Zoekresultaten

ISO 27001 praktisch toepassen? Ontdek hoe je met een slimme aanpak meer grip, minder ruis en betere beveiliging krijgt. Geen vinklijst, maar voorsprong. Alle blogs IT-beheersing ISO 27001 ISO 27001 in de praktijk: van vinklijst naar waardecreatie Informatiebeveiliging is allang geen uitsluitend IT-feestje meer. Bestuurders worden aangesproken op datalekken, klanten eisen zekerheid in de keten en toezichthouders letten scherper dan ooit op besturing en continuïteit. ISO 27001 helpt die druk om te zetten in grip. Niet met nog een stapel documenten, maar met een werkend managementsysteem dat past bij de organisatie, de risico’s en de ambities. In deze blog nemen we je mee langs de essentie van ISO 27001, de vernieuwingen uit de 2022-revisie en vooral, hoe je het verschil maakt in de dagelijkse praktijk van audit, risk en control. Wat ISO 27001 wel is (en wat niet) De kern van ISO 27001 is eenvoudig en herkenbaar: bepaal wat je wilt beschermen, beoordeel je risico’s, kies passende beheersmaatregelen en verbeter continu. De norm is opgebouwd rond de Plan–Do–Check–Act-cyclus en stelt eisen aan context, leiderschap, planning, ondersteuning, uitvoering, prestatiemeting, interne audit, managementreview en verbetering. In de ISO-standaard staat een set informatiebeveiligingsmaatregelen waaruit je onderbouwd selecteert. Het gaat dus niet om het afvinken van elk punt dat je tegenkomt, maar om het maken van keuzes die passen bij je eigen risico’s. Dat is meteen de belangrijkste misvatting die veel organisaties hebben: ISO 27001 is risicogedreven, niet controlegedreven. De Statement of Applicability (SoA) is daarom geen bijlage achterin, maar het dagelijkse stuurdocument waarin je vastlegt welke maatregelen je wel en niet toepast, met redenen onderbouwd en met vastgelegd eigenaarschap. Die risicogedreven aanpak vraagt om discipline en om realisme. Het heeft geen toegevoegde waarde om elk denkbaar risico met ingewikkelde formules te kwantificeren als het management vooral behoefte heeft aan duidelijke scenario’s, heldere drempelwaarden en beslispunten. De kracht van ISO 27001 zit juist in het verbinden van beleid, processen en gedrag. Pas als teams weten wie waarvoor verantwoordelijk is, hoe ze afwijkingen dienen te melden en wanneer ze moeten escaleren, ontstaat echte beheersing. Wat is er veranderd in 2022? De 2022-revisie heeft de structuur aangescherpt en de maatregelen geactualiseerd. In plaats van een losse lijst werk je nu met vier duidelijke domeinen: organisatorisch, mensgericht, fysiek en technologisch. Nieuwe maatregelen sluiten beter aan op moderne risico’s, zoals ontwikkelen met security-by-design, het gebruik van cloudservices en de paraatheid van ICT voor bedrijfscontinuïteit. Denk aan onderwerpen als threatintelligence, configuratiemanagement, informatie-verwijdering, data-masking, data-lekkagepreventie, monitoringactiviteiten, webfiltering, fysieke beveiligingsmonitoring en secure coding. De toevoeging van attributen, labels die aangeven met welk concept of welke eigenschap een maatregel samenhangt, maakt het eenvoudiger om de SoA logisch te ordenen en om KPI’s te koppelen aan wat je werkelijk belangrijk vindt. De praktische uitkomst is dat de ISO-standaard beter aansluit op hoe organisaties vandaag werken: cloud-gebaseerd, in ketens en met agile teams. Tegelijkertijd ligt de lat hoger. Aantoonbaarheid telt. Je zult moeten laten zien dat maatregelen niet alleen bestaan op papier, maar dat ze ook effectief zijn in de praktijk. De businesscase: waarom dit meer is dan certificeren Organisaties investeren in ISO 27001 om meerdere redenen, en die zijn niet allemaal extern gedreven. Natuurlijk helpt het bij het aantonen van beheersing richting klanten, leveranciers en toezichthouders. Maar net zo belangrijk is de interne winst: minder dubbel werk, duidelijk eigenaarschap en besluitvorming op basis van feiten in plaats van aannames. Incidenten zullen nooit helemaal verdwijnen, maar een goed ingericht managementsysteem beperkt de impact en verkort de hersteltijd. Wie ISO 27001 inzet als middel om prestaties te verbeteren, wint het meest. Dat vraagt om meer dan een project richting certificering; het vraagt om verankering in de organisatie en in de besturing. De norm wordt dan geen formaliteit, maar een taal om met elkaar te praten over risico’s, prioriteiten en keuzes. Een route die werkt, zonder stapels lijstjes Het begint met een scope die klopt. Te breed maakt het onwerkbaar, te smal maakt het zinloos. Koppel de scope daarom aan de waardeketen: welke processen, locaties, systemen en ketenpartners dragen direct bij aan de waarde die je levert? Zodra die afbakening staat, volgt een gesprek over context en belanghebbenden. Wat zijn de strategische doelen, wat is de risk appetite, welke wettelijke en contractuele eisen gelden? Het is opvallend hoeveel duidelijkheid ontstaat als je dit inzichtelijk maakt; veel discussies later in het traject verdwijnen dan vanzelf. Daarna komt governance. Leg beleid, rollen en beslisprocessen vast, maar houd het licht en bruikbaar. Benoem wie beslist over risicoacceptatie, wie eigenaar is van specifieke maatregelen en hoe afwijkingen worden geregistreerd en opgevolgd. Kies vervolgens een risicomethodiek die past bij je organisatie. Je hoeft niet te vervallen in schijnnauwkeurigheid met mathematische modellen; scenario’s die het management herkent werken vaak beter. Een goede inventarisatie van informatie-assets, van applicaties tot integraties en uitbestede diensten, maakt de analyse concreet. Koppel elk asset aan een eigenaar en leg vast wat de vertrouwelijkheid, integriteit en beschikbaarheid betekenen in die context. De SoA is hiervoor het geëigende document. Selecteer maatregelen op basis van risico’s en leg per maatregel de scope, de eigenaar, de manier van testen en de indicatoren vast. Daarmee wordt de SoA een werkdocument dat richting geeft aan prioriteiten en dat teams helpt om keuzes uit te leggen. De implementatie volgt dan stukje bij beetje, ingeweven in de bestaande processen: wijzigingsbeheer, toegangsbeheer, back-ups, logging, incidentafhandeling, leveranciersmanagement en secure development. Training en bewustwording zijn geen losse campagnes, maar onderdeel van de manier van werken. Teams moeten weten wat ze doen, waarom ze het doen en wanneer ze hulp inschakelen. Tot slot maak je de cirkel rond met meten, interne audits en managementreviews. Niet om achteraf vinger te wijzen, maar om continu te verbeteren. Kies een paar sturende indicatoren en bespreek die structureel. Laat data het gesprek leiden, leg besluiten vast en borg de opvolging. De rol van Internal Audit: toetsen op effectiviteit Internal Audit voegt de meeste waarde toe waar naleving overgaat in inzicht en leren. Het begint bij de vraag of de gekozen maatregelen logisch voortkomen uit de risico’s. Sluit een maatregel aan op het proces, of is het een generiek voorschrift dat vooral werk toevoegt? Vervolgens kijk je naar de werking in de praktijk. Wordt de maatregel consequent toegepast en is het gedrag geborgd? In veel gevallen helpt het om data centraal te zetten: denk aan doorlooptijden van patches, trends in mislukte aanmeldingen, resultaten van hersteltests of de doorlooptijd van kritieke kwetsbaarheden vanaf ontdekking tot fix. Zulke gegevens helpen om conclusies te onderbouwen en om verbeteracties scherp te formuleren. Zachte factoren tellen ook. Hoe reageren teams op incidenten? Is er ruimte om fouten te melden zonder gezichtsverlies? Worden lessons learned zichtbaar toegepast in procedures en tools? Door aandacht te hebben voor cultuur en gedrag krijgt de auditbevinding meer diepte en is de kans op duurzame verbetering groter. Vergeet ten slotte de keten niet. Contractuele afspraken met leveranciers zijn belangrijk, maar ze zeggen weinig als je niet ook de feitelijke prestaties volgt. Vraag rapportages op, bespreek openstaande bevindingen en test waar nodig cruciale maatregelen zelf. Meten wat ertoe doet en ernaar sturen Meten heeft alleen zin als je ernaar stuurt. Veel organisaties verdrinken in dashboards, maar missen richting. Kies daarom enkele indicatoren die iets zeggen over snelheid, herstelvermogen en discipline. Doorlooptijden van patches per risicoklasse geven bijvoorbeeld inzicht in wendbaarheid. Herstelpercentages en hersteltijden bij back-ups vertellen of je klaar bent voor het moment dat het misgaat. Toegangsbeheer laat zich goed volgen via uitzonderingen op het least-privilege-principe en de snelheid waarmee accounts na uitdiensttreding worden beëindigd. In de keten kun je kijken naar het aandeel kritieke leveranciers met een actueel assurance-rapport en naar de veroudering van openstaande bevindingen. In DevOps-omgevingen zegt het percentage ‘builds’ dat wordt geblokt door kritieke kwetsbaarheden veel over de volwassenheid van secure development. Het gaat niet om veel meten, maar om gericht meten en consistent bespreken en waar nodig verbeteren. Veelgemaakte fouten en hoe je ze voorkomt De eerste valkuil is beginnen vanuit maatregelen in plaats van vanuit risico’s. Het levert een papieren werkelijkheid op, maar geen betere beveiliging. Start daarom bij de waardestromen en de scenario’s die je het meest pijn kunnen doen. Een tweede valkuil is het zien van het ISMS als documentenset. Zonder duidelijke koppeling naar processen en gedrag is het vooral window-dressing. Koppel elke maatregel aan een eigenaar, een moment in het proces en een manier van toetsen. Een derde misser is het beperken van de scope tot IT. Informatie zit overal: in processen, in mensen en in de keten. Betrek daarom ook afdelingen zoals HR, Legal, Inkoop en Operations en maak beveiliging organisatie breed. Een vierde probleem is een SoA die niet stuurt, bijvoorbeeld omdat hij alleen bestaat uit ja/nee-vinkjes. Voeg de reden van keuze, de scope, de testwijze en de KPI’s toe. Dan wordt het een volwaardig stuurdocument. Tot slot worden leveranciers vaak onderschat. Cloud en uitbesteding verplaatsen het risico niet; ze veranderen het. Leg eisen vast, toets de praktijk en plan een exit. Daarmee voorkom je verrassingen als de relatie verandert of eindigt. ISO 27001 in een agile en cloud-realiteit Agile en DevOps vragen om snelheid. Dat lijkt lastig te combineren met aantoonbare beheersing, maar in de praktijk versterken ze elkaar als je het goed inricht. Beveiligingsregels leg je vast als code. Baselines voor configuratie worden templates, waardoor afwijkingen automatisch aan het licht komen. De SoA koppel je aan pipelines en monitoring, zodat bewijsmateriaal ontstaat terwijl teams hun werk doen. In cloudomgevingen werkt het principe van gedeelde verantwoordelijkheid alleen als het expliciet is. Documenteer wat de provider doet en wat jij moet doen, en toets beide delen. Secure coding veranker je in de Definition of Done en je zet geautomatiseerde scans in om kwetsbaarheden vroeg te vinden. Infrastructure-as-Code behandel je net zo serieus als applicatiecode, inclusief reviews en scheiding van rollen. ISO 27001 schrijft niet voor hoe je dit precies doet, maar eist dat je kunt aantonen dat het werkt. Dat geeft ruimte om snelheid en beheersing te combineren. Integratie met privacy en continuïteit Veel organisaties combineren ISO 27001 met ISO 27701 en ISO 22301. Dat is logisch, want privacy en continuïteit raken direct aan informatiebeveiliging. Door beleid, rollen en KPI-structuren te koppelen, voorkom je dubbel werk en creëer je één besturingscyclus. Een datalek wordt dan niet alleen gezien als beveiligingsincident, maar ook als privacy-kwestie met meldplichten en als test voor je crisisorganisatie. Zo ontstaat samenhang die in audits zichtbaar waarde toevoegt. Morgen beginnen zonder grote woorden Als je morgen wilt beginnen, hoef je geen grote campagne te starten. Het helpt om vijf scenario’s te benoemen die je absoluut wilt voorkomen, bijvoorbeeld verlies van klantdata, langdurige uitval van een belangrijk systeem of misbruik van een admin-account. Leg vast waarom deze scenario’s belangrijk zijn, wie eigenaar is en welke maatregelen al bestaan. Werk je asset-inventaris bij voor de processen die hierop ingrijpen en wijs eigenaars toe. Pak de SoA erbij en breng hem op orde: beschrijf per maatregel de reden van toepassing, de scope, de eigenaar, de manier van toetsen en de indicatoren. Kies vervolgens een handvol stuurindicatoren en plan een vast overleg waarin je de trends bespreekt en besluiten vastlegt. Laat een interne audit uitvoeren op ontwerp en werking van enkele cruciale ketenprocessen, bijvoorbeeld klant-onboarding of change-management. Oefen ten minste één herstelscenario en vertaal de uitkomsten naar verbeteracties. Kijk tot slot naar de afspraken met leveranciers: staan beveiligingseisen, auditrechten en exit-criteria helder genoeg in de contracten en worden ze ook nageleefd? Tot slot ISO 27001 is geen certificaat om in de hal op te hangen. Het is een manier van werken waarin risico’s, maatregelen en gedrag elkaar versterken. Met een scherpe scope, een SoA die richting geeft en audits die de effectiviteit van maatregelen toetsen, groeit informatiebeveiliging uit tot wat het moet zijn: een enabler van je strategie. Wie vandaag begint met kleine, gerichte stappen, merkt snel dat gesprekken over beveiliging minder defensief worden en dat keuzes beter zijn onderbouwd. Dat is de echte winst: minder ruis, meer resultaat. Wil je sparren over je ISO-aanpak, je SoA laten aanscherpen of een interne audit laten uitvoeren op je ISMS? Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe soft controls gedrag en cultuur in organisaties beïnvloeden. Volg de training Soft Controls van Ferocia en pas ze direct toe in jouw audits. Alle blogs Internal auditing Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde controles zoals procedures, rapportages en bevoegdheden nog steeds belangrijk. Maar wie echt wil begrijpen hoe een organisatie functioneert, moet verder durven kijken. Naar gedrag, naar cultuur, naar wat mensen drijft en naar de ongeschreven regels. Oftewel: naar soft controls. Wat zijn soft controls? Soft controls zijn de niet-tastbare beheersmaatregelen die het gedrag van mensen in een organisatie beïnvloeden. Denk aan integriteit, voorbeeldgedrag, betrokkenheid, vertrouwen, loyaliteit en aanspreekbaarheid. Waar hard controls zijn vastgelegd in beleid en processen, zitten soft controls in de hoofden en harten van mensen. Ze bepalen in hoge mate of die regels in de praktijk ook echt worden nageleefd. Steeds meer internal auditfuncties voegen daarom cultuur- en gedragsaspecten toe aan hun werk. Onderwerpen als sociale veiligheid, psychologische veiligheid en vertrouwen verschijnen steeds vaker op de auditkalender. En terecht, want als je als auditor, controller of risk officer echt waarde wilt toevoegen, kun je soft controls niet negeren. Maar hoe onderzoek je soft controls op een gedegen manier? Welke modellen en technieken gebruik je? En hoe zorg je ervoor dat je bevindingen overtuigend zijn en leiden tot actie? Wat leer je tijdens de training soft controls? De training soft controls van Ferocia geeft je in korte tijd (twee dagdelen) de juiste kennis en vaardigheden om met soft controls aan de slag te gaan in jouw eigen praktijk. Je leert: wat cultuur en gedrag zijn en hoe ze zich tot elkaar verhouden; waarom soft controls onmisbaar zijn voor effectieve beheersing; hoe je met modellen onderzoek doet naar cultuur en gedrag; hoe je gerichte vragen stelt om soft controls in kaart te brengen; en welke interventies je kunt voorstellen om soft controls in organisaties te verbeteren. Het programma bestaat uit een interactieve lesdag van zes uur en een innovatieve e-learning. De e-learning ‘Cultuur en Gedrag’ volg je waar en wanneer je maar wilt. Tijdens de lesdag oefen je actief met modellen, cases en praktijkopdrachten. Je past het geleerde direct toe op je eigen situatie, stelt een persoonlijk actieplan op en ontvangt feedback van je docent en van andere deelnemers. Geen lange theorieën of abstracte concepten, maar praktisch toepasbare inzichten, afgestemd op de realiteit van jouw werk. Wat kan ik nadat ik de training heb afgerond? Na afronding van deze training ben jij in staat om: Soft controls te herkennen en te benoemen in audits. Cultuur- en gedragsaspecten doelgericht te onderzoeken. Inzichten uit modellen te vertalen naar jouw praktijk. Interventies aan te reiken die het functioneren van soft controls verbeteren. Je ontvangt een certificaat van deelname en (indien van toepassing) 9 PE-punten. Maar belangrijker nog, je beschikt over een solide basis om met vertrouwen soft controls mee te nemen in jouw audits, controles of risicoanalyses. De opgedane kennis levert directe toegevoegde waarde in je dagelijkse werk. Zoals een oud-deelnemer het verwoordde: “De training bood praktische handvatten om soft controls toe te passen binnen audits. De opgedane kennis levert direct toegevoegde waarde in mijn werk.” Voor wie is deze training bedoeld? Deze training is ontwikkeld voor professionals die zich bezighouden met auditing, risicobeheersing of procesbeheersing en die hun vakmanschap willen verdiepen met inzichten over cultuur en gedrag. Herken jij jezelf in één van onderstaande rollen? Operational auditor IT-auditor Financial auditor Accountant Controller Risk officer Compliance officer Medewerker AO/IC Kwaliteitsmedewerker Proceseigenaar Dan is deze training voor jou. Voor deelname is hbo werk- en denkniveau gewenst. Er is géén voorkennis van psychologie of veranderkunde vereist. Juist omdat we het belangrijk vinden dat soft controls niet iets zijn ‘voor de experts’, maar voor elke professional die zich bezighoudt met beheersing en sturing binnen organisaties. De werkvorm: leren door te doen Bij Ferocia geloven we in activerend leren. Dat betekent dat je tijdens deze training niet alleen maar luistert, maar vooral ook zelf aan de slag gaat. De training bestaat uit: E-learning : De module 'Cultuur en Gedrag' volg je zelfstandig, op een moment dat jou uitkomt. De inhoud sluit direct aan bij de thema’s van de lesdag. Lesdag : Tijdens deze dag (fysiek of digitaal) oefen je actief met modellen en technieken. Je werkt aan een eigen case, stelt een persoonlijk actieplan op en ontvangt feedback. Interactieve werkvormen : Je oefent met vraagtechnieken, neemt deel aan rollenspellen en werkt aan praktijkopdrachten. Daarbij werk je zowel individueel als in kleine groepen. Ervaringsuitwisseling : Je leert niet alleen van de docent, maar ook van de ervaringen en perspectieven van andere deelnemers. Dit zorgt voor nieuwe inzichten en inspiratie. De bijeenkomsten vinden plaats in onze mixed classrooms : je kunt dus zelf kiezen of je fysiek aanwezig bent of digitaal aansluit. De docenten: experts met praktijkervaring De training wordt verzorgd door topdocenten met zowel academische bagage als stevige praktijkervaring. Zij begrijpen de uitdagingen van jouw werk en weten complexe concepten begrijpelijk én toepasbaar te maken. Klaar om soft controls in jouw werk te integreren? Wil jij: Soft controls echt begrijpen en toepassen? Cultuur en gedrag meenemen in je audits of risicoanalyses? Praktische tools, modellen en handvatten om direct mee aan de slag te gaan? Sparren met professionals uit andere organisaties? In korte tijd grote stappen zetten? Dan is deze training precies wat je zoekt. Meer informatie over de kosten en startdata, klik hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Versterk risicobeheersing binnen jouw organisatie met de opleiding Operational Auditing. Ontdek hoe jij het verschil maakt als auditor en strategisch adviseur. Alle blogs Opleiding en training, Internal auditing Opleiding operational auditing Lopen onze processen eigenlijk wel beheerst? Gaan we onze doelen wel halen dit jaar? En is onze interne controle robuust genoeg? Zomaar wat vragen die bij veel bestuurders en managers leven. Vragen waarop de operational auditor het antwoord geeft en daarmee van onschatbare waarde is voor iedere organisatie die serieus werk maakt van risicobeheersing, compliance en prestatiesturing. Met de postbacheloropleiding Operational auditing ontwikkel je je tot een volwaardige, onafhankelijke gesprekspartner van het management en lever je een directe bijdrage aan het lerend vermogen van je organisatie. In deze blog lees je alles over de opleiding: wat operational auditing inhoudt, wat je leert, wat je er na afloop mee kunt, voor wie de opleiding is bedoeld en hoe het leertraject is opgebouwd. Wat is operational auditing? Operational auditing is een vorm van intern onderzoek waarbij de auditor beoordeelt in hoeverre risico’s binnen bedrijfsprocessen op een beheersbare manier worden gemanaged. Het draait om het geven van aanvullende zekerheid aan bestuur en management over de kwaliteit van de risicobeheersing, zodat de organisatie haar doelstellingen daadwerkelijk kan realiseren. De operational auditor kijkt breed en procesgericht, niet alleen naar de harde beheersmaatregelen (hard controls), maar ook naar de zachte kant: gedrag, cultuur en samenwerking (soft controls). De blik is niet achteraf controleren, maar juist aan de voorkant beoordelen of de organisatie in staat is zijn doelen te realiseren. Met dit inzicht kan de organisatie nog bijsturen, waardoor operational auditing bijdraagt aan het lerende vermogen van de organisatie. De kernvraag is telkens: in hoeverre is de organisatie in staat haar organisatiedoelen waar te maken, gegeven de huidige risicobeheersing? Operational auditing is daarmee meer dan controleren, het is een vak dat vraagt om scherpe analyses, strategisch inzicht en overtuigende communicatie. Wat leer je tijdens de opleiding operational auditing? De postbacheloropleiding Operational auditing is modulair opgebouwd en kent een logische verdeling tussen theorie en praktijk. Tijdens de opleiding leer je niet alleen het vakmatig uitvoeren van operational audits, maar ook het versterken van je adviesvaardigheden en de impact van je werk vergroten. Module 1: Basisprincipes In de eerste module leer je de fundamenten van het vak. Je krijgt inzicht in: De positionering van operational auditing ten opzichte van andere auditvormen. De structuur en inrichting van een effectieve auditfunctie. Het gebruik van controlmodellen zoals COSO, INK, KAD, Simons en ISO. De toepassing van soft controls in je beoordeling. De relatie tussen integraal risicomanagement en auditing. Theorie staat hierbij nooit op zichzelf: alles wordt direct vertaald naar jouw praktijk. Dat maakt het relevant en toepasbaar. Module 2: Praktijk en toepassing In de tweede module pas je de opgedane kennis toe in je eigen organisatie. Je voert een volledige operational audit uit, van ontwerp tot rapportage onder begeleiding van een ervaren docent. Deze praktijkmodule bestaat uit drie fasen: Auditontwerp – Je maakt een concreet plan van aanpak, inclusief doelstelling, normenkader, gegevensverzameling en oordeelsvorming. Veldwerk – Je toetst de praktijk aan het normenkader via documentanalyse, interviews en observaties. Hierbij is veel aandacht voor gesprekstechnieken, omgaan met weerstand en het creëren van acceptatie. Rapportage – Je leert hoe je je bevindingen effectief en overtuigend rapporteert, inclusief oorzaakanalyse en concrete verbeteradviezen. Alles met één doel: het management aanzetten tot actie. Wat kan ik nadat ik de opleiding operational auditing heb afgerond? Na afronding van de opleiding ontvang je het postbachelordiploma Operational auditing van Avans en 110 PE-punten als je PE-plichtig bent. Maar belangrijker: je bent in staat om zelfstandig een auditproces te doorlopen en het bestuur en management te adviseren over de kwaliteit van risicobeheersing. Je levert een aantoonbare bijdrage aan: de verbetering van processen; de effectiviteit van beheersmaatregelen; de naleving van wet- en regelgeving; en het vergroten van het lerend vermogen van je organisatie. Daarmee ben je niet alleen auditor, maar ook adviseur, bruggenbouwer en veranderaar. Je ontwikkelt je tot een strategische sparringpartner en dat wordt in vrijwel elke organisatie enorm gewaardeerd. Voor wie is deze opleiding bedoeld? De postbacheloropleiding Operational auditing is ontwikkeld voor professionals die (gaan) werken op het snijvlak van procesbeheersing, risicomanagement en organisatieontwikkeling. Denk aan: Controllers Risk officers Compliance officers Kwaliteitsmanagers AO/IC-medewerkers (Internal) auditors Accountants Proceseigenaren Werk je in een van deze functies, of wil je je naar zo’n rol ontwikkelen, en wil je met audits echt het verschil maken? Dan is deze opleiding voor jou. Een belangrijk uitgangspunt van de opleiding is dat deelnemers afkomstig zijn uit uiteenlopende sectoren en organisaties. Die diversiteit aan perspectieven zorgt voor een rijk leerklimaat en waardevolle interactie. De werkvorm: leren door doen De opleiding is ontworpen volgens het principe van blended learning , waarbij praktijk en theorie elkaar versterken. E-learning : Je bereidt je online voor op de bijeenkomsten. Dat doe je in je eigen tijd, op je eigen tempo. Hierdoor kunnen de bijeenkomsten zelf worden benut voor verdieping en toepassing naar jouw partijk. Bijeenkomsten : In totaal volg je 14 bijeenkomsten (6 theorie + 8 praktijk). Hierin werk je met casuïstiek, rollenspellen en intervisie. Ook leer je van de ervaringen van je mededeelnemers. Coaching : Tijdens het uitvoeren van je audit krijg je persoonlijke begeleiding van een ervaren docent. Zo ben je verzekerd van inhoudelijke ondersteuning en praktische feedback. De docenten van de opleiding operational auditing doceren aan verschillende universiteiten en hogescholen, waaronder de post- initiële RO auditing opleiding van de UvA en de Erasmus Universiteit Het interactieve karakter van de opleiding maakt dat je niet alleen leert van de theorie, maar vooral van het toepassen ervan. Dat is de kracht van deze postbacheloropleiding. Conclusie: een investering die rendeert Operational auditing is geen vak dat je uit een boekje leert. Het is een ambacht dat je ontwikkelt door te oefenen, te reflecteren en continu beter te worden. Precies dat is waar de postbacheloropleiding Operational auditing in voorziet. Praktisch, diepgaand en relevant met directe impact op jouw werk en je organisatie. Wil jij: Je verdiepen in risicobeheersing? Organisaties echt helpen leren en verbeteren? Jouw rol als auditor, controller of adviseur versterken? Je carrière een serieuze boost geven? Dan is deze opleiding de volgende stap. Meer informatie over startdata, locaties en kosten vind je hier . Liever een korte cursus? Naast de postbachelor opleiding operational auditing, biedt Ferocia ook een vierdaagse cursus operational auditing aan. Meer informatie over deze cursus vind je hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek onze slimme AI-assistenten die jou direct ondersteunen bij elke stap van auditmethodiek 2.0. Gebruik deze gratis GPT’s om sneller en effectiever auditdoelstellingen te formuleren, scopes vast te stellen, normenkaders te ontwerpen en meer. AI-agents Onze slimme AI-agents staan klaar om je te ondersteunen bij elke stap van het auditproces. Ze helpen je sneller en effectiever je vooronderzoek uit te voeren, auditdoelstellingen te formuleren, referentiemodellen op te stellen en meer. Wil je precies weten hoe je deze bots optimaal inzet? Lees dan de whitepaper Auditmethodiek 2.0 , waarin het gebruik van de bots stap voor stap wordt uitgelegd. Uitvoeren vooronderzoek AI-agent die je ondersteunt bij het uitvoeren van je vooronderzoek volgens auditmethodiek 2.0. Start Opstellen referentiemodel AI-agent voor het ontwerpen van je referentiemodellen volgens auditmethodiek 2.0. Start Formuleren auditdoelstellingen AI-agent voor het formuleren van je auditdoelstellingen volgens auditmethodiek 2.0. Start Ontwerpen testplannen AI-agent voor het ontwerpen van je testplannen volgens auditmethodiek 2.0. Start Formuleren beheersdoelstellingen AI-agent voor het formuleren van je beheersdoelstellingen volgens auditmethodiek 2.0. Start

Heb je tijdelijk extra capaciteit en deskundigheid nodig op het gebied van internal auditing, control of risicomanagement? Wij helpen je graag! Onze ervaren interim professionals vullen jouw capaciteitsbehoefte naadloos in. Interim en consultancy Ferocia biedt tijdelijke capaciteit en deskundigheid op het gebied van internal audit, control en risicomanagement. Onze dienstverlening Ferocia levert ervaren interim-professionals die direct inzetbaar zijn voor onder meer het uitvoeren van audits, het inrichten en versterken van risicomanagement, het toetsen van de kwaliteit van de IAF en het implementeren/ondersteunen van third-party rapportages zoals ISAE 3000 en ISAE 3402, evenals trajecten rond ISO 27001; bekijk het volledige overzicht van onze dienstverlening op onze themapagina . We hanteren eerlijke, transparante tarieven en richten de inzet in conform de Wet DBA; als SNA-gecertificeerde organisatie werken wij aantoonbaar betrouwbaar en volgens geldende regelgeving. Bij inzet van zzp’ers beoordelen wij de arbeidsrelatie zorgvuldig en kiezen de juiste contractvorm, zodat jouw organisatie geen onnodige risico’s loopt. Interim Consultancy Co- en outsourcing Verloning Je internal audit- of riskfunctie versterken via co- of outsourcing? De eisen aan governance, risicobeheersing en interne controle worden steeds zwaarder. Tegelijk is goede capaciteit én specifieke expertise schaars. Co- en outsourcing zijn dan geen noodgreep, maar een strategische keuze om je internal audit- of riskfunctie structureel te versterken. Met co-sourcing werk je samen met onze professionals als één team. Jij houdt de regie, wij voegen capaciteit, kennis en een frisse blik toe. Ideaal bij piekbelasting, specialistische onderzoeken (bijvoorbeeld DORA, ESG of AI) of als je de kwaliteit van je functie wilt verstevigen. Kies je voor outsourcing, dan nemen wij (een deel van) de functie voor je over, van planning en uitvoering tot rapportage en kwaliteitsborging. Jij bepaalt de kaders en doelen, wij zorgen voor heldere processen, betrouwbare rapportages en kwalitatieve professionals. Met Ferocia kies je voor: • bewezen expertise in internal auditing en risicomanagement; • een partner die meedenkt over vandaag én morgen; • schaalbare ondersteuning, zonder in te leveren op kwaliteit; en • een efficiënte en structurele oplossing. Meer informatie over co-sourcing of outsourcing lees hier onze blogs Strategisch advies nodig op het gebied van audit, control of risk? Soms heb je meer nodig dan een extra paar handen. Je zoekt een sparringpartner die meekijkt, scherpe vragen stelt en helpt om echt stappen te zetten. Of het nu gaat om het versterken van je internal auditfunctie, het uitvoeren van een internal audit, het opzetten van integraal risicomanagement, het aanscherpen van je controls of het voldoen aan strengere regelgeving: Ferocia staat naast je. Onze consultants combineren diepgaande vakkennis met praktijkervaring in onder meer overheid, zorg, financiële dienstverlening, infra en industrie. Ze begrijpen jouw wereld, de druk van stakeholders en de dagelijkse realiteit. Met de consultants van Ferocia krijg je: inhoudelijke expertise op audit, risk en control; praktische oplossingen die passen bij jouw organisatie en cultuur; helderheid en structuur in processen, rollen en verantwoordelijkheden; en concrete verbeterplannen waar je morgen mee aan de slag kunt. We starten altijd met een goed gesprek over context, doelen en ambities. Vanuit daar werken we samen aan een aanpak die past. Geen dikke rapporten voor in de la, maar oplossingen die werken in jouw praktijk. Snel versterking nodig op het gebied van internal auditing, control of risicomanagement? Een zieke collega, een vacature die maar niet ingevuld wordt, een grote veranderopgave of een flinke auditpiek… Juist op die momenten wil je iemand naast je hebben die direct meedraait en weet wat er moet gebeuren. Ferocia helpt je snel aan een interim-professional die meer doet dan “de boel draaiende houden”. Onze mensen brengen rust, structuur en kwaliteit, en laten iets duurzaams achter als ze weer weg zijn. Onze interimmers: hebben ruime ervaring binnen onder meer de overheid, financiële dienstverlening, zorg en industrie; stappen snel in, pakken zelf op wat nodig is en voegen direct waarde toe; combineren vakinhoudelijke stevigheid met goede communicatieve vaardigheden; sluiten aan bij jouw doelen: continuïteit, versnelling, kennisopbouw of verandering; en zijn scherp geprijsd. Als wij een zzp’er bemiddelen is onze standaardmarge € 17,50. We kijken niet alleen naar het cv, maar vooral naar de match met jouw organisatie en opdracht. En ook tijdens de inzet blijven we betrokken, zodat je kunt bijsturen of opschalen als dat nodig is. Meer informatie over het inhuren van een interim professional via Ferocia, lees hier onze blog . Zeker verlonen in lijn met de Wet DBA? Sinds 1 januari 2025 handhaaft de Belastingdienst de Wet DBA actief. Geen schijnzelfstandigheid, geen grijs gebied, maar duidelijkheid: wie feitelijk als werknemer werkt, hoort in loondienst. Met de verloningsdienst van Ferocia zorg je dat jouw inzet van internal auditors, controllers, risk- en complianceprofessionals klopt. Juridisch én in de praktijk. Wij nemen de professional bij Ferocia in loondienst onder de ABU-cao, met pensioenopbouw bij StiPP en een transparant beloningsmodel: 85% van de omzet wordt verloond, 15% gaat naar Ferocia voor loonadministratie, begeleiding, risicodekking en onze marge. Ferocia is bovendien SNA-gecertificeerd, waardoor je zeker weet dat alle verplichtingen rondom arbeid, loonheffingen en afdrachten aantoonbaar volgens de norm worden uitgevoerd. Zo blijft de professional inzetbaar zonder risico’s, en weet jij dat alles goed geregeld is. Vooraf voeren we een DBA-scan uit, leggen we de afweging vast in een duidelijk dossier en vertalen we dat naar heldere afspraken in de praktijk. Geen constructies, maar een oplossing die toetsbaar is bij controle en rust geeft in de organisatie. Twijfel je over de juiste contractvorm of wil je bestaande inhuur “DBA-proof” maken via verloning? Ferocia denkt graag met je mee, neem contact met ons op via onderstaande button. Meer informatie over verlonen via Ferocia, lees deze blog . Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Opdrachten Voor interim-professionals Ben je interim-professional op het gebied van audit, control, risk management of compliance? Dan komen we graag met je in contact. Ferocia investeert in mensen die óók in zichzelf willen investeren en matcht je met opdrachten die passen bij jouw niveau en ontwikkelbehoefte. Samenwerken kan via een zzp-constructie of via verloning. Bij verloning verzorgen wij de loonadministratie en afdrachten, zodat jij je volledig kunt focussen op de opdracht. Natuurlijk borgen we compliance met de Wet DBA en werken we als SNA-gecertificeerde organisatie volgens alle geldende regels. Waarom Ferocia? Uitmuntende consultants aangevuld met een sterk netwerk van interim-professionals. Eerlijke tarieven. Onze standaardmarge bij bemiddeling bedraagt € 17,50 per uur. SNA-gecertificeerd en volledig compliant met de Wet DBA – gegarandeerde naleving van alle wet- en regelgeving De meest gunstige condities voor onze interim-professionals Oprechte aandacht voor zowel onze opdrachtgevers als onze interim-professionals.

Ben jij internal auditor, controller of risicomanager en wil je groeien in je vak? Ferocia biedt praktijkgerichte opleidingen en trainingen op het gebied van internal auditing, control en risicomanagement. Ontworpen voor professionals die zich willen ontwikkelen en meer willen betekenen voor hun organisatie. Opleidingen en trainingen Ferocia verzorgt open en incompany opleidingen en trainingen voor internal auditors, risk officers en controllers. Onze dienstverlening Ben jij internal auditor, controller of risicomanager en wil je groeien in je vak? Ferocia biedt praktijkgerichte opleidingen en trainingen op het gebied van internal auditing, control en risicomanagement. Ontworpen voor professionals die zich willen ontwikkelen en meer willen betekenen voor hun organisatie. Leren bij Ferocia is anders! Wij bieden geen standaardopleidingen, maar trajecten die direct aansluiten op jouw dagelijkse praktijk. Geen droge theorie, maar kennis en vaardigheden die je meteen kunt toepassen in je werk. Zo wordt leren niet iets wat je erbij doet, maar iets dat je direct vooruithelpt! Wat ons uniek maakt? Wij begeleiden je niet alleen in de leeromgeving, maar ook bij de toepassing in jouw eigen praktijk. Met een doordachte combinatie van online theoretische voorbereiding (e-learning), interactie (virtuele of fysieke) bijeenkomsten en persoonlijke coaching, zorgen we ervoor dat jij de opgedane kennis zelfstandig en met vertrouwen toepast op je werkvloer. Daarbij werken wij samen met toonaangevende partners zoals Avans+, het Instituut van Internal Auditors (IIA Nederland) en Sijthoff Accountants Academy. Daardoor ben je verzekerd van de hoogste inhoudelijke kwaliteit en maximale relevantie voor jouw vakgebied. Kwaliteit gegarandeerd Onze opleidingen en trainingen worden verzorgd door ervaren en gediplomeerde docenten die hun sporen ruimschoots hebben verdiend in de praktijk, en zijn verbonden aan één of meerdere universiteiten (RE, RO, RC) en hogescholen. Zij weten als geen ander hoe ze theorie moeten vertalen naar situaties die jij in je dagelijkse werkzaamheden tegenkomt. Je kunt hierdoor de opgedane kennis direct toepassen binnen jouw praktijk, waardoor een meerwaarde wordt geleverd aan zowel jouw persoonlijke ontwikkeling als aan het succes van je organisatie! Meer weten? Bekijk dan ons aanbod aan open leertrajecten op het gebied van internal auditing, control en risicomanagement. Op zoek naar een incompany leertraject op maat? Ook dan helpen we je graag verder! Neem contact met ons op en we verkennen graag je leervraag. Contact Open leertrajecten Ben je op zoek naar een opleiding of training binnen audit, control of risicomanagement? Ontdek onze praktijkgerichte leertrajecten. Audit Control Risk Waarom Ferocia? Innovatieve en praktijkgerichte leertrajecten  voor internal auditors, controllers en risk officers. Blended learning. Online voorbereiding, interactieve sessies en coaching in je eigen werksituatie. Open en incompany leertrajecten. Schrijf je in voor een van onze open leertraject of kies voor een incompany leertraject op maat. Gediplomeerde docenten die hun sporen in de praktijk hebben verdiend. Onze docenten zijn niet voor niets allemaal als docent verbonden aan universiteiten en hogescholen! Gerenommeerde partners , zoals Avans+, het Instituut van Internal Auditors Nederland (IIA Nederland) en Sijthoff Accountants Academy.

Ferocia helpt internal auditafdelingen bij voorbereiding en uitvoering van de externe kwaliteitstoetsing volgens GIAS. Versterk je auditfunctie en ontdek hoe. Alle blogs Internal auditing Kwaliteitstoetsing auditafdelingen Hoe Ferocia internal auditafdelingen ondersteunt bij de kwaliteitstoetsing De rol van de internal auditfunctie binnen organisaties is de afgelopen jaren aanzienlijk veranderd. Internal auditors worden tegenwoordig steeds vaker gezien als strategische partners die bijdragen aan governance, risicobeheersing en waardecreatie. Die ontwikkeling brengt ook een grotere verantwoordelijkheid met zich mee. Stakeholders verwachten dat auditafdelingen niet alleen voldoen aan wet- en regelgeving, maar ook dat zij aantoonbaar werken volgens de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA). Om dit te waarborgen, is er de ‘verplichte’ kwaliteitstoets, een periodieke beoordeling van de internal auditfunctie, uitgevoerd door een onafhankelijke partij. Voor veel auditafdelingen is dit een spannend en intensief traject. Hoe toon je aan dat je voldoet aan de kwaliteitscriteria? Hoe bereid je je voor op een externe toets? En hoe vertaal je de uitkomsten naar duurzame verbeteringen? Daar komt Ferocia in beeld. Ferocia als partner in kwaliteitstoetsing Ferocia ondersteunt internal auditafdelingen van A tot Z bij de kwaliteitstoetsing. Dat doen wij vanuit drie diensten: Audit readiness assessment. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS. Uitvoering van de externe kwaliteitstoets (Ferocia is gecertificeerd door het IIA). Door deze combinatie zijn wij voor auditafdelingen niet alleen een sparringpartner, maar ook een onafhankelijke beoordelaar die de kwaliteit van het vakgebied helpt versterken (uiteraard kunnen en willen wij dienstverlening 1 en 2 niet combineren met 3). 1. Audit readiness assessment: voorbereid de kwaliteitstoetsing in Een kwaliteitstoets kan voor auditteams een pittige exercitie zijn. Vaak heerst er onzekerheid: Hoe zit het met onze ethiek en professionele moed? Is onze auditcharter up-to-date? Sluiten onze werkprogramma’s voldoende aan op de standaarden? Hoe scoren we op onafhankelijkheid en objectiviteit? Met het audit readiness assessment helpt Ferocia auditafdelingen deze vragen te beantwoorden. Dit assessment is een grondige analyse die inzicht geeft in de huidige situatie en de mate van gereedheid voor de externe kwaliteitstoetsing. Wat houdt het in? Documentreview: We analyseren beleidsstukken, auditplannen, werkdossiers en rapportages. Interviews: We spreken met auditors, management en stakeholders om te toetsen hoe processen in de praktijk werken. Gap-analyse: We vergelijken de huidige werkwijze met de GIAS-criteria en brengen eventuele verbeterpunten in kaart. Het resultaat Een concreet rapport met: Sterke punten die de auditfunctie onderscheiden. Verbeterpunten die aandacht vragen voor de externe toets. Praktische aanbevelingen waarmee de afdeling direct aan de slag kan. Het readiness assessment geeft auditteams rust, duidelijkheid en een routekaart richting een succesvolle kwaliteitstoets. 2. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS De GIAS stelt duidelijke eisen aan de inrichting en uitvoering van internal auditfunctie. Denk aan ethiek, onafhankelijkheid, positionering binnen de organisatie, kwaliteit van werkprogramma’s en continue professionalisering van het team. Veel auditafdelingen ervaren dat het lastig is om deze criteria consequent door te vertalen naar hun eigen praktijk. Ferocia biedt hier gerichte ondersteuning. Hoe ondersteunen wij? Workshops & trainingen: Gericht op specifieke thema’s zoals onafhankelijkheid, rapportagekwaliteit of stakeholdermanagement. Coaching on the job: Onze experts werken samen met auditteams tijdens lopende audits en geven direct feedback. Template- en procesontwikkeling: We helpen bij het opstellen van praktische formats, auditplannen, auditcharter, etc. die voldoen aan de GIAS. Voorbeeld uit de praktijk Een middelgrote financiële instelling vroeg ons om hulp omdat hun auditfunctie wel operationeel draaide, maar onvoldoende aantoonbaar voldeed aan de GIAS. Ferocia heeft een maatwerk verbeterprogramma opgesteld, inclusief workshops voor het auditteam, begeleiding bij het actualiseren van het auditcharter en ondersteuning bij rapportages. Bij de externe toets werd het team geprezen om hun professionaliteit en verbeterkracht. 3. Externe kwaliteitstoets: onafhankelijk en gecertificeerd Uiteindelijk komt het moment dat de auditfunctie een externe kwaliteitstoets moet ondergaan. Deze toets is ‘verplicht’ voor internal auditfuncties die aangesloten zijn bij het IIA en biedt zekerheid aan de organisatie en haar stakeholders. Ferocia is gecertificeerd om deze externe kwaliteitstoetsen uit te voeren. Dat betekent dat wij onafhankelijk beoordelen of een auditafdeling voldoet aan de GIAS. Hoe verloopt de externe kwaliteitstoetsing? Voorbereiding: We bereiden de externe kwaliteitstoetsing voor en stellen een planning op. Onderzoek: Ferocia voert interviews, documentanalyses en dossierreviews uit. Beoordeling: We vergelijken de praktijk met de kwaliteitscriteria. Rapportage: Het auditteam ontvangt een rapportage met een gedetailleerd oordeel met onderbouwing en eventuele concrete aanbevelingen. Meerwaarde van Ferocia als toetsende partij Ervaring: Onze auditors hebben vele kwaliteitstoetsen uitgevoerd bij uiteenlopende organisaties. Praktische blik: We kijken niet alleen of criteria worden gehaald, maar ook hoe de auditfunctie zich verder kan ontwikkelen. Onafhankelijkheid: Als gecertificeerde partij borgen we een objectief en betrouwbaar oordeel. Waarom kiezen auditafdelingen voor Ferocia? De kracht van Ferocia zit in de combinatie van kennis, ervaring en betrokkenheid. We kennen de praktijk van internal auditing door en door. We combineren theoretische kennis van de GIAS met praktische inzichten uit tientallen organisaties. We denken niet alleen in termen van toetsing, maar ook in ontwikkeling en groei van de auditfunctie. Onze klanten waarderen dat wij niet alleen toetsen, maar ook meedenken over hoe hun afdeling sterker, professioneler en toekomstbestendiger kan worden. De impact van een externe kwaliteitstoets: meer dan een verplichting Soms wordt de externe kwaliteitstoets gezien als een administratieve verplichting. Maar in werkelijkheid is het veel meer dan dat. Een goed doorlopen kwaliteitstoets biedt: Vertrouwen bij bestuur en toezichthouders dat de auditfunctie onafhankelijk en professioneel opereert. Meerwaarde voor de organisatie, omdat verbeterpunten direct bijdragen aan betere governance en risicobeheersing. Professionele groei voor auditors zelf, doordat zij leren van feedback en best practices. Met de juiste voorbereiding en begeleiding kan een kwaliteitstoets zo veranderen van een “spannend examen” naar een kans om de auditfunctie naar een hoger niveau te tillen. Conclusie: Samen werken aan auditkwaliteit Internal auditafdelingen staan voor de uitdaging om niet alleen hun werk goed te doen, maar dit ook aantoonbaar te maken volgens internationale standaarden. De kwaliteitstoets is daarbij een krachtig instrument, mits goed voorbereid en uitgevoerd. Ferocia ondersteunt auditafdelingen op drie niveaus: Audit readiness assessment: inzicht en voorbereiding. Ondersteuning bij voldoen aan de GIAS: kennis, begeleiding en praktische tools. Externe kwaliteitstoets: onafhankelijk, gecertificeerd en met oog voor ontwikkeling. Zo helpen wij internal auditors niet alleen om de toets te halen, maar vooral om sterker en toekomstbestendiger uit het traject te komen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ferocia helpt internal auditafdelingen bij voorbereiding en uitvoering van de externe kwaliteitstoetsing volgens GIAS. Versterk je auditfunctie en ontdek hoe. Kwaliteitstoetsingen Hoe Ferocia internal auditafdelingen ondersteunt bij de kwaliteitstoetsing De rol van de internal auditfunctie binnen organisaties is de afgelopen jaren aanzienlijk veranderd. Internal auditors worden tegenwoordig steeds vaker gezien als strategische partners die bijdragen aan governance, risicobeheersing en waardecreatie. Die ontwikkeling brengt ook een grotere verantwoordelijkheid met zich mee. Stakeholders verwachten dat auditafdelingen niet alleen voldoen aan wet- en regelgeving, maar ook dat zij aantoonbaar werken volgens de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA). Om dit te waarborgen, is er de ‘verplichte’ kwaliteitstoets, een periodieke beoordeling van de internal auditfunctie, uitgevoerd door een onafhankelijke partij. Voor veel auditafdelingen is dit een spannend en intensief traject. Hoe toon je aan dat je voldoet aan de kwaliteitscriteria? Hoe bereid je je voor op een externe toets? En hoe vertaal je de uitkomsten naar duurzame verbeteringen? Daar komt Ferocia in beeld. Ferocia als partner in kwaliteitstoetsing Ferocia ondersteunt internal auditafdelingen van A tot Z bij de kwaliteitstoetsing. Dat doen wij vanuit drie diensten: Audit readiness assessment. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS. Uitvoering van de externe kwaliteitstoets (Ferocia is gecertificeerd door het IIA). Door deze combinatie zijn wij voor auditafdelingen niet alleen een sparringpartner, maar ook een onafhankelijke beoordelaar die de kwaliteit van het vakgebied helpt versterken (uiteraard kunnen en willen wij dienstverlening 1 en 2 niet combineren met 3). 1. Audit readiness assessment: voorbereid de kwaliteitstoetsing in Een kwaliteitstoets kan voor auditteams een pittige exercitie zijn. Vaak heerst er onzekerheid: Hoe zit het met onze ethiek en professionele moed? Is onze auditcharter up-to-date? Sluiten onze werkprogramma’s voldoende aan op de standaarden? Hoe scoren we op onafhankelijkheid en objectiviteit? Met het audit readiness assessment helpt Ferocia auditafdelingen deze vragen te beantwoorden. Dit assessment is een grondige analyse die inzicht geeft in de huidige situatie en de mate van gereedheid voor de externe kwaliteitstoetsing. Wat houdt het in? Documentreview: We analyseren beleidsstukken, auditplannen, werkdossiers en rapportages. Interviews: We spreken met auditors, management en stakeholders om te toetsen hoe processen in de praktijk werken. Gap-analyse: We vergelijken de huidige werkwijze met de GIAS-criteria en brengen eventuele verbeterpunten in kaart. Het resultaat Een concreet rapport met: Sterke punten die de auditfunctie onderscheiden. Verbeterpunten die aandacht vragen voor de externe toets. Praktische aanbevelingen waarmee de afdeling direct aan de slag kan. Het readiness assessment geeft auditteams rust, duidelijkheid en een routekaart richting een succesvolle kwaliteitstoets. 2. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS De GIAS stelt duidelijke eisen aan de inrichting en uitvoering van internal auditfunctie. Denk aan ethiek, onafhankelijkheid, positionering binnen de organisatie, kwaliteit van werkprogramma’s en continue professionalisering van het team. Veel auditafdelingen ervaren dat het lastig is om deze criteria consequent door te vertalen naar hun eigen praktijk. Ferocia biedt hier gerichte ondersteuning. Hoe ondersteunen wij? Workshops & trainingen: Gericht op specifieke thema’s zoals onafhankelijkheid, rapportagekwaliteit of stakeholdermanagement. Coaching on the job: Onze experts werken samen met auditteams tijdens lopende audits en geven direct feedback. Template- en procesontwikkeling: We helpen bij het opstellen van praktische formats, auditplannen, auditcharter, etc. die voldoen aan de GIAS. Voorbeeld uit de praktijk Een middelgrote financiële instelling vroeg ons om hulp omdat hun auditfunctie wel operationeel draaide, maar onvoldoende aantoonbaar voldeed aan de GIAS. Ferocia heeft een maatwerk verbeterprogramma opgesteld, inclusief workshops voor het auditteam, begeleiding bij het actualiseren van het auditcharter en ondersteuning bij rapportages. Bij de externe toets werd het team geprezen om hun professionaliteit en verbeterkracht. 3. Externe kwaliteitstoets: onafhankelijk en gecertificeerd Uiteindelijk komt het moment dat de auditfunctie een externe kwaliteitstoets moet ondergaan. Deze toets is ‘verplicht’ voor internal auditfuncties die aangesloten zijn bij het IIA en biedt zekerheid aan de organisatie en haar stakeholders. Ferocia is gecertificeerd om deze externe kwaliteitstoetsen uit te voeren. Dat betekent dat wij onafhankelijk beoordelen of een auditafdeling voldoet aan de GIAS. Hoe verloopt de externe kwaliteitstoetsing? Voorbereiding: We bereiden de externe kwaliteitstoetsing voor en stellen een planning op. Onderzoek: Ferocia voert interviews, documentanalyses en dossierreviews uit. Beoordeling: We vergelijken de praktijk met de kwaliteitscriteria. Rapportage: Het auditteam ontvangt een rapportage met een gedetailleerd oordeel met onderbouwing en eventuele concrete aanbevelingen. Meerwaarde van Ferocia als toetsende partij Ervaring: Onze auditors hebben vele kwaliteitstoetsen uitgevoerd bij uiteenlopende organisaties. Praktische blik: We kijken niet alleen of criteria worden gehaald, maar ook hoe de auditfunctie zich verder kan ontwikkelen. Onafhankelijkheid: Als gecertificeerde partij borgen we een objectief en betrouwbaar oordeel. Waarom kiezen auditafdelingen voor Ferocia? De kracht van Ferocia zit in de combinatie van kennis, ervaring en betrokkenheid. We kennen de praktijk van internal auditing door en door. We combineren theoretische kennis van de GIAS met praktische inzichten uit tientallen organisaties. We denken niet alleen in termen van toetsing, maar ook in ontwikkeling en groei van de auditfunctie. Onze klanten waarderen dat wij niet alleen toetsen, maar ook meedenken over hoe hun afdeling sterker, professioneler en toekomstbestendiger kan worden. De impact van een externe kwaliteitstoets: meer dan een verplichting Soms wordt de externe kwaliteitstoets gezien als een administratieve verplichting. Maar in werkelijkheid is het veel meer dan dat. Een goed doorlopen kwaliteitstoets biedt: Vertrouwen bij bestuur en toezichthouders dat de auditfunctie onafhankelijk en professioneel opereert. Meerwaarde voor de organisatie, omdat verbeterpunten direct bijdragen aan betere governance en risicobeheersing. Professionele groei voor auditors zelf, doordat zij leren van feedback en best practices. Met de juiste voorbereiding en begeleiding kan een kwaliteitstoets zo veranderen van een “spannend examen” naar een kans om de auditfunctie naar een hoger niveau te tillen. Conclusie: Samen werken aan auditkwaliteit Internal auditafdelingen staan voor de uitdaging om niet alleen hun werk goed te doen, maar dit ook aantoonbaar te maken volgens internationale standaarden. De kwaliteitstoets is daarbij een krachtig instrument, mits goed voorbereid en uitgevoerd. Ferocia ondersteunt auditafdelingen op drie niveaus: Audit readiness assessment: inzicht en voorbereiding. Ondersteuning bij voldoen aan de GIAS: kennis, begeleiding en praktische tools. Externe kwaliteitstoets: onafhankelijk, gecertificeerd en met oog voor ontwikkeling. Zo helpen wij internal auditors niet alleen om de toets te halen, maar vooral om sterker en toekomstbestendiger uit het traject te komen. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Sta jij als internal auditfunctie voor een (aanstaande) kwaliteitstoetsing? Ferocia helpt je van readiness assessment tot en met onafhankelijke externe toetsing volgens de GIAS. Ontdek hoe je van ‘spannend examen’ naar kans op groei en professionalisering gaat. Kwaliteitstoetsing auditafdelingen Knop

Versterk je gespreksvaardigheden met de training gesprekstechnieken. Leer omgaan met weerstand en maak écht impact. Alle blogs Risicomanagement, Internal auditing Training gesprekstechnieken voor auditors en riskmanagers Of je nu werkt als auditor, controller of risk officer, je succes hangt meer af van je gespreksvaardigheden dan je misschien denkt. Hoe scherp je analyses ook zijn en hoe goed je dossiers ook zijn voorbereid: zonder een open, doelgericht en effectief gesprek blijft je impact beperkt. Goede gesprekstechnieken zijn onmisbaar. Niet alleen om informatie boven tafel te krijgen, maar ook om echt verbinding te maken, weerstand te overbruggen en gedrag bespreekbaar te maken. Dat is precies waar de training gesprekstechnieken voor auditors en risicoprofessionals van Ferocia op inspeelt. Wat zijn gesprekstechnieken? Gesprekstechnieken zijn methoden en vaardigheden die je inzet om een gesprek doelgericht, gestructureerd en effectief te laten verlopen. Denk aan het stellen van de juiste vragen, het actief luisteren, het herkennen van non-verbale signalen, het omgaan met weerstand en het schakelen tussen verschillende communicatieniveaus. In het vakgebied van auditing en risicomanagement krijgen deze technieken nog een extra dimensie: je gesprekspartner is vaak iemand van binnen de organisatie, met eigen belangen, belangen die soms haaks staan op jouw bevindingen of observaties. Daarom is het cruciaal dat je als professional niet alleen vaktechnisch onderlegd bent, maar ook beschikt over de juiste gespreksvaardigheden. Gesprekstechnieken zijn geen ‘soft skill’ die je er zomaar bijdoet; ze vormen een wezenlijk onderdeel van je vakmanschap. Wat leer je tijdens de training gesprekstechnieken? De training Gesprekstechnieken van Ferocia is ontworpen voor professionals die werken binnen het domein van audit, control, risk of compliance en die effectiever willen worden in het voeren van kwalitatief goede gesprekken. In drie interactieve dagdelen leer je hoe je gesprekken beter voorbereidt, gestructureerd voert en afrondt. De training is opgebouwd rondom de volgende thema’s: Gespreksvoorbereiding : Hoe bereid je je voor op een auditinterview? Hoe sluit je interviewschema’s aan op het normenkader? Gesprekstechnieken : Je leert welke gesprekstechnieken je wanneer inzet en hoe je daarmee de regie in handen houdt, zonder het contact te verliezen. Vraagformulering : Je ontwikkelt vaardigheden om vragen scherp te formuleren, ook als het gaat over lastige onderwerpen als cultuur en gedrag. Communicatieniveaus : Je leert schakelen tussen inhoud, proces en relatie. Want alleen met bewustzijn op deze drie niveaus maak je echt impact. Omgaan met weerstand : Hoe herken je weerstand? En hoe kun je het ombuigen naar een constructief gesprek? Tijdens de training oefen je met deze vaardigheden aan de hand van praktijkcasussen, rollenspellen en reflectie. De theorie krijg je aangereikt via een innovatieve e-learningmodule, die je voorafgaand aan de bijeenkomsten zelfstandig doorloopt. Zo ben je optimaal voorbereid om tijdens de bijeenkomsten aan de slag te gaan met de toepassing in jouw praktijk. Wat kun je nadat je de training hebt afgerond? Na het afronden van de training ben je geen theoretisch expert, maar een beter uitgeruste professional. Je bent in staat om: gesprekken doelgericht en gestructureerd te voeren; de juiste gesprekstechnieken op het juiste moment in te zetten; de regie te houden, ook in lastige gesprekken of bij weerstand; diepere, betekenisvollere gesprekken te voeren over cultuur en gedrag; verschillende communicatieniveaus te herkennen en te benutten; effectiever informatie te verzamelen en gedragsaspecten bespreekbaar te maken; en jouw eigen stijl te ontwikkelen en bewust in te zetten. Je krijgt bovendien 12 PE-punten en een certificaat van deelname. Maar belangrijker nog: je ontwikkelt jezelf tot een gesprekspartner die gehoord wordt en die echt verschil maakt in de organisatie. Voor wie is deze training bedoeld? Deze training is speciaal ontwikkeld voor professionals die betrokken zijn bij audits, risicomanagement, compliance of control. Denk aan: Internal auditors (operational, IT of financial) Controllers Risk en compliance officers Accountants Medewerkers AO/IC Kwaliteitsmedewerkers Proceseigenaren Wat deze groep professionals verbindt? Van hen wordt verwacht dat zij gesprekken kunnen voeren waarin informatie wordt opgehaald, geanalyseerd en teruggekoppeld, vaak in een complexe of gevoelige context. De training is gericht op mensen met een HBO werk- en denkniveau die willen investeren in hun effectiviteit als gesprekspartner. De werkvorm van de training De training gesprekstechnieken is allesbehalve klassikaal en eenzijdig. Het is een praktijkgerichte, interactieve en blended leerervaring. Wat houdt dat in? E-learning (3 uur) : Voorafgaand aan de bijeenkomsten volg je de e-learning Interviewvaardigheden. Deze module doorloop je zelfstandig en in je eigen tempo. Zo leg je een solide basis aan theorie, die je vervolgens in de bijeenkomsten direct toepast. Drie interactieve bijeenkomsten (3 uur per bijeenkomst) : Deze sessies kun je fysiek of online bijwonen. Hier oefen je met de praktijk, ontvang je feedback en deel je ervaringen met andere deelnemers. Rollenspellen en praktijkopdrachten : Je oefent met realistische cases uit je eigen werkpraktijk. Persoonlijk actieplan : Je formuleert je eigen ontwikkeldoelen en krijgt daarop feedback van de docent en je mededeelnemers. Mixed classroom : Je kunt zelf kiezen of je fysiek of digitaal deelneemt. De training is volledig hybride ingericht. Het resultaat? Een training die aansluit op jouw praktijk, jouw uitdagingen en jouw leerstijl. En die jou helpt om niet alleen beter te luisteren, maar ook beter gehoord te worden. Waarom gesprekstechnieken een must zijn voor auditors en risicoprofessionals In een tijd waarin risicobeheersing, cultuur en gedrag steeds vaker centraal staan in audits, kun je als professional niet meer leunen op inhoud alleen. Het is niet genoeg om een dossier te analyseren; je moet ook het verhaal achter het proces boven tafel krijgen. Je moet gedrag bespreekbaar kunnen maken, de vinger kunnen leggen op impliciete overtuigingen en met weerstand kunnen omgaan zonder dat het gesprek stokt. Sterke gesprekstechnieken zijn daarbij geen luxe, maar noodzaak. Ze vormen de brug tussen observatie en actie, tussen analyse en interventie. En juist daarom verdienen ze een vaste plek in de gereedschapskist van iedere audit- en riskprofessional. Meer informatie over de training gesprekstechnieken klik hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Voorkom papieren risicoanalyses en versterk besluitvorming. Ontdek effectieve methodes en valkuilen voor een succesvolle risicoanalyse. Alle blogs Risicomanagement Risicoanalyse Iedere organisatie krijgt ermee te maken: risico’s. Van kleine operationele incidenten tot strategische dreigingen die de continuïteit onder druk zetten. En dus voeren we risicoanalyses uit. Tenminste… dat denken we. In de praktijk blijkt dat veel analyses blijven steken in papieren exercities, onduidelijke terminologie of generieke risico-overzichten waar niemand echt iets mee doet. Hoe komt dat, wat is een risicoanalyse eigenlijk, en hoe doe je het dan wel goed? In deze blog duiken we hier dieper in; van definitie en valkuilen tot methodes en praktijktoepassingen. Ook lees je hoe Ferocia organisaties ondersteunt om risicoanalyse te verbinden aan resultaat, gedrag en besluitvorming. Wat is een risicoanalyse? Een risicoanalyse is het proces waarbij een organisatie systematisch identificeert, beoordeelt en prioriteert welke risico’s haar doelstellingen kunnen bedreigen. Het doel is om inzicht te krijgen in de risico’s die er echt toe doen, zodat er passende (beheers)maatregelen getroffen kunnen worden. Een goede risicoanalyse geeft antwoord op vragen als: Wat kan er misgaan? Hoe groot is de kans dat het gebeurt? Wat is het mogelijke effect op onze doelstellingen? Hoe effectief zijn onze bestaande beheersmaatregelen? Wat accepteren we, en wat niet? Het is een hulpmiddel, geen doel op zich. Een goede risicoanalyse ondersteunt besluitvorming, versterkt sturing en vergroot het risicobewustzijn binnen de organisatie. De valkuilen van een risicoanalyse In de praktijk zien we dat risicoanalyses vaak tekortschieten. Dit zijn de meest voorkomende valkuilen: 1. Te abstract Risico’s worden soms zo breed geformuleerd (“marktverandering”, “cyberdreiging”), dat niemand weet wat er echt bedoeld wordt. 2. Verwarring over begrippen Begrippen als risico, kans, impact, restrisico en beheersmaatregel worden door elkaar gebruikt of verschillend geïnterpreteerd. Dit leidt tot verwarring en inconsistente analyses. 3. Geen aansluiting bij besluitvorming Veel risicoanalyses eindigen in rapporten die in een la verdwijnen. De uitkomsten worden niet gekoppeld aan sturing, budgettering of organisatiedoelstellingen. 4. Te lineair en instrumenteel De analyse wordt als een check-the-box-activiteit uitgevoerd, lijstje invullen en vinkjes zetten. Gedrag, cultuur en interactie blijven buiten beeld, terwijl daar vaak juist de echte risico’s zitten. 5. Geen betrokkenheid van de business De risicoanalyse wordt vaak uitgevoerd door riskmanagers of compliance officers, zonder betrokkenheid van afdelingen of het lijnmanagement. Dan blijft het een papieren werkelijkheid. Methoden voor risicoanalyse Er zijn verschillende methoden om risico’s te analyseren. Welke geschikt is, hangt af van het doel, de context en het type risico’s. 1. Klassieke risico-inventarisatie (Kans x Impact) De meest gebruikte methode: je benoemt risico’s, schat de kans en impact in (bijvoorbeeld op een schaal van 1–5) en maakt een risicomatrix. Simpel en snel, maar gevoelig voor subjectiviteit. 2. Risk Control Self Assessment (RCSA) Bij een RCSA beoordelen medewerkers zelf, vaak in workshops, welke risico’s er zijn in hun proces en hoe goed de beheersmaatregelen werken. Deze methode vergroot eigenaarschap, bewustwording en betrokkenheid. 3. Bowtie-analyse Een visuele methode waarbij je de relatie tussen oorzaken, risico’s en gevolgen in kaart brengt, inclusief beheersmaatregelen. Helpt om de logica achter risico’s te begrijpen. 4. SWIFT (Structured What-If Technique) Een semi-gestructureerde brainstormmethode waarbij je scenario’s doorloopt: “Wat als X gebeurt?” Handig voor complexe processen of projecten. 5. FTA (Fault Tree Analysis) en ETA (Event Tree Analysis) Meer technische methodes voor het analyseren van oorzaken en gevolgen in ketens of technische systemen. Vaak gebruikt in industrie of IT. 6. Monte Carlo-simulatie Een kwantitatieve aanpak waarbij risico’s en variabelen worden doorgerekend op basis van duizenden scenario’s. Wordt vooral toegepast bij financiële of projectrisico’s. Hoe voer je een effectieve risicoanalyse uit? Een effectieve risicoanalyse herken je aan deze vijf kenmerken: 1. Vooraf helder doel en scope bepalen Gaat het om een proces, project of organisatiebreed? Hoe duidelijker de scope, hoe gerichter de analyse. 2. Taal en definities afstemmen Zorg dat iedereen die betrokken is, dezelfde begrippen en definities hanteert. Dit voorkomt miscommunicatie. Maak een risicotaxonomie en train mensen in het gebruik ervan. 3. Betrek de business actief Risico’s worden pas tastbaar als ze besproken worden met de mensen die het werk doen. Werk met workshops, interviews of RCSA-sessies. Laat mensen zelf risico’s benoemen en beoordelen. 4. Gebruik meerdere perspectieven Combineer data, proceskennis, interne audits, externe ontwikkelingen en menselijk gedrag. Analyseer niet alleen de ‘harde’ risico’s, maar ook cultuur, houding en motivatie. 5. Koppel risico’s aan doelen, sturing en gedrag Een risicoanalyse is pas effectief als de uitkomsten leiden tot actie. Koppel risico’s aan KPI’s, strategie en jaarplannen. Zorg voor eigenaarschap en opvolging. Hoe Ferocia helpt bij risicoanalyse Bij Ferocia geloven we niet in papieren exercities of standaardlijstjes. Wij helpen organisaties om risicoanalyses wél effectief te maken – als levend instrument dat richting geeft. Dat doen we op vijf manieren: 1. Training en opleiding Via opleidingen zoals Integraal Risicomanagement of masterclasses als RCSA in de praktijk helpen we professionals om risicoanalyse te begrijpen, toe te passen én te verankeren in hun organisatie. 2. Workshops en begeleiding op maat We begeleiden teams bij het uitvoeren van RCSA’s, bowtie-analyses of risicoworkshops. Daarbij zorgen we voor structuur, duidelijke definities en ruimte voor reflectie en gedrag. 3. Advies en co-creatie Samen met jouw organisatie ontwikkelen we een aanpak die werkt: afgestemd op jullie processen, cultuur en strategie. Geen blauwdruk, maar maatwerk. 4. Tooling en templates We bieden praktische formats en methodieken om risicoanalyses eenvoudig en consistent uit te voeren. Daarmee creëren we overzicht én diepgang. 5. Verbinding met control, audit en strategie Wij zorgen dat risicoanalyse niet op zichzelf staat, maar verbonden is met de interne controlcyclus, de auditagenda en strategisch risicomanagement. Tot slot: een risicoanalyse is geen doel, maar een middel Een risicoanalyse is pas waardevol als het gedrag verandert, besluitvorming verbetert en risico’s echt beheerst worden. Dat vraagt om meer dan een matrixje invullen. Het vraagt om een gedeeld begrip van risico’s, om scherpe analyses, en om een cultuur waarin mensen verantwoordelijkheid nemen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe gedrag en cultuur cruciaal zijn voor effectieve audit, risk en compliance. Versterk je beheersing met inzichten van Ferocia. Gedrag en cultuur Gedrag en cultuur binnen audit, control, risk en compliance Mensenwerk als randvoorwaarde voor beheersing Inleiding Achter ieder risico staat een keuze. Achter iedere keuze staat een mens. En achter dat mens staat een context die onzichtbaar richting geeft: waarden, normen en overtuigingen. Je kunt de beste processen ontwerpen, de strengste regels opstellen en de meest geavanceerde tooling inzetten; als gedrag niet meebeweegt, blijft beheersing een papieren belofte. Wie ooit een “perfect” ingerichte control zag falen, weet dat het zelden aan het proces ligt. Het ligt aan wat mensen doen wanneer de druk stijgt, de tijd krap is of belangen botsen. Daarom schuiven gedrag en cultuur steeds nadrukkelijker het vakgebied binnen. Niet als bijzaak, maar als spil waaromheen audit, control, risk en compliance draaien. Want effectieve beheersing begint niet bij formulieren of dashboards, maar bij de vraag: wat maakt dat mensen vandaag, in deze organisatie, dit besluit nemen? En wat zegt dat over hoe wij samen werken, spreken en zwijgen? Ferocia helpt organisaties deze vraag systematisch te beantwoorden. We brengen de ongeschreven regels in beeld, vertalen ze naar concreet handelen en maken zo het verschil tussen schijnzekerheid en echte grip. Deze productpagina laat zien wat wij onder gedrag en cultuur verstaan, waarom het essentieel is in jouw vak, en hoe wij ernaar kijken en meewerken. Wat is gedrag en cultuur? Gedrag is zichtbaar: het zijn de handelingen, woorden, reflexen en routines van individuen en teams. Cultuur is het onzichtbare script waaruit dat gedrag voortkomt. Het is de set impliciete instructies die we van elkaar leren: wat hier normaal is, wat hier loont, wat hier een risico is en wat hier taboe. Je vindt cultuur niet in het handboek, maar in de pauzeruimte, in de stand-up, in de besluitvorming bij het bestuur of tijdens de vrijdagmiddagborrel. Ze blijkt uit wie het woord neemt, hoe er wordt tegengesproken, welke fouten we bespreken en welke we liever maskeren. In organisaties waar cultuur scherp is geformuleerd maar niet wordt geleefd, ontstaat een kloof tussen slogan en realiteit. Denk aan kernwaarden die spreken over integriteit, terwijl succes vooral wordt beloond op snelheid en omzet. Gedrag volgt dan niet de poster, maar het beloningssysteem, de informele leiders en de signalen die het management afgeeft in kleine momenten. Die signalen zijn vaak subtiel: een grapje over “regelneven”, een besluit dat de uitzondering boven het beleid verkiest, een stilte waar een kritische vraag had kunnen vallen. Elk signaal weegt mee. Samen vormen ze het kompas waarop medewerkers navigeren, zeker als er geen tijd is om het beleid erbij te pakken. Gedrag en cultuur zijn dus niet ‘soft’. Ze zijn keihard aanwezig in resultaten. Ze bepalen of mensen een afwijking melden, hoe teams omgaan met een datalek, of deadlines realistisch worden geschat en of compliance wordt gezien als gezamenlijke verantwoordelijkheid of als hindernis opgelegd door de 2 de lijn. Ze leggen bloot waar procedures niet landen, waarom controls niet werken of worden omzeild en waardoor risico’s blijven terugkomen. Wie gedrag en cultuur meeneemt in zijn gereedschapskist, ziet mechanismen die je met alleen proces denken eenvoudig mist. Waarom is het belangrijk binnen audit, control, risk en compliance? In audit, control, risk en compliance is de lat helder: zekerheid bieden, risico’s beheersen, naleving borgen, besluitvorming verbeteren en ondersteuning bieden aan een lerende organisatie. Alle vijf lijken proces- en data gedreven. In werkelijkheid zijn het gedragsvakken. Voor auditors bepaalt de cultuur of bevindingen daadwerkelijk leiden tot verandering. De effectiviteit van een audit wordt dan bepaald door factoren als psychologische veiligheid, eigenaarschap bij proceseigenaren en de mate waarin het auditteam het gesprek over intenties, drijfveren en dilemma’s kan voeren. Waar rapporten blijven hangen in “vinkjes”, blijft impact uit. Waar audit aandacht heeft voor cultuurindicatoren, wie spreekt tegen, hoe worden fouten behandeld, welke doelen wegen zwaarder als het spannend wordt, ontstaat beweging. Voor controllers is gedrag de verklaring achter de cijfers. Forecasts die structureel te optimistisch zijn, kostenbeheersing die telkens vlak voor kwartaalafsluiting ontspoort, KPI’s die wel gehaald worden maar de verkeerde prikkels geven: het zijn symptomen van menselijk gedrag binnen een set van prikkels. Een controller die alleen signaleert, mist de kans om te beïnvloeden. Wie snapt welke verhalen, patronen en informele spelregels sturing ondermijnen, kan budgetdiscipline en de kwaliteit van het besluit daadwerkelijk verhogen. In risicomanagement lijkt de cyclus rationeel: identificeren, beoordelen, beheersmaatregelen en monitoren. Toch is elk onderdeel kwetsbaar voor menselijk mechaniek. Teams benoemen liever bekende risico’s dan ongemakkelijke. Kans en impact worden soms aangepast aan het politieke klimaat. Negatieve signalen verdwijnen in de “later”-map. Zo ontstaat een risicoprofiel dat netjes oogt, maar weinig zegt. Het verschil wordt gemaakt door de vraag of de organisatie de moed en de taal heeft om spanning te bespreken, tegengeluid te organiseren en misstanden vroeg te adresseren. Compliance tenslotte is onmogelijk zonder gedeelde normen. Beleid, trainingen en controles zijn nodig, maar ze zijn nooit genoeg. Naleving wordt duurzaam als medewerkers het gevoel hebben dat “zo doen wij het hier” ook echt betekent: we doen het goed, ook als niemand kijkt. Dat vraagt voorbeeldgedrag van leiders, een laagdrempelige meldcultuur en consequente keuzes wanneer commerciële doelen botsen met regels of waarden. Zonder cultuur verwordt compliance tot een bureaucratische last; met cultuur wordt het de manier waarop je vertrouwenswaardig zakendoet. Kortom: gedrag en cultuur zijn de dragende laag onder alle beheersingsmaatregelen. Ze bepalen of beheersmaatregelen werken zoals bedoeld, of risico’s eerlijk op tafel komen, of audits symptomen of oorzaken raken en of compliance geloofwaardig is. Wie deze laag mist, loopt structureel achter de feiten aan. Wie haar meeneemt, bouwt veerkracht en ontwikkelt zichzelf tot strategisch adviseur van het bestuur en management. Visie van Ferocia over gedrag en cultuur binnen deze vakgebieden Ferocia ziet gedrag en cultuur niet als een apart spoor naast audit, control, risk en compliance, maar als integraal onderdeel van professioneel handelen. Onze visie is pragmatisch: we maken het onzichtbare bespreekbaar en we verbinden dat direct met prestaties, risico’s en besluitvorming. Geen losse cultuurtrajecten die naast het werk bestaan, maar een manier van kijken en werken die je inbedt in je bestaande werkzaamheden. Veel weerstand ontstaat doordat gedrag “zacht” klinkt en daardoor snel blijft hangen in intenties. Wij maken het concreet. We vertalen cultuur naar gedrag: wie spreekt wanneer, welk type afwijkingen komen voor, hoe worden ze opgelost, welke patroonzin hoor je het vaakst in een team? We kijken naar beslismomenten waar druk hoog en tijd laag is. Juist daar blijkt de echte ‘norm’. Door patronen te benoemen zonder te moraliseren, ontstaat ruimte voor eigenaarschap. Teams herkennen zichzelf en zien tegelijk waar het schuurt met doelen of risico-acceptatie. Vervolgens brengen we gedragsdata gericht in kaart. Niet met lijvige onderzoeken die de vaart eruit halen, maar met slimme, lichte instrumenten die passen bij de operatie. Denk aan kwalitatieve groepsinterviews die doorvragen op dilemma’s, observaties tijdens stand-ups of overleggen en analyse van incidenten met oog voor onderliggende patronen en waarden. Waar mogelijk koppelen we harde en zachte indicaties aan elkaar, zodat de verhalen kloppen met de cijfers en de cijfers met de verhalen. Daarna volgt het ontwerp van gerichte interventies. We vermijden generieke campagnes en kiezen voor interventies die exact aansluiten op het geïdentificeerde patroon. Soms is dat het aanscherpen van een beloningsmechanisme dat verkeerd gedrag onbedoeld beloont. Soms is het, het aanpassen van beheersmaatregelen. Soms is het vereenvoudigen van een procedure die in de praktijk te complex is. Soms is het trainen van teams in het voeren van het “moeilijke gesprek” over risico’s, waarbij je het onbespreekbare wel bespreekbaar maakt. Altijd is het doel dat gewenst gedrag logisch, haalbaar en aantrekkelijk wordt binnen de dagelijkse realiteit en aansluiten bij de kwaliteit van de risicobeheersing. Cruciaal in onze aanpak is samenwerking met de eerste lijn én het management. Gedrag verandert niet als het “van audit” of “van compliance” is. Het verandert wanneer medewerkers, proceseigenaren, teamleads en bestuurders het belang inzien, het voorbeeld geven en consequent zijn in keuzes. Wij begeleiden dat gesprek, helpen doelen expliciet te maken en verankeren afspraken in bestaande governance en riscocontrol frameworks. Daarmee wordt cultuur geen “project”, maar onderdeel van hoe je stuurt, beheerst en evalueert. Ook voor professionals zelf betekent dit groei. Auditors leren om tijdens hun werk gevoelig te zijn voor cultuurindicatoren en die eenduidig vast te leggen. Controllers ontwikkelen gespreksvaardigheden om achter cijfers het verhaal te vinden en te beïnvloeden zonder het eigenaarschap over te nemen. Riskmanagers krijgen praktische methodes aangereikt om bias te herkennen en tegengeluid te organiseren, juist in strategische sessies. Compliance officers leren hoe je van regels naar normen gaat, en van normen naar gedrag dat standhoudt onder druk. We trainen deze vaardigheden hands-on, met cases uit de praktijk en met directe toepassing in lopende werkzaamheden, zodat de leercurve samenvalt met resultaat. Verankering en meetbaarheid zijn laatste voorwaarden. Wij stellen vooraf vast welk gedrag je wilt zien, waarom dat relevant is voor risico’s, beheersmaatregelen en prestaties. Door die indicatoren periodiek te spiegelen aan verhalen uit de praktijk, voorkom je dat cultuur terugzakt tot een score en houd je de dialoog levend. Het resultaat is een organisatie die niet alleen weet wat de regels zijn, maar ook voelt waarom ze er zijn en hoe je ernaar handelt als het spannend is. Audits worden scherper en overtuigender, omdat ze dieperliggende oorzaken raken. Controls doen wat ze beloven, omdat ze het echte gebruik volgen. Risicodiscussies worden realistischer, omdat tegengeluid vanzelfsprekend is. Compliance wordt lichter, omdat naleving past bij wie je als organisatie wilt zijn. En professionals ervaren meer betekenis, omdat hun werk zichtbaar bijdraagt aan betere keuzes. Ferocia staat naast jouw team om dit mogelijk te maken. Met opleidingen die gedragskunde en vaktechniek verbinden. Met coaching on the job, zodat het blijft plakken. Met advies dat je bestaande frameworks verrijkt in plaats van vervangt. En met een benadering die respect heeft voor de context waarin je werkt: de druk van deadlines, de verleiding van korte termijn, de realiteit van schaarse capaciteit. We maken het niet groter dan nodig, maar wel precies groot genoeg om duurzame verandering te realiseren. Wil je de stap zetten van formele beheersing naar gedragen beheersing? Wil je audits die daadwerkelijk iets veranderen, controls die echt werken, risicodialogen die ertoe doen en compliance die geloofwaardig is? Dan is het tijd om gedrag en cultuur niet langer als bijzaak te zien, maar als vertrekpunt. Ferocia helpt je dat vertrekpunt te kiezen en vol te houden, concreet, menselijk en resultaatgericht. Hoe Ferocia kan jou helpen met gedrag en cultuur? Bij Ferocia ondersteunen wij organisaties op meerdere manieren bij vraagstukken op het gebied van gedrag en cultuur. Heb je tijdelijk behoefte aan capaciteit, specifieke expertise of inhoudelijk advies op het gebied van gedrag en cultuur? Ferocia heeft ervaren consultants die jou hierbij ondersteunen. Zo hebben we verschillende concrete en praktische producten. Hoe Ferocia gedrag en cultuur binnen jouw organisatie versterkt Wij ondersteunen organisaties op drie manieren: 1. Opleiding en training We leiden internal auditors, controlllers en risicomanagers op tot echte professionals die zelfstandig onderzoek kunnen uitvoeren naar gedrag en cultuur. Denk aan onze postbacheloropleiding Gedrag- en cultuuronderzoek voor financials, maar ook een eendaagse training . Dit bieden zowel open als in-house aan. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een behavioral audit? Wij leveren ervaren auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe internal auditor, controller of riskmanager die gespecialiseerd is in gedrag en cultuur om je team te versterken? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Waarom lopen scherp bedachte verbetertrajecten toch vast? Behavioural auditing legt ongeschreven spelregels, cultuur en gedrag bloot én maakt ze bespreekbaar. Ontdek hoe Ferocia je helpt om risicobeheersing echt te laten werken. Behavioural auditing Knop Behavioral Auditing 2.0 legt de link tussen beheerscultuur en controlframework bloot met AI-ondersteunde gedragsanalyse. Sneller, dieper en concreter inzicht in hoe gedrag risicobeheersing écht beïnvloedt – volledig in lijn met de IIA-standaarden. Behavioral Auditing 2.0 Knop Blijven dezelfde bevindingen terugkeren in je audits? Met een diepgaande oorzaakanalyse op gedrag en cultuur maakt Ferocia de onderstroom zichtbaar en vertaal je 'soft controls' naar concrete acties. Ontdek hoe je naar echte en duurzame veranderingen gaat. Oorzaakanalyse op gedrag en cultuur Knop Waarom gaat het mis terwijl alle regels kloppen? In deze blog ontdek je de onzichtbare kracht van soft controls: cultuur, gedrag en psychologische veiligheid. Lees hoe je als auditor of controller die zachte kant onderzoekt én inzet om de kwaliteit van risicobeheersing en het lerend vermogen echt te versterken. Soft Controls Knop

< Terug Vacature Risk monitoring specialist Bovemij Per direct 36 tot 40 uur per week Nijmegen / Hybride € 51.652,- tot € 87.948,- per jaar SOLLICITEER Over Bovemij Bovemij verbindt de 10.000 Nederlandse mobiliteitsbedrijven met de 10 miljoen consumenten. Zo helpt Bovemij de consument aan betrouwbare mobiliteit en de branche succesvol ondernemen. Bovemij biedt oplossingen die branche en consument dichter bij elkaar brengen. Van verzekeringen tot financieringen, van data tot online portalen. Zo versterken we de band van rijdend Nederland, en helpen we Nederland vooruit. Over de functie Als junior/medior risk officer binnen Bovemij maak je onderdeel uit van het team Risk binnen de afdeling Risk & Compliance en speel je een centrale rol in het versterken van de interne beheersing. Je houdt scherp toezicht op de werking van interne beheersmaatregelen binnen de belangrijkste processen en draagt actief bij aan het aantoonbaar ‘in control’ zijn van de organisatie. Je werkt nauw samen met proceseigenaren in de eerste lijn en helpt hen bij het verbeteren van beheersmaatregelen. Je toetst of deze beheersmaatregelen voldoende effectief zijn en overtuigt waar nodig de business van het belang van structurele risicobeheersing. Een van de focuspunten binnen deze functie ligt op risico’s rondom IT en informatiebeveiliging, maar je krijgt ook te maken met bredere procesrisico’s. Je denkt mee over procesinrichting, helpt bij het opstellen van testplannen voor de eerste lijn en ontwikkelt monitoringsplannen voor de tweede lijn. Het team AO/IC, waar je deel van uitmaakt, is eigenaar van de GRC-tool (ServiceNow). Jij speelt hierin een sleutelrol: je beheert het systeem, denkt mee over doorontwikkeling en zorgt ervoor dat de tooling op een slimme en toegankelijke manier wordt ingezet binnen de organisatie. Binnen de afdeling is veel ruimte voor professionele en persoonlijke groei. Samen met je team neem je regelmatig deel aan intervisiesessies onder begeleiding van een externe teamcoach, waarbij kennisdeling en reflectie centraal staan. Wat ga je doen? Je adviseert de eerste lijn bij het opstellen van testplannen en het aantonen van de werking van beheersmaatregelen. Je stelt monitoringsplannen op om de effectiviteit van beheersmaatregelen te toetsen. Je toetst en beoordeelt de kwaliteit van beheersmaatregelen binnen IT- en operationele processen en rapporteert hierover. Je bent medeverantwoordelijk voor de doorontwikkeling en het beheer van de GRC-tool (ServiceNow). Je fungeert als inhoudelijk sparringpartner bij vraagstukken op het gebied van risicobeheersing, procesinrichting en compliance. Je draagt bij aan het vergroten van risicobewustzijn en het structureel verbeteren van de controlomgeving. Je werkt samen met collega’s binnen Risk, Compliance én de business. Collega Chantal over de functie “Het mooie aan deze functie is dat je niet alleen toetst, maar ook echt meedenkt. Over risico’s, over processen, over tooling – én over hoe je anderen daarin meeneemt. Je bent inhoudelijk betrokken, maar ook adviserend en verbindend.” Ze vervolgt: “Je gaat de hele organisatie door en leert daardoor veel collega’s kennen. Je kunt daadwerkelijk impact maken, omdat er nog veel te bouwen is. Je wordt gestimuleerd om ideeën aan te dragen, en daar wordt ook wat mee gedaan.” En over het team zegt ze: “We werken fijn samen, met vragen kunnen we altijd bij elkaar terecht. We zijn een divers team en iedereen brengt kennis en ervaring mee, waardoor we veel van elkaar kunnen leren.” Wie zoeken we? Minimaal één tot twee jaar relevante werkervaring. Kennis van IT-control (of de bereidheid om dit snel eigen te maken). Je bent communicatief sterk en schakelt gemakkelijk met verschillende lagen binnen de organisatie. Je weet anderen mee te nemen in het belang van risicobeheersing. Je stelt je proactief en resultaatgericht op: je werkt zelfstandig, maar bent tegelijkertijd een echte teamspeler die verbinding zoekt en eigenaarschap toont. Wat bieden we? Een salaris van maximaal € 87.948,- per jaar (inclusief vakantiegeld en 13de maand, exclusief winstdeling). En uitstekende secundaire arbeidsvoorwaarden. Denk daarbij aan een thuiswerkvergoeding, internetvergoeding, een vergoeding voor thuiswerkfaciliteiten, 200 uur vakantie op basis van 40 uur en de mogelijkheid om jaarlijks uren bij te kopen, een extra vrije dag op je verjaardag, reiskostenvergoeding, een fietsplan, een collectieve zorgverzekering, korting op de aanvullende ziektekostenverzekering, korting op particuliere verzekeringen, ruime leer- en ontwikkelingsmogelijkheden en een beschikbare premieregeling bij Zwitserleven met gedeeltelijke inleg voor de werkgever. Maar bovenal: een prettige werkomgeving met leuke collega’s! Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures ! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!