Zoekresultaten

Business Continuity Management helpt organisaties veerkrachtig te blijven bij crises. Ontdek hoe BCM risico’s vertaalt naar actie en weerbaarheid vergroot. Business Continuity Management Stel je voor: je organisatie ligt een dag stil. Niet alleen de mailserver, maar een cruciaal systeem. Orders worden niet verwerkt. Klanten kunnen niet geholpen worden. Een fabriek draait niet. Of een cyberaanval raakt juist die processen waar je als organisatie je license to operate aan ontleent. De eerste uren red je het op improvisatie en adrenaline. Maar dan komt de echte vraag: hebben we hier grip op, of zijn we overgeleverd aan de omstandigheden? Dat is precies waar Business Continuity Management (BCM) over gaat. Wat is Business Continuity Management? BCM wordt vaak verward met IT-disaster recovery of een mapje “calamiteitenplannen” in SharePoint. Nuttig, maar te beperkt. In essentie is BCM het gestructureerd vermogen van een organisatie om kritieke processen te blijven uitvoeren bij verstoringen. Het gaat om continuïteit van dienstverlening, niet om het voorkomen van elk incident. Dat laatste lukt toch niet. De kernvragen zijn: welke processen moeten doorlopen, welke maximale impact accepteren we, welke structuur en welk raamwerk zetten we neer en wie neemt welke besluiten onder druk? BCM verbindt strategie, processen, mensen, technologie en leveranciers in één verhaal. Dat maakt het bij uitstek een onderwerp voor riskmanagers, controllers en internal auditors: jullie zitten precies op het snijvlak van doelen, risico’s en beheersing. Waarom BCM nu belangrijker is dan ooit Organisaties opereren allang niet meer in een stabiele, voorspelbare omgeving. De afgelopen jaren hebben laten zien hoe kwetsbaar ketens zijn. Cyberaanvallen, energietekorten, personeelsschaarste, pandemieën, geopolitieke spanningen, falende leveranciers: het zijn geen theoretische scenario’s, maar dingen die “gewoon gebeuren”. Tegelijk neemt de afhankelijkheid van digitale hulpmiddelen exponentieel toe. Een verstoring is zelden nog geïsoleerd; vaak raakt het meerdere ketenpartners tegelijk. Daarbij komen aangescherpte verwachtingen van toezichthouders en wetgevers, zoals DORA in de financiële sector of NIS2 voor vitale en belangrijke sectoren. BCM schuift daarmee van “nice to have” naar kernonderdeel van goed bestuur. Bestuurders zien dat ook. Continuïteit, reputatie en vertrouwen van klanten zijn strategische thema’s. Maar tussen die bestuurlijke ambitie en de praktijk op de werkvloer zit vaak een gat. Precies daar kan goed BCM het verschil maken. BCM, risicomanagement en incidentmanagement: hoe hangt het samen? Een veel gestelde vraag: hebben we naast risicomanagement nu óók BCM nodig? Het antwoord is ja, maar niet als los traject. Risicomanagement richt zich primair op het identificeren en behandelen van risico’s voordat ze zich voordoen. Je probeert de kans te verlagen en de impact te beperken. BCM gaat uit van de veronderstelling dat verstoringen óók daadwerkelijk optreden. Niet als “zwarte zwaan”, maar als realistische gebeurtenis. De vraag verschuift van “hoe voorkomen we dit volledig?” naar “hoe zorgen we dat we door kunnen?”. Incidentmanagement heeft vervolgens de focus op de eerste reactie: detecteren, escaleren, oplossen. BCM kijkt verder: hoe vangen we de impact op, hoe herstellen we, hoe houden we de organisatie bestuurbaar, hoe communiceren we en hoe leren we na afloop? Je kunt het zien als drie lagen:– risicomanagement om slimmer te worden vóór een incident,– incidentmanagement om effectief te reageren tijdens een incident,– BCM om de continuïteit van de organisatie te borgen rondom het incident. Als internal auditor of riskmanager is het dus niet de vraag óf je met BCM te maken krijgt, maar vooral hoe goed die drie lagen op elkaar aansluiten. De kern van BCM: van BIA tot herstel in de praktijk Hoewel ieder BCM-traject een eigen kleur krijgt, zie je in volwassen organisaties steeds een aantal vaste bouwstenen terug. Niet als theoretisch model, maar als logisch groeipad. Het startpunt is bijna altijd een Business Impact Analyse (BIA). Daarin breng je in kaart welke processen echt kritisch zijn, welke producten en diensten daarvan afhangen, wat de impact is van uitval en binnen hoeveel tijd je weer op een minimaal niveau moet functioneren. Het mooie van een goede BIA is dat hij het gesprek dwingt over prioriteiten. Niet alles is “hoog, rood, kritisch”. Vanuit die impactanalyse werk je naar continuïteitsstrategieën. Wat doe je als een locatie uitvalt? Als een kernapplicatie niet beschikbaar is? Als een cruciale leverancier faalt? Ga je uit van alternatieve locaties, redundante systemen, handmatige noodprocedures, afspraken met andere partijen? Hier raakt BCM direct de wereld van architectuur, sourcing, IT-inrichting en contractmanagement. Vervolgens worden deze keuzes vertaald naar concrete business continuity-plannen. Geen dikke bundels die niemand leest, maar praktische, rolgerichte instructies: wie belt wie, welke beslissingen worden waar genomen, welke processen schalen we eerst op, welke klanten moeten we actief informeren, hoe documenteren we wat er gebeurt? Tot slot komt een cruciaal onderdeel dat in veel organisaties wordt onderschat: oefenen en leren. Een plan dat nooit getest is, is geen plan. Oefeningen, simulaties, onverwachte uitvalsessies: ze maken zichtbaar wat er in de praktijk wel en niet werkt. En ze leggen vaak bloot dat het echte knelpunt niet in de techniek zit, maar in coördinatie, besluitvorming en communicatie. Mensen, gedrag en soft controls in BCM BCM klinkt al snel technisch: fallback-locaties, RTO’s, RPO’s, redundante lijnen. Maar als je kijkt naar incidenten en crises in de praktijk, zie je dat succes of mislukking vaak wordt bepaald door gedrag. Wordt een storing tijdig gemeld of schuift iemand het voor zich uit? Durven medewerkers een incident te escaleren als ze bang zijn dat het “gedoe” oplevert? Neemt het management onder druk besluiten of vervalt men in afwachten en micro-management? Worden verantwoordelijkheden tijdens een crisis duidelijk opgepakt, of is iedereen tegelijk “bezig”? Dat zijn geen hard-controlvragen, maar soft-controlvragen. Ze gaan over leiderschap, cultuur, voorbeeldgedrag, open communicatie en psychologische veiligheid. In opleidingen zoals operational auditing en integraal risicomanagement zie je die thema’s steeds nadrukkelijker terugkomen, juist omdat auditors merken dat een systeem op papier klopt maar in de praktijk niet werkt als gedrag niet meedoet. Voor BCM geldt hetzelfde. Een continuïteitsplan zonder geoefend crisisteam is als een ongelezen handleiding. Een prachtige BIA zonder draagvlak in de business is als een spreadsheet in de la. Daarom is het zo belangrijk dat BCM niet alleen “in de staf” plaatsvindt, maar dat lijnmanagement vanaf het begin betrokken is. De rol van internal audit en risicomanagement in BCM BCM is typisch zo’n thema waar de drie lijnen (three lines model) elkaar nodig hebben. De eerste lijn, de business en de operationele teams kennen de processen, klanten en systemen. Zij weten welke activiteiten echt niet stil kunnen vallen en welke workaround in de praktijk nog nét werkt. Zij zijn eigenaar van continuïteitsplannen. De tweede lijn, risk, compliance en security, helpt om kaders te zetten, methodiek te kiezen, scenario’s te beoordelen en de kwaliteit van plannen te bewaken. Zij zorgen dat BCM niet eenmalig is, maar ingebed wordt in de reguliere planning- & controlcyclus en risicodialogen. De derde lijn, internal audit heeft een unieke rol. De auditor kijkt onafhankelijk en objectief naar de opzet, het bestaan en de werking van BCM. Klopt de logica van het raamwerk? Sluit de BIA aan op de strategische doelen? Zijn de plannen getest en geactualiseerd? Leren we van oefeningen en echte incidenten? En misschien wel de meest interessante vraag: past de continuïteitsaanpak bij de risk appetite van bestuur en directie, of is men óf veel te krampachtig, óf juist te laconiek? Daarnaast kan internal audit een katalysator zijn voor een bredere discussie. Een audit op BCM raakt per definitie meerdere disciplines: IT, HR, facility, inkoop, business, communicatie. Het is een uitgelezen kans om silo’s te doorbreken en de organisatie als geheel naar een hoger niveau van weerbaarheid te helpen. BCM in een wereld van ketens en uitbesteding Waar BCM vroeger nog vooral binnen de eigen muren werd bekeken, is dat vandaag niet meer houdbaar. Vrijwel iedere organisatie is onderdeel van meerdere ketens. Denk aan cloud leveranciers, SaaS-applicaties, logistieke partners, shared service centers, uitbestede klantcontactcentra. Dat betekent dat continuïteitsrisico’s ook buiten je eigen organisatie liggen. Een verstoring bij een leverancier kan jouw dienstverlening direct raken. BCM moet daarom hand in hand gaan met Third Party Risk Management en contractuele afspraken. Wat staat er in de SLA over beschikbaarheid en herstel? Is er een exit-strategie als een leverancier langere tijd uitvalt? Zijn er afspraken over gedeelde oefeningen en testscenario’s? Voor auditors en riskmanagers is dit een interessante maar ook complexe dimensie. Je bent niet alleen meer bezig met interne controls, maar ook met de vraag in hoeverre je zicht en grip hebt op de weerbaarheid van partners. Zeker in sectoren waar DORA of NIS2 gelden, zie je dat toezichthouders nadrukkelijk vragen naar deze ketenblik. BCM kan daar een sterke kapstok voor zijn. Hoe begin je zonder te verdrinken in modellen? BCM kan intimiderend overkomen. Frameworks, standaarden, maturity-modellen, je ziet al snel door de bomen het bos niet meer. Toch hoeft een eerste stap niet ingewikkeld te zijn. Begin met het gesprek: welke processen of diensten zijn voor ons écht cruciaal? Wat gebeurt er als die een dag, drie dagen, een week uitvallen? Welke klanten raken we dan? Welke wettelijke verplichtingen spelen een rol? Dit soort gesprekken levert vaak meer inzicht en urgentie op dan een dikke rapportage. Van daaruit kun je gericht starten met één of twee processen. Liever klein en concreet, dan meteen een organisatiebrede exercitie die vastloopt in complexiteit. Kies een kernproces, doe een beknopte BIA, stel een praktisch continuïteitsplan op, oefen dat plan met het team en leer ervan. De ervaring die je daar opdoet, gebruik je om de rest van de organisatie stapsgewijs mee te nemen. Internal auditors en riskmanagers hebben hierbij een mooie rol als gids. Niet door BCM “over te nemen”, maar door scherpe vragen te stellen, methodische ondersteuning te bieden en te helpen prioriteren. Zo wordt BCM geen project van één afdeling, maar een organisatiebrede beweging. Business Continuity Management als investering in lerend vermogen Als je BCM terugbrengt tot “een plan voor als het misgaat”, doe je jezelf tekort. In de kern is het een manier om als organisatie te leren omgaan met onzekerheid. Je gaat bewuster kijken naar afhankelijkheden. Je ontdekt welke processen stiekem kritischer zijn dan gedacht. Je ziet hoe beslissingen in het hier en nu, bijvoorbeeld over uitbesteding, cloudmigratie of personeelsbezetting gevolgen hebben voor je toekomstige weerbaarheid. En je leert door te oefenen: hoe reageren mensen onder druk, welke informatie mis je, waar ontstaan misverstanden, waar gaat het juist heel goed? Dat maakt BCM niet alleen een audit, risk- of compliance-verhaal, maar een ontwikkelvraagstuk. Een kans om het lerend vermogen van management en medewerkers te vergroten, en daarmee de kans dat je als organisatie ook in turbulente tijden je doelen blijft realiseren. Tot slot Business Continuity Management is een noodzakelijk antwoord op een wereld waarin verstoringen de norm zijn geworden. Het helpt organisaties om verder te kijken dan incidenten en brandjes, en structureel na te denken over de vraag: hoe blijven wij waarde leveren als het tegenzit? Voor internal auditors, riskmanagers, controllers en compliance-professionals is BCM daarmee een krachtig thema om het gesprek over risico’s, governance en gedrag te verdiepen. Niet met nog een checklist, maar met concrete scenario’s, eerlijke gesprekken en praktische plannen die getest en geleefd worden. Wil je BCM in jouw organisatie naar een hoger niveau brengen, of zoek je ondersteuning bij het uitvoeren van een audit, het opzetten van een raamwerk of het trainen van teams? Dan is dit precies het terrein waar Ferocia je kan helpen, via opleidingen en trainingen, interim en consultancy en werving en selectie. Zodat je niet alleen een “BCM-plan” hebt, maar een organisatie die daadwerkelijk veerkrachtig is als het erop aankomt. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs

Ontdek hoe integraal risicomanagement jouw organisatie wendbaar en toekomstbestendig maakt. Verhoog veerkracht met een integrale en strategische aanpak. Risicomanagement Cyberdreigingen, klimaatverandering, verstoorde supply chains, strenge wet- en regelgeving, maatschappelijke druk op duurzaamheid en transparantie... De wereld verandert snel. En met deze veranderingen groeit de complexiteit en impact van risico’s voor organisaties in elke sector. De vraag is niet of risico’s zich voordoen, maar wanneer en hoe . Juist daarom is risicomanagement relevanter dan ooit. Niet als een jaarlijkse exercitie op papier, maar als een continu strategisch proces. Als stuurinstrument, leerinstrument en als versneller om je organisatiedoelen te realiseren. Maar wat is risicomanagement nu eigenlijk? En hoe zorg je ervoor dat het meer oplevert dan alleen rapporten en registraties? Wat is risicomanagement? In de kern draait risicomanagement om het gestructureerd omgaan met onzekerheden die de realisatie van je organisatiedoelen bedreigen. Het is het proces waarin je: risico’s identificeert; inschat wat hun impact en waarschijnlijkheid is; bepaalt welke (beheers)maatregelen je neemt om risico’s te mitigeren; en monitort of die (beheers)maatregelen ook daadwerkelijk effect hebben. Maar dat is de theorie. In de praktijk gaat risicomanagement veel verder dan een inventarisatie of risicomatrix. Hoe je effectief een risicoanalyse uitvoert, lees in deze blog. Het raakt aan alle niveaus van de organisatie: van strategische besluitvorming tot operationele uitvoering. Het omvat strategische risico’s (zoals reputatie of marktveranderingen), operationele risico’s (procesfouten, datalekken), compliance risico’s (nieuwe wetgeving, toezichthouders) en IT- en cyberrisico’s. Kortom: risicomanagement is geen abstract model maar een concreet hulpmiddel om grip te houden op alles wat jouw doelen in de weg kan staan. En dat begint met de juiste mindset. Waarom is risicomanagement belangrijk? Een organisatie zonder effectief risicomanagement laat zich leiden door incidenten. Brandjes blussen in plaats van koers houden. Iedere plotselinge verandering; een hack, nieuwe wetgeving, uitstroom van medewerkers zorgt voor paniek, vertraging of verlies van vertrouwen. Met goed risicomanagement: Ben je wendbaarder : je anticipeert op risico’s in plaats van ze alleen te beheersen. Neem je betere beslissingen : risico-informatie wordt meegenomen in besluitvorming. Verhoog je het lerend vermogen : risico’s worden gedeeld, besproken en aangepakt. Bouw je vertrouwen op : bij stakeholders, toezichthouders en medewerkers. Versterk je prestaties : doordat je risico’s koppelt aan doelen en KPI’s. Zeker in een tijd waarin organisaties sneller moeten reageren op veranderingen, is het van belang dat risicomanagement een natuurlijk onderdeel wordt van het dagelijks werk. Risicomanagement als strategisch instrument Veel organisaties hebben risicomanagement wel “op papier” geregeld: er zijn beleidsstukken, risicomatrices en formats. Maar in de praktijk blijven ze steken in afvinken, rapporteren of controleren. Bij Ferocia geloven we dat risicomanagement pas waarde toevoegt als het strategisch wordt ingezet. Niet als verplicht nummer of externe druk vanuit wet- en regelgeving, maar als integraal onderdeel van je bedrijfsvoering. Een manier om sneller, slimmer en slagvaardiger je doelen te realiseren. Strategisch risicomanagement betekent: Een proactieve houding : risico’s worden besproken voordat ze zich voordoen. Integraal denken : risico’s zijn geen apart onderwerp, maar onderdeel van processen als strategie, finance, HR, IT en operations. Daarbij zijn er keuzes te maken voor een risicomanagement model. Lees hierover mee in de blog over risicomanagement modellen . Duidelijke governance : eigenaarschap is belegd bij lijnmanagement, zij zijn en voelen zich verantwoordelijk. Continuïteit : risicomanagement is geen project maar een kort cyclisch proces. De visie van Ferocia op risicomanagement Voor ons is risicomanagement geen doel op zich, maar een hulpmiddel voor het management om de strategie te realiseren. En precies daar wringt het in veel organisaties: risicomanagement leeft vooral bij de controlfunctie of de tweede lijn terwijl het management, degene die de doelen moet halen, niet of onvoldoende is aangehaakt. Wij zien dat als een groot risico op zich! Te vaak is er geen verbinding tussen risicomanagement en het primaire proces. Hierdoor worden bevindingen worden niet herkend, maatregelen blijven liggen, risico’s worden niet geadresseerd. Het gevolg? Control voelt zich niet gehoord en gaat nog vaker en strenger controleren. Het management haakt af omdat het te bureaucratisch aanvoelt. Zo ontstaat een vicieuze cirkel waarin risicomanagement een papieren tijger wordt. Onze visie is helder: "effectief risicomanagement begint bij het betrekken van het management." Het management is primair verantwoordelijk voor het realiseren van de organisatiedoelen. Daar moet risicomanagement dus ondersteunend aan zijn. Geen dikke rapporten, maar inzichten die leiden tot betere keuzes, tijdige interventies en meer grip op de toekomst. Daarom pleiten wij voor een risicomanagementfunctie die: Geïntegreerd is in de 1 ste lijn; Effectief is in het signaleren van echte risico’s; Efficiënt werkt met slimme tooling en processen; En bovenal: begrijpelijk en werkbaar is voor iedereen in de organisatie. De opbouw van een effectief risicomanagement systeem Zoals gezegd is goed risicomanagement is geen checklist, maar een samenhangend systeem dat uw organisatie wendbaarder, betrouwbaarder en toekomstbestendiger maakt. Bij Ferocia kijken we daarom integraal naar vier thema’s die samen de ruggengraat vormen: 1. risicogovernance & strategie 2. risico-identificatie & beoordeling 3. risicobehandeling & beheersmaatregelen en monitoring 4. rapportage & assurance. Hieronder introduceren we elk thema en de belangrijkste onderliggende bouwstenen. Het doel: een begrijpelijk raamwerk waarmee u vandaag kunt starten en morgen kunt sturen. 1. Risico governance & strategie Een effectief risicomanagementsysteem begint bij duidelijke governance: wie beslist, wie voert uit en wie houdt toezicht? Wij hanteren het Three Lines Model. De eerste lijn is eigenaar van en beheerst de risico’s in de operatie. De tweede lijn (risk & compliance) ontwerpt kaders, adviseert en challenged. De derde lijn (interne audit) geeft onafhankelijke assurance over de opzet en werking en het samenspel tussen de eerste en tweede lijn. In sommige organisaties werkt ook een ‘lijn 1,5’. Bijvoorbeeld risicomanagers die adviseren en ondersteunen vanuit de business en zo dicht op de operatie zitten. Vanuit hun expertise werken zij samen met en voor de eerste lijn. Ultieme besluitvorming vindt plaats aan de top: de directie is eindverantwoordelijk en zet de toon. Een Risk Management Committee of een gecombineerd Risk & Audit Comité borgt de periodieke bespreking en bijstelling van risico’s, risk appetite en tolerances. Op de agenda van deze gremia staan in elk geval de top-risico’s, de mate van beheersing en de effectiviteit van (key) controls, incidenten en de daarbij horende lessons learned. Risk appetite en risk tolerances: wat betekent ‘meer of minder risico’ nu echt? Twee begrippen worden vaak door elkaar gehaald. Risk appetite of risicobereidheid: het niveau en type risico dat de organisatie willens en wetens wil nemen om strategische doelen te bereiken. Het is richtinggevend en kwalitatief, bijvoorbeeld: ‘wij tolereren geen schendingen van privacywetgeving’. Risk tolerances zijn concrete bandbreedtes per doel of proces