maken zichtbaar wat er in de praktijk wel en niet werkt. En ze leggen vaak bloot dat het echte knelpunt niet in de techniek zit, maar in coördinatie, besluitvorming en communicatie. Mensen, gedrag en soft controls in BCM BCM klinkt al snel technisch: fallback-locaties, RTO’s, RPO’s, redundante lijnen. Maar als je kijkt naar incidenten en crises in de praktijk, zie je dat succes of mislukking vaak wordt bepaald door gedrag. Wordt een storing tijdig gemeld of schuift iemand het voor zich uit? Durven medewerkers een incident te escaleren als ze bang zijn dat het “gedoe” oplevert? Neemt het management onder druk besluiten of vervalt men in afwachten en micro-management? Worden verantwoordelijkheden tijdens een crisis duidelijk opgepakt, of is iedereen tegelijk “bezig”? Dat zijn geen hard-controlvragen, maar soft-controlvragen. Ze gaan over leiderschap, cultuur, voorbeeldgedrag, open communicatie en psychologische veiligheid. In opleidingen zoals operational auditing en integraal risicomanagement zie je die thema’s steeds nadrukkelijker terugkomen, juist omdat auditors merken dat een systeem op papier klopt maar in de praktijk niet werkt als gedrag niet meedoet. Voor BCM geldt hetzelfde. Een continuïteitsplan zonder geoefend crisisteam is als een ongelezen handleiding. Een prachtige BIA zonder draagvlak in de business is als een spreadsheet in de la. Daarom is het zo belangrijk dat BCM niet alleen “in de staf” plaatsvindt, maar dat lijnmanagement vanaf het begin betrokken is. De rol van internal audit en risicomanagement in BCM BCM is typisch zo’n thema waar de drie lijnen (three lines model) elkaar nodig hebben. De eerste lijn, de business en de operationele teams kennen de processen, klanten en systemen. Zij weten welke activiteiten echt niet stil kunnen vallen en welke workaround in de praktijk nog nét werkt. Zij zijn eigenaar van continuïteitsplannen. De tweede lijn, risk, compliance en security, helpt om kaders te zetten, methodiek te kiezen, scenario’s te beoordelen en de kwaliteit van plannen te bewaken. Zij zorgen dat BCM niet eenmalig is, maar ingebed wordt in de reguliere planning- & controlcyclus en risicodialogen. De derde lijn, internal audit heeft een unieke rol. De auditor kijkt onafhankelijk en objectief naar de opzet, het bestaan en de werking van BCM. Klopt de logica van het raamwerk? Sluit de BIA aan op de strategische doelen? Zijn de plannen getest en geactualiseerd? Leren we van oefeningen en echte incidenten? En misschien wel de meest interessante vraag: past de continuïteitsaanpak bij de risk appetite van bestuur en directie, of is men óf veel te krampachtig, óf juist te laconiek? Daarnaast kan internal audit een katalysator zijn voor een bredere discussie. Een audit op BCM raakt per definitie meerdere disciplines: IT, HR, facility, inkoop, business, communicatie. Het is een uitgelezen kans om silo’s te doorbreken en de organisatie als geheel naar een hoger niveau van weerbaarheid te helpen. BCM in een wereld van ketens en uitbesteding Waar BCM vroeger nog vooral binnen de eigen muren werd bekeken, is dat vandaag niet meer houdbaar. Vrijwel iedere organisatie is onderdeel van meerdere ketens. Denk aan cloud leveranciers, SaaS-applicaties, logistieke partners, shared service centers, uitbestede klantcontactcentra. Dat betekent dat continuïteitsrisico’s ook buiten je eigen organisatie liggen. Een verstoring bij een leverancier kan jouw dienstverlening direct raken. BCM moet daarom hand in hand gaan met Third Party Risk Management en contractuele afspraken. Wat staat er in de SLA over beschikbaarheid en herstel? Is er een exit-strategie als een leverancier langere tijd uitvalt? Zijn er afspraken over gedeelde oefeningen en testscenario’s? Voor auditors en riskmanagers is dit een interessante maar ook complexe dimensie. Je bent niet alleen meer bezig met interne controls, maar ook met de vraag in hoeverre je zicht en grip hebt op de weerbaarheid van partners. Zeker in sectoren waar DORA of NIS2 gelden, zie je dat toezichthouders nadrukkelijk vragen naar deze ketenblik. BCM kan daar een sterke kapstok voor zijn. Hoe begin je zonder te verdrinken in modellen? BCM kan intimiderend overkomen. Frameworks, standaarden, maturity-modellen, je ziet al snel door de bomen het bos niet meer. Toch hoeft een eerste stap niet ingewikkeld te zijn. Begin met het gesprek: welke processen of diensten zijn voor ons écht cruciaal? Wat gebeurt er als die een dag, drie dagen, een week uitvallen? Welke klanten raken we dan? Welke wettelijke verplichtingen spelen een rol? Dit soort gesprekken levert vaak meer inzicht en urgentie op dan een dikke rapportage. Van daaruit kun je gericht starten met één of twee processen. Liever klein en concreet, dan meteen een organisatiebrede exercitie die vastloopt in complexiteit. Kies een kernproces, doe een beknopte BIA, stel een praktisch continuïteitsplan op, oefen dat plan met het team en leer ervan. De ervaring die je daar opdoet, gebruik je om de rest van de organisatie stapsgewijs mee te nemen. Internal auditors en riskmanagers hebben hierbij een mooie rol als gids. Niet door BCM “over te nemen”, maar door scherpe vragen te stellen, methodische ondersteuning te bieden en te helpen prioriteren. Zo wordt BCM geen project van één afdeling, maar een organisatiebrede beweging. Business Continuity Management als investering in lerend vermogen Als je BCM terugbrengt tot “een plan voor als het misgaat”, doe je jezelf tekort. In de kern is het een manier om als organisatie te leren omgaan met onzekerheid. Je gaat bewuster kijken naar afhankelijkheden. Je ontdekt welke processen stiekem kritischer zijn dan gedacht. Je ziet hoe beslissingen in het hier en nu, bijvoorbeeld over uitbesteding, cloudmigratie of personeelsbezetting gevolgen hebben voor je toekomstige weerbaarheid. En je leert door te oefenen: hoe reageren mensen onder druk, welke informatie mis je, waar ontstaan misverstanden, waar gaat het juist heel goed? Dat maakt BCM niet alleen een audit, risk- of compliance-verhaal, maar een ontwikkelvraagstuk. Een kans om het lerend vermogen van management en medewerkers te vergroten, en daarmee de kans dat je als organisatie ook in turbulente tijden je doelen blijft realiseren. Tot slot Business Continuity Management is een noodzakelijk antwoord op een wereld waarin verstoringen de norm zijn geworden. Het helpt organisaties om verder te kijken dan incidenten en brandjes, en structureel na te denken over de vraag: hoe blijven wij waarde leveren als het tegenzit? Voor internal auditors, riskmanagers, controllers en compliance-professionals is BCM daarmee een krachtig thema om het gesprek over risico’s, governance en gedrag te verdiepen. Niet met nog een checklist, maar met concrete scenario’s, eerlijke gesprekken en praktische plannen die getest en geleefd worden. Wil je BCM in jouw organisatie naar een hoger niveau brengen, of zoek je ondersteuning bij het uitvoeren van een audit, het opzetten van een raamwerk of het trainen van teams? Dan is dit precies het terrein waar Ferocia je kan helpen, via opleidingen en trainingen, interim en consultancy en werving en selectie. Zodat je niet alleen een “BCM-plan” hebt, maar een organisatie die daadwerkelijk veerkrachtig is als het erop aankomt. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs

< Terug Vacature Functionaris Gegevensbescherming Universiteit Utrecht Per direct 24 tot 32 uur per week Utrecht / Hybride € 91.400,35 tot € 110.938,01 per jaar SOLLICITEER Over De Universiteit Utrecht Universiteit Utrecht (UU) is een internationaal georiënteerde universiteit, opgericht in 1636. De universiteit behoort tot de oudste en meest toonaangevende universiteiten van Nederland en Europa. Een betere toekomst voor iedereen. Die ambitie motiveert de wetenschappers van UU bij hun toponderzoek en het geven van inspirerend onderwijs. Bij UU werken diverse disciplines intensief samen met maatschappelijke partners aan maatschappelijk belangrijke thema’s. De focus ligt op Dynamics of Youth, Institutions for Open Societies, Life Sciences en Pathways to Sustainability. Over de afdeling De Functionaris Gegevensbescherming (FG) is gepositioneerd binnen de Universitaire Bestuursdienst (UBD). De UBD ondersteunt het College van Bestuur bij het realiseren van de strategische en bestuurlijke agenda van de universiteit. Vanuit zeven directies wordt gewerkt aan geïntegreerde ondersteuning op onderwerpen als governance, beleid, compliance en bedrijfsvoering. Binnen dit krachtenveld vervult de FG een onafhankelijke en zichtbare rol, met directe lijnen naar bestuur, decanen en directeuren, en in nauwe samenwerking met het netwerk van Privacy Officers binnen de faculteiten en diensten. Over de functie Binnen de Universiteit Utrecht worden dagelijks grote hoeveelheden persoonsgegevens verwerkt van studenten, medewerkers, onderzoekers, samenwerkingspartners en leveranciers. Zorgvuldige, transparante en rechtmatige omgang met deze gegevens is van groot belang. De FG is de onafhankelijke toezichthouder (derde lijn) op het gebied van privacy binnen de universiteit. In deze rol is ben je herkenbaar en zichtbaar als formeel toezichthouder op de bescherming van persoonsgegevens en handel je volledig conform de AVG, zonder inhoudelijke instructies. Je beweegt je soepel in een complexe academische organisatie, weet privacy structureel op de agenda te zetten en draagt bij aan bewustwording, risicobeheersing en vertrouwen. Jouw taken De FG: informeert en adviseert de organisatie over verplichtingen voortvloeiend uit de AVG en aanverwante wetgeving; werkt samen met het netwerk van Privacy Officers (tweede lijn) en adviseert gevraagd en ongevraagd decanen, directeuren en het College van Bestuur; ziet toe op de naleving van de AVG en het privacybeleid van de universiteit, met bijzondere aandacht voor verwerkingen met verhoogd risico; verzamelt en analyseert informatie over gegevensverwerkingen en beoordeelt risico’s en klachten; adviseert over Data Protection Impact Assessments (DPIA’s) en houdt toezicht op de uitvoering daarvan; fungeert als contactpersoon voor de Autoriteit Persoonsgegevens en onderhoudt contacten met collega-FG’s van andere universiteiten; en opereert zelfstandig, onafhankelijk en met gezag binnen de kaders van de AVG. Wie zoeken we? UU zoekt een ervaren, zelfstandige en verbindende FG die scherp toeziet, maar ook weet te adviseren en te inspireren. Opleiding en ervaring Afgeronde WO-opleiding, bij voorkeur in Rechten. Aantoonbare ervaring als FG en bij voorkeur in een grote complexe organisatie. In het bezit van CIPP/E-certificering. Affiniteit met IT en informatiebeveiliging. Grondige kennis van de (U)AVG en relevante wetgeving op het gebied van digitalisering, AI en privacy. Uitstekende beheersing van de Nederlandse en Engelse taal (C1), zowel mondeling als schriftelijk. Vaardigheden en houding Zelfstandig, analytisch en zorgvuldig, met oog voor mensen en processen. In staat om gemakkelijk te schakelen tussen verschillende niveaus binnen de organisatie. Van onderzoeker en docent tot directeur en CvB. Weet complexe onderwerpen helder en toegankelijk over te brengen. Bouwt vertrouwen op en weet draagvlak te creëren. Proactief, verbindend en organisatiesensitief. Wat bieden we? UU biedt een inhoudelijk betekenisvolle functie binnen een maatschappelijk relevante organisatie, met ruimte voor zelfstandigheid en impact. Salaris van € 6.512,- tot € 7.904 ,- bruto per maand o.b.v. 38 uur per week (schaal 13 CAO Nederlandse Universiteiten). Eindejaarsuitkering van 8,3% (dertiende maand). Een dienstverband van 24 tot 32 uur per week. Een jaarcontract met de intentie tot een contract voor onbepaalde tijd. Standplaats Utrecht, met hybride werken als uitgangspunt. 232 vakantie-uren per jaar op basis van 38 uur per week. Deelname aan het ABP-pensioenfonds, waarbij de universiteit het grootste deel van de premie betaalt. Reiskostenvergoeding en thuiswerkvergoeding. Volledige vergoeding van noodzakelijke scholing en ruime mogelijkheden voor verdere ontwikkeling. Goede regelingen voor ouderschapsverlof, vitaliteit en duurzame inzetbaarheid. Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig, alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Ontdek wat GRC Governance Risk Compliance is en hoe een geïntegreerde GRC-aanpak jouw organisatie helpt risico’s te beheersen en compliance te borgen. GRC governance risk compliance GRC Governance Risk Compliance staat voor drie fundamentele pijlers die bepalen hoe organisaties worden bestuurd, hoe zij omgaan met risico’s en hoe zij voldoen aan wet- en regelgeving. Maar GRC is meer dan een afkorting of een set losse functies. Het is een geïntegreerde benadering van besturing, beheersing en verantwoording. Governance gaat over de manier waarop een organisatie wordt geleid en gecontroleerd. Wie neemt welke beslissingen? Hoe worden belangen afgewogen? En hoe zorgen we ervoor dat de organisatie koersvast blijft, ook als de omstandigheden veranderen? Riskmanagement draait om het identificeren, analyseren en beheersen van risico’s. Dat kunnen strategische, financiële, operationele of compliance-gerelateerde risico’s zijn. Goed risicomanagement betekent niet dat je risico’s vermijdt, maar dat je bewust omgaat met onzekerheden door deze te beheersen. Compliance richt zich op het naleven van interne regels en externe wet- en regelgeving. Organisaties staan onder toenemende druk om te kunnen aantonen dat zij ‘in control’ zijn. Niet alleen richting toezichthouders, maar ook richting klanten, medewerkers en de maatschappij. De kracht van GRC zit in de integratie. In plaats van dat governance, risk en compliance als drie aparte domeinen opereren, werk je vanuit samenhang. Hierdoor ontstaat een breed, realistisch en toekomstgericht beeld van waar de organisatie staat. Waarom is GRC Governance Risk Compliance belangrijk voor jouw organisatie? In een wereld waarin wet- en regelgeving continu verandert, technologische ontwikkelingen elkaar razendsnel opvolgen en de maatschappelijke verwachtingen blijven toenemen, is een geïntegreerde GRC-aanpak geen luxe maar een noodzaak. Organisaties die GRC goed op orde hebben: Beheersen hun risico’s effectiever. Ze zien sneller waar het mis kan gaan en kunnen proactief maatregelen nemen. Verhogen hun betrouwbaarheid. Ze zijn in staat om aan te tonen dat ze hun processen onder controle hebben, een belangrijk signaal naar stakeholders. Verbeteren hun besluitvorming. Door GRC te integreren in de strategische sturing, worden besluiten beter onderbouwd en meer toekomstbestendig. Verlagen hun operationele kosten. Een efficiënte en gestroomlijnde aanpak voorkomt dubbel werk, fouten en intern gecreëerde incidenten omdat de drie functies elkaar tegenwerken. Versterken hun reputatie. Compliance is niet alleen een wettelijke vereiste, maar ook een manier om het vertrouwen van klanten, partners en toezichthouders te behouden. Tegelijkertijd is het opzetten en onderhouden van een volwassen GRC-structuur complex. Je hebt te maken met verschillende belanghebbenden, diverse normen en kaders, uiteenlopende risico’s en soms botsende belangen. En dan is er ook nog de menselijke factor: cultuur, gedrag en bewustzijn spelen een cruciale rol in het succes van GRC. Een goede GRC-aanpak vereist dus meer dan een checklist of softwarepakket. Het vraagt visie, leiderschap, samenwerking en continu leren. Onze visie op GRC: meer dan vinkjes zetten Sommige organisaties benaderen GRC als een verplicht nummertje. Er wordt een compliancebeleid opgesteld, een risicoregister ingevuld en het vinkje kan gezet worden. Maar zodra de audit voorbij is, verdwijnt het onderwerp weer van de agenda. Bij Ferocia geloven we niet in schijnbeheersing. GRC is wat ons betreft geen jaarlijkse exercitie voor de vorm, maar een manier van werken. Een aanpak die door de hele organisatie heen zichtbaar en voelbaar is, van directie tot werkvloer. 1. GRC is geen papieren werkelijkheid We komen regelmatig organisaties tegen met dikke beleidsdocumenten, uitgebreide risico-overzichten en lange lijsten met interne controles. Maar als je vraagt: “Wat doet een teamleider daadwerkelijk met dit beleid?”, blijft het stil. Wij zeggen dan: schrap liever 80% van je papieren regels en maak de overgebleven 20% echt werkbaar. Laat managers, proceseigenaren en medewerkers actief meedenken over risico’s in hun werk. In het Three Lines Model zijn zij tenslotte eigenaar. Binnen de wettelijke kader, pas beleid aan op hoe het in de praktijk werkt. Want alleen dan krijgt GRC Governance Risk Compliance betekenis. Voorbeeld: In plaats van jaarlijks een RCSA in te vullen ‘omdat het moet’, laten we teams zelf hun belangrijkste procesrisico’s benoemen en direct oplossingen bedenken. Dat levert niet alleen bruikbare input op, maar ook eigenaarschap. 2. Minder controles, meer gesprekken Hard controls zijn belangrijk, denk aan autorisatiematrices, functiescheiding of technische toegangsbeveiliging. Maar het echte verschil maak je in gedrag. Is er ruimte om fouten te bespreken? Durven mensen elkaar aan te spreken op onzorgvuldig gedrag? Wordt ‘de bedoeling’ van een regel begrepen? Wij helpen organisaties om die dialoog op gang te brengen. Niet met vage cultuurprogramma’s, maar met concrete interventies: workshops over soft controls, audit-interviews over gedrag, of het aanpassen van KPI’s zodat ze risicobewust gedrag stimuleren. Voorbeeld: Bij een klant in de energiesector bleken medewerkers maandrapportages ‘mooi te maken’ om targets te halen. Er stonden voldoende checks in het systeem, maar niemand stelde de vraag: “Waarom wijkt de prognose elke maand zoveel af van de realiteit?” We hebben toen niet nog een controle ingebouwd, maar zijn gestart met sessies over transparantie en aanspreekbaarheid. 