Zoekresultaten

Vergroot je impact met de opleiding risicomanagement van Ferocia. Leer risico’s beheersen, draagvlak creëren en pas je opgedane kennis direct toe. Alle blogs Opleiding en training, Risicomanagement Opleiding risicomanagement Iedere organisatie, groot of klein heeft ermee te maken: risico’s. Of het nu gaat om cyberdreigingen, veranderende wetgeving, operationele afhankelijkheden of reputatieschade, risico’s zijn overal. Toch blijkt effectief risicomanagement in de praktijk vaak een uitdaging. Want hoe breng je risico’s gestructureerd in kaart? Hoe zorg je voor draagvlak bij collega’s? En belangrijker nog: hoe zorg je ervoor dat risicobeheersing bijdraagt aan het behalen van organisatiedoelen? Daarvoor is de opleiding Risicomanagement van Ferocia ontwikkeld. Praktisch, verdiepend en direct toepasbaar. In deze blog lees je wat risicomanagement inhoudt, wat je leert tijdens de opleiding, wat je erna kunt, voor wie de opleiding bedoeld is en hoe de opleiding risicomanagement is opgebouwd. Wat is risicomanagement? Risicomanagement is meer dan alleen het signaleren van dreigingen. Het is een manier van denken en werken die organisaties helpt hun doelstellingen te realiseren in een continu veranderende omgeving. Goed risicomanagement betekent dat je proactief omgaat met onzekerheden en kansen. Dat je risico’s niet als bedreiging ziet, maar als stuurinformatie voor betere besluitvorming. Risico’s veranderen razendsnel. Organisaties staan voor de uitdaging om deze continu te identificeren, te beoordelen en te beheersen. Denk aan nieuwe technologieën, strengere wet- en regelgeving of veranderingen in klantgedrag. Wie daar niet op anticipeert, loopt achter de feiten aan. Maar risicomanagement is geen losstaande functie of afdeling. Het moet onderdeel zijn van het DNA van de hele organisatie. Dat vraagt om professionals die niet alleen methodieken beheersen, maar ook weten hoe je anderen meeneemt, draagvlak creëert en daadwerkelijk tot actie aanzet. En precies dat leer je in deze cursus. Wat leer je tijdens de opleiding risicomanagement? In acht interactieve dagdelen leer je hoe je risicomanagement integraal en effectief toepast binnen jouw organisatie. Van strategie tot operatie. Van theorie tot praktijk. Je verdiept je onder andere in: de rol van corporate governance en risicomanagementbeleid; verschillende controlmodellen; de risicomanagementcyclus: van risicobeoordeling tot opvolging; het opstellen van een risico/controlmatrix; het ontwikkelen van testplannen voor zowel first line als second line monitoring; het faciliteren van risk control self assessments (RCSA’s); effectieve gesprekstechnieken om risicobewustzijn te vergroten; en het creëren van draagvlak voor jouw inzichten en voorstellen. De cursus combineert theoretische verdieping met praktische opdrachten. Zo werk je tijdens de opleiding aan een concreet risicomanagementvraagstuk binnen jouw eigen organisatie. Dat maakt het niet alleen leerzaam, maar ook direct relevant. Wat kan ik nadat ik de opleiding risicomanagement heb afgerond? Na afloop van deze opleiding risicomanagement beschik je over de kennis en vaardigheden om zelfstandig risicomanagement binnen jouw organisatie te versterken of verder te professionaliseren. Je kunt: risicomanagement positioneren binnen het bredere governance- en controlraamwerk; een risicoanalyse uitvoeren en opvolgen met een concrete risico/controlmatrix; controlmaatregelen ontwerpen, toetsen en verbeteren; collega’s meenemen in risicobewust denken en handelen; en risicomanagement verankeren in de praktijk van jouw organisatie. Voor wie is deze opleiding risicomanagement bedoeld? De cursus is ontwikkeld voor professionals die in hun functie te maken hebben met beheersing, control of risico’s en daar een actievere rol in willen pakken. Denk aan: Controllers; Risk officers; Compliance officers; Medewerkers AO/IC; Kwaliteitsmanagers; Procesverantwoordelijken; (Operational, IT- of financial) auditors; Accountants. Of je nu net begint met risicomanagement of je bestaande kennis wilt verdiepen en verbreden: deze cursus biedt jou de tools en inzichten om direct impact te maken. Wel is een HBO werk- en denkniveau vereist om de stof goed te kunnen volgen. De werkvorm: praktijkgericht en interactief Ferocia gelooft in leren door te doen. Daarom bestaat de cursus uit een mix van: vier lesdagen (acht dagdelen), met interactieve sessies, cases en groepsopdrachten; twee e-learnings , die je zelfstandig en op je eigen tempo kunt volgen; praktijkopdrachten , waarmee je leert door aan de slag te gaan met jouw eigen organisatievraagstukken; en rollenspellen en simulaties , zodat je je gesprekstechnieken en adviesvaardigheden ontwikkelt. De bijeenkomsten kun je zowel fysiek als online bijwonen via de zogeheten mixed classrooms . Dat maakt de cursus toegankelijk, flexibel en goed te combineren met een drukke werkagenda. Wie zijn de docenten? De opleiding risicomanagement wordt verzorgd door ervaren experts die theorie en praktijk feilloos weten te verbinden: Björn Walrave – Docent aan de UvA (RO en RE opleiding), hoofdredacteur van Audit Magazine en ervaren audit- en riskprofessional. Mark Daamen – Docent Hogeschool avans+ en begeleider van professionals en organisaties op het gebied van auditing, control en risicomanagement. Karin van der Lelij – Specialist in het opleiden, coachen en adviseren van control- en risicoteams met een scherp oog voor strategie en leerbehoeften. Hun kracht? Ze weten wat er speelt in het veld en vertalen dat naar concrete handvatten waar jij morgen mee aan de slag kunt. Waarom kiezen voor Ferocia? Ferocia staat voor impactvol leren. Geen stoffige colleges, maar dynamische programma’s waarin jouw praktijk centraal staat. Onze aanpak combineert: inspiratie (kennis die je prikkelt); co-creatie (leren met en van elkaar); en prestatie (direct toepassen en resultaat boeken). Met deze cursus til je jouw professionele rol naar een hoger niveau en lever je direct toegevoegde waarde aan je organisatie. Meer informatie over de cursus risicomanagement vind je hier . Naast de cursus risicomanagement biedt Ferocia ook een tweedaagse training risicomanagement aan. Meer informatie over deze training vind je hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Volg een actuele, praktijkgerichte opleiding Internal auditing bij Ferocia & Avans+. Kies Operational of IT-auditing en versterk jouw rol als interne auditor. Alle blogs Internal auditing Opleiding Internal auditing Wat is internal auditing? Internal auditing is het vakgebied dat organisaties helpt grip te krijgen op risico’s, processen en IT-systemen. Internal auditors beoordelen onafhankelijk de kwaliteit van interne beheersmaatregelen en geven op basis daarvan onderbouwd advies over mogelijke verbeteringen. Ze onderzoeken of processen effectief verlopen, of risico’s adequaat worden beheerst en of wet- en regelgeving wordt nageleefd. De internal auditor is veel meer dan een controleur: het is een strategische sparringpartner van bestuur en management. Vanuit een onafhankelijke positie stelt de auditor kritische vragen, benoemt blinde vlekken en helpt de organisatie beter voorbereid te zijn op interne én externe ontwikkelingen. Door structuur aan te brengen in het beheersen van risico’s en het verbeteren van processen, draagt internal auditing bij aan betere besluitvorming, verantwoordingsinformatie en structurele verbetering van prestaties. Twee specialisaties binnen internal auditing Binnen het vakgebied van internal auditing zijn twee specialisaties toonaangevend: operational auditing en IT-auditing . Beide richten zich op het versterken van interne beheersing, maar doen dat vanuit een ander perspectief. Operational auditing is gericht op het beoordelen van bedrijfsprocessen en de effectiviteit van beheersmaatregelen. De focus ligt op de vraag of processen efficiënt, effectief en risicobewust zijn ingericht. Een operational auditor onderzoekt niet alleen of bestaande werkwijzen aansluiten bij organisatiedoelen, maar adviseert ook over mogelijke verbeteringen. Denk aan het optimaliseren van de samenwerking tussen afdelingen, het terugdringen van fouten of verspilling, en het versterken van interne controles. IT-auditing daarentegen zoomt in op de digitale kant van de organisatie. IT-auditors beoordelen of IT-systemen betrouwbaar, veilig en goed beheerd zijn. Daarbij onderzoeken zij onder meer of systemen beschikbaar zijn wanneer nodig, of data juist en volledig is (integriteit), en of gevoelige informatie goed wordt beschermd (vertrouwelijkheid). Ook toets je als IT-auditor of de organisatie voldoet aan relevante wet- en regelgeving, zoals de AVG of sectorspecifieke normen. Beide specialisaties binnen internal auditing leveren een waardevolle bijdrage aan het inzicht in risico’s en de kwaliteit van beheersing — en vormen samen een krachtige combinatie voor organisaties die in control willen zijn. Opleiding Internal auditing: kies jouw specialisatie Een opleiding Internal auditing is pas echt waardevol als deze aansluit bij de praktijk en inspeelt op de complexiteit van het vak. Daarom kies je bij Ferocia en Avans+ niet voor een algemene verzamelopleiding, maar voor twee gerichte postbacheloropleidingen die elk een belangrijk specialisme binnen internal auditing behandelen. Postbacheloropleiding Operational auditing De opleiding Operational auditing richt zich op het beoordelen en verbeteren van processen binnen organisaties. Als operational auditor analyseer je risico’s, toets je de werking van interne beheersmaatregelen en geef je onderbouwde verbeteradviezen. Tijdens deze opleiding internal auditing werk je aan een auditopdracht in je eigen praktijkomgeving, onder begeleiding van ervaren docenten. Zo ontwikkel je je tot een kritische, resultaatgerichte auditor met impact. Postbacheloropleiding IT-auditing De opleiding IT-auditing is bedoeld voor professionals die digitale risico’s willen beheersen. IT-auditors onderzoeken onder meer of systemen veilig zijn, data betrouwbaar is en wet- en regelgeving wordt nageleefd. Denk aan thema’s zoals informatiebeveiliging, systeemintegriteit en privacybescherming. Deze opleiding internal auditing geeft je alle kennis en tools om IT-systemen effectief te beoordelen en organisaties digitaal ‘in control’ te brengen. Versterk jouw organisatie met een gecombineerde opleiding Internal auditing Heb je bij Ferocia en Habeo+ al een opleiding Internal auditing gevolgd, zoals Operational auditing of IT-auditing? Dan kun je de tweede opleiding in verkorte vorm én tegen een gereduceerd tarief volgen. Dankzij deze modulaire opzet breid je jouw expertise uit van processen naar IT of andersom. Zo ontwikkel je je tot een allround internal auditor met brede inzetbaarheid en diepgaande kennis. Met de gecombineerde opleidingen Internal auditing van Ferocia en Avans+ vergroot je jouw toegevoegde waarde binnen elke organisatie. Waarom kiezen voor Ferocia en Habeo+? Ferocia en Habeo+ bundelen hun krachten om professionals op te leiden tot krachtige internal auditors die direct impact maken in de praktijk. Onze opleidingen onderscheiden zich door hun combinatie van theoretische diepgang, praktijkgericht leren én actualiteit. Je krijgt les van ervaren auditors en docenten uit het werkveld, werkt aan een echte auditopdracht binnen je eigen organisatie en leert in een groep met gelijkgestemde professionals. De lesstof is actueel en sluit aan bij de nieuwste ontwikkelingen in het vak, zoals het gebruik van AI in audits en de toepassing van de meest moderne vorm van auditmethodiek (auditmethodiek 2.0). Zo ontwikkel je niet alleen kennis, maar ook vaardigheden en zelfvertrouwen om als volwaardig sparringpartner op te treden. Met een diploma van Ferocia en Avans+ ben je optimaal voorbereid op de uitdagingen van morgen. Wil jij je ontwikkelen tot een allround internal auditor die écht het verschil maakt? Schrijf je dan nu in voor de postbacheloropleiding Operational auditing of IT-auditing van Ferocia en Habeo+, en geef jouw carrière een boost! Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Voorkom papieren risicoanalyses en versterk besluitvorming. Ontdek effectieve methodes en valkuilen voor een succesvolle risicoanalyse. Alle blogs Risicomanagement Risicoanalyse Iedere organisatie krijgt ermee te maken: risico’s. Van kleine operationele incidenten tot strategische dreigingen die de continuïteit onder druk zetten. En dus voeren we risicoanalyses uit. Tenminste… dat denken we. In de praktijk blijkt dat veel analyses blijven steken in papieren exercities, onduidelijke terminologie of generieke risico-overzichten waar niemand echt iets mee doet. Hoe komt dat, wat is een risicoanalyse eigenlijk, en hoe doe je het dan wel goed? In deze blog duiken we hier dieper in; van definitie en valkuilen tot methodes en praktijktoepassingen. Ook lees je hoe Ferocia organisaties ondersteunt om risicoanalyse te verbinden aan resultaat, gedrag en besluitvorming. Wat is een risicoanalyse? Een risicoanalyse is het proces waarbij een organisatie systematisch identificeert, beoordeelt en prioriteert welke risico’s haar doelstellingen kunnen bedreigen. Het doel is om inzicht te krijgen in de risico’s die er echt toe doen, zodat er passende (beheers)maatregelen getroffen kunnen worden. Een goede risicoanalyse geeft antwoord op vragen als: Wat kan er misgaan? Hoe groot is de kans dat het gebeurt? Wat is het mogelijke effect op onze doelstellingen? Hoe effectief zijn onze bestaande beheersmaatregelen? Wat accepteren we, en wat niet? Het is een hulpmiddel, geen doel op zich. Een goede risicoanalyse ondersteunt besluitvorming, versterkt sturing en vergroot het risicobewustzijn binnen de organisatie. De valkuilen van een risicoanalyse In de praktijk zien we dat risicoanalyses vaak tekortschieten. Dit zijn de meest voorkomende valkuilen: 1. Te abstract Risico’s worden soms zo breed geformuleerd (“marktverandering”, “cyberdreiging”), dat niemand weet wat er echt bedoeld wordt. 2. Verwarring over begrippen Begrippen als risico, kans, impact, restrisico en beheersmaatregel worden door elkaar gebruikt of verschillend geïnterpreteerd. Dit leidt tot verwarring en inconsistente analyses. 3. Geen aansluiting bij besluitvorming Veel risicoanalyses eindigen in rapporten die in een la verdwijnen. De uitkomsten worden niet gekoppeld aan sturing, budgettering of organisatiedoelstellingen. 4. Te lineair en instrumenteel De analyse wordt als een check-the-box-activiteit uitgevoerd, lijstje invullen en vinkjes zetten. Gedrag, cultuur en interactie blijven buiten beeld, terwijl daar vaak juist de echte risico’s zitten. 5. Geen betrokkenheid van de business De risicoanalyse wordt vaak uitgevoerd door riskmanagers of compliance officers, zonder betrokkenheid van afdelingen of het lijnmanagement. Dan blijft het een papieren werkelijkheid. Methoden voor risicoanalyse Er zijn verschillende methoden om risico’s te analyseren. Welke geschikt is, hangt af van het doel, de context en het type risico’s. 1. Klassieke risico-inventarisatie (Kans x Impact) De meest gebruikte methode: je benoemt risico’s, schat de kans en impact in (bijvoorbeeld op een schaal van 1–5) en maakt een risicomatrix. Simpel en snel, maar gevoelig voor subjectiviteit. 2. Risk Control Self Assessment (RCSA) Bij een RCSA beoordelen medewerkers zelf, vaak in workshops, welke risico’s er zijn in hun proces en hoe goed de beheersmaatregelen werken. Deze methode vergroot eigenaarschap, bewustwording en betrokkenheid. 3. Bowtie-analyse Een visuele methode waarbij je de relatie tussen oorzaken, risico’s en gevolgen in kaart brengt, inclusief beheersmaatregelen. Helpt om de logica achter risico’s te begrijpen. 4. SWIFT (Structured What-If Technique) Een semi-gestructureerde brainstormmethode waarbij je scenario’s doorloopt: “Wat als X gebeurt?” Handig voor complexe processen of projecten. 5. FTA (Fault Tree Analysis) en ETA (Event Tree Analysis) Meer technische methodes voor het analyseren van oorzaken en gevolgen in ketens of technische systemen. Vaak gebruikt in industrie of IT. 6. Monte Carlo-simulatie Een kwantitatieve aanpak waarbij risico’s en variabelen worden doorgerekend op basis van duizenden scenario’s. Wordt vooral toegepast bij financiële of projectrisico’s. Hoe voer je een effectieve risicoanalyse uit? Een effectieve risicoanalyse herken je aan deze vijf kenmerken: 1. Vooraf helder doel en scope bepalen Gaat het om een proces, project of organisatiebreed? Hoe duidelijker de scope, hoe gerichter de analyse. 2. Taal en definities afstemmen Zorg dat iedereen die betrokken is, dezelfde begrippen en definities hanteert. Dit voorkomt miscommunicatie. Maak een risicotaxonomie en train mensen in het gebruik ervan. 3. Betrek de business actief Risico’s worden pas tastbaar als ze besproken worden met de mensen die het werk doen. Werk met workshops, interviews of RCSA-sessies. Laat mensen zelf risico’s benoemen en beoordelen. 4. Gebruik meerdere perspectieven Combineer data, proceskennis, interne audits, externe ontwikkelingen en menselijk gedrag. Analyseer niet alleen de ‘harde’ risico’s, maar ook cultuur, houding en motivatie. 5. Koppel risico’s aan doelen, sturing en gedrag Een risicoanalyse is pas effectief als de uitkomsten leiden tot actie. Koppel risico’s aan KPI’s, strategie en jaarplannen. Zorg voor eigenaarschap en opvolging. Hoe Ferocia helpt bij risicoanalyse Bij Ferocia geloven we niet in papieren exercities of standaardlijstjes. Wij helpen organisaties om risicoanalyses wél effectief te maken – als levend instrument dat richting geeft. Dat doen we op vijf manieren: 1. Training en opleiding Via opleidingen zoals Integraal Risicomanagement of masterclasses als RCSA in de praktijk helpen we professionals om risicoanalyse te begrijpen, toe te passen én te verankeren in hun organisatie. 2. Workshops en begeleiding op maat We begeleiden teams bij het uitvoeren van RCSA’s, bowtie-analyses of risicoworkshops. Daarbij zorgen we voor structuur, duidelijke definities en ruimte voor reflectie en gedrag. 3. Advies en co-creatie Samen met jouw organisatie ontwikkelen we een aanpak die werkt: afgestemd op jullie processen, cultuur en strategie. Geen blauwdruk, maar maatwerk. 4. Tooling en templates We bieden praktische formats en methodieken om risicoanalyses eenvoudig en consistent uit te voeren. Daarmee creëren we overzicht én diepgang. 5. Verbinding met control, audit en strategie Wij zorgen dat risicoanalyse niet op zichzelf staat, maar verbonden is met de interne controlcyclus, de auditagenda en strategisch risicomanagement. Tot slot: een risicoanalyse is geen doel, maar een middel Een risicoanalyse is pas waardevol als het gedrag verandert, besluitvorming verbetert en risico’s echt beheerst worden. Dat vraagt om meer dan een matrixje invullen. Het vraagt om een gedeeld begrip van risico’s, om scherpe analyses, en om een cultuur waarin mensen verantwoordelijkheid nemen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe je een ISAE 3402-verklaring effectief inricht en onderhoudt. En voorkom dat het een papieren tijger wordt zonder strategische waarde. Alle blogs TPM ISAE 3402 verklaring Zo haal je echt waarde uit je ISAE 3402-verklaring. Van verplicht vinkje naar integraal onderdeel van je interne beheersing De vraag is zelden of je een ISAE 3402-verklaring nodig hebt. Zeker niet als je organisatie diensten levert die impact hebben op de beheersing van klanten. De echte uitdaging zit in de hoe: Hoe richt je die verklaring zo in dat het geen jaarlijks hoofdpijndossier wordt? Hoe zorg je dat de controls niet alleen op papier kloppen, maar ook in de praktijk werken? En hoe maak je er een instrument van waar je organisatie echt beter van wordt? Want dat kan! Want als je ISAE 3402 slim aanpakt, levert het veel meer op dan een ‘groen vinkje’ voor de accountant. ISAE 3402 verklaring Zo haal je echt waarde uit je ISAE 3402-verklaring. Van verplicht vinkje naar integraal onderdeel van je interne beheersing De vraag is zelden of je een ISAE 3402-verklaring nodig hebt. Zeker niet als je organisatie diensten levert die impact hebben op de beheersing van klanten. De echte uitdaging zit in de hoe: Hoe richt je die verklaring zo in dat het geen jaarlijks hoofdpijndossier wordt? Hoe zorg je dat de controls niet alleen op papier kloppen, maar ook in de praktijk werken? En hoe maak je er een instrument van waar je organisatie echt beter van wordt? Want dat kan! Want als je ISAE 3402 slim aanpakt, levert het veel meer op dan een ‘groen vinkje’ voor de accountant. ISAE 3402: meer dan compliance Veel organisaties zien de ISAE 3402-verklaring nog altijd als een verplicht nummer. Iets wat je doet voor de auditor, of voor een klant die het nu eenmaal vraagt. Daardoor belanden ze in een jaarlijks repeterend patroon: Documenten verzamelen Control descriptions actualiseren Risicoanalyse herzien (maar vaak alleen oppervlakkig) Testplan afronden vóór de deadline En zodra de controle erop zit? Dan verdwijnt het hele framework weer in een digitale la. Tot volgend jaar. Zonde . Want wie ISAE 3402 serieus en strategisch inzet, creëert een structuur die: inzicht geeft in de volwassenheid van processen; houvast biedt aan klanten en toezichthouders; en rust en zekerheid geeft binnen je eigen organisatie. Dan wordt ISAE geen last, maar een kans. De drie grootste valkuilen Om die stap te maken, moet je eerst begrijpen waar het meestal misgaat. Drie valkuilen zie je in veel trajecten terug: 1. Je bouwt voort op verouderde processen Een klassieke fout: bij de (her)inrichting van het ISAE-framework neem je het bestaande procesmodel als uitgangspunt. Handig, denk je. Maar stel jezelf eens deze vragen: Zijn je processen sinds de vorige verklaring veranderd? Is er sprake van automatisering, hybride werken of outsourcing? Is je dienstverlening verschoven naar andere producten of markten? Als het antwoord op één van deze vragen ‘ja’ is, dan is je oude procesmodel geen stevig fundament meer en sluit je verklaring niet langer aan bij de praktijk. 2. De control descriptions zijn onbegrijpelijk Te technisch, te abstract of juist zo gedetailleerd dat niemand er nog chocola van kan maken. De control descriptions zijn het hart van je verklaring. En als die niet goed zijn, klopt de rest ook niet. Een goede control voldoet aan drie eisen: Begrijpelijk : proceseigenaren moeten snappen waar de control over gaat. Toetsbaar : auditors moeten objectief kunnen vaststellen of de control werkt. Toepasbaar : de control moet realistisch uitvoerbaar zijn binnen het proces. Kwaliteit zit dus niet in de hoeveelheid, maar in de scherpte ervan. Vijf heldere, werkende controls zijn waardevoller dan twintig wollige maatregelen die niemand echt uitvoert. 3. Geen eigenaarschap in de lijn Zolang ISAE 3402 ‘iets is van audit of compliance’, zal het nooit echt gaan leven. Je wilt dat proceseigenaren zich verantwoordelijk voelen voor hun beheersmaatregelen. Dat zij snappen waarom die controls er zijn. En dat zij zelf actief bijdragen aan het onderhoud en de verbetering ervan. Zonder dat eigenaarschap verwordt je verklaring tot een papieren tijger. Mooi op papier, maar nutteloos in de praktijk. Zo til je ISAE 3402 naar een hoger niveau De stap van compliance naar continu verbeteren vraagt om een andere mindset en aanpak. Onderstaande tips helpen je op weg: 1. Begin opnieuw met je risicoanalyse Laat de bestaande versie even voor wat die is. En stel jezelf en je team opnieuw de fundamentele vraag: Wat zijn de risico’s in onze dienstverlening vandaag, met deze klanten, deze processen en deze systemen? Breng die risico’s concreet in kaart. Ga daarbij verder dan alleen financiële of operationele risico’s. Kijk ook naar: Technologische risico’s (bijv. afhankelijkheid van platforms of integraties) Organisatorische risico’s (bijv. personele krapte, hybride werken) Reputatierisico’s (bijv. bij een datalek of foutieve rapportage) Pas als je deze risico’s scherp hebt, kun je ook passende en effectieve controls formuleren. 2. Breng je controls naar de praktijk Laat niet alleen de audit- of complianceafdeling de controls beschrijven. Leg ze voor aan de mensen die het werk doen. Vraag hen: “Wat betekent deze control voor jouw werkdag?” Als ze het niet kunnen uitleggen, werkt de control niet. Dan is er of iets mis met de formulering of met de uitvoerbaarheid. Beide zijn een probleem en bieden tegelijk een kans om te verbeteren. Door proceseigenaren actief te betrekken, verhoog je de acceptatie en de kwaliteit van je controls. 3. Veranker ISAE in je governance Een ISAE-framework moet niet losstaan van de rest van je organisatie. Integendeel. Integreer je controls in bestaande managementprocessen, bijvoorbeeld: Koppel controls aan bestaande KPI’s en dashboards. Neem beheersmaatregelen op in kwartaalrapportages. Bespreek knelpunten structureel in RvB- of MT-overleggen. Zo houd je het onderwerp levend. En voorkom je dat het alleen in het voorjaar relevant is, als de audit eraan komt. ISAE 3402 is nooit ‘af’ Nieuwe technologieën, nieuwe klanten, nieuwe eisen van toezichthouders, alles verandert voortdurend. Dat betekent ook dat je ISAE-verklaring een levend document moet zijn. Niet een set documenten die je jaarlijks afvinkt, maar een dynamisch framework dat meebeweegt met je organisatie. Dat vraagt om: Continu herijken van je risico’s en controls. Periodieke reflectie op de effectiviteit van je beheersmaatregelen. Een cultuur waarin eigenaarschap voor beheersing breed wordt gedragen. Zie het als een kans: organisaties die hun ISAE 3402 slim inzetten, bouwen aan veerkracht, klantvertrouwen en interne rust. Ze kunnen met recht zeggen: wij zijn ‘in control’. Tot slot: zie ISAE als hefboom, niet als hinderpaal Een goed ingericht ISAE 3402-framework kost tijd en aandacht. Maar het levert ook veel op: Meer grip op je processen Beter onderbouwde keuzes Hogere klanttevredenheid Meer rust bij management en bestuur Of je nu net begint met een verklaring of al jaren een framework hebt: er valt altijd winst te behalen. Maar dan moet je wel durven kijken. En durven verbeteren. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ferocia helpt internal auditafdelingen bij voorbereiding en uitvoering van de externe kwaliteitstoetsing volgens GIAS. Versterk je auditfunctie en ontdek hoe. Alle blogs Internal auditing Kwaliteitstoetsing auditafdelingen Hoe Ferocia internal auditafdelingen ondersteunt bij de kwaliteitstoetsing De rol van de internal auditfunctie binnen organisaties is de afgelopen jaren aanzienlijk veranderd. Internal auditors worden tegenwoordig steeds vaker gezien als strategische partners die bijdragen aan governance, risicobeheersing en waardecreatie. Die ontwikkeling brengt ook een grotere verantwoordelijkheid met zich mee. Stakeholders verwachten dat auditafdelingen niet alleen voldoen aan wet- en regelgeving, maar ook dat zij aantoonbaar werken volgens de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA). Om dit te waarborgen, is er de ‘verplichte’ kwaliteitstoets, een periodieke beoordeling van de internal auditfunctie, uitgevoerd door een onafhankelijke partij. Voor veel auditafdelingen is dit een spannend en intensief traject. Hoe toon je aan dat je voldoet aan de kwaliteitscriteria? Hoe bereid je je voor op een externe toets? En hoe vertaal je de uitkomsten naar duurzame verbeteringen? Daar komt Ferocia in beeld. Ferocia als partner in kwaliteitstoetsing Ferocia ondersteunt internal auditafdelingen van A tot Z bij de kwaliteitstoetsing. Dat doen wij vanuit drie diensten: Audit readiness assessment. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS. Uitvoering van de externe kwaliteitstoets (Ferocia is gecertificeerd door het IIA). Door deze combinatie zijn wij voor auditafdelingen niet alleen een sparringpartner, maar ook een onafhankelijke beoordelaar die de kwaliteit van het vakgebied helpt versterken (uiteraard kunnen en willen wij dienstverlening 1 en 2 niet combineren met 3). 1. Audit readiness assessment: voorbereid de kwaliteitstoetsing in Een kwaliteitstoets kan voor auditteams een pittige exercitie zijn. Vaak heerst er onzekerheid: Hoe zit het met onze ethiek en professionele moed? Is onze auditcharter up-to-date? Sluiten onze werkprogramma’s voldoende aan op de standaarden? Hoe scoren we op onafhankelijkheid en objectiviteit? Met het audit readiness assessment helpt Ferocia auditafdelingen deze vragen te beantwoorden. Dit assessment is een grondige analyse die inzicht geeft in de huidige situatie en de mate van gereedheid voor de externe kwaliteitstoetsing. Wat houdt het in? Documentreview: We analyseren beleidsstukken, auditplannen, werkdossiers en rapportages. Interviews: We spreken met auditors, management en stakeholders om te toetsen hoe processen in de praktijk werken. Gap-analyse: We vergelijken de huidige werkwijze met de GIAS-criteria en brengen eventuele verbeterpunten in kaart. Het resultaat Een concreet rapport met: Sterke punten die de auditfunctie onderscheiden. Verbeterpunten die aandacht vragen voor de externe toets. Praktische aanbevelingen waarmee de afdeling direct aan de slag kan. Het readiness assessment geeft auditteams rust, duidelijkheid en een routekaart richting een succesvolle kwaliteitstoets. 2. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS De GIAS stelt duidelijke eisen aan de inrichting en uitvoering van internal auditfunctie. Denk aan ethiek, onafhankelijkheid, positionering binnen de organisatie, kwaliteit van werkprogramma’s en continue professionalisering van het team. Veel auditafdelingen ervaren dat het lastig is om deze criteria consequent door te vertalen naar hun eigen praktijk. Ferocia biedt hier gerichte ondersteuning. Hoe ondersteunen wij? Workshops & trainingen: Gericht op specifieke thema’s zoals onafhankelijkheid, rapportagekwaliteit of stakeholdermanagement. Coaching on the job: Onze experts werken samen met auditteams tijdens lopende audits en geven direct feedback. Template- en procesontwikkeling: We helpen bij het opstellen van praktische formats, auditplannen, auditcharter, etc. die voldoen aan de GIAS. Voorbeeld uit de praktijk Een middelgrote financiële instelling vroeg ons om hulp omdat hun auditfunctie wel operationeel draaide, maar onvoldoende aantoonbaar voldeed aan de GIAS. Ferocia heeft een maatwerk verbeterprogramma opgesteld, inclusief workshops voor het auditteam, begeleiding bij het actualiseren van het auditcharter en ondersteuning bij rapportages. Bij de externe toets werd het team geprezen om hun professionaliteit en verbeterkracht. 3. Externe kwaliteitstoets: onafhankelijk en gecertificeerd Uiteindelijk komt het moment dat de auditfunctie een externe kwaliteitstoets moet ondergaan. Deze toets is ‘verplicht’ voor internal auditfuncties die aangesloten zijn bij het IIA en biedt zekerheid aan de organisatie en haar stakeholders. Ferocia is gecertificeerd om deze externe kwaliteitstoetsen uit te voeren. Dat betekent dat wij onafhankelijk beoordelen of een auditafdeling voldoet aan de GIAS. Hoe verloopt de externe kwaliteitstoetsing? Voorbereiding: We bereiden de externe kwaliteitstoetsing voor en stellen een planning op. Onderzoek: Ferocia voert interviews, documentanalyses en dossierreviews uit. Beoordeling: We vergelijken de praktijk met de kwaliteitscriteria. Rapportage: Het auditteam ontvangt een rapportage met een gedetailleerd oordeel met onderbouwing en eventuele concrete aanbevelingen. Meerwaarde van Ferocia als toetsende partij Ervaring: Onze auditors hebben vele kwaliteitstoetsen uitgevoerd bij uiteenlopende organisaties. Praktische blik: We kijken niet alleen of criteria worden gehaald, maar ook hoe de auditfunctie zich verder kan ontwikkelen. Onafhankelijkheid: Als gecertificeerde partij borgen we een objectief en betrouwbaar oordeel. Waarom kiezen auditafdelingen voor Ferocia? De kracht van Ferocia zit in de combinatie van kennis, ervaring en betrokkenheid. We kennen de praktijk van internal auditing door en door. We combineren theoretische kennis van de GIAS met praktische inzichten uit tientallen organisaties. We denken niet alleen in termen van toetsing, maar ook in ontwikkeling en groei van de auditfunctie. Onze klanten waarderen dat wij niet alleen toetsen, maar ook meedenken over hoe hun afdeling sterker, professioneler en toekomstbestendiger kan worden. De impact van een externe kwaliteitstoets: meer dan een verplichting Soms wordt de externe kwaliteitstoets gezien als een administratieve verplichting. Maar in werkelijkheid is het veel meer dan dat. Een goed doorlopen kwaliteitstoets biedt: Vertrouwen bij bestuur en toezichthouders dat de auditfunctie onafhankelijk en professioneel opereert. Meerwaarde voor de organisatie, omdat verbeterpunten direct bijdragen aan betere governance en risicobeheersing. Professionele groei voor auditors zelf, doordat zij leren van feedback en best practices. Met de juiste voorbereiding en begeleiding kan een kwaliteitstoets zo veranderen van een “spannend examen” naar een kans om de auditfunctie naar een hoger niveau te tillen. Conclusie: Samen werken aan auditkwaliteit Internal auditafdelingen staan voor de uitdaging om niet alleen hun werk goed te doen, maar dit ook aantoonbaar te maken volgens internationale standaarden. De kwaliteitstoets is daarbij een krachtig instrument, mits goed voorbereid en uitgevoerd. Ferocia ondersteunt auditafdelingen op drie niveaus: Audit readiness assessment: inzicht en voorbereiding. Ondersteuning bij voldoen aan de GIAS: kennis, begeleiding en praktische tools. Externe kwaliteitstoets: onafhankelijk, gecertificeerd en met oog voor ontwikkeling. Zo helpen wij internal auditors niet alleen om de toets te halen, maar vooral om sterker en toekomstbestendiger uit het traject te komen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Veel risicobeleid faalt in de praktijk. Ontdek hoe je risicomanagement laat leven in je organisatie met 3 concrete pijlers voor duurzaam succes. Alle blogs Risicomanagement Waarom risicomanagement vaak niet werkt Veel organisaties hebben het op papier goed voor elkaar. Er ligt een risicomanagementbeleid, er zijn risicomatrixen, control frameworks en procedures die tot in detail zijn beschreven. Soms zelfs met keurige versies en goedgekeurd door de directie. Maar als je goed kijkt, doemt een ongemakkelijke vraag op: wordt dat beleid in de praktijk ook echt nageleefd? Worden risico’s tijdig herkend, geanalyseerd en beheerst? Of is het hele proces verworden tot een papieren tijger die in de kast verdwijnt tot de volgende risicosessie? Steeds meer organisaties erkennen dat effectieve risicobeheersing geen eenmalige inspanning is. Het werkt alleen als het een integraal onderdeel van de bedrijfsstrategie en -cultuur wordt. Niet als jaarlijkse verplichte ronde voor het jaarverslag, maar als een continu proces dat zichtbaar is in het dagelijks handelen van medewerkers.En vooral niet alleen in spreadsheets, maar merkbaar in het gedrag van mensen. De grootste valkuil: denken dat je ‘het geregeld hebt’ Een mooi en volledig risicodossier is geen garantie voor een weerbare organisatie. Het kan zelfs een vals gevoel van veiligheid geven. Juist in de dagelijkse praktijk ontstaat het verschil tussen formele risicobeheersing en daadwerkelijke weerbaarheid. Dat verschil zit vaak in ogenschijnlijk kleine dingen: Timing van de risicoanalyse Worden risico’s besproken bij de start van een project, of pas als de eerste problemen zich aandienen? Opvolging van afwijkingen Worden afwijkingen structureel opgepakt, of verdwijnen ze in de drukte van de dagelijkse operatie? Eigenaarschap Is risicobewustzijn ingebed in de hele organisatie, of wordt het gezien als “iets van de riskmanager”? We leven in een VUCA-wereld – vol Volatility, Uncertainty, Complexity en Ambiguity . In zo’n omgeving is risicomanagement niet alleen een methodiek maar een vaardigheid. De kernvraag wordt dan: Hoe zorg je dat risicobeheersing echt leeft in je organisatie? Drie pijlers voor duurzaam risicomanagement Een robuust risicomanagementsysteem is geen verzameling documenten, maar een set van werkende principes die gedragen worden door de hele organisatie. Drie pijlers zijn daarbij essentieel. 1. Van compliance naar cultuur Veel risicoprogramma’s stranden omdat ze worden ingericht als een compliance-oefening. Controles afvinken, rapportages maken en klaar. Dat is niet genoeg. Echte weerbaarheid ontstaat pas als er bewustwording en gedragsverandering plaatsvindt. Stel jezelf en je team vragen als: Waarom is dit risico belangrijk voor ons succes? Wat gebeurt er als we niets doen? Wat kan ik persoonlijk doen om dit risico te beperken? Door die vragen centraal te stellen, verschuift risicomanagement van een checklist naar een gedeelde verantwoordelijkheid. Medewerkers begrijpen dan niet alleen wat ze moeten doen, maar ook waarom . Praktisch voorbeeld: Een productielocatie met strakke veiligheidsprocedures merkte dat incidenten bleven voorkomen. Na onderzoek bleek dat medewerkers de regels wel kenden, maar ze als omslachtig ervaarden. Door samen te kijken naar werkbare aanpassingen en de achterliggende risico’s uit te leggen, nam de naleving toe en daalde het aantal incidenten. 2. Integreer risico’s in besluitvorming Risicomanagement werkt het best als het geen losstaand proces is. Het hoort in de haarvaten van de besluitvorming te zitten. Dat betekent: niet één keer per jaar een risicoworkshop, maar bij elke vergadering, elk project en elke evaluatie expliciet de vraag stellen: “Wat zijn de risico’s?” en “Hoe beheersen we die?” Dit vraagt ook om toegankelijke en actuele informatie. Risicoregisters moeten niet alleen compleet zijn, maar ook in een vorm beschikbaar die snel te gebruiken is bij beslissingen. Praktisch voorbeeld: Een retailorganisatie nam bij elke productintroductie standaard een marketing- en kostenanalyse door. Sinds kort voegen ze een “risicoparagraaf” toe waarin potentiële leveringsproblemen, reputatierisico’s en juridische vraagstukken direct worden meegenomen. Dit voorkomt verrassingen en versnelt de besluitvorming. 3. Maak risico’s bespreekbaar Risico’s identificeren is stap één. Ze durven benoemen is stap twee. In veel organisaties bestaat terughoudendheid om afwijkingen, twijfels of zorgen te delen. Soms uit angst voor gezichtsverlies, soms omdat “het toch niets uitmaakt”. Een effectieve risicocultuur vraagt om psychologische veiligheid: het gevoel dat je vrijuit kunt spreken zonder negatieve consequenties. Faciliteer open gesprekken, bijvoorbeeld via risk walks waarbij teams gezamenlijk operationele processen bekijken. Waardeer signalen van afwijkingen, ook als ze klein zijn. Beloon het melden van risico’s, in plaats van alleen het voorkomen van incidenten. Praktisch voorbeeld: Een ziekenhuisteam introduceerde een maandelijks “veiligheidsoverleg” waarin medewerkers incidenten en bijna-incidenten konden delen. Door deze openheid nam het aantal gemelde risico’s toe, waardoor preventieve maatregelen eerder konden worden genomen. Risicomanagement is mensenwerk Enterprise Risk Management (ERM), modellen en IT-systemen zijn belangrijke hulpmiddelen. Maar de kern van effectief risicobeheer blijft altijd: mensen . Het zijn de medewerkers die: risico’s signaleren; risico’s durven bespreken en maatregelen daadwerkelijk uitvoeren. Daarom is investeren in vaardigheden, bewustzijn en cultuur minstens zo belangrijk als investeren in systemen. Een organisatie met een beperkte toolset maar een hoog risicobewustzijn is vaak weerbaarder dan een organisatie met uitgebreide tooling en een lage betrokkenheid. Hoe krijg je dat voor elkaar? Begin met een goed gesprek Vraag in teams: “Wat kan er misgaan?” en “Wat doen we als dat gebeurt?” Dit opent de deur naar gedeeld eigenaarschap. Maak het concreet Gebruik voorbeelden uit de eigen praktijk. Theorie blijft pas hangen als mensen het herkennen in hun eigen werk. Investeer in training en begeleiding Richt je niet alleen op procedures, maar ook op besluitvormingsvaardigheden, communicatie en samenwerking. Vier successen Benoem en waardeer situaties waarin risico’s tijdig zijn herkend en aangepakt. Dat versterkt gewenst gedrag. De weg naar een veerkrachtige organisatie Organisaties die risicomanagement laten werken, hebben een paar dingen gemeen: Risicobewustzijn is zichtbaar in alle lagen Van directie tot werkvloer, iedereen ziet het belang en kent zijn rol. Besluitvorming en risicobeheer zijn onlosmakelijk verbonden Geen strategische keuze zonder risicobeoordeling. Openheid is de norm Risico’s benoemen wordt gezien als professionaliteit, niet als kritiek. Het proces is continu Risicomanagement leeft dagelijks, niet alleen bij jaarafsluiting of audits. Het resultaat? Een organisatie die sneller herstelt van tegenslagen, minder verrassingen kent en beter inspeelt op veranderingen in de omgeving. Oftewel: een organisatie die in control is. Tot slot Wil je jouw risicomanagementsysteem optimaliseren? Begin dan niet met een nieuw sjabloon of nog een control framework. Start met het gesprek. Vraag, luister, betrek en creëer een cultuur waarin iedereen zich verantwoordelijk voelt voor het herkennen en beheersen van risico’s. Dat is de eerste, en misschien wel belangrijkste, stap naar een veerkrachtige organisatie die klaar is voor de toekomst. Hoe Ferocia helpt organisaties met risicomanagement Ferocia ondersteunt organisaties op een manier die past bij hun ambitie, volwassenheidsniveau en context. Geen standaardmethodes, maar maatwerk. Praktisch en strategisch. Altijd gericht op verankering in de praktijk. Onze dienstverlening bestaat uit vier pijlers: 1. Opleidingen en trainingen We leiden professionals op in risicomanagement, control en compliance. Praktijkgericht, actueel en afgestemd op de uitdagingen van vandaag. Denk aan opleidingen als Cursus Risicomanagement of risicomanagement methodiek . 2. Interim ondersteuning Tijdelijk capaciteit nodig? Onze ervaren risk-professionals helpen bij implementatie, monitoring of verandermanagement. Ze zijn snel inzetbaar en gewend om te schakelen tussen strategie en uitvoering. 3. Consultancy en implementatie Van het opzetten van een risicomanagement framework tot het begeleiden van RCSA’s of het inrichten van de drie lijnen: onze consultants helpen je om risicomanagement praktisch en strategisch neer te zetten. 4. Werving en selectie We helpen je bij het vinden van de juiste mensen op het gebied van risk, control en audit. Mensen die niet alleen de kennis hebben, maar ook de vaardigheden om risico’s bespreekbaar te maken, draagvlak te creëren en resultaten te boeken. Onze kracht? We combineren inhoudelijke expertise met een scherp oog voor cultuur, gedrag en verandervraagstukken. Want uiteindelijk draait het niet alleen om het proces maar om de mensen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek het verschil tussen ISAE 3402 en SOC-verklaringen. Kies de juiste TPM en voorkom fouten die tijd en geld kosten. Laat je goed informeren! Alle blogs TPM ISAE 3402, SOC 1, SOC 2. Welke verklaring past bij jouw organisatie? De wereld van derde partijverklaringen is soms verwarrend. ISAE 3402, SOC 1, SOC 2, ze lijken op elkaar, maar dienen elk een ander doel. Welke verklaring is relevant voor jouw organisatie? En wat verwachten auditors en toezichthouders eigenlijk van je? In deze blog leggen we helder uit wat de verschillen zijn, waar je op moet letten en hoe je voorkomt dat je de verkeerde verklaring aanvraagt. Wat zijn derde partijverklaringen? Organisaties besteden steeds vaker processen uit. Denk aan salarisadministratie, IT-beheer of klantenservice. Maar ook al draag je de uitvoering over, je blijft als organisatie verantwoordelijk. Daarom vragen klanten en toezichthouders steeds vaker om een onafhankelijke verklaring over de kwaliteit en betrouwbaarheid van jouw dienstverlening. Daar komen derde partijverklaringen zoals ISAE 3402 en SOC om de hoek kijken. ISAE 3402 vs. SOC: een kwestie van perspectief Hoewel de termen vaak door elkaar worden gebruikt, zijn er belangrijke verschillen: ISAE 3402: focus op financiële processen ISAE 3402 is een internationaal assurance-standaard voor serviceorganisaties die processen uitvoeren die relevant zijn voor de financiële verslaggeving van hun klanten. Denk aan een salarisverwerker of een IT-bedrijf dat financiële systemen beheert. Binnen ISAE 3402 onderscheiden we twee typen: Type I: een momentopname; de opzet en bestaan van beheersmaatregelen worden beoordeeld. Type II: meeromvattend; hier wordt ook getoetst of de maatregelen effectief hebben gewerkt over een langere periode. Deze verklaring is vooral van belang voor organisaties die deel uitmaken van de financiële keten van hun klanten. SOC 1 en SOC 2: Amerikaans kader, breder bereik SOC staat voor System and Organization Controls en is afkomstig uit de VS. De SOC-verklaringen zijn gebaseerd op de Amerikaanse standaard SSAE 18 en hebben drie hoofdtypen: SOC 1: vergelijkbaar met ISAE 3402, gericht op interne beheersing van financiële processen. SOC 2: gaat verder dan financiële processen. Deze verklaring is gericht op trust service criteria zoals beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy. SOC 2 is met name relevant voor technologiebedrijven en cloudproviders die willen aantonen dat ze zorgvuldig omgaan met klantdata en IT-processen. SOC 3: een publieksvriendelijke versie van SOC 2, zonder gevoelige details. Welk rapport past bij jouw organisatie? De keuze hangt af van: Wat je doet voor je klant: Hebben jouw processen invloed op hun jaarrekening? Dan is een ISAE 3402 of SOC 1 relevant. Wat je klant belangrijk vindt: Gaat het meer om informatiebeveiliging en privacy? Dan ligt SOC 2 voor de hand. Waar je klant gevestigd is: Amerikaanse klanten vragen vaak specifiek om SOC-rapporten. Let op bij de aanvraag. Een veel gemaakte fout is namelijk dat men een verklaring aanvraagt die niet aansluit bij de eigen dienstverlening. Dat leidt tot onnodige kosten, verwarring bij klanten en soms zelfs reputatieschade. Laat je daarom altijd adviseren door een auditor die beide kaders kent en je kan helpen bij de juiste keuze en implementatie. Tot slot Een derde partijverklaring is geen vinkje, maar een strategisch instrument. Het toont aan dat je grip hebt op je processen en serieus werk maakt van vertrouwen. Maar dan moet je wel de juiste verklaring kiezen. Twijfel je over ISAE 3402 of SOC 2? Laat je goed informeren. De juiste verklaring opent deuren. De verkeerde zet je organisatie op achterstand. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek wanneer het uitbesteden van audits slim is, hoe je grip houdt en kwaliteit borgt. Inclusief tips voor co-sourcing, contracten en KPI’s. Alle blogs Co- en outsourcing Uitbesteden van audits Wanneer het slim is, hoe je het regelt en waar je op móét letten Het uitbesteden van audits klinkt aantrekkelijk: extra capaciteit, specialistische kennis en een frisse blik. Toch is het geen eenvoudige keuze. Zonder duidelijke regie ontstaat al snel ruis, lopen kosten uit de pas of verslapt de aandacht voor opvolging. Wie het goed wil doen, begint bij de vraag waarom uitbesteden waarde toevoegt, bepaalt zorgvuldig wat er extern belegd wordt en borgt de kwaliteit vanaf de eerste opdrachtformulering tot en met de laatste verbeteractie. In dit stuk lees je wanneer uitbesteden wel werkt, welke vormen effectief zijn, hoe je onafhankelijkheid en governance organiseert en hoe je stuurt op resultaat in plaats van op uren. Waarom zou je audits uitbesteden? De meest gehoorde reden is schaarste. Teams hebben piekbelasting door reorganisaties, verschuivende behoeften vanuit de opdrachtgever of uitlopende audits, terwijl de jaarplanning gewoon gerealiseerd moet worden. Het uitbesteden van audits helpt dan om het tempo vast te houden zonder concessies te doen aan kwaliteit. Een tweede motief is de behoefte aan specialistische kennis. IT-auditing, cybersecurity, privacy, data-analyse of ESG-audits vragen om ervaring die niet elke interne auditafdeling dagelijks inzet. Door tijdelijk expertise in te kopen, voorkom je dat je team maanden moet investeren in leercurves, terwijl de risico’s nu aandacht vragen. Ook objectiviteit speelt mee. Een externe auditor kijkt met minder bedrijfsblindheid naar processen en durft eerder een ongemakkelijke vraag te stellen. Dat levert scherpere bevindingen op en vaak ook een betere aansluiting op wat bestuur en toezichthouders willen weten. Belangrijk is dat uitbesteden nooit de verantwoordelijkheid verlegt naar de uitbestedende partij. De regie over de werkwijze, templates, communicatie met de organisatie blijft binnen de internal auditfunctie zelf. De externe partij levert capaciteit, kennis en methodiek; de interne auditfunctie behoudt het stuur, bepaalt de prioriteiten en bewaakt de kwaliteit. Wie dat onderscheid helder houdt, ervaart uitbesteden niet als uit handen geven, maar als een manier om de eigen auditdoelen beter en sneller te realiseren. Hoe kun je uitbesteden? (de werkbare modellen) Organisaties kiezen doorgaans uit drie werkvormen. De meest laagdrempelige is projectmatige uitbesteding: één duidelijke opdracht, bijvoorbeeld een IT-audit, een privacyreview of een audit op het inkoopproces. Deze aanpak is ideaal bij piekdrukte of een afgebakende expertisebehoefte. Wie structureel wil versterken, kiest vaak voor co-sourcing. Interne en externe auditors vormen dan één team, hanteren één planning en leveren één rapport. De aanpak combineert continuïteit met kennisoverdracht: interne auditors groeien mee in methodiek en tooling, externe collega’s leren de organisatie sneller doorgronden. Tot slot is er de (deels) uitbestede auditfunctie. Daarbij neemt een externe partij geheel of gedeeltelijk de internal auditfunctie over. De regie blijft bij het bestuur en de uitvoering wordt door de externe partij georganiseerd. Wie net begint, doet er goed aan klein te starten. Een afgebakend project maakt zichtbaar wat de samenwerking oplevert en waar de frictie zit. Op basis van die ervaring schaal je eventueel gericht op naar een structureel model. Governance en onafhankelijkheid: de randvoorwaarden Een effectieve samenwerking begint met helder eigenaarschap. De directie en de auditcommissie blijven eindverantwoordelijk voor het auditplan en de opvolging van bevindingen. De tweede lijn levert input en deelt risicobeelden. De internal auditfunctie is verantwoordelijk voor uit uitvoeren van relevante, deugdelijke en doelmatige audits. Leg vast dat de externe partij geen tegenstrijdige werkzaamheden uitvoert. Wie een proces ontwerpt of implementaties begeleidt, kan niet in dezelfde periode datzelfde domein beoordelen op beheersing en effectiviteit. Toegang en integriteit vragen eveneens aandacht. Externe auditors hebben volledige toegang nodig tot systemen, data en medewerkers. Regel dat vooraf, inclusief geheimhouding, datalocatie, bewaartermijnen en versleuteling. Heldere afspraken maak je niet pas aan het einde van de opdracht of als er iets mis is gegaan, maar direct bij de start van de samenwerking. Regel bijvoorbeeld vooraf hoe de externe partij de haar Quality Assurance organiseert. Denk bijvoorbeeld aan naar de manier waarop dossiers intern worden gereviewd en zorg dat je zelf ook kunt meekijken in werkprogramma’s en dossiervorming. Transparantie is hier geen luxe, maar een basisvoorwaarde voor vertrouwen. Selectie van je auditpartner: waar let je op? De beste pitch is een dossier dat spreekt. Vraag niet alleen om mooie slides, maar om geanonimiseerde voorbeeldrapporten, volledig doorlopen werkprogramma’s en zicht op de gebruikte tooling. Past de aanpak bij jouw sector en risicotaal? Sluiten bevindingen aan op root causes in plaats van symptomen? En zijn aanbevelingen concreet genoeg om binnen jouw organisatie te realiseren? Kijk verder dan het cv van de partner: wie staat er daadwerkelijk op de vloer, hoeveel senioriteit is er in het kernteam en hoe is continuïteit geborgd als het druk wordt? Minstens zo belangrijk is de cultuurfit. Een strakke methodiek is waardevol, maar landt alleen als de toon en het tempo aansluiten bij je organisatie. Dat ontdek je niet in een offerte, maar in de praktijk. Overweeg om bijvoorbeeld een proof-of-concept te organiseren met een echte scope en echte deadlines. Werk samen door alle fasen heen, van intake tot conceptrapport, en evalueer daarna scherp op kwaliteit, tijdigheid, samenwerking en impact. Contracteren van een externe partij Een duidelijk contract voorkomt discussies achteraf en versnelt het werk vooraf. Begin met een scherpe doelomschrijving en reikwijdte van de opdracht. Beschrijf processen, locaties, systemen en standaarden en leg vast hoe de auditcharter zich verhoudt tot interne policy’s en wettelijke eisen. Spreek af welke deliverables je krijgt: het auditprogramma, tussentijdse updates, een managementletter, een concept- en eindrapport en de presentatie aan het managementteam of de auditcommissie. Maak afspraken over doorlooptijden per fase, inclusief afhankelijkheden zoals dataleveringen en interviewplanning. Leg kwaliteitscriteria vast, bijvoorbeeld het aantal fouten in de conceptrapportage en de wijze waarop het dossier wordt opgebouwd en bewaard. Privacy en security vragen om specifieke clausules. Denk aan een verwerkersovereenkomst, dataclassificatie, versleuteling, toegangsbewaking en duidelijke regels over dataretentie en vernietiging. Wie uitbesteden gebruikt om de interne functie te versterken, borgt kennisoverdracht contractueel. Dat kan door co-creatie van normenkaders, overdracht van methodieken, dashboards en gerichte training van het interne team. Neem een helder escalatiemechanisme op, met vaste doorlooptijden en een duidelijke lijn naar het management. En vergeet het einde niet: een exit-plan zorgt dat data worden teruggegeven, openstaande bevindingen worden overgedragen en de auditkalender zonder hapering doorgaat. Commercieel werkt een vaste prijs vaak het beste bij een goed afgebakende scope. Waar flexibiliteit nodig is, help je jezelf met een strak change-proces: elke wijziging krijgt een beoordeling op risico, impact, planning en kosten, zodat bestuurders bewust kiezen. KPI’s en SLA’s die sturen op waarde Uren vertellen weinig. Sturen op waarde begint bij indicatoren die iets zeggen over tijdigheid, kwaliteit, relevantie en effect/impact. Kijk naar het percentage audits dat op planning wordt opgeleverd, naar de doorlooptijd per fase en naar het aantal reviews dat nodig is om het conceptrapport te finaliseren. Meet of aanbevelingen aansluiten bij de kern van het probleem in plaats van bij symptomen. De impact zie je uiteindelijk terug in opvolging: hoe snel worden maatregelen geïmplementeerd en wat is er daadwerkelijk verbetert bij vervolgaudits? Vergeet de samenwerking niet. Een korte vergadering onder proceseigenaren en het interne auditteam geeft inzicht in de kwaliteit van communicatie en kennisoverdracht. Spreek drempelwaarden af en koppel er verbeteracties aan. Als audits structureel te laat zijn, volgt automatisch een gezamenlijke root-cause-analyse en een verbeterplan met concrete acties. Een praktijkvoorbeeld Stel: een middelgrote retailer versnelt de digitalisering met een nieuw e-commerceplatform. De interne auditcapaciteit is beperkt en IT-kennis schaars. De auditcommissie kiest voor co-sourcing op twee sporen. IT-gerelateerde audits worden projectmatig uitbesteed, inclusief data-analyse op logbestanden en autorisaties. Tegelijkertijd investeert de organisatie in kennisopbouw: twee interne auditors leren in de praktijk hoe zij IT-normenkaders opstellen en data-extracties uitvoeren. Contractueel zijn vaste prijzen per audit afgesproken, duidelijke KPI’s op tijdigheid en kwaliteit en een minimale acceptatiegraad van aanbevelingen door het management. De rapportage volgt het interne format en elke conceptfase eindigt met een interactieve sessie met proceseigenaren. Na een half jaar is de doorlooptijd aantoonbaar gedaald en voeren de interne auditors zelfstandig een vervolg-audit uit met hergebruikte methodes. Bevindingen worden sneller opgevolgd omdat de aanbevelingen zijn geschreven in de risicotaal van de organisatie. De auditcommissie besluit de samenwerking uit te breiden naar vendor risk management, maar borgt tegelijk de onafhankelijkheid door advies- en assurance-activiteiten strikt te scheiden. Het stappenplan, maar dan zonder checklist Wie verantwoord wil uitbesteden, begint met een scherpe doelstelling. Gaat het om capaciteit, specialistische kennis of versnelling? Koppel dat doel aan de risicogebaseerde auditplanning en kies vervolgens het model dat daarbij past. Een beperkte, afgebakende opdracht is een verstandige start. Laat de markt zien wat zij kan, maar zet je eigen kwaliteitskaders ernaast. Vervolgens leg je afspraken vast in een solide contract, inclusief privacy- en securityclausules, duidelijke doorlooptijden en expliciete kennisoverdracht. Richt governance in met heldere rollen, een strakke escalatielijn en vaste reviewmomenten. Bewaak de scope en maak het opvolgen van aanbevelingen onderdeel van de opdracht. Tot slot evalueer je niet alleen het rapport, maar het hele proces: wat kon sneller, wat kon scherper en welke templates of methodes verdienen een update? Op die manier wordt elke uitbestede audit ook een investering in je eigen functie. Conclusie: uitbesteden van audits is geen doel, het is een onderbouwde keuze Uitbesteden van audits werkt wanneer je het gebruikt om je eigen functie te versterken. Houd de regie, kies bewust voor een model dat past bij je doelen en borg onafhankelijkheid en kwaliteit in elke stap. Contracteer op resultaten, niet op inspanning, en schrijf aanbevelingen in de taal van je organisatie. Begin klein, leer snel en schaal op waar het rendeert. Zo vergroot je niet alleen de kwaliteit en snelheid van je audits, maar vooral het lerend vermogen van de organisatie. Wie daar vandaag mee begint, zet morgen al de eerste stap naar aantoonbaar effectievere beheersing. Vrijblijvend sparren of het uitbesteden van audits is voor jouw organisatie is en zo ja, welke vorm dat het meest passend is? Neem contact met ons op via telefoon of e-mail, of start direct een chat via het gele tekstbolletje rechtsonder. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Versterk je organisatie met een effectief risicomanagement model. Ontdek hoe je risico’s beheerst en veerkracht opbouwt in een VUCA-wereld. Alle blogs Risicomanagement Risicomanagement model In een wereld waarin organisaties dagelijks worden geconfronteerd met onzekerheden, incidenten en veranderingen is effectief risicomanagement geen luxe, maar een noodzaak. Toch worstelen veel organisaties met de vraag: Hoe structureer ik mijn risicomanagement op een manier die echt werkt voor mijn organisatie? Een goede start is het gebruik van een risicomanagement model. Maar wat houdt dat precies in? En welke modellen zijn er eigenlijk? In deze blog geven we een overzicht van vijf veelgebruikte risicomanagement modellen, hoe je deze in de praktijk toepast en hoe Ferocia jouw organisatie kan helpen bij het kiezen en ‘implementeren’ van het juiste model. Wat zijn risicomanagement modellen? Een risicomanagement model is een gestructureerd raamwerk dat helpt bij het identificeren, analyseren, beoordelen, beheersen en monitoren van risico’s. Het biedt een gemeenschappelijke taal en methodiek waarmee organisaties risico’s systematisch kunnen benaderen. Modellen zorgen voor structuur, houvast, ze maken risico’s bespreekbaar, zorgen voor consistentie in aanpak en helpen bij het borgen van risicomanagement in de organisatie. Kortom: zonder model is risicomanagement vaak ad hoc, persoonsafhankelijk en ineffectief. Met een goed gekozen model kun je risico’s integraal benaderen en echt waarde toevoegen aan je organisatie. Vijf veelgebruikte risicomanagement modellen 1. COSO ERM (Enterprise Risk Management) Kern van het model : COSO ERM is een geïntegreerd raamwerk dat organisaties helpt bij het identificeren en managen van risico’s die de strategie en doelstellingen kunnen beïnvloeden. Het model bestaat uit acht componenten en is gericht op het koppelen van risicomanagement aan strategievorming. Waarom kiezen voor COSO ERM? COSO ERM is bijzonder geschikt voor organisaties die risicomanagement willen integreren in hun strategisch besluitvormingsproces. Het model stimuleert een cultuur waarin risico’s vanuit meerdere perspectieven worden beschouwd. 2. ISO 31000 Kern van het model : ISO 31000 is een internationale norm voor risicomanagement. Het model is minder prescriptief dan COSO ERM maar biedt wel heldere principes, een raamwerk en een proces voor het effectief managen van risico’s. Waarom kiezen voor ISO 31000? ISO 31000 is breed toepasbaar en flexibel. Het model is geschikt voor organisaties die op zoek zijn naar een generiek, schaalbaar en internationaal erkend raamwerk. ISO legt sterk de nadruk op context, leiderschap en continue verbetering. 3. Three Lines Model (voorheen Three Lines of Defense) Kern van het model : Het Three Lines Model beschrijft de rolverdeling binnen risicomanagement. De eerste lijn is verantwoordelijk voor het nemen en beheersen van risico’s, de tweede lijn ondersteunt en monitort, en de derde lijn (interne audit) beoordeelt objectief en onafhankelijk. Waarom kiezen voor het Three Lines Model? Dit model is essentieel voor het organiseren van governance rondom risicomanagement. Het zorgt voor heldere rolverdeling, verantwoordelijkheden en samenwerking tussen afdelingen. Zeker bij grotere organisaties is dit model onmisbaar. 4. BIO – Baseline Informatiebeveiliging Overheid Kern van het model :De BIO is het normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het is gebaseerd op de ISO 27001- en 27002-standaarden, maar toegesneden op de context van overheidsorganisaties. De BIO biedt kaders en maatregelen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie(systemen). Waarom kiezen voor BIO? Voor overheidsorganisaties is de BIO verplicht. Maar ook voor semioverheden, uitvoeringsorganisaties en instellingen die met overheidsdata werken is het een logisch vertrekpunt. De kracht van de BIO zit in de combinatie van duidelijke normenkaders en het risicogericht denken. Niet alle maatregelen zijn verplicht; er mag gemotiveerd worden afgeweken, mits het restrisico acceptabel is en goed wordt vastgelegd. De BIO kent drie beveiligingsniveaus (BASIS, VERTROUWELIJK, ZEER VERTROUWELIJK), afhankelijk van de gevoeligheid van de informatie. Organisaties bepalen eerst hun 'classificatie', en kiezen op basis daarvan passende maatregelen. Dit maakt het model schaalbaar en praktisch toepasbaar. 5. RISMAN (Risicoanalyse en Management) Kern van het model : RISMAN is een Nederlands model dat veel wordt toegepast in projecten, met name binnen de bouw- en infrasector. Het richt zich op het systematisch identificeren, analyseren, beheersen en monitoren van projectrisico’s. Waarom kiezen voor RISMAN? Wanneer je te maken hebt met projectmatige risico’s — zoals bij aanbestedingen, infrastructurele werken of ICT-implementaties — is RISMAN een bewezen effectieve methode. Het model is praktisch en gericht op samenwerking tussen betrokkenen. Hoe gebruik je een risicomanagement model in de praktijk? Het kiezen van een model is een ding. Maar het model daadwerkelijk toepassen vergt maatwerk. Risicomanagement werkt alleen als het aansluit bij de context, cultuur en volwassenheid van jouw organisatie. Een paar praktische tips: Start met een volwassenheidsmeting : Waar staat jouw organisatie nu? Dat bepaalt of je kiest voor een basisaanpak (zoals ISO 31000) of een integraal raamwerk (zoals COSO ERM). Vertaal het model naar je eigen praktijk : Maak het niet te academisch. Gebruik herkenbare termen en voorbeelden uit de dagelijkse operatie. Het model is nooit een doel op zich, het blijft een hulpmiddel. Betrek alle lagen van de organisatie : Risicomanagement is geen feestje van de tweede lijn. Juist de mensen in de uitvoering kennen de risico’s het best. Combineer modellen waar nodig : Je kunt prima ISO 31000 gebruiken als overkoepelend kader en een ander model voor risico identificatie. Blijf oefenen en leren : Risicomanagement is geen eenmalig project, maar een continu leerproces. Hoe helpt Ferocia bij het implementeren van een risicomanagement model? Bij Ferocia begrijpen we dat ieder risicomanagement vraagstuk uniek is. Daarom ondersteunen we organisaties niet met standaardmodellen, maar met een aanpak die past bij hun ambities en realiteit. Wat we doen? 1. Diagnose en modelkeuze We helpen je organisatie om te bepalen welk model het beste past bij jullie situatie. We kijken naar de strategie, de risicocultuur, de sector en de bestaande werkwijze. 2. Training en opleiding Ferocia biedt diverse op en incompany opleidingen en trainingen op het gebied van risicomanagement; van integraal risicomanagement tot risico gestuurd werken. Theorie en praktijk gaan daarbij hand in hand. 3. Implementatiebegeleiding We begeleiden organisaties bij het vertalen van het gekozen model naar processen, formats en gedrag. Daarbij is aandacht voor zowel harde als zachte aspecten, zoals leiderschap en cultuur. 4. Interim en advies Heb je tijdelijk extra expertise nodig? Onze consultants en interim risk managers helpen bij het opzetten, herstructureren of professionaliseren van risicomanagement binnen jouw organisatie. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Wat betekent NIS2 voor jouw organisatie? Ontdek hoe je cybersecurity en governance nu al op orde brengt met praktische stappen en tips. Alle blogs IT-beheersing NIS2 Stel je voor: je werkt bij een ziekenhuis, een drinkwaterbedrijf of een regionale vervoerder. Het is maandagochtend, systemen vallen uit, bestanden zijn versleuteld, meldingen stromen binnen. Patiënten kunnen niet ingepland worden, pompen zijn niet op afstand aan te sturen, reisinformatie klopt niet meer. Binnen een uur gaat het niet meer alleen over “IT”, maar over continuïteit, veiligheid en over reputatie. In dat spanningsveld is de NIS2-richtlijn ontstaan. NIS2 moet ervoor zorgen dat organisaties in kritieke sectoren hun cybersecurity en digitale weerbaarheid structureel op orde brengen, mét duidelijke verantwoordelijkheden voor bestuur en management. In deze blog nemen we NIS2 onder de loep. Wat is het, wie valt eronder, wat vraagt het concreet en vooral: wat betekent dit voor internal audit, risk management en control? Wat is NIS2 en waarom nu? NIS2 staat voor de Network and Information Security Directive 2 : een Europese richtlijn die als doel heeft een hoog, gemeenschappelijk niveau van cybersecurity in alle lidstaten af te dwingen. Het is de opvolger van de eerste NIS-richtlijn en breidt de scope, verplichtingen en handhaving flink uit. De kern is: lidstaten en organisaties moeten hun netwerk- en informatiesystemen zo inrichten dat essentiële diensten, denk aan energie, transport, zorg, financiën en digitale infrastructuur ook bij cyberincidenten kunnen blijven draaien. Belangrijke data: De NIS2-richtlijn is op EU-niveau in werking getreden op 17 oktober 2024 . Lidstaten moesten NIS2 uiterlijk op 17 oktober 2024 omzetten in nationale wetgeving; in de praktijk zijn veel landen te laat, waardoor de Europese Commissie in 2024 en 2025 inbreukprocedures is gestart. In Nederland gebeurt de implementatie via de Cyberbeveiligingswet (Cbw) . Die wordt, zoals het er nu uitziet in de tweede helft van 2026 van kracht. Dat de nationale wet in Nederland later komt, betekent niet dat je achterover kunt leunen. De richtlijn is er, de verwachtingen van toezichthouders groeien en de cyberdreiging neemt aantoonbaar toe. Wie valt er onder NIS2? NIS2 richt zich op organisaties die essentiële of belangrijke diensten leveren aan de economie en de samenleving. De richtlijn onderscheidt: Essentiële entiteiten , zoals energie- en netwerkbeheerders, grote zorginstellingen, banken en aanbieders van digitale infrastructuur. Belangrijke entiteiten , zoals bepaalde industriële producenten, logistieke bedrijven, digitale dienstverleners, post- en koeriersdiensten en delen van de maakindustrie. In grote lijnen geldt: NIS2 is gericht op middelgrote en grote organisaties (vanaf 50 medewerkers of een jaaromzet vanaf 10 miljoen euro), in sectoren die als kritisch zijn aangewezen. Micro- en kleine ondernemingen vallen meestal buiten scope, behalve in uitzonderlijke gevallen, bijvoorbeeld bepaalde trust- of digitale dienstverleners. Veel organisaties zijn nog druk bezig om überhaupt te bepalen: “Vallen wij eronder?” Juist hier ligt een rol voor riskmanagers en internal auditors: sector, omvang, rol in de keten en afhankelijkheden scherp krijgen en op basis daarvan bepalen of NIS2 (direct of indirect) relevant is. De kernverplichtingen van NIS2 in gewone taal NIS2 vertaalt zich voor organisaties grofweg in vier grote “blokjes verplichtingen”: 1. Risicomanagement Organisaties moeten systematisch cyberrisico’s identificeren, beoordelen en beheersen . Dat gaat veel verder dan een eenmalige risicoanalyse. Denk aan beleid, processen, technische maatregelen, monitoring, logging, vulnerability management, encryptie, identity & access management en security in de supply chain. 2. Corporate accountability Bestuur en hoger management kunnen zich niet langer verschuilen achter “IT regelt dit wel”. Zij moeten de cybersecuritymaatregelen goedkeuren, toezien op de uitvoering en blijven eindverantwoordelijk . Lidstaten moeten bovendien zorgen dat bestuurders bij ernstige nalatigheid persoonlijk aansprakelijk kunnen worden gesteld; in uiterste gevallen kunnen functies tijdelijk worden geschorst bij essentiële entiteiten. 3. Meldplicht en rapportage Bij ernstige incidenten geldt een strikte meldplicht richting de bevoegde autoriteit (en vaak ook Computer Security Incident Response Team: CSIRT), inclusief een eerste melding binnen 24 uur, een gedetailleerdere melding binnen enkele dagen en een eindrapportage na afhandeling. 4. Business continuity en crisismanagement Organisaties moeten aantonen dat ze continuïteit en herstel kunnen waarborgen: back-up- en herstelprocedures, noodscenario’s, crisisplannen, communicatieafspraken met stakeholders, en het oefenen hiervan. Deze verplichtingen worden versterkt met stevige toezicht- en sanctiebevoegdheden . Boetes kunnen in de miljoenen lopen en zijn gekoppeld aan omzet. Voor internal auditors en risicomanagers sluiten deze thema’s aan bij waar ze al mee bezig zijn: risico’s in kaart brengen, beheersmaatregelen beoordelen, incidenten analyseren en bestuurders in positie brengen. NIS2 is geen IT-project maar een governancevraagstuk Een veelgemaakte denkfout is dat NIS2 “iets van IT” is. Natuurlijk gaat het over firewalls, logging, kwetsbaarhedenscans en patchmanagement. Maar de essentie van NIS2 is governance. De richtlijn maakt IT onderdeel van risicomanagement en de besturing van de organisatie. Het gaat om strategische keuzes: welke processen zijn vitaal, welke impact tolereren we, hoe verankeren we cybersecurity in onze planning & control, hoe sturen we op gedrag en cultuur? Dit sluit aan bij de praktijk van operational auditing: de auditor kijkt niet alleen naar individuele controles, maar naar de vraag of de beheersing zo is ingericht dat de organisatie haar doelen waarschijnlijk gaat behalen. Met andere woorden: is de organisatie digitaal weerbaar genoeg om te blijven functioneren in een wereld vol dreiging? De rol van internal audit, risk en control bij NIS2 Voor de drie lijnen (three lines model) creëert NIS2 het volgende speelveld: Eerste lijn (business & IT) : eigenaar van processen, systemen en maatregelen. Zij moeten NIS2 echt implementeren in ontwerp, inrichting en dagelijkse operatie. Tweede lijn (risk, compliance, CISO) : ontwikkelt kaders, monitort, ondersteunt en daagt uit. Derde lijn (internal audit) : geeft een onafhankelijk oordeel over het geheel: governance, risico’s, controles, rapportages én cultuur. Voor internal auditors en risicomanagers betekent dit: 1. Scope en impact scherp krijgen Wie in jouw organisatie valt onder NIS2? Welke entiteiten, processen, ketens en systemen zijn kritisch? Hoe verhouden NIS2-eisen zich tot bestaande kaders als ISO 27001, COBIT, DORA of sectorale regelgeving? 2. Gap-analyse en roadmap Een gestructureerde vergelijking tussen de huidige situatie en NIS2-verplichtingen: beleid, risk assessments, incidentprocessen, monitoring, contracten met leveranciers, governance, rapportages en training van bestuur en medewerkers. Daaruit volgt een realistische roadmap met prioriteiten, afhankelijkheden en mijlpalen. 3. Opzet van een meerjarig audit- en toetsprogramma NIS2 is geen eenmalige compliance oefening. Het vraagt om een meerjarige cyclus van onderzoeken, toetsen en verbeteren . Internal audit kan bijvoorbeeld jaarlijks de governance en incidentmanagement beoordelen, periodiek deep dives doen op kritieke ketens en specifieke thema-audits uitvoeren op topics als third-party risk of OT-security. Risk Management kan daarbij de risicokaders actualiseren, de NIS2-risicoanalyse coördineren, voortgang en effectiviteit van beheersmaatregelen monitoren, en de eerste lijn ondersteunen bij het doorvoeren van verbeteringen en het verhogen van risicobewustzijn. 4. Aandacht voor soft controls Net als bij andere governance- en risicothema’s geldt ook hier: gedrag bepaalt of maatregelen écht werken. Worden phishingmails gemeld? Durft een medewerker een datalek te escaleren? Neemt het management cyberrisico’s serieus, of blijft het een IT-agenda-item onderaan? In de opleidingen en blogs van Ferocia komt deze balans tussen hard en soft controls nadrukkelijk terug. Auditors die naast de formele beheersmaatregelen ook cultuur en gedrag meenemen, leveren aanbevelingen op die verder gaan dan het “afvinken” van NIS2-artikelen. Specifiek voor Nederland: NIS2 zonder wet? Een veelgehoorde vraag in de Nederlandse praktijk: “Moeten we nu al iets met NIS2? De wet is er toch nog niet?” Formeel klopt dat: de Cyberbeveiligingswet , de Nederlandse implementatie van NIS2 wordt pas in 2026 verwacht. Tegelijkertijd benadrukken overheid, toezichthouders en adviespartijen: wacht niet tot het laatste moment. De inhoudelijke eisen veranderen niet wezenlijk meer, de dreiging is er al en je hebt tijd nodig om volwassen processen op te bouwen. Voor internal audit en risk biedt dit juist een kans: Je kunt proactief een nulmeting doen. Je hebt ruimte om maatregelen goed te laten aansluiten op de organisatie , in plaats van ad hoc te reageren op wetgeving. Je kunt NIS2 integreren in bestaande trajecten rond DORA, ISO 27001, privacy en business continuity, zodat er één samenhangend weerbaarheidsverhaal ontstaat. Veelvoorkomende valkuilen bij NIS2 In gesprekken met auditors, risicomanagers en controllers komen steeds dezelfde valkuilen naar voren: tijdgebrek, snel veranderende regelgeving en complexe IT-omgevingen. Een eerste valkuil is dat NIS2 wordt behandeld als een los compliance project . Er wordt beleid geschreven, procedures bij elkaar gezocht en een incidentformulier gemaakt, maar de relatie met strategische doelen, risk appetite en de planning- & controlcyclus ontbreekt. Een tweede valkuil: NIS2 verdwijnt in een technisch jargon dat voor bestuur en business niet te volgen is. Dan wordt het toch weer een IT-verhaal, terwijl de richtlijn juist inzet op bestuurlijke verantwoordelijkheid, training van management en brede verankering in de organisatie. Een derde valkuil is dat organisaties zich blindstaren op het moment dat de wet in werking treedt. Terwijl NIS2 in de kern gaat over structurele weerbaarheid : de kwaliteit van je processen, de volwassenheid van je riskmanagement en het lerend vermogen van je organisatie. Dat bouw je niet in een paar maanden op. Hoe kun je vandaag al beginnen? Of je nu internal auditor, riskmanager, CISO of controller bent: je hoeft niet te wachten op een Kamerdebat of op de wet. Een paar concrete eerste stappen: Begin met een inventarisatie op hoofdlijnen : in welke NIS2-sectoren ben je actief, wat is je omvang, welke rol speel je in de keten? Gebruik daarbij publiek beschikbare overzichten van sectoren en entiteitstypen als grove check. Breng vervolgens in kaart welke elementen je al hebt: riskmanagementprocessen, ISO 27001, BCM-plannen, incidentprocessen, awarenessprogramma’s. Vaak blijkt dat er veel ís, maar dat samenhang, eigenaarschap en rapportage ontbreken. En tenslotte: zet NIS2 op de agenda van bestuur en auditcommissie. Niet als angstverhaal over boetes, maar als strategisch gesprek over digitale continuïteit, reputatie en vertrouwen. Daar ligt precies de meerwaarde van de internal auditor en risicomanager: scherpe vragen stellen, verbanden leggen en het gesprek verder brengen dan “hebben we dit afgevinkt?”. Tot slot NIS2 is een stevige zet van Europa om de digitale ruggengraat van economie en samenleving weerbaar te maken, in een tijd waarin cyberaanvallen, geopolitieke spanningen en ketenafhankelijkheden elkaar versterken. Voor organisaties in kritieke sectoren én voor professionals in audit, risk, control en compliance is NIS2 daarmee vooral een uitnodiging: om cybersecurity niet meer als bijzaak of IT-hobby te zien, maar als volwaardig onderdeel van governance, risicomanagement en strategie. Juist hier ondersteunt Ferocia organisaties, via opleidingen en training, interim en consultancy en werving & selectie zodat je niet alleen “NIS2-compliant” bent, maar vooral: aantoonbaar digitaal weerbaar, nu én in de toekomst. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe soft controls gedrag en cultuur in organisaties beïnvloeden. Volg de training Soft Controls van Ferocia en pas ze direct toe in jouw audits. Alle blogs Internal auditing Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde controles zoals procedures, rapportages en bevoegdheden nog steeds belangrijk. Maar wie echt wil begrijpen hoe een organisatie functioneert, moet verder durven kijken. Naar gedrag, naar cultuur, naar wat mensen drijft en naar de ongeschreven regels. Oftewel: naar soft controls. Wat zijn soft controls? Soft controls zijn de niet-tastbare beheersmaatregelen die het gedrag van mensen in een organisatie beïnvloeden. Denk aan integriteit, voorbeeldgedrag, betrokkenheid, vertrouwen, loyaliteit en aanspreekbaarheid. Waar hard controls zijn vastgelegd in beleid en processen, zitten soft controls in de hoofden en harten van mensen. Ze bepalen in hoge mate of die regels in de praktijk ook echt worden nageleefd. Steeds meer internal auditfuncties voegen daarom cultuur- en gedragsaspecten toe aan hun werk. Onderwerpen als sociale veiligheid, psychologische veiligheid en vertrouwen verschijnen steeds vaker op de auditkalender. En terecht, want als je als auditor, controller of risk officer echt waarde wilt toevoegen, kun je soft controls niet negeren. Maar hoe onderzoek je soft controls op een gedegen manier? Welke modellen en technieken gebruik je? En hoe zorg je ervoor dat je bevindingen overtuigend zijn en leiden tot actie? Wat leer je tijdens de training soft controls? De training soft controls van Ferocia geeft je in korte tijd (twee dagdelen) de juiste kennis en vaardigheden om met soft controls aan de slag te gaan in jouw eigen praktijk. Je leert: wat cultuur en gedrag zijn en hoe ze zich tot elkaar verhouden; waarom soft controls onmisbaar zijn voor effectieve beheersing; hoe je met modellen onderzoek doet naar cultuur en gedrag; hoe je gerichte vragen stelt om soft controls in kaart te brengen; en welke interventies je kunt voorstellen om soft controls in organisaties te verbeteren. Het programma bestaat uit een interactieve lesdag van zes uur en een innovatieve e-learning. De e-learning ‘Cultuur en Gedrag’ volg je waar en wanneer je maar wilt. Tijdens de lesdag oefen je actief met modellen, cases en praktijkopdrachten. Je past het geleerde direct toe op je eigen situatie, stelt een persoonlijk actieplan op en ontvangt feedback van je docent en van andere deelnemers. Geen lange theorieën of abstracte concepten, maar praktisch toepasbare inzichten, afgestemd op de realiteit van jouw werk. Wat kan ik nadat ik de training heb afgerond? Na afronding van deze training ben jij in staat om: Soft controls te herkennen en te benoemen in audits. Cultuur- en gedragsaspecten doelgericht te onderzoeken. Inzichten uit modellen te vertalen naar jouw praktijk. Interventies aan te reiken die het functioneren van soft controls verbeteren. Je ontvangt een certificaat van deelname en (indien van toepassing) 9 PE-punten. Maar belangrijker nog, je beschikt over een solide basis om met vertrouwen soft controls mee te nemen in jouw audits, controles of risicoanalyses. De opgedane kennis levert directe toegevoegde waarde in je dagelijkse werk. Zoals een oud-deelnemer het verwoordde: “De training bood praktische handvatten om soft controls toe te passen binnen audits. De opgedane kennis levert direct toegevoegde waarde in mijn werk.” Voor wie is deze training bedoeld? Deze training is ontwikkeld voor professionals die zich bezighouden met auditing, risicobeheersing of procesbeheersing en die hun vakmanschap willen verdiepen met inzichten over cultuur en gedrag. Herken jij jezelf in één van onderstaande rollen? Operational auditor IT-auditor Financial auditor Accountant Controller Risk officer Compliance officer Medewerker AO/IC Kwaliteitsmedewerker Proceseigenaar Dan is deze training voor jou. Voor deelname is hbo werk- en denkniveau gewenst. Er is géén voorkennis van psychologie of veranderkunde vereist. Juist omdat we het belangrijk vinden dat soft controls niet iets zijn ‘voor de experts’, maar voor elke professional die zich bezighoudt met beheersing en sturing binnen organisaties. De werkvorm: leren door te doen Bij Ferocia geloven we in activerend leren. Dat betekent dat je tijdens deze training niet alleen maar luistert, maar vooral ook zelf aan de slag gaat. De training bestaat uit: E-learning : De module 'Cultuur en Gedrag' volg je zelfstandig, op een moment dat jou uitkomt. De inhoud sluit direct aan bij de thema’s van de lesdag. Lesdag : Tijdens deze dag (fysiek of digitaal) oefen je actief met modellen en technieken. Je werkt aan een eigen case, stelt een persoonlijk actieplan op en ontvangt feedback. Interactieve werkvormen : Je oefent met vraagtechnieken, neemt deel aan rollenspellen en werkt aan praktijkopdrachten. Daarbij werk je zowel individueel als in kleine groepen. Ervaringsuitwisseling : Je leert niet alleen van de docent, maar ook van de ervaringen en perspectieven van andere deelnemers. Dit zorgt voor nieuwe inzichten en inspiratie. De bijeenkomsten vinden plaats in onze mixed classrooms : je kunt dus zelf kiezen of je fysiek aanwezig bent of digitaal aansluit. De docenten: experts met praktijkervaring De training wordt verzorgd door topdocenten met zowel academische bagage als stevige praktijkervaring. Zij begrijpen de uitdagingen van jouw werk en weten complexe concepten begrijpelijk én toepasbaar te maken. Klaar om soft controls in jouw werk te integreren? Wil jij: Soft controls echt begrijpen en toepassen? Cultuur en gedrag meenemen in je audits of risicoanalyses? Praktische tools, modellen en handvatten om direct mee aan de slag te gaan? Sparren met professionals uit andere organisaties? In korte tijd grote stappen zetten? Dan is deze training precies wat je zoekt. Meer informatie over de kosten en startdata, klik hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe een DORA audit bijdraagt om jouw organisatie digitaal weerbaar maakt. Praktische tips en een stappenplan! Alle blogs IT-beheersing DORA audit Stel je voor: je wordt wakker en internetbankieren werkt niet. Betalingen lopen vast, orders worden niet verwerkt, de klantenservice raakt overspoeld. Een storing van een paar uur, maar de impact is direct voelbaar in omzet, vertrouwen en misschien zelfs in de headline van het journaal. Precies dát scenario wil de Digital Operational Resilience Act (DORA) beperken. En precies dáár komt de DORA audit in beeld. Wat is DORA in gewone mensentaal DORA is Europese regelgeving die moet borgen dat financiële organisaties digitaal weerbaar zijn. Niet alleen tegen cyberaanvallen, maar tegen álle ICT-gerelateerde verstoringen: van uitval van een datacenter tot een mislukte release van nieuwe software. De regeling geldt voor een breed palet aan financiële instellingen: banken, verzekeraars, beleggingsinstellingen, betaalinstellingen en meer. In totaal zo’n twintig typen financiële entiteiten vallen onder de reikwijdte. Daarnaast introduceert DORA een toezichtskader op zogeheten “kritieke ICT-dienstverleners”, zoals grote cloud- en technologiepartijen die cruciaal zijn voor de financiële sector. De kern van DORA draait om vijf thema’s: Een robuust ICT-riskmanagement raamwerk. Beheersing en rapportage van ICT-incidenten. Periodieke testen van digitale weerbaarheid. Beheer van risico’s rond uitbestede ICT-diensten (third parties). Informatie-uitwisseling over dreigingen en kwetsbaarheden. Belangrijk detail: instellingen moeten vanaf 17 januari 2025 aantoonbaar voldoen aan DORA. Dat maakt de vraag “hoe DORA-proof zijn wij eigenlijk?” urgent voor bestuur, directie én internal audit. Wat is een DORA audit? Een DORA audit is een systematisch onderzoek naar de vraag in hoeverre een organisatie voldoet aan de eisen van DORA én of de digitale operationele weerbaarheid daadwerkelijk op niveau is. Het gaat dus niet alleen om “hebben we beleid op papier?”, maar vooral om: werkt het, sluiten we aan bij de risico’s van deze organisatie, en kunnen we dat aantonen richting de toezichthouder? Inhoudelijk raakt een DORA audit onder meer: Governance en rol van bestuur en hoger management in ICT-risicomanagement. Opzet, bestaan en werking van het ICT-riskmanagementframework (beleid, processen, rapportages). Registratie, classificatie en rapportage van ICT-incidenten en “major incidents”. De manier waarop digitale weerbaarheid getest wordt, van business continuity tot penetratietests. Contractmanagement en riskmanagement rond ICT-dienstverleners, inclusief kritieke third parties. DORA schrijft expliciet voor dat het ICT-risicomanagement framework onderdeel moet zijn van het totale risicomanagementsysteem en dat dit framework periodiek onderwerp van interne audit is. Daarmee is de DORA audit geen ‘nice to have’, maar een directe opdracht aan de derde lijn. Voor internal auditors, riskmanagers en compliance officers sluit dit nauw aan bij hun bestaande verantwoordelijkheden: risico’s identificeren, beheersmaatregelen beoordelen, compliance borgen en het bestuur in positie brengen. Waarom een DORA audit méér is dan “nog een IT-audit” Veel organisaties behandelen DORA aanvankelijk als “de zoveelste IT-regelgeving”. Maar wie DORA reduceert tot een technisch compliance-project, mist de essentie. DORA gaat niet alleen over firewalls, back-ups en loggingsystemen. Het gaat over de continuïteit van primaire processen en het vertrouwen van klanten. De wetgever heeft bewust gekozen voor een integrale benadering waarin ICT-risico’s expliciet onderdeel zijn van het bredere risicomanagement en de governance van de organisatie. Dat zie je bijvoorbeeld terug in: De nadruk op bestuur en senior management: zij blijven eindverantwoordelijk voor digitale weerbaarheid, ook als er veel is uitbesteed. De rol van critical ICT third-party providers, die onder direct Europees toezicht kunnen vallen. De verplichting om ICT-risico’s, incidentmanagement, testen en third-party risk in één samenhangend framework onder te brengen. Een DORA audit raakt dus de volle breedte van de organisatie: business, IT, risk, compliance, inkoop én directie. Juist daarom ligt hier een belangrijke kans voor internal audit om zich te positioneren als strategische partner in plaats van “controleur achteraf”. De vijf bouwstenen van een DORA audit verder uitgediept Om de DORA audit concreter te maken, loont het om de vijf thema’s nog iets verder uit te werken, in gewone taal. 1. Governance en strategie Hier gaat het om de vraag: heeft de organisatie digitaal risicobewust leiderschap? Bestuur en directie moeten niet alleen formeel verantwoordelijk zijn, maar ook aantoonbaar betrokken: via rapportages, besluitvorming over risk appetite, prioritering van investeringen en het stellen van de juiste vragen. Een goede DORA audit kijkt of digitale weerbaarheid verankerd is in strategie, risk appetite, impacttoleranties en de planning- & controlcyclus. 2. ICT-riskmanagementframework DORA verlangt een “sound, comprehensive and well-documented” ICT-risicomanagementframework. Dat betekent: duidelijke policies, processen, rollen, risk assessments, controls, monitoring en rapportages. Voor auditors is dit vertrouwd terrein: je beoordeelt de opzet, het bestaan en de werking van het framework, met specifieke aandacht voor de aansluiting op de organisatiecontext en de proportionaliteit (niet elk klein kantoor hoeft een bank-achtige inrichting te hebben). 3. Incidentmanagement en rapportage Als er iets misgaat, moet dat snel zichtbaar zijn, intern én, bij grote incidenten, voor de toezichthouder. DORA stelt eisen aan detectie, logging, classificatie, escalatie en rapportages van ICT-incidenten. In de audit kijk je daarom niet alleen naar het incidentregister, maar ook naar monitoring, alerting, de praktijk van storingsafhandeling en de kwaliteit van root cause analyses. 4. Testen van digitale weerbaarheid Weerbaarheid kun je niet alleen op papier beoordelen. DORA verlangt periodieke testen, variërend van basis-testen tot geavanceerde threat-led penetratietests. Voor de audit betekent dit: beoordelen of het testplan risicogebaseerd is, of de resultaten leiden tot concrete verbeteracties en of lessen uit oefeningen (bijvoorbeeld crisis-simulaties) daadwerkelijk worden opgepakt. 5. Third-party risk management Veel financiële instellingen leunen (zwaar) op externe ICT-dienstverleners, van cloud tot betalingsplatforms. DORA stelt scherpe eisen aan contracten, auditrechten, exit-strategieën en het structureel monitoren van deze leveranciers. Een DORA audit zoomt in op de keten: begrijpt de organisatie welke functies afhankelijk zijn van welke leveranciers, zijn de contracten DORA-proof en hoe wordt de performance en security van leveranciers gemonitord? De DORA audit stap voor stap Hoewel elke organisatie en elke auditopdracht uniek is, kun je een DORA audit grofweg langs vijf stappen opbouwen. 1. Begrijp de context en scope Start met helderheid: op welke entiteiten is DORA van toepassing, welke diensten zijn kritisch en welke ICT-ketens horen daarbij? Voor internal auditors betekent dit: De organisatiestructuur en vergunningen goed begrijpen. In kaart brengen welke processen “kritieke of belangrijke functies” ondersteunen. Bepalen welke ICT-assets en third parties essentieel zijn voor die functies. Pas als deze scope scherp is, kun je zinnige uitspraken doen over digitale operationele weerbaarheid. 2. Leg de link met het bestaande risicomanagement DORA vraagt om integratie met het bestaande risicomanagementframework, niet om een parallel DORA-universum. Een logische vervolgstap is dus om te analyseren: Hoe ICT-risico’s nu in de enterprise risk management (ERM)-cyclus zijn opgenomen. In hoeverre het bestaande risk- en control-framework al aansluit bij de DORA-eisen. Of rollen en verantwoordelijkheden rondom ICT-risico’s duidelijk zijn belegd, in lijn met het three lines model . Internal auditors en riskmanagers ervaren in de praktijk vaak dat ICT-risico’s versnipperd zijn belegd en dat IT en business verschillende talen spreken. Een DORA audit legt deze fricties helder bloot, en kan zo een katalysator zijn voor verbetering. 3. Voer een gerichte DORA gap-analyse uit Een goede DORA audit begint met inzicht in de grootste gaten. Geen checklist van honderden eisen, maar een gerichte analyse langs de volgende hoofdthema’s: Governance en strategie: is er een duidelijke digitale weerbaarheidsstrategie, met risk appetite en impacttoleranties voor ICT-verstoringen? ICT-riskmanagement: is er een gedocumenteerd framework, inclusief beleid, processen, rollen, rapportages en monitoring? Incidentmanagement: worden ICT-incidenten volledig en uniform geregistreerd, geclassificeerd en opgevolgd? Kun je major incidents tijdig rapporteren aan toezichthouders? Testen van digitale weerbaarheid: zijn er structurele tests, van functionele recovery-tests tot crisis-oefeningen en – waar nodig – threat-led penetratietests? Third-party risk: zijn contracten, exit-strategieën, auditrechten en rapportages rond kritieke ICT-leveranciers in lijn met DORA vereisten? In deze fase komt de expertise van auditors sterk naar voren: het scherp krijgen van de werkelijke onderzoeksvraag, het kiezen van passende criteria en het analyseren van complexe ICT-ketens. 4. Ontwerp een meerjarig DORA auditprogramma Een DORA audit is geen eenmalige exercitie. Het ICT-riskmanagementframework moet periodiek worden herzien en is onderwerp van terugkerende interne audits. Een volwassen aanpak vraagt dus om een meerjarig auditprogramma, waarin je bijvoorbeeld: Jaarlijks de governance, risk-rapportages en incidentmanagement beoordeelt. Periodiek diepgravende audits doet op kritieke ICT-ketens, zoals betaalverkeer of handelsplatforms. Thematisch audits plant op third-party risk, security-monitoring of crisis-oefeningen. Voor internal auditors bij grote organisaties sluit dit goed aan bij bestaande auditplannen en KPI’s zoals het aantal afgeronde audits, de dekking van kritieke risico’s en de mate van compliance. 5. Besteed expliciet aandacht aan cultuur en gedrag Digitale weerbaarheid is niet alleen techniek, processen en papieren beleidsdocumenten. Het draait net zo goed om gedrag: melden mensen incidenten? Nemen lijnmanagers eigenaarschap voor ICT-risico’s? Worden lessons learned echt benut? Ferocia besteedt in haar opleidingen veel aandacht aan de balans tussen hard en soft controls en aan het doelgericht beïnvloeden van gedrag binnen organisaties. De DORA audit is een uitstekende gelegenheid om die bril op te zetten: Hoe praten mensen in de organisatie over ICT-risico’s; als “IT-probleem” of als strategische factor? Is er een open meldcultuur rondom incidenten en bijna-incidenten? Worden testresultaten en auditbevindingen gebruikt om te leren, of alleen om vinkjes te zetten richting toezichthouder? Internal auditors die ook de culturele dimensie onderzoeken, leveren veel rijkere en duurzamere aanbevelingen op dan wanneer ze alleen de formele beheersmaatregelen beoordelen. Veelgemaakte fouten bij DORA audits In de praktijk zien we een aantal valkuilen terugkeren: Organisaties die DORA puur als IT-project behandelen, missen de koppeling met strategie en business. Dan ontstaat er een “compliance-laagje” over bestaande processen, zonder dat de echte kwetsbaarheden verdwijnen. Een andere valkuil is het overschatten van de huidige volwassenheid: “we doen al jaren iets met BCM en cyber, dus dat zal wel goed zitten”. Een DORA audit laat vaak zien dat processen niet integraal zijn, dat rapportages versnipperd zijn en dat er gaten zitten in incidentregistratie of third-party-beheer. Tot slot is er het risico van te veel focus op documenten. Een fraai geschreven beleidsstuk zegt weinig als medewerkers het niet kennen, systemen het niet ondersteunen of incidenten tóch langs de radar glippen. Hier komt het vakmanschap van de operational auditor naar voren: dóórvragen, de werkvloer op, feiten checken. De rol van internal audit na 17 januari 2025 Vanaf het moment dat DORA volledig van kracht is, wordt de DORA audit geen eenmalige exercitie maar een terugkerend onderdeel van de auditplanning. Voor internal auditors bij grote organisaties betekent dit: ICT-risico’s structureel opnemen in de risicobeoordeling en audituniversum. Zorgen voor voldoende kennis en vaardigheden op het gebied van ICT-risicomanagement en digitale weerbaarheid. Intensief samenwerken met risk management en compliance om dubbel werk te voorkomen en toch onafhankelijke assurance te bieden. Daarmee groeit de internal auditor steeds meer uit tot gesprekspartner van bestuur en toezichthouder over digitale weerbaarheid. Door scherp, onafhankelijk en toekomstgericht te onderzoeken en te rapporteren. Hoe Ferocia kan ondersteunen? DORA raakt precies de gebieden waar Ferocia dagelijks mee bezig is: audit, control, risk management en compliance, zowel via opleidingen en trainingen als via interim en consultancy en werving en selectie. Of je nu internal auditor, riskmanager of compliance officer bent: een stevig DORA onderzoek vraagt om actuele kennis, praktische vaardigheden en het vermogen om techniek, processen en gedrag met elkaar te verbinden. Met praktijkgerichte opleidingen, ervaren interim-professionals en ondersteuning bij het opbouwen van je audit- en riskteam helpt Ferocia organisaties om niet alleen “DORA-compliant” te zijn, maar vooral écht digitaal weerbaar. Zodat bestuurders rustig kunnen slapen, óók als er ergens in de keten een storing optreedt. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl