Zoekresultaten

Snel een ervaren interim auditor, risk manager en controller nodig? Ontdek waarom Ferocia hiervoor jouw partner is. Kwalitatief, snel en scherpe tarieven. Alle blogs Interim en consultancy Interim auditor inhuren via Ferocia Personeelstekort. Ziekte. Veranderprojecten. Een plotselinge piek in het aantal audits. Wat de aanleiding ook is, organisaties staan regelmatig voor de uitdaging om snel een ervaren auditor aan boord te krijgen. En dan niet zomaar iemand, maar een professional die vanaf dag één meedraait, weet wat er gevraagd wordt en het verschil maakt. Bij Ferocia begrijpen we die urgentie. Maar we kijken verder dan alleen snelheid. Wij zorgen voor interim auditors die niet alleen gaten dichten, maar bijdragen aan verbetering, kwaliteit en rust in jouw auditfunctie. In deze blog lees je: wanneer het inhuren van een interim auditor verstandig is; wat je mag verwachten van een Ferocia-interimmer; en hoe wij het verschil maken ten opzichte van traditionele detacheerders. Wanneer kies je voor een interim auditor? Er zijn grofweg drie situaties waarin organisaties bij ons aankloppen: 1. Personele druk of uitval Een medewerker valt langdurig uit. Of er is al maanden sprake van onderbezetting, en de achterstanden lopen op. In zulke gevallen wil je geen maanden wachten tot een nieuwe vaste kracht start. 2. Projectmatige piekbelasting Een bijzondere opdracht komt langs: een thematische audit, due diligence, pre-audit voor certificering of begeleiding van een control improvement-traject. Dan is een tijdelijke versterking met specifieke ervaring een uitkomst. 3. Veranderopgave of crisis De organisatie zit in transitie, de risicobeheersing staat onder druk, of er is behoefte aan een frisse blik. Dan helpt een externe auditor die wel kritische vragen stelt en weet hoe je verbetert zonder ‘de winkel’ stil te leggen. Wat maakt een Ferocia-interimmer anders? Wij selecteren onze interim auditors niet alleen op ervaring, maar vooral op impact. Ervaring in complexe omgevingen Onze interimmers hebben hun sporen verdiend in jouw sector. Denk hierbij de overheid, zorg, financiële dienstverlening, infrastructuur en industrie. Ze kennen de druk, de gevoeligheden en de compliance-eisen. Snelle inzetbaarheid Geen lang inwerktraject. Ferocia-auditors zijn gewend om in te stappen, de context snel te doorgronden en direct waarde toe te voegen. Stevigheid en ‘zachtheid’ Een rechte rug en oog voor de organisatie. Onze mensen zijn analytisch sterk, maar ook communicatief vaardig en sensitief. Ze weten wanneer ze doorpakken, en wanneer ze eerst moeten luisteren. Aansluiting op jouw strategie We denken mee over meer dan alleen ‘wie heb je nodig’. We kijken naar wat je wilt bereiken met de inzet. Gaat het om continuïteit, versnelling, kennisoverdracht, vernieuwing? Hoe ziet de samenwerking eruit? 1. Intake die verder gaat dan de vacature Wij starten altijd met een goed gesprek. Over context, doelen, cultuur en verwachtingen. Alleen zo kunnen we de juiste match maken. 2. Profiel en persoonlijkheid We stellen alleen interim auditors voor waarvan we zeker weten dat ze passen bij jouw organisatie en opdracht. We kijken dus niet alleen naar het cv, maar ook naar houding, stijl en toegevoegde waarde. Oftewel de impact die en interim professional maakt. 3. Begeleiding en nazorg Onze interimmers staan er niet alleen voor. Ze maken gebruik van het Ferocia-netwerk van experts, opleidingen en intervisie. En wij blijven tijdens de opdracht in contact zodat je kunt bijsturen, opschalen of verlengen als dat nodig is. Waarom kiezen organisaties in interim auditor van Ferocia? Bij Ferocia zijn wij geen ‘cv-schuivers’. We zijn verbonden aan meerdere universiteiten, hogescholen en beroepsverenigingen waar wij het internal audit vakgebied doceren. Hierdoor weten we snel wat er speelt en kunnen we goed de match maken tussen de vraag en de ideale kandidaat. We werken niet voor iedereen, maar wel voor organisaties die het serieus nemen. Die zoeken naar kwaliteit, betrouwbaarheid en snelheid. En die begrijpen dat een goede interim auditor meer is dan tijdelijke bezetting, het is een kans om door te ontwikkelen. Onze opdrachtgevers kiezen ons omdat we: begrijpen wat het vak vraagt; werken met een netwerk van bewezen professionals; snel schakelen zonder in te boeten op kwaliteit; oog hebben voor mensen, cultuur en resultaat; scherpe tarieven hanteren en transparant zijn over onze marge; en SNA gecertificeerd zijn en volledig compliant zijn met de wet DBA. Tot slot: interim is geen tussenoplossing, het is een strategische keuze Interim inzet is geen zwaktebod. Het is een teken van kracht als je weet wanneer je externe hulp inschakelt, en hoe je daar het maximale uithaalt. Bij Ferocia geloven we dat een goede interim auditor het verschil maakt tussen aanmodderen en vooruitkomen en tussen ‘opvulling’ en echte versterking. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

There’s Nothing Here... We can’t find the page you’re looking for. Check the URL, or head back home. Go Home

Ben jij internal auditor, controller of risicomanager en wil je groeien in je vak? Ferocia biedt praktijkgerichte opleidingen en trainingen op het gebied van internal auditing, control en risicomanagement. Ontworpen voor professionals die zich willen ontwikkelen en meer willen betekenen voor hun organisatie. Opleidingen en trainingen Ferocia verzorgt open en incompany opleidingen en trainingen voor internal auditors, risk officers en controllers. Onze dienstverlening Ben jij internal auditor, controller of risicomanager en wil je groeien in je vak? Ferocia biedt praktijkgerichte opleidingen en trainingen op het gebied van internal auditing, control en risicomanagement. Ontworpen voor professionals die zich willen ontwikkelen en meer willen betekenen voor hun organisatie. Leren bij Ferocia is anders! Wij bieden geen standaardopleidingen, maar trajecten die direct aansluiten op jouw dagelijkse praktijk. Geen droge theorie, maar kennis en vaardigheden die je meteen kunt toepassen in je werk. Zo wordt leren niet iets wat je erbij doet, maar iets dat je direct vooruithelpt! Wat ons uniek maakt? Wij begeleiden je niet alleen in de leeromgeving, maar ook bij de toepassing in jouw eigen praktijk. Met een doordachte combinatie van online theoretische voorbereiding (e-learning), interactie (virtuele of fysieke) bijeenkomsten en persoonlijke coaching, zorgen we ervoor dat jij de opgedane kennis zelfstandig en met vertrouwen toepast op je werkvloer. Daarbij werken wij samen met toonaangevende partners zoals Avans+, het Instituut van Internal Auditors (IIA Nederland) en Sijthoff Accountants Academy. Daardoor ben je verzekerd van de hoogste inhoudelijke kwaliteit en maximale relevantie voor jouw vakgebied. Kwaliteit gegarandeerd Onze opleidingen en trainingen worden verzorgd door ervaren en gediplomeerde docenten die hun sporen ruimschoots hebben verdiend in de praktijk, en zijn verbonden aan één of meerdere universiteiten (RE, RO, RC) en hogescholen. Zij weten als geen ander hoe ze theorie moeten vertalen naar situaties die jij in je dagelijkse werkzaamheden tegenkomt. Je kunt hierdoor de opgedane kennis direct toepassen binnen jouw praktijk, waardoor een meerwaarde wordt geleverd aan zowel jouw persoonlijke ontwikkeling als aan het succes van je organisatie! Meer weten? Bekijk dan ons aanbod aan open leertrajecten op het gebied van internal auditing, control en risicomanagement. Op zoek naar een incompany leertraject op maat? Ook dan helpen we je graag verder! Neem contact met ons op en we verkennen graag je leervraag. Contact Open leertrajecten Ben je op zoek naar een opleiding of training binnen audit, control of risicomanagement? Ontdek onze praktijkgerichte leertrajecten. Audit Control Risk Waarom Ferocia? Innovatieve en praktijkgerichte leertrajecten  voor internal auditors, controllers en risk officers. Blended learning – online voorbereiding, interactieve sessies en coaching in je eigen werksituatie. Open en incompany leertrajecten – schrijf je in voor een van onze open leertraject of kies voor een incompany leertraject op maat. Gediplomeerde docenten die hun sporen in de praktijk hebben verdiend. Onze docenten zijn niet voor niets allemaal als docent verbonden aan universiteiten en hogescholen! Gerenommeerde partners , zoals Avans+, het Instituut van Internal Auditors Nederland (IIA Nederland) en Sijthoff Accountants Academy.

Ontdek hoe Ferocia e-learning, hybride classrooms en simulaties inzet voor effectiever leren in audit, control en risk. Flexibel, persoonlijk en impactvol. Alle blogs Opleiding en training Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties. In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De tijd van “jij zit en wij zenden” is voorbij We hoeven je niet te vertellen dat de tijd van klassikale eenrichtingsverkeer voorbij is. Toch is het goed om stil te staan bij hoe ingrijpend die verschuiving is. Ooit was een opleiding of training vrijwel altijd een bijeenkomst op locatie. Een docent vertelt. De groep luistert. Aan het eind een vragenrondje. Klaar. Maar de professionals van nu, internal auditors, compliance officers, riskmanagers, controllers hebben andere verwachtingen. Hun werk is complexer geworden. Sneller en meer verspreid over locaties, rollen en disciplines. Ze willen leren op het moment dat het nodig is, niet alleen als het uitkomt in de planning van een lesrooster. Daarom werken we bij Ferocia met een hybride leeraanpak , waarbij we de sterke kanten van fysiek onderwijs combineren met de voordelen van technologie. Geen zwart-witkeuze, maar een slimme mix. E-learning als fundament: zelf leren, op je eigen moment E-learning heeft inmiddels zijn plek veroverd binnen het opleidingslandschap. Bij Ferocia gebruiken we e-learningmodules als fundament onder veel van onze opleidingen en trainingen. Denk aan: voorbereidingsmodules voorafgaand aan een training of opleiding; verdiepingstrajecten naast een klassikale of online les; toetsmomenten om kennis tussentijds te evalueren; en kennisclips en casussen die je kunt terugkijken wanneer jij dat wilt. Zo kunnen deelnemers zich in hun eigen tempo voorbereiden, herhalen of verdiepen. Geen tijdverspilling meer met klassikale kennisoverdracht die je ook prima individueel kunt doen. Daardoor blijft er meer ruimte over voor interactie, verdieping en toepassing naar jouw praktijk tijdens de bijeenkomsten zelf. En dat is belangrijk. Want kennis beklijft beter als je het zelf hebt ontdekt en kunt vertalen naar jouw eigen praktijk. Onze hybride classroom studio’s: fysiek en online echt verbonden Soms is fysiek samenkomen waardevol. Maar het is niet altijd haalbaar, zeker niet als je teamleden verspreid zijn over het land of als de reistijd niet opweegt tegen de lestijd. Daarom hebben we bij Ferocia geïnvesteerd in moderne hybride classroom studio’s. Hiermee combineren we fysieke en online deelname op een manier die voor iedereen werkt. Wat maakt onze hybride classrooms bijzonder? Volledige interactie : deelnemers op afstand kunnen net zo goed meedoen als degenen in de zaal. Met camera’s, microfoons en schermen zorgen we dat iedereen zichtbaar en hoorbaar is. Flexibiliteit : deelnemers kiezen zelf of ze fysiek aanwezig zijn of online inloggen. Gelijke leerervaring : zowel online als fysiek krijg je dezelfde inhoud, dezelfde opdrachten, en dezelfde aandacht van de docent. De tijd van "wie online meedoet, kijkt alleen maar mee" is voorbij. In onze hybride trainingen ben je volwaardig deelnemer, ongeacht je locatie. Simulaties: waar leren echt tot leven komt Een goede training stopt niet bij kennis. Want in het werkveld van audit, risk en control draait het om meer dan wat je weet, het gaat vooral om hoe je handelt. Wat doe je als een afdeling niet meewerkt aan je audit? Hoe presenteer je een kritisch rapport zonder de relatie te schaden? Hoe ga je om met ethische dilemma’s? Daarom werken we bij Ferocia steeds vaker met realistische simulaties. Bijvoorbeeld: een auditopdracht in een fictieve maar levensechte organisatieomgeving; een crisissituatie waarbij deelnemers moeten adviseren onder tijdsdruk; een teamopdracht waarbij soft controls net zo belangrijk zijn als het proces. Deze simulaties vinden deels plaats in onze studio’s en/of deels online middels breakout rooms. Ze zijn spannend, intensief en vooral ontzettend leerzaam. Waarom het werkt? Deelnemers ervaren echte dilemma’s, in een veilige oefenomgeving. Ze oefenen niet alleen kennis, maar ook gedrag en samenwerking. Ze krijgen directe feedback op keuzes en reflecteren op hun aanpak. Zo brengen we leren dichter bij de praktijk en dat is waar de echte groei plaatsvindt. Hybride leren: meer dan techniek alleen Natuurlijk is technologie belangrijk. Maar hybride leren is meer dan wat knoppen en schermen. Het gaat om didactiek; hoe bouw je een leerervaring die echt blijft hangen? Hoe zorg je dat deelnemers betrokken blijven? Hoe stimuleer je reflectie, interactie, nieuwsgierigheid? Daarom ontwerpen we onze programma’s rondom het hybride leerproces, met aandacht voor: Voorbereiding: wat kun je zelf doen voordat je samenkomt? Interactieve bijeenkomsten: fysiek of online, altijd met ruimte voor oefenen, reflecteren en feedback. Follow-up: hoe zorg je dat het geleerde beklijft? Welke opdrachten, coaching of e-learning helpen daarbij? Hybride leren vraagt dus ook iets van ons als opleiders. We trainen onze docenten in online didactiek. We ontwerpen modules met afwisseling en activatie. En we evalueren voortdurend wat werkt en wat beter kan. Wat blijft er wel hetzelfde? In al die innovatie vergeten we één ding niet; goed onderwijs draait nog altijd om mensen. Om het gesprek met de docent of trainer. Het sparren met vakgenoten. De ruimte om stil te staan bij wat je doet, waarom je het doet, en wat beter kan. Technologie is geen vervanger van de menselijke maat. Het is een verrijking. Het biedt flexibiliteit, snelheid en schaalbaarheid. Maar de kern blijft, leren is mensenwerk en dat geldt zeker ook voor onze trainingen en opleidingen. Wat betekent dit voor jou? Of je nu een individueel professional bent die wil bijblijven, of HR- of L&D-verantwoordelijke die zoekt naar impactvolle inhouse leertrajecten voor je team, onze aanpak maakt het verschil. Door slim gebruik van technologie en persoonlijke begeleiding zorgen we dat leren werkt. Dus: Wil je je vakkennis verdiepen via e-learning op je eigen moment? Wil je een training volgen waarbij je kunt kiezen tussen fysiek of online deelnemen, zonder concessies? Wil je echte situaties oefenen, zodat je sterker staat in je werk? Dan ben je bij Ferocia aan het juiste adres. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe soft controls zoals cultuur en gedrag cruciaal zijn voor effectieve interne beheersing en risicomanagement. Versterk jouw organisatie vandaag! Alle blogs Gedrag en cultuur Soft Controls In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en toegepaste controlemaatregelen, doen zich toch incidenten voor. Denk aan integriteitskwesties, vertrouwensbreuken of zelfs fraude. Hoe kan dat? Steeds vaker ligt de echte oorzaak niet in de systemen, maar in de cultuur. In de ongeschreven regels. In het gedrag. In wat we noemen: soft controls . Wat zijn soft controls precies? Soft controls zijn de informele vaak onzichtbare factoren die gedrag binnen organisaties beïnvloeden. Het gaat om zaken als: Psychologische veiligheid: durven mensen zich uit te spreken? Leiderschap en voorbeeldgedrag: wat laat het management echt zien? Vertrouwen en openheid: is er ruimte voor kwetsbaarheid? Normen en waarden: wat vinden we ‘normaal’ gedrag? Betrokkenheid en motivatie: waarom doen mensen wat ze doen? Deze elementen sturen gedrag, vaak sterker dan formele regels of procedures. Ze bepalen of mensen hun verantwoordelijkheid nemen, fouten durven melden, dilemma’s delen en ethisch handelen. Hard vs. soft: twee zijden van dezelfde munt Traditionele interne beheersing leunt sterk op hard controls , zoals functiescheiding, autorisatieprotocollen, rapportagestructuren en IT-systemen. Deze zijn namelijk tastbaar, meetbaar en controleerbaar. Soft controls daarentegen zijn minder grijpbaar, maar wel minstens zo belangrijk. Ze bepalen de effectiviteit van die harde maatregelen. Een autorisatieprocedure is zo sterk als de mate waarin medewerkers bereid zijn zich eraan te houden. En dat gedrag wordt juist gestuurd door soft controls. Of zoals een ervaren auditor eens zei: “Op papier klopt alles. In de praktijk doet men iets anders.” Soft en hard controls versterken elkaar, of juist niet. Een organisatiecultuur waarin kleine fouten zwaar worden bestraft, zorgt ervoor dat risico’s niet worden gemeld. Terwijl openheid en vertrouwen het melden van incidenten juist stimuleren. Soft controls vormen dus het fundament van een lerende organisatie. Waarom soft controls cruciaal zijn voor auditors De rol van de internal auditor verandert. Waar vroeger vooral werd gekeken naar structuur en processen, komt er nu steeds meer aandacht voor gedrag, cultuur en context. Soft controls helpen auditors om: blinde vlekken te signaleren; risico’s realistischer in te schatten; aannames over controles te toetsen; en betere, effectievere aanbevelingen te formuleren. Auditen van soft controls vraagt echter een andere aanpak. Geen vinklijstjes, maar nieuwsgierigheid. Geen check op procedures, maar gesprekken over dilemma’s. Geen observaties van cijfers, maar observaties van gedrag. Je onderzoekt niet alleen wat er gebeurt, maar ook waarom het gebeurt. Hoe onderzoek je soft controls? Het beoordelen van soft controls is maatwerk. Elk team, elke organisatie en elke context is anders. Ferocia werkt daarom met een aanpak waarin meerdere methoden worden gecombineerd: Diagnoses en nulmetingen : een eerste beeld van cultuur en gedrag, via scans of vragenlijsten. Interviews en groepsgesprekken : verdiepen op thema’s als integriteit, voorbeeldgedrag en aanspreekcultuur. Observaties in de praktijk : meekijken bij vergaderingen of besluitvormingsprocessen. Gebruik van beproefde frameworks : zoals het model van Muel Kaptein. Door deze methoden slim te combineren, ontstaat een realistisch en werkbaar beeld van de soft controls binnen een organisatie. Geen theoretisch model, maar praktische inzichten waar direct mee gewerkt kan worden. Soft controls in tijden van verandering De urgentie van soft controls neemt toe. Organisaties opereren steeds vaker in complexe, hybride omgevingen. Werknemers zijn deels thuis, deels op kantoor. Teams werken digitaal samen. De formele controle wordt minder zichtbaar en het belang van vertrouwen en intrinsieke motivatie juist groter. Tegelijkertijd zien we een toename in externe druk: strengere regelgeving, maatschappelijke verwachtingen rond ESG (Environmental, Social, Governance), en de noodzaak tot transparantie. In deze context is het essentieel dat medewerkers niet alleen ‘doen wat moet’, maar vooral ‘doen wat juist is’. En dat vraagt om sterke soft controls. Soft controls implementeren: hoe doe je dat? Soft controls versterken begint bij bewustwording. Veel organisaties herkennen gedragspatronen wel, maar vinden het lastig om ze te benoemen of bespreekbaar te maken. Ferocia ondersteunt organisaties daarom met advies, training en audits op maat. Denk aan: Trainingen over ethiek, cultuur en integriteit: wat verstaan we onder voorbeeldgedrag? Hoe spreken we elkaar aan? Wat doen we als we een dilemma tegenkomen? Gedragsaudits: geen controle op cijfers, maar op gedragspatronen. Waar zitten de risico’s in houding, communicatie of leiderschap? Integratie in risicomanagement en compliance: soft controls als volwaardig onderdeel van het control framework. Niet als ‘extraatje’, maar als strategische pijler. Coaching en ondersteuning van leidinggevenden: want gedrag begint aan de top. Managers en teamleiders zijn cruciaal in het versterken van een gezonde cultuur. Voorbeeld uit de praktijk Een zorginstelling merkte dat incidenten rondom medicatieveiligheid bleven voorkomen, ondanks goede protocollen en technische ondersteuning. De oorzaak? Medewerkers durfden elkaar niet aan te spreken. Uit gesprekken bleek dat er onvoldoende psychologische veiligheid was. Door met het team te werken aan openheid, vertrouwen en feedbackvaardigheden, nam het aantal incidenten substantieel af, zonder dat er iets aan de procedures werd aangepast. Het laat zien: soft controls maken het verschil. Soft controls in jouw organisatie? De grote vraag is: hoe sterk zijn de soft controls in jouw organisatie? Worden risico’s besproken of vermeden? Is er ruimte voor feedback, of speelt men op zeker? Voelen medewerkers zich verantwoordelijk, of juist gecontroleerd? Hebben mensen het lef om afwijkingen te melden? Als je twijfelt over het antwoord, is dat op zichzelf al waardevol. Want het betekent dat je bereid bent te kijken. En dat is de eerste stap naar verbetering. Of je nu soft controls wilt onderzoeken, versterken of integreren in je organisatiecultuur, wij helpen je verder! Opleidingen en trainingen – op het gebied van soft controls zowel open als inhouse. Interim en consultancy – tijdelijke inzet van internal auditors die gespecialiseerd zijn in cultuur en gedrag . Werving en selectie – voor het vinden van de juiste auditprofessional die je team permanent komt versterken. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Versterk jouw IT-beheersing met een effectieve IT audits. Ontdek waarom IT auditing essentieel is voor veiligheid, compliance en continuïteit. Alle blogs Internal auditing IT-auditing De digitale transformatie is in volle gang. Organisaties automatiseren processen, slaan gevoelige gegevens op in de cloud en maken steeds vaker gebruik van algoritmes en AI. Daarmee neemt ook de afhankelijkheid van IT-systemen toe, en dus ook de risico’s. Maar hoe weet je of je IT-omgeving daadwerkelijk ‘in control’ is? Of je systemen veilig zijn? En of jouw organisatie voldoet aan relevante wet- en regelgeving? Hier komt de IT-auditor in beeld. In deze blog lees je wat IT-auditing is, waarom het onmisbaar is in moderne organisaties en wat de belangrijkste inzichten zijn voor het uitvoeren van een effectieve IT-audit. Wat is IT-auditing? Een IT-audit is een gestructureerd en onafhankelijk onderzoek naar de beheersing van IT-processen en -systemen binnen een organisatie. De IT-auditor beoordeelt of deze processen: betrouwbaar zijn; voldoen aan interne en externe normen; bijdragen aan de organisatiedoelen; voldoende beschermd zijn tegen risico’s, zoals datalekken of uitval. Het doel van een IT-audit is niet alleen om te controleren, maar vooral om inzicht te geven in risico’s en handvatten te bieden om deze te beheersen. Daarmee draagt een IT-audit direct bij aan de kwaliteit en continuïteit van bedrijfsvoering. Waarom is IT-auditing zo belangrijk? Waar lang geleden de focus van audits vooral lag op financiële en operationele processen zijn IT-audits vandaag de dag essentieel. Dat heeft drie belangrijke redenen: 1. Digitalisering raakt alle processen Vrijwel elke organisatie draait op digitale systemen. Van HR tot finance, van productie tot klantcontact, alles loopt via IT. Een storing of beveiligingslek kan direct impact hebben op de hele organisatie. 2. Regelgeving wordt strenger Wet- en regelgeving zoals de AVG, NIS2 of DORA stellen steeds hogere eisen aan informatiebeveiliging, privacy en beschikbaarheid. Een IT-audit helpt om aan te tonen dat je hieraan voldoet. 3. Complexiteit neemt toe Cloudomgevingen, ketenintegratie, third-party risico’s, legacy systemen: IT-omgevingen zijn complexer dan ooit. Dit vraagt om specialistische audits die verder kijken dan de standaard checklist. Wat onderzoekt een IT-auditor? Een IT-audit kan verschillende onderwerpen omvatten. Denk bijvoorbeeld aan: Informatiebeveiliging (Information Security) Zijn vertrouwelijkheid, integriteit en beschikbaarheid van data geborgd? Change management Worden wijzigingen in systemen gecontroleerd en goedgekeurd? Toegangsbeheer Hebben alleen bevoegde personen toegang tot systemen en gegevens? Continuïteitsbeheer Zijn er procedures bij calamiteiten? Is er een disaster recovery plan? IT-governance Zijn verantwoordelijkheden, beleid en controlemechanismen goed ingericht? Compliance Voldoet de organisatie aan relevante wet- en regelgeving? De scope van een IT-audit hangt sterk af van de risico’s die binnen een specifieke organisatie of sector spelen. De belangrijkste inzichten bij het uitvoeren van een IT audit 1. Begrijp het bedrijfsproces voor je de techniek induikt Een veelgemaakte fout is om meteen de techniek in te duiken. Een effectieve IT-auditor begint bij het bedrijfsproces. Wat is het doel van het systeem? Welke risico’s bedreigen dat doel? En welke IT-maatregelen zijn genomen om die risico’s te beheersen? De techniek is belangrijk, maar niet het vertrekpunt. Zonder procesinzicht mist je audit impact. 2. Werk met een helder normenkader Een IT-audit draait om toetsing en toetsing vereist een normenkader. Dat kan een standaard zijn (zoals COBIT, ISO27001 of NIST) maar ook intern beleid. Zorg dat je deze normen vooraf goed definieert en vertaalt naar toetsbare criteria. Zorg dat je met de opdrachtgever en eventueel de auditee dit normenkader goed afstemt. Alleen dan kun je op gestructureerde wijze beoordelen of de beheersmaatregelen effectief zijn en als dat niet zo is, zet je auditrapport aan te verbetering.. 3. Toon niet alleen gebreken, maar geef handelingsperspectief Een goed auditrapport laat niet alleen zien wat er fout gaat, maar ook hoe het beter kan. Kom samen met de 1 ste lijn tot concrete aanbevelingen en quick wins. Daarmee maak je jouw werk relevant voor het management en worden bevindingen ook echt worden opgepakt. 4. Zorg voor stakeholdermanagement Een IT-audit raakt vaak meerdere afdelingen: IT, security, operations, legal, etc.. Elke stakeholder heeft andere belangen en verwachtingen. Het is cruciaal dat je dit veld goed overziet, belangen scherp krijgt en open communiceert. Daarmee creëer je draagvlak en voorkom je weerstand. 5. Let op soft controls en gedrag Niet alleen systemen bepalen of een IT-omgeving veilig is. Ook gedrag speelt een belangrijke rol. Worden wachtwoorden gedeeld? Klikken medewerkers op phishinglinks? Is er voldoende security awareness? Een IT-audit die alleen op hard controls (zoals firewalls of toegangssystemen) focust, mist vaak de kern van het risico. Neem daarom ook cultuur en gedrag mee in je beoordeling. 6. Automatiseer waar mogelijk IT-auditors beschikken steeds vaker over tools voor data-analyse, continuous monitoring en geautomatiseerde toetsing. Maak hier slim gebruik van. Niet om het menselijke oordeel te vervangen, maar wel om sneller, breder en diepgaander te kunnen auditen. 7. Wees wendbaar en actueel IT-omgevingen veranderen snel. Wacht daarom niet altijd op een jaarlijkse audit, maar werk met flexibele en iteratieve audits. Zo blijf je relevant en sluit je beter aan bij de dynamiek van de organisatie. De toekomst van IT-auditing De komende jaren zal IT-auditing alleen maar belangrijker worden. Nieuwe technologieën brengen nieuwe risico’s: AI, blockchain, quantum computing. Tegelijkertijd groeit de behoefte aan zekerheid, transparantie en compliance. De IT-auditor van de toekomst is dan ook niet alleen technisch onderlegd, maar: · begrijpt businessprocessen; · kan risico’s vertalen naar impact; · communiceert effectief met bestuurders en techneuten; en · en blijft continu leren. Tot slot: investeren in kwaliteit loont Een goede IT-audit levert meer op dan alleen een rapport. Het creëert inzicht, versterkt de beheersing en vergroot het vertrouwen van stakeholders. Zeker in een wereld waarin data en technologie de kern van je organisatie vormen, is investeren in IT-auditing geen luxe maar noodzaak. Hoe Ferocia IT-auditing binnen jouw organisatie versterkt Bij Ferocia geloven we in IT-auditing als strategisch instrument. Een manier om niet alleen risico’s te beheersen, maar om organisaties sterker en wendbaarder te maken. Daarom ondersteunen wij organisaties op drie manieren: 1. Opleidingen en trainingen We leiden auditors op tot echte professionals die zelfstandig en met impact een audit kunnen uitvoeren. Denk aan onze postbacheloropleiding IT Auditing of de cursus IT voor auditors . Theorie en praktijk, met aandacht voor zowel hard controls als soft controls. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een IT-audit? Wij leveren ervaren IT-auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe IT-auditor? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Over ons Ferocia helpt organisaties met het optimaliseren van hun sturing en beheersing. Onze visie Wij geloven dat organisaties meer voor hun klanten en de maatschappij kunnen betekenen, wanneer zij beschikken over de juiste stuur- en verantwoordingsinformatie en zij hun processen optimaal weten te beheersen in de vaak complexe omgeving waarin zij acteren. Onze missie Wij helpen organisaties met het optimaliseren van hun sturing en beheersing. Dit doen wij door onze kennis op het gebied van audit, control, risk management en compliance te delen, organisaties op deze gebieden te adviseren en ze te helpen bij het vinden van passende interim-professionals. Onze strategie Ferocia levert verschillende diensten op het gebied van audit, control, risk management en compliance. Zo bieden we hier open en incompany opleidingen en trainingen over aan. Dit doen wij zowel zelfstandig als samen met gerenommeerde partners, zoals Avans+ en het Instituut van Internal Auditors Nederland (IIA Nederland). Daarnaast ontzorgen onze ervaren consultants organisaties bij vraagstukken op het gebied van sturing en beheersing, van coaching van raden van bestuur tot implementatie van beheersmaatregelen in complexe omgevingen. Ook bemiddelen we in interim-professionals, waarbij we ons onderscheiden met onder meer ons uitgebreide netwerk en scherpe tarieven. Dit alles doen we vanuit het principe ‘inspiratie, co-creatie, prestatie’. Onze mensen De gezichten achter Ferocia zijn allen expert in hun vak die hun sporen in de praktijk hebben verdiend. Samen hebben ze veel kennis over en ervaring in niet alleen de verschillende vakgebieden, maar ook in een breed scala aan sectoren. Hierdoor vormen ze samen een sterk team!

Ontdek hoe een DORA audit bijdraagt om jouw organisatie digitaal weerbaar maakt. Praktische tips en een stappenplan! Alle blogs IT-beheersing DORA audit Stel je voor: je wordt wakker en internetbankieren werkt niet. Betalingen lopen vast, orders worden niet verwerkt, de klantenservice raakt overspoeld. Een storing van een paar uur, maar de impact is direct voelbaar in omzet, vertrouwen en misschien zelfs in de headline van het journaal. Precies dát scenario wil de Digital Operational Resilience Act (DORA) beperken. En precies dáár komt de DORA audit in beeld. Wat is DORA in gewone mensentaal DORA is Europese regelgeving die moet borgen dat financiële organisaties digitaal weerbaar zijn. Niet alleen tegen cyberaanvallen, maar tegen álle ICT-gerelateerde verstoringen: van uitval van een datacenter tot een mislukte release van nieuwe software. De regeling geldt voor een breed palet aan financiële instellingen: banken, verzekeraars, beleggingsinstellingen, betaalinstellingen en meer. In totaal zo’n twintig typen financiële entiteiten vallen onder de reikwijdte. Daarnaast introduceert DORA een toezichtskader op zogeheten “kritieke ICT-dienstverleners”, zoals grote cloud- en technologiepartijen die cruciaal zijn voor de financiële sector. De kern van DORA draait om vijf thema’s: Een robuust ICT-riskmanagement raamwerk. Beheersing en rapportage van ICT-incidenten. Periodieke testen van digitale weerbaarheid. Beheer van risico’s rond uitbestede ICT-diensten (third parties). Informatie-uitwisseling over dreigingen en kwetsbaarheden. Belangrijk detail: instellingen moeten vanaf 17 januari 2025 aantoonbaar voldoen aan DORA. Dat maakt de vraag “hoe DORA-proof zijn wij eigenlijk?” urgent voor bestuur, directie én internal audit. Wat is een DORA audit? Een DORA audit is een systematisch onderzoek naar de vraag in hoeverre een organisatie voldoet aan de eisen van DORA én of de digitale operationele weerbaarheid daadwerkelijk op niveau is. Het gaat dus niet alleen om “hebben we beleid op papier?”, maar vooral om: werkt het, sluiten we aan bij de risico’s van deze organisatie, en kunnen we dat aantonen richting de toezichthouder? Inhoudelijk raakt een DORA audit onder meer: Governance en rol van bestuur en hoger management in ICT-risicomanagement. Opzet, bestaan en werking van het ICT-riskmanagementframework (beleid, processen, rapportages). Registratie, classificatie en rapportage van ICT-incidenten en “major incidents”. De manier waarop digitale weerbaarheid getest wordt, van business continuity tot penetratietests. Contractmanagement en riskmanagement rond ICT-dienstverleners, inclusief kritieke third parties. DORA schrijft expliciet voor dat het ICT-risicomanagement framework onderdeel moet zijn van het totale risicomanagementsysteem en dat dit framework periodiek onderwerp van interne audit is. Daarmee is de DORA audit geen ‘nice to have’, maar een directe opdracht aan de derde lijn. Voor internal auditors, riskmanagers en compliance officers sluit dit nauw aan bij hun bestaande verantwoordelijkheden: risico’s identificeren, beheersmaatregelen beoordelen, compliance borgen en het bestuur in positie brengen. Waarom een DORA audit méér is dan “nog een IT-audit” Veel organisaties behandelen DORA aanvankelijk als “de zoveelste IT-regelgeving”. Maar wie DORA reduceert tot een technisch compliance-project, mist de essentie. DORA gaat niet alleen over firewalls, back-ups en loggingsystemen. Het gaat over de continuïteit van primaire processen en het vertrouwen van klanten. De wetgever heeft bewust gekozen voor een integrale benadering waarin ICT-risico’s expliciet onderdeel zijn van het bredere risicomanagement en de governance van de organisatie. Dat zie je bijvoorbeeld terug in: De nadruk op bestuur en senior management: zij blijven eindverantwoordelijk voor digitale weerbaarheid, ook als er veel is uitbesteed. De rol van critical ICT third-party providers, die onder direct Europees toezicht kunnen vallen. De verplichting om ICT-risico’s, incidentmanagement, testen en third-party risk in één samenhangend framework onder te brengen. Een DORA audit raakt dus de volle breedte van de organisatie: business, IT, risk, compliance, inkoop én directie. Juist daarom ligt hier een belangrijke kans voor internal audit om zich te positioneren als strategische partner in plaats van “controleur achteraf”. De vijf bouwstenen van een DORA audit verder uitgediept Om de DORA audit concreter te maken, loont het om de vijf thema’s nog iets verder uit te werken, in gewone taal. 1. Governance en strategie Hier gaat het om de vraag: heeft de organisatie digitaal risicobewust leiderschap? Bestuur en directie moeten niet alleen formeel verantwoordelijk zijn, maar ook aantoonbaar betrokken: via rapportages, besluitvorming over risk appetite, prioritering van investeringen en het stellen van de juiste vragen. Een goede DORA audit kijkt of digitale weerbaarheid verankerd is in strategie, risk appetite, impacttoleranties en de planning- & controlcyclus. 2. ICT-riskmanagementframework DORA verlangt een “sound, comprehensive and well-documented” ICT-risicomanagementframework. Dat betekent: duidelijke policies, processen, rollen, risk assessments, controls, monitoring en rapportages. Voor auditors is dit vertrouwd terrein: je beoordeelt de opzet, het bestaan en de werking van het framework, met specifieke aandacht voor de aansluiting op de organisatiecontext en de proportionaliteit (niet elk klein kantoor hoeft een bank-achtige inrichting te hebben). 3. Incidentmanagement en rapportage Als er iets misgaat, moet dat snel zichtbaar zijn, intern én, bij grote incidenten, voor de toezichthouder. DORA stelt eisen aan detectie, logging, classificatie, escalatie en rapportages van ICT-incidenten. In de audit kijk je daarom niet alleen naar het incidentregister, maar ook naar monitoring, alerting, de praktijk van storingsafhandeling en de kwaliteit van root cause analyses. 4. Testen van digitale weerbaarheid Weerbaarheid kun je niet alleen op papier beoordelen. DORA verlangt periodieke testen, variërend van basis-testen tot geavanceerde threat-led penetratietests. Voor de audit betekent dit: beoordelen of het testplan risicogebaseerd is, of de resultaten leiden tot concrete verbeteracties en of lessen uit oefeningen (bijvoorbeeld crisis-simulaties) daadwerkelijk worden opgepakt. 5. Third-party risk management Veel financiële instellingen leunen (zwaar) op externe ICT-dienstverleners, van cloud tot betalingsplatforms. DORA stelt scherpe eisen aan contracten, auditrechten, exit-strategieën en het structureel monitoren van deze leveranciers. Een DORA audit zoomt in op de keten: begrijpt de organisatie welke functies afhankelijk zijn van welke leveranciers, zijn de contracten DORA-proof en hoe wordt de performance en security van leveranciers gemonitord? De DORA audit stap voor stap Hoewel elke organisatie en elke auditopdracht uniek is, kun je een DORA audit grofweg langs vijf stappen opbouwen. 1. Begrijp de context en scope Start met helderheid: op welke entiteiten is DORA van toepassing, welke diensten zijn kritisch en welke ICT-ketens horen daarbij? Voor internal auditors betekent dit: De organisatiestructuur en vergunningen goed begrijpen. In kaart brengen welke processen “kritieke of belangrijke functies” ondersteunen. Bepalen welke ICT-assets en third parties essentieel zijn voor die functies. Pas als deze scope scherp is, kun je zinnige uitspraken doen over digitale operationele weerbaarheid. 2. Leg de link met het bestaande risicomanagement DORA vraagt om integratie met het bestaande risicomanagementframework, niet om een parallel DORA-universum. Een logische vervolgstap is dus om te analyseren: Hoe ICT-risico’s nu in de enterprise risk management (ERM)-cyclus zijn opgenomen. In hoeverre het bestaande risk- en control-framework al aansluit bij de DORA-eisen. Of rollen en verantwoordelijkheden rondom ICT-risico’s duidelijk zijn belegd, in lijn met het three lines model . Internal auditors en riskmanagers ervaren in de praktijk vaak dat ICT-risico’s versnipperd zijn belegd en dat IT en business verschillende talen spreken. Een DORA audit legt deze fricties helder bloot, en kan zo een katalysator zijn voor verbetering. 3. Voer een gerichte DORA gap-analyse uit Een goede DORA audit begint met inzicht in de grootste gaten. Geen checklist van honderden eisen, maar een gerichte analyse langs de volgende hoofdthema’s: Governance en strategie: is er een duidelijke digitale weerbaarheidsstrategie, met risk appetite en impacttoleranties voor ICT-verstoringen? ICT-riskmanagement: is er een gedocumenteerd framework, inclusief beleid, processen, rollen, rapportages en monitoring? Incidentmanagement: worden ICT-incidenten volledig en uniform geregistreerd, geclassificeerd en opgevolgd? Kun je major incidents tijdig rapporteren aan toezichthouders? Testen van digitale weerbaarheid: zijn er structurele tests, van functionele recovery-tests tot crisis-oefeningen en – waar nodig – threat-led penetratietests? Third-party risk: zijn contracten, exit-strategieën, auditrechten en rapportages rond kritieke ICT-leveranciers in lijn met DORA vereisten? In deze fase komt de expertise van auditors sterk naar voren: het scherp krijgen van de werkelijke onderzoeksvraag, het kiezen van passende criteria en het analyseren van complexe ICT-ketens. 4. Ontwerp een meerjarig DORA auditprogramma Een DORA audit is geen eenmalige exercitie. Het ICT-riskmanagementframework moet periodiek worden herzien en is onderwerp van terugkerende interne audits. Een volwassen aanpak vraagt dus om een meerjarig auditprogramma, waarin je bijvoorbeeld: Jaarlijks de governance, risk-rapportages en incidentmanagement beoordeelt. Periodiek diepgravende audits doet op kritieke ICT-ketens, zoals betaalverkeer of handelsplatforms. Thematisch audits plant op third-party risk, security-monitoring of crisis-oefeningen. Voor internal auditors bij grote organisaties sluit dit goed aan bij bestaande auditplannen en KPI’s zoals het aantal afgeronde audits, de dekking van kritieke risico’s en de mate van compliance. 5. Besteed expliciet aandacht aan cultuur en gedrag Digitale weerbaarheid is niet alleen techniek, processen en papieren beleidsdocumenten. Het draait net zo goed om gedrag: melden mensen incidenten? Nemen lijnmanagers eigenaarschap voor ICT-risico’s? Worden lessons learned echt benut? Ferocia besteedt in haar opleidingen veel aandacht aan de balans tussen hard en soft controls en aan het doelgericht beïnvloeden van gedrag binnen organisaties. De DORA audit is een uitstekende gelegenheid om die bril op te zetten: Hoe praten mensen in de organisatie over ICT-risico’s; als “IT-probleem” of als strategische factor? Is er een open meldcultuur rondom incidenten en bijna-incidenten? Worden testresultaten en auditbevindingen gebruikt om te leren, of alleen om vinkjes te zetten richting toezichthouder? Internal auditors die ook de culturele dimensie onderzoeken, leveren veel rijkere en duurzamere aanbevelingen op dan wanneer ze alleen de formele beheersmaatregelen beoordelen. Veelgemaakte fouten bij DORA audits In de praktijk zien we een aantal valkuilen terugkeren: Organisaties die DORA puur als IT-project behandelen, missen de koppeling met strategie en business. Dan ontstaat er een “compliance-laagje” over bestaande processen, zonder dat de echte kwetsbaarheden verdwijnen. Een andere valkuil is het overschatten van de huidige volwassenheid: “we doen al jaren iets met BCM en cyber, dus dat zal wel goed zitten”. Een DORA audit laat vaak zien dat processen niet integraal zijn, dat rapportages versnipperd zijn en dat er gaten zitten in incidentregistratie of third-party-beheer. Tot slot is er het risico van te veel focus op documenten. Een fraai geschreven beleidsstuk zegt weinig als medewerkers het niet kennen, systemen het niet ondersteunen of incidenten tóch langs de radar glippen. Hier komt het vakmanschap van de operational auditor naar voren: dóórvragen, de werkvloer op, feiten checken. De rol van internal audit na 17 januari 2025 Vanaf het moment dat DORA volledig van kracht is, wordt de DORA audit geen eenmalige exercitie maar een terugkerend onderdeel van de auditplanning. Voor internal auditors bij grote organisaties betekent dit: ICT-risico’s structureel opnemen in de risicobeoordeling en audituniversum. Zorgen voor voldoende kennis en vaardigheden op het gebied van ICT-risicomanagement en digitale weerbaarheid. Intensief samenwerken met risk management en compliance om dubbel werk te voorkomen en toch onafhankelijke assurance te bieden. Daarmee groeit de internal auditor steeds meer uit tot gesprekspartner van bestuur en toezichthouder over digitale weerbaarheid. Door scherp, onafhankelijk en toekomstgericht te onderzoeken en te rapporteren. Hoe Ferocia kan ondersteunen? DORA raakt precies de gebieden waar Ferocia dagelijks mee bezig is: audit, control, risk management en compliance, zowel via opleidingen en trainingen als via interim en consultancy en werving en selectie. Of je nu internal auditor, riskmanager of compliance officer bent: een stevig DORA onderzoek vraagt om actuele kennis, praktische vaardigheden en het vermogen om techniek, processen en gedrag met elkaar te verbinden. Met praktijkgerichte opleidingen, ervaren interim-professionals en ondersteuning bij het opbouwen van je audit- en riskteam helpt Ferocia organisaties om niet alleen “DORA-compliant” te zijn, maar vooral écht digitaal weerbaar. Zodat bestuurders rustig kunnen slapen, óók als er ergens in de keten een storing optreedt. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ferocia helpt internal auditafdelingen bij voorbereiding en uitvoering van de externe kwaliteitstoetsing volgens GIAS. Versterk je auditfunctie en ontdek hoe. Alle blogs Internal auditing Kwaliteitstoetsing auditafdelingen Hoe Ferocia internal auditafdelingen ondersteunt bij de kwaliteitstoetsing De rol van de internal auditfunctie binnen organisaties is de afgelopen jaren aanzienlijk veranderd. Internal auditors worden tegenwoordig steeds vaker gezien als strategische partners die bijdragen aan governance, risicobeheersing en waardecreatie. Die ontwikkeling brengt ook een grotere verantwoordelijkheid met zich mee. Stakeholders verwachten dat auditafdelingen niet alleen voldoen aan wet- en regelgeving, maar ook dat zij aantoonbaar werken volgens de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA). Om dit te waarborgen, is er de ‘verplichte’ kwaliteitstoets, een periodieke beoordeling van de internal auditfunctie, uitgevoerd door een onafhankelijke partij. Voor veel auditafdelingen is dit een spannend en intensief traject. Hoe toon je aan dat je voldoet aan de kwaliteitscriteria? Hoe bereid je je voor op een externe toets? En hoe vertaal je de uitkomsten naar duurzame verbeteringen? Daar komt Ferocia in beeld. Ferocia als partner in kwaliteitstoetsing Ferocia ondersteunt internal auditafdelingen van A tot Z bij de kwaliteitstoetsing. Dat doen wij vanuit drie diensten: Audit readiness assessment. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS. Uitvoering van de externe kwaliteitstoets (Ferocia is gecertificeerd door het IIA). Door deze combinatie zijn wij voor auditafdelingen niet alleen een sparringpartner, maar ook een onafhankelijke beoordelaar die de kwaliteit van het vakgebied helpt versterken (uiteraard kunnen en willen wij dienstverlening 1 en 2 niet combineren met 3). 1. Audit readiness assessment: voorbereid de kwaliteitstoetsing in Een kwaliteitstoets kan voor auditteams een pittige exercitie zijn. Vaak heerst er onzekerheid: Hoe zit het met onze ethiek en professionele moed? Is onze auditcharter up-to-date? Sluiten onze werkprogramma’s voldoende aan op de standaarden? Hoe scoren we op onafhankelijkheid en objectiviteit? Met het audit readiness assessment helpt Ferocia auditafdelingen deze vragen te beantwoorden. Dit assessment is een grondige analyse die inzicht geeft in de huidige situatie en de mate van gereedheid voor de externe kwaliteitstoetsing. Wat houdt het in? Documentreview: We analyseren beleidsstukken, auditplannen, werkdossiers en rapportages. Interviews: We spreken met auditors, management en stakeholders om te toetsen hoe processen in de praktijk werken. Gap-analyse: We vergelijken de huidige werkwijze met de GIAS-criteria en brengen eventuele verbeterpunten in kaart. Het resultaat Een concreet rapport met: Sterke punten die de auditfunctie onderscheiden. Verbeterpunten die aandacht vragen voor de externe toets. Praktische aanbevelingen waarmee de afdeling direct aan de slag kan. Het readiness assessment geeft auditteams rust, duidelijkheid en een routekaart richting een succesvolle kwaliteitstoets. 2. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS De GIAS stelt duidelijke eisen aan de inrichting en uitvoering van internal auditfunctie. Denk aan ethiek, onafhankelijkheid, positionering binnen de organisatie, kwaliteit van werkprogramma’s en continue professionalisering van het team. Veel auditafdelingen ervaren dat het lastig is om deze criteria consequent door te vertalen naar hun eigen praktijk. Ferocia biedt hier gerichte ondersteuning. Hoe ondersteunen wij? Workshops & trainingen: Gericht op specifieke thema’s zoals onafhankelijkheid, rapportagekwaliteit of stakeholdermanagement. Coaching on the job: Onze experts werken samen met auditteams tijdens lopende audits en geven direct feedback. Template- en procesontwikkeling: We helpen bij het opstellen van praktische formats, auditplannen, auditcharter, etc. die voldoen aan de GIAS. Voorbeeld uit de praktijk Een middelgrote financiële instelling vroeg ons om hulp omdat hun auditfunctie wel operationeel draaide, maar onvoldoende aantoonbaar voldeed aan de GIAS. Ferocia heeft een maatwerk verbeterprogramma opgesteld, inclusief workshops voor het auditteam, begeleiding bij het actualiseren van het auditcharter en ondersteuning bij rapportages. Bij de externe toets werd het team geprezen om hun professionaliteit en verbeterkracht. 3. Externe kwaliteitstoets: onafhankelijk en gecertificeerd Uiteindelijk komt het moment dat de auditfunctie een externe kwaliteitstoets moet ondergaan. Deze toets is ‘verplicht’ voor internal auditfuncties die aangesloten zijn bij het IIA en biedt zekerheid aan de organisatie en haar stakeholders. Ferocia is gecertificeerd om deze externe kwaliteitstoetsen uit te voeren. Dat betekent dat wij onafhankelijk beoordelen of een auditafdeling voldoet aan de GIAS. Hoe verloopt de externe kwaliteitstoetsing? Voorbereiding: We bereiden de externe kwaliteitstoetsing voor en stellen een planning op. Onderzoek: Ferocia voert interviews, documentanalyses en dossierreviews uit. Beoordeling: We vergelijken de praktijk met de kwaliteitscriteria. Rapportage: Het auditteam ontvangt een rapportage met een gedetailleerd oordeel met onderbouwing en eventuele concrete aanbevelingen. Meerwaarde van Ferocia als toetsende partij Ervaring: Onze auditors hebben vele kwaliteitstoetsen uitgevoerd bij uiteenlopende organisaties. Praktische blik: We kijken niet alleen of criteria worden gehaald, maar ook hoe de auditfunctie zich verder kan ontwikkelen. Onafhankelijkheid: Als gecertificeerde partij borgen we een objectief en betrouwbaar oordeel. Waarom kiezen auditafdelingen voor Ferocia? De kracht van Ferocia zit in de combinatie van kennis, ervaring en betrokkenheid. We kennen de praktijk van internal auditing door en door. We combineren theoretische kennis van de GIAS met praktische inzichten uit tientallen organisaties. We denken niet alleen in termen van toetsing, maar ook in ontwikkeling en groei van de auditfunctie. Onze klanten waarderen dat wij niet alleen toetsen, maar ook meedenken over hoe hun afdeling sterker, professioneler en toekomstbestendiger kan worden. De impact van een externe kwaliteitstoets: meer dan een verplichting Soms wordt de externe kwaliteitstoets gezien als een administratieve verplichting. Maar in werkelijkheid is het veel meer dan dat. Een goed doorlopen kwaliteitstoets biedt: Vertrouwen bij bestuur en toezichthouders dat de auditfunctie onafhankelijk en professioneel opereert. Meerwaarde voor de organisatie, omdat verbeterpunten direct bijdragen aan betere governance en risicobeheersing. Professionele groei voor auditors zelf, doordat zij leren van feedback en best practices. Met de juiste voorbereiding en begeleiding kan een kwaliteitstoets zo veranderen van een “spannend examen” naar een kans om de auditfunctie naar een hoger niveau te tillen. Conclusie: Samen werken aan auditkwaliteit Internal auditafdelingen staan voor de uitdaging om niet alleen hun werk goed te doen, maar dit ook aantoonbaar te maken volgens internationale standaarden. De kwaliteitstoets is daarbij een krachtig instrument, mits goed voorbereid en uitgevoerd. Ferocia ondersteunt auditafdelingen op drie niveaus: Audit readiness assessment: inzicht en voorbereiding. Ondersteuning bij voldoen aan de GIAS: kennis, begeleiding en praktische tools. Externe kwaliteitstoets: onafhankelijk, gecertificeerd en met oog voor ontwikkeling. Zo helpen wij internal auditors niet alleen om de toets te halen, maar vooral om sterker en toekomstbestendiger uit het traject te komen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek onze slimme AI-assistenten die jou direct ondersteunen bij elke stap van auditmethodiek 2.0. Gebruik deze gratis GPT’s om sneller en effectiever auditdoelstellingen te formuleren, scopes vast te stellen, normenkaders te ontwerpen en meer. AI-agents Onze slimme AI-agents staan klaar om je te ondersteunen bij elke stap van het auditproces. Ze helpen je sneller en effectiever je vooronderzoek uit te voeren, auditdoelstellingen te formuleren, referentiemodellen op te stellen en meer. Wil je precies weten hoe je deze bots optimaal inzet? Lees dan de whitepaper Auditmethodiek 2.0 , waarin het gebruik van de bots stap voor stap wordt uitgelegd. Uitvoeren vooronderzoek AI-agent die je ondersteunt bij het uitvoeren van je vooronderzoek volgens auditmethodiek 2.0. Start Opstellen referentiemodel AI-agent voor het ontwerpen van je referentiemodellen volgens auditmethodiek 2.0. Start Formuleren auditdoelstellingen AI-agent voor het formuleren van je auditdoelstellingen volgens auditmethodiek 2.0. Start Ontwerpen testplannen AI-agent voor het ontwerpen van je testplannen volgens auditmethodiek 2.0. Start Formuleren beheersdoelstellingen AI-agent voor het formuleren van je beheersdoelstellingen volgens auditmethodiek 2.0. Start

Agile auditing maakt internal audits sneller en relevanter. Ontdek waarom wendbaarheid essentieel is voor auditors in een snel veranderende wereld. Alle blogs Internal auditing Agile auditing Risico’s veranderen sneller dan ooit. Organisaties worden wendbaarder, kortcyclischer en klantgerichter. En dat heeft directe gevolgen voor de manier waarop je als internal auditor je werk doet. De klassieke auditaanpak; zorgvuldig, diepgaand en vaak maanden onderweg schiet steeds vaker tekort. Niet omdat deze inhoudelijk niet klopt, maar omdat de wereld waarbinnen audits plaatsvinden inmiddels wel is veranderd. Agile auditing is het antwoord op die veranderde context. Wat is agile auditing? Verandering is de enige constante geworden. Organisaties opereren in een dynamische wereld waarin digitale transformaties, maatschappelijke verwachtingen en geopolitieke verschuivingen in hoog tempo op elkaar inwerken. Ook de risico’s waar zij mee te maken krijgen, ontwikkelen zich razendsnel. De klassieke auditaanpak, met vaste draaiboeken, lange voorbereidingstijden en rapporten die pas na maanden verschijnen, past niet meer bij die realiteit. Agile auditing is ontstaan als antwoord op deze veranderende context. Het is geen modieuze hype of cosmetische aanpassing van bestaande auditprocessen. Het is een fundamenteel andere manier van werken en denken. Een aanpak die is geïnspireerd op de principes van agile werken, zoals we die kennen uit softwareontwikkeling en projectmanagement, maar dan toegepast op het auditvak. De kern van agile auditing? Flexibiliteit: De audit volgt niet meer één rigide plan, maar past zich aan op basis van voortschrijdend inzicht. Iteratie: Er wordt gewerkt in korte, herhaalbare cycli met tussentijdse evaluatiemomenten. Samenwerking: Stakeholders worden vanaf de start betrokken en blijven continu aangesloten bij de audit. Transparantie: Bevindingen worden direct gedeeld, zodat verbeteringen sneller kunnen worden doorgevoerd. Waardecreatie: Niet het eindrapport, maar het effect op de organisatie is het ultieme doel. De agile auditor laat zich niet meer uitsluitend leiden door planning & control-cycli, maar anticipeert op urgente vraagstukken, verschuivende prioriteiten en risico’s die zich van de ene op de andere dag kunnen aandienen. Denk aan cyberdreigingen, plotselinge uitval in internationale ketens, reputatierisico’s of maatschappelijke druk rondom ESG-thema’s. Waarom kan agile auditing interessant zijn voor jouw organisatie? Voor veel organisaties voelt ‘agile’ nog als een buzzwoord. Maar wie zich verdiept in de uitgangspunten van agile auditing, ziet al snel dat het precies dat is wat nodig is in de praktijk: sneller schakelen, dichter op de business zitten, beter aansluiten bij de snelheid van besluitvorming. We zetten drie concrete voordelen op een rij: 1. Sneller en relevanter inzicht Traditionele audits duren vaak maanden, van voorbereiding tot rapportage. Tegen de tijd dat de uitkomsten op tafel liggen, is de realiteit alweer veranderd. Agile auditing maakt het mogelijk om sneller te starten en tussentijds waarde toe te voegen. Denk aan korte sprints waarin gericht op één risicogebied wordt ingezoomd. Of aan real-time feedbackloops, waarbij management direct kan handelen op basis van voorlopige bevindingen. 2. Meer betrokkenheid vanuit de business In agile audits wordt de auditee niet pas bij het eindrapport betrokken, maar vanaf dag één. De audit wordt geen verrassing achteraf, maar een gedeeld leerproces. Die co-creatie zorgt niet alleen voor meer draagvlak, maar ook voor scherpere inzichten en snellere opvolging. Audits worden zo niet iets ‘dat je overkomt’, maar iets waar je actief aan bijdraagt. 3. Beter inspelen op snel veranderende risico’s Sommige risico’s, zoals cultuurverandering, technologische disruptie of ketenafhankelijkheid zijn zo dynamisch dat een traditionele auditaanpak niet volstaat. Agile auditing maakt het mogelijk om die thema’s sneller te adresseren, voortgang te monitoren en flexibel bij te sturen. Voor organisaties die werken met scrumteams, zelforganiserende afdelingen of kortcyclische besluitvorming, is agile auditing bovendien een natuurlijke aanvulling. De auditor wordt een gesprekspartner die meebeweegt, in plaats van een controlerende partij die achteraf oordeelt. Onze visie op agile auditing Bij Ferocia zien we agile auditing niet als een tegenhanger van de klassieke audit, maar als een aanvulling. De essentie van ons vak, onafhankelijkheid, objectiviteit en vakmanschap blijft overeind. Wat verandert, is de vorm waarin we waarde leveren. Onze visie rust op vier pijlers: 1. Audit is een continu proces Risico’s stoppen niet zodra de audit is afgerond. Daarom zien wij agile auditing als een doorlopend proces van dialoog, reflectie en bijsturing. Agile auditing ondersteunt dat met kortcyclische momenten van feedback en interactie. 2. De auditor als partner in verandering De tijd dat de auditor uitsluitend ‘de politieagent van de organisatie’ was, ligt achter ons. De auditor van nu is een kritische vriend: onafhankelijk, maar niet afstandelijk. Betrokken, maar niet bevooroordeeld. Een partner die niet alleen risico’s signaleert, maar ook helpt om beweging te creëren. 3. Pragmatisme boven perfectionisme Natuurlijk blijft zorgvuldigheid essentieel. Maar in een agile audit zijn ‘good enough’ en ‘just in time’ ook belangrijk. Je hoeft niet alles 100% uit te zoeken voordat je een voorlopige conclusie deelt. Juist door sneller feedback te geven, kun je als auditor meer waarde toevoegen en eerder impact maken. 4. Leren staat centraal Agile auditing draait om het vergroten van het lerend vermogen van de organisatie. Door samen te reflecteren op risico’s, controles en gedrag, groeit de risicobewustwording. Auditing wordt daarmee een motor van continue verbetering. Hoe kan Ferocia je helpen bij agile auditing? De stap naar agile auditing vraagt om een andere mindset en een andere manier van werken. Bij Ferocia begeleiden we organisaties en auditors bij deze transitie, zowel in de vorm van opleidingen als via interim- en consultancytrajecten. 1. Opleidingen en trainingen Onze opleidingen zijn ontworpen om auditors stap voor stap vertrouwd te maken met de principes en praktijk van agile auditing. In onze trainingen besteden we aandacht aan: Scrum en agile principes toegepast op auditprocessen Stakeholdermanagement in een kortcyclische omgeving Tools en technieken om sneller tot inzichten te komen Soft skills zoals co-creatie, communicatie en iteratief adviseren We werken met realistische praktijkcases en simulaties, zodat deelnemers meteen kunnen oefenen met het toepassen van agile technieken binnen hun eigen context. 2. Interim en consultancy Heb je tijdelijk extra capaciteit nodig of wil je een agile auditproject uitvoeren met ondersteuning van een ervaren auditor? Onze consultants staan klaar. Ze brengen niet alleen vakinhoudelijke expertise mee, maar ook ervaring met agile werken in verschillende sectoren, van overheid en zorg tot finance en industrie. We helpen auditafdelingen om agile werkmethoden te implementeren, auditprocessen te herontwerpen en teams te begeleiden in de praktijk. Daarbij zorgen we altijd voor maatwerk: geen dogmatisch agile, maar precies die vorm die past bij jouw organisatie. Tot slot Agile auditing is geen doel op zich, maar een manier om als auditor relevant te blijven in een wereld die steeds sneller verandert. Het stelt je in staat om als volwaardige sparringpartner op te treden binnen een dynamische omgeving met oog voor snelheid, samenwerking en impact. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ferocia is gespecialiseerd in werving en selectie van internal auditors, controllers en risk officers. Vakinhoudelijk sterk en met aandacht voor de match. Werving en selectie Ferocia ontzorgt organisaties bij het invullen van vacatures op het gebied van internal audit, control en risicomanagement. Onze dienstverlening Ben je op zoek naar deskundige ondersteuning bij de werving en selectie van internal audits, controllers of risk officers? Ferocia is hét recruitmentbureau voor financiële professionals. Wij begrijpen jouw sector, spreken de taal van de kandidaten en beschikken over een uniek netwerk. Door onder meer onze nauwe samenwerking met de beroepsverenigingen en onze docentschappen aan de post-initiële opleidingen (RO, RE en RC) kennen we veel potentiële kandidaten. En door onze inhoudelijke vakkennis voelen internal auditors, controllers en risk officers zich goed begrepen door ons. Dit maakt dat we doorgaans snel de juiste match kunnen maken! Onze aanpak: recruitment die werkt Elke succesvolle plaatsing begint met een grondige intake. Wij komen bij je langs om jouw organisatie, het team en de vacature écht te begrijpen. Op basis daarvan stellen we een scherp profiel op. Zo zorgen we dat onze selectie perfect aansluit bij jouw verwachtingen én de organisatiecultuur. Actieve werving en slimme vacaturepromotie Onze recruiters gaan direct aan de slag met jouw vacature. We plaatsen deze op gerenommeerde platforms, zoals LinkedIn en Indeed. Maar dat is pas het begin. Wij zetten ook in op: • Actieve benadering op LinkedIn via de recruiter suite • Ons netwerk van interim finance professionals (referral recruitment) • Een uitgebreide, actuele kandidatenbank met professionals die openstaan voor een nieuwe uitdaging Zorgvuldige selectie en diepgaande screening Wij selecteren zorgvuldig uit de geworven kandidaten. Uiteraard maakt een persoonlijk gesprek met een van onze recruiters en met een partner van Ferocia onderdeel uit van het selectietraject. Bovendien ondergaan kandidaten een werkgerelateerde persoonlijkheidstest. Dit biedt ons een gedetailleerd beeld van de persoonlijkheid van de kandidaat en de mate waarin de kandidaat aansluit op de organisatiecultuur en de eigenschappen uit het functieprofiel. Daarbij is onze pre-employment screening (PES) grondig en bestaat uit: • Identiteitscontrole • Verificatie van diploma’s • Twee referentiechecks • Negatieve mediacheck Transparante communicatie en snelle resultaten Natuurlijk staan we gedurende het werving-en-selectietraject in nauw contact en houden we je goed op de hoogte van onze vorderingen. En zodra we een geschikte kandidaat gevonden hebben ontvang je van ons direct het cv inclusief profielschets, persoonlijke motivatie en de uitkomsten van de werkgerelateerde persoonlijkheidstest. Hierdoor kun je snel met de kandidaat in gesprek. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Voor werkzoekenden Ben je op zoek naar een baan binnen audit, control of risicomanagement? Ferocia helpt je graag bij het vinden van een functie die past bij jouw ambities, ervaring en persoonlijkheid. Vacatures Waarom Ferocia? Expertise in de vakgebieden , waardoor we precies begrijpen wat je zoekt en kandidaten zich begrepen voelen. Een goed netwerk van professionals , waardoor we weten wie openstaat voor een nieuwe uitdaging. Eerlijke tarieven . Onze standaardvergoeding bedraagt 20% van het jaarsalaris. Oprechte aandacht voor jou en de kandidaten.