3. GRC moet het werk makkelijker maken, niet moeilijker GRC wordt vaak gezien als iets wat ‘erbij komt’. Een last boven op het gewone werk. Begrijpelijk, maar onnodig. Goed ingerichte GRC-processen helpen organisaties juist om slimmer te werken. Wij maken GRC graag lean: minder bureaucratie, meer waarde. Door processen te standaardiseren, risico’s te prioriteren en controls te koppelen aan bestaande werkprocessen. Zo wordt compliance een onderdeel van het dagelijkse werk, in plaats van een extra taak. Voorbeeld: Bij een zorgorganisatie hebben we alle compliance-eisen rond medicatieveiligheid geïntegreerd in het EPD (elektronisch patiëntendossier). Geen losse checklists meer, maar automatische signalen op het juiste moment in het proces. Minder fouten, minder werkdruk, meer grip. 4. GRC is niet van de afdeling Risk of Compliance, het is van iedereen GRC werkt alleen als het onderdeel is van het DNA van de organisatie. Niet als een los eiland binnen Risk, Audit of Compliance. Daarom betrekken wij altijd de hele organisatie: van het managementteam tot HR, van IT tot de operatie. We trainen leidinggevenden in risicogestuurd denken, ondersteunen lijnmanagers in het beoordelen van controls en helpen compliance-afdelingen om echt het gesprek aan te gaan met de business. Voorbeeld: In een logistiek bedrijf gaven teamleiders aan dat het risicoregister “iets van het hoofdkantoor” was. Wij hebben toen met hen zelf werkvloerworkshops opgezet, waarin ze met hun team risico’s op leverbetrouwbaarheid bespraken. Het resultaat? Relevante risico’s, praktische acties en een gedragen GRC-aanpak. Hoe kan Ferocia je helpen met GRC Governance, Risk en Compliance? Ferocia ondersteunt organisaties in elke fase van hun GRC-reis: van bewustwording en visievorming tot implementatie en borging. We combineren diepgaande vakkennis met praktische toepasbaarheid en werken nauw samen met onze klanten om duurzame verbeteringen te realiseren. Onze aanpak kent drie pijlers: 1. Opleidingen & trainingen We bieden diverse leerlijnen aan op het gebied van governance, risicomanagement en compliance. Denk aan: Masterclasses over soft controls, gedrag en cultuur Trainingen in risicomanagement en Risk Control Self Assessments (RCSA) Cursussen over actuele wet- en regelgeving (bijv. Wwft, ESG, ISQM) Onze in company leerprogramma’s zijn actueel, praktijkgericht en altijd afgestemd op de doelgroep, van junior tot senior, van auditor tot lijnmanager. 2. Interim & consultancy Soms heb je tijdelijk behoefte aan extra expertise of capaciteit. Ferocia levert ervaren professionals die snel inzetbaar zijn op interim-basis, bijvoorbeeld als: GRC Governance Risk Compliance coördinator of -adviseur Compliance officer Risk manager Auditor Daarnaast begeleiden wij organisaties bij de ontwikkeling en implementatie van GRC-frameworks, risicomanagementprocessen, complianceprogramma’s en internal control-verbetertrajecten. 3. Werving & selectie Een stevig GRC-fundament vraagt ook om de juiste mensen op de juiste plek. Ferocia helpt bij het vinden en selecteren van professionals op het gebied van auditing, risk, compliance en control. We begrijpen het vak en de context en zorgen voor een match die verder gaat dan het cv. Klaar voor de volgende stap in GRC Governance, Risk en Compliance ? Of je nu net begint met het opzetten van een risicomanagementsysteem, worstelt met compliance-uitdagingen of je GRC-structuur wilt professionaliseren, Ferocia staat naast je. Wij brengen structuur, expertise en energie. Zodat GRC geen last is, maar een kracht. Wil je ontdekken hoe wij jouw organisatie kunnen ondersteunen? Neem dan vrijblijvend contact met ons op. Samen maken we GRC werkbaar, integraal en mensgericht. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs

Ontdek hoe soft controls zoals cultuur en gedrag cruciaal zijn voor effectieve interne beheersing en risicomanagement. Versterk jouw organisatie vandaag! Alle blogs Gedrag en cultuur Soft Controls In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en toegepaste controlemaatregelen, doen zich toch incidenten voor. Denk aan integriteitskwesties, vertrouwensbreuken of zelfs fraude. Hoe kan dat? Steeds vaker ligt de echte oorzaak niet in de systemen, maar in de cultuur. In de ongeschreven regels. In het gedrag. In wat we noemen: soft controls . Wat zijn soft controls precies? Soft controls zijn de informele vaak onzichtbare factoren die gedrag binnen organisaties beïnvloeden. Het gaat om zaken als: Psychologische veiligheid: durven mensen zich uit te spreken? Leiderschap en voorbeeldgedrag: wat laat het management echt zien? Vertrouwen en openheid: is er ruimte voor kwetsbaarheid? Normen en waarden: wat vinden we ‘normaal’ gedrag? Betrokkenheid en motivatie: waarom doen mensen wat ze doen? Deze elementen sturen gedrag, vaak sterker dan formele regels of procedures. Ze bepalen of mensen hun verantwoordelijkheid nemen, fouten durven melden, dilemma’s delen en ethisch handelen. Hard vs. soft: twee zijden van dezelfde munt Traditionele interne beheersing leunt sterk op hard controls , zoals functiescheiding, autorisatieprotocollen, rapportagestructuren en IT-systemen. Deze zijn namelijk tastbaar, meetbaar en controleerbaar. Soft controls daarentegen zijn minder grijpbaar, maar wel minstens zo belangrijk. Ze bepalen de effectiviteit van die harde maatregelen. Een autorisatieprocedure is zo sterk als de mate waarin medewerkers bereid zijn zich eraan te houden. En dat gedrag wordt juist gestuurd door soft controls. Of zoals een ervaren auditor eens zei: “Op papier klopt alles. In de praktijk doet men iets anders.” Soft en hard controls versterken elkaar, of juist niet. Een organisatiecultuur waarin kleine fouten zwaar worden bestraft, zorgt ervoor dat risico’s niet worden gemeld. Terwijl openheid en vertrouwen het melden van incidenten juist stimuleren. Soft controls vormen dus het fundament van een lerende organisatie. Waarom soft controls cruciaal zijn voor auditors De rol van de internal auditor verandert. Waar vroeger vooral werd gekeken naar structuur en processen, komt er nu steeds meer aandacht voor gedrag, cultuur en context. Soft controls helpen auditors om: blinde vlekken te signaleren; risico’s realistischer in te schatten; aannames over controles te toetsen; en betere, effectievere aanbevelingen te formuleren. Auditen van soft controls vraagt echter een andere aanpak. Geen vinklijstjes, maar nieuwsgierigheid. Geen check op procedures, maar gesprekken over dilemma’s. Geen observaties van cijfers, maar observaties van gedrag. Je onderzoekt niet alleen wat er gebeurt, maar ook waarom het gebeurt. Hoe onderzoek je soft controls? Het beoordelen van soft controls is maatwerk. Elk team, elke organisatie en elke context is anders. Ferocia werkt daarom met een aanpak waarin meerdere methoden worden gecombineerd: Diagnoses en nulmetingen : een eerste beeld van cultuur en gedrag, via scans of vragenlijsten. Interviews en groepsgesprekken : verdiepen op thema’s als integriteit, voorbeeldgedrag en aanspreekcultuur. Observaties in de praktijk : meekijken bij vergaderingen of besluitvormingsprocessen. Gebruik van beproefde frameworks : zoals het model van Muel Kaptein. Door deze methoden slim te combineren, ontstaat een realistisch en werkbaar beeld van de soft controls binnen een organisatie. Geen theoretisch model, maar praktische inzichten waar direct mee gewerkt kan worden. Soft controls in tijden van verandering De urgentie van soft controls neemt toe. Organisaties opereren steeds vaker in complexe, hybride omgevingen. Werknemers zijn deels thuis, deels op kantoor. Teams werken digitaal samen. De formele controle wordt minder zichtbaar en het belang van vertrouwen en intrinsieke motivatie juist groter. Tegelijkertijd zien we een toename in externe druk: strengere regelgeving, maatschappelijke verwachtingen rond ESG (Environmental, Social, Governance), en de noodzaak tot transparantie. In deze context is het essentieel dat medewerkers niet alleen ‘doen wat moet’, maar vooral ‘doen wat juist is’. En dat vraagt om sterke soft controls. Soft controls implementeren: hoe doe je dat? Soft controls versterken begint bij bewustwording. Veel organisaties herkennen gedragspatronen wel, maar vinden het lastig om ze te benoemen of bespreekbaar te maken. Ferocia ondersteunt organisaties daarom met advies, training en audits op maat. Denk aan: Trainingen over ethiek, cultuur en integriteit: wat verstaan we onder voorbeeldgedrag? Hoe spreken we elkaar aan? Wat doen we als we een dilemma tegenkomen? Gedragsaudits: geen controle op cijfers, maar op gedragspatronen. Waar zitten de risico’s in houding, communicatie of leiderschap? Integratie in risicomanagement en compliance: soft controls als volwaardig onderdeel van het control framework. Niet als ‘extraatje’, maar als strategische pijler. Coaching en ondersteuning van leidinggevenden: want gedrag begint aan de top. Managers en teamleiders zijn cruciaal in het versterken van een gezonde cultuur. Voorbeeld uit de praktijk Een zorginstelling merkte dat incidenten rondom medicatieveiligheid bleven voorkomen, ondanks goede protocollen en technische ondersteuning. De oorzaak? Medewerkers durfden elkaar niet aan te spreken. Uit gesprekken bleek dat er onvoldoende psychologische veiligheid was. Door met het team te werken aan openheid, vertrouwen en feedbackvaardigheden, nam het aantal incidenten substantieel af, zonder dat er iets aan de procedures werd aangepast. Het laat zien: soft controls maken het verschil. Soft controls in jouw organisatie? De grote vraag is: hoe sterk zijn de soft controls in jouw organisatie? Worden risico’s besproken of vermeden? Is er ruimte voor feedback, of speelt men op zeker? Voelen medewerkers zich verantwoordelijk, of juist gecontroleerd? Hebben mensen het lef om afwijkingen te melden? Als je twijfelt over het antwoord, is dat op zichzelf al waardevol. Want het betekent dat je bereid bent te kijken. En dat is de eerste stap naar verbetering. Of je nu soft controls wilt onderzoeken, versterken of integreren in je organisatiecultuur, wij helpen je verder! Opleidingen en trainingen – op het gebied van soft controls zowel open als inhouse. Interim en consultancy – tijdelijke inzet van internal auditors die gespecialiseerd zijn in cultuur en gedrag . Werving en selectie – voor het vinden van de juiste auditprofessional die je team permanent komt versterken. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ferocia helpt internal auditafdelingen bij voorbereiding en uitvoering van de externe kwaliteitstoetsing volgens GIAS. Versterk je auditfunctie en ontdek hoe. Alle blogs Internal auditing Kwaliteitstoetsing auditafdelingen Hoe Ferocia internal auditafdelingen ondersteunt bij de kwaliteitstoetsing De rol van de internal auditfunctie binnen organisaties is de afgelopen jaren aanzienlijk veranderd. Internal auditors worden tegenwoordig steeds vaker gezien als strategische partners die bijdragen aan governance, risicobeheersing en waardecreatie. Die ontwikkeling brengt ook een grotere verantwoordelijkheid met zich mee. Stakeholders verwachten dat auditafdelingen niet alleen voldoen aan wet- en regelgeving, maar ook dat zij aantoonbaar werken volgens de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA). Om dit te waarborgen, is er de ‘verplichte’ kwaliteitstoets, een periodieke beoordeling van de internal auditfunctie, uitgevoerd door een onafhankelijke partij. Voor veel auditafdelingen is dit een spannend en intensief traject. Hoe toon je aan dat je voldoet aan de kwaliteitscriteria? Hoe bereid je je voor op een externe toets? En hoe vertaal je de uitkomsten naar duurzame verbeteringen? Daar komt Ferocia in beeld. Ferocia als partner in kwaliteitstoetsing Ferocia ondersteunt internal auditafdelingen van A tot Z bij de kwaliteitstoetsing. Dat doen wij vanuit drie diensten: Audit readiness assessment. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS. Uitvoering van de externe kwaliteitstoets (Ferocia is gecertificeerd door het IIA). Door deze combinatie zijn wij voor auditafdelingen niet alleen een sparringpartner, maar ook een onafhankelijke beoordelaar die de kwaliteit van het vakgebied helpt versterken (uiteraard kunnen en willen wij dienstverlening 1 en 2 niet combineren met 3). 1. Audit readiness assessment: voorbereid de kwaliteitstoetsing in Een kwaliteitstoets kan voor auditteams een pittige exercitie zijn. Vaak heerst er onzekerheid: Hoe zit het met onze ethiek en professionele moed? Is onze auditcharter up-to-date? Sluiten onze werkprogramma’s voldoende aan op de standaarden? Hoe scoren we op onafhankelijkheid en objectiviteit? Met het audit readiness assessment helpt Ferocia auditafdelingen deze vragen te beantwoorden. Dit assessment is een grondige analyse die inzicht geeft in de huidige situatie en de mate van gereedheid voor de externe kwaliteitstoetsing. Wat houdt het in? Documentreview: We analyseren beleidsstukken, auditplannen, werkdossiers en rapportages. Interviews: We spreken met auditors, management en stakeholders om te toetsen hoe processen in de praktijk werken. Gap-analyse: We vergelijken de huidige werkwijze met de GIAS-criteria en brengen eventuele verbeterpunten in kaart. Het resultaat Een concreet rapport met: Sterke punten die de auditfunctie onderscheiden. Verbeterpunten die aandacht vragen voor de externe toets. Praktische aanbevelingen waarmee de afdeling direct aan de slag kan. Het readiness assessment geeft auditteams rust, duidelijkheid en een routekaart richting een succesvolle kwaliteitstoets. 2. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS De GIAS stelt duidelijke eisen aan de inrichting en uitvoering van internal auditfunctie. Denk aan ethiek, onafhankelijkheid, positionering binnen de organisatie, kwaliteit van werkprogramma’s en continue professionalisering van het team. Veel auditafdelingen ervaren dat het lastig is om deze criteria consequent door te vertalen naar hun eigen praktijk. Ferocia biedt hier gerichte ondersteuning. Hoe ondersteunen wij? Workshops & trainingen: Gericht op specifieke thema’s zoals onafhankelijkheid, rapportagekwaliteit of stakeholdermanagement. Coaching on the job: Onze experts werken samen met auditteams tijdens lopende audits en geven direct feedback. Template- en procesontwikkeling: We helpen bij het opstellen van praktische formats, auditplannen, auditcharter, etc. die voldoen aan de GIAS. Voorbeeld uit de praktijk Een middelgrote financiële instelling vroeg ons om hulp omdat hun auditfunctie wel operationeel draaide, maar onvoldoende aantoonbaar voldeed aan de GIAS. Ferocia heeft een maatwerk verbeterprogramma opgesteld, inclusief workshops voor het auditteam, begeleiding bij het actualiseren van het auditcharter en ondersteuning bij rapportages. Bij de externe toets werd het team geprezen om hun professionaliteit en verbeterkracht. 3. Externe kwaliteitstoets: onafhankelijk en gecertificeerd Uiteindelijk komt het moment dat de auditfunctie een externe kwaliteitstoets moet ondergaan. Deze toets is ‘verplicht’ voor internal auditfuncties die aangesloten zijn bij het IIA en biedt zekerheid aan de organisatie en haar stakeholders. Ferocia is gecertificeerd om deze externe kwaliteitstoetsen uit te voeren. Dat betekent dat wij onafhankelijk beoordelen of een auditafdeling voldoet aan de GIAS. Hoe verloopt de externe kwaliteitstoetsing? Voorbereiding: We bereiden de externe kwaliteitstoetsing voor en stellen een planning op. Onderzoek: Ferocia voert interviews, documentanalyses en dossierreviews uit. Beoordeling: We vergelijken de praktijk met de kwaliteitscriteria. Rapportage: Het auditteam ontvangt een rapportage met een gedetailleerd oordeel met onderbouwing en eventuele concrete aanbevelingen. Meerwaarde van Ferocia als toetsende partij Ervaring: Onze auditors hebben vele kwaliteitstoetsen uitgevoerd bij uiteenlopende organisaties. Praktische blik: We kijken niet alleen of criteria worden gehaald, maar ook hoe de auditfunctie zich verder kan ontwikkelen. Onafhankelijkheid: Als gecertificeerde partij borgen we een objectief en betrouwbaar oordeel. Waarom kiezen auditafdelingen voor Ferocia? De kracht van Ferocia zit in de combinatie van kennis, ervaring en betrokkenheid. We kennen de praktijk van internal auditing door en door. We combineren theoretische kennis van de GIAS met praktische inzichten uit tientallen organisaties. We denken niet alleen in termen van toetsing, maar ook in ontwikkeling en groei van de auditfunctie. Onze klanten waarderen dat wij niet alleen toetsen, maar ook meedenken over hoe hun afdeling sterker, professioneler en toekomstbestendiger kan worden. De impact van een externe kwaliteitstoets: meer dan een verplichting Soms wordt de externe kwaliteitstoets gezien als een administratieve verplichting. Maar in werkelijkheid is het veel meer dan dat. Een goed doorlopen kwaliteitstoets biedt: Vertrouwen bij bestuur en toezichthouders dat de auditfunctie onafhankelijk en professioneel opereert. Meerwaarde voor de organisatie, omdat verbeterpunten direct bijdragen aan betere governance en risicobeheersing. Professionele groei voor auditors zelf, doordat zij leren van feedback en best practices. Met de juiste voorbereiding en begeleiding kan een kwaliteitstoets zo veranderen van een “spannend examen” naar een kans om de auditfunctie naar een hoger niveau te tillen. Conclusie: Samen werken aan auditkwaliteit Internal auditafdelingen staan voor de uitdaging om niet alleen hun werk goed te doen, maar dit ook aantoonbaar te maken volgens internationale standaarden. De kwaliteitstoets is daarbij een krachtig instrument, mits goed voorbereid en uitgevoerd. Ferocia ondersteunt auditafdelingen op drie niveaus: Audit readiness assessment: inzicht en voorbereiding. Ondersteuning bij voldoen aan de GIAS: kennis, begeleiding en praktische tools. Externe kwaliteitstoets: onafhankelijk, gecertificeerd en met oog voor ontwikkeling. Zo helpen wij internal auditors niet alleen om de toets te halen, maar vooral om sterker en toekomstbestendiger uit het traject te komen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

< Terug Vacature Financieel manager Plaza Foods Per direct 36 tot 40 uur per week Nijmegen €79.920,- tot €93.240,- per jaar SOLLICITEER Over de organisatie Je komt terecht in een dynamische, internationale organisatie met een warme, informele bedrijfscultuur. Plaza Foods is begonnen als familiebedrijf en is inmiddels uitgegroeid tot een van Europa’s toonaangevende producenten van koelverse maaltijden met een oriëntaalse en mediterrane signatuur. Die oorsprong proef je nog steeds terug — in het eten en in de manier van samenwerken. Persoonlijke betrokkenheid, vakmanschap en innovatie gaan hier hand in hand. De organisatie groeit hard en investeert volop in technologie, processen en mensen. In de moderne productielocatie in Nijmegen wordt gewerkt aan kwaliteitsproducten die via retail en foodservice hun weg vinden naar klanten in heel Europa. Over de functie Als financieel manager speel je een sleutelrol binnen de organisatie. De functie vraagt om een professional die de directie kan voorzien van betrouwbare cijfers, heldere analyses en strategisch advies. In deze rol geef je richting aan het financiële beleid en heb je directe invloed op bedrijfsprocessen en keuzes die bepalend zijn voor de toekomst van het familiebedrijf. Deze organisatie wil inzetten op groei. Jij ook? Topprioriteiten van de functie: • Consolidatie & rapportage; zorgdragen voor tijdige, juiste en kritische analyses van de financiële prestaties van de holding, dochtermaatschappijen en privéholdings en van nieuw op te starten projecten. • Strategisch advies en sparringpartner voor general manager; kostprijzencalculatie, vertalen van cijfers naar inzicht en richtinggevend advies voor directie en MT. • Leiding & ontwikkeling; aansturen en coachen van de finance-afdeling en het verder professionaliseren van systemen en processen. Daarnaast ben je verantwoordelijk voor het opstellen van de maand-, kwartaal- en jaarrapportages en analyseer je deze kritisch, zodat de directie altijd beschikt over betrouwbare inzichten. Ook bewaak je budgetten, forecasts en de liquiditeitspositie. Je initieert verbetertrajecten en kostenbesparingsprojecten en onderhoudt actief contact met externe partijen zoals accountants, banken, verzekeringsmaatschappijen en de Belastingdienst. Je werkt continu aan het optimaliseren van financiële processen en systemen, zodat de organisatie klaar is voor de toekomst. Wie zoeken we? Je hebt een aantoonbaar hbo- of wo werk- en denkniveau. Je neemt vijf jaar ervaring mee in een vergelijkbare functie. Je hebt ervaring binnen een productieomgeving, food of non-food, waarbij ook met veel grondstoffen gewerkt wordt. Je bent gewend te werken met meerdere vennootschappen en om financiële rapportages zorgvuldig en volledig te verzorgen. Ook heb je internationale ervaring en beheers je de Engelse taal. Ervaring met geïntegreerde informatiesystemen komt je zeker van pas. Daarnaast voel je je thuis in een familiebedrijfscultuur, waar betrokkenheid en samenwerking belangrijk zijn. Je bent analytisch en accuraat, maar ook besluitvaardig en communicatief sterk, waardoor je met gemak de verbinding maakt met zowel je team als de directie. Bovenal geniet je van een dynamische omgeving waarin je soepel schakelt tussen operationele vraagstukken en strategische beslissingen. Arbeidsvoorwaarden • Een sleutelrol in een gezonde, groeiende organisatie met korte lijnen en een open cultuur. • Salaris tussen de 6.000,- en 7.000,- EUR o.b.v. 40u. • 25 vakantiedagen en 8% vakantiegeld. • Eindejaarsuitkering • Een goede pensioenregeling. • Een opleidings- en ontwikkelbudget. • Ruimte voor eigen initiatief en directe impact op strategie en processen. Over ons Ferocia levert verschillende diensten op het gebied van audit, controlen risicomanagement. Zo bemiddelen we in (interim-)professionals, waarbij we ons onderscheiden met onder meer ons uitgebreide netwerk en scherpe tarieven. Daarnaast ontzorgen onze ervaren consultants organisaties bij vraagstukken op het gebied van sturing en beheersing; van coaching van raden van bestuur tot implementatie van beheersmaatregelen in complexe omgevingen. Ook biedt Ferocia open en inhouse opleidingen en trainingen op voorgenoemde gebieden. Dit alles doen we vanuit het principe ‘inspiratie, co-creatie, prestatie’. Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Versterk je gespreksvaardigheden met de training gesprekstechnieken. Leer omgaan met weerstand en maak écht impact. Alle blogs Risicomanagement, Internal auditing Training gesprekstechnieken voor auditors en riskmanagers Of je nu werkt als auditor, controller of risk officer, je succes hangt meer af van je gespreksvaardigheden dan je misschien denkt. Hoe scherp je analyses ook zijn en hoe goed je dossiers ook zijn voorbereid: zonder een open, doelgericht en effectief gesprek blijft je impact beperkt. Goede gesprekstechnieken zijn onmisbaar. Niet alleen om informatie boven tafel te krijgen, maar ook om echt verbinding te maken, weerstand te overbruggen en gedrag bespreekbaar te maken. Dat is precies waar de training gesprekstechnieken voor auditors en risicoprofessionals van Ferocia op inspeelt. Wat zijn gesprekstechnieken? Gesprekstechnieken zijn methoden en vaardigheden die je inzet om een gesprek doelgericht, gestructureerd en effectief te laten verlopen. Denk aan het stellen van de juiste vragen, het actief luisteren, het herkennen van non-verbale signalen, het omgaan met weerstand en het schakelen tussen verschillende communicatieniveaus. In het vakgebied van auditing en risicomanagement krijgen deze technieken nog een extra dimensie: je gesprekspartner is vaak iemand van binnen de organisatie, met eigen belangen, belangen die soms haaks staan op jouw bevindingen of observaties. Daarom is het cruciaal dat je als professional niet alleen vaktechnisch onderlegd bent, maar ook beschikt over de juiste gespreksvaardigheden. Gesprekstechnieken zijn geen ‘soft skill’ die je er zomaar bijdoet; ze vormen een wezenlijk onderdeel van je vakmanschap. Wat leer je tijdens de training gesprekstechnieken? De training Gesprekstechnieken van Ferocia is ontworpen voor professionals die werken binnen het domein van audit, control, risk of compliance en die effectiever willen worden in het voeren van kwalitatief goede gesprekken. In drie interactieve dagdelen leer je hoe je gesprekken beter voorbereidt, gestructureerd voert en afrondt. De training is opgebouwd rondom de volgende thema’s: Gespreksvoorbereiding : Hoe bereid je je voor op een auditinterview? Hoe sluit je interviewschema’s aan op het normenkader? Gesprekstechnieken : Je leert welke gesprekstechnieken je wanneer inzet en hoe je daarmee de regie in handen houdt, zonder het contact te verliezen. Vraagformulering : Je ontwikkelt vaardigheden om vragen scherp te formuleren, ook als het gaat over lastige onderwerpen als cultuur en gedrag. Communicatieniveaus : Je leert schakelen tussen inhoud, proces en relatie. Want alleen met bewustzijn op deze drie niveaus maak je echt impact. Omgaan met weerstand : Hoe herken je weerstand? En hoe kun je het ombuigen naar een constructief gesprek? Tijdens de training oefen je met deze vaardigheden aan de hand van praktijkcasussen, rollenspellen en reflectie. De theorie krijg je aangereikt via een innovatieve e-learningmodule, die je voorafgaand aan de bijeenkomsten zelfstandig doorloopt. Zo ben je optimaal voorbereid om tijdens de bijeenkomsten aan de slag te gaan met de toepassing in jouw praktijk. Wat kun je nadat je de training hebt afgerond? Na het afronden van de training ben je geen theoretisch expert, maar een beter uitgeruste professional. Je bent in staat om: gesprekken doelgericht en gestructureerd te voeren; de juiste gesprekstechnieken op het juiste moment in te zetten; de regie te houden, ook in lastige gesprekken of bij weerstand; diepere, betekenisvollere gesprekken te voeren over cultuur en gedrag; verschillende communicatieniveaus te herkennen en te benutten; effectiever informatie te verzamelen en gedragsaspecten bespreekbaar te maken; en jouw eigen stijl te ontwikkelen en bewust in te zetten. Je krijgt bovendien 12 PE-punten en een certificaat van deelname. Maar belangrijker nog: je ontwikkelt jezelf tot een gesprekspartner die gehoord wordt en die echt verschil maakt in de organisatie. Voor wie is deze training bedoeld? Deze training is speciaal ontwikkeld voor professionals die betrokken zijn bij audits, risicomanagement, compliance of control. Denk aan: Internal auditors (operational, IT of financial) Controllers Risk en compliance officers Accountants Medewerkers AO/IC Kwaliteitsmedewerkers Proceseigenaren Wat deze groep professionals verbindt? Van hen wordt verwacht dat zij gesprekken kunnen voeren waarin informatie wordt opgehaald, geanalyseerd en teruggekoppeld, vaak in een complexe of gevoelige context. De training is gericht op mensen met een HBO werk- en denkniveau die willen investeren in hun effectiviteit als gesprekspartner. De werkvorm van de training De training gesprekstechnieken is allesbehalve klassikaal en eenzijdig. Het is een praktijkgerichte, interactieve en blended leerervaring. Wat houdt dat in? E-learning (3 uur) : Voorafgaand aan de bijeenkomsten volg je de e-learning Interviewvaardigheden. Deze module doorloop je zelfstandig en in je eigen tempo. Zo leg je een solide basis aan theorie, die je vervolgens in de bijeenkomsten direct toepast. Drie interactieve bijeenkomsten (3 uur per bijeenkomst) : Deze sessies kun je fysiek of online bijwonen. Hier oefen je met de praktijk, ontvang je feedback en deel je ervaringen met andere deelnemers. Rollenspellen en praktijkopdrachten : Je oefent met realistische cases uit je eigen werkpraktijk. Persoonlijk actieplan : Je formuleert je eigen ontwikkeldoelen en krijgt daarop feedback van de docent en je mededeelnemers. Mixed classroom : Je kunt zelf kiezen of je fysiek of digitaal deelneemt. De training is volledig hybride ingericht. Het resultaat? Een training die aansluit op jouw praktijk, jouw uitdagingen en jouw leerstijl. En die jou helpt om niet alleen beter te luisteren, maar ook beter gehoord te worden. Waarom gesprekstechnieken een must zijn voor auditors en risicoprofessionals In een tijd waarin risicobeheersing, cultuur en gedrag steeds vaker centraal staan in audits, kun je als professional niet meer leunen op inhoud alleen. Het is niet genoeg om een dossier te analyseren; je moet ook het verhaal achter het proces boven tafel krijgen. Je moet gedrag bespreekbaar kunnen maken, de vinger kunnen leggen op impliciete overtuigingen en met weerstand kunnen omgaan zonder dat het gesprek stokt. Sterke gesprekstechnieken zijn daarbij geen luxe, maar noodzaak. Ze vormen de brug tussen observatie en actie, tussen analyse en interventie. En juist daarom verdienen ze een vaste plek in de gereedschapskist van iedere audit- en riskprofessional. Meer informatie over de training gesprekstechnieken klik hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Bereid je auditfunctie voor op de toekomst met GIAS 2025. Ontdek hoe de vernieuwde standaarden waarde en controle versterken. Start nu met de implementatie! GIAS De wereld verandert. Snel. Organisaties staan onder druk door toenemende complexiteit, regelgeving, digitalisering en maatschappelijke verwachtingen. In dat speelveld krijgt de internal auditfunctie een steeds belangrijkere rol. Niet als ‘compliancepolitie’, maar als strategische sparringpartner die echt waarde toevoegt. Precies dat is de kern van de vernieuwde Global Internal Audit Standards™ (GIAS), die vanaf 2025 wereldwijd de standaard zullen vormen. In deze blog nemen we je mee in wat de GIAS precies zijn, waarom deze herziening zo belangrijk is, wat er verandert en minstens zo relevant, wat jij nu al kunt doen om jouw auditfunctie klaar te stomen voor de toekomst. Wat is GIAS? De GIAS 2025 zijn het resultaat van een omvangrijke herziening van de bestaande International Professional Practices Framework (IPPF) van het Institute of Internal Auditors (IIA). Dit is niet zomaar een update van de oude IIA-standaarden; het is een fundamentele transformatie van de beroepspraktijk van internal auditors. Waar de vorige standaarden vooral draaiden om het borgen van kwaliteit en structuur in de auditfunctie, leggen de nieuwe GIAS veel nadrukkelijker de focus op impact, ethiek, governance, en strategische relevantie. Niet alleen voor auditors zelf, maar ook voor hun stakeholders. De GIAS zijn opgebouwd rond 15 principes, onderverdeeld in vijf domeinen: Doel en positie van de auditfunctie Ethiek en professionaliteit Governance, risicobeheer en interne beheersing Auditplanning en uitvoering Kwaliteitsmanagement en continue verbetering Wat maakt GIAS 2025 fundamenteel anders? 1. Principle based in plaats van checklist denken De nieuwe standaard is principle based. Dat betekent: minder regels om af te vinken, meer ruimte voor professioneel oordeel. Elke internal auditor wordt uitgedaagd om na te denken over het ‘waarom’ van zijn werk. Wat draag je echt bij aan de organisatie? Hoe maak je risico’s zichtbaar die er écht toe doen? 2. Meer focus op waardecreatie Waar internal auditing traditioneel werd geassocieerd met controle, ligt de nadruk nu veel sterker op het verbeteren van processen, versterken van governance en strategische ondersteuning van directie en bestuur. De auditor als aanjager van continue verbetering, daar draait het om. 3. Toepasbaar voor alle organisaties De GIAS zijn ontworpen voor wereldwijde toepasbaarheid. Of je nu werkt bij een multinational, een ziekenhuis, een woningcorporatie of een gemeente: de principes zijn toepasbaar en schaalbaar. Dat betekent ook dat kleinere auditfuncties kunnen (moeten) voldoen aan de GIAS. 4. Verwevenheid met ethiek en onafhankelijkheid De standaard begint niet voor niets met principes rondom ethiek en onafhankelijkheid. Het IIA onderstreept: integriteit is geen optionele bijzaak, maar het fundament van vertrouwen. In een tijd van maatschappelijke onrust en toenemende transparantieverplichtingen, is dat actueler dan ooit. 5. Ondersteuning met implementatiegidsen Bij elk principe hoort een set met implementatiegidsen, tools en voorbeelden. Daarmee is het niet alleen een normatief kader, maar ook een concreet handvat voor de praktijk. Wat moet je doen? Hoe pak je dat aan? Welke valkuilen moet je vermijden? De GIAS helpen je verder. Waarom deze herziening nu? De laatste jaren is het vakgebied internal auditing ingrijpend veranderd. Denk aan: Verschuiving van financiële naar strategische risico’s Opkomst van thema’s als duurzaamheid, cyberweerbaarheid, soft controls Toenemende verwachtingen van toezichthouders, stakeholders en maatschappij Snelle technologische ontwikkelingen (AI, data-analyse, automatisering) In dat speelveld is een auditor die puur controleert, simpelweg niet meer voldoende. Organisaties vragen om auditors die meedenken, vooruitkijken, en verbinden. De GIAS 2025 zijn ontwikkeld om dat profiel te ondersteunen en te versterken. Wat betekenen de GIAS voor jouw auditfunctie? Voor veel auditafdelingen betekent GIAS een verschuiving in denken en doen. Niet alleen in procedures, maar vooral in houding, communicatie en positionering. Een aantal voorbeelden: – Kritischer reflecteren op je eigen onafhankelijkheid Ben je werkelijk onafhankelijk, of sta je ‘te dichtbij’ je stakeholders? GIAS dwingt auditors om zichzelf, en hun posities, kritisch onder de loep te nemen. – Meer aandacht voor ethiek, cultuur en gedrag Auditors worden uitgedaagd om verder te kijken dan harde controls. Soft controls zoals leiderschap, communicatie, voorbeeldgedrag en cultuur krijgen een prominentere plek. – Grotere verantwoordelijkheid voor kwaliteit Kwaliteitsborging wordt niet meer gezien als een externe verplichting, maar als een interne verantwoordelijkheid. Dat betekent structurele zelfevaluatie, intervisie, bijscholing en het delen van lessons learned. En nu? Vijf stappen om je voor te bereiden op GIAS 2025 Ben je internal auditor, auditmanager of verantwoordelijk voor governance en risicobeheersing? Dan kun je niet wachten om je voor te bereiden. Deze zes stappen helpen je op weg: Verdiep je in de 15 principes Neem de nieuwe GIAS zorgvuldig door en betrek je team bij de interpretatie. Doe een gap-analyse Waar voldoe je al aan? Waar zijn nog hiaten? Wat vraagt om meer ontwikkeling? Leg verbinding met je stakeholders Bespreek met bestuur, directie en toezichthouders wat de GIAS betekenen voor jullie samenwerking. Ontwikkel je mensen Investeer in training, intervisie en kennisdeling. Niet alleen over de standaarden, maar ook over communicatie, ethiek en soft controls. Gebruik de implementatiegidsen Maak gebruik van de tools, formats en voorbeelden die het IIA biedt. Daarmee maak je de vertaalslag van theorie naar praktijk. GIAS 2025 is meer dan een norm, het is een mindset De echte waarde van de GIAS zit niet in de documenten zelf, maar in de manier waarop jij ze toepast. Ze dagen je uit om kritisch te kijken naar je eigen rol, je positie binnen de organisatie en je bijdrage aan het geheel. Ze vragen om lef, reflectie en continue verbetering. Of zoals een ervaren auditor het verwoordde: “Met GIAS is internal auditing niet langer een controlerende rol, maar een strategische professie.” Hoe kan Ferocia je helpen met de transitie naar GIAS? Ferocia helpt auditfuncties al jaren bij het versterken van hun rol in organisaties. Van training tot coaching, van auditmethodiek tot verandermanagement: wij zijn jouw partner in deze transitie. Onze experts denken met je mee, geven praktische handvatten en zorgen dat jouw auditfunctie klaar is voor de GIAS, en alles wat daarna komt. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs

Ontdek hoe je een ISAE 3402-verklaring effectief inricht en onderhoudt. En voorkom dat het een papieren tijger wordt zonder strategische waarde. Alle blogs TPM ISAE 3402 verklaring Zo haal je echt waarde uit je ISAE 3402-verklaring. Van verplicht vinkje naar integraal onderdeel van je interne beheersing De vraag is zelden of je een ISAE 3402-verklaring nodig hebt. Zeker niet als je organisatie diensten levert die impact hebben op de beheersing van klanten. De echte uitdaging zit in de hoe: Hoe richt je die verklaring zo in dat het geen jaarlijks hoofdpijndossier wordt? Hoe zorg je dat de controls niet alleen op papier kloppen, maar ook in de praktijk werken? En hoe maak je er een instrument van waar je organisatie echt beter van wordt? Want dat kan! Want als je ISAE 3402 slim aanpakt, levert het veel meer op dan een ‘groen vinkje’ voor de accountant. ISAE 3402 verklaring Zo haal je echt waarde uit je ISAE 3402-verklaring. Van verplicht vinkje naar integraal onderdeel van je interne beheersing De vraag is zelden of je een ISAE 3402-verklaring nodig hebt. Zeker niet als je organisatie diensten levert die impact hebben op de beheersing van klanten. De echte uitdaging zit in de hoe: Hoe richt je die verklaring zo in dat het geen jaarlijks hoofdpijndossier wordt? Hoe zorg je dat de controls niet alleen op papier kloppen, maar ook in de praktijk werken? En hoe maak je er een instrument van waar je organisatie echt beter van wordt? Want dat kan! Want als je ISAE 3402 slim aanpakt, levert het veel meer op dan een ‘groen vinkje’ voor de accountant. ISAE 3402: meer dan compliance Veel organisaties zien de ISAE 3402-verklaring nog altijd als een verplicht nummer. Iets wat je doet voor de auditor, of voor een klant die het nu eenmaal vraagt. Daardoor belanden ze in een jaarlijks repeterend patroon: Documenten verzamelen Control descriptions actualiseren Risicoanalyse herzien (maar vaak alleen oppervlakkig) Testplan afronden vóór de deadline En zodra de controle erop zit? Dan verdwijnt het hele framework weer in een digitale la. Tot volgend jaar. Zonde . Want wie ISAE 3402 serieus en strategisch inzet, creëert een structuur die: inzicht geeft in de volwassenheid van processen; houvast biedt aan klanten en toezichthouders; en rust en zekerheid geeft binnen je eigen organisatie. Dan wordt ISAE geen last, maar een kans. De drie grootste valkuilen Om die stap te maken, moet je eerst begrijpen waar het meestal misgaat. Drie valkuilen zie je in veel trajecten terug: 1. Je bouwt voort op verouderde processen Een klassieke fout: bij de (her)inrichting van het ISAE-framework neem je het bestaande procesmodel als uitgangspunt. Handig, denk je. Maar stel jezelf eens deze vragen: Zijn je processen sinds de vorige verklaring veranderd? Is er sprake van automatisering, hybride werken of outsourcing? Is je dienstverlening verschoven naar andere producten of markten? Als het antwoord op één van deze vragen ‘ja’ is, dan is je oude procesmodel geen stevig fundament meer en sluit je verklaring niet langer aan bij de praktijk. 2. De control descriptions zijn onbegrijpelijk Te technisch, te abstract of juist zo gedetailleerd dat niemand er nog chocola van kan maken. De control descriptions zijn het hart van je verklaring. En als die niet goed zijn, klopt de rest ook niet. Een goede control voldoet aan drie eisen: Begrijpelijk : proceseigenaren moeten snappen waar de control over gaat. Toetsbaar : auditors moeten objectief kunnen vaststellen of de control werkt. Toepasbaar : de control moet realistisch uitvoerbaar zijn binnen het proces. Kwaliteit zit dus niet in de hoeveelheid, maar in de scherpte ervan. Vijf heldere, werkende controls zijn waardevoller dan twintig wollige maatregelen die niemand echt uitvoert. 3. Geen eigenaarschap in de lijn Zolang ISAE 3402 ‘iets is van audit of compliance’, zal het nooit echt gaan leven. Je wilt dat proceseigenaren zich verantwoordelijk voelen voor hun beheersmaatregelen. Dat zij snappen waarom die controls er zijn. En dat zij zelf actief bijdragen aan het onderhoud en de verbetering ervan. Zonder dat eigenaarschap verwordt je verklaring tot een papieren tijger. Mooi op papier, maar nutteloos in de praktijk. Zo til je ISAE 3402 naar een hoger niveau De stap van compliance naar continu verbeteren vraagt om een andere mindset en aanpak. Onderstaande tips helpen je op weg: 1. Begin opnieuw met je risicoanalyse Laat de bestaande versie even voor wat die is. En stel jezelf en je team opnieuw de fundamentele vraag: Wat zijn de risico’s in onze dienstverlening vandaag, met deze klanten, deze processen en deze systemen? Breng die risico’s concreet in kaart. Ga daarbij verder dan alleen financiële of operationele risico’s. Kijk ook naar: Technologische risico’s (bijv. afhankelijkheid van platforms of integraties) Organisatorische risico’s (bijv. personele krapte, hybride werken) Reputatierisico’s (bijv. bij een datalek of foutieve rapportage) Pas als je deze risico’s scherp hebt, kun je ook passende en effectieve controls formuleren. 2. Breng je controls naar de praktijk Laat niet alleen de audit- of complianceafdeling de controls beschrijven. Leg ze voor aan de mensen die het werk doen. Vraag hen: “Wat betekent deze control voor jouw werkdag?” Als ze het niet kunnen uitleggen, werkt de control niet. Dan is er of iets mis met de formulering of met de uitvoerbaarheid. Beide zijn een probleem en bieden tegelijk een kans om te verbeteren. Door proceseigenaren actief te betrekken, verhoog je de acceptatie en de kwaliteit van je controls. 3. Veranker ISAE in je governance Een ISAE-framework moet niet losstaan van de rest van je organisatie. Integendeel. Integreer je controls in bestaande managementprocessen, bijvoorbeeld: Koppel controls aan bestaande KPI’s en dashboards. Neem beheersmaatregelen op in kwartaalrapportages. Bespreek knelpunten structureel in RvB- of MT-overleggen. Zo houd je het onderwerp levend. En voorkom je dat het alleen in het voorjaar relevant is, als de audit eraan komt. ISAE 3402 is nooit ‘af’ Nieuwe technologieën, nieuwe klanten, nieuwe eisen van toezichthouders, alles verandert voortdurend. Dat betekent ook dat je ISAE-verklaring een levend document moet zijn. Niet een set documenten die je jaarlijks afvinkt, maar een dynamisch framework dat meebeweegt met je organisatie. Dat vraagt om: Continu herijken van je risico’s en controls. Periodieke reflectie op de effectiviteit van je beheersmaatregelen. Een cultuur waarin eigenaarschap voor beheersing breed wordt gedragen. Zie het als een kans: organisaties die hun ISAE 3402 slim inzetten, bouwen aan veerkracht, klantvertrouwen en interne rust. Ze kunnen met recht zeggen: wij zijn ‘in control’. Tot slot: zie ISAE als hefboom, niet als hinderpaal Een goed ingericht ISAE 3402-framework kost tijd en aandacht. Maar het levert ook veel op: Meer grip op je processen Beter onderbouwde keuzes Hogere klanttevredenheid Meer rust bij management en bestuur Of je nu net begint met een verklaring of al jaren een framework hebt: er valt altijd winst te behalen. Maar dan moet je wel durven kijken. En durven verbeteren. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek wat de VOR (Verklaring Omtrent Risicobeheersing) betekent onder de Corporate Governance Code 2025 en versterk je risicobeheersing met Ferocia. VOR Verklaring Omtrent Risicobeheersing Het is een vraag die steeds vaker op tafel komt in de bestuurskamer. Niet alleen bij financiële instellingen, maar ook bij uitvoeringsorganisaties, zorginstellingen en andere (semi)publieke organisaties. Toezichthouders stellen hogere eisen. De maatschappelijke druk neemt toe. Incidenten halen direct het nieuws. En dan is daar de VOR Verklaring Omtrent Risicobeheersing. Voor sommige organisaties een logisch vervolg op bestaande verantwoordingsdocumenten. Voor anderen een spannend nieuw instrument dat vragen oproept. Wat verklaar je precies? Waar baseer je dat op? En belangrijker: wat betekent het voor de manier waarop je risico’s beheerst? In deze blog gaan we in op vier vragen: Wat is de VOR? Voor welke organisaties is de VOR van toepassing? Waarom is de VOR belangrijk? Wat is de visie van Ferocia op de VOR en hoe kunnen wij ondersteunen? Wat is de VOR? De Verklaring Omtrent Risicobeheersing (VOR) is een expliciete bestuurlijke verklaring waarin het bestuur aangeeft in hoeverre de interne risicobeheersing effectief is ingericht en functioneert. Kort gezegd: het bestuur spreekt zich uit over de mate waarin de organisatie haar belangrijkste risico’s beheerst. Met de VOR verschuift de nadruk van impliciete naar expliciete verantwoordelijkheid. Waar risicobeheersing voorheen vaak besloten lag in rapportages van internal audit, risk of compliance, vraagt de VOR om een duidelijke uitspraak van het bestuur zelf. Het bestuur moet voortaan expliciet rapporteren over: De opzet en werking van de interne risicobeheersings- en controlesystemen (IRCS); De beoordeling van de effectiviteit van deze systemen; De mate van zekerheid die deze systemen bieden ten aanzien van: operationele risico’s compliance risico’s verslaggevingsrisico’s (financieel én duurzaam). De VOR dwingt organisaties om deze vragen niet alleen intern te bespreken, maar ook formeel vast te leggen richting toezichthouders en stakeholders. Dat maakt het geen administratieve formaliteit, maar een bestuurlijk instrument. Wat er nu concreet verandert is dat het bestuur: jaarlijks de effectiviteit van de IRCS moet beoordelen; hierover transparant moet rapporteren in het bestuursverslag; expliciet moet aangeven welk niveau van zekerheid de systemen bieden voor operationele en compliance risico’s; ook duurzaamheidsinformatie moet betrekken in de risicobeheersing. Voor welke organisaties is de VOR (Verklaring Omtrent Risicobeheersing) van toepassing? De VOR is per de Nederlandse Corporate Governance Code 2025 verplicht voor alle beursgenoteerde ondernemingen. Deze bedrijven moeten vanaf het boekjaar dat start op of na 1 januari 2025 in hun bestuursverslag expliciet verantwoording afleggen over de hierboven beschreven elementen. Hoewel de VOR formeel onderdeel is van de Corporate Governance Code (en dus alleen verplicht is voor beursgenoteerde bedrijven), wordt deze in toenemende mate vrijwillig toegepast door andere typen organisaties, zoals: maatschappelijke organisaties; financiële instellingen; grotere familiebedrijven; ondernemingen die zich willen voorbereiden op CSRD-rapportage; en organisaties met complexe governance-, risico- of compliancevraagstukken. De VOR sluit inhoudelijk aan bij bredere risicobeheer eisen vanuit de CSRD. Organisaties die onder CSRD vallen, zullen merken dat de VOR-methodiek goed aansluit bij de vereiste risicoparagraaf, al is de VOR zelf niet verplicht voor niet-beursgenoteerde CSRD-plichtige ondernemingen. Niet omdat het moet maar omdat het bijdraagt aan vertrouwen, transparantie en professioneel bestuur. Kortom: de VOR is vooral relevant voor organisaties waar maatschappelijke impact, toezicht en governance zwaar wegen. Hoe groter de impact van falende beheersing, hoe groter de noodzaak van een expliciete verklaring. Waarom is de VOR belangrijk? De introductie van de VOR komt niet uit de lucht vallen. Organisaties opereren in een omgeving waarin onzekerheid structureel is geworden. Waar digitalisering de afhankelijkheid van IT-systemen vergroot, waar maatschappelijke verwachtingen toenemen en waar incidenten rondom datalekken, fraude, integriteitsschendingen of falend toezicht laten zien wat er gebeurt als risicobeheersing tekortschiet. De VOR speelt in op deze realiteit. 1. Versterking van bestuurlijke verantwoordelijkheid De VOR maakt risicobeheersing expliciet onderdeel van de bestuurlijke verantwoordelijkheid. Het bestuur kan zich niet verschuilen achter rapportages van stafafdelingen of assurance-functies. De vraag wordt persoonlijker: Durf ik te verklaren dat wij onze risico’s beheersen? Dat leidt tot scherpere gesprekken binnen het bestuur en met toezichthouders. 2. Stimulans voor integraal risicomanagement Een VOR kun je niet afgeven op basis van een losse risicoanalyse of een jaarlijkse update van het risicoregister. De verklaring vraagt om: Een actueel en integraal risicobeeld Heldere governance-structuren Effectieve monitoring Betrouwbare managementinformatie De VOR fungeert daarmee als katalysator voor volwassen integraal risicomanagement. 3. Verbinding tussen strategie en beheersing Risicobeheersing draait om het realiseren van organisatiedoelen binnen aanvaardbare risicogrenzen. Als je verklaart dat je “in control” bent, zeg je in feite: Wij achten het aannemelijk dat wij onze strategische doelstellingen realiseren binnen de gestelde kaders. Dat maakt de VOR strategisch relevant. Het gesprek verschuift van compliance naar doelrealisatie. 4. Transparantie en vertrouwen Stakeholders verwachten inzicht in hoe organisaties omgaan met onzekerheden en risico’s. De VOR draagt bij aan transparantie. Niet door elk detail openbaar te maken, maar door helder te communiceren over de mate van beheersing en eventuele verbetermaatregelen. Transparantie versterkt vertrouwen. En vertrouwen is in veel sectoren cruciaal. De visie van Ferocia ten aanzien van de VOR Bij Ferocia zien wij de VOR niet als een verplicht nummer, maar als een strategisch instrument. Een kans om risicobeheersing te versterken, om het gesprek in de bestuurskamer te verdiepen en een kans om audit, risk en compliance steviger te positioneren. Onze visie rust op drie pijlers. 1. Inhoud vóór formulering De verklaring volgt uit de kwaliteit van de beheersing. Niet andersom. Dat betekent investeren in: Een scherp en actueel risicoprofiel Een duidelijke risk appetite Effectieve beheersmaatregelen Aantoonbare werking van controls De VOR is het sluitstuk van een goed ingericht systeem van governance, risk en control. 2. Aandacht voor gedrag en cultuur Risicobeheersing is meer dan processen en systemen. Gedrag, voorbeeldrol en aanspreekcultuur bepalen of controls werken. Wij pleiten ervoor om bij de onderbouwing van de VOR expliciet aandacht te besteden aan gedrag en cultuur: Hoe ziet de beheerscultuur eruit en in welke mate is de consistent met de interne risicobeheersing? Is er ruimte voor tegenspraak? Durven medewerkers dilemma’s te delen? Zonder deze dimensie blijft “in control” kwetsbaar. 3. De VOR als continu proces De VOR mag geen jaarlijkse momentopname zijn. Het moet het resultaat zijn van een doorlopend proces van identificeren, beheersen, monitoren en bijstellen. Dat vraagt om volwassen professionals en een lerende organisatie. Hoe kan Ferocia je ondersteunen bij de VOR? De implementatie en borging van de VOR vraagt om kennis, ervaring en capaciteit. Ferocia ondersteunt organisaties via opleidingen, interim en consultancy en werving en selectie. Opleidingen en trainingen Internal auditors, risk managers en compliance officers spelen een sleutelrol bij het onderbouwen van de VOR. Onze opleidingen versterken: Analytische vaardigheden Oordeelsvorming Inzicht in integraal risicomanagement Kennis van soft controls en governance Professionals leren niet alleen toetsen, maar ook adviseren op strategisch niveau. Interim en consultancy Staat jouw organisatie aan het begin van de invoering van de VOR? Of wil je het bestaande risicomanagement naar een hoger niveau tillen? Onze interim-professionals en consultants ondersteunen bij: Het Het inrichten of herijken van het risicomanagementframework Het uitvoeren van maturity-assessments Het verbeteren van control effectiveness Het voorbereiden en onderbouwen van de VOR Altijd met focus op inhoud en duurzame verankering. Werving en selectie Een stevige VOR vraagt om stevige professionals. Wij ondersteunen bij het vinden van auditors, risk managers en controllers die bestuurlijk sensitief zijn, analytisch sterk en in staat om het gesprek op niveau te voeren. Want uiteindelijk staat de kwaliteit van de VOR of valt zij met de kwaliteit van de mensen die haar dragen. Tot slot: durf je te verklaren dat je in control bent? De VOR stelt een eenvoudige, maar confronterende vraag: Zijn wij écht in control? Niet alleen op papier, maar in gedrag, in besluitvorming en in uitvoering. Voor organisaties met een publiek belang is die vraag urgenter dan ooit. Bij Ferocia geloven wij dat de VOR geen bedreiging is, maar een kans. Mits je bereid bent het eerlijke gesprek te voeren en te investeren in volwassen risicobeheersing. Wil je weten waar jouw organisatie staat?Of wil je sparren over de impact van de VOR op jouw governance en control? Wij gaan graag met je in gesprek. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Waarom blijven dezelfde fouten terugkomen in organisaties? In deze blog lees je hoe internal auditing kan uitgroeien van controleur tot aanjager van leren en verbeteren. Ontdek hoe je met focus op gedrag, patronen en dialoog het lerend vermogen écht versterkt. Klik door voor meer informatie. Internal auditing en het lerend vermogen Knop De VOR vergroot de verantwoordelijkheid van het bestuur en dat vraagt om een stevige onderbouwing van de interne risicobeheersing. Internal audit blijft onafhankelijk en moet samenwerken met de 1ste en 2de lijn en de effectiviteit van de beheersing duiden. De VOR biedt zo een kans om strategisch waarde toe te voegen. VOR en de impact op de internal auditor Knop Veel risicoanalyses blijven hangen in lijstjes en matrixen waar niemand iets mee doet. In deze blog lees je wat een écht goede risicoanalyse is, welke valkuilen je moet vermijden en hoe je risico’s verbindt met gedrag, besluitvorming en resultaat. Maak van risicoanalyse een krachtig stuurinstrument. Risicoanalyse Knop Behavioral Auditing 2.0 legt de link tussen beheerscultuur en controlframework bloot met AI-ondersteunde gedragsanalyse. Sneller, dieper en concreter inzicht in hoe gedrag risicobeheersing écht beïnvloedt – volledig in lijn met de IIA-standaarden. Behavioral Auditing 2.0 Knop