waarbinnen variatie nog acceptabel is. Denk aan drempelwaarden voor IT-beschikbaarheid, verliezen of projectoverschrijdingen. Overschrijding van een tolerance is geen paniek, wél een helder signaal om bij te sturen. Risk appetite schetst de horizon; tolerances zijn de bakens langs de route. Koppeling met strategie en prestatiesturing Risicomanagement voedt besluitvorming pas echt als het verbonden is met doelstellingen en KPI/KRI’s. Koppel uw strategische KPI’s (zoals groei, klanttevredenheid of doorlooptijd) aan Key Risk Indicators (KRI’s) die vroegtijdig waarschuwen. Denk aan het aantal kritieke kwetsbaarheden in productie, het percentage high-risk leveranciers zonder contractuele clausules of de trend in near misses. Zo ontstaat één stuurmiddel voor prestaties én risico’s. 2. Risico-identificatie & beoordeling Zonder goed inzicht geen goede keuzes. Een risicoregister vormt de uitkomst: een eenduidig format met risicotaxonomie (zoals strategisch, financieel, operationeel, compliance), beschrijvingen die de oorzaak-gebeurtenis-gevolg-keten helder maken, en eigenaarschap per risico. Dat eigenaarschap ligt in de business. Risk ondersteunt en challenged. Risico identificatie Risico-identificatie is een gestructureerd en herhaalbaar proces waarin u top-down (vanuit strategie, doelstellingen en transities) én bottom-up (via processen, projecten en ketenpartners) kijkt en risico’s identificeert. Dat kan via workshops en walk-throughs met procesbeschrijvingen, analyse van incidenten, bijna-incidenten, auditbevindingen, klachten en externe signalen (wetgeving, markt, leveranciers, dreigingsinformatie). We formuleren risico’s consequent als gebeurtenis-oorzaak-gevolg en vermijden containerbegrippen. Nieuwe of gewijzigde risico’s ontstaan vaak bij verandermomenten (nieuwe producten, leveranciers, releases, reorganisatie) en verdienen daarom aandacht. De uitkomst van identificatie is een overzicht met context en aannames die later te toetsen zijn. Daarna volgt registratie in een risicoregister met eigenaren en vervolgstappen voor beoordeling. Kwantitatief én kwalitatief beoordelen Het beoordelen van risico’s start met het inschatten van kans en impact. Kwalitatieve schalen (laag–midden–hoog) geven snelheid en vergelijkbaarheid. Kwantitatieve methoden voegen diepgang toe, bijvoorbeeld scenario’s met bandbreedtes of Value-at-Risk benaderingen. Heatmaps zijn behulpzaam om te prioriteren, maar kijk verder: sommige risico’s hebben een lage kans maar catastrofale impact of sterke onderlinge samenhang. Scenario-analyse en stresstesten Scenario’s maken risico’s tastbaar. Begin met plausibele, narratieve scenario’s met duidelijke aannames: wat gebeurt er als een kritieke leverancier uitvalt, of als een ransomware-aanval een kernsysteem platlegt? Kwantificeer waar het kan: extra kosten, omzetverlies, impact op servicelevels en hersteltermijnen. Stresstesten verkennen vervolgens de grenzen en kunnen enkelvoudige of gecombineerde schokken omvatten: wat als twee incidenten samen optreden, of als herstel (of detectie) dubbel zo lang duurt? Belangrijk is dat scenario’s en testen leiden tot besluiten: extra maatregelen, meer redundantie of buffers, of het bijstellen van doelen. 3. Risicobehandeling & beheersmaatregelen Zodra risico’s helder zijn, volgt de keuze voor de risk response. Grofweg zijn er vier opties: vermijden (stoppen of niet beginnen), verminderen (maatregelen nemen), delen/overdragen (verzekering), en accepteren (bewust binnen appetite en tolerance). Het is zelden óf-óf: een combinatie bereikt vaak meer. Risicobehandeling is belangrijk bij het ontwerp van controls of beheersmaatregelen. Preventieve maatregelen voorkomen fouten of misbruik, bijvoorbeeld scheiding van taken of toegangsbeheer. Detectieve maatregelen zoals monitoring, reconciliaties, log-analyse signaleren snel en betrouwbaar. Correctieve maatregelen corrigeren fouten of omissies. Bepaal samen met de business welke controls key zijn: die met de grootste invloed op het restrisico of op de wettelijke naleving. Non-key-controls kunnen lichter worden ingericht of helemaal niet, mits het geheel robuust blijft. 4. Monitoring, rapportage & assurance Wat niet gemonitord wordt, daar wordt niet op gestuurd. Monitoring gaat verder dan terugkijken: het is ook vooruitkijkend en dus een early-warning-systeem. Kies KRI’s die ertoe doen, met duidelijke definities, goede brondata en doordachte drempelwaarden. Werk daarbij met signalering wat goed is (groen), aandacht nodig heeft (geel) of waar ingrijpactie’s noodzakelijk zijn (rood). Leg vooraf vast wie wat doet bij eventuele overschrijding. Voorkom decoratie: stuur op wat er echt toe doet. Rapportage die bestuurders écht helpt Belangrijk is om niet alleen te meten maar ook om te informeren, bijvoorbeeld aan het bestuur. Bestuurders hebben veelal weinig tijd. Een één-pagina dashboard dwingt tot scherpte: top-risico’s, trend per KRI, status van maatregelen, incidenten en lessons learned. De bijlagen bevatten details: de eerste pagina vertelt het verhaal. Maak duidelijk wat vragen we van het bestuur? Prioteren, informeren, investeren, escaleren of bijsturen. Zo bouwt u het geheel: samenhang in plaats van losse lijsten Samen vormen deze bouwstenen een solide raamwerk voor risicomanagement: helder in governance, scherp in prioritering, proportioneel in beheersing en lerend in de cyclus. Het helpt uw organisatie vooruit door risico’s te signaleren, afgewogen keuzes te maken en middelen te richten op wat er écht toe doet. Met een risk appetite en concrete tolerances wordt de balans tussen risico en rendement transparant en bestuurbaar. Het resultaat: betrouwbare processen en dienstverlening, aantoonbare naleving en meer veerkracht bij verstoringen, zonder onnodige bureaucratie. Hoe Ferocia organisaties ondersteunt met risicomanagement? Ferocia ondersteunt organisaties op een manier die past bij hun ambitie, volwassenheidsniveau en context. Geen standaardmethodes, maar maatwerk. Praktisch en strategisch. Altijd gericht op verankering in de praktijk. Onze dienstverlening bestaat uit vier pijlers: 1. Opleidingen en trainingen We leiden professionals op in risicomanagement, control en compliance. Praktijkgericht, actueel en afgestemd op de uitdagingen van vandaag. Denk aan opleidingen als Cursus Risicomanagement of risicomanagement methodiek . 2. Interim ondersteuning Tijdelijk capaciteit nodig? Onze ervaren risk-professionals helpen bij implementatie, monitoring of verandermanagement. Ze zijn snel inzetbaar en gewend om te schakelen tussen strategie en uitvoering. 3. Consultancy en implementatie Van het opzetten van een risicomanagement framework tot het begeleiden van RCSA’s of het inrichten van de drie lijnen: onze consultants helpen je om risicomanagement praktisch en strategisch neer te zetten. 4. Werving en selectie We helpen je bij het vinden van de juiste mensen op het gebied van risk, control en audit. Mensen die niet alleen de kennis hebben, maar ook de vaardigheden om risico’s bespreekbaar te maken, draagvlak te creëren en resultaten te boeken. Onze kracht? We combineren inhoudelijke expertise met een scherp oog voor cultuur, gedrag en verandervraagstukken. Want uiteindelijk draait het niet alleen om het proces maar om de mensen. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Welk risicomanagementmodel past bij jouw organisatie? In deze blog ontdek je de verschillen tussen COSO ERM, ISO 31000, het Three Lines Model, de BIO en RISMAN én hoe je ze slim toepast. Praktisch, helder en direct inzetbaar. Klik door en kies het model dat jouw organisatie écht vooruit helpt. Risicomanagement model Knop Waarom werkt risicomanagement zo vaak wél op papier, maar niet in de praktijk? In deze blog ontdek je de meest voorkomende oorzaken; gebrek aan eigenaarschap, slechte timing en geen ondersteunende cultuur. Leer hoe je risicomanagement wél laat leven in besluitvorming en gedrag. Klik door en maak jouw organisatie écht weerbaar. Waarom risicomanagement vaak niet werkt Knop Veel risicoanalyses blijven hangen in lijstjes en matrixen waar niemand iets mee doet. In deze blog lees je wat een écht goede risicoanalyse is, welke valkuilen je moet vermijden en hoe je risico’s verbindt met gedrag, besluitvorming en resultaat. Maak van risicoanalyse een krachtig stuurinstrument. Risicoanalyse Knop Risk appetite en risk tolerances lijken theoretisch, maar bepalen in de praktijk of uw organisatie met vertrouwen durft te innoveren én tijdig begrenst. In deze blog leest u hoe u ze concreet maakt, van bestuurskamer tot werkvloer, met voorbeelden, valkuilen en praktische tips. Risk appetite en risk tolerance Knop Steeds meer organisaties besteden hun internal audit uit; niet uit nood, maar als bewuste strategische keuze. In deze blog lees je hoe outsourcing zorgt voor flexibele capaciteit, specialistische kennis en een frisse kwaliteitsimpuls, én wanneer het wél of juist niet past. Klik door om verder te lezen. Outsourcing auditafdeling Knop

Wat is internal auditing? Ontdek hoe internal auditing bijdraagt aan risicobeheersing, procesverbetering en strategische ondersteuning van organisaties. Internal auditing In deze blog gaan we in op het begrip internal auditing. Wat is het, hoe is het vakgebied ontstaan, waarom is het belangrijk voor organisaties en welke specialisaties zijn er binnen internal auditing? Voordat we hierop ingaan, gaan we eerst de term auditing bespreken en leggen we het verschil uit tussen extern en intern. Wat is auditing? Bij auditing denken veel mensen meteen aan het controleren van de boeken, het afvinken van lijstjes of het naleven van regels. Maar auditing is veel breder en waardevoller dan dat. Het is een vak dat steeds belangrijker wordt in een wereld vol risico’s, complexiteit en verandering. Auditing is toetsend onderzoek waarbij de werkelijk situatie wordt afgezet tegen een vooraf vastgestelde norm, wat resulteert in een oordeel. Audits worden systematisch, objectief en onafhankelijk uitgevoerd en de onderwerpen die ge-audit kunnen worden zijn eindeloos. Denk hierbij aan doelrealisatie, processen, systemen, wet- en regelgeving en gedragingen in een organisatie. Het doel is om te beoordelen of deze beheerst verlopen, voldoen aan normen of wet- en regelgeving en/of ze bijdragen aan het realiseren van organisatiedoelen. Maar auditing gaat verder dan controleren alleen. Het is ook een manier om organisaties te helpen verbeteren. De auditor is niet alleen de politieagent van de organisatie, maar zeker ook een objectieve en onafhankelijke expert die inzicht biedt, risico’s zichtbaar maakt en adviezen geeft die bijdragen aan het versterken van het lerend vermogen van de organisatie. Een goede audit is dus zowel toetsend als lerend. Het geeft duidelijkheid over wat er goed gaat, wat beter kan en waar risico’s liggen. External versus internal auditing Binnen het vakgebied auditing bestaan verschillende specialisaties die grofweg op de delen zijn in extern en intern. Afhankelijk ‘voor wie’ de audit wordt uitgevoerd bepaald in belangrijke mate in welke categorie deze valt. Bijvoorbeeld Financial auditing. Financial auditing, meestal uitgevoerd door een (externe) accountant, is de bekendste vorm van auditing en richt zich op de financiële verslaggeving. De financial auditor controleert of de jaarrekening een “getrouw beeld” geeft van de financiële situatie van een organisatie. Deze audits zijn vooral van belang voor externe stakeholders zoals aandeelhouders, toezichthouders en investeerders. Oftewel het maatschappelijke verkeer. Financial audits worden dan ook meestal door een externe auditor uitgevoerd. Hoewel dit type audit wettelijk verplicht is voor bepaalde organisaties, is de impact breder: het geeft vertrouwen in de financiële integriteit van de organisatie en stimuleert transparantie. Internal auditing is het vakgebied dat organisaties helpt grip te krijgen op risico’s, processen en IT-systemen. Internal auditors beoordelen onafhankelijk de kwaliteit van interne beheersmaatregelen en geven op basis daarvan onderbouwd advies over mogelijke verbeteringen. Ze onderzoeken of processen effectief verlopen, of risico’s adequaat worden beheerst en of wet- en regelgeving wordt nageleefd. De internal auditor is werkzaam in de organisatie en fungeert als 3de lijn binnen het three lines model. De internal auditor is veel meer dan een controleur, het is een strategische sparringpartner van bestuur en management. Vanuit een onafhankelijke positie stelt de auditor kritische vragen, benoemt blinde vlekken en helpt de organisatie beter voorbereid te zijn op interne en externe ontwikkelingen. Door structuur aan te brengen in het beheersen van risico’s en het verbeteren van processen, draagt internal auditing bij aan betere besluitvorming, verantwoordingsinformatie en structurele verbetering van prestaties. De oorsprong van internal auditing Het vakgebied van internal auditing zoals we dat vandaag de dag kennen is het resultaat van een lange evolutie. Oorspronkelijk ging het daarbij vooral om het controleren van financiële transacties. Kloppen de boeken? Wordt er niet gefraudeerd? Zijn de kasstromen zuiver? Het was een periode waarin vertrouwen hand in hand moest gaan met controle. En waar complexiteit in bedrijfsvoering toenam, nam ook de behoefte toe aan systematische interne controle. De wortels van internal auditing liggen dan ook in de administratie. In de negentiende eeuw, toen organisaties groeiden en multinationals ontstonden, werd het simpelweg te risicovol om alleen op externe accountants te vertrouwen. Men besefte: we hebben mensen nodig binnen de organisatie die meekijken, meedenken en controleren. Van controle naar aanvullende zekerheid over de kwaliteit van de beheersing De eerste internal auditors waren dus vooral bezig met het verifiëren van cijfers en het opsporen van fouten of fraude. Maar naarmate organisaties complexer werden, groeide het besef dat fouten niet alleen in de boekhouding ontstaan maar in processen, cultuur, systemen en gedrag. Hier begon de verschuiving van klassieke controle naar bredere ‘ assurance’ : zekerheid bieden over de kwaliteit van de risicobeheersing in processen en systemen. De internal auditor ging niet alleen kijken of iets klopt, maar vooral ook naar de kwaliteit van de beheersing en waarom iets niet werkt, inclusief hoe de organisatie kan leren en verbeteren. Het vak kreeg daarmee een fundamenteel andere insteek: van terugkijken naar vooruitkijken. Van financieel gericht naar organisatiebreed. De oprichting van het Institute of Internal Auditors (IIA) in 1941 markeerde een kantelpunt. Daarmee ontstond een beroepsorganisatie die het vak ging professionaliseren, standaarden ontwikkelde en het belang van onafhankelijkheid en objectiviteit benadrukte. Internal auditing werd een echt vak met eigen regels, normen en waarden. Het IIA stelde internal auditing officieel op de kaart als een onafhankelijk en gespecialiseerd beroep, los van de klassieke administratief-controlefuncties en de externe accountant. Dit gebeurde door: Het ontwikkelen van internationale standaarden en een ethische code, waardoor internal auditors een duidelijke professionele identiteit kregen. Het bieden van opleiding, certificering en normstelling, wat leidde tot een uniforme kwaliteitsbasis en verdere professionalisering van het vakgebied. De stimulans tot kennisdeling, praktijkontwikkeling en netwerking onder professionals, waarmee internal auditing zijn eigen positie veroverde binnen bedrijfsvoering en governance. Het Instituut van Internal Auditors Nederland (IIA Nederland) is officieel opgericht op 19 juni 1997 waarna ook in Nederland het vakgebied stevig op de kaart is gezet. Waarom is internal auditing belangrijk? Internal auditing is belangrijk omdat het organisaties helpt om grip te houden op hun interne processen, risico’s en complianceverplichtingen in een steeds complexere wereld. Of het nu gaat om het naleven van wet- en regelgeving, het voorkomen van fraude, het verbeteren van samenwerking tussen afdelingen of het vergroten van operationele efficiëntie, internal auditing speelt hierin een belangrijke rol. In tegenstelling tot externe auditing, waarbij de nadruk ligt op het controleren van financiële rapportages , richt internal auditing zich op het verbeteren van processen en het versterken van interne beheersing. De toegevoegde waarde zit niet alleen in het signaleren van risico’s of tekortkomingen, maar juist in het proactief adviseren over verbetermaatregelen . Dit maakt internal auditors waardevolle sparringpartners voor bestuurders en managers. Internal auditing vergroot ook het vertrouwen van stakeholders. Wanneer een organisatie intern laat zien dat zij haar processen kritisch en gestructureerd beoordeelt, straalt dat betrouwbaarheid uit naar klanten, toezichthouders en investeerders. Het draagt ook bij aan transparantie en goed bestuur. Kortom: internal auditing is geen verplichting, maar een strategisch instrument om als organisatie weerbaarder, efficiënter en toekomstbestendiger te worden. In een tijd waarin risico’s snel veranderen en informatie steeds belangrijker wordt, biedt internal auditing het overzicht, de structuur en de inzichten die nodig zijn om echt in control te zijn. Twee specialisaties binnen internal auditing Binnen het vakgebied van internal auditing zijn twee specialisaties toonaangevend: operational auditing en IT-auditing . Beide richten zich op het versterken van interne beheersing, maar doen dat vanuit een ander perspectief. Operational auditing is gericht op het beoordelen van bedrijfsprocessen en de effectiviteit van beheersmaatregelen. De focus ligt op de vraag of processen efficiënt, effectief en risicobewust zijn ingericht. Een operational auditor onderzoekt niet alleen of bestaande werkwijzen aansluiten bij organisatiedoelen, maar adviseert ook over mogelijke verbeteringen. Denk aan het optimaliseren van de samenwerking tussen afdelingen, het terugdringen van fouten of verspilling, en het versterken van interne controles. Lees meer over operational auditing in deze blog. IT-auditing daarentegen zoomt in op de digitale kant van de organisatie. IT-auditors beoordelen of IT-systemen betrouwbaar, veilig en goed beheerd zijn. Daarbij onderzoeken zij onder meer of systemen beschikbaar zijn wanneer nodig, of data juist en volledig is (integriteit), en of gevoelige informatie goed wordt beschermd (vertrouwelijkheid). Ook toets je als IT-auditor of de organisatie voldoet aan relevante wet- en regelgeving, zoals de AVG of sectorspecifieke normen. Lees meer over IT-auditing in deze blog. Beide specialisaties binnen internal auditing leveren een waardevolle bijdrage aan het inzicht in risico’s en de kwaliteit van beheersing, en vormen samen een krachtige combinatie voor organisaties die in control willen zijn. Internal auditing als strategisch instrument Internal auditing is allang niet meer alleen een controlefunctie. Steeds meer organisaties benutten internal auditing als een strategisch instrument dat bijdraagt aan beter bestuur, verantwoording en besluitvorming. Waar internal auditing vroeger vooral werd gezien als een manier om fouten of tekortkomingen op te sporen, ligt de nadruk vandaag de dag op het creëren van waarde en het ondersteunen van strategische doelstellingen. Een internal auditor kijkt niet alleen naar de vraag of processen en risico’s goed zijn ingericht, maar ook of ze bijdragen aan de missie en visie van de organisatie. Vanuit een onafhankelijke positie fungeert de auditor als een kritische en constructieve sparringpartner voor het bestuur en management. Door de vinger op de zere plek te leggen én met oplossingen te komen, helpt internal auditing om strategische risico’s beter te beheersen en kansen beter te benutten. Daarbij levert internal auditing ook betrouwbare informatie op voor belangrijke stakeholders zoals de raad van bestuur, toezichthouders of externe accountants. Goed onderbouwde auditbevindingen zorgen voor meer transparantie, betere besluitvorming en tijdige bijsturing. In een tijd van snelle technologische ontwikkelingen, toenemende complexiteit en strengere regelgeving biedt internal auditing organisaties het overzicht, de structuur en het inzicht dat nodig is om proactief, weerbaar en toekomstgericht te opereren. Juist daarom kiezen steeds meer organisaties ervoor om hun internal auditfunctie te versterken en nauwer te koppelen aan strategische thema’s zoals digitale transformatie, ESG-risico’s of ketenverantwoordelijkheid. Hoe Ferocia kan jou helpen met internal auditing? Bij Ferocia begrijpen we dat internal auditing meer is dan een controlefunctie, het is een strategisch onderdeel van goed bestuur en risicobeheersing. Daarom ondersteunen wij organisaties op meerdere manieren bij het versterken van hun auditfunctie. Heb je tijdelijk behoefte aan capaciteit, specifieke expertise of inhoudelijk advies? Ferocia biedt zowel interim auditors als consultancy op maat. Of het nu gaat om tijdelijke vervanging, ondersteuning bij piekbelasting, specialistische audits (bijvoorbeeld op het gebied van IT of ESG) of strategisch advies over de inrichting van de internal auditafdeling, wij denken mee en leveren vakinhoudelijke versterking die past bij jouw organisatie. Daarnaast bieden we opleidingen en trainingen aan voor internal auditors en teams. Van volledige opleidingen tot vakinhoudelijke verdieping, zodat auditors sterker in hun rol staan en beter kunnen bijdragen aan strategische vraagstukken. Ferocia helpt ook bij de werving en selectie van internal auditors — professionals die niet alleen inhoudelijk sterk zijn, maar ook passen bij de cultuur en ambitie van jouw organisatie. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Steeds meer organisaties besteden hun internal audit uit; niet uit nood, maar als bewuste strategische keuze. In deze blog lees je hoe outsourcing zorgt voor flexibele capaciteit, specialistische kennis en een frisse kwaliteitsimpuls, én wanneer het wél of juist niet past. Klik door om verder te lezen. Outsourcing auditafdeling Knop Waarom blijven dezelfde fouten terugkomen in organisaties? In deze blog lees je hoe internal auditing kan uitgroeien van controleur tot aanjager van leren en verbeteren. Ontdek hoe je met focus op gedrag, patronen en dialoog het lerend vermogen écht versterkt. Klik door voor meer informatie. Internal auditing en het lerend vermogen Knop Operational auditing geeft organisaties grip in een complexe wereld. In deze blog lees je hoe de operational auditor uitgroeit tot katalysator voor leren en verandering met oog voor digitalisering, cultuur, agile werken én transparantie. Ontdek waarom geen toekomstbestendige organisatie zonder kan. Operational auditing en jouw organisatie Knop Hoe blijft jouw auditfunctie relevant in een snel veranderende wereld? Agile auditing draait audits om: kortcyclisch, samen met de business en gericht op échte impact in plaats van alleen een eindrapport. Ontdek in deze blog hoe jij van controleur uitgroeit tot navigator van de toekomst. Agile auditing Knop Personeelstekort, piek in audits of een spannend verandertraject? Met een interim auditor van Ferocia haal je geen ‘opvulling’ binnen, maar een ervaren professional die vanaf dag één productief is, rust brengt én je auditfunctie versterkt. Lees in de blog waarom dit een slimme, strategische keuze is. Interim auditor inhuren via Ferocia Knop Internal audit verandert snel. Auditmethodiek 2.0 laat zien hoe u met een gestructureerde, AI-ondersteunde aanpak relevantere en impactvollere audits uitvoert. Van voorbereiding tot rapportage. Ontdek hoe referentiemodellen, datamatrices en de AI-agents uw audits versnellen én de organisatie echt in beweging brengen. Auditmethodiek 2.0 Knop Wil je dat jouw auditrapport wél leidt tot actie? In deze blog ontdek je hoe je rapporten schrijft die beweging creëren: helder, krachtig, visueel en gericht op eigenaarschap in de 1e lijn. Geen papieren eindproduct, maar een interventie die echt verandering start. Klik door en maak jouw rapporten impactvoller dan ooit. Auditrapporten die wel leiden tot actie Knop IT-auditing is veel meer dan vinkjes zetten. In deze blog lees je hoe de IT-auditor zorgt voor veilige systemen, naleving van AVG/NIS2/DORA en grip op digitale risico’s. Ontdek de belangrijkste inzichten voor een sterke IT-audit én hoe Ferocia je hierbij kan helpen. IT-auditing Knop Sta jij als internal auditfunctie voor een (aanstaande) kwaliteitstoetsing? Ferocia helpt je van readiness assessment tot en met onafhankelijke externe toetsing volgens de GIAS. Ontdek hoe je van ‘spannend examen’ naar kans op groei en professionalisering gaat. Kwaliteitstoetsing auditafdelingen Knop

Leer in één dag effectieve projectaudits uitvoeren met Scrum en PRINCE2. Versterk je rol als auditor en vergroot je impact. Schrijf je direct in voor de training projectauditing! Training Projectauditing Duur Studiekosten PE-punten 2 dagdelen € 650,- 8 Inschrijven Training Projectauditing Projecten, programma’s en portfolio’s zijn niet meer weg te denken uit moderne organisaties en nemen in aantal en complexiteit snel toe. Toch voelen veel auditors zich nog onzeker over hun rol binnen projectaudits. Hoe beoordeel je of een project goed wordt aangestuurd? Welke standaarden gebruik je als referentiekader en hoe blijf je kritisch zonder het proces te vertragen? Wat leer je tijdens de training projectauditing? In de training projectauditing leer je in één intensieve lesdag hoe je gestructureerd en effectief audits uitvoert op projecten, programma’s en portfolio’s. Je verdiept je in methodieken zoals PRINCE2 en Scrum, oefent met het opstellen van normenkaders en ontdekt hoe je de rol van auditor optimaal invult binnen een projectmatige context. Na afloop ben je in staat om projecten, programma’s en portfolio’s helder te definiëren en van elkaar te onderscheiden. Je weet de uitgangspunten van PRINCE2 en Scrum toe te passen in je audits en kunt verschillende rollen van de auditor binnen projectcontexten herkennen en invullen. Bovendien stel je zelfstandig normenkaders op voor audits op projecten, programma’s en portfolio’s. De opgedane kennis pas je direct toe in praktijkcases, waarbij je waardevolle feedback ontvangt van de docent en je mededeelnemers. Waarom kiezen voor de training projectauditing? Concreet en toepasbaar: je leert projectauditing koppelen aan bekende projectmethodieken en past dit direct toe in je werk. Praktijkgericht leren: je werkt met realistische cases, ontwikkelt een auditontwerp en oefent in teamverband met tools en technieken. Korte doorlooptijd, groot effect: in slechts één dag vergroot je je impact als auditor. Flexibel te volgen: de training vindt plaats via mixed classroom, fysiek of online, wat jou het beste uitkomt. Gecertificeerd resultaat: je ontvangt 8 PE-punten en een certificaat van deelname. Waarom kiezen voor Ferocia? Ferocia is gespecialiseerd in opleidingen op het snijvlak van audit, control, risk en compliance. Wat ons onderscheidt, is de combinatie van topdocenten die verbonden zijn aan toonaangevende hogescholen, universiteiten en beroepsverenigingen én hun brede praktijkervaring meenemen. Onze opleidingen zijn altijd praktijkgericht: we vertalen actuele kennis direct naar jouw werkomgeving. Bovendien zijn we gedreven door resultaat, zodat je na afloop zelfstandig en met zelfvertrouwen aan de slag kunt in je eigen organisatie. Ferocia staat voor inspiratie, co-creatie en prestatie, en dat merk je in alles wat we doen! Wil jij je ontwikkelen tot een projectauditor die met structuur en scherpte elk project weet te beoordelen? Schrijf je dan nu in voor de training Projectauditing en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar en van jou wordt verwacht een oordeel te kunnen vormen over projecten, programma’s en/of portfolio’s binnen jouw organisatie. Je wenst in korte tijd de beginselen van project, programma en portfolio auditing te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 10 uur. Dit is inclusief lesdagen en praktijkopdrachten. In deze training werken we met cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Deelnemers kunnen de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 8 PE-punten. De studiekosten bedragen € 650,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Anne Verslag Auditor "Deze training gaat mij zeker helpen bij het toetsen van belangrijke projecten binnen mijn organisatie!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 5 minuten om te lezen Internal auditing In deze blog gaan we in op het begrip internal auditing. Wat is het, hoe is het vakgebied ontstaan, waarom is het belangrijk voor... 7 aug 7 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Over ons Ferocia helpt organisaties met het optimaliseren van hun sturing en beheersing. Onze visie Wij geloven dat organisaties meer voor hun klanten en de maatschappij kunnen betekenen, wanneer zij beschikken over de juiste stuur- en verantwoordingsinformatie en zij hun processen optimaal weten te beheersen in de vaak complexe omgeving waarin zij acteren. Onze missie Wij helpen organisaties met het optimaliseren van hun sturing en beheersing. Dit doen wij door onze kennis op het gebied van audit, control, risk management en compliance te delen, organisaties op deze gebieden te adviseren en ze te helpen bij het vinden van passende interim-professionals. Onze strategie Ferocia levert verschillende diensten op het gebied van audit, control, risk management en compliance. Zo bieden we hier open en incompany opleidingen en trainingen over aan. Dit doen wij zowel zelfstandig als samen met gerenommeerde partners, zoals Avans+ en het Instituut van Internal Auditors Nederland (IIA Nederland). Daarnaast ontzorgen onze ervaren consultants organisaties bij vraagstukken op het gebied van sturing en beheersing, van coaching van raden van bestuur tot implementatie van beheersmaatregelen in complexe omgevingen. Ook bemiddelen we in interim-professionals, waarbij we ons onderscheiden met onder meer ons uitgebreide netwerk en scherpe tarieven. Dit alles doen we vanuit het principe ‘inspiratie, co-creatie, prestatie’. Onze mensen De gezichten achter Ferocia zijn allen expert in hun vak die hun sporen in de praktijk hebben verdiend. Samen hebben ze veel kennis over en ervaring in niet alleen de verschillende vakgebieden, maar ook in een breed scala aan sectoren. Hierdoor vormen ze samen een sterk team!

Blijf ‘in control’ bij uitbesteding met een TPM-verklaring. Ontdek welke standaard past bij jouw organisatie en vergroot het vertrouwen van stakeholders. Third Party Mededelingen Steeds meer organisaties besteden processen of systemen uit aan externe partijen. Van IT-hosting tot klantdata, van financiële verwerking tot ESG-rapportages. Uitbesteden is aantrekkelijk, het is vaak efficiënt, sneller en van een kwalitatief hoog niveau. Maar wie denkt dat daarmee ook de verantwoordelijkheid verdwijnt, komt bedrogen uit. De realiteit is simpel: als uitbestedende organisatie blijf jij eindverantwoordelijk. Klanten, toezichthouders en andere stakeholders verwachten dat jij kunt aantonen dat jouw processen veilig, beschikbaar en beheerst verlopen, ook als ze (gedeeltelijk) in handen zijn van een derde partij. En precies daar komt de Third Party Mededeling (TPM) om de hoek kijken. Wat is een Third Party Mededeling? Een TPM-verklaring is een assurance-rapport dat inzicht geeft in de kwaliteit en betrouwbaarheid van uitbestede processen of systemen. Het rapport wordt opgesteld op basis van een erkende norm en door een onafhankelijke auditor gecontroleerd. Daarmee biedt het de zekerheid die stakeholders verlangen: jouw organisatie heeft grip op uitbesteding. Of je nu werkt voor een cloudprovider, softwarebedrijf, detacheerder, administratiekantoor of gegevensverwerker, een TPM helpt je aantoonbaar ‘in control’ te zijn. Waarom kiezen organisaties voor een TPM-verklaring? De directe aanleiding voor een TPM is vaak een vraag van een klant of toezichthouder: “Kun je aantonen dat je onze data veilig beheert?” of “Hoe borg je continuïteit als processen zijn uitbesteed?” Maar steeds meer organisaties zijn de vragen voor. Ze zien in dat een TPM-verklaring meer is dan een vinkje voor compliance: Het versterkt je betrouwbaarheid richting klanten en partners. Het voorkomt discussie en tijdverlies bij aanbestedingen of due diligence. Het dwingt intern om processen goed te documenteren en te verbeteren. En niet onbelangrijk: het voorkomt reputatieschade bij incidenten. Kortom: een TPM is geen doel op zich, maar een strategisch middel om risico’s te beheersen, vertrouwen te versterken en commerciële kansen te vergroten. Welke standaard past bij jouw organisatie? De wereld van TPM kent meerdere internationale standaarden. Welke voor jouw situatie geschikt is, hangt af van het type dienstverlening, de sector en de verwachtingen van jouw stakeholders. Hieronder zetten we de meest voorkomende standaarden op een rij. ISAE 3000 Deze standaard is breed inzetbaar voor niet-financiële processen zoals informatiebeveiliging, privacy, ESG-rapportages of HR-dienstverlening. Het is een principes-gebaseerde standaard, wat betekent dat de inhoud flexibel is in te vullen op basis van de context. Toepassing : organisaties die procesverantwoordelijkheid dragen voor vertrouwelijke gegevens, zoals SaaS-aanbieders of hostingpartijen. ISAE 3402 (SOC 1) ISAE 3402 is specifiek gericht op processen die van invloed zijn op de interne beheersing rondom financiële verslaggeving. Deze standaard is zeer geschikt voor bijvoorbeeld administratiekantoor, uitbestedingspartijen of shared service centers die processen uitvoeren met impact op de jaarrekening van hun klant. Toepassing : organisaties die loonadministratie, boekhouding of financiële verwerking voor derden uitvoeren. Meer lezen over ISAE 3402? Klik hier voor een verdiepende blog. SOC 2 en SOC 3 Beide rapporten zijn gebaseerd op het Trust Services Criteria-raamwerk van AICPA. SOC 2 is bedoeld voor professioneel gebruik en richt zich op vijf domeinen: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. SOC 3 is een publieksversie van SOC 2, vooral bedoeld voor marketingdoeleinden. Toepassing : technologiebedrijven, datacenters, SaaS-leveranciers. ISO 27001 ISO 27001 is een internationale norm voor informatiebeveiliging. Het is geen assurance-rapport maar een certificering. ISO 27001 toont aan dat jouw organisatie een informatiebeveiligingsmanagementsysteem (ISMS) heeft ingericht volgens internationale normen. Toepassing : organisaties die vooral een formele, gecertificeerde aanpak willen tonen. Meer lezen over de verschillende TPM-verklaringen? Klik hier voor een verdiepende blog. Type 1 of type 2: wat is het verschil? TPM-rapporten kunnen in twee vormen worden opgeleverd: type 1 of type 2. · Een type 1-rapportage geeft een momentopname: zijn de beheersmaatregelen ingericht zoals beschreven? · Een type 2-rapportage gaat verder: het toont over een periode (meestal 6 tot 12 maanden) aan dat deze maatregelen ook effectief hebben gewerkt. Wil je vertrouwen opbouwen richting klanten of toezichthouders? Dan biedt een type 2-rapport meer zekerheid. Daarom adviseren wij organisaties om een type 1-rapport te zien als opstap naar een type 2-rapport, met voldoende tijd (minimaal 6 maanden) tussen beide. Onze aanpak: praktisch en gefaseerd Een TPM-traject klinkt complex, maar dat hoeft het niet te zijn. Ferocia begeleidt organisaties stap voor stap naar een succesvolle TPM-verklaring. Onze aanpak is helder, pragmatisch en altijd afgestemd op jouw situatie. Stap 1: Quick scan We starten met een verkennende analyse: welk normenkader past het best bij jouw dienstverlening en wat is de scope van de TPM? We kijken naar processen, systemen, risico’s en klantverwachtingen. Deze stap geeft snel helderheid over de route en de impact. Stap 2: Normenkader opstellen Samen stellen we een passend normenkader op en indien van toepassing combineren we normenkaders, zodat we geen dubbel werk hoeven uit te voeren. Hierin staan de beheersmaatregelen die nodig zijn om aan de gekozen standaard te voldoen. Denk aan toegangsbeheer, logging, continuïteitsplanning, dataclassificatie of change management. We helpen je om deze maatregelen praktisch en beheersbaar te implementeren. Stap 3: Testen van maatregelen Na implementatie voeren we testwerkzaamheden uit. We controleren of de maatregelen werken zoals beoogd. Dit helpt om kinderziektes te ontdekken voordat de externe auditor meekijkt. Stap 4: Rapportage Op basis van de testresultaten stellen we een conceptrapportage op die voldoet aan de eisen van de gekozen standaard. Deze rapportage vormt de basis voor het formele auditrapport. Stap 5: Selectie en begeleiding externe auditor Tot slot helpen we je bij de selectie van een geschikte, onafhankelijke externe auditor. Wij zorgen voor een soepele overdracht en begeleiden het auditproces, zodat jij met vertrouwen het traject afrondt. Waarom kiezen organisaties voor Ferocia? TPM is geen papieren exercitie. Het gaat om vertrouwen, om aantoonbaar grip op uitbestede processen. En precies dat is waar Ferocia in uitblinkt. Met tientallen succesvolle TPM-trajecten op onze naam, kennen we de praktijk. We snappen hoe processen echt werken. We combineren technische kennis met organisatiesensitiviteit. En we weten hoe je maatregelen werkbaar maakt. Onze klanten waarderen vooral onze: Praktische aanpak : geen dikke rapporten, wel concrete oplossingen. Persoonlijke begeleiding : we zijn betrokken, kritisch en altijd bereikbaar. Ervaring en expertise : we kennen de normen en de praktijk. Efficiënte ondersteuning : we ondersteunen alleen waar nodig. Datgene wat je als organisatie zelf kan, hoef je niet uit te besteden. TPM-verklaring: niet wachten tot iemand het vraagt De eisen aan dienstverleners worden steeds hoger. Of je nu werkt voor een zorginstelling, IT-dienstverlener of overheidsorganisatie, klanten en toezichthouders willen zekerheid. Wacht dus niet tot je die vraag krijgt, maar neem zelf het initiatief. Met een Third Party Mededeling laat je zien dat je serieus werk maakt van risicobeheersing, compliance en kwaliteit. Het is een krachtig signaal, onze organisatie is in control. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs ISAE 3402 hoeft geen jaarlijks hoofdpijndossier te zijn. In deze blog ontdek je hoe je van een verplicht vinkje een strategisch instrument maakt dat processen versterkt, risico’s aanscherpt en eigenaarschap in de lijn creëert. Zo levert jouw verklaring wél waarde op. Klik door voor de volledige aanpak. ISAE 3402 verklaring Knop ISAE 3402, SOC 1 of SOC 2? In deze blog ontdek je eindelijk het verschil. Helder uitgelegd, met praktische handvatten om te bepalen welke verklaring écht past bij jouw dienstverlening. Voorkom dure fouten en maak een keuze die vertrouwen uitstraalt. Klik door voor de complete uitleg. ISAE 3402, SOC 1, SOC 2. Knop

Beheers risico’s effectief met de cursus risicomanagement van Ferocia. Ontwikkel direct toepasbare kennis en vergroot je impact in je organisatie! Cursus Risicomanagement Duur Studiekosten PE-punten 7 dagdelen € 2.195,- 30 Inschrijven Cursus Risicomanagement Veranderingen, onzekerheden en toenemende verwachtingen van toezichthouders en stakeholders maken risicomanagement belangrijker dan ooit. Maar effectief risicomanagement gaat verder dan het inrichten van een afdeling of het opstellen van een risicoanalyse. Het vraagt om een organisatiebrede aanpak waarbij risicodenken is ingebed in de cultuur en structuur. In de cursus Risicomanagement leer je in zeven dagdelen hoe je risicomanagement inricht, optimaliseert en verankert binnen jouw organisatie. Theorie en praktijk zijn naadloos met elkaar verbonden, Je ontwikkelt tijdens de cursus een risico/controlmatrix en testplan voor je eigen organisatie, ontvangt feedback van mededeelnemers en docenten en oefent met concrete vaardigheden zoals het faciliteren van risk control self assessments. Wat leer je tijdens de cursus Risicomanagement? Na het volgen van deze cursus heb je een stevig fundament in risicomanagement. Je leert het belang van risicomanagement overtuigend te brengen, belangrijke controlmodellen toe te passen en een risico/controlmatrix te ontwikkelen. Daarnaast stel je een testplan op voor zowel ‘first line’ als ‘second line monitoring’ en begeleid je risk control self assessments. Ook train je gesprekstechnieken die je helpen draagvlak te creëren voor risicobeheersing en de opvolging van acties. Tijdens de cursus komen onder meer corporate governance, de risicomanagementcyclus, risicofilosofie en -beleid, controlmodellen, monitoring en control self assessments aan bod. En dit altijd met een sterke koppeling naar jouw praktijk. Waarom kiezen voor de cursus Risicomanagement? Direct toepasbaar: je werkt tijdens de cursus aan een concreet risicoanalyse-instrument voor jouw organisatie. Multidisciplinaire opzet: leer van en met professionals uit diverse sectoren. Doordachte leermethodiek: innovatieve e-learnings, praktijkopdrachten, rollenspellen en feedbackmomenten. Flexibele deelname: lesdagen zijn fysiek en digitaal bij te wonen via onze mixed classrooms. Compleet leereffect: van theoretisch inzicht tot praktische toepassing, variërend van strategieontwikkeling tot gespreksvoering. Waarom kiezen voor Ferocia? Ferocia is expert in risicomanagement, audit en control. Onze kracht ligt in het vertalen van complexe theorie naar praktische toepassingen die direct waarde toevoegen binnen jouw organisatie. Onze docenten zijn verbonden aan toonaangevende hogescholen en universiteiten en brengen hun praktijkervaring mee in de opleiding. We werken volgens het principe van inspiratie, co-creatie en prestatie, zodat je leert in een omgeving waar kennisdeling, samenwerking en persoonlijke groei centraal staan. Na afloop beschik je niet alleen over waardevolle inzichten, maar ook over concrete instrumenten en vaardigheden om daadwerkelijk impact te maken op risicobeheersing. Wil jij je ontwikkelen tot een risicomanager die echt impact maakt op de beheersing van risico’s binnen jouw organisatie? Schrijf je dan nu in voor de cursus Risicomanagement en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker, proceseigenaar, (operational, IT- of financial) auditor of accountant, en je wilt een stevige bijdrage leveren aan het optimaliseren van risicomanagement binnen je organisatie. De tijdsinvestering bedraagt ongeveer 40 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze cursus werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de cursus ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze cursus via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de cursus ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 30 PE-punten. De studiekosten bedragen € 2.195,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Bram Schade Risk officer "De cursus Risicomanagement is een echte aanrader voor iedereen die het vak van risicomanagement echt wil begrijpen!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 5 minuten om te lezen Opleiding risicomanagement Iedere organisatie, groot of klein heeft ermee te maken: risico’s. Of het nu gaat om cyberdreigingen, veranderende wetgeving,... 26 aug 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Leertrajecten Audit Cursus Operational auditing Duur Studiekosten PE-punten 7 dagdelen € 2.195,- 30 Word een expert in operational auditing in slechts acht dagdelen! Bekijk Post-bacheloropleiding IT-auditing Duur Studiekosten PE-punten 8 maanden € 7.450,- 110 Geef je carrière een boost met de postbacheloropleiding IT-auditing, die wij samen met Hogeschool Habeo+ verzorgen. Bekijk Post-bacheloropleiding Operational auditing Duur Studiekosten PE-punten 8 maanden € 7.450,- 110 Geef je carrière een boost met de postbacheloropleiding Operational auditing, die wij samen met Hogeschool Habeo+ verzorgen. Bekijk Training Auditmethodiek Duur Studiekosten PE-punten 4 dagdelen € 1.395,- 18 Leer in vier dagdelen zelfstandig een auditontwerp op te stellen! Bekijk Training Gesprekstechnieken Duur Studiekosten PE-punten 3 dagdelen € 1.095,- 12 Leer effectieve gesprekstechnieken in drie dagdelen en til je auditgesprekken naar een hoger niveau! Bekijk Training Projectauditing Duur Studiekosten PE-punten 2 dagdelen € 650,- 8 Leer in twee dagdelen hoe je effectieve project- en programma-audits uitvoert! Bekijk Training Soft controls Duur Studiekosten PE-punten 2 dagdelen € 650,- 9 Grip op gedrag: leer in twee dagdelen hoe je soft controls effectief onderzoekt! Bekijk Risk Cursus Risicomanagement Duur Studiekosten PE-punten 7 dagdelen € 2.195,- 30 Richt jouw risicomanagement effectief in – een praktijkgerichte cursus in acht dagdelen! Bekijk Training Risicomanagement Duur Studiekosten PE-punten 4 dagdelen € 1.395,- 18 Leer in vier dagen hoe je risico’s structureel identificeert, analyseert en beheerst – en maak direct het verschil in jouw organisatie. Bekijk

Training Auditmethodiek Duur Studiekosten PE-punten 4 dagdelen € 1.395,- 18 Inschrijven Over dit leertraject Leer in vier dagdelen zelfstandig een auditontwerp op te stellen! De operational auditor geeft het bestuur en management aanvullende zekerheid over de manier waarop risico’s worden beheerst die de realisatie van organisatiedoelstellingen in gevaar brengen. Mocht deze risicobeheersing onvoldoende blijken, dan dient de operational auditor het bestuur en het management hierover te informeren en te adviseren. Hiermee levert de operational auditor een belangrijk bijdrage aan het lerend vermogen van de organisatie. "Het uitvoeren van een praktijkaudit met ons eigen team bleek ontzettend leerzaam. We kregen de kans om onze processen grondig te evalueren en te verbeteren. De methodiek was voor sommigen nieuw, wat leidde tot waardevolle inzichten en een uniforme werkwijze. Het versterkte niet alleen onze auditkennis, maar ook de samenwerking binnen het team. Deze ervaring heeft direct bijgedragen aan een hogere kwaliteit van onze dienstverlening." – Feriha Orhan, Gemeente Den Haag De laatste jaren is de aandacht voor goed functionerende risicobeheersing- en controlesystemen sterk gegroeid. Aangewakkerd door de vele schandalen wordt meer dan ooit gelet op de mate waarin organisaties ‘in control’ zijn. De rol van de operational auditor wordt dan ook steeds belangrijker. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar, en van jou wordt verwacht een oordeel te kunnen vormen of te kunnen adviseren over de kwaliteit van risicobeheersing binnen jouw organisatie. Je wenst in korte tijd de basisbeginselen van operational auditing te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 24 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze training werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 18 PE-punten. De studiekosten bedragen € 1.395,- (all-in en vrij van BTW). Wat eerdere deelnemers zeggen Feriha Orhan Senior operational auditor "We hebben heel veel geleerd van het uitvoeren van een praktijkaudit met ons eigen team hebben!" Leo Verbaan Adviseur internal audit "De training heeft ons geholpen beter voorbereid te zijn op de auditmethodiek van de toekomst!" Wilko van der Peijl Internal auditor "De sterke combinatie van theorie en praktijk zorgt ervoor dat ik auditmethodiek beter begrijp en direct kan toepassen!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 5 minuten om te lezen Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken... 10 sep 17 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Volg de opleiding IT-auditing van Ferocia en Avans+ en ontwikkel je tot een impactvolle IT-auditor die organisaties helpt grip te krijgen op digitale risico’s en IT-beheersing. Postbacheloropleiding IT-auditing Duur Studiekosten PE-punten 8 maanden € 7.450,- 110 Inschrijven Opleiding IT-auditing Wil jij jouw carrière een stevige impuls geven? Kies dan voor de postbacheloropleiding IT-auditing, die wij in samenwerking met Habeo+ aanbieden. Deze praktijkgerichte opleiding helpt je om uit te groeien tot een volwaardige gesprekspartner voor bestuur en management. Je ontwikkelt de kennis en vaardigheden die nodig zijn om IT-risico’s inzichtelijk te maken en organisaties daadwerkelijk te helpen ‘in control’ te zijn. Wat leer je tijdens de opleiding IT-auditing? In een tijd waarin organisaties steeds afhankelijker worden van digitale processen, is grip op IT-risico’s van groot belang. De opleiding IT-auditing biedt jou de kennis en vaardigheden om professionele IT-audits uit te voeren en te dviseren over IT-governance, informatiebeveiliging en compliance. Als IT-auditor onderzoek je niet alleen de technologie zelf, maar ook de processen eromheen. Je leert hoe je zekerheid biedt over drie belangrijke pijlers van IT-beheersing: • Beschikbaarheid – zijn systemen toegankelijk wanneer nodig? • Integriteit – zijn gegevens volledig, juist en betrouwbaar? • Vertrouwelijkheid – is gevoelige informatie goed beschermd? Waarom kiezen voor de opleiding IT-auditing? De behoefte aan goed opgeleide IT-auditors groeit snel. Door digitalisering, strengere wet- en regelgeving (zoals de AVG/GDPR) en de toenemende aandacht voor cybersecurity, is er meer vraag dan ooit naar professionals die IT-risico’s inzichtelijk kunnen maken en beheersmaatregelen kunnen beoordelen. De opleiding IT-auditing sluit naadloos aan op deze ontwikkelingen en bereidt je voor op een rol met impact. Waarom kiezen voor Ferocia en Habeo+? De opleiding IT-auditing van Ferocia en Habeo+ is de best gewaardeerde en meest erkende postbacheloropleiding op dit vakgebied in Nederland. De opleiding onderscheidt zich door haar sterke praktijkgerichtheid, actuele lesinhoud en de begeleiding door ervaren docenten uit het werkveld. De lesstof sluit aan bij de nieuwste ontwikkelingen in het vak, zoals het gebruik van AI in audits en de toepassing van de meest moderne auditmethodiek (auditmethodiek 2.0). Je leert niet alleen de theorie, maar past deze direct toe in realistische casussen en opdrachten. Zo ben je optimaal voorbereid op een rol waarin je daadwerkelijk impact maakt op het IT-risicobeheer en de digitale weerbaarheid van jouw organisatie. Je kunt de opleiding volgen in Apeldoorn, Breda, Den Haag of Utrecht, en de colleges zijn desgewenst ook online te volgen. Zo heb je maximale flexibiliteit in hoe en waar je studeert. Wil jij je ontwikkelen tot een waardevolle IT-auditor die écht het verschil maakt? Schrijf je dan nu in voor de postbacheloropleiding IT-auditing en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (IT-, operational of financial) auditor, accountant, controller, risk officer, compliance officer, kwaliteitsmedewerker, medewerker AO/IC of proceseigenaar. Van jou wordt verwacht dat je een onderbouwd oordeel kunt vormen over IT-gerelateerde beheersing of hierover kunt adviseren binnen jouw organisatie. Of je bent werkzaam binnen de IT en krijgt steeds vaker te maken met vraagstukken op het gebied van audit en compliance. De postbacheloropleiding IT-auditing bestaat uit 14 fysieke bijeenkomsten van drie tot zes uur. Daarnaast volg je zeven e-learnings van ongeveer drie uur per stuk, op momenten die jou het beste uitkomen. Een belangrijk onderdeel van de opleiding is het uitvoeren van een IT-audit binnen je eigen organisatie. Hierbij word je intensief begeleid door een ervaren docent. Voor deze praktijkopdracht én de bijeenkomsten samen ben je gemiddeld vier tot acht uur per week kwijt. Daarnaast vragen we ongeveer twee uur per week aan zelfstudie, zodat je het maximale uit de opleiding haalt. De postbacheloropleiding IT-auditing is sterk praktijkgericht. Tijdens de opleiding voer je een eigen IT-audit uit binnen je organisatie, waarbij je intensief wordt begeleid door een ervaren docent. Via innovatieve e-learnings doe je voorafgaand aan de bijeenkomsten de benodigde basiskennis op, op een moment en locatie die jou het beste uitkomt. Omdat je goed voorbereid aan de bijeenkomsten deelneemt, is er tijdens de contactmomenten ruimte voor verdieping. We gaan dan actief aan de slag met het toepassen van de theorie in de praktijk, onder andere aan de hand van casuïstiek en rollenspellen. Daarnaast wissel je ervaringen uit met mededeelnemers die werkzaam zijn in uiteenlopende sectoren. Dankzij het interactieve karakter van de opleiding en de diversiteit aan perspectieven ontstaat een sterk lerend effect. Na afronding van de postbacheloropleiding IT-auditing ben je in staat om het management (aanvullende) zekerheid te bieden over de kwaliteit van IT-risicobeheersing binnen jouw organisatie. Dankzij de ontwikkelde adviesvaardigheden lever je bovendien een krachtige bijdrage aan het lerend vermogen van de organisatie. Je beheerst het IT-auditvak, hebt zicht op actuele ontwikkelingen in de praktijk en treedt op als volwaardig gesprekspartner voor bestuur en directie. Na succesvolle afronding ontvang je het postbachelordiploma IT-auditing. Ben je PE-plichtig? Dan levert deze opleiding je 110 PE-punten op. Wil je je na deze opleiding verder verbreden richting organisatiebrede risicobeheersing? Dan kun je de postbacheloropleiding Operational auditing volgen in verkorte vorm en tegen gereduceerd tarief. De investering in de postbacheloropleiding IT-auditing bestaat uit drie onderdelen: opleidingskosten, arrangementskosten en studiematerialen. Hieronder vind je een overzicht van de kosten en betalingsmogelijkheden: Opleidingskosten: € 7.450,- (vrijgesteld van btw) Arrangementskosten: € 770,- (excl. 9% btw) Studiematerialen: circa € 110,- (deze schaf je zelf aan) Voor aanvang van de opleiding ontvang je een factuur. Je kunt ervoor kiezen om de opleidingskosten in kwartaaltermijnen te betalen. In dat geval geldt een toeslag van 5% op het totaalbedrag van de opleidingskosten. Wat eerdere deelnemers zeggen Vincent Gieling Business analyst "De leraren waren erg bekwaam en bevlogen en gaven sprekende voorbeelden uit de praktijk!" Daniëlle Giezeman Internal auditor "De docenten zijn kundig en weten waar ze over spreken!" Sanne de Jongh IT-auditor “De opleiding IT-auditing gaf mij praktische handvatten om IT-risico’s beter te beoordelen!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 5 minuten om te lezen Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken... 10 sep 17 minuten om te lezen IT-auditing opleiding De wereld digitaliseert in razend tempo. Processen worden geautomatiseerd, data reist realtime over netwerken en systemen bepalen het... 13 aug 4 minuten om te lezen Meer weten over of direct inschrijven voor de opleiding IT-auditing? Brochure Adviesgesprek Inschrijven

Onderzoek cultuur en gedrag in audits met de training soft controls. Leer modellen over cultuur en gedrag praktisch toepassen in jouw audits en stimuleer verandering. Schrijf je nu in! Training Soft controls Duur Studiekosten PE-punten 2 dagdelen € 650,- 9 Inschrijven Training Soft Controls Soft controls, ‘de menselijke factor’ binnen organisaties, krijgen steeds meer aandacht en staan steeds vaker op de auditkalender. Denk aan thema’s als sociale veiligheid, voorbeeldgedrag en vertrouwen. Maar hoe toets je soft controls tijdens een audit? In de training Soft Controls leer je in één lesdag en via een aanvullende e-learning de noodzakelijke technieken en modellen om soft controls effectief te onderzoeken in jouw praktijk. Je scherpt je begrip van cultuur en gedrag aan, oefent met vraagtechnieken en leert hoe je signalen uit de organisatie interpreteert en vertaalt naar concrete interventies. Wat leer je tijdens de training soft controls? Na afloop van deze training kun je cultuur, gedrag en soft controls helder definiëren en begrijp je waarom deze onmisbaar zijn voor effectieve beheersing en sturing. Je leert verschillende modellen toepassen binnen je audits en je bent in staat soft controls gericht te onderzoeken. Daarnaast maak je kennis met interventies die bijdragen aan het versterken van soft controls binnen jouw organisatie, zodat je niet alleen inzicht krijgt, maar ook handvatten hebt om daadwerkelijk verandering te stimuleren. Waarom kiezen voor de training soft controls? Praktisch en theoretisch onderbouwd: je leert bewezen modellen rond cultuur en gedrag kennen en direct toe te passen. Interactie met vakgenoten: ervaringsuitwisseling met collega’s uit andere organisaties. Direct inzetbaar: je stelt een persoonlijk actieplan op dat je kunt toepassen in de eigen praktijk. Flexibiliteit: kies voor fysiek of digitaal onderwijs via onze mixed classrooms. Korte, krachtige investering: in slechts één trainingsdag en een e-learning krijg je de essentiële inzichten en vaardigheden rond soft controls. Waarom kiezen voor Ferocia? Ferocia is de opleider voor professionals in audit, control en risk. Wij combineren academische diepgang met praktijkgericht leren, zodat je kennis direct toepasbaar is in jouw werkomgeving. Onze docenten zijn verbonden aan universiteiten, hogescholen en beroepsorganisaties en brengen hun ervaring uit de praktijk mee de opleiding in. We werken met een innovatieve didactiek waarin e-learning, rollenspellen, praktijkcases en coaching samenkomen in een blended format. Daarbij staat toepassing altijd centraal: je leert het niet alleen, je doet het ook. Ferocia gelooft in inspiratie, co-creatie en prestatie, en dat ervaar je in al onze programma’s! Wil jij leren hoe je met audits echt inzicht krijgt in cultuur en gedrag binnen organisaties? Schrijf je dan nu in voor de training Soft Controls en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar en van jou wordt verwacht een oordeel te kunnen vormen over cultuur- en gedragsaspecten binnen jouw organisatie. Je wenst in korte tijd de basisbeginselen van soft controls te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 10 uur. Dit is inclusief lesdagen en praktijkopdrachten. In deze training werken we met een innovatieve e-learning, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Deelnemers kunnen de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 9 PE-punten. De studiekosten bedragen € 650,- (all-in en vrij van btw). Wat eerdere deelnemers zeggen Bert van Scherpenzeel Quality manager "De training Soft controls is zeer interessant en inspirerend! " Marsha van Iersel Business controller "Veel interactie, levendige discussies en praktische voorbeelden maakten de training Soft controls bijzonder waardevol!" Menny Barendse Auditmanager "Het op praktische wijze leren toepassen van soft controls is een waardevolle aanvulling op onze audits!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 5 minuten om te lezen Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde... 26 aug 4 minuten om te lezen Soft Controls: de kracht van beheersing In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en... 13 mei 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Volg de opleiding Operational auditing van Ferocia en Avans+ en ontwikkel je tot een impactvolle internal auditor die organisaties helpt écht ‘in control’ te zijn. Postbacheloropleiding Operational auditing Duur Studiekosten PE-punten 8 maanden € 7.450,- 110 Inschrijven Opleiding Operational auditing Wil jij jouw carrière een stevige impuls geven? Kies dan voor de postbacheloropleiding Operational auditing, die wij in samenwerking met Habeo+ aanbieden. Deze praktijkgerichte opleiding helpt je om uit te groeien tot een volwaardige gesprekspartner voor bestuur en management. Je ontwikkelt de kennis en vaardigheden die nodig zijn om risico’s inzichtelijk te maken en organisaties daadwerkelijk te helpen ‘in control’ te zijn. Wat leer je tijdens de opleiding Operational auditing? De postbacheloropleiding Operational auditing bereidt je voor op een belangrijke rol binnen organisaties. Als operational auditor bied je onafhankelijke en objectieve zekerheid over de mate waarin risico’s worden beheerst die het behalen van organisatiedoelstellingen kunnen bedreigen. Blijkt de beheersing onvoldoende? Dan adviseer jij het bestuur en management over concrete verbetermaatregelen. Op die manier draag je actief bij aan het lerend vermogen van de organisatie en versterk je de kwaliteit van interne beheersing. Waarom kiezen voor de opleiding Operational auditing? De vraag naar professionals die een opleiding Operational auditing hebben gevolgd, groeit snel. Door maatschappelijke ontwikkelingen, strengere wet- en regelgeving en recente incidenten ligt de lat voor risicobeheersing hoger dan ooit. Organisaties worden kritischer beoordeeld op hun interne controlesystemen – en hebben behoefte aan goed opgeleide operational auditors die het verschil maken. Waarom kiezen voor Ferocia en Habeo+? De opleiding Operational auditing van Ferocia en Habeo+ is de best gewaardeerde en meest erkende postbacheloropleiding op dit vakgebied in Nederland. De opleiding onderscheidt zich door haar sterke praktijkgerichtheid, actuele lesinhoud en de begeleiding door ervaren docenten uit het werkveld. De lesstof sluit aan bij de nieuwste ontwikkelingen in het vak, zoals het gebruik van AI in audits en de toepassing van de meest moderne auditmethodiek (auditmethodiek 2.0). Je leert niet alleen de theorie, maar past deze direct toe in realistische casussen en opdrachten. Zo ben je optimaal voorbereid op een rol waarin je daadwerkelijk impact maakt op de governance en het risicobeheer van organisaties. Je kunt de opleiding volgen in Apeldoorn, Breda, Den Haag of Utrecht, en de colleges zijn desgewenst ook online te volgen. Zo heb je maximale flexibiliteit in hoe en waar je studeert. Wil jij je ontwikkelen tot een waardevolle operational auditor die écht het verschil maakt? Schrijf je dan nu in voor de postbacheloropleiding Operational auditing en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, kwaliteitsmedewerker, medewerker AO/IC of proceseigenaar. Van jou wordt verwacht dat je een onderbouwd oordeel kunt vormen of kunt adviseren over de kwaliteit van risicobeheersing binnen jouw organisatie. Je wilt met jouw onderzoeken een stevige bijdrage leveren aan het lerend vermogen van de organisatie. De postbacheloropleiding Operational auditing bestaat uit 14 fysieke bijeenkomsten van drie tot zes uur. Daarnaast volg je vijf e-learnings van ongeveer drie uur per stuk, op momenten die jou het beste uitkomen. Een belangrijk onderdeel van de opleiding is het uitvoeren van een operational audit binnen je eigen organisatie. Hierbij word je intensief begeleid door een ervaren docent. Voor deze praktijkopdracht én de bijeenkomsten samen ben je gemiddeld vier tot acht uur per week kwijt. Daarnaast vragen we ongeveer twee uur per week aan zelfstudie, zodat je het maximale uit de opleiding haalt. De postbacheloropleiding Operational auditing is sterk praktijkgericht. Tijdens de opleiding voer je een eigen operational audit uit binnen je organisatie, waarbij je intensief wordt begeleid door een ervaren docent. Via innovatieve e-learnings doe je voorafgaand aan de bijeenkomsten de benodigde basiskennis op, op een moment en locatie die jou het beste uitkomt. Omdat je goed voorbereid aan de bijeenkomsten deelneemt, is er tijdens de contactmomenten ruimte voor verdieping. We gaan dan actief aan de slag met het toepassen van de theorie in de praktijk, onder andere aan de hand van casuïstiek en rollenspellen. Daarnaast wissel je ervaringen uit met mededeelnemers die werkzaam zijn in uiteenlopende sectoren. Dankzij het interactieve karakter van de opleiding en de diversiteit aan perspectieven ontstaat een sterk lerend effect. Na afronding van de postbacheloropleiding Operational auditing ben je in staat om het management (aanvullende) zekerheid te bieden over de kwaliteit van risicobeheersing binnen jouw organisatie. Dankzij de ontwikkelde adviesvaardigheden lever je bovendien een krachtige bijdrage aan het lerend vermogen van de organisatie. Je beheerst het auditvak, hebt zicht op actuele ontwikkelingen in de praktijk en treedt op als volwaardig gesprekspartner voor bestuur en directie. Na succesvolle afronding ontvang je het postbachelordiploma Operational auditing. Ben je PE-plichtig? Dan levert deze opleiding je 110 PE-punten op. Wil je je na deze opleiding verder verdiepen in IT-risico’s en digitale beheersing? Dan kun je de postbacheloropleiding IT-auditing volgen in verkorte vorm en tegen gereduceerd tarief. De investering in de postbacheloropleiding Operational auditing bestaat uit drie onderdelen: opleidingskosten, arrangementskosten en studiematerialen. Hieronder vind je een overzicht van de kosten en betalingsmogelijkheden: Opleidingskosten: € 7.450,- (vrijgesteld van btw) Arrangementskosten: € 770,- (excl. 9% btw) Studiematerialen: circa € 120,- (deze schaf je zelf aan) Voor aanvang van de opleiding ontvang je een factuur. Je kunt ervoor kiezen om de opleidingskosten in kwartaaltermijnen te betalen. In dat geval geldt een toeslag van 5% op het totaalbedrag van de opleidingskosten. Wat eerdere deelnemers zeggen Casper Brouwer Business analyst "Ik merk dat ik meer inzicht heb in de auditvak en hoe het de hele organisatie versterkt." Kolette Visser Auditor "Ik ben gegroeid als auditor en kan mijn audits nu naar een hoger niveau tillen!" Monique Wulff Senior adviseur "Door de opleiding ben ik mij er veel bewuster van dat ik vaker en meer vragen moet stellen." Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 5 minuten om te lezen Auditmethodiek 2.0: Een gestructureerde aanpak voor effectieve internal audits De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken... 10 sep 17 minuten om te lezen Opleiding operational auditing Lopen onze processen eigenlijk wel beheerst? Gaan we onze doelen wel halen dit jaar? En is onze interne controle robuust genoeg? Zomaar... 13 aug 5 minuten om te lezen Meer weten over of direct inschrijven voor de opleiding Operational auditing? Brochure Adviesgesprek Inschrijven