Zoekresultaten

Ontdek hoe soft controls zoals cultuur en gedrag cruciaal zijn voor effectieve interne beheersing en risicomanagement. Versterk jouw organisatie vandaag! Alle blogs Gedrag en cultuur Soft Controls In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en toegepaste controlemaatregelen, doen zich toch incidenten voor. Denk aan integriteitskwesties, vertrouwensbreuken of zelfs fraude. Hoe kan dat? Steeds vaker ligt de echte oorzaak niet in de systemen, maar in de cultuur. In de ongeschreven regels. In het gedrag. In wat we noemen: soft controls . Wat zijn soft controls precies? Soft controls zijn de informele vaak onzichtbare factoren die gedrag binnen organisaties beïnvloeden. Het gaat om zaken als: Psychologische veiligheid: durven mensen zich uit te spreken? Leiderschap en voorbeeldgedrag: wat laat het management echt zien? Vertrouwen en openheid: is er ruimte voor kwetsbaarheid? Normen en waarden: wat vinden we ‘normaal’ gedrag? Betrokkenheid en motivatie: waarom doen mensen wat ze doen? Deze elementen sturen gedrag, vaak sterker dan formele regels of procedures. Ze bepalen of mensen hun verantwoordelijkheid nemen, fouten durven melden, dilemma’s delen en ethisch handelen. Hard vs. soft: twee zijden van dezelfde munt Traditionele interne beheersing leunt sterk op hard controls , zoals functiescheiding, autorisatieprotocollen, rapportagestructuren en IT-systemen. Deze zijn namelijk tastbaar, meetbaar en controleerbaar. Soft controls daarentegen zijn minder grijpbaar, maar wel minstens zo belangrijk. Ze bepalen de effectiviteit van die harde maatregelen. Een autorisatieprocedure is zo sterk als de mate waarin medewerkers bereid zijn zich eraan te houden. En dat gedrag wordt juist gestuurd door soft controls. Of zoals een ervaren auditor eens zei: “Op papier klopt alles. In de praktijk doet men iets anders.” Soft en hard controls versterken elkaar, of juist niet. Een organisatiecultuur waarin kleine fouten zwaar worden bestraft, zorgt ervoor dat risico’s niet worden gemeld. Terwijl openheid en vertrouwen het melden van incidenten juist stimuleren. Soft controls vormen dus het fundament van een lerende organisatie. Waarom soft controls cruciaal zijn voor auditors De rol van de internal auditor verandert. Waar vroeger vooral werd gekeken naar structuur en processen, komt er nu steeds meer aandacht voor gedrag, cultuur en context. Soft controls helpen auditors om: blinde vlekken te signaleren; risico’s realistischer in te schatten; aannames over controles te toetsen; en betere, effectievere aanbevelingen te formuleren. Auditen van soft controls vraagt echter een andere aanpak. Geen vinklijstjes, maar nieuwsgierigheid. Geen check op procedures, maar gesprekken over dilemma’s. Geen observaties van cijfers, maar observaties van gedrag. Je onderzoekt niet alleen wat er gebeurt, maar ook waarom het gebeurt. Hoe onderzoek je soft controls? Het beoordelen van soft controls is maatwerk. Elk team, elke organisatie en elke context is anders. Ferocia werkt daarom met een aanpak waarin meerdere methoden worden gecombineerd: Diagnoses en nulmetingen : een eerste beeld van cultuur en gedrag, via scans of vragenlijsten. Interviews en groepsgesprekken : verdiepen op thema’s als integriteit, voorbeeldgedrag en aanspreekcultuur. Observaties in de praktijk : meekijken bij vergaderingen of besluitvormingsprocessen. Gebruik van beproefde frameworks : zoals het model van Muel Kaptein. Door deze methoden slim te combineren, ontstaat een realistisch en werkbaar beeld van de soft controls binnen een organisatie. Geen theoretisch model, maar praktische inzichten waar direct mee gewerkt kan worden. Soft controls in tijden van verandering De urgentie van soft controls neemt toe. Organisaties opereren steeds vaker in complexe, hybride omgevingen. Werknemers zijn deels thuis, deels op kantoor. Teams werken digitaal samen. De formele controle wordt minder zichtbaar en het belang van vertrouwen en intrinsieke motivatie juist groter. Tegelijkertijd zien we een toename in externe druk: strengere regelgeving, maatschappelijke verwachtingen rond ESG (Environmental, Social, Governance), en de noodzaak tot transparantie. In deze context is het essentieel dat medewerkers niet alleen ‘doen wat moet’, maar vooral ‘doen wat juist is’. En dat vraagt om sterke soft controls. Soft controls implementeren: hoe doe je dat? Soft controls versterken begint bij bewustwording. Veel organisaties herkennen gedragspatronen wel, maar vinden het lastig om ze te benoemen of bespreekbaar te maken. Ferocia ondersteunt organisaties daarom met advies, training en audits op maat. Denk aan: Trainingen over ethiek, cultuur en integriteit: wat verstaan we onder voorbeeldgedrag? Hoe spreken we elkaar aan? Wat doen we als we een dilemma tegenkomen? Gedragsaudits: geen controle op cijfers, maar op gedragspatronen. Waar zitten de risico’s in houding, communicatie of leiderschap? Integratie in risicomanagement en compliance: soft controls als volwaardig onderdeel van het control framework. Niet als ‘extraatje’, maar als strategische pijler. Coaching en ondersteuning van leidinggevenden: want gedrag begint aan de top. Managers en teamleiders zijn cruciaal in het versterken van een gezonde cultuur. Voorbeeld uit de praktijk Een zorginstelling merkte dat incidenten rondom medicatieveiligheid bleven voorkomen, ondanks goede protocollen en technische ondersteuning. De oorzaak? Medewerkers durfden elkaar niet aan te spreken. Uit gesprekken bleek dat er onvoldoende psychologische veiligheid was. Door met het team te werken aan openheid, vertrouwen en feedbackvaardigheden, nam het aantal incidenten substantieel af, zonder dat er iets aan de procedures werd aangepast. Het laat zien: soft controls maken het verschil. Soft controls in jouw organisatie? De grote vraag is: hoe sterk zijn de soft controls in jouw organisatie? Worden risico’s besproken of vermeden? Is er ruimte voor feedback, of speelt men op zeker? Voelen medewerkers zich verantwoordelijk, of juist gecontroleerd? Hebben mensen het lef om afwijkingen te melden? Als je twijfelt over het antwoord, is dat op zichzelf al waardevol. Want het betekent dat je bereid bent te kijken. En dat is de eerste stap naar verbetering. Of je nu soft controls wilt onderzoeken, versterken of integreren in je organisatiecultuur, wij helpen je verder! Opleidingen en trainingen – op het gebied van soft controls zowel open als inhouse. Interim en consultancy – tijdelijke inzet van internal auditors die gespecialiseerd zijn in cultuur en gedrag . Werving en selectie – voor het vinden van de juiste auditprofessional die je team permanent komt versterken. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Versterk je audit- of riskafdeling met co-sourcing: behoud controle, vergroot expertise en blijf wendbaar. Ontdek hoe Ferocia jou helpt. Alle blogs Co- en outsourcing, Risicomanagement, Internal auditing Co-sourcing auditafdeling of riskafdeling De druk op audit- en riskafdelingen neemt toe. Veranderende wet- en regelgeving, krapte op de arbeidsmarkt en technologische ontwikkelingen vragen om slagkracht, wendbaarheid en specifieke expertise. Maar wat als je die expertise (tijdelijk) niet in huis hebt? Of als je team piekbelasting ervaart? Dan biedt co-sourcing een praktische oplossing. In deze blog lees je wat co-sourcing precies is, wat de voordelen zijn, hoe het in de praktijk werkt en waarom Ferocia de partner is voor co-sourcing op het gebied van audit, risk en control. Wat is co-sourcing? Co-sourcing is een samenwerkingsvorm waarbij je als organisatie externe professionals inschakelt die onderdeel worden van je interne team, zonder dat je de regie verliest. Je houdt zelf de controle over beleid, richting en besluitvorming, en je werkt nauw samen met een (vast) team van externe specialisten die jouw team aanvullen. In tegenstelling tot outsourcing, waarbij je een volledige functie of afdeling overdraagt aan een externe partij, blijft bij co-sourcing het eigenaarschap in jouw handen. De externe professional werkt vanuit jouw visie, jouw structuur en jouw prioriteiten. Denk aan een IT-auditor die tijdelijk je interne auditteam versterkt bij een complexe audit. Of een riskmanager die meedenkt over de inrichting van je risicoraamwerk tijdens een transformatie. Co-sourcing draait dus om samenwerken. Niet om uitbesteden, maar om versterken. Wat zijn de voordelen van co-sourcing? Co-sourcing van je auditafdeling of riskafdeling biedt een reeks concrete voordelen voor organisaties die hun audit- of riskfunctie toekomstbestendig willen maken: 1. Flexibele capaciteit, precies waar en wanneer je het nodig hebt Of het nu gaat om vervanging bij ziekte, tijdelijke onderbezetting of pieken in het werk, co-sourcing geeft je directe toegang tot een vast team van gekwalificeerde professionals die snel kunnen instappen en jouw organisatie en team al kennen. Geen langdurige wervingsprocessen of contractuele verplichtingen voor een kleine opdracht, maar een vaste partner die jou en je team kent en die je ‘direct’ kunt inzetten. 2. Toegang tot gespecialiseerde kennis en ervaring Audit- en riskvraagstukken worden steeds complexer. Denk aan ESG, cybersecurity, dataprivacy, cloudbeveiliging of soft controls. Het is onrealistisch om voor elk onderwerp een specialist in huis te hebben. Via co-sourcing breng je precies die expertise naar binnen die je op dat moment nodig hebt. 3. Kennisoverdracht en versterking van je eigen team Een belangrijk voordeel van co-sourcing is de structurele kennisoverdracht. De externe professional werkt samen met je interne medewerkers en draagt actief kennis, werkwijzen en tools over. Zo investeer je niet alleen in de oplossing van vandaag, maar ook in de veerkracht van morgen. 4. Continuïteit en kwaliteit waarborgen Ziekte, verloop of krapte op de arbeidsmarkt kunnen de kwaliteit en continuïteit van audits of risicomanagement in gevaar brengen. Co-sourcing voorkomt dat je concessies moet doen. Je blijft “in control”, zelfs onder druk. 5. Strategisch sparren op niveau Een ervaren co-sourcingpartner denkt niet alleen mee op operationeel niveau, maar ook op tactisch en strategisch vlak. Zo krijg je waardevolle sparringpartnerschap bij organisatievraagstukken, auditplanning, risicoprofielen of het professionaliseren van je control-framework. Hoe werkt co-sourcing in de praktijk, en waar moet je op letten? Co-sourcing is maatwerk. Succes hangt af van de juiste afstemming, voorbereiding en samenwerking. Dit zijn de belangrijkste aandachtspunten: 1. Start met een heldere behoefteanalyse Welk probleem wil je oplossen? Zoek je tijdelijke capaciteit, specifieke expertise, een frisse blik op je bestaande aanpak of juist een combinatie van deze? Hoe duidelijker de vraag, hoe beter de match. 2. Kies voor inhoudelijke en culturele fit Een goede co-sourcingpartner begrijpt jouw branche, jouw type organisatie en jouw mensen. De externe professional moet niet alleen vakinhoudelijk sterk zijn, maar ook passen binnen de cultuur van je team. Geen solist, maar iemand die direct meedraait. 3. Formuleer gezamenlijke doelen en verwachtingen Leg vooraf vast wat je wilt bereiken, wie waarvoor verantwoordelijk is en hoe je de samenwerking evalueert. Heldere afspraken over doelstellingen, rapportages en terugkoppelmomenten maken het verschil tussen meedraaien en mee-ontwikkelen. 4. Zorg voor voldoende interne verankering Een co-sourcer moet snel kunnen landen. Zorg dus dat er een aanspreekpunt is binnen het team, dat kennis gedeeld wordt en dat de samenwerking wordt ingebed in bestaande werkprocessen. Co-sourcing werkt alleen als er ruimte is om echt samen te werken. 5. Gebruik co-sourcing strategisch Zie co-sourcing niet alleen als “brandjesblusser”, maar als strategisch instrument. Zet het in bij vernieuwing, transformatie of kwaliteitsverbetering. Laat de externe professional bijvoorbeeld een nieuwe auditmethodiek helpen implementeren, of een risicomanagementframework valideren. Zo haal je er maximale waarde uit. Waarom Ferocia jouw co-sourcingpartner is Bij Ferocia begrijpen we dat audit, risk en control geen vakgebieden zijn waarin je met generieke oplossingen uit de voeten kunt. Onze kracht zit in maatwerk, vakmanschap en meedenken op niveau. We werken niet vóór je, we werken met je. Wat maakt ons uniek? Inhoudelijke expertise Onze professionals zijn stuk voor stuk ervaren vakmensen: auditors, risicomanagers en controllers met jarenlange ervaring in uiteenlopende sectoren, van financiële dienstverlening en zorg tot overheid en multinationals. We kennen het vak en de praktijk. Focus op kennisontwikkeling en duurzame versterking Ferocia is niet alleen een detacheerder of opleider. We combineren beide werelden. Onze co-sourcingtrajecten zijn gericht op duurzame ontwikkeling van jouw team. Onze mensen brengen niet alleen capaciteit, maar ook opleiding, coaching en structuur. Direct inzetbaar, snel resultaat Of je nu morgen iemand nodig hebt voor een belangrijke audit, of over drie maanden wilt starten met het herontwerpen van je risicomanagementstructuur, wij leveren snelheid en kwaliteit. Onze consultants zijn gewend om snel te schakelen en direct mee te draaien. Vertrouwd en professioneel partner in governance-vraagstukken We werken met opdrachtgevers in het publieke en private domein aan het versterken van hun governance, compliance en control. We begrijpen hoe het werkt aan de top van de organisatie, en hoe je daar met gezag en vertrouwen acteert. Altijd een sparringpartner Bij Ferocia krijg je niet alleen een consultant, maar ook een vaste contactpersoon die met je meedenkt over de bredere context: strategische personeelsplanning, kennisontwikkeling, verandervraagstukken. Zo denken we met je mee, ook vóór de opdracht. Tot slot: versterken zonder overnemen Co-sourcing is de ideale oplossing voor organisaties die willen groeien in volwassenheid, maar niet willen inleveren op controle, cultuur of kwaliteit. Het is geen quick fix, maar een bewuste keuze om je interne capaciteit en expertise op een slimme manier aan te vullen. Bij Ferocia geloven we in samenwerking die verder gaat dan het vullen van een stoel. Wij geloven in het versterken van jouw team, jouw processen en jouw impact. Wil je kennismaken met co-sourcing op jouw manier? Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe Auditmethodiek 2.0 auditors helpt sneller, relevanter en effectiever te auditen met AI-ondersteuning. Verhoog direct de kwaliteit van je audit. Alle blogs Internal auditing Auditmethodiek 2.0 Een gestructureerde aanpak voor effectieve internal audits. De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken dat traditionele auditmethoden steeds vaker tekortschieten. Auditteams moeten niet alleen controleren, maar ook richting geven en direct waarde toevoegen aan de organisatie. Auditmethodiek 2.0 is ontwikkeld om precies dat te doen: een gestructureerde, AI-ondersteunde aanpak die audits relevant, deugdelijk en doelmatig maakt en daarmee direct bijdraagt aan effectieve risicobeheersing en doelrealisatie. Auditmethodiek 2.0 Ferocia heeft Auditmethodiek 2.0 ontwikkeld om auditors en auditmanagers te helpen voldoen aan de snel stijgende eisen van het vak. Organisaties verwachten tegenwoordig snelle, bruikbare inzichten die direct bijdragen aan effectieve risicobeheersing en doelrealisatie. In de praktijk gaat dit nog vaak mis: voorbereidingen duren te lang of blijven te oppervlakkig, het taalgebruik tussen audit en organisatie sluit niet aan, bevindingen in rapportages worden niet herkend of erkend en actielijsten groeien zonder zichtbaar resultaat. Auditmethodiek 2.0 biedt hiervoor een gestructureerde, praktijkgerichte oplossing. De methodiek doorloopt drie fasen: voorbereiding, veldwerk en rapportage, en vertaalt elke stap naar concrete werkwijzen, ondersteund door speciaal ontwikkelde AI-agents die snelheid en kwaliteit verhogen. De methodiek sluit naadloos aan op de Global Internal Audit Standards (GIAS), zet de opdrachtgever centraal zonder concessies aan onafhankelijkheid en zorgt voor rapportages waar de organisatie daadwerkelijk verder mee kan. Auditmethodiek 2.0 is ontwikkeld voor auditors en auditmanagers die efficiënt relevante en kwalitatief hoogwaardige audits willen uitvoeren. Met deze methodiek krijgen zij een bewezen aanpak in handen die inspeelt op de informatiebehoefte van de organisatie en verbeteringen versnelt. Kwaliteitseisen voor audits Een goede internal audit voldoet aan drie fundamentele kwaliteitseisen: relevantie, deugdelijkheid en doelmatigheid. Deze eisen vormen samen de basis voor audits die daadwerkelijk bijdragen aan effectieve risicobeheersing en doelrealisatie. Relevantie De audit sluit aan op de kennisbehoefte van de opdrachtgever. Alleen wanneer de audit goed is afgestemd op de vragen en zorgen van de opdrachtgever, levert de audit bruikbare inzichten op. Relevantie begint bij een grondige verkenning van de informatiebehoefte van de opdrachtgever: wat moet deze audit opleveren en waarom is dat nu van belang? Deugdelijkheid De audit is methodologisch goed onderbouwd. Dat betekent dat de uitkomsten zijn gebaseerd op meerdere bronnen en dat de gevolgde werkwijze transparant en herleidbaar is. Een deugdelijke audit gebruikt een logisch opgebouwd referentiemodel, een goed doordacht testplan en past triangulatie toe bij de gegevensverzameling. Hierdoor ontstaan conclusies die overtuigend zijn. Doelmatigheid De audit wordt uitgevoerd met een efficiënte inzet van tijd en middelen. Er is een goede verhouding tussen de scope en diepgang van de audit enerzijds en de capaciteit en doorlooptijd anderzijds. Doelmatigheid vraagt om scherpe keuzes: niet alles hoeft onderzocht te worden. De audit moet snel tot de kern komen, zonder overbodige inspanning of vertraging. Auditmethodiek 2.0 is ontwikkeld om gericht invulling te geven aan deze kwaliteitseisen. De drie fasen van een audit Een effectieve audit doorloopt drie opeenvolgende fasen: voorbereiding, veldwerk en rapportage. In de voorbereidingsfase wordt de basis gelegd voor een succesvolle uitvoering. De auditor voert een vooronderzoek uit, inventariseert de kennisbehoefte van de opdrachtgever, stelt de scope en afbakening vast, formuleert de auditdoelstelling en stelt een referentiemodel, testplan en auditplanning op. Dit mondt uit in een door de opdrachtgever goedgekeurd auditontwerp. Zo wordt geborgd dat de audit relevant is en op een deugdelijke en doelmatige manier wordt uitgevoerd. De veldwerkfase draait om het systematisch verzamelen en analyseren van gegevens. De auditor past de in het testplan vastgelegde onderzoeksmethoden toe, zoals interviews, documentanalyses en observaties. De verzamelde gegevens worden vastgelegd in een datamatrix, die de basis vormt voor onderbouwde conclusies. In de rapportagefase worden de bevindingen vertaald naar heldere conclusies en, waar nodig, verbeteracties. Door bevindingen te bespreken met de opdrachtgever en eventueel de proceseigenaar, en samen oorzaken en verbeteracties te formuleren, ontstaat draagvlak voor opvolging. Binnen Auditmethodiek 2.0 wordt deze fase versterkt door het gebruik van de SPROA-systematiek en het faciliteren van workshops gericht op het achterhalen van oorzaken, zodat verbeteracties structureel effect hebben. Fase 1: Voorbereiding De voorbereidingsfase van Auditmethodiek 2.0 bestaat uit acht opeenvolgende stappen die samen waarborgen dat audits relevant, deugdelijk en doelmatig worden uitgevoerd. Stap 1. Uitvoeren vooronderzoek Het vooronderzoek vormt het startpunt van de audit en heeft als doel om in korte tijd een helder beeld te krijgen van het auditobject, de mogelijke problematiek en het krachtenveld. Dit vormt de basis voor een goed gefundeerde scope en afbakening. De auditor beantwoordt daarbij drie clusters van vragen: Auditobject Wat is de aard en functie van het auditobject? Uit welke deelobjecten bestaat het auditobject? Welke aspecten zijn van belang? Welke functionarissen spelen een rol? Welke (wettelijke en interne) kaders zijn van toepassing? Problematiek Welke (mogelijke) problemen spelen er? Wat zijn de achtergronden of oorzaken van deze problemen? Welke bijdrage moet de audit leveren? Krachtenveld Welke interne en externe factoren hebben invloed op de audit? Welke belangen, verwachtingen en gevoeligheden spelen er bij stakeholders? De auditor combineert in deze stap twee methoden om bovenstaande vragen te beantwoorden: Documentstudie, zoals beleidsstukken, procesbeschrijvingen, werkinstructies, rapportages, risicoregisters en relevante wet- en regelgeving. Interviews met sleutelpersonen, zoals proceseigenaren, teamleiders, en coördinatoren. AI kan in deze stap ondersteunen bij het snel in beeld brengen van mogelijke objectkenmerken, problemen en belanghebbenden. Met Ferocia’s AI-client kan dit op drie niveaus: door alleen het auditobject in te voeren, de branche te vermelden voor gerichtere output, of interne documenten toe te voegen. Hoe meer informatie u deelt, hoe specifieker de output, maar ook hoe meer (en mogelijk gevoeligere) gegevens u prijsgeeft. Stap 2. Inventariseren kennisbehoefte De tweede stap in de voorbereidingsfase is het inventariseren van de kennisbehoefte bij de opdrachtgever. Door middel van een interview met de opdrachtgever en eventueel de proceseigenaar wil de auditor achterhalen wat het doel is van het auditobject, wat eventuele problematiek is waar tijdens de audit rekening mee moet worden gehouden en welke inzichten de opdrachtgever verwacht. Om dit scherp te krijgen, beantwoordt de auditor samen met de opdrachtgever drie clusters van vragen: Auditobject Wat is volgens de opdrachtgever het doel van het auditobject? Welke aspecten zijn volgens de opdrachtgever van belang? Problematiek Welke incidenten hebben zich voorgedaan? Welke (mogelijke) problemen ziet de opdrachtgever? Waar maakt de opdrachtgever zich zorgen over? Verwachte inzichten Welke specifieke vragen moet de audit volgens de opdrachtgever beantwoorden? Wat gaat de opdrachtgever met deze inzichten doen? Bij het bepalen van de kennisbehoefte is het relevant om onderscheid te maken tussen twee typen audits, de systeemtoets en de performancetoets. Een systeemtoets richt zich op de kwaliteit van de beheersing die moet waarborgen dat doelstellingen structureel worden gerealiseerd. Een performancetoets richt zich op de doelrealisatie zelf: worden operationele doelstellingen behaald, klopt de jaarrekening en wordt voldaan aan wet- en regelgeving? Systeemtoets vs. performancetoets De kennisbehoefte kan afkomstig zijn van een intern gerichte opdrachtgever, zoals de raad van bestuur, directie of management, of van een extern gerichte opdrachtgever, zoals de raad van commissarissen of de externe accountant. Intern gerichte opdrachtgevers kiezen vaker voor systeemtoetsen, omdat deze inzicht geven in de kwaliteit van de beheersing en daarmee concrete handvatten bieden om processen en risicobeheersing verder te verbeteren. Extern gerichte opdrachtgevers hebben doorgaans meer behoefte aan performancetoetsen, zodat zij de resultaten kunnen vergelijken met andere organisaties of met de uitkomsten van eerdere audits. Soorten kennisbehoefte Overigens is de praktijk minder zwart-wit dan hierboven geschetst. Zo stellen sommige regels (zoals NEN-normen) ook eisen aan het systeem en toetst de externe accountant, voorafgaand aan de controle van de jaarrekening, het totstandkomingsproces van de jaarrekening, om zodoende inzicht te krijgen in de risico’s. Stap 3. Vaststellen scope en afbakening Het vaststellen van de scope en afbakening is een belangrijke stap in de voorbereidingsfase van de audit en is gebaseerd op de uitkomsten van het vooronderzoek en het gesprek met de opdrachtgever. Het bepaalt waar het onderzoek zich op richt en welke onderdelen bewust buiten beschouwing blijven. Een heldere scope verhoogt de kans dat de audit aansluit op de kennisbehoefte van de opdrachtgever, zorgt voor focus en voorkomt onnodig werk. Scope De scope beschrijft welk auditobject en welke aspecten binnen de reikwijdte van de audit vallen en waarom. Auditobject: dit is waar je naar kijkt. Een auditobject kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn. Aspect: dit is hoe je naar het auditobject kijkt. Hierbij gaat het om de invalshoek, zoals tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving. Scope Afbakening De afbakening beschrijft welke gerelateerde auditobjecten en aspecten buiten de audit vallen en waarom. Dit kan bijvoorbeeld zijn omdat ze niet relevant zijn voor de actuele kennisbehoefte, omzet ze recent al onderzocht zijn, of omdat er onvoldoende middelen beschikbaar zijn om ze te onderzoeken. Het expliciet vaststellen van de afbakening is minstens zo belangrijk als het vaststellen van de scope: het voorkomt onduidelijkheid en teleurstelling bij de opdrachtgever wanneer onderwerpen achteraf buiten beschouwing blijken te zijn gebleven. Stap 4. Formuleren auditdoelstelling De vierde stap in de voorbereidingsfase is het formuleren van de auditdoelstelling. Deze stap volgt logisch op het vaststellen van de scope en afbakening, omdat de doelstelling direct gebaseerd is op het gekozen auditobject, aspecten en het beoogde gebruik van de resultaten door de opdrachtgever. Een duidelijke auditdoelstelling zorgt voor richting tijdens de uitvoering van de audit en helpt om verwachtingen tussen auditor en opdrachtgever vooraf helder af te stemmen. Zo wordt voorkomen dat het onderzoek te breed of te smal wordt uitgevoerd of dat de opdrachtgever niet verder kan met de uitkomsten. De auditdoelstelling bestaat uit vier onderdelen: Het auditobject, inclusief eventuele deelobjecten. De aspecten die binnen de scope vallen (bijvoorbeeld tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving). De opdrachtgever, die de resultaten van de audit ontvangt en ermee aan de slag gaat. De relevantie (wat de opdrachtgever met de resultaten van de audit wil bereiken, bijvoorbeeld het onderbouwd kunnen besluiten of een proces geoptimaliseerd of uitbesteed moet worden). De auditdoelstelling wordt geformuleerd volgens het vaste stramien: “Het doel van de audit is vaststellen in hoeverre [auditobject] waarborgt dat [aspecten], teneinde [opdrachtgever] in staat te stellen [relevantie].” Voorbeeld Het doel van de audit is vaststellen in hoeverre het campagnebeheerproces waarborgt dat marketingcampagnes effectief, doelgroeppgericht en conform wet- en regelgeving worden uitgevoerd, teneinde de marketingmanager in staat te stellen de interne beheersing te verbeteren. Ook in deze stap kan AI ondersteuning bieden. Voor het formuleren van een heldere auditdoelstelling heeft Ferocia een AI-agent ontwikkeld. Door het auditobject, de aspecten die binnen de scope vallen en de opdrachtgever in te voeren, genereert de AI-agent direct een zorgvuldig geformuleerde doelstelling die voldoet aan de vereiste opbouw. Stap 5. Opstellen referentiemodel De auditdoelstelling vormt het uitgangspunt voor het opstellen van het referentiemodel. Dit model beschrijft de norm waartegen de werkelijkheid wordt getoetst. Het kan worden gebaseerd op bestaande risk- en controlframeworks (zoals COSO, INK of ISO), wet- en regelgeving (zoals AVG, DORA of Wft) of andere relevante theorieën, modellen en best practises. Het referentiemodel wordt niet achter het bureau opgesteld, maar in nauwe samenwerking met de opdrachtgever en/of de proceseigenaar. De eerste lijn is immers verantwoordelijk voor de kwaliteit van de risicobeheersing die moet waarborgen dat doelstellingen gerealiseerd worden. Co-creatie vergroot de kans dat de eerste lijn het referentiemodel herkent, erkent en er daadwerkelijk mee aan de slag gaat. Het referentiemodel bestaat bij een systeemtoets uit zes elementen: Auditobjecten Beheersdoelstellingen Risico’s Classificatie risico’s Beheersmaatregelen Classificatie beheersmaatregelen Auditobjecten Een auditobject is het (deel)object waarop dit deel van de audit zich richt. Dit kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn. Beheersdoelstellingen Een beheersdoelstelling beschrijft het gewenste resultaat van de interne beheersing. Een beheersdoelstelling wordt altijd gekoppeld aan een auditobject en geformuleerd als: “Beheersmaatregelen bieden een redelijke mate van zekerheid dat […].” Ook in deze stap kan AI ondersteuning bieden. Voor het formuleren van heldere beheersdoelstellingen heeft Ferocia een AI-agent ontwikkeld. Door de aspecten uit de auditdoelstelling een voor een in te voeren, genereert de AI-agent direct per aspect een zorgvuldig geformuleerde beheersdoelstelling die voldoet aan de vereiste opbouw. Risico’s Een risico is een mogelijke gebeurtenis die het behalen van de beheersdoelstelling in gevaar kan brengen. Een risico wordt altijd opgebouwd uit drie elementen: Gebeurtenis: wat kan er misgaan? Oorzaak: waardoor kan dit misgaan? Gevolg: wat is de impact als het misgaat? Doorgaans betreft dit het niet behalen van de beheersdoelstelling. Formuleer risico’s als volgt: “Er bestaat een risico dat [gebeurtenis], als gevolg van [oorzaak], wat kan leiden tot [gevolg].” Classificatie risico’s Risico’s worden geclassificeerd op basis van kans en impact. Kans geeft aan hoe waarschijnlijk het is dat het risico zich daadwerkelijk voordoet. Dit kan variëren van zeer onwaarschijnlijk tot zeer waarschijnlijk. Impact beschrijft de ernst van de gevolgen als het risico zich voordoet. Dit kan variëren van verwaarloosbare gevolgen tot zeer ernstige of onherstelbare gevolgen. Er wordt gewerkt met een vijfpuntsschaal voor zowel kans als impact. Door kans en impact met elkaar te vermenigvuldigen, ontstaat een risicoscore tussen 1 en 25. Hoe hoger de score, hoe groter de prioriteit om het risico te beheersen. Beheersmaatregelen Per risico worden een of meer beheersmaatregelen vastgesteld. Deze maatregelen zijn erop gericht het risico te mitigeren door óf de kans op het optreden van de oorzaak te verkleinen, óf de impact van het gevolg te beperken. Daarmee vergroten beheersmaatregelen de waarschijnlijkheid dat de beheersdoelstellingen daadwerkelijk worden gerealiseerd. Ze vormen de kern van effectieve risicobeheersing. We hanteren bij het formuleren van beheersmaatregelen de volgende opbouw: “[Wie] [wat] [wanneer] aan de hand van [waarmee] en [vastlegging].” Classificatie van beheersmaatregelen Beheersmaatregelen worden geclassificeerd op basis van hun rol in het beheersingsproces: Preventief: voorkomt dat een fout of incident optreedt. Detectief: signaleert dat er iets fout is gegaan. Correctief: corrigeert fouten of herstelt de situatie. Referentiemodel bij een systeemtoets Voorbeeld Auditobject: proces voor afhandelen van facturen van ingehuurde ZZP’ers Beheersdoelstelling: Beheersmaatregelen bieden een redelijke mate van zekerheid dat alle facturen tijdig worden verwerkt. Risico: Er bestaat een risico dat er onvoldoende capaciteit is om de facturen van ingehuurde ZZP’ers tijdig af te handelen als gevolg van inadequate personeelsplanning, wat kan leiden tot te late betalingen. Classificatie risico: 9/25 (kans: 3/5, impact: 3/5) Beheersmaatregel: De teamleider stelt maandelijks een personeelsplanning op aan de hand van de verwachte hoeveelheid facturen en de verlofplanning en legt deze als zodanig vast in het planningssysteem. Classificatie beheersmaatregel: Preventief Het referentiemodel bij een performancetoets is eenvoudiger van opzet dan bij een systeemtoets. Waar een systeemtoets de volledige keten van beheersdoelstellingen, risico’s en beheersmaatregelen analyseert, richt een performancetoets zich uitsluitend op het vaststellen in welke mate de doelstellingen daadwerkelijk zijn behaald. Bij het formuleren van de norm doorloopt de auditor een aantal denkstappen. Deze stappen helpen om scherp te krijgen wat er écht toe doet en hoe dit meetbaar kan worden gemaakt. Het gaat hier niet om losse onderdelen die in het referentiemodel worden opgenomen, maar om een denkkader waarmee de auditor tot een heldere en toetsbare norm komt. De denkstappen zijn: Kritische succesfactor (KSF): het aspect dat bepalend is voor het succes van het auditobject, zoals tijdigheid, klantvriendelijkheid of doelmatigheid. De KSF geeft richting aan wat essentieel is om de doelstellingen te bereiken. Maatstaf: de wijze waarop de KSF meetbaar wordt gemaakt, bijvoorbeeld in percentages, aantallen of doorlooptijd in dagen. De maatstaf vertaalt de succesfactor naar een concrete meeteenheid. Norm: de streef- of grenswaarde die aangeeft wanneer de prestatie als voldoende wordt beoordeeld. Dit is de uiteindelijke toetssteen die in het referentiemodel wordt opgenomen. Voorbeeld Auditobject: proces voor afhandelen van facturen van ingehuurde ZZP’ers Kritische succesfactor: Tijdigheid Maatstaf: Aantal dagen Norm: 99% binnen 30 dagen Referentiemodel bij een performancetoets Hoewel systeemtoetsen en performancetoetsen verschillende invalshoeken hebben, kunnen zij binnen één referentiemodel worden gecombineerd. Een gecombineerde opzet biedt zowel inzicht in de kwaliteit van de interne beheersing (systeemtoets) als in de mate waarin doelstellingen daadwerkelijk worden gerealiseerd (performancetoets). Ook in deze stap kan AI waardevolle ondersteuning bieden. Ferocia heeft een AI-agent ontwikkeld die op basis van het auditobject en de beheersdoelstelling, suggesties doet voor risico’s en bijbehorende beheersmaatregelen, inclusief hun classificatie. Hoe specifieker de context wordt ingevoerd (bijvoorbeeld branche, interne werkinstructies of relevante wet- en regelgeving), hoe beter de uitvoer aansluit op de praktijk van de organisatie. Standaard identificeert de AI-agent per beheersdoelstelling tien risico’s, elk voorzien van drie beheersmaatregelen inclusief classificatie. Stap 6. Opstellen testplan Het testplan beschrijft per beheersmaatregel op welke manier (met welke methoden en bronnen) wordt vastgesteld of de maatregel is ingericht en werkt. Er zijn drie verschillende methoden om dit te onderzoeken: Observatie Inhoudsanalyse Documenten Registraties (integraal of steekproef) Ondervraging van personen (Groeps)interviews (topic based) Enquêtes De keuze voor de onderzoeksmethode hangt af van wat je op basis van de omschrijving van de beheersmaatregel wilt vaststellen. Vaak is al direct te herleiden welke methode het meest voor de hand ligt en de grootste betrouwbaarheid biedt. Voorbeeld Als uit de beheersmaatregel blijkt dat functie X een bepaalde handeling moet uitvoeren en deze moet vastleggen in systeem Y, dan is het logisch om functie X te interviewen en in systeem Y te controleren of de vastlegging daadwerkelijk plaatsvindt. Indien mogelijk kan ook observatie worden toegepast om het proces rechtstreeks waar te nemen. Tests bij systeemtoetsen worden als volgt geformuleerd: “Stel vast door middel van [methode(n) voor gegevensverzameling] dat [te toetsen beheersmaatregel] bestaat en werkt.” Tests bij performancetoetsen worden als volgt geformuleerd: “Stel vast door middel van [methode(n) voor gegevensverzameling] in hoeverre [norm].” De betrouwbaarheid van de audit wordt verhoogd door zoveel mogelijk gebruik te maken van triangulatie: het combineren van verschillende onderzoeksmethoden, bronnen en/of onderzoekers bij het beoordelen van een beheersmaatregel. Triangulatie zorgt ervoor dat bevindingen worden bevestigd vanuit meerdere invalshoeken, wat de kans op een vertekend beeld verkleint. Tijdens deze stap wordt ook een bronnenmatrix opgesteld. Een bronnenmatrix geeft in één overzicht weer welke bronnen worden gebruikt om iedere beheersmaatregel te testen. Hieruit blijkt dus ook gelijk of triangulatie is toegepast. Bronnenmatrix Het testplan wordt doorgaans in een kolom naast het referentiemodel opgenomen. Tijdens het veldwerk worden hieraan de testresultaten en conclusies toegevoegd. Testplan AI kan je helpen bij het opstellen van het testplan. Ferocia heeft een AI-agent ontwikkeld die, op basis van het referentiemodel, automatisch een eerste opzet van het testplan genereert. Stap 7. Opstellen auditplanning De auditplanning maakt concreet welke activiteiten in welke volgorde plaatsvinden, hoe lang ze duren (doorlooptijd in weken) en hoeveel tijd het auditteam eraan besteedt (bewerkingstijd in uren). Dit overzicht helpt om realistische verwachtingen te scheppen, de werkdruk te verdelen en de voortgang te monitoren. Voorbeeld auditplanning Ook wordt een urenplanning per auditor opgesteld. Deze planning laat zien hoeveel werkuren iedere auditor aan de afzonderlijke auditactiviteiten besteedt. Het totaal aantal uren in deze individuele urenplanningen moet altijd exact overeenkomen met het totaal aantal uren in de auditplanning. Voorbeeld urenplanning per auditor Stap 8. Samenstellen auditontwerp In deze laatste stap worden de resultaten van alle voorgaande fasen samengevoegd tot één integraal document: het auditontwerp. Het auditontwerp bestaat uit: Aanleiding en kennisbehoefte Auditobject Problematiek Krachtenveld Kennisbehoefte Scope en afbakening Auditdoelstelling Auditplanning Bijlage: Referentiemodel en testplan Let op! Stem het auditontwerp altijd af met de opdrachtgever. Pas na akkoord kan het veldwerk van start gaan. Fase 2: Veldwerk In de tweede fase wordt het testplan uitgevoerd. Dit houdt in dat documentanalyses en steekproeven van registraties worden uitgevoerd, en dat de geplande observaties, interviews en enquêtes plaatsvinden. Stap 1. Verzamelen van gegevens De verzamelde gegevens/data worden vastgelegd in een datamatrix. Deze matrix is gebaseerd op de bronnenmatrix. Waar in de bronnenmatrix kruisjes aangeven welke bronnen per beheersmaatregel worden geraadpleegd, bevat de datamatrix per bron de verzamelde gegevens die als basis dienen voor de analyse. Datamatrix Stap 2. Analyseren van gegevens Om de verzamelde gegevens te kunnen analyseren, worden ze geclassificeerd volgens een scoresysteem. Veelal wordt hiervoor een vierpuntsschaal gehanteerd: · (--) De beheersmaatregel bestaat niet · (-) De beheersmaatregel werkt niet altijd · (+) De beheersmaatregel werkt vrijwel altijd · (++) De beheersmaatregel werkt altijd Datamatrix met scores Het is aan te raden om deze scores samen met een collega-auditor vast te stellen. Iedere auditor beoordeelt eerst zelfstandig de beheersmaatregelen, waarna de verschillen in scores gezamenlijk worden besproken. Op deze manier wordt consensus bereikt en de objectiviteit vergroot. Op basis van de modus (meest voorkomende waarde) of mediaan (middelste waarde) wordt vervolgens het testresultaat per beheersmaatregel bepaald. Soms is dit niet goed mogelijk, omdat de scores van de verschillende bronnen te veel van elkaar afwijken. In dat geval is uitbreiding noodzakelijk. Indien dit niet mogelijk is, is het beter om niet te oordelen. Eventueel kan er nog een wegingsfactor toegepast worden, als men bijvoorbeeld van mening is dat het antwoord van de directeur zwaarder of juist minder zwaar weegt dan het antwoord van de teamleider. Datamatrix met testresultaat Let op! Het samenvoegen (oprollen) van de testresultaten per beheersmaatregel tot een of meer conclusies is aan het professionele oordeel van de auditor. De datamatrix vormt de brug tussen de test enerzijds en het testresultaat anderzijds in het testplan. Het is niet alleen een praktisch hulpmiddel om objectief te bepalen of een beheersmaatregel bestaat en werkt, maar ook een krachtig communicatiemiddel richting de opdrachtgever. Met de datamatrix kan de auditor helder onderbouwen waar bevindingen op zijn gebaseerd. Hierdoor wordt de auditrapportage volledig reproduceerbaar en ontstaat er automatisch een duidelijke audittrail. Testplan en datamatrix Fase 3: Rapportage In de derde fase staat de rapportage centraal. Deze fase bestaat uit drie hoofdstappen: het opstellen en delen van het conceptrapport, het faciliteren van een workshop om oorzaken en verbeteracties vast te stellen, en het opstellen en delen van het definitieve rapport. Aansluitend volgt de monitoring van de afgesproken verbeteracties. Stap 1. Opstellen conceptrapport Het conceptrapport bevat: Aanleiding en kennisbehoefte Scope en afbakening Auditdoelstelling Conclusies Bijlage 1: Referentiemodel Bijlage 2: Nota van bevindingen De eerste drie onderdelen en het referentiemodel kunnen grotendeels ongewijzigd uit het auditontwerp worden overgenomen. De conclusies worden gebaseerd op de testresultaten. Daarnaast wordt een nota van bevindingen opgesteld volgens de SPROA-methodiek: een gestructureerd analysekader waarmee problemen helder worden beschreven en de basis wordt gelegd voor structurele oplossingen. In het conceptrapport worden per niet-werkende beheersmaatregel de eerste drie onderdelen van SPROA opgenomen: Situatie (S): Feitelijke bevindingen van de auditor zoals deze blijken uit de datamatrix en zijn vastgelegd in de testresultaten. Probleem (P): De constatering of er daadwerkelijk sprake is van een probleem ten aanzien van de beheersing (systeemtoets) of doelrealisatie (performancetoets), bedoeld om urgentie te creëren bij de opdrachtgever. Risico (R): De mogelijke gevolgen als het probleem zich voordoet (overeenkomstig het risico in het referentiemodel). De O (Oorzaak) en A (Actie) volgen pas in het definitieve rapport. Voorbeeld nota van bevindingen (SPR) Het conceptrapport wordt gedeeld binnen de vooraf afgesproken kring, in ieder geval met de opdrachtgever. Stap 2. Organiseren workshop In de tweede stap organiseert de auditor een workshop met betrokken managers en medewerkers uit de eerste lijn. Tijdens deze sessie worden: de achterliggende oorzaken van ineffectieve beheersmaatregelen onderzocht; concrete, SMART-geformuleerde verbeteracties opgesteld (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden); en voor elke actie een verantwoordelijke eigenaar en deadline vastgesteld. Door de verantwoordelijkheid voor de analyse en oplossingsvorming bij de eerste lijn zelf te beleggen, ontstaat meer draagvlak en eigenaarschap voor de uitvoering van de verbetermaatregelen. Stap 3. Opstellen definitief rapport In de derde stap wordt het conceptrapport aangevuld met de resultaten uit de workshop. Hiermee wordt de nota van bevindingen compleet gemaakt volgens de SPROA-methodiek, door de laatste twee onderdelen toe te voegen: Oorzaak (O): De achterliggende redenen van het probleem, zoals vastgesteld tijdens de workshop. Door de oorzaken weg te nemen, wordt een structurele oplossing mogelijk. Actie (A): De overeengekomen SMART-geformuleerde verbeteracties, inclusief de verantwoordelijke eigenaar en de afgesproken deadline. Het definitieve rapport wordt gedeeld binnen de vooraf afgesproken kring, met de opdrachtgever en andere relevante stakeholders, zodat de verbeteracties formeel zijn vastgelegd en de uitvoering kan starten. Voorbeeld nota van bevindingen (SPROA) Stap 4. Monitoring Na afronding van het definitieve rapport start de monitoringsfase. Het doel van monitoring is vaststellen of de overeengekomen verbeteracties daadwerkelijk zijn uitgevoerd en of de beoogde effecten zijn bereikt. Het gaat hierbij dus niet om het meten van inspanningen, maar om het beoordelen van effectiviteit: zijn de beheersmaatregelen nu wel in staat om het risico te mitigeren? De eerste lijn is primair verantwoordelijk voor deze monitoring. Zij leggen periodiek vast welke verbeteracties zijn afgerond en tonen aan of de beheersmaatregelen naar verwachting blijvend zullen werken. Dit noemen we ook wel first line monitoring. Indien uit de monitoring blijkt dat een maatregel nog steeds ineffectief is, wordt direct een nieuwe oorzaakanalyse uitgevoerd en worden aanvullende verbeteracties geformuleerd. De tweede lijn kan de voortgang steekproefsgewijs toetsen. De rol van de auditor (derde lijn) is het beoordelen van de kwaliteit van de eerste- en tweedelijnsmonitoring. Zo wordt gewaarborgd dat het risicobeheer structureel op orde blijft en iedere lijn haar eigen verantwoordelijkheid behoudt. Conclusie Auditmethodiek 2.0 biedt auditors een gestructureerde, praktijkgerichte aanpak waarmee audits niet alleen voldoen aan de hoogste kwaliteitseisen, maar ook aantoonbaar bijdragen aan doelrealisatie, effectieve sturing en robuuste risicobeheersing. Door de audit op te bouwen in drie fasen: voorbereiding, veldwerk en rapportage – en elke stap te ondersteunen met concrete werkwijzen, AI-tools en herkenbaar taalgebruik, wordt de kans vergroot dat de opdrachtgever de uitkomsten herkent, erkent en benut. Een belangrijk fundament hierbij is het referentiemodel, dat in co-creatie met de eerste lijn wordt opgesteld. Dit zorgt voor een gemeenschappelijk begrippenkader, verhoogt de objectiviteit en beperkt discussies over bevindingen, omdat vooraf overeenstemming is bereikt over de normen waaraan wordt getoetst. De inzet van de SPROA-methodiek in de rapportagefase en het faciliteren van workshops met de eerste lijn vergroten het draagvlak en leiden tot structurele verbeteringen. Door de monitoring bij de eerste lijn te beleggen en internal audit een toetsende rol te geven, verschuift de focus van inspanningscontrole naar effectmeting. Zo blijft het risicobeheer structureel geborgd, terwijl internal audit haar onafhankelijke rol behoudt en maximaal meerwaarde levert. Kortom: auditors die kiezen voor Auditmethodiek 2.0 zetten een belangrijke stap naar relevantere en impactvollere audits. Bronnen Bos, P. W., Korte, R. W., & Otten, J. (2017). Management control auditing: bijdragen aan doelrealisatie en verbetering . Auditing.nl . Driessen, A., & Molenkamp, A. (2012). Internal auditing: een managementkundige benadering . Vakmedianet. Hartog, P.A, Molenkamp A. & Otten J.H.M. (1992). Kwaliteit van administratieve dienstverlening: managen is integreren . Kluwer. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

There’s Nothing Here... We can’t find the page you’re looking for. Check the URL, or head back home. Go Home

There’s Nothing Here... We can’t find the page you’re looking for. Check the URL, or head back home. Go Home