Zoekresultaten

Ferocia helpt internal auditafdelingen bij voorbereiding en uitvoering van de externe kwaliteitstoetsing volgens GIAS. Versterk je auditfunctie en ontdek hoe. Alle blogs Internal auditing Kwaliteitstoetsing auditafdelingen Hoe Ferocia internal auditafdelingen ondersteunt bij de kwaliteitstoetsing De rol van de internal auditfunctie binnen organisaties is de afgelopen jaren aanzienlijk veranderd. Internal auditors worden tegenwoordig steeds vaker gezien als strategische partners die bijdragen aan governance, risicobeheersing en waardecreatie. Die ontwikkeling brengt ook een grotere verantwoordelijkheid met zich mee. Stakeholders verwachten dat auditafdelingen niet alleen voldoen aan wet- en regelgeving, maar ook dat zij aantoonbaar werken volgens de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA). Om dit te waarborgen, is er de ‘verplichte’ kwaliteitstoets, een periodieke beoordeling van de internal auditfunctie, uitgevoerd door een onafhankelijke partij. Voor veel auditafdelingen is dit een spannend en intensief traject. Hoe toon je aan dat je voldoet aan de kwaliteitscriteria? Hoe bereid je je voor op een externe toets? En hoe vertaal je de uitkomsten naar duurzame verbeteringen? Daar komt Ferocia in beeld. Ferocia als partner in kwaliteitstoetsing Ferocia ondersteunt internal auditafdelingen van A tot Z bij de kwaliteitstoetsing. Dat doen wij vanuit drie diensten: Audit readiness assessment. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS. Uitvoering van de externe kwaliteitstoets (Ferocia is gecertificeerd door het IIA). Door deze combinatie zijn wij voor auditafdelingen niet alleen een sparringpartner, maar ook een onafhankelijke beoordelaar die de kwaliteit van het vakgebied helpt versterken (uiteraard kunnen en willen wij dienstverlening 1 en 2 niet combineren met 3). 1. Audit readiness assessment: voorbereid de kwaliteitstoetsing in Een kwaliteitstoets kan voor auditteams een pittige exercitie zijn. Vaak heerst er onzekerheid: Hoe zit het met onze ethiek en professionele moed? Is onze auditcharter up-to-date? Sluiten onze werkprogramma’s voldoende aan op de standaarden? Hoe scoren we op onafhankelijkheid en objectiviteit? Met het audit readiness assessment helpt Ferocia auditafdelingen deze vragen te beantwoorden. Dit assessment is een grondige analyse die inzicht geeft in de huidige situatie en de mate van gereedheid voor de externe kwaliteitstoetsing. Wat houdt het in? Documentreview: We analyseren beleidsstukken, auditplannen, werkdossiers en rapportages. Interviews: We spreken met auditors, management en stakeholders om te toetsen hoe processen in de praktijk werken. Gap-analyse: We vergelijken de huidige werkwijze met de GIAS-criteria en brengen eventuele verbeterpunten in kaart. Het resultaat Een concreet rapport met: Sterke punten die de auditfunctie onderscheiden. Verbeterpunten die aandacht vragen voor de externe toets. Praktische aanbevelingen waarmee de afdeling direct aan de slag kan. Het readiness assessment geeft auditteams rust, duidelijkheid en een routekaart richting een succesvolle kwaliteitstoets. 2. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS De GIAS stelt duidelijke eisen aan de inrichting en uitvoering van internal auditfunctie. Denk aan ethiek, onafhankelijkheid, positionering binnen de organisatie, kwaliteit van werkprogramma’s en continue professionalisering van het team. Veel auditafdelingen ervaren dat het lastig is om deze criteria consequent door te vertalen naar hun eigen praktijk. Ferocia biedt hier gerichte ondersteuning. Hoe ondersteunen wij? Workshops & trainingen: Gericht op specifieke thema’s zoals onafhankelijkheid, rapportagekwaliteit of stakeholdermanagement. Coaching on the job: Onze experts werken samen met auditteams tijdens lopende audits en geven direct feedback. Template- en procesontwikkeling: We helpen bij het opstellen van praktische formats, auditplannen, auditcharter, etc. die voldoen aan de GIAS. Voorbeeld uit de praktijk Een middelgrote financiële instelling vroeg ons om hulp omdat hun auditfunctie wel operationeel draaide, maar onvoldoende aantoonbaar voldeed aan de GIAS. Ferocia heeft een maatwerk verbeterprogramma opgesteld, inclusief workshops voor het auditteam, begeleiding bij het actualiseren van het auditcharter en ondersteuning bij rapportages. Bij de externe toets werd het team geprezen om hun professionaliteit en verbeterkracht. 3. Externe kwaliteitstoets: onafhankelijk en gecertificeerd Uiteindelijk komt het moment dat de auditfunctie een externe kwaliteitstoets moet ondergaan. Deze toets is ‘verplicht’ voor internal auditfuncties die aangesloten zijn bij het IIA en biedt zekerheid aan de organisatie en haar stakeholders. Ferocia is gecertificeerd om deze externe kwaliteitstoetsen uit te voeren. Dat betekent dat wij onafhankelijk beoordelen of een auditafdeling voldoet aan de GIAS. Hoe verloopt de externe kwaliteitstoetsing? Voorbereiding: We bereiden de externe kwaliteitstoetsing voor en stellen een planning op. Onderzoek: Ferocia voert interviews, documentanalyses en dossierreviews uit. Beoordeling: We vergelijken de praktijk met de kwaliteitscriteria. Rapportage: Het auditteam ontvangt een rapportage met een gedetailleerd oordeel met onderbouwing en eventuele concrete aanbevelingen. Meerwaarde van Ferocia als toetsende partij Ervaring: Onze auditors hebben vele kwaliteitstoetsen uitgevoerd bij uiteenlopende organisaties. Praktische blik: We kijken niet alleen of criteria worden gehaald, maar ook hoe de auditfunctie zich verder kan ontwikkelen. Onafhankelijkheid: Als gecertificeerde partij borgen we een objectief en betrouwbaar oordeel. Waarom kiezen auditafdelingen voor Ferocia? De kracht van Ferocia zit in de combinatie van kennis, ervaring en betrokkenheid. We kennen de praktijk van internal auditing door en door. We combineren theoretische kennis van de GIAS met praktische inzichten uit tientallen organisaties. We denken niet alleen in termen van toetsing, maar ook in ontwikkeling en groei van de auditfunctie. Onze klanten waarderen dat wij niet alleen toetsen, maar ook meedenken over hoe hun afdeling sterker, professioneler en toekomstbestendiger kan worden. De impact van een externe kwaliteitstoets: meer dan een verplichting Soms wordt de externe kwaliteitstoets gezien als een administratieve verplichting. Maar in werkelijkheid is het veel meer dan dat. Een goed doorlopen kwaliteitstoets biedt: Vertrouwen bij bestuur en toezichthouders dat de auditfunctie onafhankelijk en professioneel opereert. Meerwaarde voor de organisatie, omdat verbeterpunten direct bijdragen aan betere governance en risicobeheersing. Professionele groei voor auditors zelf, doordat zij leren van feedback en best practices. Met de juiste voorbereiding en begeleiding kan een kwaliteitstoets zo veranderen van een “spannend examen” naar een kans om de auditfunctie naar een hoger niveau te tillen. Conclusie: Samen werken aan auditkwaliteit Internal auditafdelingen staan voor de uitdaging om niet alleen hun werk goed te doen, maar dit ook aantoonbaar te maken volgens internationale standaarden. De kwaliteitstoets is daarbij een krachtig instrument, mits goed voorbereid en uitgevoerd. Ferocia ondersteunt auditafdelingen op drie niveaus: Audit readiness assessment: inzicht en voorbereiding. Ondersteuning bij voldoen aan de GIAS: kennis, begeleiding en praktische tools. Externe kwaliteitstoets: onafhankelijk, gecertificeerd en met oog voor ontwikkeling. Zo helpen wij internal auditors niet alleen om de toets te halen, maar vooral om sterker en toekomstbestendiger uit het traject te komen. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe Auditmethodiek 2.0 auditors helpt sneller, relevanter en effectiever te auditen met AI-ondersteuning. Verhoog direct de kwaliteit van je audit. Alle blogs Internal auditing Auditmethodiek 2.0 Een gestructureerde aanpak voor effectieve internal audits. De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken dat traditionele auditmethoden steeds vaker tekortschieten. Auditteams moeten niet alleen controleren, maar ook richting geven en direct waarde toevoegen aan de organisatie. Auditmethodiek 2.0 is ontwikkeld om precies dat te doen: een gestructureerde, AI-ondersteunde aanpak die audits relevant, deugdelijk en doelmatig maakt en daarmee direct bijdraagt aan effectieve risicobeheersing en doelrealisatie. Auditmethodiek 2.0 Ferocia heeft Auditmethodiek 2.0 ontwikkeld om auditors en auditmanagers te helpen voldoen aan de snel stijgende eisen van het vak. Organisaties verwachten tegenwoordig snelle, bruikbare inzichten die direct bijdragen aan effectieve risicobeheersing en doelrealisatie. In de praktijk gaat dit nog vaak mis: voorbereidingen duren te lang of blijven te oppervlakkig, het taalgebruik tussen audit en organisatie sluit niet aan, bevindingen in rapportages worden niet herkend of erkend en actielijsten groeien zonder zichtbaar resultaat. Auditmethodiek 2.0 biedt hiervoor een gestructureerde, praktijkgerichte oplossing. De methodiek doorloopt drie fasen: voorbereiding, veldwerk en rapportage, en vertaalt elke stap naar concrete werkwijzen, ondersteund door speciaal ontwikkelde AI-agents die snelheid en kwaliteit verhogen. De methodiek sluit naadloos aan op de Global Internal Audit Standards (GIAS), zet de opdrachtgever centraal zonder concessies aan onafhankelijkheid en zorgt voor rapportages waar de organisatie daadwerkelijk verder mee kan. Auditmethodiek 2.0 is ontwikkeld voor auditors en auditmanagers die efficiënt relevante en kwalitatief hoogwaardige audits willen uitvoeren. Met deze methodiek krijgen zij een bewezen aanpak in handen die inspeelt op de informatiebehoefte van de organisatie en verbeteringen versnelt. Kwaliteitseisen voor audits Een goede internal audit voldoet aan drie fundamentele kwaliteitseisen: relevantie, deugdelijkheid en doelmatigheid. Deze eisen vormen samen de basis voor audits die daadwerkelijk bijdragen aan effectieve risicobeheersing en doelrealisatie. Relevantie De audit sluit aan op de kennisbehoefte van de opdrachtgever. Alleen wanneer de audit goed is afgestemd op de vragen en zorgen van de opdrachtgever, levert de audit bruikbare inzichten op. Relevantie begint bij een grondige verkenning van de informatiebehoefte van de opdrachtgever: wat moet deze audit opleveren en waarom is dat nu van belang? Deugdelijkheid De audit is methodologisch goed onderbouwd. Dat betekent dat de uitkomsten zijn gebaseerd op meerdere bronnen en dat de gevolgde werkwijze transparant en herleidbaar is. Een deugdelijke audit gebruikt een logisch opgebouwd referentiemodel, een goed doordacht testplan en past triangulatie toe bij de gegevensverzameling. Hierdoor ontstaan conclusies die overtuigend zijn. Doelmatigheid De audit wordt uitgevoerd met een efficiënte inzet van tijd en middelen. Er is een goede verhouding tussen de scope en diepgang van de audit enerzijds en de capaciteit en doorlooptijd anderzijds. Doelmatigheid vraagt om scherpe keuzes: niet alles hoeft onderzocht te worden. De audit moet snel tot de kern komen, zonder overbodige inspanning of vertraging. Auditmethodiek 2.0 is ontwikkeld om gericht invulling te geven aan deze kwaliteitseisen. De drie fasen van een audit Een effectieve audit doorloopt drie opeenvolgende fasen: voorbereiding, veldwerk en rapportage. In de voorbereidingsfase wordt de basis gelegd voor een succesvolle uitvoering. De auditor voert een vooronderzoek uit, inventariseert de kennisbehoefte van de opdrachtgever, stelt de scope en afbakening vast, formuleert de auditdoelstelling en stelt een referentiemodel, testplan en auditplanning op. Dit mondt uit in een door de opdrachtgever goedgekeurd auditontwerp. Zo wordt geborgd dat de audit relevant is en op een deugdelijke en doelmatige manier wordt uitgevoerd. De veldwerkfase draait om het systematisch verzamelen en analyseren van gegevens. De auditor past de in het testplan vastgelegde onderzoeksmethoden toe, zoals interviews, documentanalyses en observaties. De verzamelde gegevens worden vastgelegd in een datamatrix, die de basis vormt voor onderbouwde conclusies. In de rapportagefase worden de bevindingen vertaald naar heldere conclusies en, waar nodig, verbeteracties. Door bevindingen te bespreken met de opdrachtgever en eventueel de proceseigenaar, en samen oorzaken en verbeteracties te formuleren, ontstaat draagvlak voor opvolging. Binnen Auditmethodiek 2.0 wordt deze fase versterkt door het gebruik van de SPROA-systematiek en het faciliteren van workshops gericht op het achterhalen van oorzaken, zodat verbeteracties structureel effect hebben. Fase 1: Voorbereiding De voorbereidingsfase van Auditmethodiek 2.0 bestaat uit acht opeenvolgende stappen die samen waarborgen dat audits relevant, deugdelijk en doelmatig worden uitgevoerd. Stap 1. Uitvoeren vooronderzoek Het vooronderzoek vormt het startpunt van de audit en heeft als doel om in korte tijd een helder beeld te krijgen van het auditobject, de mogelijke problematiek en het krachtenveld. Dit vormt de basis voor een goed gefundeerde scope en afbakening. De auditor beantwoordt daarbij drie clusters van vragen: Auditobject Wat is de aard en functie van het auditobject? Uit welke deelobjecten bestaat het auditobject? Welke aspecten zijn van belang? Welke functionarissen spelen een rol? Welke (wettelijke en interne) kaders zijn van toepassing? Problematiek Welke (mogelijke) problemen spelen er? Wat zijn de achtergronden of oorzaken van deze problemen? Welke bijdrage moet de audit leveren? Krachtenveld Welke interne en externe factoren hebben invloed op de audit? Welke belangen, verwachtingen en gevoeligheden spelen er bij stakeholders? De auditor combineert in deze stap twee methoden om bovenstaande vragen te beantwoorden: Documentstudie, zoals beleidsstukken, procesbeschrijvingen, werkinstructies, rapportages, risicoregisters en relevante wet- en regelgeving. Interviews met sleutelpersonen, zoals proceseigenaren, teamleiders, en coördinatoren. AI kan in deze stap ondersteunen bij het snel in beeld brengen van mogelijke objectkenmerken, problemen en belanghebbenden. Met Ferocia’s AI-client kan dit op drie niveaus: door alleen het auditobject in te voeren, de branche te vermelden voor gerichtere output, of interne documenten toe te voegen. Hoe meer informatie u deelt, hoe specifieker de output, maar ook hoe meer (en mogelijk gevoeligere) gegevens u prijsgeeft. Stap 2. Inventariseren kennisbehoefte De tweede stap in de voorbereidingsfase is het inventariseren van de kennisbehoefte bij de opdrachtgever. Door middel van een interview met de opdrachtgever en eventueel de proceseigenaar wil de auditor achterhalen wat het doel is van het auditobject, wat eventuele problematiek is waar tijdens de audit rekening mee moet worden gehouden en welke inzichten de opdrachtgever verwacht. Om dit scherp te krijgen, beantwoordt de auditor samen met de opdrachtgever drie clusters van vragen: Auditobject Wat is volgens de opdrachtgever het doel van het auditobject? Welke aspecten zijn volgens de opdrachtgever van belang? Problematiek Welke incidenten hebben zich voorgedaan? Welke (mogelijke) problemen ziet de opdrachtgever? Waar maakt de opdrachtgever zich zorgen over? Verwachte inzichten Welke specifieke vragen moet de audit volgens de opdrachtgever beantwoorden? Wat gaat de opdrachtgever met deze inzichten doen? Bij het bepalen van de kennisbehoefte is het relevant om onderscheid te maken tussen twee typen audits, de systeemtoets en de performancetoets. Een systeemtoets richt zich op de kwaliteit van de beheersing die moet waarborgen dat doelstellingen structureel worden gerealiseerd. Een performancetoets richt zich op de doelrealisatie zelf: worden operationele doelstellingen behaald, klopt de jaarrekening en wordt voldaan aan wet- en regelgeving? Systeemtoets vs. performancetoets De kennisbehoefte kan afkomstig zijn van een intern gerichte opdrachtgever, zoals de raad van bestuur, directie of management, of van een extern gerichte opdrachtgever, zoals de raad van commissarissen of de externe accountant. Intern gerichte opdrachtgevers kiezen vaker voor systeemtoetsen, omdat deze inzicht geven in de kwaliteit van de beheersing en daarmee concrete handvatten bieden om processen en risicobeheersing verder te verbeteren. Extern gerichte opdrachtgevers hebben doorgaans meer behoefte aan performancetoetsen, zodat zij de resultaten kunnen vergelijken met andere organisaties of met de uitkomsten van eerdere audits. Soorten kennisbehoefte Overigens is de praktijk minder zwart-wit dan hierboven geschetst. Zo stellen sommige regels (zoals NEN-normen) ook eisen aan het systeem en toetst de externe accountant, voorafgaand aan de controle van de jaarrekening, het totstandkomingsproces van de jaarrekening, om zodoende inzicht te krijgen in de risico’s. Stap 3. Vaststellen scope en afbakening Het vaststellen van de scope en afbakening is een belangrijke stap in de voorbereidingsfase van de audit en is gebaseerd op de uitkomsten van het vooronderzoek en het gesprek met de opdrachtgever. Het bepaalt waar het onderzoek zich op richt en welke onderdelen bewust buiten beschouwing blijven. Een heldere scope verhoogt de kans dat de audit aansluit op de kennisbehoefte van de opdrachtgever, zorgt voor focus en voorkomt onnodig werk. Scope De scope beschrijft welk auditobject en welke aspecten binnen de reikwijdte van de audit vallen en waarom. Auditobject: dit is waar je naar kijkt. Een auditobject kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn. Aspect: dit is hoe je naar het auditobject kijkt. Hierbij gaat het om de invalshoek, zoals tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving. Scope Afbakening De afbakening beschrijft welke gerelateerde auditobjecten en aspecten buiten de audit vallen en waarom. Dit kan bijvoorbeeld zijn omdat ze niet relevant zijn voor de actuele kennisbehoefte, omzet ze recent al onderzocht zijn, of omdat er onvoldoende middelen beschikbaar zijn om ze te onderzoeken. Het expliciet vaststellen van de afbakening is minstens zo belangrijk als het vaststellen van de scope: het voorkomt onduidelijkheid en teleurstelling bij de opdrachtgever wanneer onderwerpen achteraf buiten beschouwing blijken te zijn gebleven. Stap 4. Formuleren auditdoelstelling De vierde stap in de voorbereidingsfase is het formuleren van de auditdoelstelling. Deze stap volgt logisch op het vaststellen van de scope en afbakening, omdat de doelstelling direct gebaseerd is op het gekozen auditobject, aspecten en het beoogde gebruik van de resultaten door de opdrachtgever. Een duidelijke auditdoelstelling zorgt voor richting tijdens de uitvoering van de audit en helpt om verwachtingen tussen auditor en opdrachtgever vooraf helder af te stemmen. Zo wordt voorkomen dat het onderzoek te breed of te smal wordt uitgevoerd of dat de opdrachtgever niet verder kan met de uitkomsten. De auditdoelstelling bestaat uit vier onderdelen: Het auditobject, inclusief eventuele deelobjecten. De aspecten die binnen de scope vallen (bijvoorbeeld tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving). De opdrachtgever, die de resultaten van de audit ontvangt en ermee aan de slag gaat. De relevantie (wat de opdrachtgever met de resultaten van de audit wil bereiken, bijvoorbeeld het onderbouwd kunnen besluiten of een proces geoptimaliseerd of uitbesteed moet worden). De auditdoelstelling wordt geformuleerd volgens het vaste stramien: “Het doel van de audit is vaststellen in hoeverre [auditobject] waarborgt dat [aspecten], teneinde [opdrachtgever] in staat te stellen [relevantie].” Voorbeeld Het doel van de audit is vaststellen in hoeverre het campagnebeheerproces waarborgt dat marketingcampagnes effectief, doelgroeppgericht en conform wet- en regelgeving worden uitgevoerd, teneinde de marketingmanager in staat te stellen de interne beheersing te verbeteren. Ook in deze stap kan AI ondersteuning bieden. Voor het formuleren van een heldere auditdoelstelling heeft Ferocia een AI-agent ontwikkeld. Door het auditobject, de aspecten die binnen de scope vallen en de opdrachtgever in te voeren, genereert de AI-agent direct een zorgvuldig geformuleerde doelstelling die voldoet aan de vereiste opbouw. Stap 5. Opstellen referentiemodel De auditdoelstelling vormt het uitgangspunt voor het opstellen van het referentiemodel. Dit model beschrijft de norm waartegen de werkelijkheid wordt getoetst. Het kan worden gebaseerd op bestaande risk- en controlframeworks (zoals COSO, INK of ISO), wet- en regelgeving (zoals AVG, DORA of Wft) of andere relevante theorieën, modellen en best practises. Het referentiemodel wordt niet achter het bureau opgesteld, maar in nauwe samenwerking met de opdrachtgever en/of de proceseigenaar. De eerste lijn is immers verantwoordelijk voor de kwaliteit van de risicobeheersing die moet waarborgen dat doelstellingen gerealiseerd worden. Co-creatie vergroot de kans dat de eerste lijn het referentiemodel herkent, erkent en er daadwerkelijk mee aan de slag gaat. Het referentiemodel bestaat bij een systeemtoets uit zes elementen: Auditobjecten Beheersdoelstellingen Risico’s Classificatie risico’s Beheersmaatregelen Classificatie beheersmaatregelen Auditobjecten Een auditobject is het (deel)object waarop dit deel van de audit zich richt. Dit kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn. Beheersdoelstellingen Een beheersdoelstelling beschrijft het gewenste resultaat van de interne beheersing. Een beheersdoelstelling wordt altijd gekoppeld aan een auditobject en geformuleerd als: “Beheersmaatregelen bieden een redelijke mate van zekerheid dat […].” Ook in deze stap kan AI ondersteuning bieden. Voor het formuleren van heldere beheersdoelstellingen heeft Ferocia een AI-agent ontwikkeld. Door de aspecten uit de auditdoelstelling een voor een in te voeren, genereert de AI-agent direct per aspect een zorgvuldig geformuleerde beheersdoelstelling die voldoet aan de vereiste opbouw. Risico’s Een risico is een mogelijke gebeurtenis die het behalen van de beheersdoelstelling in gevaar kan brengen. Een risico wordt altijd opgebouwd uit drie elementen: Gebeurtenis: wat kan er misgaan? Oorzaak: waardoor kan dit misgaan? Gevolg: wat is de impact als het misgaat? Doorgaans betreft dit het niet behalen van de beheersdoelstelling. Formuleer risico’s als volgt: “Er bestaat een risico dat [gebeurtenis], als gevolg van [oorzaak], wat kan leiden tot [gevolg].” Classificatie risico’s Risico’s worden geclassificeerd op basis van kans en impact. Kans geeft aan hoe waarschijnlijk het is dat het risico zich daadwerkelijk voordoet. Dit kan variëren van zeer onwaarschijnlijk tot zeer waarschijnlijk. Impact beschrijft de ernst van de gevolgen als het risico zich voordoet. Dit kan variëren van verwaarloosbare gevolgen tot zeer ernstige of onherstelbare gevolgen. Er wordt gewerkt met een vijfpuntsschaal voor zowel kans als impact. Door kans en impact met elkaar te vermenigvuldigen, ontstaat een risicoscore tussen 1 en 25. Hoe hoger de score, hoe groter de prioriteit om het risico te beheersen. Beheersmaatregelen Per risico worden een of meer beheersmaatregelen vastgesteld. Deze maatregelen zijn erop gericht het risico te mitigeren door óf de kans op het optreden van de oorzaak te verkleinen, óf de impact van het gevolg te beperken. Daarmee vergroten beheersmaatregelen de waarschijnlijkheid dat de beheersdoelstellingen daadwerkelijk worden gerealiseerd. Ze vormen de kern van effectieve risicobeheersing. We hanteren bij het formuleren van beheersmaatregelen de volgende opbouw: “[Wie] [wat] [wanneer] aan de hand van [waarmee] en [vastlegging].” Classificatie van beheersmaatregelen Beheersmaatregelen worden geclassificeerd op basis van hun rol in het beheersingsproces: Preventief: voorkomt dat een fout of incident optreedt. Detectief: signaleert dat er iets fout is gegaan. Correctief: corrigeert fouten of herstelt de situatie. Referentiemodel bij een systeemtoets Voorbeeld Auditobject: proces voor afhandelen van facturen van ingehuurde ZZP’ers Beheersdoelstelling: Beheersmaatregelen bieden een redelijke mate van zekerheid dat alle facturen tijdig worden verwerkt. Risico: Er bestaat een risico dat er onvoldoende capaciteit is om de facturen van ingehuurde ZZP’ers tijdig af te handelen als gevolg van inadequate personeelsplanning, wat kan leiden tot te late betalingen. Classificatie risico: 9/25 (kans: 3/5, impact: 3/5) Beheersmaatregel: De teamleider stelt maandelijks een personeelsplanning op aan de hand van de verwachte hoeveelheid facturen en de verlofplanning en legt deze als zodanig vast in het planningssysteem. Classificatie beheersmaatregel: Preventief Het referentiemodel bij een performancetoets is eenvoudiger van opzet dan bij een systeemtoets. Waar een systeemtoets de volledige keten van beheersdoelstellingen, risico’s en beheersmaatregelen analyseert, richt een performancetoets zich uitsluitend op het vaststellen in welke mate de doelstellingen daadwerkelijk zijn behaald. Bij het formuleren van de norm doorloopt de auditor een aantal denkstappen. Deze stappen helpen om scherp te krijgen wat er écht toe doet en hoe dit meetbaar kan worden gemaakt. Het gaat hier niet om losse onderdelen die in het referentiemodel worden opgenomen, maar om een denkkader waarmee de auditor tot een heldere en toetsbare norm komt. De denkstappen zijn: Kritische succesfactor (KSF): het aspect dat bepalend is voor het succes van het auditobject, zoals tijdigheid, klantvriendelijkheid of doelmatigheid. De KSF geeft richting aan wat essentieel is om de doelstellingen te bereiken. Maatstaf: de wijze waarop de KSF meetbaar wordt gemaakt, bijvoorbeeld in percentages, aantallen of doorlooptijd in dagen. De maatstaf vertaalt de succesfactor naar een concrete meeteenheid. Norm: de streef- of grenswaarde die aangeeft wanneer de prestatie als voldoende wordt beoordeeld. Dit is de uiteindelijke toetssteen die in het referentiemodel wordt opgenomen. Voorbeeld Auditobject: proces voor afhandelen van facturen van ingehuurde ZZP’ers Kritische succesfactor: Tijdigheid Maatstaf: Aantal dagen Norm: 99% binnen 30 dagen Referentiemodel bij een performancetoets Hoewel systeemtoetsen en performancetoetsen verschillende invalshoeken hebben, kunnen zij binnen één referentiemodel worden gecombineerd. Een gecombineerde opzet biedt zowel inzicht in de kwaliteit van de interne beheersing (systeemtoets) als in de mate waarin doelstellingen daadwerkelijk worden gerealiseerd (performancetoets). Ook in deze stap kan AI waardevolle ondersteuning bieden. Ferocia heeft een AI-agent ontwikkeld die op basis van het auditobject en de beheersdoelstelling, suggesties doet voor risico’s en bijbehorende beheersmaatregelen, inclusief hun classificatie. Hoe specifieker de context wordt ingevoerd (bijvoorbeeld branche, interne werkinstructies of relevante wet- en regelgeving), hoe beter de uitvoer aansluit op de praktijk van de organisatie. Standaard identificeert de AI-agent per beheersdoelstelling tien risico’s, elk voorzien van drie beheersmaatregelen inclusief classificatie. Stap 6. Opstellen testplan Het testplan beschrijft per beheersmaatregel op welke manier (met welke methoden en bronnen) wordt vastgesteld of de maatregel is ingericht en werkt. Er zijn drie verschillende methoden om dit te onderzoeken: Observatie Inhoudsanalyse Documenten Registraties (integraal of steekproef) Ondervraging van personen (Groeps)interviews (topic based) Enquêtes De keuze voor de onderzoeksmethode hangt af van wat je op basis van de omschrijving van de beheersmaatregel wilt vaststellen. Vaak is al direct te herleiden welke methode het meest voor de hand ligt en de grootste betrouwbaarheid biedt. Voorbeeld Als uit de beheersmaatregel blijkt dat functie X een bepaalde handeling moet uitvoeren en deze moet vastleggen in systeem Y, dan is het logisch om functie X te interviewen en in systeem Y te controleren of de vastlegging daadwerkelijk plaatsvindt. Indien mogelijk kan ook observatie worden toegepast om het proces rechtstreeks waar te nemen. Tests bij systeemtoetsen worden als volgt geformuleerd: “Stel vast door middel van [methode(n) voor gegevensverzameling] dat [te toetsen beheersmaatregel] bestaat en werkt.” Tests bij performancetoetsen worden als volgt geformuleerd: “Stel vast door middel van [methode(n) voor gegevensverzameling] in hoeverre [norm].” De betrouwbaarheid van de audit wordt verhoogd door zoveel mogelijk gebruik te maken van triangulatie: het combineren van verschillende onderzoeksmethoden, bronnen en/of onderzoekers bij het beoordelen van een beheersmaatregel. Triangulatie zorgt ervoor dat bevindingen worden bevestigd vanuit meerdere invalshoeken, wat de kans op een vertekend beeld verkleint. Tijdens deze stap wordt ook een bronnenmatrix opgesteld. Een bronnenmatrix geeft in één overzicht weer welke bronnen worden gebruikt om iedere beheersmaatregel te testen. Hieruit blijkt dus ook gelijk of triangulatie is toegepast. Bronnenmatrix Het testplan wordt doorgaans in een kolom naast het referentiemodel opgenomen. Tijdens het veldwerk worden hieraan de testresultaten en conclusies toegevoegd. Testplan AI kan je helpen bij het opstellen van het testplan. Ferocia heeft een AI-agent ontwikkeld die, op basis van het referentiemodel, automatisch een eerste opzet van het testplan genereert. Stap 7. Opstellen auditplanning De auditplanning maakt concreet welke activiteiten in welke volgorde plaatsvinden, hoe lang ze duren (doorlooptijd in weken) en hoeveel tijd het auditteam eraan besteedt (bewerkingstijd in uren). Dit overzicht helpt om realistische verwachtingen te scheppen, de werkdruk te verdelen en de voortgang te monitoren. Voorbeeld auditplanning Ook wordt een urenplanning per auditor opgesteld. Deze planning laat zien hoeveel werkuren iedere auditor aan de afzonderlijke auditactiviteiten besteedt. Het totaal aantal uren in deze individuele urenplanningen moet altijd exact overeenkomen met het totaal aantal uren in de auditplanning. Voorbeeld urenplanning per auditor Stap 8. Samenstellen auditontwerp In deze laatste stap worden de resultaten van alle voorgaande fasen samengevoegd tot één integraal document: het auditontwerp. Het auditontwerp bestaat uit: Aanleiding en kennisbehoefte Auditobject Problematiek Krachtenveld Kennisbehoefte Scope en afbakening Auditdoelstelling Auditplanning Bijlage: Referentiemodel en testplan Let op! Stem het auditontwerp altijd af met de opdrachtgever. Pas na akkoord kan het veldwerk van start gaan. Fase 2: Veldwerk In de tweede fase wordt het testplan uitgevoerd. Dit houdt in dat documentanalyses en steekproeven van registraties worden uitgevoerd, en dat de geplande observaties, interviews en enquêtes plaatsvinden. Stap 1. Verzamelen van gegevens De verzamelde gegevens/data worden vastgelegd in een datamatrix. Deze matrix is gebaseerd op de bronnenmatrix. Waar in de bronnenmatrix kruisjes aangeven welke bronnen per beheersmaatregel worden geraadpleegd, bevat de datamatrix per bron de verzamelde gegevens die als basis dienen voor de analyse. Datamatrix Stap 2. Analyseren van gegevens Om de verzamelde gegevens te kunnen analyseren, worden ze geclassificeerd volgens een scoresysteem. Veelal wordt hiervoor een vierpuntsschaal gehanteerd: · (--) De beheersmaatregel bestaat niet · (-) De beheersmaatregel werkt niet altijd · (+) De beheersmaatregel werkt vrijwel altijd · (++) De beheersmaatregel werkt altijd Datamatrix met scores Het is aan te raden om deze scores samen met een collega-auditor vast te stellen. Iedere auditor beoordeelt eerst zelfstandig de beheersmaatregelen, waarna de verschillen in scores gezamenlijk worden besproken. Op deze manier wordt consensus bereikt en de objectiviteit vergroot. Op basis van de modus (meest voorkomende waarde) of mediaan (middelste waarde) wordt vervolgens het testresultaat per beheersmaatregel bepaald. Soms is dit niet goed mogelijk, omdat de scores van de verschillende bronnen te veel van elkaar afwijken. In dat geval is uitbreiding noodzakelijk. Indien dit niet mogelijk is, is het beter om niet te oordelen. Eventueel kan er nog een wegingsfactor toegepast worden, als men bijvoorbeeld van mening is dat het antwoord van de directeur zwaarder of juist minder zwaar weegt dan het antwoord van de teamleider. Datamatrix met testresultaat Let op! Het samenvoegen (oprollen) van de testresultaten per beheersmaatregel tot een of meer conclusies is aan het professionele oordeel van de auditor. De datamatrix vormt de brug tussen de test enerzijds en het testresultaat anderzijds in het testplan. Het is niet alleen een praktisch hulpmiddel om objectief te bepalen of een beheersmaatregel bestaat en werkt, maar ook een krachtig communicatiemiddel richting de opdrachtgever. Met de datamatrix kan de auditor helder onderbouwen waar bevindingen op zijn gebaseerd. Hierdoor wordt de auditrapportage volledig reproduceerbaar en ontstaat er automatisch een duidelijke audittrail. Testplan en datamatrix Fase 3: Rapportage In de derde fase staat de rapportage centraal. Deze fase bestaat uit drie hoofdstappen: het opstellen en delen van het conceptrapport, het faciliteren van een workshop om oorzaken en verbeteracties vast te stellen, en het opstellen en delen van het definitieve rapport. Aansluitend volgt de monitoring van de afgesproken verbeteracties. Stap 1. Opstellen conceptrapport Het conceptrapport bevat: Aanleiding en kennisbehoefte Scope en afbakening Auditdoelstelling Conclusies Bijlage 1: Referentiemodel Bijlage 2: Nota van bevindingen De eerste drie onderdelen en het referentiemodel kunnen grotendeels ongewijzigd uit het auditontwerp worden overgenomen. De conclusies worden gebaseerd op de testresultaten. Daarnaast wordt een nota van bevindingen opgesteld volgens de SPROA-methodiek: een gestructureerd analysekader waarmee problemen helder worden beschreven en de basis wordt gelegd voor structurele oplossingen. In het conceptrapport worden per niet-werkende beheersmaatregel de eerste drie onderdelen van SPROA opgenomen: Situatie (S): Feitelijke bevindingen van de auditor zoals deze blijken uit de datamatrix en zijn vastgelegd in de testresultaten. Probleem (P): De constatering of er daadwerkelijk sprake is van een probleem ten aanzien van de beheersing (systeemtoets) of doelrealisatie (performancetoets), bedoeld om urgentie te creëren bij de opdrachtgever. Risico (R): De mogelijke gevolgen als het probleem zich voordoet (overeenkomstig het risico in het referentiemodel). De O (Oorzaak) en A (Actie) volgen pas in het definitieve rapport. Voorbeeld nota van bevindingen (SPR) Het conceptrapport wordt gedeeld binnen de vooraf afgesproken kring, in ieder geval met de opdrachtgever. Stap 2. Organiseren workshop In de tweede stap organiseert de auditor een workshop met betrokken managers en medewerkers uit de eerste lijn. Tijdens deze sessie worden: de achterliggende oorzaken van ineffectieve beheersmaatregelen onderzocht; concrete, SMART-geformuleerde verbeteracties opgesteld (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden); en voor elke actie een verantwoordelijke eigenaar en deadline vastgesteld. Door de verantwoordelijkheid voor de analyse en oplossingsvorming bij de eerste lijn zelf te beleggen, ontstaat meer draagvlak en eigenaarschap voor de uitvoering van de verbetermaatregelen. Stap 3. Opstellen definitief rapport In de derde stap wordt het conceptrapport aangevuld met de resultaten uit de workshop. Hiermee wordt de nota van bevindingen compleet gemaakt volgens de SPROA-methodiek, door de laatste twee onderdelen toe te voegen: Oorzaak (O): De achterliggende redenen van het probleem, zoals vastgesteld tijdens de workshop. Door de oorzaken weg te nemen, wordt een structurele oplossing mogelijk. Actie (A): De overeengekomen SMART-geformuleerde verbeteracties, inclusief de verantwoordelijke eigenaar en de afgesproken deadline. Het definitieve rapport wordt gedeeld binnen de vooraf afgesproken kring, met de opdrachtgever en andere relevante stakeholders, zodat de verbeteracties formeel zijn vastgelegd en de uitvoering kan starten. Voorbeeld nota van bevindingen (SPROA) Stap 4. Monitoring Na afronding van het definitieve rapport start de monitoringsfase. Het doel van monitoring is vaststellen of de overeengekomen verbeteracties daadwerkelijk zijn uitgevoerd en of de beoogde effecten zijn bereikt. Het gaat hierbij dus niet om het meten van inspanningen, maar om het beoordelen van effectiviteit: zijn de beheersmaatregelen nu wel in staat om het risico te mitigeren? De eerste lijn is primair verantwoordelijk voor deze monitoring. Zij leggen periodiek vast welke verbeteracties zijn afgerond en tonen aan of de beheersmaatregelen naar verwachting blijvend zullen werken. Dit noemen we ook wel first line monitoring. Indien uit de monitoring blijkt dat een maatregel nog steeds ineffectief is, wordt direct een nieuwe oorzaakanalyse uitgevoerd en worden aanvullende verbeteracties geformuleerd. De tweede lijn kan de voortgang steekproefsgewijs toetsen. De rol van de auditor (derde lijn) is het beoordelen van de kwaliteit van de eerste- en tweedelijnsmonitoring. Zo wordt gewaarborgd dat het risicobeheer structureel op orde blijft en iedere lijn haar eigen verantwoordelijkheid behoudt. Conclusie Auditmethodiek 2.0 biedt auditors een gestructureerde, praktijkgerichte aanpak waarmee audits niet alleen voldoen aan de hoogste kwaliteitseisen, maar ook aantoonbaar bijdragen aan doelrealisatie, effectieve sturing en robuuste risicobeheersing. Door de audit op te bouwen in drie fasen: voorbereiding, veldwerk en rapportage – en elke stap te ondersteunen met concrete werkwijzen, AI-tools en herkenbaar taalgebruik, wordt de kans vergroot dat de opdrachtgever de uitkomsten herkent, erkent en benut. Een belangrijk fundament hierbij is het referentiemodel, dat in co-creatie met de eerste lijn wordt opgesteld. Dit zorgt voor een gemeenschappelijk begrippenkader, verhoogt de objectiviteit en beperkt discussies over bevindingen, omdat vooraf overeenstemming is bereikt over de normen waaraan wordt getoetst. De inzet van de SPROA-methodiek in de rapportagefase en het faciliteren van workshops met de eerste lijn vergroten het draagvlak en leiden tot structurele verbeteringen. Door de monitoring bij de eerste lijn te beleggen en internal audit een toetsende rol te geven, verschuift de focus van inspanningscontrole naar effectmeting. Zo blijft het risicobeheer structureel geborgd, terwijl internal audit haar onafhankelijke rol behoudt en maximaal meerwaarde levert. Kortom: auditors die kiezen voor Auditmethodiek 2.0 zetten een belangrijke stap naar relevantere en impactvollere audits. Bronnen Bos, P. W., Korte, R. W., & Otten, J. (2017). Management control auditing: bijdragen aan doelrealisatie en verbetering . Auditing.nl . Driessen, A., & Molenkamp, A. (2012). Internal auditing: een managementkundige benadering . Vakmedianet. Hartog, P.A, Molenkamp A. & Otten J.H.M. (1992). Kwaliteit van administratieve dienstverlening: managen is integreren . Kluwer. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Onderzoek cultuur en gedrag in audits met de training soft controls. Leer modellen over cultuur en gedrag praktisch toepassen in jouw audits en stimuleer verandering. Schrijf je nu in! Training Soft controls Duur Studiekosten PE-punten 2 dagdelen € 495,- 9 Inschrijven Training Soft Controls Soft controls, ‘de menselijke factor’ binnen organisaties, krijgen steeds meer aandacht en staan steeds vaker op de auditkalender. Denk aan thema’s als sociale veiligheid, voorbeeldgedrag en vertrouwen. Maar hoe toets je soft controls tijdens een audit? In de training Soft Controls leer je in één lesdag en via een aanvullende e-learning de noodzakelijke technieken en modellen om soft controls effectief te onderzoeken in jouw praktijk. Je scherpt je begrip van cultuur en gedrag aan, oefent met vraagtechnieken en leert hoe je signalen uit de organisatie interpreteert en vertaalt naar concrete interventies. Wat leer je tijdens de training soft controls? Na afloop van deze training kun je cultuur, gedrag en soft controls helder definiëren en begrijp je waarom deze onmisbaar zijn voor effectieve beheersing en sturing. Je leert verschillende modellen toepassen binnen je audits en je bent in staat soft controls gericht te onderzoeken. Daarnaast maak je kennis met interventies die bijdragen aan het versterken van soft controls binnen jouw organisatie, zodat je niet alleen inzicht krijgt, maar ook handvatten hebt om daadwerkelijk verandering te stimuleren. Waarom kiezen voor de training soft controls? Praktisch en theoretisch onderbouwd: je leert bewezen modellen rond cultuur en gedrag kennen en direct toe te passen. Interactie met vakgenoten: ervaringsuitwisseling met collega’s uit andere organisaties. Direct inzetbaar: je stelt een persoonlijk actieplan op dat je kunt toepassen in de eigen praktijk. Flexibiliteit: kies voor fysiek of digitaal onderwijs via onze mixed classrooms. Korte, krachtige investering: in slechts één trainingsdag en een e-learning krijg je de essentiële inzichten en vaardigheden rond soft controls. Waarom kiezen voor Ferocia? Ferocia is de opleider voor professionals in audit, control en risk. Wij combineren academische diepgang met praktijkgericht leren, zodat je kennis direct toepasbaar is in jouw werkomgeving. Onze docenten zijn verbonden aan universiteiten, hogescholen en beroepsorganisaties en brengen hun ervaring uit de praktijk mee de opleiding in. We werken met een innovatieve didactiek waarin e-learning, rollenspellen, praktijkcases en coaching samenkomen in een blended format. Daarbij staat toepassing altijd centraal: je leert het niet alleen, je doet het ook. Ferocia gelooft in inspiratie, co-creatie en prestatie, en dat ervaar je in al onze programma’s! Wil jij leren hoe je met audits echt inzicht krijgt in cultuur en gedrag binnen organisaties? Schrijf je dan nu in voor de training Soft Controls en investeer in jouw professionele groei. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als (operational, IT- of financial) auditor, accountant, controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker of proceseigenaar en van jou wordt verwacht een oordeel te kunnen vormen over cultuur- en gedragsaspecten binnen jouw organisatie. Je wenst in korte tijd de basisbeginselen van soft controls te doorgronden en in de praktijk toe te kunnen passen. De tijdsinvestering bedraagt ongeveer 10 uur. Dit is inclusief lesdagen en praktijkopdrachten. In deze training werken we met een innovatieve e-learning, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Deelnemers kunnen de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 9 PE-punten. De studiekosten bedragen € 495,- (all-in en vrij van btw). Wat eerdere deelnemers zeggen Bert van Scherpenzeel Quality manager "De training Soft controls is zeer interessant en inspirerend! " Marsha van Iersel Business controller "Veel interactie, levendige discussies en praktische voorbeelden maakten de training Soft controls bijzonder waardevol!" Menny Barendse Auditmanager "Het op praktische wijze leren toepassen van soft controls is een waardevolle aanvulling op onze audits!" Inzichten Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde... 26 aug 2025 4 minuten om te lezen Soft Controls: de kracht van beheersing In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en... 13 mei 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Ontdek hoe soft controls zoals cultuur en gedrag cruciaal zijn voor effectieve interne beheersing en risicomanagement. Versterk jouw organisatie vandaag! Alle blogs Gedrag en cultuur Soft Controls In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en toegepaste controlemaatregelen, doen zich toch incidenten voor. Denk aan integriteitskwesties, vertrouwensbreuken of zelfs fraude. Hoe kan dat? Steeds vaker ligt de echte oorzaak niet in de systemen, maar in de cultuur. In de ongeschreven regels. In het gedrag. In wat we noemen: soft controls . Wat zijn soft controls precies? Soft controls zijn de informele vaak onzichtbare factoren die gedrag binnen organisaties beïnvloeden. Het gaat om zaken als: Psychologische veiligheid: durven mensen zich uit te spreken? Leiderschap en voorbeeldgedrag: wat laat het management echt zien? Vertrouwen en openheid: is er ruimte voor kwetsbaarheid? Normen en waarden: wat vinden we ‘normaal’ gedrag? Betrokkenheid en motivatie: waarom doen mensen wat ze doen? Deze elementen sturen gedrag, vaak sterker dan formele regels of procedures. Ze bepalen of mensen hun verantwoordelijkheid nemen, fouten durven melden, dilemma’s delen en ethisch handelen. Hard vs. soft: twee zijden van dezelfde munt Traditionele interne beheersing leunt sterk op hard controls , zoals functiescheiding, autorisatieprotocollen, rapportagestructuren en IT-systemen. Deze zijn namelijk tastbaar, meetbaar en controleerbaar. Soft controls daarentegen zijn minder grijpbaar, maar wel minstens zo belangrijk. Ze bepalen de effectiviteit van die harde maatregelen. Een autorisatieprocedure is zo sterk als de mate waarin medewerkers bereid zijn zich eraan te houden. En dat gedrag wordt juist gestuurd door soft controls. Of zoals een ervaren auditor eens zei: “Op papier klopt alles. In de praktijk doet men iets anders.” Soft en hard controls versterken elkaar, of juist niet. Een organisatiecultuur waarin kleine fouten zwaar worden bestraft, zorgt ervoor dat risico’s niet worden gemeld. Terwijl openheid en vertrouwen het melden van incidenten juist stimuleren. Soft controls vormen dus het fundament van een lerende organisatie. Waarom soft controls cruciaal zijn voor auditors De rol van de internal auditor verandert. Waar vroeger vooral werd gekeken naar structuur en processen, komt er nu steeds meer aandacht voor gedrag, cultuur en context. Soft controls helpen auditors om: blinde vlekken te signaleren; risico’s realistischer in te schatten; aannames over controles te toetsen; en betere, effectievere aanbevelingen te formuleren. Auditen van soft controls vraagt echter een andere aanpak. Geen vinklijstjes, maar nieuwsgierigheid. Geen check op procedures, maar gesprekken over dilemma’s. Geen observaties van cijfers, maar observaties van gedrag. Je onderzoekt niet alleen wat er gebeurt, maar ook waarom het gebeurt. Hoe onderzoek je soft controls? Het beoordelen van soft controls is maatwerk. Elk team, elke organisatie en elke context is anders. Ferocia werkt daarom met een aanpak waarin meerdere methoden worden gecombineerd: Diagnoses en nulmetingen : een eerste beeld van cultuur en gedrag, via scans of vragenlijsten. Interviews en groepsgesprekken : verdiepen op thema’s als integriteit, voorbeeldgedrag en aanspreekcultuur. Observaties in de praktijk : meekijken bij vergaderingen of besluitvormingsprocessen. Gebruik van beproefde frameworks : zoals het model van Muel Kaptein. Door deze methoden slim te combineren, ontstaat een realistisch en werkbaar beeld van de soft controls binnen een organisatie. Geen theoretisch model, maar praktische inzichten waar direct mee gewerkt kan worden. Soft controls in tijden van verandering De urgentie van soft controls neemt toe. Organisaties opereren steeds vaker in complexe, hybride omgevingen. Werknemers zijn deels thuis, deels op kantoor. Teams werken digitaal samen. De formele controle wordt minder zichtbaar en het belang van vertrouwen en intrinsieke motivatie juist groter. Tegelijkertijd zien we een toename in externe druk: strengere regelgeving, maatschappelijke verwachtingen rond ESG (Environmental, Social, Governance), en de noodzaak tot transparantie. In deze context is het essentieel dat medewerkers niet alleen ‘doen wat moet’, maar vooral ‘doen wat juist is’. En dat vraagt om sterke soft controls. Soft controls implementeren: hoe doe je dat? Soft controls versterken begint bij bewustwording. Veel organisaties herkennen gedragspatronen wel, maar vinden het lastig om ze te benoemen of bespreekbaar te maken. Ferocia ondersteunt organisaties daarom met advies, training en audits op maat. Denk aan: Trainingen over ethiek, cultuur en integriteit: wat verstaan we onder voorbeeldgedrag? Hoe spreken we elkaar aan? Wat doen we als we een dilemma tegenkomen? Gedragsaudits: geen controle op cijfers, maar op gedragspatronen. Waar zitten de risico’s in houding, communicatie of leiderschap? Integratie in risicomanagement en compliance: soft controls als volwaardig onderdeel van het control framework. Niet als ‘extraatje’, maar als strategische pijler. Coaching en ondersteuning van leidinggevenden: want gedrag begint aan de top. Managers en teamleiders zijn cruciaal in het versterken van een gezonde cultuur. Voorbeeld uit de praktijk Een zorginstelling merkte dat incidenten rondom medicatieveiligheid bleven voorkomen, ondanks goede protocollen en technische ondersteuning. De oorzaak? Medewerkers durfden elkaar niet aan te spreken. Uit gesprekken bleek dat er onvoldoende psychologische veiligheid was. Door met het team te werken aan openheid, vertrouwen en feedbackvaardigheden, nam het aantal incidenten substantieel af, zonder dat er iets aan de procedures werd aangepast. Het laat zien: soft controls maken het verschil. Soft controls in jouw organisatie? De grote vraag is: hoe sterk zijn de soft controls in jouw organisatie? Worden risico’s besproken of vermeden? Is er ruimte voor feedback, of speelt men op zeker? Voelen medewerkers zich verantwoordelijk, of juist gecontroleerd? Hebben mensen het lef om afwijkingen te melden? Als je twijfelt over het antwoord, is dat op zichzelf al waardevol. Want het betekent dat je bereid bent te kijken. En dat is de eerste stap naar verbetering. Of je nu soft controls wilt onderzoeken, versterken of integreren in je organisatiecultuur, wij helpen je verder! Opleidingen en trainingen – op het gebied van soft controls zowel open als inhouse. Interim en consultancy – tijdelijke inzet van internal auditors die gespecialiseerd zijn in cultuur en gedrag . Werving en selectie – voor het vinden van de juiste auditprofessional die je team permanent komt versterken. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Volg een actuele, praktijkgerichte opleiding Internal auditing bij Ferocia & Avans+. Kies Operational of IT-auditing en versterk jouw rol als interne auditor. Alle blogs Internal auditing Opleiding Internal auditing Wat is internal auditing? Internal auditing is het vakgebied dat organisaties helpt grip te krijgen op risico’s, processen en IT-systemen. Internal auditors beoordelen onafhankelijk de kwaliteit van interne beheersmaatregelen en geven op basis daarvan onderbouwd advies over mogelijke verbeteringen. Ze onderzoeken of processen effectief verlopen, of risico’s adequaat worden beheerst en of wet- en regelgeving wordt nageleefd. De internal auditor is veel meer dan een controleur: het is een strategische sparringpartner van bestuur en management. Vanuit een onafhankelijke positie stelt de auditor kritische vragen, benoemt blinde vlekken en helpt de organisatie beter voorbereid te zijn op interne én externe ontwikkelingen. Door structuur aan te brengen in het beheersen van risico’s en het verbeteren van processen, draagt internal auditing bij aan betere besluitvorming, verantwoordingsinformatie en structurele verbetering van prestaties. Twee specialisaties binnen internal auditing Binnen het vakgebied van internal auditing zijn twee specialisaties toonaangevend: operational auditing en IT-auditing . Beide richten zich op het versterken van interne beheersing, maar doen dat vanuit een ander perspectief. Operational auditing is gericht op het beoordelen van bedrijfsprocessen en de effectiviteit van beheersmaatregelen. De focus ligt op de vraag of processen efficiënt, effectief en risicobewust zijn ingericht. Een operational auditor onderzoekt niet alleen of bestaande werkwijzen aansluiten bij organisatiedoelen, maar adviseert ook over mogelijke verbeteringen. Denk aan het optimaliseren van de samenwerking tussen afdelingen, het terugdringen van fouten of verspilling, en het versterken van interne controles. IT-auditing daarentegen zoomt in op de digitale kant van de organisatie. IT-auditors beoordelen of IT-systemen betrouwbaar, veilig en goed beheerd zijn. Daarbij onderzoeken zij onder meer of systemen beschikbaar zijn wanneer nodig, of data juist en volledig is (integriteit), en of gevoelige informatie goed wordt beschermd (vertrouwelijkheid). Ook toets je als IT-auditor of de organisatie voldoet aan relevante wet- en regelgeving, zoals de AVG of sectorspecifieke normen. Beide specialisaties binnen internal auditing leveren een waardevolle bijdrage aan het inzicht in risico’s en de kwaliteit van beheersing — en vormen samen een krachtige combinatie voor organisaties die in control willen zijn. Opleiding Internal auditing: kies jouw specialisatie Een opleiding Internal auditing is pas echt waardevol als deze aansluit bij de praktijk en inspeelt op de complexiteit van het vak. Daarom kies je bij Ferocia en Avans+ niet voor een algemene verzamelopleiding, maar voor twee gerichte postbacheloropleidingen die elk een belangrijk specialisme binnen internal auditing behandelen. Postbacheloropleiding Operational auditing De opleiding Operational auditing richt zich op het beoordelen en verbeteren van processen binnen organisaties. Als operational auditor analyseer je risico’s, toets je de werking van interne beheersmaatregelen en geef je onderbouwde verbeteradviezen. Tijdens deze opleiding internal auditing werk je aan een auditopdracht in je eigen praktijkomgeving, onder begeleiding van ervaren docenten. Zo ontwikkel je je tot een kritische, resultaatgerichte auditor met impact. Postbacheloropleiding IT-auditing De opleiding IT-auditing is bedoeld voor professionals die digitale risico’s willen beheersen. IT-auditors onderzoeken onder meer of systemen veilig zijn, data betrouwbaar is en wet- en regelgeving wordt nageleefd. Denk aan thema’s zoals informatiebeveiliging, systeemintegriteit en privacybescherming. Deze opleiding internal auditing geeft je alle kennis en tools om IT-systemen effectief te beoordelen en organisaties digitaal ‘in control’ te brengen. Versterk jouw organisatie met een gecombineerde opleiding Internal auditing Heb je bij Ferocia en Habeo+ al een opleiding Internal auditing gevolgd, zoals Operational auditing of IT-auditing? Dan kun je de tweede opleiding in verkorte vorm én tegen een gereduceerd tarief volgen. Dankzij deze modulaire opzet breid je jouw expertise uit van processen naar IT of andersom. Zo ontwikkel je je tot een allround internal auditor met brede inzetbaarheid en diepgaande kennis. Met de gecombineerde opleidingen Internal auditing van Ferocia en Avans+ vergroot je jouw toegevoegde waarde binnen elke organisatie. Waarom kiezen voor Ferocia en Habeo+? Ferocia en Habeo+ bundelen hun krachten om professionals op te leiden tot krachtige internal auditors die direct impact maken in de praktijk. Onze opleidingen onderscheiden zich door hun combinatie van theoretische diepgang, praktijkgericht leren én actualiteit. Je krijgt les van ervaren auditors en docenten uit het werkveld, werkt aan een echte auditopdracht binnen je eigen organisatie en leert in een groep met gelijkgestemde professionals. De lesstof is actueel en sluit aan bij de nieuwste ontwikkelingen in het vak, zoals het gebruik van AI in audits en de toepassing van de meest moderne vorm van auditmethodiek (auditmethodiek 2.0). Zo ontwikkel je niet alleen kennis, maar ook vaardigheden en zelfvertrouwen om als volwaardig sparringpartner op te treden. Met een diploma van Ferocia en Avans+ ben je optimaal voorbereid op de uitdagingen van morgen. Wil jij je ontwikkelen tot een allround internal auditor die écht het verschil maakt? Schrijf je dan nu in voor de postbacheloropleiding Operational auditing of IT-auditing van Ferocia en Habeo+, en geef jouw carrière een boost! Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

< Terug Vacature Financieel manager Plaza Foods Per direct 36 tot 40 uur per week Nijmegen €79.920,00 - €93.240,00 per jaar SOLLICITEER Over de organisatie Je komt terecht in een dynamische, internationale organisatie met een warme, informele bedrijfscultuur. Plaza Foods is begonnen als familiebedrijf en is inmiddels uitgegroeid tot een van Europa’s toonaangevende producenten van koelverse maaltijden met een oriëntaalse en mediterrane signatuur. Die oorsprong proef je nog steeds terug — in het eten en in de manier van samenwerken. Persoonlijke betrokkenheid, vakmanschap en innovatie gaan hier hand in hand. De organisatie groeit hard en investeert volop in technologie, processen en mensen. In de moderne productielocatie in Nijmegen wordt gewerkt aan kwaliteitsproducten die via retail en foodservice hun weg vinden naar klanten in heel Europa. Over de functie Als financieel manager speel je een sleutelrol binnen de organisatie. De functie vraagt om een professional die de directie kan voorzien van betrouwbare cijfers, heldere analyses en strategisch advies. In deze rol geef je richting aan het financiële beleid en heb je directe invloed op bedrijfsprocessen en keuzes die bepalend zijn voor de toekomst van het familiebedrijf. Deze organisatie wil inzetten op groei. Jij ook? Topprioriteiten van de functie: • Consolidatie & rapportage; zorgdragen voor tijdige, juiste en kritische analyses van de financiële prestaties van de holding, dochtermaatschappijen en privéholdings en van nieuw op te starten projecten. • Strategisch advies en sparringpartner voor general manager; kostprijzencalculatie, vertalen van cijfers naar inzicht en richtinggevend advies voor directie en MT. • Leiding & ontwikkeling; aansturen en coachen van de finance-afdeling en het verder professionaliseren van systemen en processen. Daarnaast ben je verantwoordelijk voor het opstellen van de maand-, kwartaal- en jaarrapportages en analyseer je deze kritisch, zodat de directie altijd beschikt over betrouwbare inzichten. Ook bewaak je budgetten, forecasts en de liquiditeitspositie. Je initieert verbetertrajecten en kostenbesparingsprojecten en onderhoudt actief contact met externe partijen zoals accountants, banken, verzekeringsmaatschappijen en de Belastingdienst. Je werkt continu aan het optimaliseren van financiële processen en systemen, zodat de organisatie klaar is voor de toekomst. Wie zoeken we? Je hebt een aantoonbaar hbo- of wo werk- en denkniveau. Je neemt vijf jaar ervaring mee in een vergelijkbare functie. Je hebt ervaring binnen een productieomgeving, food of non-food, waarbij ook met veel grondstoffen gewerkt wordt. Je bent gewend te werken met meerdere vennootschappen en om financiële rapportages zorgvuldig en volledig te verzorgen. Ook heb je internationale ervaring en beheers je de Engelse taal. Ervaring met geïntegreerde informatiesystemen komt je zeker van pas. Daarnaast voel je je thuis in een familiebedrijfscultuur, waar betrokkenheid en samenwerking belangrijk zijn. Je bent analytisch en accuraat, maar ook besluitvaardig en communicatief sterk, waardoor je met gemak de verbinding maakt met zowel je team als de directie. Bovenal geniet je van een dynamische omgeving waarin je soepel schakelt tussen operationele vraagstukken en strategische beslissingen. Arbeidsvoorwaarden • Een sleutelrol in een gezonde, groeiende organisatie met korte lijnen en een open cultuur. • Salaris tussen de 6.000,- en 7.000,- EUR o.b.v. 40u. • 25 vakantiedagen en 8% vakantiegeld. • Eindejaarsuitkering • Een goede pensioenregeling. • Een opleidings- en ontwikkelbudget. • Ruimte voor eigen initiatief en directe impact op strategie en processen. Over ons Ferocia levert verschillende diensten op het gebied van audit, controlen risicomanagement. Zo bemiddelen we in (interim-)professionals, waarbij we ons onderscheiden met onder meer ons uitgebreide netwerk en scherpe tarieven. Daarnaast ontzorgen onze ervaren consultants organisaties bij vraagstukken op het gebied van sturing en beheersing; van coaching van raden van bestuur tot implementatie van beheersmaatregelen in complexe omgevingen. Ook biedt Ferocia open en inhouse opleidingen en trainingen op voorgenoemde gebieden. Dit alles doen we vanuit het principe ‘inspiratie, co-creatie, prestatie’. Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Vergroot je impact met de opleiding risicomanagement van Ferocia. Leer risico’s beheersen, draagvlak creëren en pas je opgedane kennis direct toe. Alle blogs Opleiding en training, Risicomanagement Opleiding risicomanagement Iedere organisatie, groot of klein heeft ermee te maken: risico’s. Of het nu gaat om cyberdreigingen, veranderende wetgeving, operationele afhankelijkheden of reputatieschade, risico’s zijn overal. Toch blijkt effectief risicomanagement in de praktijk vaak een uitdaging. Want hoe breng je risico’s gestructureerd in kaart? Hoe zorg je voor draagvlak bij collega’s? En belangrijker nog: hoe zorg je ervoor dat risicobeheersing bijdraagt aan het behalen van organisatiedoelen? Daarvoor is de opleiding Risicomanagement van Ferocia ontwikkeld. Praktisch, verdiepend en direct toepasbaar. In deze blog lees je wat risicomanagement inhoudt, wat je leert tijdens de opleiding, wat je erna kunt, voor wie de opleiding bedoeld is en hoe de opleiding risicomanagement is opgebouwd. Wat is risicomanagement? Risicomanagement is meer dan alleen het signaleren van dreigingen. Het is een manier van denken en werken die organisaties helpt hun doelstellingen te realiseren in een continu veranderende omgeving. Goed risicomanagement betekent dat je proactief omgaat met onzekerheden en kansen. Dat je risico’s niet als bedreiging ziet, maar als stuurinformatie voor betere besluitvorming. Risico’s veranderen razendsnel. Organisaties staan voor de uitdaging om deze continu te identificeren, te beoordelen en te beheersen. Denk aan nieuwe technologieën, strengere wet- en regelgeving of veranderingen in klantgedrag. Wie daar niet op anticipeert, loopt achter de feiten aan. Maar risicomanagement is geen losstaande functie of afdeling. Het moet onderdeel zijn van het DNA van de hele organisatie. Dat vraagt om professionals die niet alleen methodieken beheersen, maar ook weten hoe je anderen meeneemt, draagvlak creëert en daadwerkelijk tot actie aanzet. En precies dat leer je in deze cursus. Wat leer je tijdens de opleiding risicomanagement? In acht interactieve dagdelen leer je hoe je risicomanagement integraal en effectief toepast binnen jouw organisatie. Van strategie tot operatie. Van theorie tot praktijk. Je verdiept je onder andere in: de rol van corporate governance en risicomanagementbeleid; verschillende controlmodellen; de risicomanagementcyclus: van risicobeoordeling tot opvolging; het opstellen van een risico/controlmatrix; het ontwikkelen van testplannen voor zowel first line als second line monitoring; het faciliteren van risk control self assessments (RCSA’s); effectieve gesprekstechnieken om risicobewustzijn te vergroten; en het creëren van draagvlak voor jouw inzichten en voorstellen. De cursus combineert theoretische verdieping met praktische opdrachten. Zo werk je tijdens de opleiding aan een concreet risicomanagementvraagstuk binnen jouw eigen organisatie. Dat maakt het niet alleen leerzaam, maar ook direct relevant. Wat kan ik nadat ik de opleiding risicomanagement heb afgerond? Na afloop van deze opleiding risicomanagement beschik je over de kennis en vaardigheden om zelfstandig risicomanagement binnen jouw organisatie te versterken of verder te professionaliseren. Je kunt: risicomanagement positioneren binnen het bredere governance- en controlraamwerk; een risicoanalyse uitvoeren en opvolgen met een concrete risico/controlmatrix; controlmaatregelen ontwerpen, toetsen en verbeteren; collega’s meenemen in risicobewust denken en handelen; en risicomanagement verankeren in de praktijk van jouw organisatie. Voor wie is deze opleiding risicomanagement bedoeld? De cursus is ontwikkeld voor professionals die in hun functie te maken hebben met beheersing, control of risico’s en daar een actievere rol in willen pakken. Denk aan: Controllers; Risk officers; Compliance officers; Medewerkers AO/IC; Kwaliteitsmanagers; Procesverantwoordelijken; (Operational, IT- of financial) auditors; Accountants. Of je nu net begint met risicomanagement of je bestaande kennis wilt verdiepen en verbreden: deze cursus biedt jou de tools en inzichten om direct impact te maken. Wel is een HBO werk- en denkniveau vereist om de stof goed te kunnen volgen. De werkvorm: praktijkgericht en interactief Ferocia gelooft in leren door te doen. Daarom bestaat de cursus uit een mix van: vier lesdagen (acht dagdelen), met interactieve sessies, cases en groepsopdrachten; twee e-learnings , die je zelfstandig en op je eigen tempo kunt volgen; praktijkopdrachten , waarmee je leert door aan de slag te gaan met jouw eigen organisatievraagstukken; en rollenspellen en simulaties , zodat je je gesprekstechnieken en adviesvaardigheden ontwikkelt. De bijeenkomsten kun je zowel fysiek als online bijwonen via de zogeheten mixed classrooms . Dat maakt de cursus toegankelijk, flexibel en goed te combineren met een drukke werkagenda. Wie zijn de docenten? De opleiding risicomanagement wordt verzorgd door ervaren experts die theorie en praktijk feilloos weten te verbinden: Björn Walrave – Docent aan de UvA (RO en RE opleiding), hoofdredacteur van Audit Magazine en ervaren audit- en riskprofessional. Mark Daamen – Docent Hogeschool avans+ en begeleider van professionals en organisaties op het gebied van auditing, control en risicomanagement. Karin van der Lelij – Specialist in het opleiden, coachen en adviseren van control- en risicoteams met een scherp oog voor strategie en leerbehoeften. Hun kracht? Ze weten wat er speelt in het veld en vertalen dat naar concrete handvatten waar jij morgen mee aan de slag kunt. Waarom kiezen voor Ferocia? Ferocia staat voor impactvol leren. Geen stoffige colleges, maar dynamische programma’s waarin jouw praktijk centraal staat. Onze aanpak combineert: inspiratie (kennis die je prikkelt); co-creatie (leren met en van elkaar); en prestatie (direct toepassen en resultaat boeken). Met deze cursus til je jouw professionele rol naar een hoger niveau en lever je direct toegevoegde waarde aan je organisatie. Meer informatie over de cursus risicomanagement vind je hier . Naast de cursus risicomanagement biedt Ferocia ook een tweedaagse training risicomanagement aan. Meer informatie over deze training vind je hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe Behavioral Auditing 2.0 met AI snel diep inzicht biedt in gedrag en cultuur binnen controlframeworks. Maak organisatiegedrag auditbaar. Alle blogs Gedrag en cultuur Behavioral Auditing 2.0 Gedrag en cultuur in relatie tot risicobeheersing Ferocia heeft samen met Jan Otten Behavioral Auditing 2.0 ontwikkeld. D e vernieuwde methode voor het uitvoeren van gedragsaudits. Krijg diep inzicht in mentale modellen, drijfveren en overtuigingen achter gedrag. Net zo krachtig als voorheen, maar nu nog simpeler, sneller en AI-ondersteund. Een praktische aanpak om invulling te geven aan de IIA Topical Requirement for Organizational Behavior. De eerste generatie Behavioral auditing, ontwikkeld door Jan Otten en Inge van der Meulen, gaf organisaties al inzicht in gedrag en cultuur. Het bracht onderstromen aan het licht: waarom blijven verbetertrajecten steken, ondanks heldere rapporten? Waarom verzanden veranderingen, ook al zijn rollen en processen op papier logisch ingericht? Antwoorden lagen zelden in nog een procedure of nog een training, maar in wat mensen werkelijk doen, gestuurd door gewoonten, groepsdynamiek, onuitgesproken normen en impliciete aannames. Wat maakt Behavioral Auditing 2.0 vernieuwend? Behavioral auditing 2.0 is op twee manier vernieuwd: het gebruik van geavanceerde AI-modellen waardoor de audit simpel en sneller uitgevoerd kan worden met behoud van dezelfde kwaliteit en diepgang; en de expliciete koppeling tussen de beheerscultuur en het controlframework waardoor het herkenbaarder en dicht bij het werk van een internal auditor komt te staan. Behavioral Auditing 2.0 is de doorontwikkeling van de vertrouwde gedragsaudit, waarin de volledige kwalitatieve data-analyse is vervangen door een AI‑gestuurde aanpak. De kern blijft identiek: diep inzicht in mentale modellen, drijfveren en overtuigingen achter gedrag, op basis van rijke interviewdata. In plaats van handmatig coderen, clusteren en thematiseren, laat Behavioral Auditing 2.0 dit werk doen door geavanceerde AI‑modellen die grote hoeveelheden interview transcripten razendsnel analyseren. Deze modellen herkennen patronen, thema’s en sentimenten die voorheen veel uren denkarbeid vroegen, met een consistentie en reproduceerbaarheid die handmatige analyse vaak niet haalt. De geavanceerde AI-modellen zet de transcripten om in een gestructureerd, doorlopend narratief dat qua opbouw en scherpte aansluit bij de verhalen die auditors eerder handmatig maakten. Dat narratief is nog steeds volledig opgebouwd uit letterlijke citaten uit de interviews, zodat de stem van de organisatie hoorbaar blijft en direct als input kan dienen voor de validatieworkshop. Waar de auditor voorheen diep in de codering en classificatie van fragmenten moest duiken, verschuift de focus nu naar duiding, toetsing en dialoog met de organisatie. De geavanceerde AI-modellen leveren in minuten een eerste, rijk onderbouwd narratief en thematische indeling op, waardoor de auditor zijn expertise kan inzetten waar die de meeste waarde heeft: interpretatie, risicoweging en het ontwerpen van interventies. De essentie van Behavioral Auditing blijft volledig behouden: inductieve gedragsanalyse, stevige onderbouwing en herkenbare narratieve die beweging in organisaties op gang brengen. Behavioral Audit 2.0 levert deze kwaliteit nu in een fractie van de tijd, met minder doorlooptijd, lagere analysekosten en meer ruimte voor reflectie en interactie met bestuur, management en medewerkers Daarbij focust Behavioral Auditing 2.0 zich specifiek op de vraag: is onze (beheers)cultuur congruent met ons controlframework? Oftewel, als we kijken naar de formeel ingerichte beheersmaatregelen om risico te mitigeren, en naar hoe de cultuur binnen de organisatie hoe medewerkers werkelijk met deze beheersmaatregelen omgaan, herkennen we dan een logisch, samenhangend geheel? Of staat het controlframework en de cultuur op gespannen voet met elkaar? Die vraag lijkt simpel, maar is het niet. Want het controlframework is meer dan een set maatregelen. Het is een netwerk van checks, autorisaties, routines, dashboards, normenkaders en verwachtingen. En “(beheers)cultuur” is meer dan een slogan op een poster. Het is hoe mensen in de praktijk betekenis geven aan regels, hoe zij onder tijdsdruk keuzes maken, wie zich veilig voelt om iets te zeggen, wie elkaar aanspreekt, en wat er gebeurt als iemand wél een grens trekt. Met andere woorden: het is “de manier waarop we hier de dingen doen”, en precies daar zitten zowel de kracht als de kwetsbaarheid van beheersing. Neem het vierogenprincipe. In veel organisaties is dat een beheersmaatregel in het controlframework. Maar stel dat de cultuur zo is ingericht dat elkaar aanspreken ongemakkelijk is. Dat feedback snel als kritiek wordt ervaren. Dat medewerkers liever vermijden dan confronteren, omdat “gedoe” interne conflicten oplevert of omdat er toch niets mee gebeurt. Dan verandert het vierogenprincipe van een beheersmaatregel in een ritueel. Er wordt wel gekeken, maar niet echt gezien. De tweede handtekening wordt gezet omdat dat nu eenmaal moet, niet omdat er een inhoudelijke dialoog plaatsvindt. Formeel klopt het. Gedragsmatig is het een leeg omhulsel. Het kan ook precies andersom. Een organisatie kan zichzelf graag beschrijven als “betrokken, mensgericht en gebaseerd op vertrouwen”. Maar ondertussen bestaat het controlframework uit een dicht netwerk van microcontroles, dubbele registraties, autorisaties op de kleinste handelingen en escalatieprocedures die vooral wantrouwen communiceren. Medewerkers ervaren: “ze geloven ons niet.” En wat doet dat met gedrag? Mensen gaan slimmer worden in het systeem in plaats van beter in het werk. Ze gaan afvinken, verstoppen, omzeilen, ‘netjes’ rapporteren wat veilig is. De formele stapel groeit, de werkdruk stijgt, en de echte risico’s verhuizen naar de schaduw. Het controlframework is ontworpen als bescherming, maar wordt beleefd als controle op de persoon. Ook hier: een mismatch tussen wat we zeggen en wat we doen. Behavioral Auditing 2.0 maakt precies deze eventuele mismatch zichtbaar. Niet door er een extra vragenlijst over cultuur naast te leggen, maar door het controlframework te analyseren en de beheerscultuur te onderzoeken en te beoordelen in welke mate deze congruent zijn. Dat deze beweging nodig is, is inmiddels ook expliciet terug te zien in de ontwikkeling van het vak. Het IIA heeft in het kader van de Global Internal Audit Standards een Topical Requirement voor Organizational Behavior gepubliceerd. Organisatiegedrag is niet langer een vage bijlage bij ‘culture’, maar een te auditen risicodomein. Slecht uitgelijnd gedrag kan tot slechte uitkomsten leiden, zelfs als de intenties goed zijn, en vraagt daarom om governance-, risk- en controlprocessen die je net zo serieus beoordeelt als andere risico’s. Het Topical Requirement biedt een minimum-baseline. Het vraagt dat auditors op drie niveaus kijken: governance, risk management en controls rondom organisatiegedrag. Kijk je naar de governance-eisen, dan gaat het onder meer om de rol van board en senior management: is er heldere accountability voor gedragsverwachtingen, en bestaan er processen om alignment tussen gedragsinzichten en organisatiedoelen te monitoren en bij te sturen. Dat is precies waar Behavioral Auditing 2.0 antwoord op geeft. Niet door te vragen of “tone at the top” ergens in een code staat, maar door te onderzoeken welk gedrag daadwerkelijk wordt beloond, welke dilemma’s managers in het echt tegenkomen, en hoe besluitvorming, aanspreekbaarheid en voorbeeldgedrag uitpakken in de operatie. Op risk managementniveau vraagt het IIA onder meer of de organisatie een aanpak heeft om gedragsrisico’s te managen, of monitoring van organisatiegedrag adequaat en tijdig is, of gaps tussen verwacht en daadwerkelijk gedrag (incl. root causes) consequent worden gecommuniceerd. Ook hier sluit Behavioral Auditing 2.0 naadloos aan, juist omdat het vertrekpunt niet is “wat is het gewenste gedrag?”, maar “wat gebeurt er nu, en welke aannames sturen dat?” En op het niveau van controls vraagt het IIA dat organisaties processen hebben om risicovolle gedragspatronen te identificeren en te mitigeren, dat er een duidelijke toon en communicatie over verwacht gedrag is, dat er meld- en escalatiemechanismen bestaan met bescherming, dat incentives en consequenties aligned zijn met doelen, dat issue management bestaat om misaligned gedrag te corrigeren en te escaleren en dat training, onboarding en talentprocessen gedragsverwachtingen ondersteunen. Met andere woorden: gedrag moet niet alleen “besproken” worden, het moet ontworpen worden in de manier waarop je mensen aanneemt, beoordeelt, beloont, corrigeert en beschermt. Hier wordt de waarde van Behavioral Auditing 2.0 zichtbaar: het maakt dit hele pakket toetsbaar, zonder te vervallen in vaagheid. Het helpt auditors om niet te blijven hangen in algemene cultuurwoorden, maar om scherp te kijken naar de consistentie tussen het controlframework en cultuur. De kernboodschap is daarom: in control zijn is niet het hebben van maatregelen, maar het hebben van maatregelen die passen bij de cultuur, of het ontwikkelen van een cultuur die de maatregelen kan dragen. Behavioral Auditing 2.0 brengt die twee werelden bij elkaar. Het legt bloot waar je controlframework en je beheerscultuur elkaar versterken, en waar ze elkaar ondermijnen. En precies daarin geeft het concreet invulling aan het Topical Requirement van het IIA: het maakt organisatiegedrag auditbaar, bespreekbaar en verbeterbaar, met dezelfde professionaliteit die we gewend zijn bij andere risicodomeinen. Wie dat eenmaal ziet, gaat anders kijken naar “de oplossing”. Niet automatisch meer controls toevoegen, maar eerst begrijpen wat er gebeurt. Soms blijkt dat je cultuur best volwassen is, maar dat je systeem nog in een wantrouwmodus staat. En soms blijkt dat je systeem prima is, maar dat je cultuur niet veilig genoeg is om het systeem te laten werken. En misschien is dat wel de grootste winst van Behavioral Auditing 2.0: het brengt beheersing terug naar waar het uiteindelijk altijd over gaat. Niet over papier, maar over keuzes. Niet over regels, maar over gedrag. Niet over hoe het hoort, maar over hoe het werkt. Hoe Ferocia gedrag en cultuur binnen jouw organisatie versterkt Wij ondersteunen organisaties op drie manieren: 1. Opleiding en training We leiden internal auditors, controlllers en risicomanagers op tot echte professionals die zelfstandig onderzoek kunnen uitvoeren naar gedrag en cultuur. Denk aan onze postbacheloropleiding Gedrag- en cultuuronderzoek voor financials. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een behavioral audit? Wij leveren ervaren auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe internal auditor die gespecialiseerd is in gedrag en cultuur om je team te versterken? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Wat is internal auditing? Ontdek hoe internal auditing bijdraagt aan risicobeheersing, procesverbetering en strategische ondersteuning van organisaties. Internal auditing In deze blog gaan we in op het begrip internal auditing. Wat is het, hoe is het vakgebied ontstaan, waarom is het belangrijk voor organisaties en welke specialisaties zijn er binnen internal auditing? Voordat we hierop ingaan, gaan we eerst de term auditing bespreken en leggen we het verschil uit tussen extern en intern. Wat is auditing? Bij auditing denken veel mensen meteen aan het controleren van de boeken, het afvinken van lijstjes of het naleven van regels. Maar auditing is veel breder en waardevoller dan dat. Het is een vak dat steeds belangrijker wordt in een wereld vol risico’s, complexiteit en verandering. Auditing is toetsend onderzoek waarbij de werkelijk situatie wordt afgezet tegen een vooraf vastgestelde norm, wat resulteert in een oordeel. Audits worden systematisch, objectief en onafhankelijk uitgevoerd en de onderwerpen die ge-audit kunnen worden zijn eindeloos. Denk hierbij aan doelrealisatie, processen, systemen, wet- en regelgeving en gedragingen in een organisatie. Het doel is om te beoordelen of deze beheerst verlopen, voldoen aan normen of wet- en regelgeving en/of ze bijdragen aan het realiseren van organisatiedoelen. Maar auditing gaat verder dan controleren alleen. Het is ook een manier om organisaties te helpen verbeteren. De auditor is niet alleen de politieagent van de organisatie, maar zeker ook een objectieve en onafhankelijke expert die inzicht biedt, risico’s zichtbaar maakt en adviezen geeft die bijdragen aan het versterken van het lerend vermogen van de organisatie. Een goede audit is dus zowel toetsend als lerend. Het geeft duidelijkheid over wat er goed gaat, wat beter kan en waar risico’s liggen. External versus internal auditing Binnen het vakgebied auditing bestaan verschillende specialisaties die grofweg op de delen zijn in extern en intern. Afhankelijk ‘voor wie’ de audit wordt uitgevoerd bepaald in belangrijke mate in welke categorie deze valt. Bijvoorbeeld Financial auditing. Financial auditing, meestal uitgevoerd door een (externe) accountant, is de bekendste vorm van auditing en richt zich op de financiële verslaggeving. De financial auditor controleert of de jaarrekening een “getrouw beeld” geeft van de financiële situatie van een organisatie. Deze audits zijn vooral van belang voor externe stakeholders zoals aandeelhouders, toezichthouders en investeerders. Oftewel het maatschappelijke verkeer. Financial audits worden dan ook meestal door een externe auditor uitgevoerd. Hoewel dit type audit wettelijk verplicht is voor bepaalde organisaties, is de impact breder: het geeft vertrouwen in de financiële integriteit van de organisatie en stimuleert transparantie. Internal auditing is het vakgebied dat organisaties helpt grip te krijgen op risico’s, processen en IT-systemen. Internal auditors beoordelen onafhankelijk de kwaliteit van interne beheersmaatregelen en geven op basis daarvan onderbouwd advies over mogelijke verbeteringen. Ze onderzoeken of processen effectief verlopen, of risico’s adequaat worden beheerst en of wet- en regelgeving wordt nageleefd. De internal auditor is werkzaam in de organisatie en fungeert als 3de lijn binnen het three lines model. De internal auditor is veel meer dan een controleur, het is een strategische sparringpartner van bestuur en management. Vanuit een onafhankelijke positie stelt de auditor kritische vragen, benoemt blinde vlekken en helpt de organisatie beter voorbereid te zijn op interne en externe ontwikkelingen. Door structuur aan te brengen in het beheersen van risico’s en het verbeteren van processen, draagt internal auditing bij aan betere besluitvorming, verantwoordingsinformatie en structurele verbetering van prestaties. De oorsprong van internal auditing Het vakgebied van internal auditing zoals we dat vandaag de dag kennen is het resultaat van een lange evolutie. Oorspronkelijk ging het daarbij vooral om het controleren van financiële transacties. Kloppen de boeken? Wordt er niet gefraudeerd? Zijn de kasstromen zuiver? Het was een periode waarin vertrouwen hand in hand moest gaan met controle. En waar complexiteit in bedrijfsvoering toenam, nam ook de behoefte toe aan systematische interne controle. De wortels van internal auditing liggen dan ook in de administratie. In de negentiende eeuw, toen organisaties groeiden en multinationals ontstonden, werd het simpelweg te risicovol om alleen op externe accountants te vertrouwen. Men besefte: we hebben mensen nodig binnen de organisatie die meekijken, meedenken en controleren. Van controle naar aanvullende zekerheid over de kwaliteit van de beheersing De eerste internal auditors waren dus vooral bezig met het verifiëren van cijfers en het opsporen van fouten of fraude. Maar naarmate organisaties complexer werden, groeide het besef dat fouten niet alleen in de boekhouding ontstaan maar in processen, cultuur, systemen en gedrag. Hier begon de verschuiving van klassieke controle naar bredere ‘ assurance’ : zekerheid bieden over de kwaliteit van de risicobeheersing in processen en systemen. De internal auditor ging niet alleen kijken of iets klopt, maar vooral ook naar de kwaliteit van de beheersing en waarom iets niet werkt, inclusief hoe de organisatie kan leren en verbeteren. Het vak kreeg daarmee een fundamenteel andere insteek: van terugkijken naar vooruitkijken. Van financieel gericht naar organisatiebreed. De oprichting van het Institute of Internal Auditors (IIA) in 1941 markeerde een kantelpunt. Daarmee ontstond een beroepsorganisatie die het vak ging professionaliseren, standaarden ontwikkelde en het belang van onafhankelijkheid en objectiviteit benadrukte. Internal auditing werd een echt vak met eigen regels, normen en waarden. Het IIA stelde internal auditing officieel op de kaart als een onafhankelijk en gespecialiseerd beroep, los van de klassieke administratief-controlefuncties en de externe accountant. Dit gebeurde door: Het ontwikkelen van internationale standaarden en een ethische code, waardoor internal auditors een duidelijke professionele identiteit kregen. Het bieden van opleiding, certificering en normstelling, wat leidde tot een uniforme kwaliteitsbasis en verdere professionalisering van het vakgebied. De stimulans tot kennisdeling, praktijkontwikkeling en netwerking onder professionals, waarmee internal auditing zijn eigen positie veroverde binnen bedrijfsvoering en governance. Het Instituut van Internal Auditors Nederland (IIA Nederland) is officieel opgericht op 19 juni 1997 waarna ook in Nederland het vakgebied stevig op de kaart is gezet. Waarom is internal auditing belangrijk? Internal auditing is belangrijk omdat het organisaties helpt om grip te houden op hun interne processen, risico’s en complianceverplichtingen in een steeds complexere wereld. Of het nu gaat om het naleven van wet- en regelgeving, het voorkomen van fraude, het verbeteren van samenwerking tussen afdelingen of het vergroten van operationele efficiëntie, internal auditing speelt hierin een belangrijke rol. In tegenstelling tot externe auditing, waarbij de nadruk ligt op het controleren van financiële rapportages , richt internal auditing zich op het verbeteren van processen en het versterken van interne beheersing. De toegevoegde waarde zit niet alleen in het signaleren van risico’s of tekortkomingen, maar juist in het proactief adviseren over verbetermaatregelen . Dit maakt internal auditors waardevolle sparringpartners voor bestuurders en managers. Internal auditing vergroot ook het vertrouwen van stakeholders. Wanneer een organisatie intern laat zien dat zij haar processen kritisch en gestructureerd beoordeelt, straalt dat betrouwbaarheid uit naar klanten, toezichthouders en investeerders. Het draagt ook bij aan transparantie en goed bestuur. Kortom: internal auditing is geen verplichting, maar een strategisch instrument om als organisatie weerbaarder, efficiënter en toekomstbestendiger te worden. In een tijd waarin risico’s snel veranderen en informatie steeds belangrijker wordt, biedt internal auditing het overzicht, de structuur en de inzichten die nodig zijn om echt in control te zijn. Twee specialisaties binnen internal auditing Binnen het vakgebied van internal auditing zijn twee specialisaties toonaangevend: operational auditing en IT-auditing . Beide richten zich op het versterken van interne beheersing, maar doen dat vanuit een ander perspectief. Operational auditing is gericht op het beoordelen van bedrijfsprocessen en de effectiviteit van beheersmaatregelen. De focus ligt op de vraag of processen efficiënt, effectief en risicobewust zijn ingericht. Een operational auditor onderzoekt niet alleen of bestaande werkwijzen aansluiten bij organisatiedoelen, maar adviseert ook over mogelijke verbeteringen. Denk aan het optimaliseren van de samenwerking tussen afdelingen, het terugdringen van fouten of verspilling, en het versterken van interne controles. Lees meer over operational auditing in deze blog. IT-auditing daarentegen zoomt in op de digitale kant van de organisatie. IT-auditors beoordelen of IT-systemen betrouwbaar, veilig en goed beheerd zijn. Daarbij onderzoeken zij onder meer of systemen beschikbaar zijn wanneer nodig, of data juist en volledig is (integriteit), en of gevoelige informatie goed wordt beschermd (vertrouwelijkheid). Ook toets je als IT-auditor of de organisatie voldoet aan relevante wet- en regelgeving, zoals de AVG of sectorspecifieke normen. Lees meer over IT-auditing in deze blog. Beide specialisaties binnen internal auditing leveren een waardevolle bijdrage aan het inzicht in risico’s en de kwaliteit van beheersing, en vormen samen een krachtige combinatie voor organisaties die in control willen zijn. Internal auditing als strategisch instrument Internal auditing is allang niet meer alleen een controlefunctie. Steeds meer organisaties benutten internal auditing als een strategisch instrument dat bijdraagt aan beter bestuur, verantwoording en besluitvorming. Waar internal auditing vroeger vooral werd gezien als een manier om fouten of tekortkomingen op te sporen, ligt de nadruk vandaag de dag op het creëren van waarde en het ondersteunen van strategische doelstellingen. Een internal auditor kijkt niet alleen naar de vraag of processen en risico’s goed zijn ingericht, maar ook of ze bijdragen aan de missie en visie van de organisatie. Vanuit een onafhankelijke positie fungeert de auditor als een kritische en constructieve sparringpartner voor het bestuur en management. Door de vinger op de zere plek te leggen én met oplossingen te komen, helpt internal auditing om strategische risico’s beter te beheersen en kansen beter te benutten. Daarbij levert internal auditing ook betrouwbare informatie op voor belangrijke stakeholders zoals de raad van bestuur, toezichthouders of externe accountants. Goed onderbouwde auditbevindingen zorgen voor meer transparantie, betere besluitvorming en tijdige bijsturing. In een tijd van snelle technologische ontwikkelingen, toenemende complexiteit en strengere regelgeving biedt internal auditing organisaties het overzicht, de structuur en het inzicht dat nodig is om proactief, weerbaar en toekomstgericht te opereren. Juist daarom kiezen steeds meer organisaties ervoor om hun internal auditfunctie te versterken en nauwer te koppelen aan strategische thema’s zoals digitale transformatie, ESG-risico’s of ketenverantwoordelijkheid. Hoe Ferocia kan jou helpen met internal auditing? Bij Ferocia begrijpen we dat internal auditing meer is dan een controlefunctie, het is een strategisch onderdeel van goed bestuur en risicobeheersing. Daarom ondersteunen wij organisaties op meerdere manieren bij het versterken van hun auditfunctie. Heb je tijdelijk behoefte aan capaciteit, specifieke expertise of inhoudelijk advies? Ferocia biedt zowel interim auditors als consultancy op maat. Of het nu gaat om tijdelijke vervanging, ondersteuning bij piekbelasting, specialistische audits (bijvoorbeeld op het gebied van IT of ESG) of strategisch advies over de inrichting van de internal auditafdeling, wij denken mee en leveren vakinhoudelijke versterking die past bij jouw organisatie. Daarnaast bieden we opleidingen en trainingen aan voor internal auditors en teams. Van volledige opleidingen tot vakinhoudelijke verdieping, zodat auditors sterker in hun rol staan en beter kunnen bijdragen aan strategische vraagstukken. Ferocia helpt ook bij de werving en selectie van internal auditors — professionals die niet alleen inhoudelijk sterk zijn, maar ook passen bij de cultuur en ambitie van jouw organisatie. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Waarom blijven dezelfde fouten terugkomen in organisaties? In deze blog lees je hoe internal auditing kan uitgroeien van controleur tot aanjager van leren en verbeteren. Ontdek hoe je met focus op gedrag, patronen en dialoog het lerend vermogen écht versterkt. Klik door voor meer informatie. Internal auditing en het lerend vermogen Knop Internal audit verandert snel. Auditmethodiek 2.0 laat zien hoe u met een gestructureerde, AI-ondersteunde aanpak relevantere en impactvollere audits uitvoert. Van voorbereiding tot rapportage. Ontdek hoe referentiemodellen, datamatrices en de AI-agents uw audits versnellen én de organisatie echt in beweging brengen. Auditmethodiek 2.0 Knop Personeelstekort, piek in audits of een spannend verandertraject? Met een interim auditor van Ferocia haal je geen ‘opvulling’ binnen, maar een ervaren professional die vanaf dag één productief is, rust brengt én je auditfunctie versterkt. Lees in de blog waarom dit een slimme, strategische keuze is. Interim auditor inhuren via Ferocia Knop Behavioral Auditing 2.0 legt de link tussen beheerscultuur en controlframework bloot met AI-ondersteunde gedragsanalyse. Sneller, dieper en concreter inzicht in hoe gedrag risicobeheersing écht beïnvloedt – volledig in lijn met de IIA-standaarden. Behavioral Auditing 2.0 Knop Operational auditing geeft organisaties grip in een complexe wereld. In deze blog lees je hoe de operational auditor uitgroeit tot katalysator voor leren en verandering met oog voor digitalisering, cultuur, agile werken én transparantie. Ontdek waarom geen toekomstbestendige organisatie zonder kan. Operational auditing en jouw organisatie Knop Hoe blijft jouw auditfunctie relevant in een snel veranderende wereld? Agile auditing draait audits om: kortcyclisch, samen met de business en gericht op échte impact in plaats van alleen een eindrapport. Ontdek in deze blog hoe jij van controleur uitgroeit tot navigator van de toekomst. Agile auditing Knop Steeds meer organisaties besteden hun internal audit uit; niet uit nood, maar als bewuste strategische keuze. In deze blog lees je hoe outsourcing zorgt voor flexibele capaciteit, specialistische kennis en een frisse kwaliteitsimpuls, én wanneer het wél of juist niet past. Klik door om verder te lezen. Outsourcing auditafdeling Knop IT-auditing is veel meer dan vinkjes zetten. In deze blog lees je hoe de IT-auditor zorgt voor veilige systemen, naleving van AVG/NIS2/DORA en grip op digitale risico’s. Ontdek de belangrijkste inzichten voor een sterke IT-audit én hoe Ferocia je hierbij kan helpen. IT-auditing Knop Wil je dat jouw auditrapport wél leidt tot actie? In deze blog ontdek je hoe je rapporten schrijft die beweging creëren: helder, krachtig, visueel en gericht op eigenaarschap in de 1e lijn. Geen papieren eindproduct, maar een interventie die echt verandering start. Klik door en maak jouw rapporten impactvoller dan ooit. Auditrapporten die wel leiden tot actie Knop Sta jij als internal auditfunctie voor een (aanstaande) kwaliteitstoetsing? Ferocia helpt je van readiness assessment tot en met onafhankelijke externe toetsing volgens de GIAS. Ontdek hoe je van ‘spannend examen’ naar kans op groei en professionalisering gaat. Kwaliteitstoetsing auditafdelingen Knop

Ontdek hoe gedrag en cultuur cruciaal zijn voor effectieve audit, risk en compliance. Versterk je beheersing met inzichten van Ferocia. Gedrag en cultuur Gedrag en cultuur binnen audit, control, risk en compliance Mensenwerk als randvoorwaarde voor beheersing Inleiding Achter ieder risico staat een keuze. Achter iedere keuze staat een mens. En achter dat mens staat een context die onzichtbaar richting geeft: waarden, normen en overtuigingen. Je kunt de beste processen ontwerpen, de strengste regels opstellen en de meest geavanceerde tooling inzetten; als gedrag niet meebeweegt, blijft beheersing een papieren belofte. Wie ooit een “perfect” ingerichte control zag falen, weet dat het zelden aan het proces ligt. Het ligt aan wat mensen doen wanneer de druk stijgt, de tijd krap is of belangen botsen. Daarom schuiven gedrag en cultuur steeds nadrukkelijker het vakgebied binnen. Niet als bijzaak, maar als spil waaromheen audit, control, risk en compliance draaien. Want effectieve beheersing begint niet bij formulieren of dashboards, maar bij de vraag: wat maakt dat mensen vandaag, in deze organisatie, dit besluit nemen? En wat zegt dat over hoe wij samen werken, spreken en zwijgen? Ferocia helpt organisaties deze vraag systematisch te beantwoorden. We brengen de ongeschreven regels in beeld, vertalen ze naar concreet handelen en maken zo het verschil tussen schijnzekerheid en echte grip. Deze productpagina laat zien wat wij onder gedrag en cultuur verstaan, waarom het essentieel is in jouw vak, en hoe wij ernaar kijken en meewerken. Wat is gedrag en cultuur? Gedrag is zichtbaar: het zijn de handelingen, woorden, reflexen en routines van individuen en teams. Cultuur is het onzichtbare script waaruit dat gedrag voortkomt. Het is de set impliciete instructies die we van elkaar leren: wat hier normaal is, wat hier loont, wat hier een risico is en wat hier taboe. Je vindt cultuur niet in het handboek, maar in de pauzeruimte, in de stand-up, in de besluitvorming bij het bestuur of tijdens de vrijdagmiddagborrel. Ze blijkt uit wie het woord neemt, hoe er wordt tegengesproken, welke fouten we bespreken en welke we liever maskeren. In organisaties waar cultuur scherp is geformuleerd maar niet wordt geleefd, ontstaat een kloof tussen slogan en realiteit. Denk aan kernwaarden die spreken over integriteit, terwijl succes vooral wordt beloond op snelheid en omzet. Gedrag volgt dan niet de poster, maar het beloningssysteem, de informele leiders en de signalen die het management afgeeft in kleine momenten. Die signalen zijn vaak subtiel: een grapje over “regelneven”, een besluit dat de uitzondering boven het beleid verkiest, een stilte waar een kritische vraag had kunnen vallen. Elk signaal weegt mee. Samen vormen ze het kompas waarop medewerkers navigeren, zeker als er geen tijd is om het beleid erbij te pakken. Gedrag en cultuur zijn dus niet ‘soft’. Ze zijn keihard aanwezig in resultaten. Ze bepalen of mensen een afwijking melden, hoe teams omgaan met een datalek, of deadlines realistisch worden geschat en of compliance wordt gezien als gezamenlijke verantwoordelijkheid of als hindernis opgelegd door de 2 de lijn. Ze leggen bloot waar procedures niet landen, waarom controls niet werken of worden omzeild en waardoor risico’s blijven terugkomen. Wie gedrag en cultuur meeneemt in zijn gereedschapskist, ziet mechanismen die je met alleen proces denken eenvoudig mist. Waarom is het belangrijk binnen audit, control, risk en compliance? In audit, control, risk en compliance is de lat helder: zekerheid bieden, risico’s beheersen, naleving borgen, besluitvorming verbeteren en ondersteuning bieden aan een lerende organisatie. Alle vijf lijken proces- en data gedreven. In werkelijkheid zijn het gedragsvakken. Voor auditors bepaalt de cultuur of bevindingen daadwerkelijk leiden tot verandering. De effectiviteit van een audit wordt dan bepaald door factoren als psychologische veiligheid, eigenaarschap bij proceseigenaren en de mate waarin het auditteam het gesprek over intenties, drijfveren en dilemma’s kan voeren. Waar rapporten blijven hangen in “vinkjes”, blijft impact uit. Waar audit aandacht heeft voor cultuurindicatoren, wie spreekt tegen, hoe worden fouten behandeld, welke doelen wegen zwaarder als het spannend wordt, ontstaat beweging. Voor controllers is gedrag de verklaring achter de cijfers. Forecasts die structureel te optimistisch zijn, kostenbeheersing die telkens vlak voor kwartaalafsluiting ontspoort, KPI’s die wel gehaald worden maar de verkeerde prikkels geven: het zijn symptomen van menselijk gedrag binnen een set van prikkels. Een controller die alleen signaleert, mist de kans om te beïnvloeden. Wie snapt welke verhalen, patronen en informele spelregels sturing ondermijnen, kan budgetdiscipline en de kwaliteit van het besluit daadwerkelijk verhogen. In risicomanagement lijkt de cyclus rationeel: identificeren, beoordelen, beheersmaatregelen en monitoren. Toch is elk onderdeel kwetsbaar voor menselijk mechaniek. Teams benoemen liever bekende risico’s dan ongemakkelijke. Kans en impact worden soms aangepast aan het politieke klimaat. Negatieve signalen verdwijnen in de “later”-map. Zo ontstaat een risicoprofiel dat netjes oogt, maar weinig zegt. Het verschil wordt gemaakt door de vraag of de organisatie de moed en de taal heeft om spanning te bespreken, tegengeluid te organiseren en misstanden vroeg te adresseren. Compliance tenslotte is onmogelijk zonder gedeelde normen. Beleid, trainingen en controles zijn nodig, maar ze zijn nooit genoeg. Naleving wordt duurzaam als medewerkers het gevoel hebben dat “zo doen wij het hier” ook echt betekent: we doen het goed, ook als niemand kijkt. Dat vraagt voorbeeldgedrag van leiders, een laagdrempelige meldcultuur en consequente keuzes wanneer commerciële doelen botsen met regels of waarden. Zonder cultuur verwordt compliance tot een bureaucratische last; met cultuur wordt het de manier waarop je vertrouwenswaardig zakendoet. Kortom: gedrag en cultuur zijn de dragende laag onder alle beheersingsmaatregelen. Ze bepalen of beheersmaatregelen werken zoals bedoeld, of risico’s eerlijk op tafel komen, of audits symptomen of oorzaken raken en of compliance geloofwaardig is. Wie deze laag mist, loopt structureel achter de feiten aan. Wie haar meeneemt, bouwt veerkracht en ontwikkelt zichzelf tot strategisch adviseur van het bestuur en management. Visie van Ferocia over gedrag en cultuur binnen deze vakgebieden Ferocia ziet gedrag en cultuur niet als een apart spoor naast audit, control, risk en compliance, maar als integraal onderdeel van professioneel handelen. Onze visie is pragmatisch: we maken het onzichtbare bespreekbaar en we verbinden dat direct met prestaties, risico’s en besluitvorming. Geen losse cultuurtrajecten die naast het werk bestaan, maar een manier van kijken en werken die je inbedt in je bestaande werkzaamheden. Veel weerstand ontstaat doordat gedrag “zacht” klinkt en daardoor snel blijft hangen in intenties. Wij maken het concreet. We vertalen cultuur naar gedrag: wie spreekt wanneer, welk type afwijkingen komen voor, hoe worden ze opgelost, welke patroonzin hoor je het vaakst in een team? We kijken naar beslismomenten waar druk hoog en tijd laag is. Juist daar blijkt de echte ‘norm’. Door patronen te benoemen zonder te moraliseren, ontstaat ruimte voor eigenaarschap. Teams herkennen zichzelf en zien tegelijk waar het schuurt met doelen of risico-acceptatie. Vervolgens brengen we gedragsdata gericht in kaart. Niet met lijvige onderzoeken die de vaart eruit halen, maar met slimme, lichte instrumenten die passen bij de operatie. Denk aan kwalitatieve groepsinterviews die doorvragen op dilemma’s, observaties tijdens stand-ups of overleggen en analyse van incidenten met oog voor onderliggende patronen en waarden. Waar mogelijk koppelen we harde en zachte indicaties aan elkaar, zodat de verhalen kloppen met de cijfers en de cijfers met de verhalen. Daarna volgt het ontwerp van gerichte interventies. We vermijden generieke campagnes en kiezen voor interventies die exact aansluiten op het geïdentificeerde patroon. Soms is dat het aanscherpen van een beloningsmechanisme dat verkeerd gedrag onbedoeld beloont. Soms is het, het aanpassen van beheersmaatregelen. Soms is het vereenvoudigen van een procedure die in de praktijk te complex is. Soms is het trainen van teams in het voeren van het “moeilijke gesprek” over risico’s, waarbij je het onbespreekbare wel bespreekbaar maakt. Altijd is het doel dat gewenst gedrag logisch, haalbaar en aantrekkelijk wordt binnen de dagelijkse realiteit en aansluiten bij de kwaliteit van de risicobeheersing. Cruciaal in onze aanpak is samenwerking met de eerste lijn én het management. Gedrag verandert niet als het “van audit” of “van compliance” is. Het verandert wanneer medewerkers, proceseigenaren, teamleads en bestuurders het belang inzien, het voorbeeld geven en consequent zijn in keuzes. Wij begeleiden dat gesprek, helpen doelen expliciet te maken en verankeren afspraken in bestaande governance en riscocontrol frameworks. Daarmee wordt cultuur geen “project”, maar onderdeel van hoe je stuurt, beheerst en evalueert. Ook voor professionals zelf betekent dit groei. Auditors leren om tijdens hun werk gevoelig te zijn voor cultuurindicatoren en die eenduidig vast te leggen. Controllers ontwikkelen gespreksvaardigheden om achter cijfers het verhaal te vinden en te beïnvloeden zonder het eigenaarschap over te nemen. Riskmanagers krijgen praktische methodes aangereikt om bias te herkennen en tegengeluid te organiseren, juist in strategische sessies. Compliance officers leren hoe je van regels naar normen gaat, en van normen naar gedrag dat standhoudt onder druk. We trainen deze vaardigheden hands-on, met cases uit de praktijk en met directe toepassing in lopende werkzaamheden, zodat de leercurve samenvalt met resultaat. Verankering en meetbaarheid zijn laatste voorwaarden. Wij stellen vooraf vast welk gedrag je wilt zien, waarom dat relevant is voor risico’s, beheersmaatregelen en prestaties. Door die indicatoren periodiek te spiegelen aan verhalen uit de praktijk, voorkom je dat cultuur terugzakt tot een score en houd je de dialoog levend. Het resultaat is een organisatie die niet alleen weet wat de regels zijn, maar ook voelt waarom ze er zijn en hoe je ernaar handelt als het spannend is. Audits worden scherper en overtuigender, omdat ze dieperliggende oorzaken raken. Controls doen wat ze beloven, omdat ze het echte gebruik volgen. Risicodiscussies worden realistischer, omdat tegengeluid vanzelfsprekend is. Compliance wordt lichter, omdat naleving past bij wie je als organisatie wilt zijn. En professionals ervaren meer betekenis, omdat hun werk zichtbaar bijdraagt aan betere keuzes. Ferocia staat naast jouw team om dit mogelijk te maken. Met opleidingen die gedragskunde en vaktechniek verbinden. Met coaching on the job, zodat het blijft plakken. Met advies dat je bestaande frameworks verrijkt in plaats van vervangt. En met een benadering die respect heeft voor de context waarin je werkt: de druk van deadlines, de verleiding van korte termijn, de realiteit van schaarse capaciteit. We maken het niet groter dan nodig, maar wel precies groot genoeg om duurzame verandering te realiseren. Wil je de stap zetten van formele beheersing naar gedragen beheersing? Wil je audits die daadwerkelijk iets veranderen, controls die echt werken, risicodialogen die ertoe doen en compliance die geloofwaardig is? Dan is het tijd om gedrag en cultuur niet langer als bijzaak te zien, maar als vertrekpunt. Ferocia helpt je dat vertrekpunt te kiezen en vol te houden, concreet, menselijk en resultaatgericht. Hoe Ferocia kan jou helpen met gedrag en cultuur? Bij Ferocia ondersteunen wij organisaties op meerdere manieren bij vraagstukken op het gebied van gedrag en cultuur. Heb je tijdelijk behoefte aan capaciteit, specifieke expertise of inhoudelijk advies op het gebied van gedrag en cultuur? Ferocia heeft ervaren consultants die jou hierbij ondersteunen. Zo hebben we verschillende concrete en praktische producten. Hoe Ferocia gedrag en cultuur binnen jouw organisatie versterkt Wij ondersteunen organisaties op drie manieren: 1. Opleiding en training We leiden internal auditors, controlllers en risicomanagers op tot echte professionals die zelfstandig onderzoek kunnen uitvoeren naar gedrag en cultuur. Denk aan onze postbacheloropleiding Gedrag- en cultuuronderzoek voor financials, maar ook een eendaagse training . Dit bieden zowel open als in-house aan. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een behavioral audit? Wij leveren ervaren auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe internal auditor, controller of riskmanager die gespecialiseerd is in gedrag en cultuur om je team te versterken? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Waarom lopen scherp bedachte verbetertrajecten toch vast? Behavioural auditing legt ongeschreven spelregels, cultuur en gedrag bloot én maakt ze bespreekbaar. Ontdek hoe Ferocia je helpt om risicobeheersing echt te laten werken. Behavioural auditing Knop Behavioral Auditing 2.0 legt de link tussen beheerscultuur en controlframework bloot met AI-ondersteunde gedragsanalyse. Sneller, dieper en concreter inzicht in hoe gedrag risicobeheersing écht beïnvloedt – volledig in lijn met de IIA-standaarden. Behavioral Auditing 2.0 Knop Blijven dezelfde bevindingen terugkeren in je audits? Met een diepgaande oorzaakanalyse op gedrag en cultuur maakt Ferocia de onderstroom zichtbaar en vertaal je 'soft controls' naar concrete acties. Ontdek hoe je naar echte en duurzame veranderingen gaat. Oorzaakanalyse op gedrag en cultuur Knop Waarom gaat het mis terwijl alle regels kloppen? In deze blog ontdek je de onzichtbare kracht van soft controls: cultuur, gedrag en psychologische veiligheid. Lees hoe je als auditor of controller die zachte kant onderzoekt én inzet om de kwaliteit van risicobeheersing en het lerend vermogen echt te versterken. Soft Controls Knop

Vergroot je impact met de training Risicomanagement: leer risico’s analyseren, beheersen en maak direct de vertaalslag naar jouw praktijk. Schrijf je direct in! Training Risicomanagement Duur Studiekosten PE-punten 4 dagdelen € 1.395,- 18 Inschrijven Training Risicomanagement Wat leer je tijdens de training Risicomanagement? Teneinde organisatiedoelstellingen te kunnen realiseren heeft het management de belangrijke taak tijdig in te spelen op veranderingen in de omgeving en risico’s te managen. Risico’s veranderen echter snel; dit maakt dat het managen van deze risico’s de voortdurende aandacht van de organisatie eist. Beheersing betekent dat de organisatie effectief en proactief omgaat met het dynamische spanningsveld tussen doelrealisatie, verandering en risico’s. Veranderingen in risico’s moeten worden onderkend en beheerst, wil een organisatie ‘in control’ zijn. Een belangrijke randvoorwaarde voor effectief en integraal risicomanagement is het incorporeren van consistent risicomanagementbeleid en een risicomethodiek in de gehele organisatie. Door een juiste risicomethodiek te organiseren ondersteund vanuit een risicomanagementbeleid, kun je het resultaat van je inspanningen vergroten om risico’s te onderkennen en te beheersen. Waarom kiezen voor de training Risicomanagement? Organisaties die risico’s goed beheersen, presteren aantoonbaar beter. Maar effectieve risicobeheersing vraagt om meer dan beleid en formats. Het vereist inzicht, samenwerking en eigenaarschap. In deze training: • leer je hoe je risicodenken integreert in alle lagen van de organisatie; • werk je met actuele inzichten op het gebied van corporate governance en risicocycli; • vertaal je theorie direct naar jouw eigen praktijk; en • en werk je met andere professionals aan echte vraagstukken. Je ontwikkelt niet alleen kennis, maar ook vaardigheden. Van het analyseren van risico’s tot het betrekken van stakeholders bij het beheersen ervan. Daarmee vergroot je jouw waarde als controller, risk officer, auditor of proceseigenaar, en die van je organisatie. Waarom kiezen voor Ferocia? Ferocia is de specialist in audit, risk en control. Wij combineren inhoudelijke diepgang met didactisch vakmanschap, zodat jij niet alleen leert maar ook daadwerkelijk presteert. Onze docenten zijn verbonden aan toonaangevende hogescholen en universiteiten en brengen hun praktijkervaring rechtstreeks de klas in. Daarbij werken we vanuit inspiratie, co-creatie en prestatie: leren doe je samen en altijd met het oog op resultaat. Dankzij de unieke mix van e-learning, interactieve bijeenkomsten en praktijkopdrachten weet je na afloop precies hoe je auditing van echte waarde maakt voor jouw organisatie. Wil jij de risico’s in jouw organisatie beter begrijpen en beheersen? Schrijf je dan nu in voor de training risicomanagement. Praktische informatie Doelgroep Werkvorm Tijdsinvestering Studiekosten Resultaat Je bent werkzaam als controller, risk officer, compliance officer, medewerker AO/IC, kwaliteitsmedewerker, proceseigenaar, (operational, IT- of financial) auditor of accountant en je wilt een stevige bijdrage leveren aan het optimaliseren van risicomanagement binnen je organisatie. De tijdsinvestering bedraagt ongeveer 18 uur. Dit is inclusief lesdagen, e-learning en praktijkopdrachten. In deze training werken we met innovatieve e-learnings, cases, rollenspellen en praktijkopdrachten. Je werkt zowel zelfstandig als in teamverband. Daarnaast deel je tijdens de bijeenkomsten jouw ervaringen met mededeelnemers die werkzaam zijn bij andere bedrijven. Door het interactieve karakter van de training ontstaat een sterk lerend effect. Je kunt de bijeenkomsten van deze training via onze mixed classrooms zowel fysiek als digitaal bijwonen. Na afronding van de training ontvang je een certificaat van deelname. Indien je PE-plichtig bent ontvang je 18 PE-punten. De studiekosten bedragen € 1.395,- (all-in en vrij van btw). Wat eerdere deelnemers zeggen Ilse Boesjes Risk manager "Goede introductie in de wereld van risicomanagement met waardevolle inzichten voor het uitvoeren van een RCSA!" Inzichten Risk appetite en risk tolerance Risicomanagement gaat niet over alle risico’s uitsluiten. Het draait om het maken van bewuste keuzes: waar geven we ruimte aan ondernemerschap, waar trekken we een heldere lijn en wanneer grijpen we in. In dat spanningsveld spelen twee begrippen de hoofdrol: risk appetite (of risicobereidheid) en risk tolerances. In theorie lijken ze overzichtelijk, in de praktijk lopen ze vaak door elkaar. Zonde, want organisaties die hun risicohouding scherp formuleren én vertalen naar hant 21 okt 2025 7 minuten om te lezen Hoe technologie onze opleidingen en trainingen vernieuwt. Van e-learning tot hybride classroom en realistische simulaties In deze blog laten we zien hoe technologie ons helpt om leren niet alleen efficiënter, maar vooral effectiever te maken. We laten zien hoe we e-learning inzetten waar het werkt, hoe onze hybride classroom trainingen flexibiliteit bieden zonder in te leveren op kwaliteit en waarom realistische simulaties zorgen voor echte leermomenten. Want of je nu start met auditing of al jarenlang riskmanager bent, blijven leren is essentieel. En dat moet dus wel goed geregeld zijn. De ti 20 sep 2025 5 minuten om te lezen Opleiding risicomanagement Iedere organisatie, groot of klein heeft ermee te maken: risico’s. Of het nu gaat om cyberdreigingen, veranderende wetgeving,... 26 aug 2025 4 minuten om te lezen Meer weten of direct inschrijven? Brochure Adviesgesprek Inschrijven

Operational auditing helpt organisaties risico’s te beheersen, processen te verbeteren en strategische doelen te realiseren met scherp inzicht en impact. Alle blogs Internal auditing Operational auditing en jouw organisatie Zijn onze processen nog wel beheerst? Bereiken we onze doelen dit jaar? Is onze informatiebeveiliging op orde? Zomaar wat vragen die bij bestuurders en managers kunnen spelen. En niet zelden blijven ze onbeantwoord, met alle risico’s van dien. Gelukkig is er een vakgebied dat hier wel grip op biedt: operational auditing. In deze blog lees je wat operational auditing precies is, welke ontwikkelingen het vak transformeren en waarom deze auditor steeds belangrijker wordt voor organisaties die vooruit willen. Wat is operational auditing? Operational auditing is het vakgebied waarin een auditor objectief en onafhankelijk onderzoekt of de beheersing van processen en systemen binnen een organisatie zodanig zijn ingericht, dat strategische en operationele doelstellingen worden behaald. Daarbij kijkt de auditor niet alleen naar wat er is , maar vooral naar wat er moet gebeuren om risico’s te beperken en prestaties te verbeteren. Het gaat dus niet om het afvinken van regels, maar om het versterken van het lerend vermogen van de organisatie. De operational auditor stelt de juiste vragen, ontwikkelt een maatwerk normenkader, voert gedegen onderzoek uit en presenteert bevindingen op een manier die beweging brengt. Een blik naar voren dus. En dat maakt operational auditing tot veel meer dan een controlefunctie: het is een katalysator voor leren en verandering. Wat doet een operational auditor precies? De competenties van een goede operational auditor reiken ver. Het is iemand die: de werkelijke vraag achter de opdracht weet te achterhalen; een relevant toetsingskader kan samenstellen op basis van beleid, wetgeving, controlmodellen en best practices; een betrouwbaar beeld schetst van de huidige beheersingssituatie; scherpe, onderbouwde conclusies trekt; en bevindingen samen met de 1 ste lijn vertaalt naar aanbevelingen die daadwerkelijk tot verbetering leiden. En dat alles in een omgeving die steeds complexer, digitaler en wendbaarder wordt. Waarom is operational auditing zo relevant? De wereld verandert razendsnel. Organisaties moeten zich aanpassen aan nieuwe technologieën, veranderende wet- en regelgeving, maatschappelijke verwachtingen en de interne dynamiek. Daarbij zien we vier structurele trends die het vakgebied van operational auditing extra urgent maken: 1. Digitalisering en IT-risico’s IT is niet langer een ondersteunende functie, maar het fundament van vrijwel ieder bedrijfsproces. Denk aan ERP-systemen, data-analytics, AI, cloudoplossingen en cybersecurity. Tegelijkertijd lopen organisaties steeds meer risico door systeemstoringen, datalekken of gebrekkige autorisatieprocessen. Voor operational auditors betekent dit: opdoen van meer technische kennis, meer samenwerking met IT-auditors en -specialisten, en meer aandacht voor digitale weerbaarheid. De operational auditor van vandaag moet ook de wereld van morgen begrijpen. 2. Focus op cultuur en gedrag Traditioneel lag de nadruk van audits op hard controls : processen, procedures en systemen. Maar steeds meer organisaties beseffen dat beheersing ook vraagt om inzicht in gedrag, communicatie en leiderschap. De operational auditor richt zich daarom steeds vaker ook op soft controls : vertrouwen, integriteit, aanspreekbaarheid en voorbeeldgedrag. Geen gemakkelijk terrein, maar wel essentieel. Want zoals Merchant het zegt: " Management control is het doelgericht beïnvloeden van gedrag ." 3. Agile werken en wendbaarheid Waar vroeger stabiliteit de norm was, draait het nu om aanpassingsvermogen. Organisaties kiezen voor agile werkmethoden, multidisciplinaire teams en kortcyclisch ontwikkelen. Deze wendbaarheid vraagt ook iets van auditors: minder focus op lange audittrajecten, meer op continue feedback, korte doorlooptijden en realtime risico-inzichten. Agile auditing komt hiermee in opmars: een aanpak waarin auditing en wendbaarheid elkaar versterken. 4. Verantwoordingsdruk en transparantie Vanuit toezichthouders, klanten en de maatschappij groeit de druk op organisaties om transparant te zijn over prestaties, risico’s en beheersmaatregelen. Denk aan ESG-rapportages, ketenverantwoordelijkheid en sociale rechtvaardigheid. Operational auditors kunnen een cruciale rol spelen in het aantoonbaar maken van beheersing binnen deze complexe context, mits zij over de juiste vaardigheden en attitude beschikken. De toekomst van operational auditing: waar gaat het heen? De ontwikkelingen binnen het vakgebied zijn veelbelovend en uitdagend. Dit zijn de belangrijkste bewegingen: ➤ Van controlerend naar vooruitkijkend Audits blikken niet alleen terug, maar moeten ook vooruitkijken. Steeds vaker wordt gevraagd: Wat moeten we nu weten om straks in control te zijn? ➤ Van compliance naar performance Naast naleving van regels verschuift de aandacht naar het verbeteren van processen, kwaliteit en effectiviteit. Audits dragen daarmee direct bij aan strategisch succes. ➤ Van onafhankelijk naar verbindend De auditor van nu is geen afstandelijke beoordelaar, maar een kritische vriend. Iemand die scherp blijft, maar ook meedenkt. Die de verbinding zoekt met de business en interventies doet die echt verschil maken. ➤ Van generalist naar specialist (en vice versa) De opkomst van thema’s als data-auditing, AI, duurzaamheid en cyber maakt dat sommige auditors zich specialiseren. Tegelijkertijd blijft er behoefte aan de generalistische operational auditor die het geheel overziet en verbanden legt. Wat betekent dit voor organisaties? Organisaties die werk willen maken van beheersing, wendbaarheid en verantwoording, kunnen niet zonder sterke operational auditors. Zij zijn het kompas in onrustige tijden. Maar dan moeten organisaties ook investeren: in opleiding, in positionering, in een cultuur waarin audits serieus worden genomen. En bovenal in mensen. Want goede auditors zijn schaars. En voor auditors zelf? Voor auditors betekent dit: blijven leren. Blijven trainen. Blijven reflecteren. Het vak vraagt meer dan ooit om een combinatie van harde expertise en zachte vaardigheden: onderzoekskunde, oordeelsvorming, communicatie, psychologie, verandermanagement. Of, zoals we het in onze opleiding zeggen: een goede auditor is niet alleen een vakman, maar ook een veranderaar. Tot slot Operational auditing is geen luxe of last. Het is een noodzaak. Voor elke organisatie die haar doelen wil bereiken in een complexe wereld. Het is een vakgebied in beweging, net als de wereld waarin het opereert. En juist daarom is het nu het moment om als operational auditor te groeien. In kennis, in invloed en in impact. Hoe Ferocia operational auditing binnen jouw organisatie versterkt Bij Ferocia geloven we in operational auditing als strategisch instrument. Een manier om niet alleen risico’s te beheersen, maar om organisaties sterker en wendbaarder te maken. Daarom ondersteunen wij organisaties op drie manieren: 1. Opleidingen en trainingen We leiden auditors op tot echte professionals die zelfstandig en met impact een audit kunnen uitvoeren. Denk aan onze postbacheloropleiding Operational Auditing of de cursus operational auditoring . Theorie en praktijk, met aandacht voor zowel hard controls als soft controls. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een operational audit? Wij leveren ervaren operational auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe operational auditor om je team te versterken? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl