Zoekresultaten

Ontdek hoe soft controls gedrag en cultuur in organisaties beïnvloeden. Volg de training Soft Controls van Ferocia en pas ze direct toe in jouw audits. Alle blogs Internal auditing Training soft controls In de wereld van audit, risk en control draait het al lang niet meer alleen om regels, processen en structuren. Natuurlijk zijn harde controles zoals procedures, rapportages en bevoegdheden nog steeds belangrijk. Maar wie echt wil begrijpen hoe een organisatie functioneert, moet verder durven kijken. Naar gedrag, naar cultuur, naar wat mensen drijft en naar de ongeschreven regels. Oftewel: naar soft controls. Wat zijn soft controls? Soft controls zijn de niet-tastbare beheersmaatregelen die het gedrag van mensen in een organisatie beïnvloeden. Denk aan integriteit, voorbeeldgedrag, betrokkenheid, vertrouwen, loyaliteit en aanspreekbaarheid. Waar hard controls zijn vastgelegd in beleid en processen, zitten soft controls in de hoofden en harten van mensen. Ze bepalen in hoge mate of die regels in de praktijk ook echt worden nageleefd. Steeds meer internal auditfuncties voegen daarom cultuur- en gedragsaspecten toe aan hun werk. Onderwerpen als sociale veiligheid, psychologische veiligheid en vertrouwen verschijnen steeds vaker op de auditkalender. En terecht, want als je als auditor, controller of risk officer echt waarde wilt toevoegen, kun je soft controls niet negeren. Maar hoe onderzoek je soft controls op een gedegen manier? Welke modellen en technieken gebruik je? En hoe zorg je ervoor dat je bevindingen overtuigend zijn en leiden tot actie? Wat leer je tijdens de training soft controls? De training soft controls van Ferocia geeft je in korte tijd (twee dagdelen) de juiste kennis en vaardigheden om met soft controls aan de slag te gaan in jouw eigen praktijk. Je leert: wat cultuur en gedrag zijn en hoe ze zich tot elkaar verhouden; waarom soft controls onmisbaar zijn voor effectieve beheersing; hoe je met modellen onderzoek doet naar cultuur en gedrag; hoe je gerichte vragen stelt om soft controls in kaart te brengen; en welke interventies je kunt voorstellen om soft controls in organisaties te verbeteren. Het programma bestaat uit een interactieve lesdag van zes uur en een innovatieve e-learning. De e-learning ‘Cultuur en Gedrag’ volg je waar en wanneer je maar wilt. Tijdens de lesdag oefen je actief met modellen, cases en praktijkopdrachten. Je past het geleerde direct toe op je eigen situatie, stelt een persoonlijk actieplan op en ontvangt feedback van je docent en van andere deelnemers. Geen lange theorieën of abstracte concepten, maar praktisch toepasbare inzichten, afgestemd op de realiteit van jouw werk. Wat kan ik nadat ik de training heb afgerond? Na afronding van deze training ben jij in staat om: Soft controls te herkennen en te benoemen in audits. Cultuur- en gedragsaspecten doelgericht te onderzoeken. Inzichten uit modellen te vertalen naar jouw praktijk. Interventies aan te reiken die het functioneren van soft controls verbeteren. Je ontvangt een certificaat van deelname en (indien van toepassing) 9 PE-punten. Maar belangrijker nog, je beschikt over een solide basis om met vertrouwen soft controls mee te nemen in jouw audits, controles of risicoanalyses. De opgedane kennis levert directe toegevoegde waarde in je dagelijkse werk. Zoals een oud-deelnemer het verwoordde: “De training bood praktische handvatten om soft controls toe te passen binnen audits. De opgedane kennis levert direct toegevoegde waarde in mijn werk.” Voor wie is deze training bedoeld? Deze training is ontwikkeld voor professionals die zich bezighouden met auditing, risicobeheersing of procesbeheersing en die hun vakmanschap willen verdiepen met inzichten over cultuur en gedrag. Herken jij jezelf in één van onderstaande rollen? Operational auditor IT-auditor Financial auditor Accountant Controller Risk officer Compliance officer Medewerker AO/IC Kwaliteitsmedewerker Proceseigenaar Dan is deze training voor jou. Voor deelname is hbo werk- en denkniveau gewenst. Er is géén voorkennis van psychologie of veranderkunde vereist. Juist omdat we het belangrijk vinden dat soft controls niet iets zijn ‘voor de experts’, maar voor elke professional die zich bezighoudt met beheersing en sturing binnen organisaties. De werkvorm: leren door te doen Bij Ferocia geloven we in activerend leren. Dat betekent dat je tijdens deze training niet alleen maar luistert, maar vooral ook zelf aan de slag gaat. De training bestaat uit: E-learning : De module 'Cultuur en Gedrag' volg je zelfstandig, op een moment dat jou uitkomt. De inhoud sluit direct aan bij de thema’s van de lesdag. Lesdag : Tijdens deze dag (fysiek of digitaal) oefen je actief met modellen en technieken. Je werkt aan een eigen case, stelt een persoonlijk actieplan op en ontvangt feedback. Interactieve werkvormen : Je oefent met vraagtechnieken, neemt deel aan rollenspellen en werkt aan praktijkopdrachten. Daarbij werk je zowel individueel als in kleine groepen. Ervaringsuitwisseling : Je leert niet alleen van de docent, maar ook van de ervaringen en perspectieven van andere deelnemers. Dit zorgt voor nieuwe inzichten en inspiratie. De bijeenkomsten vinden plaats in onze mixed classrooms : je kunt dus zelf kiezen of je fysiek aanwezig bent of digitaal aansluit. De docenten: experts met praktijkervaring De training wordt verzorgd door topdocenten met zowel academische bagage als stevige praktijkervaring. Zij begrijpen de uitdagingen van jouw werk en weten complexe concepten begrijpelijk én toepasbaar te maken. Klaar om soft controls in jouw werk te integreren? Wil jij: Soft controls echt begrijpen en toepassen? Cultuur en gedrag meenemen in je audits of risicoanalyses? Praktische tools, modellen en handvatten om direct mee aan de slag te gaan? Sparren met professionals uit andere organisaties? In korte tijd grote stappen zetten? Dan is deze training precies wat je zoekt. Meer informatie over de kosten en startdata, klik hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe een DORA audit bijdraagt om jouw organisatie digitaal weerbaar maakt. Praktische tips en een stappenplan! Alle blogs IT-beheersing DORA audit Stel je voor: je wordt wakker en internetbankieren werkt niet. Betalingen lopen vast, orders worden niet verwerkt, de klantenservice raakt overspoeld. Een storing van een paar uur, maar de impact is direct voelbaar in omzet, vertrouwen en misschien zelfs in de headline van het journaal. Precies dát scenario wil de Digital Operational Resilience Act (DORA) beperken. En precies dáár komt de DORA audit in beeld. Wat is DORA in gewone mensentaal DORA is Europese regelgeving die moet borgen dat financiële organisaties digitaal weerbaar zijn. Niet alleen tegen cyberaanvallen, maar tegen álle ICT-gerelateerde verstoringen: van uitval van een datacenter tot een mislukte release van nieuwe software. De regeling geldt voor een breed palet aan financiële instellingen: banken, verzekeraars, beleggingsinstellingen, betaalinstellingen en meer. In totaal zo’n twintig typen financiële entiteiten vallen onder de reikwijdte. Daarnaast introduceert DORA een toezichtskader op zogeheten “kritieke ICT-dienstverleners”, zoals grote cloud- en technologiepartijen die cruciaal zijn voor de financiële sector. De kern van DORA draait om vijf thema’s: Een robuust ICT-riskmanagement raamwerk. Beheersing en rapportage van ICT-incidenten. Periodieke testen van digitale weerbaarheid. Beheer van risico’s rond uitbestede ICT-diensten (third parties). Informatie-uitwisseling over dreigingen en kwetsbaarheden. Belangrijk detail: instellingen moeten vanaf 17 januari 2025 aantoonbaar voldoen aan DORA. Dat maakt de vraag “hoe DORA-proof zijn wij eigenlijk?” urgent voor bestuur, directie én internal audit. Wat is een DORA audit? Een DORA audit is een systematisch onderzoek naar de vraag in hoeverre een organisatie voldoet aan de eisen van DORA én of de digitale operationele weerbaarheid daadwerkelijk op niveau is. Het gaat dus niet alleen om “hebben we beleid op papier?”, maar vooral om: werkt het, sluiten we aan bij de risico’s van deze organisatie, en kunnen we dat aantonen richting de toezichthouder? Inhoudelijk raakt een DORA audit onder meer: Governance en rol van bestuur en hoger management in ICT-risicomanagement. Opzet, bestaan en werking van het ICT-riskmanagementframework (beleid, processen, rapportages). Registratie, classificatie en rapportage van ICT-incidenten en “major incidents”. De manier waarop digitale weerbaarheid getest wordt, van business continuity tot penetratietests. Contractmanagement en riskmanagement rond ICT-dienstverleners, inclusief kritieke third parties. DORA schrijft expliciet voor dat het ICT-risicomanagement framework onderdeel moet zijn van het totale risicomanagementsysteem en dat dit framework periodiek onderwerp van interne audit is. Daarmee is de DORA audit geen ‘nice to have’, maar een directe opdracht aan de derde lijn. Voor internal auditors, riskmanagers en compliance officers sluit dit nauw aan bij hun bestaande verantwoordelijkheden: risico’s identificeren, beheersmaatregelen beoordelen, compliance borgen en het bestuur in positie brengen. Waarom een DORA audit méér is dan “nog een IT-audit” Veel organisaties behandelen DORA aanvankelijk als “de zoveelste IT-regelgeving”. Maar wie DORA reduceert tot een technisch compliance-project, mist de essentie. DORA gaat niet alleen over firewalls, back-ups en loggingsystemen. Het gaat over de continuïteit van primaire processen en het vertrouwen van klanten. De wetgever heeft bewust gekozen voor een integrale benadering waarin ICT-risico’s expliciet onderdeel zijn van het bredere risicomanagement en de governance van de organisatie. Dat zie je bijvoorbeeld terug in: De nadruk op bestuur en senior management: zij blijven eindverantwoordelijk voor digitale weerbaarheid, ook als er veel is uitbesteed. De rol van critical ICT third-party providers, die onder direct Europees toezicht kunnen vallen. De verplichting om ICT-risico’s, incidentmanagement, testen en third-party risk in één samenhangend framework onder te brengen. Een DORA audit raakt dus de volle breedte van de organisatie: business, IT, risk, compliance, inkoop én directie. Juist daarom ligt hier een belangrijke kans voor internal audit om zich te positioneren als strategische partner in plaats van “controleur achteraf”. De vijf bouwstenen van een DORA audit verder uitgediept Om de DORA audit concreter te maken, loont het om de vijf thema’s nog iets verder uit te werken, in gewone taal. 1. Governance en strategie Hier gaat het om de vraag: heeft de organisatie digitaal risicobewust leiderschap? Bestuur en directie moeten niet alleen formeel verantwoordelijk zijn, maar ook aantoonbaar betrokken: via rapportages, besluitvorming over risk appetite, prioritering van investeringen en het stellen van de juiste vragen. Een goede DORA audit kijkt of digitale weerbaarheid verankerd is in strategie, risk appetite, impacttoleranties en de planning- & controlcyclus. 2. ICT-riskmanagementframework DORA verlangt een “sound, comprehensive and well-documented” ICT-risicomanagementframework. Dat betekent: duidelijke policies, processen, rollen, risk assessments, controls, monitoring en rapportages. Voor auditors is dit vertrouwd terrein: je beoordeelt de opzet, het bestaan en de werking van het framework, met specifieke aandacht voor de aansluiting op de organisatiecontext en de proportionaliteit (niet elk klein kantoor hoeft een bank-achtige inrichting te hebben). 3. Incidentmanagement en rapportage Als er iets misgaat, moet dat snel zichtbaar zijn, intern én, bij grote incidenten, voor de toezichthouder. DORA stelt eisen aan detectie, logging, classificatie, escalatie en rapportages van ICT-incidenten. In de audit kijk je daarom niet alleen naar het incidentregister, maar ook naar monitoring, alerting, de praktijk van storingsafhandeling en de kwaliteit van root cause analyses. 4. Testen van digitale weerbaarheid Weerbaarheid kun je niet alleen op papier beoordelen. DORA verlangt periodieke testen, variërend van basis-testen tot geavanceerde threat-led penetratietests. Voor de audit betekent dit: beoordelen of het testplan risicogebaseerd is, of de resultaten leiden tot concrete verbeteracties en of lessen uit oefeningen (bijvoorbeeld crisis-simulaties) daadwerkelijk worden opgepakt. 5. Third-party risk management Veel financiële instellingen leunen (zwaar) op externe ICT-dienstverleners, van cloud tot betalingsplatforms. DORA stelt scherpe eisen aan contracten, auditrechten, exit-strategieën en het structureel monitoren van deze leveranciers. Een DORA audit zoomt in op de keten: begrijpt de organisatie welke functies afhankelijk zijn van welke leveranciers, zijn de contracten DORA-proof en hoe wordt de performance en security van leveranciers gemonitord? De DORA audit stap voor stap Hoewel elke organisatie en elke auditopdracht uniek is, kun je een DORA audit grofweg langs vijf stappen opbouwen. 1. Begrijp de context en scope Start met helderheid: op welke entiteiten is DORA van toepassing, welke diensten zijn kritisch en welke ICT-ketens horen daarbij? Voor internal auditors betekent dit: De organisatiestructuur en vergunningen goed begrijpen. In kaart brengen welke processen “kritieke of belangrijke functies” ondersteunen. Bepalen welke ICT-assets en third parties essentieel zijn voor die functies. Pas als deze scope scherp is, kun je zinnige uitspraken doen over digitale operationele weerbaarheid. 2. Leg de link met het bestaande risicomanagement DORA vraagt om integratie met het bestaande risicomanagementframework, niet om een parallel DORA-universum. Een logische vervolgstap is dus om te analyseren: Hoe ICT-risico’s nu in de enterprise risk management (ERM)-cyclus zijn opgenomen. In hoeverre het bestaande risk- en control-framework al aansluit bij de DORA-eisen. Of rollen en verantwoordelijkheden rondom ICT-risico’s duidelijk zijn belegd, in lijn met het three lines model . Internal auditors en riskmanagers ervaren in de praktijk vaak dat ICT-risico’s versnipperd zijn belegd en dat IT en business verschillende talen spreken. Een DORA audit legt deze fricties helder bloot, en kan zo een katalysator zijn voor verbetering. 3. Voer een gerichte DORA gap-analyse uit Een goede DORA audit begint met inzicht in de grootste gaten. Geen checklist van honderden eisen, maar een gerichte analyse langs de volgende hoofdthema’s: Governance en strategie: is er een duidelijke digitale weerbaarheidsstrategie, met risk appetite en impacttoleranties voor ICT-verstoringen? ICT-riskmanagement: is er een gedocumenteerd framework, inclusief beleid, processen, rollen, rapportages en monitoring? Incidentmanagement: worden ICT-incidenten volledig en uniform geregistreerd, geclassificeerd en opgevolgd? Kun je major incidents tijdig rapporteren aan toezichthouders? Testen van digitale weerbaarheid: zijn er structurele tests, van functionele recovery-tests tot crisis-oefeningen en – waar nodig – threat-led penetratietests? Third-party risk: zijn contracten, exit-strategieën, auditrechten en rapportages rond kritieke ICT-leveranciers in lijn met DORA vereisten? In deze fase komt de expertise van auditors sterk naar voren: het scherp krijgen van de werkelijke onderzoeksvraag, het kiezen van passende criteria en het analyseren van complexe ICT-ketens. 4. Ontwerp een meerjarig DORA auditprogramma Een DORA audit is geen eenmalige exercitie. Het ICT-riskmanagementframework moet periodiek worden herzien en is onderwerp van terugkerende interne audits. Een volwassen aanpak vraagt dus om een meerjarig auditprogramma, waarin je bijvoorbeeld: Jaarlijks de governance, risk-rapportages en incidentmanagement beoordeelt. Periodiek diepgravende audits doet op kritieke ICT-ketens, zoals betaalverkeer of handelsplatforms. Thematisch audits plant op third-party risk, security-monitoring of crisis-oefeningen. Voor internal auditors bij grote organisaties sluit dit goed aan bij bestaande auditplannen en KPI’s zoals het aantal afgeronde audits, de dekking van kritieke risico’s en de mate van compliance. 5. Besteed expliciet aandacht aan cultuur en gedrag Digitale weerbaarheid is niet alleen techniek, processen en papieren beleidsdocumenten. Het draait net zo goed om gedrag: melden mensen incidenten? Nemen lijnmanagers eigenaarschap voor ICT-risico’s? Worden lessons learned echt benut? Ferocia besteedt in haar opleidingen veel aandacht aan de balans tussen hard en soft controls en aan het doelgericht beïnvloeden van gedrag binnen organisaties. De DORA audit is een uitstekende gelegenheid om die bril op te zetten: Hoe praten mensen in de organisatie over ICT-risico’s; als “IT-probleem” of als strategische factor? Is er een open meldcultuur rondom incidenten en bijna-incidenten? Worden testresultaten en auditbevindingen gebruikt om te leren, of alleen om vinkjes te zetten richting toezichthouder? Internal auditors die ook de culturele dimensie onderzoeken, leveren veel rijkere en duurzamere aanbevelingen op dan wanneer ze alleen de formele beheersmaatregelen beoordelen. Veelgemaakte fouten bij DORA audits In de praktijk zien we een aantal valkuilen terugkeren: Organisaties die DORA puur als IT-project behandelen, missen de koppeling met strategie en business. Dan ontstaat er een “compliance-laagje” over bestaande processen, zonder dat de echte kwetsbaarheden verdwijnen. Een andere valkuil is het overschatten van de huidige volwassenheid: “we doen al jaren iets met BCM en cyber, dus dat zal wel goed zitten”. Een DORA audit laat vaak zien dat processen niet integraal zijn, dat rapportages versnipperd zijn en dat er gaten zitten in incidentregistratie of third-party-beheer. Tot slot is er het risico van te veel focus op documenten. Een fraai geschreven beleidsstuk zegt weinig als medewerkers het niet kennen, systemen het niet ondersteunen of incidenten tóch langs de radar glippen. Hier komt het vakmanschap van de operational auditor naar voren: dóórvragen, de werkvloer op, feiten checken. De rol van internal audit na 17 januari 2025 Vanaf het moment dat DORA volledig van kracht is, wordt de DORA audit geen eenmalige exercitie maar een terugkerend onderdeel van de auditplanning. Voor internal auditors bij grote organisaties betekent dit: ICT-risico’s structureel opnemen in de risicobeoordeling en audituniversum. Zorgen voor voldoende kennis en vaardigheden op het gebied van ICT-risicomanagement en digitale weerbaarheid. Intensief samenwerken met risk management en compliance om dubbel werk te voorkomen en toch onafhankelijke assurance te bieden. Daarmee groeit de internal auditor steeds meer uit tot gesprekspartner van bestuur en toezichthouder over digitale weerbaarheid. Door scherp, onafhankelijk en toekomstgericht te onderzoeken en te rapporteren. Hoe Ferocia kan ondersteunen? DORA raakt precies de gebieden waar Ferocia dagelijks mee bezig is: audit, control, risk management en compliance, zowel via opleidingen en trainingen als via interim en consultancy en werving en selectie. Of je nu internal auditor, riskmanager of compliance officer bent: een stevig DORA onderzoek vraagt om actuele kennis, praktische vaardigheden en het vermogen om techniek, processen en gedrag met elkaar te verbinden. Met praktijkgerichte opleidingen, ervaren interim-professionals en ondersteuning bij het opbouwen van je audit- en riskteam helpt Ferocia organisaties om niet alleen “DORA-compliant” te zijn, maar vooral écht digitaal weerbaar. Zodat bestuurders rustig kunnen slapen, óók als er ergens in de keten een storing optreedt. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Versterk je audit- of riskafdeling met co-sourcing: behoud controle, vergroot expertise en blijf wendbaar. Ontdek hoe Ferocia jou helpt. Alle blogs Co- en outsourcing, Risicomanagement, Internal auditing Co-sourcing auditafdeling of riskafdeling De druk op audit- en riskafdelingen neemt toe. Veranderende wet- en regelgeving, krapte op de arbeidsmarkt en technologische ontwikkelingen vragen om slagkracht, wendbaarheid en specifieke expertise. Maar wat als je die expertise (tijdelijk) niet in huis hebt? Of als je team piekbelasting ervaart? Dan biedt co-sourcing een praktische oplossing. In deze blog lees je wat co-sourcing precies is, wat de voordelen zijn, hoe het in de praktijk werkt en waarom Ferocia de partner is voor co-sourcing op het gebied van audit, risk en control. Wat is co-sourcing? Co-sourcing is een samenwerkingsvorm waarbij je als organisatie externe professionals inschakelt die onderdeel worden van je interne team, zonder dat je de regie verliest. Je houdt zelf de controle over beleid, richting en besluitvorming, en je werkt nauw samen met een (vast) team van externe specialisten die jouw team aanvullen. In tegenstelling tot outsourcing, waarbij je een volledige functie of afdeling overdraagt aan een externe partij, blijft bij co-sourcing het eigenaarschap in jouw handen. De externe professional werkt vanuit jouw visie, jouw structuur en jouw prioriteiten. Denk aan een IT-auditor die tijdelijk je interne auditteam versterkt bij een complexe audit. Of een riskmanager die meedenkt over de inrichting van je risicoraamwerk tijdens een transformatie. Co-sourcing draait dus om samenwerken. Niet om uitbesteden, maar om versterken. Wat zijn de voordelen van co-sourcing? Co-sourcing van je auditafdeling of riskafdeling biedt een reeks concrete voordelen voor organisaties die hun audit- of riskfunctie toekomstbestendig willen maken: 1. Flexibele capaciteit, precies waar en wanneer je het nodig hebt Of het nu gaat om vervanging bij ziekte, tijdelijke onderbezetting of pieken in het werk, co-sourcing geeft je directe toegang tot een vast team van gekwalificeerde professionals die snel kunnen instappen en jouw organisatie en team al kennen. Geen langdurige wervingsprocessen of contractuele verplichtingen voor een kleine opdracht, maar een vaste partner die jou en je team kent en die je ‘direct’ kunt inzetten. 2. Toegang tot gespecialiseerde kennis en ervaring Audit- en riskvraagstukken worden steeds complexer. Denk aan ESG, cybersecurity, dataprivacy, cloudbeveiliging of soft controls. Het is onrealistisch om voor elk onderwerp een specialist in huis te hebben. Via co-sourcing breng je precies die expertise naar binnen die je op dat moment nodig hebt. 3. Kennisoverdracht en versterking van je eigen team Een belangrijk voordeel van co-sourcing is de structurele kennisoverdracht. De externe professional werkt samen met je interne medewerkers en draagt actief kennis, werkwijzen en tools over. Zo investeer je niet alleen in de oplossing van vandaag, maar ook in de veerkracht van morgen. 4. Continuïteit en kwaliteit waarborgen Ziekte, verloop of krapte op de arbeidsmarkt kunnen de kwaliteit en continuïteit van audits of risicomanagement in gevaar brengen. Co-sourcing voorkomt dat je concessies moet doen. Je blijft “in control”, zelfs onder druk. 5. Strategisch sparren op niveau Een ervaren co-sourcingpartner denkt niet alleen mee op operationeel niveau, maar ook op tactisch en strategisch vlak. Zo krijg je waardevolle sparringpartnerschap bij organisatievraagstukken, auditplanning, risicoprofielen of het professionaliseren van je control-framework. Hoe werkt co-sourcing in de praktijk, en waar moet je op letten? Co-sourcing is maatwerk. Succes hangt af van de juiste afstemming, voorbereiding en samenwerking. Dit zijn de belangrijkste aandachtspunten: 1. Start met een heldere behoefteanalyse Welk probleem wil je oplossen? Zoek je tijdelijke capaciteit, specifieke expertise, een frisse blik op je bestaande aanpak of juist een combinatie van deze? Hoe duidelijker de vraag, hoe beter de match. 2. Kies voor inhoudelijke en culturele fit Een goede co-sourcingpartner begrijpt jouw branche, jouw type organisatie en jouw mensen. De externe professional moet niet alleen vakinhoudelijk sterk zijn, maar ook passen binnen de cultuur van je team. Geen solist, maar iemand die direct meedraait. 3. Formuleer gezamenlijke doelen en verwachtingen Leg vooraf vast wat je wilt bereiken, wie waarvoor verantwoordelijk is en hoe je de samenwerking evalueert. Heldere afspraken over doelstellingen, rapportages en terugkoppelmomenten maken het verschil tussen meedraaien en mee-ontwikkelen. 4. Zorg voor voldoende interne verankering Een co-sourcer moet snel kunnen landen. Zorg dus dat er een aanspreekpunt is binnen het team, dat kennis gedeeld wordt en dat de samenwerking wordt ingebed in bestaande werkprocessen. Co-sourcing werkt alleen als er ruimte is om echt samen te werken. 5. Gebruik co-sourcing strategisch Zie co-sourcing niet alleen als “brandjesblusser”, maar als strategisch instrument. Zet het in bij vernieuwing, transformatie of kwaliteitsverbetering. Laat de externe professional bijvoorbeeld een nieuwe auditmethodiek helpen implementeren, of een risicomanagementframework valideren. Zo haal je er maximale waarde uit. Waarom Ferocia jouw co-sourcingpartner is Bij Ferocia begrijpen we dat audit, risk en control geen vakgebieden zijn waarin je met generieke oplossingen uit de voeten kunt. Onze kracht zit in maatwerk, vakmanschap en meedenken op niveau. We werken niet vóór je, we werken met je. Wat maakt ons uniek? Inhoudelijke expertise Onze professionals zijn stuk voor stuk ervaren vakmensen: auditors, risicomanagers en controllers met jarenlange ervaring in uiteenlopende sectoren, van financiële dienstverlening en zorg tot overheid en multinationals. We kennen het vak en de praktijk. Focus op kennisontwikkeling en duurzame versterking Ferocia is niet alleen een detacheerder of opleider. We combineren beide werelden. Onze co-sourcingtrajecten zijn gericht op duurzame ontwikkeling van jouw team. Onze mensen brengen niet alleen capaciteit, maar ook opleiding, coaching en structuur. Direct inzetbaar, snel resultaat Of je nu morgen iemand nodig hebt voor een belangrijke audit, of over drie maanden wilt starten met het herontwerpen van je risicomanagementstructuur, wij leveren snelheid en kwaliteit. Onze consultants zijn gewend om snel te schakelen en direct mee te draaien. Vertrouwd en professioneel partner in governance-vraagstukken We werken met opdrachtgevers in het publieke en private domein aan het versterken van hun governance, compliance en control. We begrijpen hoe het werkt aan de top van de organisatie, en hoe je daar met gezag en vertrouwen acteert. Altijd een sparringpartner Bij Ferocia krijg je niet alleen een consultant, maar ook een vaste contactpersoon die met je meedenkt over de bredere context: strategische personeelsplanning, kennisontwikkeling, verandervraagstukken. Zo denken we met je mee, ook vóór de opdracht. Tot slot: versterken zonder overnemen Co-sourcing is de ideale oplossing voor organisaties die willen groeien in volwassenheid, maar niet willen inleveren op controle, cultuur of kwaliteit. Het is geen quick fix, maar een bewuste keuze om je interne capaciteit en expertise op een slimme manier aan te vullen. Bij Ferocia geloven we in samenwerking die verder gaat dan het vullen van een stoel. Wij geloven in het versterken van jouw team, jouw processen en jouw impact. Wil je kennismaken met co-sourcing op jouw manier? Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Snel een ervaren interim auditor, risk manager en controller nodig? Ontdek waarom Ferocia hiervoor jouw partner is. Kwalitatief, snel en scherpe tarieven. Alle blogs Interim en consultancy Interim auditor inhuren via Ferocia Personeelstekort. Ziekte. Veranderprojecten. Een plotselinge piek in het aantal audits. Wat de aanleiding ook is, organisaties staan regelmatig voor de uitdaging om snel een ervaren auditor aan boord te krijgen. En dan niet zomaar iemand, maar een professional die vanaf dag één meedraait, weet wat er gevraagd wordt en het verschil maakt. Bij Ferocia begrijpen we die urgentie. Maar we kijken verder dan alleen snelheid. Wij zorgen voor interim auditors die niet alleen gaten dichten, maar bijdragen aan verbetering, kwaliteit en rust in jouw auditfunctie. In deze blog lees je: wanneer het inhuren van een interim auditor verstandig is; wat je mag verwachten van een Ferocia-interimmer; en hoe wij het verschil maken ten opzichte van traditionele detacheerders. Wanneer kies je voor een interim auditor? Er zijn grofweg drie situaties waarin organisaties bij ons aankloppen: 1. Personele druk of uitval Een medewerker valt langdurig uit. Of er is al maanden sprake van onderbezetting, en de achterstanden lopen op. In zulke gevallen wil je geen maanden wachten tot een nieuwe vaste kracht start. 2. Projectmatige piekbelasting Een bijzondere opdracht komt langs: een thematische audit, due diligence, pre-audit voor certificering of begeleiding van een control improvement-traject. Dan is een tijdelijke versterking met specifieke ervaring een uitkomst. 3. Veranderopgave of crisis De organisatie zit in transitie, de risicobeheersing staat onder druk, of er is behoefte aan een frisse blik. Dan helpt een externe auditor die wel kritische vragen stelt en weet hoe je verbetert zonder ‘de winkel’ stil te leggen. Wat maakt een Ferocia-interimmer anders? Wij selecteren onze interim auditors niet alleen op ervaring, maar vooral op impact. Ervaring in complexe omgevingen Onze interimmers hebben hun sporen verdiend in jouw sector. Denk hierbij de overheid, zorg, financiële dienstverlening, infrastructuur en industrie. Ze kennen de druk, de gevoeligheden en de compliance-eisen. Snelle inzetbaarheid Geen lang inwerktraject. Ferocia-auditors zijn gewend om in te stappen, de context snel te doorgronden en direct waarde toe te voegen. Stevigheid en ‘zachtheid’ Een rechte rug en oog voor de organisatie. Onze mensen zijn analytisch sterk, maar ook communicatief vaardig en sensitief. Ze weten wanneer ze doorpakken, en wanneer ze eerst moeten luisteren. Aansluiting op jouw strategie We denken mee over meer dan alleen ‘wie heb je nodig’. We kijken naar wat je wilt bereiken met de inzet. Gaat het om continuïteit, versnelling, kennisoverdracht, vernieuwing? Hoe ziet de samenwerking eruit? 1. Intake die verder gaat dan de vacature Wij starten altijd met een goed gesprek. Over context, doelen, cultuur en verwachtingen. Alleen zo kunnen we de juiste match maken. 2. Profiel en persoonlijkheid We stellen alleen interim auditors voor waarvan we zeker weten dat ze passen bij jouw organisatie en opdracht. We kijken dus niet alleen naar het cv, maar ook naar houding, stijl en toegevoegde waarde. Oftewel de impact die en interim professional maakt. 3. Begeleiding en nazorg Onze interimmers staan er niet alleen voor. Ze maken gebruik van het Ferocia-netwerk van experts, opleidingen en intervisie. En wij blijven tijdens de opdracht in contact zodat je kunt bijsturen, opschalen of verlengen als dat nodig is. Waarom kiezen organisaties in interim auditor van Ferocia? Bij Ferocia zijn wij geen ‘cv-schuivers’. We zijn verbonden aan meerdere universiteiten, hogescholen en beroepsverenigingen waar wij het internal audit vakgebied doceren. Hierdoor weten we snel wat er speelt en kunnen we goed de match maken tussen de vraag en de ideale kandidaat. We werken niet voor iedereen, maar wel voor organisaties die het serieus nemen. Die zoeken naar kwaliteit, betrouwbaarheid en snelheid. En die begrijpen dat een goede interim auditor meer is dan tijdelijke bezetting, het is een kans om door te ontwikkelen. Onze opdrachtgevers kiezen ons omdat we: begrijpen wat het vak vraagt; werken met een netwerk van bewezen professionals; snel schakelen zonder in te boeten op kwaliteit; oog hebben voor mensen, cultuur en resultaat; scherpe tarieven hanteren en transparant zijn over onze marge; en SNA gecertificeerd zijn en volledig compliant zijn met de wet DBA. Tot slot: interim is geen tussenoplossing, het is een strategische keuze Interim inzet is geen zwaktebod. Het is een teken van kracht als je weet wanneer je externe hulp inschakelt, en hoe je daar het maximale uithaalt. Bij Ferocia geloven we dat een goede interim auditor het verschil maakt tussen aanmodderen en vooruitkomen en tussen ‘opvulling’ en echte versterking. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Versterk jouw IT-beheersing met een effectieve IT audits. Ontdek waarom IT auditing essentieel is voor veiligheid, compliance en continuïteit. Alle blogs Internal auditing IT-auditing De digitale transformatie is in volle gang. Organisaties automatiseren processen, slaan gevoelige gegevens op in de cloud en maken steeds vaker gebruik van algoritmes en AI. Daarmee neemt ook de afhankelijkheid van IT-systemen toe, en dus ook de risico’s. Maar hoe weet je of je IT-omgeving daadwerkelijk ‘in control’ is? Of je systemen veilig zijn? En of jouw organisatie voldoet aan relevante wet- en regelgeving? Hier komt de IT-auditor in beeld. In deze blog lees je wat IT-auditing is, waarom het onmisbaar is in moderne organisaties en wat de belangrijkste inzichten zijn voor het uitvoeren van een effectieve IT-audit. Wat is IT-auditing? Een IT-audit is een gestructureerd en onafhankelijk onderzoek naar de beheersing van IT-processen en -systemen binnen een organisatie. De IT-auditor beoordeelt of deze processen: betrouwbaar zijn; voldoen aan interne en externe normen; bijdragen aan de organisatiedoelen; voldoende beschermd zijn tegen risico’s, zoals datalekken of uitval. Het doel van een IT-audit is niet alleen om te controleren, maar vooral om inzicht te geven in risico’s en handvatten te bieden om deze te beheersen. Daarmee draagt een IT-audit direct bij aan de kwaliteit en continuïteit van bedrijfsvoering. Waarom is IT-auditing zo belangrijk? Waar lang geleden de focus van audits vooral lag op financiële en operationele processen zijn IT-audits vandaag de dag essentieel. Dat heeft drie belangrijke redenen: 1. Digitalisering raakt alle processen Vrijwel elke organisatie draait op digitale systemen. Van HR tot finance, van productie tot klantcontact, alles loopt via IT. Een storing of beveiligingslek kan direct impact hebben op de hele organisatie. 2. Regelgeving wordt strenger Wet- en regelgeving zoals de AVG, NIS2 of DORA stellen steeds hogere eisen aan informatiebeveiliging, privacy en beschikbaarheid. Een IT-audit helpt om aan te tonen dat je hieraan voldoet. 3. Complexiteit neemt toe Cloudomgevingen, ketenintegratie, third-party risico’s, legacy systemen: IT-omgevingen zijn complexer dan ooit. Dit vraagt om specialistische audits die verder kijken dan de standaard checklist. Wat onderzoekt een IT-auditor? Een IT-audit kan verschillende onderwerpen omvatten. Denk bijvoorbeeld aan: Informatiebeveiliging (Information Security) Zijn vertrouwelijkheid, integriteit en beschikbaarheid van data geborgd? Change management Worden wijzigingen in systemen gecontroleerd en goedgekeurd? Toegangsbeheer Hebben alleen bevoegde personen toegang tot systemen en gegevens? Continuïteitsbeheer Zijn er procedures bij calamiteiten? Is er een disaster recovery plan? IT-governance Zijn verantwoordelijkheden, beleid en controlemechanismen goed ingericht? Compliance Voldoet de organisatie aan relevante wet- en regelgeving? De scope van een IT-audit hangt sterk af van de risico’s die binnen een specifieke organisatie of sector spelen. De belangrijkste inzichten bij het uitvoeren van een IT audit 1. Begrijp het bedrijfsproces voor je de techniek induikt Een veelgemaakte fout is om meteen de techniek in te duiken. Een effectieve IT-auditor begint bij het bedrijfsproces. Wat is het doel van het systeem? Welke risico’s bedreigen dat doel? En welke IT-maatregelen zijn genomen om die risico’s te beheersen? De techniek is belangrijk, maar niet het vertrekpunt. Zonder procesinzicht mist je audit impact. 2. Werk met een helder normenkader Een IT-audit draait om toetsing en toetsing vereist een normenkader. Dat kan een standaard zijn (zoals COBIT, ISO27001 of NIST) maar ook intern beleid. Zorg dat je deze normen vooraf goed definieert en vertaalt naar toetsbare criteria. Zorg dat je met de opdrachtgever en eventueel de auditee dit normenkader goed afstemt. Alleen dan kun je op gestructureerde wijze beoordelen of de beheersmaatregelen effectief zijn en als dat niet zo is, zet je auditrapport aan te verbetering.. 3. Toon niet alleen gebreken, maar geef handelingsperspectief Een goed auditrapport laat niet alleen zien wat er fout gaat, maar ook hoe het beter kan. Kom samen met de 1 ste lijn tot concrete aanbevelingen en quick wins. Daarmee maak je jouw werk relevant voor het management en worden bevindingen ook echt worden opgepakt. 4. Zorg voor stakeholdermanagement Een IT-audit raakt vaak meerdere afdelingen: IT, security, operations, legal, etc.. Elke stakeholder heeft andere belangen en verwachtingen. Het is cruciaal dat je dit veld goed overziet, belangen scherp krijgt en open communiceert. Daarmee creëer je draagvlak en voorkom je weerstand. 5. Let op soft controls en gedrag Niet alleen systemen bepalen of een IT-omgeving veilig is. Ook gedrag speelt een belangrijke rol. Worden wachtwoorden gedeeld? Klikken medewerkers op phishinglinks? Is er voldoende security awareness? Een IT-audit die alleen op hard controls (zoals firewalls of toegangssystemen) focust, mist vaak de kern van het risico. Neem daarom ook cultuur en gedrag mee in je beoordeling. 6. Automatiseer waar mogelijk IT-auditors beschikken steeds vaker over tools voor data-analyse, continuous monitoring en geautomatiseerde toetsing. Maak hier slim gebruik van. Niet om het menselijke oordeel te vervangen, maar wel om sneller, breder en diepgaander te kunnen auditen. 7. Wees wendbaar en actueel IT-omgevingen veranderen snel. Wacht daarom niet altijd op een jaarlijkse audit, maar werk met flexibele en iteratieve audits. Zo blijf je relevant en sluit je beter aan bij de dynamiek van de organisatie. De toekomst van IT-auditing De komende jaren zal IT-auditing alleen maar belangrijker worden. Nieuwe technologieën brengen nieuwe risico’s: AI, blockchain, quantum computing. Tegelijkertijd groeit de behoefte aan zekerheid, transparantie en compliance. De IT-auditor van de toekomst is dan ook niet alleen technisch onderlegd, maar: · begrijpt businessprocessen; · kan risico’s vertalen naar impact; · communiceert effectief met bestuurders en techneuten; en · en blijft continu leren. Tot slot: investeren in kwaliteit loont Een goede IT-audit levert meer op dan alleen een rapport. Het creëert inzicht, versterkt de beheersing en vergroot het vertrouwen van stakeholders. Zeker in een wereld waarin data en technologie de kern van je organisatie vormen, is investeren in IT-auditing geen luxe maar noodzaak. Hoe Ferocia IT-auditing binnen jouw organisatie versterkt Bij Ferocia geloven we in IT-auditing als strategisch instrument. Een manier om niet alleen risico’s te beheersen, maar om organisaties sterker en wendbaarder te maken. Daarom ondersteunen wij organisaties op drie manieren: 1. Opleidingen en trainingen We leiden auditors op tot echte professionals die zelfstandig en met impact een audit kunnen uitvoeren. Denk aan onze postbacheloropleiding IT Auditing of de cursus IT voor auditors . Theorie en praktijk, met aandacht voor zowel hard controls als soft controls. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een IT-audit? Wij leveren ervaren IT-auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe IT-auditor? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek wat de VOR betekent voor internal audit. Lees hoe je de effectiviteit van risicobeheersing aantoont binnen het three lines model. Alle blogs Internal auditing, Risicomanagement, Interim en consultancy VOR en de impact op de internal auditor “Mag ik tekenen?” Het is de vraag die iedere Chief Audit Executive vroeg of laat krijgt van zijn CEO. Met de komst van de Verklaring Omtrent Risicobeheersing (VOR) wordt die vraag urgenter. Bestuurders moeten zich expliciet uitspreken over de opzet, werking en effectiviteit van de interne risicobeheersings- en controlesystemen. Niet alleen voor financiële verslaggeving, maar ook voor operationele, compliance- en duurzaamheidsrisico’s. Dat vergroot de relevantie van internal audit. In deze blog gaan we in op de centrale vraag: Wat is de rol van internal audit ten opzichte van de VOR? De VOR verandert de rol van internal audit niet… en toch ook weer wel Formeel wijzigt de rol van de internal auditfunctie (IAF) niet. De kerntaak blijft het objectief en onafhankelijk beoordelen van de opzet en werking van governance, risicomanagement en beheersing. Maar de context verandert wel, het bestuur moet voortaan: de effectiviteit van de risicobeheersing beoordelen; daarover verantwoording afleggen; en en in de bestuursverklaring aangeven welke mate van zekerheid de systemen bieden. Dit vraagt om een onderbouwing waar internal audit een bijdrage aan kan/moet leveren. Want de werkzaamheden van internal audit vormen een belangrijke pijler onder de VOR. Dat betekent dat auditors scherper moeten nadenken over: de reikwijdte van hun audits; de formulering van hun conclusies; de aansluiting met de risk appetite; en de samenhang met 1e en 2e lijn. Hiermee ‘dwingt’ de VOR internal audit om haar rol explicieter te positioneren binnen het totale ‘assurance’-landschap. De VOR en het Three Lines-model: wie doet wat? De VOR is primair geen verantwoordelijkheid van internal audit. Het bestuur is en blijft eindverantwoordelijk. De 1e lijn identificeert en beheerst risico’s. De 2e lijn ondersteunt en monitort. Internal audit fungeert als onafhankelijke derde lijn. Dat klinkt logisch maar in de praktijk zien we regelmatig: overlap in werkzaamheden; onduidelijkheid over verantwoordelijkheden; gaten in assurance; en/of dubbel uitgevoerde werkzaamheden. De VOR vergroot de noodzaak van het effectief en efficiënt samenwerken tussen de drie lijnen. Het IIA benadrukt het belang van afstemming tussen interne en externe assuranceproviders, zodat de dekking volledig is en inefficiëntie wordt voorkomen. Voor internal audit betekent dit: actief het gesprek voeren over de assurance-architectuur; inzicht hebben in wat de 1e en 2e lijn daadwerkelijk doen; en waar nodig lacunes signaleren. Een ‘assurance map’ is daarbij een praktisch instrument. Door per risicogebied inzichtelijk te maken wie welke zekerheid levert, ontstaat overzicht. Niet alleen voor audit, maar ook voor de 1 ste en 2 de lijn en juist voor het bestuur en de auditcommissie. Aanvullende zekerheid: meer dan bevindingen opsommen De rol van internal audit in relatie tot de VOR is het leveren van aanvullende zekerheid. Internal audit kan op verschillende manieren toegevoegde waarde bieden: 1. Audits op specifieke risicogebieden Operational audits, compliance audits en IT-audits. De bevindingen uit deze onderzoeken vormen bouwstenen voor het oordeel over de effectiviteit van beheersing. Maar let op: alleen bevindingen rapporteren is niet genoeg. De VOR vraagt om een uitspraak over effectiviteit. Dat betekent dat auditors hun observaties moeten plaatsen in de context van onder andere doelrealisatie en risicobereidheid. Een lijst met alleen tekortkomingen zonder duiding zegt namelijk weinig over de vraag of de organisatie haar doelen binnen acceptabele risico’s realiseert. 2. Audit van het risicomanagementproces Internal audit kan ook het proces van risicomanagement zelf beoordelen. Worden (materiële) risico’s volledig geïdentificeerd? Is de systematiek consistent? Wordt de effectiviteit periodiek beoordeeld? Met andere woorden: kan het bestuur op basis van het systeem redelijkerwijs tot een onderbouwde VOR komen? Dit zijn dus audit die niet zozeer gericht zijn op één proces, meer op het managementcontrol systeem als geheel. 3. Toetsing van de concept-VOR Internal audit kan ook beoordelen of de conceptverklaring verenigbaar is met haar bevindingen. Zitten er spanningen tussen auditrapportages en de gekozen formulering van zekerheid? Worden tekortkomingen adequaat benoemd en is de beheerscultuur in lijn met de conceptverklaring? Advies: waar ligt de grens? Naast assurance kan internal audit ook adviseren. Het IIA onderscheidt onder meer: Advies gericht op de onderbouwing van de VOR Advies gericht op de implementatie van de VOR Denk aan: het helpen opzetten van een assurancemap; reflecteren op de materialiteitsanalyse; adviseren over de inrichting van het IRCS; en meedenken over de formulering van zekerheid. Maar hier ligt een spanningsveld. Hoe dichter internal audit betrokken raakt bij de inrichting van het systeem, hoe scherper zij haar onafhankelijkheid moet bewaken. Zeker wanneer zij later hetzelfde systeem moet beoordelen. De mate van volwassenheid van de 2e lijn is daarbij een belangrijk uitgangspunt. In organisaties met een sterke risk- en compliancefunctie zal internal audit zich primair richten op het geven van objectieve en onafhankelijke aanvullende zekerheid. In minder volwassen omgevingen kan tijdelijk een meer faciliterende rol nodig zijn. De echte uitdaging: effectiviteit definiëren Misschien wel de grootste uitdaging rond de VOR is de interpretatie van begrippen als “effectiviteit” en “mate van zekerheid”. De Code laat ruimte voor organisaties om zelf te bepalen hoe zij deze begrippen invullen. Dat klinkt comfortabel, maar het betekent dat internal audit moet meedenken over: Wat verstaan wij onder effectieve beheersing? Wanneer vinden wij de zekerheid voldoende? Hoe verhoudt zich dat tot onze riskappetite? Een control kan technisch goed functioneren, terwijl het restrisico nog steeds hoog is. Een procedure kan bestaan, maar in gedrag worden genegeerd. Effectiviteit is méér dan aanwezigheid van maatregelen. Internal audit moet daarom verder kijken dan checklists. De internal auditor moet controls verbinden aan strategische doelstellingen, betrekt cultuur en gedrag in haar oordeel en durft een integraal oordeel te geven. Wat betekent dit concreet voor de internal auditor? De VOR stelt internal audit voor vijf concrete opgaven. 1. Denk vanuit het totaalplaatje Beperk je niet tot losse audits. Denk na over de samenhang. Hoe dragen jouw audits bij aan de onderbouwing van de VOR als geheel? 2. Stem actief af met 1e en 2e lijn Zorg voor een gedeeld risicoregister en voorkom dat iedereen met zijn eigen risicobeeld werkt. 3. Formuleer scherpere conclusies Durf je oordeel te expliciteren. Plaats bevindingen in het kader van effectiviteit en doelrealisatie. 4. Bewaak je onafhankelijkheid Adviseer waar nodig, maar blijf helder over je rol. Transparantie hierover richting het bestuur en de auditcommissie is essentieel. 5. Ga het bestuurlijke gesprek aan De VOR is geen technisch document. Het is een bestuurlijke verklaring. Internal audit moet daarom op bestuurlijk niveau kunnen sparren over (rest)risico’s, onzekerheden en doelrealisatie. Van controleur naar strategische partner De VOR biedt internal audit dus een kans, een kans om zichtbaar bij te dragen aan: versterking van governance; verbetering van risicomanagement; en transparantie richting stakeholders. En dat vraagt om meer dan alleen technische kennis. Het vraagt om oordeelsvorming, communicatieve kracht, organisatiesensitiviteit en professionele moed. De vraag “mag ik tekenen?” is niet met een simpel ja of nee te beantwoorden. Het antwoord zit in de kwaliteit van het samenspel tussen 1e, 2e en 3e lijn. Internal audit kan daarin het verschil maken. Niet door zelf de VOR te dragen maar door ervoor te zorgen dat het bestuur haar verklaring met overtuiging kan afleggen. En dat is misschien wel de grootste waarde van ons vak! Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Agile auditing maakt internal audits sneller en relevanter. Ontdek waarom wendbaarheid essentieel is voor auditors in een snel veranderende wereld. Alle blogs Internal auditing Agile auditing Risico’s veranderen sneller dan ooit. Organisaties worden wendbaarder, kortcyclischer en klantgerichter. En dat heeft directe gevolgen voor de manier waarop je als internal auditor je werk doet. De klassieke auditaanpak; zorgvuldig, diepgaand en vaak maanden onderweg schiet steeds vaker tekort. Niet omdat deze inhoudelijk niet klopt, maar omdat de wereld waarbinnen audits plaatsvinden inmiddels wel is veranderd. Agile auditing is het antwoord op die veranderde context. Wat is agile auditing? Verandering is de enige constante geworden. Organisaties opereren in een dynamische wereld waarin digitale transformaties, maatschappelijke verwachtingen en geopolitieke verschuivingen in hoog tempo op elkaar inwerken. Ook de risico’s waar zij mee te maken krijgen, ontwikkelen zich razendsnel. De klassieke auditaanpak, met vaste draaiboeken, lange voorbereidingstijden en rapporten die pas na maanden verschijnen, past niet meer bij die realiteit. Agile auditing is ontstaan als antwoord op deze veranderende context. Het is geen modieuze hype of cosmetische aanpassing van bestaande auditprocessen. Het is een fundamenteel andere manier van werken en denken. Een aanpak die is geïnspireerd op de principes van agile werken, zoals we die kennen uit softwareontwikkeling en projectmanagement, maar dan toegepast op het auditvak. De kern van agile auditing? Flexibiliteit: De audit volgt niet meer één rigide plan, maar past zich aan op basis van voortschrijdend inzicht. Iteratie: Er wordt gewerkt in korte, herhaalbare cycli met tussentijdse evaluatiemomenten. Samenwerking: Stakeholders worden vanaf de start betrokken en blijven continu aangesloten bij de audit. Transparantie: Bevindingen worden direct gedeeld, zodat verbeteringen sneller kunnen worden doorgevoerd. Waardecreatie: Niet het eindrapport, maar het effect op de organisatie is het ultieme doel. De agile auditor laat zich niet meer uitsluitend leiden door planning & control-cycli, maar anticipeert op urgente vraagstukken, verschuivende prioriteiten en risico’s die zich van de ene op de andere dag kunnen aandienen. Denk aan cyberdreigingen, plotselinge uitval in internationale ketens, reputatierisico’s of maatschappelijke druk rondom ESG-thema’s. Waarom kan agile auditing interessant zijn voor jouw organisatie? Voor veel organisaties voelt ‘agile’ nog als een buzzwoord. Maar wie zich verdiept in de uitgangspunten van agile auditing, ziet al snel dat het precies dat is wat nodig is in de praktijk: sneller schakelen, dichter op de business zitten, beter aansluiten bij de snelheid van besluitvorming. We zetten drie concrete voordelen op een rij: 1. Sneller en relevanter inzicht Traditionele audits duren vaak maanden, van voorbereiding tot rapportage. Tegen de tijd dat de uitkomsten op tafel liggen, is de realiteit alweer veranderd. Agile auditing maakt het mogelijk om sneller te starten en tussentijds waarde toe te voegen. Denk aan korte sprints waarin gericht op één risicogebied wordt ingezoomd. Of aan real-time feedbackloops, waarbij management direct kan handelen op basis van voorlopige bevindingen. 2. Meer betrokkenheid vanuit de business In agile audits wordt de auditee niet pas bij het eindrapport betrokken, maar vanaf dag één. De audit wordt geen verrassing achteraf, maar een gedeeld leerproces. Die co-creatie zorgt niet alleen voor meer draagvlak, maar ook voor scherpere inzichten en snellere opvolging. Audits worden zo niet iets ‘dat je overkomt’, maar iets waar je actief aan bijdraagt. 3. Beter inspelen op snel veranderende risico’s Sommige risico’s, zoals cultuurverandering, technologische disruptie of ketenafhankelijkheid zijn zo dynamisch dat een traditionele auditaanpak niet volstaat. Agile auditing maakt het mogelijk om die thema’s sneller te adresseren, voortgang te monitoren en flexibel bij te sturen. Voor organisaties die werken met scrumteams, zelforganiserende afdelingen of kortcyclische besluitvorming, is agile auditing bovendien een natuurlijke aanvulling. De auditor wordt een gesprekspartner die meebeweegt, in plaats van een controlerende partij die achteraf oordeelt. Onze visie op agile auditing Bij Ferocia zien we agile auditing niet als een tegenhanger van de klassieke audit, maar als een aanvulling. De essentie van ons vak, onafhankelijkheid, objectiviteit en vakmanschap blijft overeind. Wat verandert, is de vorm waarin we waarde leveren. Onze visie rust op vier pijlers: 1. Audit is een continu proces Risico’s stoppen niet zodra de audit is afgerond. Daarom zien wij agile auditing als een doorlopend proces van dialoog, reflectie en bijsturing. Agile auditing ondersteunt dat met kortcyclische momenten van feedback en interactie. 2. De auditor als partner in verandering De tijd dat de auditor uitsluitend ‘de politieagent van de organisatie’ was, ligt achter ons. De auditor van nu is een kritische vriend: onafhankelijk, maar niet afstandelijk. Betrokken, maar niet bevooroordeeld. Een partner die niet alleen risico’s signaleert, maar ook helpt om beweging te creëren. 3. Pragmatisme boven perfectionisme Natuurlijk blijft zorgvuldigheid essentieel. Maar in een agile audit zijn ‘good enough’ en ‘just in time’ ook belangrijk. Je hoeft niet alles 100% uit te zoeken voordat je een voorlopige conclusie deelt. Juist door sneller feedback te geven, kun je als auditor meer waarde toevoegen en eerder impact maken. 4. Leren staat centraal Agile auditing draait om het vergroten van het lerend vermogen van de organisatie. Door samen te reflecteren op risico’s, controles en gedrag, groeit de risicobewustwording. Auditing wordt daarmee een motor van continue verbetering. Hoe kan Ferocia je helpen bij agile auditing? De stap naar agile auditing vraagt om een andere mindset en een andere manier van werken. Bij Ferocia begeleiden we organisaties en auditors bij deze transitie, zowel in de vorm van opleidingen als via interim- en consultancytrajecten. 1. Opleidingen en trainingen Onze opleidingen zijn ontworpen om auditors stap voor stap vertrouwd te maken met de principes en praktijk van agile auditing. In onze trainingen besteden we aandacht aan: Scrum en agile principes toegepast op auditprocessen Stakeholdermanagement in een kortcyclische omgeving Tools en technieken om sneller tot inzichten te komen Soft skills zoals co-creatie, communicatie en iteratief adviseren We werken met realistische praktijkcases en simulaties, zodat deelnemers meteen kunnen oefenen met het toepassen van agile technieken binnen hun eigen context. 2. Interim en consultancy Heb je tijdelijk extra capaciteit nodig of wil je een agile auditproject uitvoeren met ondersteuning van een ervaren auditor? Onze consultants staan klaar. Ze brengen niet alleen vakinhoudelijke expertise mee, maar ook ervaring met agile werken in verschillende sectoren, van overheid en zorg tot finance en industrie. We helpen auditafdelingen om agile werkmethoden te implementeren, auditprocessen te herontwerpen en teams te begeleiden in de praktijk. Daarbij zorgen we altijd voor maatwerk: geen dogmatisch agile, maar precies die vorm die past bij jouw organisatie. Tot slot Agile auditing is geen doel op zich, maar een manier om als auditor relevant te blijven in een wereld die steeds sneller verandert. Het stelt je in staat om als volwaardige sparringpartner op te treden binnen een dynamische omgeving met oog voor snelheid, samenwerking en impact. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe Auditmethodiek 2.0 auditors helpt sneller, relevanter en effectiever te auditen met AI-ondersteuning. Verhoog direct de kwaliteit van je audit. Alle blogs Internal auditing Auditmethodiek 2.0 Een gestructureerde aanpak voor effectieve internal audits. De wereld van internal audit verandert razendsnel: digitalisering, strengere regelgeving en hogere verwachtingen van stakeholders maken dat traditionele auditmethoden steeds vaker tekortschieten. Auditteams moeten niet alleen controleren, maar ook richting geven en direct waarde toevoegen aan de organisatie. Auditmethodiek 2.0 is ontwikkeld om precies dat te doen: een gestructureerde, AI-ondersteunde aanpak die audits relevant, deugdelijk en doelmatig maakt en daarmee direct bijdraagt aan effectieve risicobeheersing en doelrealisatie. Auditmethodiek 2.0 Ferocia heeft Auditmethodiek 2.0 ontwikkeld om auditors en auditmanagers te helpen voldoen aan de snel stijgende eisen van het vak. Organisaties verwachten tegenwoordig snelle, bruikbare inzichten die direct bijdragen aan effectieve risicobeheersing en doelrealisatie. In de praktijk gaat dit nog vaak mis: voorbereidingen duren te lang of blijven te oppervlakkig, het taalgebruik tussen audit en organisatie sluit niet aan, bevindingen in rapportages worden niet herkend of erkend en actielijsten groeien zonder zichtbaar resultaat. Auditmethodiek 2.0 biedt hiervoor een gestructureerde, praktijkgerichte oplossing. De methodiek doorloopt drie fasen: voorbereiding, veldwerk en rapportage, en vertaalt elke stap naar concrete werkwijzen, ondersteund door speciaal ontwikkelde AI-agents die snelheid en kwaliteit verhogen. De methodiek sluit naadloos aan op de Global Internal Audit Standards (GIAS), zet de opdrachtgever centraal zonder concessies aan onafhankelijkheid en zorgt voor rapportages waar de organisatie daadwerkelijk verder mee kan. Auditmethodiek 2.0 is ontwikkeld voor auditors en auditmanagers die efficiënt relevante en kwalitatief hoogwaardige audits willen uitvoeren. Met deze methodiek krijgen zij een bewezen aanpak in handen die inspeelt op de informatiebehoefte van de organisatie en verbeteringen versnelt. Kwaliteitseisen voor audits Een goede internal audit voldoet aan drie fundamentele kwaliteitseisen: relevantie, deugdelijkheid en doelmatigheid. Deze eisen vormen samen de basis voor audits die daadwerkelijk bijdragen aan effectieve risicobeheersing en doelrealisatie. Relevantie De audit sluit aan op de kennisbehoefte van de opdrachtgever. Alleen wanneer de audit goed is afgestemd op de vragen en zorgen van de opdrachtgever, levert de audit bruikbare inzichten op. Relevantie begint bij een grondige verkenning van de informatiebehoefte van de opdrachtgever: wat moet deze audit opleveren en waarom is dat nu van belang? Deugdelijkheid De audit is methodologisch goed onderbouwd. Dat betekent dat de uitkomsten zijn gebaseerd op meerdere bronnen en dat de gevolgde werkwijze transparant en herleidbaar is. Een deugdelijke audit gebruikt een logisch opgebouwd referentiemodel, een goed doordacht testplan en past triangulatie toe bij de gegevensverzameling. Hierdoor ontstaan conclusies die overtuigend zijn. Doelmatigheid De audit wordt uitgevoerd met een efficiënte inzet van tijd en middelen. Er is een goede verhouding tussen de scope en diepgang van de audit enerzijds en de capaciteit en doorlooptijd anderzijds. Doelmatigheid vraagt om scherpe keuzes: niet alles hoeft onderzocht te worden. De audit moet snel tot de kern komen, zonder overbodige inspanning of vertraging. Auditmethodiek 2.0 is ontwikkeld om gericht invulling te geven aan deze kwaliteitseisen. De drie fasen van een audit Een effectieve audit doorloopt drie opeenvolgende fasen: voorbereiding, veldwerk en rapportage. In de voorbereidingsfase wordt de basis gelegd voor een succesvolle uitvoering. De auditor voert een vooronderzoek uit, inventariseert de kennisbehoefte van de opdrachtgever, stelt de scope en afbakening vast, formuleert de auditdoelstelling en stelt een referentiemodel, testplan en auditplanning op. Dit mondt uit in een door de opdrachtgever goedgekeurd auditontwerp. Zo wordt geborgd dat de audit relevant is en op een deugdelijke en doelmatige manier wordt uitgevoerd. De veldwerkfase draait om het systematisch verzamelen en analyseren van gegevens. De auditor past de in het testplan vastgelegde onderzoeksmethoden toe, zoals interviews, documentanalyses en observaties. De verzamelde gegevens worden vastgelegd in een datamatrix, die de basis vormt voor onderbouwde conclusies. In de rapportagefase worden de bevindingen vertaald naar heldere conclusies en, waar nodig, verbeteracties. Door bevindingen te bespreken met de opdrachtgever en eventueel de proceseigenaar, en samen oorzaken en verbeteracties te formuleren, ontstaat draagvlak voor opvolging. Binnen Auditmethodiek 2.0 wordt deze fase versterkt door het gebruik van de SPROA-systematiek en het faciliteren van workshops gericht op het achterhalen van oorzaken, zodat verbeteracties structureel effect hebben. Fase 1: Voorbereiding De voorbereidingsfase van Auditmethodiek 2.0 bestaat uit acht opeenvolgende stappen die samen waarborgen dat audits relevant, deugdelijk en doelmatig worden uitgevoerd. Stap 1. Uitvoeren vooronderzoek Het vooronderzoek vormt het startpunt van de audit en heeft als doel om in korte tijd een helder beeld te krijgen van het auditobject, de mogelijke problematiek en het krachtenveld. Dit vormt de basis voor een goed gefundeerde scope en afbakening. De auditor beantwoordt daarbij drie clusters van vragen: Auditobject Wat is de aard en functie van het auditobject? Uit welke deelobjecten bestaat het auditobject? Welke aspecten zijn van belang? Welke functionarissen spelen een rol? Welke (wettelijke en interne) kaders zijn van toepassing? Problematiek Welke (mogelijke) problemen spelen er? Wat zijn de achtergronden of oorzaken van deze problemen? Welke bijdrage moet de audit leveren? Krachtenveld Welke interne en externe factoren hebben invloed op de audit? Welke belangen, verwachtingen en gevoeligheden spelen er bij stakeholders? De auditor combineert in deze stap twee methoden om bovenstaande vragen te beantwoorden: Documentstudie, zoals beleidsstukken, procesbeschrijvingen, werkinstructies, rapportages, risicoregisters en relevante wet- en regelgeving. Interviews met sleutelpersonen, zoals proceseigenaren, teamleiders, en coördinatoren. AI kan in deze stap ondersteunen bij het snel in beeld brengen van mogelijke objectkenmerken, problemen en belanghebbenden. Met Ferocia’s AI-client kan dit op drie niveaus: door alleen het auditobject in te voeren, de branche te vermelden voor gerichtere output, of interne documenten toe te voegen. Hoe meer informatie u deelt, hoe specifieker de output, maar ook hoe meer (en mogelijk gevoeligere) gegevens u prijsgeeft. Stap 2. Inventariseren kennisbehoefte De tweede stap in de voorbereidingsfase is het inventariseren van de kennisbehoefte bij de opdrachtgever. Door middel van een interview met de opdrachtgever en eventueel de proceseigenaar wil de auditor achterhalen wat het doel is van het auditobject, wat eventuele problematiek is waar tijdens de audit rekening mee moet worden gehouden en welke inzichten de opdrachtgever verwacht. Om dit scherp te krijgen, beantwoordt de auditor samen met de opdrachtgever drie clusters van vragen: Auditobject Wat is volgens de opdrachtgever het doel van het auditobject? Welke aspecten zijn volgens de opdrachtgever van belang? Problematiek Welke incidenten hebben zich voorgedaan? Welke (mogelijke) problemen ziet de opdrachtgever? Waar maakt de opdrachtgever zich zorgen over? Verwachte inzichten Welke specifieke vragen moet de audit volgens de opdrachtgever beantwoorden? Wat gaat de opdrachtgever met deze inzichten doen? Bij het bepalen van de kennisbehoefte is het relevant om onderscheid te maken tussen twee typen audits, de systeemtoets en de performancetoets. Een systeemtoets richt zich op de kwaliteit van de beheersing die moet waarborgen dat doelstellingen structureel worden gerealiseerd. Een performancetoets richt zich op de doelrealisatie zelf: worden operationele doelstellingen behaald, klopt de jaarrekening en wordt voldaan aan wet- en regelgeving? Systeemtoets vs. performancetoets De kennisbehoefte kan afkomstig zijn van een intern gerichte opdrachtgever, zoals de raad van bestuur, directie of management, of van een extern gerichte opdrachtgever, zoals de raad van commissarissen of de externe accountant. Intern gerichte opdrachtgevers kiezen vaker voor systeemtoetsen, omdat deze inzicht geven in de kwaliteit van de beheersing en daarmee concrete handvatten bieden om processen en risicobeheersing verder te verbeteren. Extern gerichte opdrachtgevers hebben doorgaans meer behoefte aan performancetoetsen, zodat zij de resultaten kunnen vergelijken met andere organisaties of met de uitkomsten van eerdere audits. Soorten kennisbehoefte Overigens is de praktijk minder zwart-wit dan hierboven geschetst. Zo stellen sommige regels (zoals NEN-normen) ook eisen aan het systeem en toetst de externe accountant, voorafgaand aan de controle van de jaarrekening, het totstandkomingsproces van de jaarrekening, om zodoende inzicht te krijgen in de risico’s. Stap 3. Vaststellen scope en afbakening Het vaststellen van de scope en afbakening is een belangrijke stap in de voorbereidingsfase van de audit en is gebaseerd op de uitkomsten van het vooronderzoek en het gesprek met de opdrachtgever. Het bepaalt waar het onderzoek zich op richt en welke onderdelen bewust buiten beschouwing blijven. Een heldere scope verhoogt de kans dat de audit aansluit op de kennisbehoefte van de opdrachtgever, zorgt voor focus en voorkomt onnodig werk. Scope De scope beschrijft welk auditobject en welke aspecten binnen de reikwijdte van de audit vallen en waarom. Auditobject: dit is waar je naar kijkt. Een auditobject kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn. Aspect: dit is hoe je naar het auditobject kijkt. Hierbij gaat het om de invalshoek, zoals tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving. Scope Afbakening De afbakening beschrijft welke gerelateerde auditobjecten en aspecten buiten de audit vallen en waarom. Dit kan bijvoorbeeld zijn omdat ze niet relevant zijn voor de actuele kennisbehoefte, omzet ze recent al onderzocht zijn, of omdat er onvoldoende middelen beschikbaar zijn om ze te onderzoeken. Het expliciet vaststellen van de afbakening is minstens zo belangrijk als het vaststellen van de scope: het voorkomt onduidelijkheid en teleurstelling bij de opdrachtgever wanneer onderwerpen achteraf buiten beschouwing blijken te zijn gebleven. Stap 4. Formuleren auditdoelstelling De vierde stap in de voorbereidingsfase is het formuleren van de auditdoelstelling. Deze stap volgt logisch op het vaststellen van de scope en afbakening, omdat de doelstelling direct gebaseerd is op het gekozen auditobject, aspecten en het beoogde gebruik van de resultaten door de opdrachtgever. Een duidelijke auditdoelstelling zorgt voor richting tijdens de uitvoering van de audit en helpt om verwachtingen tussen auditor en opdrachtgever vooraf helder af te stemmen. Zo wordt voorkomen dat het onderzoek te breed of te smal wordt uitgevoerd of dat de opdrachtgever niet verder kan met de uitkomsten. De auditdoelstelling bestaat uit vier onderdelen: Het auditobject, inclusief eventuele deelobjecten. De aspecten die binnen de scope vallen (bijvoorbeeld tijdigheid, klantvriendelijkheid, doelmatigheid of compliance met wet- en regelgeving). De opdrachtgever, die de resultaten van de audit ontvangt en ermee aan de slag gaat. De relevantie (wat de opdrachtgever met de resultaten van de audit wil bereiken, bijvoorbeeld het onderbouwd kunnen besluiten of een proces geoptimaliseerd of uitbesteed moet worden). De auditdoelstelling wordt geformuleerd volgens het vaste stramien: “Het doel van de audit is vaststellen in hoeverre [auditobject] waarborgt dat [aspecten], teneinde [opdrachtgever] in staat te stellen [relevantie].” Voorbeeld Het doel van de audit is vaststellen in hoeverre het campagnebeheerproces waarborgt dat marketingcampagnes effectief, doelgroeppgericht en conform wet- en regelgeving worden uitgevoerd, teneinde de marketingmanager in staat te stellen de interne beheersing te verbeteren. Ook in deze stap kan AI ondersteuning bieden. Voor het formuleren van een heldere auditdoelstelling heeft Ferocia een AI-agent ontwikkeld. Door het auditobject, de aspecten die binnen de scope vallen en de opdrachtgever in te voeren, genereert de AI-agent direct een zorgvuldig geformuleerde doelstelling die voldoet aan de vereiste opbouw. Stap 5. Opstellen referentiemodel De auditdoelstelling vormt het uitgangspunt voor het opstellen van het referentiemodel. Dit model beschrijft de norm waartegen de werkelijkheid wordt getoetst. Het kan worden gebaseerd op bestaande risk- en controlframeworks (zoals COSO, INK of ISO), wet- en regelgeving (zoals AVG, DORA of Wft) of andere relevante theorieën, modellen en best practises. Het referentiemodel wordt niet achter het bureau opgesteld, maar in nauwe samenwerking met de opdrachtgever en/of de proceseigenaar. De eerste lijn is immers verantwoordelijk voor de kwaliteit van de risicobeheersing die moet waarborgen dat doelstellingen gerealiseerd worden. Co-creatie vergroot de kans dat de eerste lijn het referentiemodel herkent, erkent en er daadwerkelijk mee aan de slag gaat. Het referentiemodel bestaat bij een systeemtoets uit zes elementen: Auditobjecten Beheersdoelstellingen Risico’s Classificatie risico’s Beheersmaatregelen Classificatie beheersmaatregelen Auditobjecten Een auditobject is het (deel)object waarop dit deel van de audit zich richt. Dit kan bijvoorbeeld een proces, afdeling, project, systeem of thema zijn. Beheersdoelstellingen Een beheersdoelstelling beschrijft het gewenste resultaat van de interne beheersing. Een beheersdoelstelling wordt altijd gekoppeld aan een auditobject en geformuleerd als: “Beheersmaatregelen bieden een redelijke mate van zekerheid dat […].” Ook in deze stap kan AI ondersteuning bieden. Voor het formuleren van heldere beheersdoelstellingen heeft Ferocia een AI-agent ontwikkeld. Door de aspecten uit de auditdoelstelling een voor een in te voeren, genereert de AI-agent direct per aspect een zorgvuldig geformuleerde beheersdoelstelling die voldoet aan de vereiste opbouw. Risico’s Een risico is een mogelijke gebeurtenis die het behalen van de beheersdoelstelling in gevaar kan brengen. Een risico wordt altijd opgebouwd uit drie elementen: Gebeurtenis: wat kan er misgaan? Oorzaak: waardoor kan dit misgaan? Gevolg: wat is de impact als het misgaat? Doorgaans betreft dit het niet behalen van de beheersdoelstelling. Formuleer risico’s als volgt: “Er bestaat een risico dat [gebeurtenis], als gevolg van [oorzaak], wat kan leiden tot [gevolg].” Classificatie risico’s Risico’s worden geclassificeerd op basis van kans en impact. Kans geeft aan hoe waarschijnlijk het is dat het risico zich daadwerkelijk voordoet. Dit kan variëren van zeer onwaarschijnlijk tot zeer waarschijnlijk. Impact beschrijft de ernst van de gevolgen als het risico zich voordoet. Dit kan variëren van verwaarloosbare gevolgen tot zeer ernstige of onherstelbare gevolgen. Er wordt gewerkt met een vijfpuntsschaal voor zowel kans als impact. Door kans en impact met elkaar te vermenigvuldigen, ontstaat een risicoscore tussen 1 en 25. Hoe hoger de score, hoe groter de prioriteit om het risico te beheersen. Beheersmaatregelen Per risico worden een of meer beheersmaatregelen vastgesteld. Deze maatregelen zijn erop gericht het risico te mitigeren door óf de kans op het optreden van de oorzaak te verkleinen, óf de impact van het gevolg te beperken. Daarmee vergroten beheersmaatregelen de waarschijnlijkheid dat de beheersdoelstellingen daadwerkelijk worden gerealiseerd. Ze vormen de kern van effectieve risicobeheersing. We hanteren bij het formuleren van beheersmaatregelen de volgende opbouw: “[Wie] [wat] [wanneer] aan de hand van [waarmee] en [vastlegging].” Classificatie van beheersmaatregelen Beheersmaatregelen worden geclassificeerd op basis van hun rol in het beheersingsproces: Preventief: voorkomt dat een fout of incident optreedt. Detectief: signaleert dat er iets fout is gegaan. Correctief: corrigeert fouten of herstelt de situatie. Referentiemodel bij een systeemtoets Voorbeeld Auditobject: proces voor afhandelen van facturen van ingehuurde ZZP’ers Beheersdoelstelling: Beheersmaatregelen bieden een redelijke mate van zekerheid dat alle facturen tijdig worden verwerkt. Risico: Er bestaat een risico dat er onvoldoende capaciteit is om de facturen van ingehuurde ZZP’ers tijdig af te handelen als gevolg van inadequate personeelsplanning, wat kan leiden tot te late betalingen. Classificatie risico: 9/25 (kans: 3/5, impact: 3/5) Beheersmaatregel: De teamleider stelt maandelijks een personeelsplanning op aan de hand van de verwachte hoeveelheid facturen en de verlofplanning en legt deze als zodanig vast in het planningssysteem. Classificatie beheersmaatregel: Preventief Het referentiemodel bij een performancetoets is eenvoudiger van opzet dan bij een systeemtoets. Waar een systeemtoets de volledige keten van beheersdoelstellingen, risico’s en beheersmaatregelen analyseert, richt een performancetoets zich uitsluitend op het vaststellen in welke mate de doelstellingen daadwerkelijk zijn behaald. Bij het formuleren van de norm doorloopt de auditor een aantal denkstappen. Deze stappen helpen om scherp te krijgen wat er écht toe doet en hoe dit meetbaar kan worden gemaakt. Het gaat hier niet om losse onderdelen die in het referentiemodel worden opgenomen, maar om een denkkader waarmee de auditor tot een heldere en toetsbare norm komt. De denkstappen zijn: Kritische succesfactor (KSF): het aspect dat bepalend is voor het succes van het auditobject, zoals tijdigheid, klantvriendelijkheid of doelmatigheid. De KSF geeft richting aan wat essentieel is om de doelstellingen te bereiken. Maatstaf: de wijze waarop de KSF meetbaar wordt gemaakt, bijvoorbeeld in percentages, aantallen of doorlooptijd in dagen. De maatstaf vertaalt de succesfactor naar een concrete meeteenheid. Norm: de streef- of grenswaarde die aangeeft wanneer de prestatie als voldoende wordt beoordeeld. Dit is de uiteindelijke toetssteen die in het referentiemodel wordt opgenomen. Voorbeeld Auditobject: proces voor afhandelen van facturen van ingehuurde ZZP’ers Kritische succesfactor: Tijdigheid Maatstaf: Aantal dagen Norm: 99% binnen 30 dagen Referentiemodel bij een performancetoets Hoewel systeemtoetsen en performancetoetsen verschillende invalshoeken hebben, kunnen zij binnen één referentiemodel worden gecombineerd. Een gecombineerde opzet biedt zowel inzicht in de kwaliteit van de interne beheersing (systeemtoets) als in de mate waarin doelstellingen daadwerkelijk worden gerealiseerd (performancetoets). Ook in deze stap kan AI waardevolle ondersteuning bieden. Ferocia heeft een AI-agent ontwikkeld die op basis van het auditobject en de beheersdoelstelling, suggesties doet voor risico’s en bijbehorende beheersmaatregelen, inclusief hun classificatie. Hoe specifieker de context wordt ingevoerd (bijvoorbeeld branche, interne werkinstructies of relevante wet- en regelgeving), hoe beter de uitvoer aansluit op de praktijk van de organisatie. Standaard identificeert de AI-agent per beheersdoelstelling tien risico’s, elk voorzien van drie beheersmaatregelen inclusief classificatie. Stap 6. Opstellen testplan Het testplan beschrijft per beheersmaatregel op welke manier (met welke methoden en bronnen) wordt vastgesteld of de maatregel is ingericht en werkt. Er zijn drie verschillende methoden om dit te onderzoeken: Observatie Inhoudsanalyse Documenten Registraties (integraal of steekproef) Ondervraging van personen (Groeps)interviews (topic based) Enquêtes De keuze voor de onderzoeksmethode hangt af van wat je op basis van de omschrijving van de beheersmaatregel wilt vaststellen. Vaak is al direct te herleiden welke methode het meest voor de hand ligt en de grootste betrouwbaarheid biedt. Voorbeeld Als uit de beheersmaatregel blijkt dat functie X een bepaalde handeling moet uitvoeren en deze moet vastleggen in systeem Y, dan is het logisch om functie X te interviewen en in systeem Y te controleren of de vastlegging daadwerkelijk plaatsvindt. Indien mogelijk kan ook observatie worden toegepast om het proces rechtstreeks waar te nemen. Tests bij systeemtoetsen worden als volgt geformuleerd: “Stel vast door middel van [methode(n) voor gegevensverzameling] dat [te toetsen beheersmaatregel] bestaat en werkt.” Tests bij performancetoetsen worden als volgt geformuleerd: “Stel vast door middel van [methode(n) voor gegevensverzameling] in hoeverre [norm].” De betrouwbaarheid van de audit wordt verhoogd door zoveel mogelijk gebruik te maken van triangulatie: het combineren van verschillende onderzoeksmethoden, bronnen en/of onderzoekers bij het beoordelen van een beheersmaatregel. Triangulatie zorgt ervoor dat bevindingen worden bevestigd vanuit meerdere invalshoeken, wat de kans op een vertekend beeld verkleint. Tijdens deze stap wordt ook een bronnenmatrix opgesteld. Een bronnenmatrix geeft in één overzicht weer welke bronnen worden gebruikt om iedere beheersmaatregel te testen. Hieruit blijkt dus ook gelijk of triangulatie is toegepast. Bronnenmatrix Het testplan wordt doorgaans in een kolom naast het referentiemodel opgenomen. Tijdens het veldwerk worden hieraan de testresultaten en conclusies toegevoegd. Testplan AI kan je helpen bij het opstellen van het testplan. Ferocia heeft een AI-agent ontwikkeld die, op basis van het referentiemodel, automatisch een eerste opzet van het testplan genereert. Stap 7. Opstellen auditplanning De auditplanning maakt concreet welke activiteiten in welke volgorde plaatsvinden, hoe lang ze duren (doorlooptijd in weken) en hoeveel tijd het auditteam eraan besteedt (bewerkingstijd in uren). Dit overzicht helpt om realistische verwachtingen te scheppen, de werkdruk te verdelen en de voortgang te monitoren. Voorbeeld auditplanning Ook wordt een urenplanning per auditor opgesteld. Deze planning laat zien hoeveel werkuren iedere auditor aan de afzonderlijke auditactiviteiten besteedt. Het totaal aantal uren in deze individuele urenplanningen moet altijd exact overeenkomen met het totaal aantal uren in de auditplanning. Voorbeeld urenplanning per auditor Stap 8. Samenstellen auditontwerp In deze laatste stap worden de resultaten van alle voorgaande fasen samengevoegd tot één integraal document: het auditontwerp. Het auditontwerp bestaat uit: Aanleiding en kennisbehoefte Auditobject Problematiek Krachtenveld Kennisbehoefte Scope en afbakening Auditdoelstelling Auditplanning Bijlage: Referentiemodel en testplan Let op! Stem het auditontwerp altijd af met de opdrachtgever. Pas na akkoord kan het veldwerk van start gaan. Fase 2: Veldwerk In de tweede fase wordt het testplan uitgevoerd. Dit houdt in dat documentanalyses en steekproeven van registraties worden uitgevoerd, en dat de geplande observaties, interviews en enquêtes plaatsvinden. Stap 1. Verzamelen van gegevens De verzamelde gegevens/data worden vastgelegd in een datamatrix. Deze matrix is gebaseerd op de bronnenmatrix. Waar in de bronnenmatrix kruisjes aangeven welke bronnen per beheersmaatregel worden geraadpleegd, bevat de datamatrix per bron de verzamelde gegevens die als basis dienen voor de analyse. Datamatrix Stap 2. Analyseren van gegevens Om de verzamelde gegevens te kunnen analyseren, worden ze geclassificeerd volgens een scoresysteem. Veelal wordt hiervoor een vierpuntsschaal gehanteerd: · (--) De beheersmaatregel bestaat niet · (-) De beheersmaatregel werkt niet altijd · (+) De beheersmaatregel werkt vrijwel altijd · (++) De beheersmaatregel werkt altijd Datamatrix met scores Het is aan te raden om deze scores samen met een collega-auditor vast te stellen. Iedere auditor beoordeelt eerst zelfstandig de beheersmaatregelen, waarna de verschillen in scores gezamenlijk worden besproken. Op deze manier wordt consensus bereikt en de objectiviteit vergroot. Op basis van de modus (meest voorkomende waarde) of mediaan (middelste waarde) wordt vervolgens het testresultaat per beheersmaatregel bepaald. Soms is dit niet goed mogelijk, omdat de scores van de verschillende bronnen te veel van elkaar afwijken. In dat geval is uitbreiding noodzakelijk. Indien dit niet mogelijk is, is het beter om niet te oordelen. Eventueel kan er nog een wegingsfactor toegepast worden, als men bijvoorbeeld van mening is dat het antwoord van de directeur zwaarder of juist minder zwaar weegt dan het antwoord van de teamleider. Datamatrix met testresultaat Let op! Het samenvoegen (oprollen) van de testresultaten per beheersmaatregel tot een of meer conclusies is aan het professionele oordeel van de auditor. De datamatrix vormt de brug tussen de test enerzijds en het testresultaat anderzijds in het testplan. Het is niet alleen een praktisch hulpmiddel om objectief te bepalen of een beheersmaatregel bestaat en werkt, maar ook een krachtig communicatiemiddel richting de opdrachtgever. Met de datamatrix kan de auditor helder onderbouwen waar bevindingen op zijn gebaseerd. Hierdoor wordt de auditrapportage volledig reproduceerbaar en ontstaat er automatisch een duidelijke audittrail. Testplan en datamatrix Fase 3: Rapportage In de derde fase staat de rapportage centraal. Deze fase bestaat uit drie hoofdstappen: het opstellen en delen van het conceptrapport, het faciliteren van een workshop om oorzaken en verbeteracties vast te stellen, en het opstellen en delen van het definitieve rapport. Aansluitend volgt de monitoring van de afgesproken verbeteracties. Stap 1. Opstellen conceptrapport Het conceptrapport bevat: Aanleiding en kennisbehoefte Scope en afbakening Auditdoelstelling Conclusies Bijlage 1: Referentiemodel Bijlage 2: Nota van bevindingen De eerste drie onderdelen en het referentiemodel kunnen grotendeels ongewijzigd uit het auditontwerp worden overgenomen. De conclusies worden gebaseerd op de testresultaten. Daarnaast wordt een nota van bevindingen opgesteld volgens de SPROA-methodiek: een gestructureerd analysekader waarmee problemen helder worden beschreven en de basis wordt gelegd voor structurele oplossingen. In het conceptrapport worden per niet-werkende beheersmaatregel de eerste drie onderdelen van SPROA opgenomen: Situatie (S): Feitelijke bevindingen van de auditor zoals deze blijken uit de datamatrix en zijn vastgelegd in de testresultaten. Probleem (P): De constatering of er daadwerkelijk sprake is van een probleem ten aanzien van de beheersing (systeemtoets) of doelrealisatie (performancetoets), bedoeld om urgentie te creëren bij de opdrachtgever. Risico (R): De mogelijke gevolgen als het probleem zich voordoet (overeenkomstig het risico in het referentiemodel). De O (Oorzaak) en A (Actie) volgen pas in het definitieve rapport. Voorbeeld nota van bevindingen (SPR) Het conceptrapport wordt gedeeld binnen de vooraf afgesproken kring, in ieder geval met de opdrachtgever. Stap 2. Organiseren workshop In de tweede stap organiseert de auditor een workshop met betrokken managers en medewerkers uit de eerste lijn. Tijdens deze sessie worden: de achterliggende oorzaken van ineffectieve beheersmaatregelen onderzocht; concrete, SMART-geformuleerde verbeteracties opgesteld (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden); en voor elke actie een verantwoordelijke eigenaar en deadline vastgesteld. Door de verantwoordelijkheid voor de analyse en oplossingsvorming bij de eerste lijn zelf te beleggen, ontstaat meer draagvlak en eigenaarschap voor de uitvoering van de verbetermaatregelen. Stap 3. Opstellen definitief rapport In de derde stap wordt het conceptrapport aangevuld met de resultaten uit de workshop. Hiermee wordt de nota van bevindingen compleet gemaakt volgens de SPROA-methodiek, door de laatste twee onderdelen toe te voegen: Oorzaak (O): De achterliggende redenen van het probleem, zoals vastgesteld tijdens de workshop. Door de oorzaken weg te nemen, wordt een structurele oplossing mogelijk. Actie (A): De overeengekomen SMART-geformuleerde verbeteracties, inclusief de verantwoordelijke eigenaar en de afgesproken deadline. Het definitieve rapport wordt gedeeld binnen de vooraf afgesproken kring, met de opdrachtgever en andere relevante stakeholders, zodat de verbeteracties formeel zijn vastgelegd en de uitvoering kan starten. Voorbeeld nota van bevindingen (SPROA) Stap 4. Monitoring Na afronding van het definitieve rapport start de monitoringsfase. Het doel van monitoring is vaststellen of de overeengekomen verbeteracties daadwerkelijk zijn uitgevoerd en of de beoogde effecten zijn bereikt. Het gaat hierbij dus niet om het meten van inspanningen, maar om het beoordelen van effectiviteit: zijn de beheersmaatregelen nu wel in staat om het risico te mitigeren? De eerste lijn is primair verantwoordelijk voor deze monitoring. Zij leggen periodiek vast welke verbeteracties zijn afgerond en tonen aan of de beheersmaatregelen naar verwachting blijvend zullen werken. Dit noemen we ook wel first line monitoring. Indien uit de monitoring blijkt dat een maatregel nog steeds ineffectief is, wordt direct een nieuwe oorzaakanalyse uitgevoerd en worden aanvullende verbeteracties geformuleerd. De tweede lijn kan de voortgang steekproefsgewijs toetsen. De rol van de auditor (derde lijn) is het beoordelen van de kwaliteit van de eerste- en tweedelijnsmonitoring. Zo wordt gewaarborgd dat het risicobeheer structureel op orde blijft en iedere lijn haar eigen verantwoordelijkheid behoudt. Conclusie Auditmethodiek 2.0 biedt auditors een gestructureerde, praktijkgerichte aanpak waarmee audits niet alleen voldoen aan de hoogste kwaliteitseisen, maar ook aantoonbaar bijdragen aan doelrealisatie, effectieve sturing en robuuste risicobeheersing. Door de audit op te bouwen in drie fasen: voorbereiding, veldwerk en rapportage – en elke stap te ondersteunen met concrete werkwijzen, AI-tools en herkenbaar taalgebruik, wordt de kans vergroot dat de opdrachtgever de uitkomsten herkent, erkent en benut. Een belangrijk fundament hierbij is het referentiemodel, dat in co-creatie met de eerste lijn wordt opgesteld. Dit zorgt voor een gemeenschappelijk begrippenkader, verhoogt de objectiviteit en beperkt discussies over bevindingen, omdat vooraf overeenstemming is bereikt over de normen waaraan wordt getoetst. De inzet van de SPROA-methodiek in de rapportagefase en het faciliteren van workshops met de eerste lijn vergroten het draagvlak en leiden tot structurele verbeteringen. Door de monitoring bij de eerste lijn te beleggen en internal audit een toetsende rol te geven, verschuift de focus van inspanningscontrole naar effectmeting. Zo blijft het risicobeheer structureel geborgd, terwijl internal audit haar onafhankelijke rol behoudt en maximaal meerwaarde levert. Kortom: auditors die kiezen voor Auditmethodiek 2.0 zetten een belangrijke stap naar relevantere en impactvollere audits. Bronnen Bos, P. W., Korte, R. W., & Otten, J. (2017). Management control auditing: bijdragen aan doelrealisatie en verbetering . Auditing.nl . Driessen, A., & Molenkamp, A. (2012). Internal auditing: een managementkundige benadering . Vakmedianet. Hartog, P.A, Molenkamp A. & Otten J.H.M. (1992). Kwaliteit van administratieve dienstverlening: managen is integreren . Kluwer. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Wat verandert er met BIO2? Ontdek wat de nieuwe Baseline Informatiebeveiliging Overheid betekent voor auditors, CISO’s en risicomanagers binnen de overheid. Alle blogs IT-beheersing BIO2 Baseline Informatiebeveiliging Overheid 2: Wat verandert er voor auditors en risicomanagers? Overheden verwerken enorme hoeveelheden gevoelige informatie. Denk aan persoonsgegevens van burgers, financiële gegevens, beleidsdocumenten en vertrouwelijke communicatie. Burgers en bedrijven moeten erop kunnen vertrouwen dat deze informatie veilig wordt behandeld. Maar hoe borg je dat binnen duizenden systemen, processen en organisaties? Daarvoor is de Baseline Informatiebeveiliging Overheid (BIO) ontwikkeld. In 2026 is de opvolger geïntroduceerd: BIO2. Deze nieuwe versie sluit beter aan op actuele cyberdreigingen, internationale normen en nieuwe wetgeving zoals de Cyberbeveiligingswet (Cbw). Voor internal auditors, CISO’s, risk managers en compliance officers binnen de overheid betekent BIO2 meer dan alleen een update van een normenkader. Het vraagt om een andere manier van kijken naar informatiebeveiliging: risicogedreven, aantoonbaar en continu verbeterend. In deze blog bespreken we wat BIO2 precies is, wat er verandert en wat dit betekent voor professionals in audit, risk en control. Waarom een nieuwe versie van de BIO? Digitalisering binnen de overheid gaat snel. Steeds meer diensten worden digitaal aangeboden, systemen zijn gekoppeld in complexe ketens en er is toenemende afhankelijkheid van cloud- en IT-leveranciers. Tegelijkertijd nemen cyberdreigingen toe. De overheid heeft daarom behoefte aan een actueel en uniform normenkader voor informatiebeveiliging. De BIO2 heeft als doel om informatieveiligheid binnen alle overheidsorganisaties op een gemeenschappelijk basisniveau te brengen en tegelijkertijd vertrouwen te creëren tussen ketenpartners die gegevens met elkaar uitwisselen. De BIO2 is daarmee het centrale normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het beschrijft hoe organisaties informatiebeveiliging moeten inrichten, implementeren, onderhouden en verbeteren. De structuur van BIO2 De BIO2 bestaat uit twee onderdelen: Het BIO2-kader; de governance, principes en aanpak van informatiebeveiliging BIO-overheidsmaatregelen; concrete maatregelen die organisaties minimaal moeten implementeren Het kader beschrijft onder andere: de rol van bestuurders en CISO’s; het managementsysteem voor informatiebeveiliging (ISMS); risicomanagementprocessen; en monitoring en verantwoording. De maatregelen vormen de minimale invulling van informatiebeveiliging voor overheidsorganisaties en zijn gebaseerd op internationale standaarden zoals ISO 27001 en ISO 27002. De kern van BIO2: risicogedreven informatiebeveiliging Een belangrijk uitgangspunt van BIO2 is dat informatiebeveiliging niet alleen technisch is, maar vooral een kwestie van risicomanagement. Het proces bestaat uit vijf stappen: Context bepalen Risicomanagementmethodiek kiezen Risico’s identificeren Risicoanalyse uitvoeren Risicobehandeling en selectie van maatregelen Deze stappen vormen de basis voor het managementsysteem voor informatiebeveiliging (ISMS). Het doel is dat organisaties systematisch risico’s identificeren, analyseren en beheersen, en dit proces continu verbeteren. Voor auditors en risicomanagers betekent dit dat de focus verschuift van controle op losse maatregelen naar beoordeling van het gehele risicomanagementproces. Belangrijke thema’s binnen BIO2 Hoewel BIO2 honderden maatregelen bevat, zijn er een aantal thema’s die eruit springen. 1. Bestuurlijke verantwoordelijkheid BIO2 legt nadrukkelijk de verantwoordelijkheid bij de bestuurder van de organisatie. Bestuurders zijn verantwoordelijk voor: het treffen van passende beveiligingsmaatregelen; het goedkeuren van risicobehandelingsmaatregelen; en het toezien op de kwaliteit van de uitvoering. Daarnaast moeten bestuurders voldoende kennis hebben van cyberrisico’s en ervoor zorgen dat medewerkers regelmatig trainingen volgen. Dit betekent dat informatiebeveiliging niet langer alleen een IT-onderwerp is, maar een expliciet bestuurlijk vraagstuk. 2. De rol van de CISO De Chief Information Security Officer (CISO) krijgt binnen BIO2 een duidelijke positie. De CISO: coördineert informatiebeveiliging; adviseert bestuurders; vertaalt wetgeving naar beleid; en rapporteert over de implementatie van maatregelen. Belangrijk daarbij is dat de CISO niet verantwoordelijk is voor de uitvoering van beveiliging, maar voor advies en toezicht. De daadwerkelijke verantwoordelijkheid ligt bij het lijnmanagement. 3. Verplichte minimale maatregelen BIO2 bevat een uitgebreide set verplichte maatregelen, bijvoorbeeld op het gebied van: toegangsbeheer (zoals het toepassen van multi-factor authenticatie); leveranciersmanagement; incidentmanagement; kwetsbaarhedenbeheer; en logging en monitoring. Zo schrijft BIO2 bijvoorbeeld voor dat organisaties multi-factor authenticatie (MFA) moeten toepassen voor accounts met beheerrechten en internettoegang. Ook moet elke organisatie een meldloket voor informatiebeveiligingsincidenten hebben en incidenten systematisch registreren en opvolgen. Deze maatregelen vormen het minimale beveiligingsniveau binnen de overheid. 4. Leveranciers en ketenrisico’s Overheden werken steeds vaker met externe IT-leveranciers en cloudproviders. BIO2 besteedt daarom veel aandacht aan ketenbeveiliging. Organisaties blijven zelf verantwoordelijk voor de risico’s van uitbestede diensten. Dit betekent onder andere dat: beveiligingseisen onderdeel moeten zijn van contracten; leveranciers moeten aantonen dat zij aan beveiligingseisen voldoen; en organisaties audits bij leveranciers moeten kunnen uitvoeren. Voor auditors en risicomanagers wordt supply chain risk management daarmee een belangrijk auditgebied. 5. Continue monitoring en verbetering Informatiebeveiliging is volgens BIO2 geen eenmalig project, maar een continu proces. Organisaties moeten: regelmatig audits uitvoeren; risicoanalyses bijwerken; managementrapportages opstellen; en verbetermaatregelen implementeren. In veel organisaties resulteert dit in een jaarlijkse In Control Verklaring (ICV) over de staat van informatiebeveiliging. Wat betekent BIO2 voor internal auditors? Voor internal auditors verandert er relatief veel. De BIO2 vraagt namelijk niet alleen om controle op maatregelen, maar ook om beoordeling van: governance en verantwoordelijkheden; het risicomanagementproces; de werking van het ISMS; en de effectiviteit van beveiligingsmaatregelen. Auditors zullen daarom vaker kijken naar vragen zoals: Zijn risico’s systematisch geïdentificeerd en geanalyseerd? Is de rol van bestuurders en management duidelijk vastgelegd? Worden incidenten structureel geanalyseerd en gebruikt voor verbetering? Is de afhankelijkheid van leveranciers voldoende beheerst? De audit verschuift daarmee van technische compliance-checks naar brede governance-audits. Wat betekent BIO2 voor risicomanagers en CISO’s? Voor risicomanagers en CISO’s ligt de grootste uitdaging in het operationeel maken van de maatregelen. BIO2 bevat namelijk vooral tactische maatregelen. Organisaties moeten deze eerst vertalen naar concrete processen en technische oplossingen voordat ze geïmplementeerd kunnen worden. Dit vraagt onder andere om: duidelijke beleidskaders; volwassen risicomanagementmethodieken; goede samenwerking tussen IT, security en business; en structurele rapportage richting bestuur. BIO2 als startpunt De BIO2 biedt een stevig fundament voor informatiebeveiliging binnen de overheid. Maar het is geen garantie voor veiligheid. Cyberdreigingen blijven zich ontwikkelen. Organisaties zullen hun maatregelen daarom continu moeten aanpassen en verbeteren. De echte uitdaging zit daarom niet in het implementeren van een normenkader, maar in het creëren van een organisatie waarin informatiebeveiliging structureel onderdeel is van besluitvorming en risicomanagement. Voor auditors, CISO’s en risicomanagers ligt daar een belangrijke rol: zorgen dat informatiebeveiliging niet alleen op papier goed geregeld is, maar ook daadwerkelijk werkt in de praktijk. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

ISO 27001 praktisch toepassen? Ontdek hoe je met een slimme aanpak meer grip, minder ruis en betere beveiliging krijgt. Geen vinklijst, maar voorsprong. Alle blogs IT-beheersing ISO 27001 ISO 27001 in de praktijk: van vinklijst naar waardecreatie Informatiebeveiliging is allang geen uitsluitend IT-feestje meer. Bestuurders worden aangesproken op datalekken, klanten eisen zekerheid in de keten en toezichthouders letten scherper dan ooit op besturing en continuïteit. ISO 27001 helpt die druk om te zetten in grip. Niet met nog een stapel documenten, maar met een werkend managementsysteem dat past bij de organisatie, de risico’s en de ambities. In deze blog nemen we je mee langs de essentie van ISO 27001, de vernieuwingen uit de 2022-revisie en vooral, hoe je het verschil maakt in de dagelijkse praktijk van audit, risk en control. Wat ISO 27001 wel is (en wat niet) De kern van ISO 27001 is eenvoudig en herkenbaar: bepaal wat je wilt beschermen, beoordeel je risico’s, kies passende beheersmaatregelen en verbeter continu. De norm is opgebouwd rond de Plan–Do–Check–Act-cyclus en stelt eisen aan context, leiderschap, planning, ondersteuning, uitvoering, prestatiemeting, interne audit, managementreview en verbetering. In de ISO-standaard staat een set informatiebeveiligingsmaatregelen waaruit je onderbouwd selecteert. Het gaat dus niet om het afvinken van elk punt dat je tegenkomt, maar om het maken van keuzes die passen bij je eigen risico’s. Dat is meteen de belangrijkste misvatting die veel organisaties hebben: ISO 27001 is risicogedreven, niet controlegedreven. De Statement of Applicability (SoA) is daarom geen bijlage achterin, maar het dagelijkse stuurdocument waarin je vastlegt welke maatregelen je wel en niet toepast, met redenen onderbouwd en met vastgelegd eigenaarschap. Die risicogedreven aanpak vraagt om discipline en om realisme. Het heeft geen toegevoegde waarde om elk denkbaar risico met ingewikkelde formules te kwantificeren als het management vooral behoefte heeft aan duidelijke scenario’s, heldere drempelwaarden en beslispunten. De kracht van ISO 27001 zit juist in het verbinden van beleid, processen en gedrag. Pas als teams weten wie waarvoor verantwoordelijk is, hoe ze afwijkingen dienen te melden en wanneer ze moeten escaleren, ontstaat echte beheersing. Wat is er veranderd in 2022? De 2022-revisie heeft de structuur aangescherpt en de maatregelen geactualiseerd. In plaats van een losse lijst werk je nu met vier duidelijke domeinen: organisatorisch, mensgericht, fysiek en technologisch. Nieuwe maatregelen sluiten beter aan op moderne risico’s, zoals ontwikkelen met security-by-design, het gebruik van cloudservices en de paraatheid van ICT voor bedrijfscontinuïteit. Denk aan onderwerpen als threatintelligence, configuratiemanagement, informatie-verwijdering, data-masking, data-lekkagepreventie, monitoringactiviteiten, webfiltering, fysieke beveiligingsmonitoring en secure coding. De toevoeging van attributen, labels die aangeven met welk concept of welke eigenschap een maatregel samenhangt, maakt het eenvoudiger om de SoA logisch te ordenen en om KPI’s te koppelen aan wat je werkelijk belangrijk vindt. De praktische uitkomst is dat de ISO-standaard beter aansluit op hoe organisaties vandaag werken: cloud-gebaseerd, in ketens en met agile teams. Tegelijkertijd ligt de lat hoger. Aantoonbaarheid telt. Je zult moeten laten zien dat maatregelen niet alleen bestaan op papier, maar dat ze ook effectief zijn in de praktijk. De businesscase: waarom dit meer is dan certificeren Organisaties investeren in ISO 27001 om meerdere redenen, en die zijn niet allemaal extern gedreven. Natuurlijk helpt het bij het aantonen van beheersing richting klanten, leveranciers en toezichthouders. Maar net zo belangrijk is de interne winst: minder dubbel werk, duidelijk eigenaarschap en besluitvorming op basis van feiten in plaats van aannames. Incidenten zullen nooit helemaal verdwijnen, maar een goed ingericht managementsysteem beperkt de impact en verkort de hersteltijd. Wie ISO 27001 inzet als middel om prestaties te verbeteren, wint het meest. Dat vraagt om meer dan een project richting certificering; het vraagt om verankering in de organisatie en in de besturing. De norm wordt dan geen formaliteit, maar een taal om met elkaar te praten over risico’s, prioriteiten en keuzes. Een route die werkt, zonder stapels lijstjes Het begint met een scope die klopt. Te breed maakt het onwerkbaar, te smal maakt het zinloos. Koppel de scope daarom aan de waardeketen: welke processen, locaties, systemen en ketenpartners dragen direct bij aan de waarde die je levert? Zodra die afbakening staat, volgt een gesprek over context en belanghebbenden. Wat zijn de strategische doelen, wat is de risk appetite, welke wettelijke en contractuele eisen gelden? Het is opvallend hoeveel duidelijkheid ontstaat als je dit inzichtelijk maakt; veel discussies later in het traject verdwijnen dan vanzelf. Daarna komt governance. Leg beleid, rollen en beslisprocessen vast, maar houd het licht en bruikbaar. Benoem wie beslist over risicoacceptatie, wie eigenaar is van specifieke maatregelen en hoe afwijkingen worden geregistreerd en opgevolgd. Kies vervolgens een risicomethodiek die past bij je organisatie. Je hoeft niet te vervallen in schijnnauwkeurigheid met mathematische modellen; scenario’s die het management herkent werken vaak beter. Een goede inventarisatie van informatie-assets, van applicaties tot integraties en uitbestede diensten, maakt de analyse concreet. Koppel elk asset aan een eigenaar en leg vast wat de vertrouwelijkheid, integriteit en beschikbaarheid betekenen in die context. De SoA is hiervoor het geëigende document. Selecteer maatregelen op basis van risico’s en leg per maatregel de scope, de eigenaar, de manier van testen en de indicatoren vast. Daarmee wordt de SoA een werkdocument dat richting geeft aan prioriteiten en dat teams helpt om keuzes uit te leggen. De implementatie volgt dan stukje bij beetje, ingeweven in de bestaande processen: wijzigingsbeheer, toegangsbeheer, back-ups, logging, incidentafhandeling, leveranciersmanagement en secure development. Training en bewustwording zijn geen losse campagnes, maar onderdeel van de manier van werken. Teams moeten weten wat ze doen, waarom ze het doen en wanneer ze hulp inschakelen. Tot slot maak je de cirkel rond met meten, interne audits en managementreviews. Niet om achteraf vinger te wijzen, maar om continu te verbeteren. Kies een paar sturende indicatoren en bespreek die structureel. Laat data het gesprek leiden, leg besluiten vast en borg de opvolging. De rol van Internal Audit: toetsen op effectiviteit Internal Audit voegt de meeste waarde toe waar naleving overgaat in inzicht en leren. Het begint bij de vraag of de gekozen maatregelen logisch voortkomen uit de risico’s. Sluit een maatregel aan op het proces, of is het een generiek voorschrift dat vooral werk toevoegt? Vervolgens kijk je naar de werking in de praktijk. Wordt de maatregel consequent toegepast en is het gedrag geborgd? In veel gevallen helpt het om data centraal te zetten: denk aan doorlooptijden van patches, trends in mislukte aanmeldingen, resultaten van hersteltests of de doorlooptijd van kritieke kwetsbaarheden vanaf ontdekking tot fix. Zulke gegevens helpen om conclusies te onderbouwen en om verbeteracties scherp te formuleren. Zachte factoren tellen ook. Hoe reageren teams op incidenten? Is er ruimte om fouten te melden zonder gezichtsverlies? Worden lessons learned zichtbaar toegepast in procedures en tools? Door aandacht te hebben voor cultuur en gedrag krijgt de auditbevinding meer diepte en is de kans op duurzame verbetering groter. Vergeet ten slotte de keten niet. Contractuele afspraken met leveranciers zijn belangrijk, maar ze zeggen weinig als je niet ook de feitelijke prestaties volgt. Vraag rapportages op, bespreek openstaande bevindingen en test waar nodig cruciale maatregelen zelf. Meten wat ertoe doet en ernaar sturen Meten heeft alleen zin als je ernaar stuurt. Veel organisaties verdrinken in dashboards, maar missen richting. Kies daarom enkele indicatoren die iets zeggen over snelheid, herstelvermogen en discipline. Doorlooptijden van patches per risicoklasse geven bijvoorbeeld inzicht in wendbaarheid. Herstelpercentages en hersteltijden bij back-ups vertellen of je klaar bent voor het moment dat het misgaat. Toegangsbeheer laat zich goed volgen via uitzonderingen op het least-privilege-principe en de snelheid waarmee accounts na uitdiensttreding worden beëindigd. In de keten kun je kijken naar het aandeel kritieke leveranciers met een actueel assurance-rapport en naar de veroudering van openstaande bevindingen. In DevOps-omgevingen zegt het percentage ‘builds’ dat wordt geblokt door kritieke kwetsbaarheden veel over de volwassenheid van secure development. Het gaat niet om veel meten, maar om gericht meten en consistent bespreken en waar nodig verbeteren. Veelgemaakte fouten en hoe je ze voorkomt De eerste valkuil is beginnen vanuit maatregelen in plaats van vanuit risico’s. Het levert een papieren werkelijkheid op, maar geen betere beveiliging. Start daarom bij de waardestromen en de scenario’s die je het meest pijn kunnen doen. Een tweede valkuil is het zien van het ISMS als documentenset. Zonder duidelijke koppeling naar processen en gedrag is het vooral window-dressing. Koppel elke maatregel aan een eigenaar, een moment in het proces en een manier van toetsen. Een derde misser is het beperken van de scope tot IT. Informatie zit overal: in processen, in mensen en in de keten. Betrek daarom ook afdelingen zoals HR, Legal, Inkoop en Operations en maak beveiliging organisatie breed. Een vierde probleem is een SoA die niet stuurt, bijvoorbeeld omdat hij alleen bestaat uit ja/nee-vinkjes. Voeg de reden van keuze, de scope, de testwijze en de KPI’s toe. Dan wordt het een volwaardig stuurdocument. Tot slot worden leveranciers vaak onderschat. Cloud en uitbesteding verplaatsen het risico niet; ze veranderen het. Leg eisen vast, toets de praktijk en plan een exit. Daarmee voorkom je verrassingen als de relatie verandert of eindigt. ISO 27001 in een agile en cloud-realiteit Agile en DevOps vragen om snelheid. Dat lijkt lastig te combineren met aantoonbare beheersing, maar in de praktijk versterken ze elkaar als je het goed inricht. Beveiligingsregels leg je vast als code. Baselines voor configuratie worden templates, waardoor afwijkingen automatisch aan het licht komen. De SoA koppel je aan pipelines en monitoring, zodat bewijsmateriaal ontstaat terwijl teams hun werk doen. In cloudomgevingen werkt het principe van gedeelde verantwoordelijkheid alleen als het expliciet is. Documenteer wat de provider doet en wat jij moet doen, en toets beide delen. Secure coding veranker je in de Definition of Done en je zet geautomatiseerde scans in om kwetsbaarheden vroeg te vinden. Infrastructure-as-Code behandel je net zo serieus als applicatiecode, inclusief reviews en scheiding van rollen. ISO 27001 schrijft niet voor hoe je dit precies doet, maar eist dat je kunt aantonen dat het werkt. Dat geeft ruimte om snelheid en beheersing te combineren. Integratie met privacy en continuïteit Veel organisaties combineren ISO 27001 met ISO 27701 en ISO 22301. Dat is logisch, want privacy en continuïteit raken direct aan informatiebeveiliging. Door beleid, rollen en KPI-structuren te koppelen, voorkom je dubbel werk en creëer je één besturingscyclus. Een datalek wordt dan niet alleen gezien als beveiligingsincident, maar ook als privacy-kwestie met meldplichten en als test voor je crisisorganisatie. Zo ontstaat samenhang die in audits zichtbaar waarde toevoegt. Morgen beginnen zonder grote woorden Als je morgen wilt beginnen, hoef je geen grote campagne te starten. Het helpt om vijf scenario’s te benoemen die je absoluut wilt voorkomen, bijvoorbeeld verlies van klantdata, langdurige uitval van een belangrijk systeem of misbruik van een admin-account. Leg vast waarom deze scenario’s belangrijk zijn, wie eigenaar is en welke maatregelen al bestaan. Werk je asset-inventaris bij voor de processen die hierop ingrijpen en wijs eigenaars toe. Pak de SoA erbij en breng hem op orde: beschrijf per maatregel de reden van toepassing, de scope, de eigenaar, de manier van toetsen en de indicatoren. Kies vervolgens een handvol stuurindicatoren en plan een vast overleg waarin je de trends bespreekt en besluiten vastlegt. Laat een interne audit uitvoeren op ontwerp en werking van enkele cruciale ketenprocessen, bijvoorbeeld klant-onboarding of change-management. Oefen ten minste één herstelscenario en vertaal de uitkomsten naar verbeteracties. Kijk tot slot naar de afspraken met leveranciers: staan beveiligingseisen, auditrechten en exit-criteria helder genoeg in de contracten en worden ze ook nageleefd? Tot slot ISO 27001 is geen certificaat om in de hal op te hangen. Het is een manier van werken waarin risico’s, maatregelen en gedrag elkaar versterken. Met een scherpe scope, een SoA die richting geeft en audits die de effectiviteit van maatregelen toetsen, groeit informatiebeveiliging uit tot wat het moet zijn: een enabler van je strategie. Wie vandaag begint met kleine, gerichte stappen, merkt snel dat gesprekken over beveiliging minder defensief worden en dat keuzes beter zijn onderbouwd. Dat is de echte winst: minder ruis, meer resultaat. Wil je sparren over je ISO-aanpak, je SoA laten aanscherpen of een interne audit laten uitvoeren op je ISMS? Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek waarom beheersmaatregelen falen en los structurele problemen op met onze diepgaande oorzaakanalyse op gedrag en cultuur. Alle blogs Gedrag en cultuur Oorzaakanalyse op gedrag en cultuur Van symptoombestrijding naar structurele oplossing Een internal auditor beoordeeld o.a. de kwaliteit van de risicobeheersing. Soms blijkt uit de audit dat een maatregel niet effectief is. De auditor geeft aanbevelingen en als er geen weerstand is bij het management, worden de aanbevelingen uitgevoerd. En toch keert bij de volgende audit dezelfde bevinding terug. De maatregel werkt nog steeds niet. Niet omdat mensen onwillig zijn of “het niet wisten”, maar omdat in sommige situaties de echte oorzaak dieper ligt. Vaak ligt die oorzaak dan in motieven van medewerkers die niet stroken met de papieren werkelijkheid, in waarden die botsen en/of in overtuigingen en ongeschreven regels die het dagelijkse handelen sturen. Precies daar begint onze aanpak. Ferocia biedt een diepgaande oorzaakanalyse op gedrag en cultuur. We kijken voorbij de zichtbare symptomen en onderzoeken waarom de maatregel in de praktijk niet werkt. Door die onderstroom expliciet te maken, ontstaat een ander beeld van de oorzaak en andere acties om het geconstateerd probleem structureel op te lossen. Dat doen we samen met het management en de medewerkers die verantwoordelijk zijn voor de niet werkende beheersmaatregel. Want zij kennen het werk, de context en de signalen die een beheersmaatregel vormgeven. Wat bedoelen we met gedrag en cultuur? Gedrag zie je. Het is wat mensen doen en laten, wat ze zeggen, hun reflexen en de routines van het team. Cultuur is het onzichtbare draaiboek dat dit aanstuurt. Het zijn de stille spelregels die we van elkaar overnemen: wat hier normaal is, wat wordt beloond, wat risico heet en wat onbespreekbaar blijft. Je leest cultuur niet in een handboek; je merkt haar bij de koffieautomaat, in de stand-up, aan de bestuurstafel en op de vrijmibo. Je hoort haar in wie het woord pakt, hoeveel tegenspraak past, welke fouten we delen en welke we liever onder het tapijt schuiven. Van “bijsturen” naar begrijpen waarom het misgaat Na een reguliere audit volgt vaak een vertrouwd ritueel: auditors geven aanbevelingen, het management neemt de aanbevelingen over, een deel van de aanbevelingen worden ook daadwerkelijk uitgevoerd en het andere deel blijft eindeloos op actielijsten staan waarbij de deadline continu verschoven wordt. Maar wat als uit een vervolg audit (of 2 de lijnscontrole) blijkt dat dezelfde bevinding terugkomt? Dan is er in de meeste gevallen meer aan de hand. Dan speelt er ‘onder water’ iets waardoor oppervlakkige acties of aanbevelingen geen effect meer hebben. Onder water zitten overtuigingen, aannames en (onbewuste) patronen die een sterke invloed hebben hoe mensen handelen. Denk aan de overtuiging dat snelheid altijd voorrang heeft op zorgvuldigheid. Of aan een teamnorm die zegt dat je elkaar in het overleg niet publiek corrigeert. Of aan een beloningsstructuur die “brandjes blussen” meer waarde geeft dan “incidenten voorkomen”. In zo’n context zal het gedrag zich herhalen, hoe goed de maatregel ook is beschreven. Onze oorzaakanalyse is ontworpen om die onderliggende overtuigingen, aannames en patronen zichtbaar te maken. We reconstrueren waarom het op dat moment logisch voelde om zo te handelen. Welke waarde gaf de doorslag? Welke mentale modellen kleurden het handelen? Welke informele regel maakte de uitzonderingsroute acceptabel? Door die vragen te beantwoorden, verschuift het gesprek van schuld naar inzicht, en van nog meer maatregelen naar de juiste ingreep op het juiste niveau. Binnen Ferocia hebben we twee type dienstverlening om de oorzaken op gedrag en cultuur in beeld te brengen als beheersmaatregelen blijvend niet effectief zijn. Hoe gaan we tewerk als je nog geen beeld hebt waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Een interactieve workshop. We starten bij de bevinding(en) uit de audit. We organiseren groepsinterviews met de direct betrokken medewerkers en lopen stap voor stap terug naar het beslismoment. Wie was erbij? Welke informatie was beschikbaar? Welke druk speelde? Welke doelen concurreerden? We luisteren naar woorden die veel zeggen, bijvoorbeeld: “even snel”, “voor deze klant maken we een uitzondering”, “zo doen we dat hier”. In die reconstructie zoeken we naar de onderliggende patronen, waarden en motieven die ten grondslag hebben gelegen aan de handelingen. Bijvoorbeeld het markeren van een change als “spoed”, het aftekenen van een contract zonder tweede paar ogen of het schuiven met bevoegdheden “omdat het nu eenmaal moet”. De data uit de groepsinterviews worden vervolgens geanalyseerd waarna de patronen van een team of afdeling in beeld worden gebracht. In een zogenaamde validatieworkshop wordt de analyse gedeeld en besproken, waarna de concrete actiepunten opgesteld worden. Deze actiepunten kunnen plaatsvinden op drie niveaus: het herontwerpen van de beheersmaatregel en/of risico, het versterken van gewenst gedrag en het gericht sturen op cultuur (denk aan feedback-rituelen, rolmodellen en teamafspraken). Hoe gaan we tewerk als je wel een beeld hebt waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Het IPPA-model Heb je een duidelijk beeld waar de mogelijke oorzaken liggen op het gebied van gedrag en cultuur? Dan is het IPPA-model van het IIA een zeer effectief en praktisch hulpmiddel de diepere oorzaken te onderzoeken die schuilgaan achter falende beheersmaatregelen of uitblijvende resultaten Denk aan zaken als verantwoordelijkheid nemen, aanspreekcultuur of samenwerking binnen teams. We starten met het bepalen van de kritieke people-process-combinaties: waar is gedrag cruciaal om een proces goed te laten functioneren? Vervolgens gebruiken we het gedragsrepertoire van IPPA, bestaande uit meer dan 80 gedragsaspecten om scherpe interviewvragen te formuleren. Daarmee krijgen we zicht op wat mensen daadwerkelijk doen, waarom ze dat doen en hoe dat past binnen de cultuur van de organisatie. Daarna analyseren we de data en verbinden deze aan de risico’s en beheersmaatregelen. Ten slotte worden de inzichten vertaald naar concrete en uitvoerbare acties. Deze verbeteractie kunnen ook hier plaatsvinden op drie niveaus: het herontwerpen van de beheersmaatregel en/of risico, het versterken van gewenst gedrag en het gericht sturen op cultuur. Het mooie is: IPPA biedt structuur zonder star te zijn. Het geeft richting aan het gesprek over gedrag, zonder te vervallen in vage termen. En het maakt soft controls concreet. Samen met de mensen die het werk doen Een diepgaande oorzaakanalyse naar gedrag en cultuur kan alleen maar met de direct betrokken medewerkers. Hun overtuigingen, aannames en patronen moeten namelijk inzichtelijk worden gemaakt. Daarom reconstrueren we deze diepgaande oorzaakanalyse niet over mensen, maar met mensen. We maken het veilig om te spreken over overtuigingen en dilemma’s, zonder beschuldigende toon. We laten zien dat gedrag logisch is gegeven de prikkels en verhalen in de organisatie. Daardoor ontstaat eigenaarschap: niet omdat het moet, maar omdat het klopt. Het effect van samenwerken is tweeledig. We krijgen rijkere data, omdat mensen zich herkennen in wat er werkelijk speelt. En de verbetering vindt sneller plaats, omdat dezelfde mensen die het moeten waarmaken hebben meegedacht over het ontwerp. Van inzicht naar ingreep die blijft werken Een goede analyse eindigt met handelingsperspectief. Geen dikke rapporten, wel heldere keuzes. Vaak gaat het om gerichte aanpassingen die samen het gedrag kantelen. We koppelen afspraken aan concrete beslispunten, niet aan abstracte intenties. We leggen vast wie waarover beslist als waarden botsen, hoe afwijkingen worden gemeld zonder verlies van gezicht, en hoe we leren van incidenten zonder jacht op schuldigen. Zo blijft de maatregel niet alleen op papier overeind, maar ook in de praktijk, juist onder druk. Wat levert dit concreet op? Allereerst verdwijnen terugkerende bevindingen. Niet omdat we ze beter formuleren, maar omdat de oorzaak is aangepakt. Beheersmaatregelen gaan doen waarvoor ze ooit zijn ontworpen. De opvolging van auditbevindingen wordt korter en effectiever, omdat maatregelen logisch voelen voor de uitvoering. Incidenten worden eerder en vollediger gemeld, waardoor de leercurve stijgt en het rest-risico daalt. Daarnaast verbetert de kwaliteit van de dialoog tussen internal audit en de 1 ste lijn. Management en medewerkers spreken dezelfde taal over risico’s en waarden. De geloofwaardigheid richting bestuur, toezichthouder en auditor groeit: je kunt uitleggen hoe gedrag en cultuur bijdragen aan beheersing en hoe je dat zichtbaar maakt in resultaten. Op langere termijn kan de auditor concrete invulling geven aan haar rol als strategisch adviseur van het bestuur, door de uitkomsten van meerdere diepgaande oorzaakanalyse op gedrag en cultuur in samenhang te analyseren. Dit levert organisatie brede inzichten op waarom we bepaalde zaken juist wel of juist niet weren. Door de diepgaande oorzaakanalysebouw werk je aan veerkracht. Teams ontwikkelen een gedeelde reflex om spanning te herkennen en vroeg te adresseren. Controls worden eenvoudiger omdat ze aansluiten op de manier waarop mensen werkelijk werken. Dat maakt naleving minder zwaar en betrouwbaarder. Waarom Ferocia? Wij verbinden vaktechniek met gedragskunde. We spreken de taal van audit, control, risk en compliance en weten tegelijk hoe je menselijk gedrag duurzaam beïnvloedt. Onze aanpak is nuchter, snel en precies. We brengen de onderstroom naar boven in duidelijke taal, ontwerpen interventies die passen bij de realiteit van jouw organisatie en verankeren ze in ritmes die je al hebt. Geen extra bureaucratie, wel een blijvende verandering in hoe beslissingen worden genomen als het spannend is. Klaar om van vinken naar veranderen te gaan? Als uit de audit blijkt dat een beheersmaatregel niet werkt, kun je opnieuw bijsturen en hopen op een beter resultaat. Of je kunt begrijpen waarom de maatregel niet landt en precies dáár ingrijpen waar gedrag en cultuur de koers bepalen. Kies je voor dat laatste, dan helpen wij je graag. Met een diepgaande oorzaakanalyse die motieven, waarden en overtuigingen zichtbaar maakt. Met oplossingen die niet alleen vandaag werken, maar blijven werken. En met een samenwerking waarin de mensen die het moeten doen, het ook willen doen, omdat het klopt! Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Schrijf auditrapporten die echt impact maken. Ontdek hoe je met heldere taal, visuele kracht en strategische focus actie bereikt. Alle blogs Internal auditing Auditrapporten die wel leiden tot actie Je kent het scenario vast. Als internal / operational auditor steek je weken, soms maanden, in je audit. Je plant interviews, analyseert processen, legt verbanden en scherpt je bevindingen aan tot ze precies kloppen. Met een gevoel van voldoening zet je de laatste punt in je rapport, je stuurt het op en bespreekt de rapportage met je opdrachtgever… En daarna, niets. Je auditrapport verdwijnt, letterlijk of figuurlijk, in een la. Geen opvolging, geen discussie en belangrijker nog geen verandering ter wel hier wel aanleiding voor is. Het werk dat je erin hebt gestopt, haalt nauwelijks rendement. Hoe voorkom je dat jouw rapport de vergetelheid in glijdt?Het antwoord zit ‘m in het schrijven van een auditrapport dat niet alleen wordt gelezen, maar dat ook beweging veroorzaakt. Een rapport dat gesprek, besluitvorming en actie in gang zet. In deze blog ontdek je hoe je jouw auditrapport inzet als aanjager van een verandering en niet als administratief eindproduct. Van auditrapporten naar interventies Een effectief auditrapport is meer dan een opsomming van bevindingen. Het is in de kern een interventie, een instrument dat richting geeft aan beslissingen, verbeteringen in gang zet en gedrag beïnvloedt. Dat vraagt om een andere mindset. Zie je rapport niet als de afronding van je werk, maar als het startpunt van verandering. Een sterk rapport: Activeert gesprekken op directieniveau. Maakt risico’s en kansen concreet. Verbindt conclusies met strategische prioriteiten. Zet de lezer aan tot handelen om de geconstateerde bevindingen op te lossen. 1. Begin bij de basis: een gedragen auditontwerp Een audit is een toetsend onderzoek aan een vooraf vastgestelde norm. Maar wat als de ontvanger van het rapport die norm niet kent, of er simpelweg niet achter staat? Dan kun je bevindingen presenteren wat je wilt, maar de kans dat ze landen is klein. De sleutel ligt in het voortraject. Zorg dat je het auditontwerp expliciet afstemt met je opdrachtgever en/of auditee: Stel de norm samen met de opdrachtgever en/of auditee op De 1 ste lijn is immers ‘eigenaar’ van de beheersmaatregelen in zijn/haar processen. Eigenaarschap van de 1 ste lijn bij het auditontwerp of opdrachtbrief waarborg eigenaarschap bij de rapportage. Toets herkenning Herkent de auditee zich echt in de gekozen criteria? Maak afspraken over definities en hoe je je audit gaat uitvoeren Zo voorkom je discussies achteraf. Een gedragen norm aan de voorkant, is de beste garantie voor een gedragen rapport aan de achterkant. 2. Zet de kern voorop in je auditrapporten Veel auditrapporten verliezen hun impact al op de eerste pagina. De reden? Ze starten met achtergrondinformatie, methodologie en context. Waardevolle elementen, maar niet als opening.Lezers in het management willen één ding weten: wat betekent dit voor ons? Begin daarom met de kern. Beantwoord direct deze drie vragen: Wat is er aan de hand, wat heb je als auditor gevonden? Wat is precies het probleem? Vaak omschreven als beheersmaatregelen die er niet zijn of niet werken. Hoe erg is dat in de vorm van het risico dat de organisatie loopt. Je kunt dit vormgeven in een krachtige managementsamenvatting. Een korte, to-the-point intro zorgt dat je lezer meteen snapt waarom dit rapport relevant is. 3. Schrijf begrijpelijk Vakjargon is de sluipmoordenaar van impact. Je wilt dat je rapport wordt gelezen door bestuurders, managers en teamleiders die niet dagelijks in auditmethodiek zitten. Als zij je niet begrijpen, haken ze af. Vermijd daarom wollige, afstandelijke formuleringen.Niet: “Er is sprake van een suboptimale borging van interne controlemaatregelen.” Wel:“In 7 van de 8 dossiers hebben wij gezien dat… Hier werkt beheersmaatregel x niet wat leidt tot het risico Y. 4. Visualiseer waar mogelijk Ons brein verwerkt beelden sneller dan tekst. Door visuele elementen in je auditrapporten op te nemen, verhoog je de kans dat de boodschap blijft hangen. Denk aan: Infographics die oorzaak-gevolg relaties laten zien. Heatmaps of dashboards voor risico-inschatting. Visuele samenvattingen van kernbevindingen. Procesflows om verbeterpunten te illustreren. Zorg ervoor dat je visuals in één oogopslag de essentie laten zien. Een drukke, complexe grafiek zonder toelichting werkt averechts. 5. Verbind bevindingen aan organisatiedoelen en compliance Door de bevinding af te sluiten met het benoemen van het risico (zie opbouw bij 3) leg je direct de koppeling met de organisatiedoelen en/of compliance. Risicobeschrijvingen zijn namelijk opgebouwd, gebeurtenis, oorzaak en gevolg. In het gevolg ligt vaak de relatie met de doelstelling of compliance. Hierdoor wordt direct de impact van de bevinding duidelijk, wat leidt tot meer acceptatie en veranderbereidheid. 6. Betrek de 1ste bij het opstellen van de aanbevelingen De auditor toets objectief en onafhankelijk wat goed gaat en wat niet goed gaat. Vaak in de vorm of beheersmaatregelen en zijn of niet en/of werken of niet. De 1 ste lijn is verantwoordelijk voor de kwaliteit van de beheersing. Als de auditor heeft vastgesteld dat bijvoorbeeld een beheersmaatregel niet werkt, betrek dan de 1 ste lijn bij het formuleren van de oorzaken en aanbevelingen. Zij zijn immers toch verantwoordelijk dat de niet werkende beheersmaatregel weer gaat werken. Organiseer daarom een workshop met de 1 ste lijn om samen met hun de oorzaken te achterhalen en de aanbevelingen te formuleren. de kans dat zelf geformuleerde aanbevelingen opgepakt worden is namelijk vele malen groter dan opgelegde aanbevelingen! Uiteraard moet de auditor ook het gevoel hebben dat de geformuleerde aanbevelingen de bevinding blijvend oplost. Formuleer de aanbeveling altijd concreet: Wie doet wat , wanneer. Wie stelt wanneer vast dat de uitgevoerde aanbeveling ook daadwerkelijk het probleem heeft opgelost. 7. Stimuleer het gesprek Wil je dat jouw rapport werkelijk impact maakt? Dan moet het gesprek erover plaatsvinden, liefst meteen na publicatie. Praktische tips: Plan direct na oplevering een bespreking met opdrachtgever en sleutelpersonen. Stuur vooraf een korte visuele samenvatting zodat deelnemers voorbereid zijn. Gebruik de bijeenkomst om prioriteiten te bepalen, niet om bevindingen voor te lezen . Je doel is dat de betrokkenen het rapport ervaren als een hulpmiddel om vooruit te komen, niet als een beoordelingsverslag waar ze zich tegen moeten verdedigen. 8. Houd rekening met de ‘leeswens’ van je gebruiker Niet iedereen leest rapporten op dezelfde manier. Sommige personen wegen elk woord, andere bladeren direct naar de conclusies. Pas je opmaak en structuur hierop aan: Voor detailgerichte lezers: zorg voor volledige bijlagen en bronvermeldingen. Voor besluitgerichte lezers: zet kernpunten in kaders of tabellen. Voor visueel ingestelde lezers: werk met kleurcodes, iconen en grafieken. 9. Maak het menselijk Uiteindelijk gaat auditing over mensen, over hoe zij werken, beslissen en veranderen. Een goed auditrapport laat dat zien. Benoem waar gedrag, cultuur of samenwerking invloed hebben op de risico’s of verbeterpunten. Door niet alleen op processen te focussen, maar ook op menselijk handelen, maak je je rapport relevanter en praktischer. 10. Blijf leren van je eigen rapporten Het schrijven van impactvolle auditrapporten is een vaardigheid die je kunt aanscherpen. Evalueer daarom na afloop: Welke aanbevelingen zijn opgevolgd? Welke niet – en waarom niet? Hoe hebben ontvangers het rapport ervaren? Waren er onderdelen die verwarring opriepen? Gebruik deze feedback om je volgende rapport nog effectiever te maken. Conclusie Een auditrapport dat in een la belandt, is zonde van al je inspanning en van de kans om de organisatie vooruit te helpen. Door te starten met de kern, begrijpelijke taal te gebruiken, visuele ondersteuning te bieden en je bevindingen te koppelen aan de organisatiedoelen, vergroot je de kans dat jouw rapport leidt tot echte actie. Zie je rapport niet als afsluiting, maar als startpunt. Dan wordt het geen papieren eindproduct, maar een middel dat beslissingen versnelt, risico’s bespreekbaar maakt en het lerend vermogen van de organisatie versterkt. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl