Zoekresultaten

Ontdek hoe internal audit gedrag en cultuur onderzoekt met IIA Topical Requirement Organizational Behavior, IPPA en Behavioral Auditing 2.0 Alle blogs Gedrag en cultuur Organizational Behavior Navigeren in het landschap van cultuur en gedrag Van Topical Requirement naar drijfveren voor gedrag: keuzes en consequenties Jan Otten · 4 juni 2026 "Van fouten kunnen we alleen maar leren. We zullen de lijn nogmaals wijzen op de procedures en ze waar nodig aanscherpen." Zo reageert een manager na een auditbevinding. De auditors verlaten opgewekt de bespreking. De manager geeft het juiste antwoord. Iedereen kan met een goed gevoel naar huis. Maar een vraag verdient aandacht: is hier werkelijk iets geleerd? Of is dit precies het patroon dat ervoor zorgt dat dezelfde problemen over twee jaar opnieuw in het auditrapport staan? Dit voorbeeld is geen uitzondering. Het is de regel. En het raakt precies de kern van wat er mis kan gaan als internal auditors gedrag onderzoeken zonder te kijken naar wat dat gedrag aandrijft. Dit artikel gaat over die kern. Over de Topical Requirement Organizational Behavior, die eind 2025 door het IIA is gepubliceerd. Over wat die standaard wint, en wat hij verliest. En over een methodiek die wil kijken waar de meeste audits niet komen: de drijfveren, mentale modellen en motieven die gedrag van mensen sturen. Het momentum is er We staan in 2026 op een interessant moment. Drie krachten zorgen samen voor ongekend momentum rond cultuur en gedrag als auditthema. De eerste is de Nederlandse Corporate Governance Code 2025, die cultuur expliciet als verantwoordelijkheid van het bestuur benoemt. Het bestuur moet kunnen aantonen dat het die verantwoordelijkheid neemt. Internal audit is de natuurlijke partner van bestuur en auditcommittee om die zichtbaarheid te leveren. De tweede is de IIA Topical Requirement Organizational Behavior zelf. Eind 2025 gepubliceerd, vanaf eind dit jaar een verplichte standaard. Als gedrag het onderwerp is van een audit, of als gedragskwesties tijdens een audit opduiken, moet de auditor de eisen van het topical requirement toetsen. Daarbij geldt het principe comply or explain, en IIA Nederland stelt dat de verplichting betrekking heeft op het evalueren en uitleggen van de toepassing van de vereisten, niet op het auditen van het topic zelf. De derde kracht is de Nederlandse traditie. Er is een sterke academische traditie rond soft controls, en er zijn auditteams die hebben aangetoond dat gedrag gestructureerd onderzocht kan worden, binnen normale doorlooptijden en met gewone capaciteit. Dat momentum is goed nieuws. Maar het is ook het moment om scherp te kijken naar wat de Topical Requirement precies biedt, en wat hij niet biedt. De Topical Requirement: een doorbraak en een keuze Het IIA maakt in de Topical Requirement Organizational Behavior een beweging die op het eerste gezicht aantrekkelijk klinkt. Van cultuur, vaag, subjectief en moeilijk te toetsen, naar gedrag, observeerbaar, meetbaar en beinvloedbaar. De standaard vraagt in essentie drie dingen. Ten eerste governance: bestuur en directie monitoren gedragsindicatoren. Ten tweede risk management: gedragsrisico's worden geidentificeerd, geanalyseerd en gemonitord. Ten derde controls: procedures schrijven voor hoe medewerkers beslissingen nemen en werkzaamheden uitvoeren. Dat is een serieuze stap voorwaarts ten opzichte van waar internal audit tien jaar geleden stond. Maar de Topical Requirement maakt drie impliciete keuzes die de auditor moet doorzien. Anders implementeer je een raamwerk dat netjes voldoet aan de eisen, maar dat je niet bij de oorzaak van incidenten brengt. En dat in het slechtste geval helemaal niet past bij hoe jouw organisatie haar mensen wil aanspreken. Drie impliciete keuzes die alles bepalen 1. Het verlies van het cultuurbegrip Het IIA neemt bewust afscheid van de term cultuur. Het argument: cultuur is te subjectief, te moeilijk te toetsen. Dus verschuiven we naar observeerbaar gedrag. Maar wat is observeerbaar gedrag in de auditpraktijk? Of een procedure is gevolgd. Of er een melding is gedaan. Een verloopcijfer. Een aantal klachten. Kortom: de papieren werkelijkheid, wat de organisatie zelf van zichzelf heeft vastgelegd. En hier wringt het. Om met die data een audituitspraak te doen die ergens toe leidt, moet de auditor toch interpreteren. Wat betekent het als er nul keer gebruik is gemaakt van de escalatieprocedure? Dat alles prima is, of dat melden niet veilig voelt? Het IIA heeft het interpretatieprobleem niet opgelost. Het heeft het verplaatst, en het heeft het onzichtbaar gemaakt. De auditor die met zogenaamd objectieve gedragsindicatoren werkt, doet alsof hij niet interpreteert. Maar hij interpreteert wel. Alleen nu zonder dat de methodiek hem daarin ondersteunt. 2. Een impliciete cultuurfilosofie Er zijn in de organisatiekunde twee fundamenteel verschillende manieren om naar cultuur te kijken. De eerste zegt: een organisatie heeft een cultuur. Cultuur is iets wat je kunt aanwijzen, meten en sturen. Trek aan de juiste hendels en de cultuur beweegt mee. Dit is het functionalisme. De tweede zegt: een organisatie is een cultuur. Cultuur is niet een knop op het dashboard, maar het hele weefsel waarin mensen zin geven aan hun werk. Je kunt het begrijpen, en met dat begrip een gesprek voeren. Dit is de symbolisch-interpretatieve benadering. De Topical Requirement kiest impliciet voor de eerste benadering. Gedrag wordt een variabele in het GRC-model: meten, monitoren, sturen. Niets mis met die keuze op zichzelf, maar wat je opgeeft is het zicht op alles wat zich niet als variabele laat vangen. Drijfveren. Mentale modellen. De stille afspraken die mensen onderling hebben over wat hier wel en niet kan worden gezegd. Precies daar zit waar grote schandalen vandaan komen. Niet uit een gat in de governance, maar uit een collectief begrepen wij doen dit hier zo, en daar praten we niet over. 3. Een impliciete beheersstrategie Dit is het meest kritieke punt. Een organisatie kan haar mensen op twee manieren beheersen. Beide zijn legitiem. De keuze hangt af van wat de organisatie doet en hoe zij naar haar mensen kijkt. De eerste strategie is naleving. Gedrag wordt gestuurd via regels, procedures, controls, monitoring en sancties. De vooronderstelling: zonder structuur wijken mensen af. Beheersing zit in de structuur. Een grote bank, een productiebedrijf, een uitvoeringsorganisatie met routinewerk en hoge externe regeldruk. Daar past naleving. De tweede strategie is stimulering. Gedrag wordt mogelijk gemaakt door de professionele motieven van mensen aan te spreken. Vakmanschap, beroepsethiek, intrinsieke kwaliteitsdrang. De vooronderstelling: mensen handelen vanuit professionele motieven. Beheersing zit in vakmanschap, dialoog en wederzijds vertrouwen. Een ziekenhuis, een advocatenkantoor, een universiteit, een onderzoeksbureau. Daar werkt naleving juist averechts. De Topical Requirement past bij naleving, en alleen bij naleving. Kijk naar de drie pijlers: governance is monitoren van indicatoren, risk management is identificeren en bewaken, controls zijn procedures die voorschrijven hoe medewerkers handelen. De hele vocabulaire is naleving. Voor een ziekenhuis dat vraagt of de gedragsattributen die kritisch zijn voor de strategische doelen gedefinieerd en gemonitord zijn, antwoordt de chirurg fronsend dat zij dat niet als attributen hebben vastgelegd, want dat zit in de professionele standaard. Dat ziekenhuis heeft niet onvoldoende controls. Het heeft een andere beheersstrategie, een legitieme. En de Topical Requirement geeft geen instrument om die filosofie in haar eigen termen te beoordelen. Voordat je de Topical Requirement op je organisatie loslaat, moet je dus eerst vaststellen welke beheersstrategie jouw organisatie voert. Dat is een gesprek dat je met bestuur en auditcommittee moet voeren. Voorbij de stippellijn Stel je het model in Figuur 1 voor. Een stippellijn stelt de control-infrastructuur voor: codes, procedures, governance, monitoring. Wat de organisatie zegt belangrijk te vinden, en formeel heeft geregeld. Binnen die stippellijn speelt zich het werkelijke gedrag af. Maar dat gedrag wordt niet primair gestuurd door de stippellijn. Het wordt gestuurd door mentale modellen: de stille overtuigingen en aannames van waaruit mensen feitelijk handelen, vaak zonder zich daarvan bewust te zijn. Die mentale modellen worden gevoed van twee kanten: door organisatie-culturele processen en door sociaal-psychologische processen zoals groepsdruk, hierarchie en gezichtsverlies vermijden. Figuur 1 · De stippellijn: control-infrastructuur en de mentale modellen die gedrag werkelijk sturen De Topical Requirement audit de stippellijn. De werkelijke drijfveren vallen buiten zijn gezichtsveld. Twee methodieken gaan verder. IPPA: Integrated People Process Auditing IPPA is een toolbox die in 2018 is ontwikkeld en die eind 2024 is overgenomen door IIA Nederland. De toolbox bestaat uit meer dan 80 gedragsaspecten, uitgewerkt in evaluatiecriteria en voorzien van honderden interviewvragen. Een kwart tot een derde van de gedragsaspecten heeft ook gedragsobservatie-instrumenten. IPPA maakt het gedrag zelf onderzoekbaar, niet alleen de effecten ervan. Behavioral Auditing 2.0: een andere school Behavioral Auditing 2.0 stelt een wezenlijk andere vraag dan de Topical Requirement. Niet: wat zijn de effecten van gedrag, en past het bij wat we willen sturen? Maar: welke drijfveren, mentale modellen en motieven sturen mensen naar het gedrag dat we zien? En dat vaak zonder dat zij of hun leidinggevenden het doorhebben. Dat verschil bepaalt of een aanbeveling werkt of niet. De manager die zegt dat hij de lijn nogmaals zal wijzen op de procedures, werkt aan de effecten van gedrag. Twee jaar later doet zijn opvolger hetzelfde opnieuw. Niets is veranderd, want de drijfveren zijn niet aangeraakt. De analyse-output van een Behavioral Audit 2.0 is een patroonkaart. Geen score, geen verkeerslicht, maar een gestructureerde beschrijving van een terugkerend gedragspatroon. Figuur 2 toont een voorbeeld. Die patroonkaart bestaat altijd uit vijf vaste elementen. Een exacte patroonbeschrijving, inclusief de conditie waaronder het patroon optreedt. Bewijsankers: letterlijke citaten uit interviews die het patroon illustreren, wat een perfecte audittrail oplevert. Instandhoudende mechanismen: de informele regels, impliciete beloningsstructuren en defensieve routines die het patroon in stand houden. Dat is precies wat een nalevingsmethodiek niet kan zien. Impact en risico's: de consequenties voor de organisatie. En handelingsalternatieven: startpunten voor de dialoog, geen aanscherping van procedures. Figuur 2 · Voorwaardelijke openheid onder hiërarchische druk. Voorbeeld van een patroonkaart uit een Behavioral Audit 2.0 In een doorsnee Behavioral Audit resulteert de analyse in 8 tot 12 patroonkaarten. Vijf patronen die in vrijwel elke auditpraktijk terugkomen: controls overslaan om targets te halen, managers die meldingen ontmoedigen, informatie achterhouden in besluitvorming, fouten die worden afgestraft in plaats van geanalyseerd, en incentives die excessieve risico's belonen. Deze vijf zijn niet zelf de risico's. Ze zijn de zichtbare verschijning van onderliggende drijfveren. Behavioral Auditing 2.0 werkt onder beide beheersstrategieeen, maar de uitkomst landt anders. Onder een nalevingsstrategie wordt de patroonkaart een diagnose: welke patronen ondermijnen de werking van onze controls? Onder een stimuleringsstrategie wordt hij een gespreksinstrument: welke patronen ondermijnen onze professionaliteit? AI als bondgenoot Het hart van Behavioral Auditing 2.0, de kwalitatieve analyse, was inhoudelijk altijd al sterk. Maar voor een normale auditafdeling vaak onhaalbaar. Twintig diepte-interviews leveren al snel enkele honderden pagina's transcript op. Een ervaren auditor is vier tot zes dagen bezig met zo'n analyse. Begin dit jaar heeft de aanpak een grote upgrade gekregen. AI-modellen voeren de kwalitatieve data-analyse nu volledig uit. Niet door het mensenwerk te vervangen, maar door de meest arbeidsintensieve stap, het systematisch zoeken naar patronen in honderden pagina's, drastisch te versnellen. Twee tot drie uur in plaats van vier tot zes dagen. Wat mensenwerk blijft: het ontwerpen van de audit, het voeren van de gesprekken, het wegen van patronen tegen de organisatiecontext, de duiding, het gesprek met het bestuur. En misschien wel het belangrijkste: de afsluitende validatieworkshop, waar bevindingen niet worden aangenomen maar in een gezamenlijke dialoog worden onderzocht. AI vervangt de auditor niet. AI maakt de auditor beter. Een concreet actieplan voor de komende twaalf maanden Het gaat er niet om te kiezen tussen de Topical Requirement en Behavioral Auditing 2.0. Het gaat om de juiste mix, afgestemd op de beheersstrategie van jouw organisatie. Figuur 3 laat de vier stappen zien. Figuur 3 · Actieplan: vier stappen in twaalf maanden Stap 1, nu: diagnose. Twee vragen voor bestuur en auditcommittee. Welke beheersstrategie voert onze organisatie, naleving, stimulering, of een hybride? En welke audits in ons jaarplan raken gedrag, direct of indirect? Stap 2, een tot drie maanden: verkennen. Stel een kleine groep kwartiermakers aan voor een verkenning, of doe het als afdeling als je kleiner bent. Volg een IPPA-training bij IIA Nederland of doe de beschikbare e-learning. Kies een afgebakend onderwerp waar gedragsdynamiek vermoedelijk speelt en zet globaal de scoping op. Bespreek met bestuur en auditcommittee waarom je daar wilt kijken. Nog niet uitvoeren; eerst de audit goed neerzetten. Stap 3, drie tot zes maanden: verdiepen. Voer pilots uit en rapporteer, niet alleen de bevindingen, maar ook wat de aanpak heeft opgeleverd en welke aanpak in welke situatie de voorkeur verdient. Stap 4, zes tot twaalf maanden: verankeren. Maak gedragsrisico een structureel onderdeel van het jaarplan. Bouw kennis, vaardigheden en ervaring op. Tot slot Je gaat de Topical Requirement implementeren. Dat moet. Maar twee vragen neem je, hoop ik, mee naar huis. Kom je met de Topical Requirement bij de oorzaak van mogelijke incidenten, of alleen bij de zichtbare verschijning? En past de beheersfilosofie die de Topical Requirement veronderstelt eigenlijk bij hoe jouw organisatie haar mensen wil aanspreken? De manager die zei dat hij de lijn nogmaals zou wijzen op de procedures, deed wat van hem verwacht werd. Hij was compliant. Maar relevant was hij niet. Het verschil tussen die twee is precies wat goed gedragsonderzoek zichtbaar maakt. Jan Otten is Associated Partner bij Ferocia en ontwikkelaar van IPPA en Behavioral Auditing 2.0. Hij is bereikbaar via jan.otten@ferocia.nl . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Versterk je gespreksvaardigheden met de training gesprekstechnieken. Leer omgaan met weerstand en maak écht impact. Alle blogs Risicomanagement, Internal auditing Training gesprekstechnieken voor auditors en riskmanagers Of je nu werkt als auditor, controller of risk officer, je succes hangt meer af van je gespreksvaardigheden dan je misschien denkt. Hoe scherp je analyses ook zijn en hoe goed je dossiers ook zijn voorbereid: zonder een open, doelgericht en effectief gesprek blijft je impact beperkt. Goede gesprekstechnieken zijn onmisbaar. Niet alleen om informatie boven tafel te krijgen, maar ook om echt verbinding te maken, weerstand te overbruggen en gedrag bespreekbaar te maken. Dat is precies waar de training gesprekstechnieken voor auditors en risicoprofessionals van Ferocia op inspeelt. Wat zijn gesprekstechnieken? Gesprekstechnieken zijn methoden en vaardigheden die je inzet om een gesprek doelgericht, gestructureerd en effectief te laten verlopen. Denk aan het stellen van de juiste vragen, het actief luisteren, het herkennen van non-verbale signalen, het omgaan met weerstand en het schakelen tussen verschillende communicatieniveaus. In het vakgebied van auditing en risicomanagement krijgen deze technieken nog een extra dimensie: je gesprekspartner is vaak iemand van binnen de organisatie, met eigen belangen, belangen die soms haaks staan op jouw bevindingen of observaties. Daarom is het cruciaal dat je als professional niet alleen vaktechnisch onderlegd bent, maar ook beschikt over de juiste gespreksvaardigheden. Gesprekstechnieken zijn geen ‘soft skill’ die je er zomaar bijdoet; ze vormen een wezenlijk onderdeel van je vakmanschap. Wat leer je tijdens de training gesprekstechnieken? De training Gesprekstechnieken van Ferocia is ontworpen voor professionals die werken binnen het domein van audit, control, risk of compliance en die effectiever willen worden in het voeren van kwalitatief goede gesprekken. In drie interactieve dagdelen leer je hoe je gesprekken beter voorbereidt, gestructureerd voert en afrondt. De training is opgebouwd rondom de volgende thema’s: Gespreksvoorbereiding : Hoe bereid je je voor op een auditinterview? Hoe sluit je interviewschema’s aan op het normenkader? Gesprekstechnieken : Je leert welke gesprekstechnieken je wanneer inzet en hoe je daarmee de regie in handen houdt, zonder het contact te verliezen. Vraagformulering : Je ontwikkelt vaardigheden om vragen scherp te formuleren, ook als het gaat over lastige onderwerpen als cultuur en gedrag. Communicatieniveaus : Je leert schakelen tussen inhoud, proces en relatie. Want alleen met bewustzijn op deze drie niveaus maak je echt impact. Omgaan met weerstand : Hoe herken je weerstand? En hoe kun je het ombuigen naar een constructief gesprek? Tijdens de training oefen je met deze vaardigheden aan de hand van praktijkcasussen, rollenspellen en reflectie. De theorie krijg je aangereikt via een innovatieve e-learningmodule, die je voorafgaand aan de bijeenkomsten zelfstandig doorloopt. Zo ben je optimaal voorbereid om tijdens de bijeenkomsten aan de slag te gaan met de toepassing in jouw praktijk. Wat kun je nadat je de training hebt afgerond? Na het afronden van de training ben je geen theoretisch expert, maar een beter uitgeruste professional. Je bent in staat om: gesprekken doelgericht en gestructureerd te voeren; de juiste gesprekstechnieken op het juiste moment in te zetten; de regie te houden, ook in lastige gesprekken of bij weerstand; diepere, betekenisvollere gesprekken te voeren over cultuur en gedrag; verschillende communicatieniveaus te herkennen en te benutten; effectiever informatie te verzamelen en gedragsaspecten bespreekbaar te maken; en jouw eigen stijl te ontwikkelen en bewust in te zetten. Je krijgt bovendien 12 PE-punten en een certificaat van deelname. Maar belangrijker nog: je ontwikkelt jezelf tot een gesprekspartner die gehoord wordt en die echt verschil maakt in de organisatie. Voor wie is deze training bedoeld? Deze training is speciaal ontwikkeld voor professionals die betrokken zijn bij audits, risicomanagement, compliance of control. Denk aan: Internal auditors (operational, IT of financial) Controllers Risk en compliance officers Accountants Medewerkers AO/IC Kwaliteitsmedewerkers Proceseigenaren Wat deze groep professionals verbindt? Van hen wordt verwacht dat zij gesprekken kunnen voeren waarin informatie wordt opgehaald, geanalyseerd en teruggekoppeld, vaak in een complexe of gevoelige context. De training is gericht op mensen met een HBO werk- en denkniveau die willen investeren in hun effectiviteit als gesprekspartner. De werkvorm van de training De training gesprekstechnieken is allesbehalve klassikaal en eenzijdig. Het is een praktijkgerichte, interactieve en blended leerervaring. Wat houdt dat in? E-learning (3 uur) : Voorafgaand aan de bijeenkomsten volg je de e-learning Interviewvaardigheden. Deze module doorloop je zelfstandig en in je eigen tempo. Zo leg je een solide basis aan theorie, die je vervolgens in de bijeenkomsten direct toepast. Drie interactieve bijeenkomsten (3 uur per bijeenkomst) : Deze sessies kun je fysiek of online bijwonen. Hier oefen je met de praktijk, ontvang je feedback en deel je ervaringen met andere deelnemers. Rollenspellen en praktijkopdrachten : Je oefent met realistische cases uit je eigen werkpraktijk. Persoonlijk actieplan : Je formuleert je eigen ontwikkeldoelen en krijgt daarop feedback van de docent en je mededeelnemers. Mixed classroom : Je kunt zelf kiezen of je fysiek of digitaal deelneemt. De training is volledig hybride ingericht. Het resultaat? Een training die aansluit op jouw praktijk, jouw uitdagingen en jouw leerstijl. En die jou helpt om niet alleen beter te luisteren, maar ook beter gehoord te worden. Waarom gesprekstechnieken een must zijn voor auditors en risicoprofessionals In een tijd waarin risicobeheersing, cultuur en gedrag steeds vaker centraal staan in audits, kun je als professional niet meer leunen op inhoud alleen. Het is niet genoeg om een dossier te analyseren; je moet ook het verhaal achter het proces boven tafel krijgen. Je moet gedrag bespreekbaar kunnen maken, de vinger kunnen leggen op impliciete overtuigingen en met weerstand kunnen omgaan zonder dat het gesprek stokt. Sterke gesprekstechnieken zijn daarbij geen luxe, maar noodzaak. Ze vormen de brug tussen observatie en actie, tussen analyse en interventie. En juist daarom verdienen ze een vaste plek in de gereedschapskist van iedere audit- en riskprofessional. Meer informatie over de training gesprekstechnieken klik hier . Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe Behavioral Auditing 2.0 met AI snel diep inzicht biedt in gedrag en cultuur binnen controlframeworks. Maak organisatiegedrag auditbaar. Alle blogs Gedrag en cultuur Behavioral Auditing 2.0 Gedrag en cultuur in relatie tot risicobeheersing Ferocia heeft samen met Jan Otten Behavioral Auditing 2.0 ontwikkeld. D e vernieuwde methode voor het uitvoeren van gedragsaudits. Krijg diep inzicht in mentale modellen, drijfveren en overtuigingen achter gedrag. Net zo krachtig als voorheen, maar nu nog simpeler, sneller en AI-ondersteund. Een praktische aanpak om invulling te geven aan de IIA Topical Requirement for Organizational Behavior. De eerste generatie Behavioral auditing, ontwikkeld door Jan Otten en Inge van der Meulen, gaf organisaties al inzicht in gedrag en cultuur. Het bracht onderstromen aan het licht: waarom blijven verbetertrajecten steken, ondanks heldere rapporten? Waarom verzanden veranderingen, ook al zijn rollen en processen op papier logisch ingericht? Antwoorden lagen zelden in nog een procedure of nog een training, maar in wat mensen werkelijk doen, gestuurd door gewoonten, groepsdynamiek, onuitgesproken normen en impliciete aannames. Wat maakt Behavioral Auditing 2.0 vernieuwend? Behavioral auditing 2.0 is op twee manier vernieuwd: het gebruik van geavanceerde AI-modellen waardoor de audit simpel en sneller uitgevoerd kan worden met behoud van dezelfde kwaliteit en diepgang; en de expliciete koppeling tussen de beheerscultuur en het controlframework waardoor het herkenbaarder en dicht bij het werk van een internal auditor komt te staan. Behavioral Auditing 2.0 is de doorontwikkeling van de vertrouwde gedragsaudit, waarin de volledige kwalitatieve data-analyse is vervangen door een AI‑gestuurde aanpak. De kern blijft identiek: diep inzicht in mentale modellen, drijfveren en overtuigingen achter gedrag, op basis van rijke interviewdata. In plaats van handmatig coderen, clusteren en thematiseren, laat Behavioral Auditing 2.0 dit werk doen door geavanceerde AI‑modellen die grote hoeveelheden interview transcripten razendsnel analyseren. Deze modellen herkennen patronen, thema’s en sentimenten die voorheen veel uren denkarbeid vroegen, met een consistentie en reproduceerbaarheid die handmatige analyse vaak niet haalt. De geavanceerde AI-modellen zet de transcripten om in een gestructureerd, doorlopend narratief dat qua opbouw en scherpte aansluit bij de verhalen die auditors eerder handmatig maakten. Dat narratief is nog steeds volledig opgebouwd uit letterlijke citaten uit de interviews, zodat de stem van de organisatie hoorbaar blijft en direct als input kan dienen voor de validatieworkshop. Waar de auditor voorheen diep in de codering en classificatie van fragmenten moest duiken, verschuift de focus nu naar duiding, toetsing en dialoog met de organisatie. De geavanceerde AI-modellen leveren in minuten een eerste, rijk onderbouwd narratief en thematische indeling op, waardoor de auditor zijn expertise kan inzetten waar die de meeste waarde heeft: interpretatie, risicoweging en het ontwerpen van interventies. De essentie van Behavioral Auditing blijft volledig behouden: inductieve gedragsanalyse, stevige onderbouwing en herkenbare narratieve die beweging in organisaties op gang brengen. Behavioral Audit 2.0 levert deze kwaliteit nu in een fractie van de tijd, met minder doorlooptijd, lagere analysekosten en meer ruimte voor reflectie en interactie met bestuur, management en medewerkers Daarbij focust Behavioral Auditing 2.0 zich specifiek op de vraag: is onze (beheers)cultuur congruent met ons controlframework? Oftewel, als we kijken naar de formeel ingerichte beheersmaatregelen om risico te mitigeren, en naar hoe de cultuur binnen de organisatie hoe medewerkers werkelijk met deze beheersmaatregelen omgaan, herkennen we dan een logisch, samenhangend geheel? Of staat het controlframework en de cultuur op gespannen voet met elkaar? Die vraag lijkt simpel, maar is het niet. Want het controlframework is meer dan een set maatregelen. Het is een netwerk van checks, autorisaties, routines, dashboards, normenkaders en verwachtingen. En “(beheers)cultuur” is meer dan een slogan op een poster. Het is hoe mensen in de praktijk betekenis geven aan regels, hoe zij onder tijdsdruk keuzes maken, wie zich veilig voelt om iets te zeggen, wie elkaar aanspreekt, en wat er gebeurt als iemand wél een grens trekt. Met andere woorden: het is “de manier waarop we hier de dingen doen”, en precies daar zitten zowel de kracht als de kwetsbaarheid van beheersing. Neem het vierogenprincipe. In veel organisaties is dat een beheersmaatregel in het controlframework. Maar stel dat de cultuur zo is ingericht dat elkaar aanspreken ongemakkelijk is. Dat feedback snel als kritiek wordt ervaren. Dat medewerkers liever vermijden dan confronteren, omdat “gedoe” interne conflicten oplevert of omdat er toch niets mee gebeurt. Dan verandert het vierogenprincipe van een beheersmaatregel in een ritueel. Er wordt wel gekeken, maar niet echt gezien. De tweede handtekening wordt gezet omdat dat nu eenmaal moet, niet omdat er een inhoudelijke dialoog plaatsvindt. Formeel klopt het. Gedragsmatig is het een leeg omhulsel. Het kan ook precies andersom. Een organisatie kan zichzelf graag beschrijven als “betrokken, mensgericht en gebaseerd op vertrouwen”. Maar ondertussen bestaat het controlframework uit een dicht netwerk van microcontroles, dubbele registraties, autorisaties op de kleinste handelingen en escalatieprocedures die vooral wantrouwen communiceren. Medewerkers ervaren: “ze geloven ons niet.” En wat doet dat met gedrag? Mensen gaan slimmer worden in het systeem in plaats van beter in het werk. Ze gaan afvinken, verstoppen, omzeilen, ‘netjes’ rapporteren wat veilig is. De formele stapel groeit, de werkdruk stijgt, en de echte risico’s verhuizen naar de schaduw. Het controlframework is ontworpen als bescherming, maar wordt beleefd als controle op de persoon. Ook hier: een mismatch tussen wat we zeggen en wat we doen. Behavioral Auditing 2.0 maakt precies deze eventuele mismatch zichtbaar. Niet door er een extra vragenlijst over cultuur naast te leggen, maar door het controlframework te analyseren en de beheerscultuur te onderzoeken en te beoordelen in welke mate deze congruent zijn. Dat deze beweging nodig is, is inmiddels ook expliciet terug te zien in de ontwikkeling van het vak. Het IIA heeft in het kader van de Global Internal Audit Standards een Topical Requirement voor Organizational Behavior gepubliceerd. Organisatiegedrag is niet langer een vage bijlage bij ‘culture’, maar een te auditen risicodomein. Slecht uitgelijnd gedrag kan tot slechte uitkomsten leiden, zelfs als de intenties goed zijn, en vraagt daarom om governance-, risk- en controlprocessen die je net zo serieus beoordeelt als andere risico’s. Het Topical Requirement biedt een minimum-baseline. Het vraagt dat auditors op drie niveaus kijken: governance, risk management en controls rondom organisatiegedrag. Kijk je naar de governance-eisen, dan gaat het onder meer om de rol van board en senior management: is er heldere accountability voor gedragsverwachtingen, en bestaan er processen om alignment tussen gedragsinzichten en organisatiedoelen te monitoren en bij te sturen. Dat is precies waar Behavioral Auditing 2.0 antwoord op geeft. Niet door te vragen of “tone at the top” ergens in een code staat, maar door te onderzoeken welk gedrag daadwerkelijk wordt beloond, welke dilemma’s managers in het echt tegenkomen, en hoe besluitvorming, aanspreekbaarheid en voorbeeldgedrag uitpakken in de operatie. Op risk managementniveau vraagt het IIA onder meer of de organisatie een aanpak heeft om gedragsrisico’s te managen, of monitoring van organisatiegedrag adequaat en tijdig is, of gaps tussen verwacht en daadwerkelijk gedrag (incl. root causes) consequent worden gecommuniceerd. Ook hier sluit Behavioral Auditing 2.0 naadloos aan, juist omdat het vertrekpunt niet is “wat is het gewenste gedrag?”, maar “wat gebeurt er nu, en welke aannames sturen dat?” En op het niveau van controls vraagt het IIA dat organisaties processen hebben om risicovolle gedragspatronen te identificeren en te mitigeren, dat er een duidelijke toon en communicatie over verwacht gedrag is, dat er meld- en escalatiemechanismen bestaan met bescherming, dat incentives en consequenties aligned zijn met doelen, dat issue management bestaat om misaligned gedrag te corrigeren en te escaleren en dat training, onboarding en talentprocessen gedragsverwachtingen ondersteunen. Met andere woorden: gedrag moet niet alleen “besproken” worden, het moet ontworpen worden in de manier waarop je mensen aanneemt, beoordeelt, beloont, corrigeert en beschermt. Hier wordt de waarde van Behavioral Auditing 2.0 zichtbaar: het maakt dit hele pakket toetsbaar, zonder te vervallen in vaagheid. Het helpt auditors om niet te blijven hangen in algemene cultuurwoorden, maar om scherp te kijken naar de consistentie tussen het controlframework en cultuur. De kernboodschap is daarom: in control zijn is niet het hebben van maatregelen, maar het hebben van maatregelen die passen bij de cultuur, of het ontwikkelen van een cultuur die de maatregelen kan dragen. Behavioral Auditing 2.0 brengt die twee werelden bij elkaar. Het legt bloot waar je controlframework en je beheerscultuur elkaar versterken, en waar ze elkaar ondermijnen. En precies daarin geeft het concreet invulling aan het Topical Requirement van het IIA: het maakt organisatiegedrag auditbaar, bespreekbaar en verbeterbaar, met dezelfde professionaliteit die we gewend zijn bij andere risicodomeinen. Wie dat eenmaal ziet, gaat anders kijken naar “de oplossing”. Niet automatisch meer controls toevoegen, maar eerst begrijpen wat er gebeurt. Soms blijkt dat je cultuur best volwassen is, maar dat je systeem nog in een wantrouwmodus staat. En soms blijkt dat je systeem prima is, maar dat je cultuur niet veilig genoeg is om het systeem te laten werken. En misschien is dat wel de grootste winst van Behavioral Auditing 2.0: het brengt beheersing terug naar waar het uiteindelijk altijd over gaat. Niet over papier, maar over keuzes. Niet over regels, maar over gedrag. Niet over hoe het hoort, maar over hoe het werkt. Hoe Ferocia gedrag en cultuur binnen jouw organisatie versterkt Wij ondersteunen organisaties op drie manieren: 1. Opleiding en training We leiden internal auditors, controlllers en risicomanagers op tot echte professionals die zelfstandig onderzoek kunnen uitvoeren naar gedrag en cultuur. Denk aan onze postbacheloropleiding Gedrag- en cultuuronderzoek voor financials. 2. Tijdelijke inzet van auditors en risicoprofessionals Heb je tijdelijk capaciteit nodig voor de uitvoering van een behavioral audit? Wij leveren ervaren auditors die direct inzetbaar zijn. 3. Werving en selectie Op zoek naar een nieuwe internal auditor die gespecialiseerd is in gedrag en cultuur om je team te versterken? Wij helpen je met het vinden van de juiste professional. Iemand die niet alleen inhoudelijk sterk is, maar ook past bij jouw organisatiecultuur. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe soft controls zoals cultuur en gedrag cruciaal zijn voor effectieve interne beheersing en risicomanagement. Versterk jouw organisatie vandaag! Alle blogs Gedrag en cultuur Soft Controls In organisaties waar alles op papier goed geregeld lijkt, met strak ingerichte processen, duidelijk vastgelegde verantwoordelijkheden en toegepaste controlemaatregelen, doen zich toch incidenten voor. Denk aan integriteitskwesties, vertrouwensbreuken of zelfs fraude. Hoe kan dat? Steeds vaker ligt de echte oorzaak niet in de systemen, maar in de cultuur. In de ongeschreven regels. In het gedrag. In wat we noemen: soft controls . Wat zijn soft controls precies? Soft controls zijn de informele vaak onzichtbare factoren die gedrag binnen organisaties beïnvloeden. Het gaat om zaken als: Psychologische veiligheid: durven mensen zich uit te spreken? Leiderschap en voorbeeldgedrag: wat laat het management echt zien? Vertrouwen en openheid: is er ruimte voor kwetsbaarheid? Normen en waarden: wat vinden we ‘normaal’ gedrag? Betrokkenheid en motivatie: waarom doen mensen wat ze doen? Deze elementen sturen gedrag, vaak sterker dan formele regels of procedures. Ze bepalen of mensen hun verantwoordelijkheid nemen, fouten durven melden, dilemma’s delen en ethisch handelen. Hard vs. soft: twee zijden van dezelfde munt Traditionele interne beheersing leunt sterk op hard controls , zoals functiescheiding, autorisatieprotocollen, rapportagestructuren en IT-systemen. Deze zijn namelijk tastbaar, meetbaar en controleerbaar. Soft controls daarentegen zijn minder grijpbaar, maar wel minstens zo belangrijk. Ze bepalen de effectiviteit van die harde maatregelen. Een autorisatieprocedure is zo sterk als de mate waarin medewerkers bereid zijn zich eraan te houden. En dat gedrag wordt juist gestuurd door soft controls. Of zoals een ervaren auditor eens zei: “Op papier klopt alles. In de praktijk doet men iets anders.” Soft en hard controls versterken elkaar, of juist niet. Een organisatiecultuur waarin kleine fouten zwaar worden bestraft, zorgt ervoor dat risico’s niet worden gemeld. Terwijl openheid en vertrouwen het melden van incidenten juist stimuleren. Soft controls vormen dus het fundament van een lerende organisatie. Waarom soft controls cruciaal zijn voor auditors De rol van de internal auditor verandert. Waar vroeger vooral werd gekeken naar structuur en processen, komt er nu steeds meer aandacht voor gedrag, cultuur en context. Soft controls helpen auditors om: blinde vlekken te signaleren; risico’s realistischer in te schatten; aannames over controles te toetsen; en betere, effectievere aanbevelingen te formuleren. Auditen van soft controls vraagt echter een andere aanpak. Geen vinklijstjes, maar nieuwsgierigheid. Geen check op procedures, maar gesprekken over dilemma’s. Geen observaties van cijfers, maar observaties van gedrag. Je onderzoekt niet alleen wat er gebeurt, maar ook waarom het gebeurt. Hoe onderzoek je soft controls? Het beoordelen van soft controls is maatwerk. Elk team, elke organisatie en elke context is anders. Ferocia werkt daarom met een aanpak waarin meerdere methoden worden gecombineerd: Diagnoses en nulmetingen : een eerste beeld van cultuur en gedrag, via scans of vragenlijsten. Interviews en groepsgesprekken : verdiepen op thema’s als integriteit, voorbeeldgedrag en aanspreekcultuur. Observaties in de praktijk : meekijken bij vergaderingen of besluitvormingsprocessen. Gebruik van beproefde frameworks : zoals het model van Muel Kaptein. Door deze methoden slim te combineren, ontstaat een realistisch en werkbaar beeld van de soft controls binnen een organisatie. Geen theoretisch model, maar praktische inzichten waar direct mee gewerkt kan worden. Soft controls in tijden van verandering De urgentie van soft controls neemt toe. Organisaties opereren steeds vaker in complexe, hybride omgevingen. Werknemers zijn deels thuis, deels op kantoor. Teams werken digitaal samen. De formele controle wordt minder zichtbaar en het belang van vertrouwen en intrinsieke motivatie juist groter. Tegelijkertijd zien we een toename in externe druk: strengere regelgeving, maatschappelijke verwachtingen rond ESG (Environmental, Social, Governance), en de noodzaak tot transparantie. In deze context is het essentieel dat medewerkers niet alleen ‘doen wat moet’, maar vooral ‘doen wat juist is’. En dat vraagt om sterke soft controls. Soft controls implementeren: hoe doe je dat? Soft controls versterken begint bij bewustwording. Veel organisaties herkennen gedragspatronen wel, maar vinden het lastig om ze te benoemen of bespreekbaar te maken. Ferocia ondersteunt organisaties daarom met advies, training en audits op maat. Denk aan: Trainingen over ethiek, cultuur en integriteit: wat verstaan we onder voorbeeldgedrag? Hoe spreken we elkaar aan? Wat doen we als we een dilemma tegenkomen? Gedragsaudits: geen controle op cijfers, maar op gedragspatronen. Waar zitten de risico’s in houding, communicatie of leiderschap? Integratie in risicomanagement en compliance: soft controls als volwaardig onderdeel van het control framework. Niet als ‘extraatje’, maar als strategische pijler. Coaching en ondersteuning van leidinggevenden: want gedrag begint aan de top. Managers en teamleiders zijn cruciaal in het versterken van een gezonde cultuur. Voorbeeld uit de praktijk Een zorginstelling merkte dat incidenten rondom medicatieveiligheid bleven voorkomen, ondanks goede protocollen en technische ondersteuning. De oorzaak? Medewerkers durfden elkaar niet aan te spreken. Uit gesprekken bleek dat er onvoldoende psychologische veiligheid was. Door met het team te werken aan openheid, vertrouwen en feedbackvaardigheden, nam het aantal incidenten substantieel af, zonder dat er iets aan de procedures werd aangepast. Het laat zien: soft controls maken het verschil. Soft controls in jouw organisatie? De grote vraag is: hoe sterk zijn de soft controls in jouw organisatie? Worden risico’s besproken of vermeden? Is er ruimte voor feedback, of speelt men op zeker? Voelen medewerkers zich verantwoordelijk, of juist gecontroleerd? Hebben mensen het lef om afwijkingen te melden? Als je twijfelt over het antwoord, is dat op zichzelf al waardevol. Want het betekent dat je bereid bent te kijken. En dat is de eerste stap naar verbetering. Of je nu soft controls wilt onderzoeken, versterken of integreren in je organisatiecultuur, wij helpen je verder! Opleidingen en trainingen – op het gebied van soft controls zowel open als inhouse. Interim en consultancy – tijdelijke inzet van internal auditors die gespecialiseerd zijn in cultuur en gedrag . Werving en selectie – voor het vinden van de juiste auditprofessional die je team permanent komt versterken. Neem contact met ons op Meer weten? Neem dan contact met ons op. Wij helpen je graag verder! Mark Daamen Partner Phone 06 42 23 62 05‬ Mail mark.daamen@ferocia.nl Björn Walrave Partner Phone 06 25 12 06 54 Mail bjorn.walrave@ferocia.nl Guus Focken Partner Phone 06 11 91 85 41‬ Mail guus.focken@ferocia.nl

Ontdek hoe strategische IT-beheersing bijdraagt aan groei, vertrouwen en innovatie. Ga verder dan compliance met een toekomstgerichte aanpak. IT beheersing In een wereld waarin digitale technologie de ruggengraat vormt van vrijwel elke organisatie, is IT-beheersing uitgegroeid tot een strategisch speerpunt. Waar IT vroeger vooral werd gezien als ondersteunend, is het vandaag onmisbaar voor het behalen van bedrijfsdoelen, het waarborgen van vertrouwen en het vergroten van de weerbaarheid tegen risico’s. Toch blijft IT-beheersing voor veel organisaties een uitdaging. Vaak overheerst het beeld van ‘compliance’ – voldoen aan regels, audits doorstaan en sancties vermijden. Belangrijk, maar het raakt slechts de oppervlakte. De echte waarde van IT-beheersing ligt in de stap van verplichting naar strategische grip: van vinklijstjes afwerken naar toekomstgericht sturen. In dit artikel leggen we uit wat IT-beheersing inhoudt, welke bouwstenen onmisbaar zijn, hoe je de valkuil van compliance voorbijgaat en welke stappen je kunt zetten om IT-beheersing te laten bijdragen aan groei, innovatie en vertrouwen. Wat verstaan we onder IT-beheersing? IT-beheersing gaat over de maatregelen, processen en structuren waarmee organisaties grip houden op hun digitale omgeving. Het is geen puur technische aangelegenheid, maar een integrale benadering waarin techniek, processen én menselijk gedrag samenkomen. Een effectieve aanpak combineert harde elementen (firewalls, encryptie, logging) met zachte factoren zoals risicobewustzijn, duidelijke governance en verandermanagement. Alleen zo ontstaat een duurzaam fundament. De belangrijkste bouwstenen: Informatiebeveiliging: het beschermen van data en systemen tegen ongeoorloofde toegang of datalekken. Risicomanagement: het systematisch identificeren, beoordelen en beheersen van digitale risico’s. Change management: gecontroleerd doorvoeren van wijzigingen in systemen en infrastructuur. Compliance: voldoen aan wet- en regelgeving zoals de AVG, NIS2, DORA en ISO 27001. Governance: heldere verantwoordelijkheden, besluitvorming en toezicht op IT-processen. Het uiteindelijke doel? IT inzetten op een manier die veilig, voorspelbaar en doelgericht bijdraagt aan de strategische koers van de organisatie. Van regels naar waarde Voor veel organisaties is compliance de eerste drijfveer om met IT-beheersing aan de slag te gaan. Logisch: wetgeving en audits zijn concrete prikkels. Maar wie IT uitsluitend benadert vanuit verplichting, benut slechts een fractie van het potentieel. Wanneer je IT-beheersing strategisch inzet, ontstaan wezenlijke voordelen: Vertrouwen: Stakeholders zien dat risico’s onder controle zijn en dat de organisatie grip heeft op haar digitale omgeving. Transparantie: Beslissingen worden beter onderbouwd, risico’s inzichtelijker en keuzes beter uitlegbaar. Weerbaarheid: Incidenten kunnen sneller en effectiever worden opgevangen, van cyberaanvallen tot systeemuitval. Prestatieverbetering: Gestroomlijnde IT-processen leiden tot lagere kosten en hogere kwaliteit. Innovatiekracht: Met een solide fundament ontstaat ruimte om nieuwe technologieën te omarmen en digitale initiatieven te versnellen. Kortom: goed ingerichte IT-beheersing verandert van een kostenpost in een bron van strategische waarde. Ferocia’s visie op IT-beheersing Bij Ferocia zien we IT-beheersing als een integraal onderdeel van modern risicomanagement en strategische sturing. IT is niet langer een ondersteunend domein, maar een kernproces dat vraagt om proactieve aansturing. Onze aanpak is nuchter en pragmatisch. Geen dikke rapporten of standaardchecklists, maar maatwerkoplossingen die passen bij de context, het risicoprofiel en de volwassenheid van de organisatie. We combineren expertise in auditing, risicomanagement en IT-governance met oog voor verandermanagement en organisatiecultuur. Concreet helpen wij organisaties om: inzicht te krijgen in IT-risico’s via audits, assessments en nulmetingen; verbetermaatregelen te formuleren en door te voeren, zowel technisch als organisatorisch; governance en beleid te versterken, inclusief rollen, verantwoordelijkheden en sturingsmodellen; compliance te borgen met normen en wetgeving (ISO 27001, NIS2, DORA); interne kennis en capaciteit te vergroten via training, coaching en tijdelijke inzet van specialisten. Altijd met hetzelfde uitgangspunt: structurele verbetering en draagvlak in de organisatie. We doen dit met ervaren professionals die de taal van zowel IT als de business spreken. Zo zorgen we voor structurele verbetering en draagvlak in de organisatie. Welke frameworks ondersteunen IT-beheersing? Er zijn meerdere frameworks beschikbaar die organisaties kunnen helpen bij het inrichten en versterken van IT-beheersing. De keuze hangt af van je sector, doelstellingen en volwassenheidsniveau. Hieronder de meest gebruikte kaders: Framework Doelstelling Toepassing COBIT IT governance en management Strategisch en operationeel niveau. COBIT biedt een raamwerk voor het afstemmen van IT op bedrijfsdoelen. Het is vooral geschikt voor organisaties die IT strategisch willen inzetten en verantwoording willen afleggen aan stakeholders. Denk aan het inrichten van IT governance, het definiëren van rollen en verantwoordelijkheden, en het meten van prestaties op directieniveau. ISO 27001 Informatie- beveiliging Beveiligingsbeleid en audits. ISO 27001 is dé internationale standaard voor het opzetten van een Information Security Management System (ISMS). Organisaties gebruiken het om systematisch risico’s te identificeren, beveiligingsmaatregelen te implementeren en audits uit te voeren. Het is essentieel voor compliance met privacywetgeving zoals de AVG en voor het aantonen van betrouwbaarheid richting klanten. ITIL Service management IT dienstverlening en processen. ITIL richt zich op het verbeteren van IT dienstverlening. Het helpt organisaties bij het structureren van processen zoals incidentbeheer, wijzigingsbeheer en service level management. ITIL is vooral waardevol voor operationele teams die de kwaliteit en continuïteit van IT services willen verhogen. NIST Cybersecurity Cybersecurity en risicobeheersing Incidentrespons en mitigatie. Het NIST framework biedt een praktische aanpak voor het identificeren, beschermen, detecteren, reageren en herstellen van cyberincidenten. Het is breed toepasbaar, van overheden tot commerciële organisaties, en helpt bij het verhogen van digitale weerbaarheid en het opstellen van responsplannen. Bij Ferocia zijn we goed thuis in deze frameworks. Maar we geloven ook: een framework is geen doel op zich. Het is een middel. We zorgen altijd dat het aansluit op de praktijk, en daadwerkelijk leidt tot betere beheersing en sturing. Hoe pak je IT-beheersing slim aan? Een effectieve IT-beheersingsaanpak begint met inzicht. Zonder dat weet je niet waar de kwetsbaarheden zitten, welke maatregelen werken of waar de grootste risico’s liggen. Onze ervaring leert: je hoeft niet alles in één keer te regelen. Begin klein, werk gefaseerd en zorg voor continue verbetering. Onze vijfstappenaanpak: Nulmeting en risicoanalyse Waar sta je nu? Welke IT-risico’s zijn het meest relevant? Doelstellingen en kaders formuleren Wat wil je bereiken? Welke normen, KPI’s en beleid horen daarbij? Beheersmaatregelen implementeren Technisch: firewalls, logging, authenticatie. Organisatorisch: beleid, rollen, gedrag, processen. Monitoring en rapportage inrichten Real-time dashboards, periodieke rapportages en audits. Escalaties en incidentprocedures. Continu verbeteren Op basis van incidenten, nieuwe risico’s en technologische ontwikkelingen. Vanuit feedbackloops en betrokkenheid van stakeholders. Deze aanpak sluit aan bij het volwassenheidsdenken: je groeit stap voor stap naar een hoger niveau van IT-beheersing. IT-beheersing in de praktijk: uitdagingen en valkuilen Hoewel de urgentie vaak wordt erkend, blijft effectieve IT-beheersing in veel organisaties achter. Waarom? Silo’s tussen IT en business : IT wordt nog te vaak als apart domein gezien. Complexe ketens en uitbesteding : Denk aan cloud, SaaS, outsourcing. Onvoldoende eigenaarschap : Wie is verantwoordelijk voor welk risico? Te veel focus op techniek : Terwijl processen, mensen en gedrag minstens zo belangrijk zijn. Bij Ferocia herkennen we deze valkuilen. We zorgen daarom voor een integrale aanpak, waarin IT-beheersing niet alleen een verantwoordelijkheid van de IT-afdeling is, maar een gezamenlijke opgave van bestuur, control, risk en operatie. Ferocia als partner in IT-beheersing Ferocia is jouw sparringpartner als het gaat om het professionaliseren van IT-beheersing. Of je nu net begint, op zoek bent naar verdieping of een externe blik nodig hebt: wij denken met je mee en helpen je vooruit. Onze dienstverlening bestaat onder meer uit: Quickscans en nulmetingen op het gebied van IT-risico’s en beheersmaatregelen. Interne audits op thema’s als informatiebeveiliging, dataprivacy of outsourcing. Begeleiding bij ISO 27001-certificering of NIS2-compliance. Trainingen en masterclasses over IT-beheersing, risicoanalyse en cyberweerbaarheid. Interim IT-auditors en risicomanagers voor tijdelijke versterking. We doen dit onafhankelijk, deskundig en altijd met oog voor jouw context. Niet omdat het in een model past, maar omdat het in jouw organisatie moet werken. Tot slot: IT-beheersing als motor van digitale volwassenheid De wereld wordt digitaler. Complexer. En risicovoller. Juist daarom is IT-beheersing geen luxe, maar noodzaak. Wie het goed regelt, wint niet alleen vertrouwen, maar ook wendbaarheid, veerkracht en innovatiekracht. Bij Ferocia geloven we dat IT-beheersing de sleutel is tot moderne sturing. En dat begint niet met techniek, maar met bewustzijn, leiderschap en samenwerking. Benieuwd waar jouw organisatie staat op het gebied van IT-beheersing? Of wil je vrijblijvend sparren over vervolgstappen? Neem contact met ons op. We denken graag met je mee. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs IT-auditing is veel meer dan vinkjes zetten. In deze blog lees je hoe de IT-auditor zorgt voor veilige systemen, naleving van AVG/NIS2/DORA en grip op digitale risico’s. Ontdek de belangrijkste inzichten voor een sterke IT-audit én hoe Ferocia je hierbij kan helpen. IT-auditing Knop COBIT is geen ingewikkeld IT-speeltje, maar jouw kompas voor digitale governance. In deze blog lees je hoe COBIT 2019 business, IT en bestuur dezelfde taal laat spreken, IT-risico’s structuur geeft en jouw audits versterkt. Ontdek hoe je COBIT praktisch inzet in jouw organisatie. Cobit Knop NIS2 verandert cybersecurity van IT-thema naar bestuurdersvraagstuk. In deze blog lees je wie onder NIS2 valt, wat er straks écht verplicht is en welke rol internal audit, risk en control spelen. Geen paniek om boetes, maar een kans om je organisatie aantoonbaar digitaal weerbaar te maken. NIS2 Knop ISO 27001 is geen papieren oefening, maar een manier om informatiebeveiliging écht te laten werken. In deze blog lees je hoe je met een scherpe scope, slimme verklaring van toepasselijkheid (SoA) en goede audits risico’s, gedrag en techniek verbindt, en zo van certificaat naar waardecreatie gaat. ISO 27001 Knop Sinds 17 januari 2025 moet jouw organisatie aantoonbaar digitaal weerbaar zijn. In deze blog lees je wat een DORA-audit is, welke vijf bouwstenen echt het verschil maken en hoe internal audit uitgroeit tot strategische partner. Onmisbaar leesvoer voor audit, risk en compliance. DORA audit Knop De BIO2 is het vernieuwde normenkader voor informatiebeveiliging binnen de Nederlandse overheid. Het legt meer nadruk op risicogedreven beveiliging, bestuurlijke verantwoordelijkheid, ketenrisico’s en continue verbetering. Voor auditors en risicomanagers verschuift de focus van maatregel controles naar beoordeling van governance, ISMS en risicomanagementprocessen. BIO2 Knop

< Terug Vacature Functionaris Gegevensbescherming Universiteit Utrecht Per direct 24 tot 32 uur per week Utrecht / Hybride € 91.400,35 tot € 110.938,01 per jaar SOLLICITEER Over De Universiteit Utrecht Universiteit Utrecht (UU) is een internationaal georiënteerde universiteit, opgericht in 1636. De universiteit behoort tot de oudste en meest toonaangevende universiteiten van Nederland en Europa. Een betere toekomst voor iedereen. Die ambitie motiveert de wetenschappers van UU bij hun toponderzoek en het geven van inspirerend onderwijs. Bij UU werken diverse disciplines intensief samen met maatschappelijke partners aan maatschappelijk belangrijke thema’s. De focus ligt op Dynamics of Youth, Institutions for Open Societies, Life Sciences en Pathways to Sustainability. Over de afdeling De Functionaris Gegevensbescherming (FG) is gepositioneerd binnen de Universitaire Bestuursdienst (UBD). De UBD ondersteunt het College van Bestuur bij het realiseren van de strategische en bestuurlijke agenda van de universiteit. Vanuit zeven directies wordt gewerkt aan geïntegreerde ondersteuning op onderwerpen als governance, beleid, compliance en bedrijfsvoering. Binnen dit krachtenveld vervult de FG een onafhankelijke en zichtbare rol, met directe lijnen naar bestuur, decanen en directeuren, en in nauwe samenwerking met het netwerk van Privacy Officers binnen de faculteiten en diensten. Over de functie Binnen de Universiteit Utrecht worden dagelijks grote hoeveelheden persoonsgegevens verwerkt van studenten, medewerkers, onderzoekers, samenwerkingspartners en leveranciers. Zorgvuldige, transparante en rechtmatige omgang met deze gegevens is van groot belang. De FG is de onafhankelijke toezichthouder (derde lijn) op het gebied van privacy binnen de universiteit. In deze rol is ben je herkenbaar en zichtbaar als formeel toezichthouder op de bescherming van persoonsgegevens en handel je volledig conform de AVG, zonder inhoudelijke instructies. Je beweegt je soepel in een complexe academische organisatie, weet privacy structureel op de agenda te zetten en draagt bij aan bewustwording, risicobeheersing en vertrouwen. Jouw taken De FG: informeert en adviseert de organisatie over verplichtingen voortvloeiend uit de AVG en aanverwante wetgeving; werkt samen met het netwerk van Privacy Officers (tweede lijn) en adviseert gevraagd en ongevraagd decanen, directeuren en het College van Bestuur; ziet toe op de naleving van de AVG en het privacybeleid van de universiteit, met bijzondere aandacht voor verwerkingen met verhoogd risico; verzamelt en analyseert informatie over gegevensverwerkingen en beoordeelt risico’s en klachten; adviseert over Data Protection Impact Assessments (DPIA’s) en houdt toezicht op de uitvoering daarvan; fungeert als contactpersoon voor de Autoriteit Persoonsgegevens en onderhoudt contacten met collega-FG’s van andere universiteiten; en opereert zelfstandig, onafhankelijk en met gezag binnen de kaders van de AVG. Wie zoeken we? UU zoekt een ervaren, zelfstandige en verbindende FG die scherp toeziet, maar ook weet te adviseren en te inspireren. Opleiding en ervaring Afgeronde WO-opleiding, bij voorkeur in Rechten. Aantoonbare ervaring als FG en bij voorkeur in een grote complexe organisatie. In het bezit van CIPP/E-certificering. Affiniteit met IT en informatiebeveiliging. Grondige kennis van de (U)AVG en relevante wetgeving op het gebied van digitalisering, AI en privacy. Uitstekende beheersing van de Nederlandse en Engelse taal (C1), zowel mondeling als schriftelijk. Vaardigheden en houding Zelfstandig, analytisch en zorgvuldig, met oog voor mensen en processen. In staat om gemakkelijk te schakelen tussen verschillende niveaus binnen de organisatie. Van onderzoeker en docent tot directeur en CvB. Weet complexe onderwerpen helder en toegankelijk over te brengen. Bouwt vertrouwen op en weet draagvlak te creëren. Proactief, verbindend en organisatiesensitief. Wat bieden we? UU biedt een inhoudelijk betekenisvolle functie binnen een maatschappelijk relevante organisatie, met ruimte voor zelfstandigheid en impact. Salaris van € 6.512,- tot € 7.904 ,- bruto per maand o.b.v. 38 uur per week (schaal 13 CAO Nederlandse Universiteiten). Eindejaarsuitkering van 8,3% (dertiende maand). Een dienstverband van 24 tot 32 uur per week. Een jaarcontract met de intentie tot een contract voor onbepaalde tijd. Standplaats Utrecht, met hybride werken als uitgangspunt. 232 vakantie-uren per jaar op basis van 38 uur per week. Deelname aan het ABP-pensioenfonds, waarbij de universiteit het grootste deel van de premie betaalt. Reiskostenvergoeding en thuiswerkvergoeding. Volledige vergoeding van noodzakelijke scholing en ruime mogelijkheden voor verdere ontwikkeling. Goede regelingen voor ouderschapsverlof, vitaliteit en duurzame inzetbaarheid. Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig, alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

< Terug Vacature Internal auditor (CAE) Staedion Per direct 32 tot 36 uur per week Den Haag / Hybride € 80.843,44 tot € 115.550,32 per jaar SOLLICITEER Over Staedion Staedion zet zich met een sterk maatschappelijk hart in voor een betaalbaar en veilig thuis voor haar huurders. Een goed en betaalbaar huis is voor Staedion een randvoorwaarde voor het geluk en de gezondheid van mensen. De corporatie verhuurt circa 46.000 woningen, winkels, bedrijfsruimten en parkeerplaatsen in de regio Haaglanden en behoort daarmee tot de grotere woningcorporaties van Nederland. Met ongeveer 400 medewerkers werkt Staedion dagelijks aan een prettige, veilige en toekomstbestendige woonomgeving. De missie van Staedion is helder: passende woningen verhuren aan mensen die niet zelf in hun huisvesting kunnen voorzien, in wijken waar het prettig samenleven is. Met haar ruime ervaring in het verhuren, beheren en ontwikkelen van woningen geeft Staedion hier concreet invulling aan. In de visie van Staedion staan de veerkracht van wijken en de leefbaarheid centraal. Het woningtekort in het werkgebied is groot, en juist dat wil Staedion aanpakken. De nadruk ligt op het vergroten van de veerkracht van wijken, het verbeteren van de leefbaarheid en het uitbreiden van het woningaanbod. Staedion werkt continu aan verduurzaming en bouwt de komende jaren maar liefst 7.500 nieuwe woningen. De totale gebiedsontwikkeling gaat gepaard met een investering van meer dan € 1.000.000.000. Dit doet zij samen met bewoners en samenwerkingspartners, met durf en ambitie. Samen thuis, voor nu en later. Over de afdeling De Internal Auditor maakt deel uit van de afdeling Bestuur, is rechtstreeks gepositioneerd onder de bestuurder en werkt volledig onafhankelijk binnen de organisatie. Over de functie Staedion zoekt een scherpzinnige en onafhankelijke internal auditor die energie krijgt van het versterken van de governance van de organisatie. In deze rol lever je een directe bijdrage aan een betrouwbare en toekomstbestendige corporatie die dagelijks het verschil maakt voor tienduizenden huurders in de regio Haaglanden. Als internal auditor onderzoek je de effectiviteit van processen, risicomanagement, interne beheersing, compliance en governance. Je komt tot heldere en realistische aanbevelingen en weet anderen te overtuigen van het nut en de noodzaak van de voorgestelde verbeteringen. Daarmee ondersteun je de bestuurder, directie en de organisatie als geheel bij het verder versterken van de beheersing. Je vervult een onafhankelijke, strategische en duidelijk gepositioneerde rol binnen Staedion, rechtstreeks rapporterend aan de voorzitter van de Raad van Bestuur. Dankzij jouw werk worden risico’s en verbeterpunten tijdig en feitelijk in beeld gebracht, ontstaat er helder inzicht en focus, en groeit de organisatie verder in control. Zo lever je een onmisbare bijdrage aan veilige, betaalbare en toekomstbestendige huisvesting; nu en in de jaren die komen. Jouw taken Je stelt een meerjarenplan en jaarplan voor audits op en bewaakt de uitvoering daarvan. Je voert audits uit op processen, risicomanagement, interne beheersing, compliance en governance. Je adviseert gevraagd en ongevraagd over de wijze waarop de beheersing kan worden verbeterd. Je onderhoudt constructieve relaties met de externe accountant, toezichthouders (Aw en WSW) en de Raad van Commissarissen. Je levert een stevige inhoudelijke bijdrage aan de verdere professionalisering van Internal Audit binnen Staedion. Wie zoeken we? We zoeken een ervaren internal auditor met WO-werk- en denkniveau, bij voorkeur aangevuld met een RO-, RE- of RA-titel of een vergelijkbare opleiding. Je hebt minimaal drie tot vijf jaar relevante ervaring in het auditvak en bij voorkeur ook kennis van de woningcorporatiesector of het bredere semipublieke domein. Je beschikt over overtuigingskracht en organisatiesensitiviteit: je weet collega’s op een natuurlijke manier mee te nemen in verbeteringen en kunt draagvlak creëren, ook wanneer de boodschap scherp is. Je communiceert helder in het Nederlands, zowel mondeling als schriftelijk, en je voelt aan wat er in de organisatie speelt. In je manier van werken ben je zelfstandig, proactief en betrouwbaar. Je bent een verbinder die stevige oordeelsvorming combineert met een rechte rug. Je opereert onafhankelijk, maar altijd in verbinding met de organisatie, en je weet je rol als derde lijn helder en professioneel neer te zetten. Wat bieden we? Een bruto jaarsalaris van tussen € 80.843,44 en € 115.550,32 op basis van 36 uur (incl. vakantietoeslag en eindejaarsuitkering van 4%) 203 vakantie-uren op basis van 36 uur en de mogelijkheid tot onbetaald verlof Pensioen via Stichting Pensioenfonds voor Woningcorporaties Reiskostenvergoeding Thuiswerkvergoeding Loopbaanontwikkelingsbudget en ruime scholingsmogelijkheden Toegang tot OpenUp voor mentaal welzijn en korting bij Urban Sports Club Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

Ferocia helpt internal auditafdelingen bij voorbereiding en uitvoering van de externe kwaliteitstoetsing volgens GIAS. Versterk je auditfunctie en ontdek hoe. Kwaliteitstoetsingen Hoe Ferocia internal auditafdelingen ondersteunt bij de kwaliteitstoetsing De rol van de internal auditfunctie binnen organisaties is de afgelopen jaren aanzienlijk veranderd. Internal auditors worden tegenwoordig steeds vaker gezien als strategische partners die bijdragen aan governance, risicobeheersing en waardecreatie. Die ontwikkeling brengt ook een grotere verantwoordelijkheid met zich mee. Stakeholders verwachten dat auditafdelingen niet alleen voldoen aan wet- en regelgeving, maar ook dat zij aantoonbaar werken volgens de Global Internal Audit Standards (GIAS) van het Institute of Internal Auditors (IIA). Om dit te waarborgen, is er de ‘verplichte’ kwaliteitstoets, een periodieke beoordeling van de internal auditfunctie, uitgevoerd door een onafhankelijke partij. Voor veel auditafdelingen is dit een spannend en intensief traject. Hoe toon je aan dat je voldoet aan de kwaliteitscriteria? Hoe bereid je je voor op een externe toets? En hoe vertaal je de uitkomsten naar duurzame verbeteringen? Daar komt Ferocia in beeld. Ferocia als partner in kwaliteitstoetsing Ferocia ondersteunt internal auditafdelingen van A tot Z bij de kwaliteitstoetsing. Dat doen wij vanuit drie diensten: Audit readiness assessment. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS. Uitvoering van de externe kwaliteitstoets (Ferocia is gecertificeerd door het IIA). Door deze combinatie zijn wij voor auditafdelingen niet alleen een sparringpartner, maar ook een onafhankelijke beoordelaar die de kwaliteit van het vakgebied helpt versterken (uiteraard kunnen en willen wij dienstverlening 1 en 2 niet combineren met 3). 1. Audit readiness assessment: voorbereid de kwaliteitstoetsing in Een kwaliteitstoets kan voor auditteams een pittige exercitie zijn. Vaak heerst er onzekerheid: Hoe zit het met onze ethiek en professionele moed? Is onze auditcharter up-to-date? Sluiten onze werkprogramma’s voldoende aan op de standaarden? Hoe scoren we op onafhankelijkheid en objectiviteit? Met het audit readiness assessment helpt Ferocia auditafdelingen deze vragen te beantwoorden. Dit assessment is een grondige analyse die inzicht geeft in de huidige situatie en de mate van gereedheid voor de externe kwaliteitstoetsing. Wat houdt het in? Documentreview: We analyseren beleidsstukken, auditplannen, werkdossiers en rapportages. Interviews: We spreken met auditors, management en stakeholders om te toetsen hoe processen in de praktijk werken. Gap-analyse: We vergelijken de huidige werkwijze met de GIAS-criteria en brengen eventuele verbeterpunten in kaart. Het resultaat Een concreet rapport met: Sterke punten die de auditfunctie onderscheiden. Verbeterpunten die aandacht vragen voor de externe toets. Praktische aanbevelingen waarmee de afdeling direct aan de slag kan. Het readiness assessment geeft auditteams rust, duidelijkheid en een routekaart richting een succesvolle kwaliteitstoets. 2. Ondersteuning bij het voldoen aan de kwaliteitscriteria uit de GIAS De GIAS stelt duidelijke eisen aan de inrichting en uitvoering van internal auditfunctie. Denk aan ethiek, onafhankelijkheid, positionering binnen de organisatie, kwaliteit van werkprogramma’s en continue professionalisering van het team. Veel auditafdelingen ervaren dat het lastig is om deze criteria consequent door te vertalen naar hun eigen praktijk. Ferocia biedt hier gerichte ondersteuning. Hoe ondersteunen wij? Workshops & trainingen: Gericht op specifieke thema’s zoals onafhankelijkheid, rapportagekwaliteit of stakeholdermanagement. Coaching on the job: Onze experts werken samen met auditteams tijdens lopende audits en geven direct feedback. Template- en procesontwikkeling: We helpen bij het opstellen van praktische formats, auditplannen, auditcharter, etc. die voldoen aan de GIAS. Voorbeeld uit de praktijk Een middelgrote financiële instelling vroeg ons om hulp omdat hun auditfunctie wel operationeel draaide, maar onvoldoende aantoonbaar voldeed aan de GIAS. Ferocia heeft een maatwerk verbeterprogramma opgesteld, inclusief workshops voor het auditteam, begeleiding bij het actualiseren van het auditcharter en ondersteuning bij rapportages. Bij de externe toets werd het team geprezen om hun professionaliteit en verbeterkracht. 3. Externe kwaliteitstoets: onafhankelijk en gecertificeerd Uiteindelijk komt het moment dat de auditfunctie een externe kwaliteitstoets moet ondergaan. Deze toets is ‘verplicht’ voor internal auditfuncties die aangesloten zijn bij het IIA en biedt zekerheid aan de organisatie en haar stakeholders. Ferocia is gecertificeerd om deze externe kwaliteitstoetsen uit te voeren. Dat betekent dat wij onafhankelijk beoordelen of een auditafdeling voldoet aan de GIAS. Hoe verloopt de externe kwaliteitstoetsing? Voorbereiding: We bereiden de externe kwaliteitstoetsing voor en stellen een planning op. Onderzoek: Ferocia voert interviews, documentanalyses en dossierreviews uit. Beoordeling: We vergelijken de praktijk met de kwaliteitscriteria. Rapportage: Het auditteam ontvangt een rapportage met een gedetailleerd oordeel met onderbouwing en eventuele concrete aanbevelingen. Meerwaarde van Ferocia als toetsende partij Ervaring: Onze auditors hebben vele kwaliteitstoetsen uitgevoerd bij uiteenlopende organisaties. Praktische blik: We kijken niet alleen of criteria worden gehaald, maar ook hoe de auditfunctie zich verder kan ontwikkelen. Onafhankelijkheid: Als gecertificeerde partij borgen we een objectief en betrouwbaar oordeel. Waarom kiezen auditafdelingen voor Ferocia? De kracht van Ferocia zit in de combinatie van kennis, ervaring en betrokkenheid. We kennen de praktijk van internal auditing door en door. We combineren theoretische kennis van de GIAS met praktische inzichten uit tientallen organisaties. We denken niet alleen in termen van toetsing, maar ook in ontwikkeling en groei van de auditfunctie. Onze klanten waarderen dat wij niet alleen toetsen, maar ook meedenken over hoe hun afdeling sterker, professioneler en toekomstbestendiger kan worden. De impact van een externe kwaliteitstoets: meer dan een verplichting Soms wordt de externe kwaliteitstoets gezien als een administratieve verplichting. Maar in werkelijkheid is het veel meer dan dat. Een goed doorlopen kwaliteitstoets biedt: Vertrouwen bij bestuur en toezichthouders dat de auditfunctie onafhankelijk en professioneel opereert. Meerwaarde voor de organisatie, omdat verbeterpunten direct bijdragen aan betere governance en risicobeheersing. Professionele groei voor auditors zelf, doordat zij leren van feedback en best practices. Met de juiste voorbereiding en begeleiding kan een kwaliteitstoets zo veranderen van een “spannend examen” naar een kans om de auditfunctie naar een hoger niveau te tillen. Conclusie: Samen werken aan auditkwaliteit Internal auditafdelingen staan voor de uitdaging om niet alleen hun werk goed te doen, maar dit ook aantoonbaar te maken volgens internationale standaarden. De kwaliteitstoets is daarbij een krachtig instrument, mits goed voorbereid en uitgevoerd. Ferocia ondersteunt auditafdelingen op drie niveaus: Audit readiness assessment: inzicht en voorbereiding. Ondersteuning bij voldoen aan de GIAS: kennis, begeleiding en praktische tools. Externe kwaliteitstoets: onafhankelijk, gecertificeerd en met oog voor ontwikkeling. Zo helpen wij internal auditors niet alleen om de toets te halen, maar vooral om sterker en toekomstbestendiger uit het traject te komen. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs Sta jij als internal auditfunctie voor een (aanstaande) kwaliteitstoetsing? Ferocia helpt je van readiness assessment tot en met onafhankelijke externe toetsing volgens de GIAS. Ontdek hoe je van ‘spannend examen’ naar kans op groei en professionalisering gaat. Kwaliteitstoetsing auditafdelingen Knop

< Terug Vacature Senior business controller Vluchtelingenwerk Nederland Per direct 32 tot 36 uur per week Amsterdam / Hybride € 59.904,30 tot € 98.097,66 per jaar SOLLICITEER Over VluchtelingenWerk Nederland Over de hele wereld worden mensen gedwongen te vluchten vanwege oorlog, politiek geweld, hun seksuele geaardheid, afkomst of religie. In Nederland kunnen zij rekenen op de ondersteuning van VluchtelingenWerk Nederland. Van aankomst tot zelfredzaamheid zetten duizenden vrijwilligers en betaalde medewerkers zich dagelijks in om vluchtelingen te begeleiden en hun belangen te behartigen. Over het team Finance & Control Je komt te werken in het team Finance & Control, dat onderdeel uitmaakt van de Directie Bedrijfsvoering. Binnen dit team werken acht (senior) business controllers nauw samen met de financiële administratie (inkoop, betalingen, verkoop). De functie rapporteert aan de Manager Finance & Control. Over de functie Als senior business controller met focus op Asiel en Oekraïne speel je een sleutelrol in het financieel ondersteunen en adviseren van de organisatieonderdelen die zich inzetten voor vluchtelingen en asielzoekers. Je bent verantwoordelijk voor het financiële reilen en zeilen binnen deze domeinen en fungeert als strategisch sparringpartner voor directeuren en managers, met name op het gebied van subsidies en financieringsvraagstukken. In deze rol combineer je diepgaande financiële analyses met een sterk adviserende rol. Je vertaalt complexe financieel-economische vraagstukken naar heldere inzichten en betrouwbare managementinformatie, waarmee je bijdraagt aan weloverwogen besluitvorming. Je bent nauw betrokken bij subsidieaanvragen en -verantwoordingen en onderhoudt daarbij ook externe contacten, onder andere met het Ministerie van Asiel en Migratie. Daarnaast werk je samen met collega-controllers aan het uniformeren en verbeteren van werkwijzen binnen Finance & Control. Je levert een actieve bijdrage aan concernbrede overleggen en bent verantwoordelijk voor het opstellen van interne begrotingen en stukken ten behoeve van de accountant. Door het uitvoeren van scherpe ad-hoc analyses en het bewaken van financiële processen zorg je voor grip, transparantie en continuïteit in een dynamische en maatschappelijk relevante omgeving. Jouw taken Adviseren van directeuren en managers Asiel en Oekraïne over financiële en subsidievraagstukken. Opstellen van financiële begrotingen en verantwoordingen ten behoeve van subsidieaanvragen. Voeren van overleg en besprekingen met het Ministerie van Asiel en Migratie. Opstellen en analyseren van periodieke managementinformatie, waaronder doorbelaste loonkosten. Ondersteunen en adviseren over de gehanteerde financieringssystematiek voor subsidies. Uitvoeren van scherpe ad-hoc financiële analyses. Opstellen van interne begrotingen en financiële stukken ten behoeve van de accountant. Samenwerken met collega-controllers aan uniformering en verbetering van werkwijzen. Deelnemen aan concernoverleggen en controllersoverleggen. Beheren van procuratie binnen AFAS. Wie zoeken we? Voor deze functie wordt een ervaren en betrokken Senior Business Controller gezocht met een afgeronde hbo- of wo-opleiding. De ideale kandidaat beschikt over vijf tot tien jaar relevante en aantoonbare werkervaring in een vergelijkbare functie en heeft ruime ervaring met financiële administraties en financiële rapportages. Ervaring met het opstellen van subsidieverantwoordingen is essentieel, evenals een gedegen en praktische beheersing van Excel. Ervaring met AFAS is een pré. Daarnaast is affiniteit met de non-profitsector belangrijk en wordt waarde gehecht aan verbondenheid met de missie en waarden van VluchtelingenWerk Nederland. De functie vraagt om uitstekende communicatieve vaardigheden en het vermogen om effectief samen te werken met collega’s en stakeholders op verschillende niveaus binnen de organisatie. Als Senior Business Controller ben je cijfermatig sterk en analytisch ingesteld, weet je complexe financiële vraagstukken te doorgronden en kun je hierin zakelijkheid en scherpte combineren met een zorgvuldige en verbindende benadering. Daarbij hoort een dienstverlenende en ondersteunende houding, gericht op samenwerking en het gezamenlijk realiseren van resultaten. Tot slot past een flexibele, proactieve en hands-on werkhouding bij deze rol, in een dynamische en maatschappelijk relevante organisatieomgeving. Wat bieden we? Een salaris van € 59.904,30 t/m € 98.097,66 per jaar incl. 16,5% IKB Een salarisverhoging van 2,1% per 1 oktober 2026 Vakantieverlof van in totaal 170 uur per jaar op basis van 36 uur per week (144 wettelijke uren en 26 bovenwettelijke uren via het IKB) Mogelijkheid tot onbetaald verlof, in overleg Pensioenopbouw via Pensioenfonds Zorg & Welzijn (premie 25,8%, waarvan 50% wordt betaald door de werkgever) Individueel keuzebudget (IKB) van 16,5%, bestaande uit: Vakantietoeslag (8%) Eindejaarsuitkering (8,33%) Extra uitkering (0,1%) 26 uur bovenwettelijk verlof Tegemoetkoming in de premie zorgverzekering (€ 10,- per maand) Reiskostenvergoeding en thuiswerkvergoeding Loopbaanbudget voor opleiding en ontwikkeling (opbouw 1,5%) Beschikking over laptop en telefoon Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ).

Blijf ‘in control’ bij uitbesteding met een TPM-verklaring. Ontdek welke standaard past bij jouw organisatie en vergroot het vertrouwen van stakeholders. Third Party Mededelingen Steeds meer organisaties besteden processen of systemen uit aan externe partijen. Van IT-hosting tot klantdata, van financiële verwerking tot ESG-rapportages. Uitbesteden is aantrekkelijk, het is vaak efficiënt, sneller en van een kwalitatief hoog niveau. Maar wie denkt dat daarmee ook de verantwoordelijkheid verdwijnt, komt bedrogen uit. De realiteit is simpel: als uitbestedende organisatie blijf jij eindverantwoordelijk. Klanten, toezichthouders en andere stakeholders verwachten dat jij kunt aantonen dat jouw processen veilig, beschikbaar en beheerst verlopen, ook als ze (gedeeltelijk) in handen zijn van een derde partij. En precies daar komt de Third Party Mededeling (TPM) om de hoek kijken. Wat is een Third Party Mededeling? Een TPM-verklaring is een assurance-rapport dat inzicht geeft in de kwaliteit en betrouwbaarheid van uitbestede processen of systemen. Het rapport wordt opgesteld op basis van een erkende norm en door een onafhankelijke auditor gecontroleerd. Daarmee biedt het de zekerheid die stakeholders verlangen: jouw organisatie heeft grip op uitbesteding. Of je nu werkt voor een cloudprovider, softwarebedrijf, detacheerder, administratiekantoor of gegevensverwerker, een TPM helpt je aantoonbaar ‘in control’ te zijn. Waarom kiezen organisaties voor een TPM-verklaring? De directe aanleiding voor een TPM is vaak een vraag van een klant of toezichthouder: “Kun je aantonen dat je onze data veilig beheert?” of “Hoe borg je continuïteit als processen zijn uitbesteed?” Maar steeds meer organisaties zijn de vragen voor. Ze zien in dat een TPM-verklaring meer is dan een vinkje voor compliance: Het versterkt je betrouwbaarheid richting klanten en partners. Het voorkomt discussie en tijdverlies bij aanbestedingen of due diligence. Het dwingt intern om processen goed te documenteren en te verbeteren. En niet onbelangrijk: het voorkomt reputatieschade bij incidenten. Kortom: een TPM is geen doel op zich, maar een strategisch middel om risico’s te beheersen, vertrouwen te versterken en commerciële kansen te vergroten. Welke standaard past bij jouw organisatie? De wereld van TPM kent meerdere internationale standaarden. Welke voor jouw situatie geschikt is, hangt af van het type dienstverlening, de sector en de verwachtingen van jouw stakeholders. Hieronder zetten we de meest voorkomende standaarden op een rij. ISAE 3000 Deze standaard is breed inzetbaar voor niet-financiële processen zoals informatiebeveiliging, privacy, ESG-rapportages of HR-dienstverlening. Het is een principes-gebaseerde standaard, wat betekent dat de inhoud flexibel is in te vullen op basis van de context. Toepassing : organisaties die procesverantwoordelijkheid dragen voor vertrouwelijke gegevens, zoals SaaS-aanbieders of hostingpartijen. ISAE 3402 (SOC 1) ISAE 3402 is specifiek gericht op processen die van invloed zijn op de interne beheersing rondom financiële verslaggeving. Deze standaard is zeer geschikt voor bijvoorbeeld administratiekantoor, uitbestedingspartijen of shared service centers die processen uitvoeren met impact op de jaarrekening van hun klant. Toepassing : organisaties die loonadministratie, boekhouding of financiële verwerking voor derden uitvoeren. Meer lezen over ISAE 3402? Klik hier voor een verdiepende blog. SOC 2 en SOC 3 Beide rapporten zijn gebaseerd op het Trust Services Criteria-raamwerk van AICPA. SOC 2 is bedoeld voor professioneel gebruik en richt zich op vijf domeinen: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. SOC 3 is een publieksversie van SOC 2, vooral bedoeld voor marketingdoeleinden. Toepassing : technologiebedrijven, datacenters, SaaS-leveranciers. ISO 27001 ISO 27001 is een internationale norm voor informatiebeveiliging. Het is geen assurance-rapport maar een certificering. ISO 27001 toont aan dat jouw organisatie een informatiebeveiligingsmanagementsysteem (ISMS) heeft ingericht volgens internationale normen. Toepassing : organisaties die vooral een formele, gecertificeerde aanpak willen tonen. Meer lezen over de verschillende TPM-verklaringen? Klik hier voor een verdiepende blog. Type 1 of type 2: wat is het verschil? TPM-rapporten kunnen in twee vormen worden opgeleverd: type 1 of type 2. · Een type 1-rapportage geeft een momentopname: zijn de beheersmaatregelen ingericht zoals beschreven? · Een type 2-rapportage gaat verder: het toont over een periode (meestal 6 tot 12 maanden) aan dat deze maatregelen ook effectief hebben gewerkt. Wil je vertrouwen opbouwen richting klanten of toezichthouders? Dan biedt een type 2-rapport meer zekerheid. Daarom adviseren wij organisaties om een type 1-rapport te zien als opstap naar een type 2-rapport, met voldoende tijd (minimaal 6 maanden) tussen beide. Onze aanpak: praktisch en gefaseerd Een TPM-traject klinkt complex, maar dat hoeft het niet te zijn. Ferocia begeleidt organisaties stap voor stap naar een succesvolle TPM-verklaring. Onze aanpak is helder, pragmatisch en altijd afgestemd op jouw situatie. Stap 1: Quick scan We starten met een verkennende analyse: welk normenkader past het best bij jouw dienstverlening en wat is de scope van de TPM? We kijken naar processen, systemen, risico’s en klantverwachtingen. Deze stap geeft snel helderheid over de route en de impact. Stap 2: Normenkader opstellen Samen stellen we een passend normenkader op en indien van toepassing combineren we normenkaders, zodat we geen dubbel werk hoeven uit te voeren. Hierin staan de beheersmaatregelen die nodig zijn om aan de gekozen standaard te voldoen. Denk aan toegangsbeheer, logging, continuïteitsplanning, dataclassificatie of change management. We helpen je om deze maatregelen praktisch en beheersbaar te implementeren. Stap 3: Testen van maatregelen Na implementatie voeren we testwerkzaamheden uit. We controleren of de maatregelen werken zoals beoogd. Dit helpt om kinderziektes te ontdekken voordat de externe auditor meekijkt. Stap 4: Rapportage Op basis van de testresultaten stellen we een conceptrapportage op die voldoet aan de eisen van de gekozen standaard. Deze rapportage vormt de basis voor het formele auditrapport. Stap 5: Selectie en begeleiding externe auditor Tot slot helpen we je bij de selectie van een geschikte, onafhankelijke externe auditor. Wij zorgen voor een soepele overdracht en begeleiden het auditproces, zodat jij met vertrouwen het traject afrondt. Waarom kiezen organisaties voor Ferocia? TPM is geen papieren exercitie. Het gaat om vertrouwen, om aantoonbaar grip op uitbestede processen. En precies dat is waar Ferocia in uitblinkt. Met tientallen succesvolle TPM-trajecten op onze naam, kennen we de praktijk. We snappen hoe processen echt werken. We combineren technische kennis met organisatiesensitiviteit. En we weten hoe je maatregelen werkbaar maakt. Onze klanten waarderen vooral onze: Praktische aanpak : geen dikke rapporten, wel concrete oplossingen. Persoonlijke begeleiding : we zijn betrokken, kritisch en altijd bereikbaar. Ervaring en expertise : we kennen de normen en de praktijk. Efficiënte ondersteuning : we ondersteunen alleen waar nodig. Datgene wat je als organisatie zelf kan, hoef je niet uit te besteden. TPM-verklaring: niet wachten tot iemand het vraagt De eisen aan dienstverleners worden steeds hoger. Of je nu werkt voor een zorginstelling, IT-dienstverlener of overheidsorganisatie, klanten en toezichthouders willen zekerheid. Wacht dus niet tot je die vraag krijgt, maar neem zelf het initiatief. Met een Third Party Mededeling laat je zien dat je serieus werk maakt van risicobeheersing, compliance en kwaliteit. Het is een krachtig signaal, onze organisatie is in control. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem vandaag nog contact met ons op voor een vrijblijvend kennismakingsgesprek. Contact Blogs ISAE 3402 hoeft geen jaarlijks hoofdpijndossier te zijn. In deze blog ontdek je hoe je van een verplicht vinkje een strategisch instrument maakt dat processen versterkt, risico’s aanscherpt en eigenaarschap in de lijn creëert. Zo levert jouw verklaring wél waarde op. Klik door voor de volledige aanpak. ISAE 3402 verklaring Knop ISAE 3402, SOC 1 of SOC 2? In deze blog ontdek je eindelijk het verschil. Helder uitgelegd, met praktische handvatten om te bepalen welke verklaring écht past bij jouw dienstverlening. Voorkom dure fouten en maak een keuze die vertrouwen uitstraalt. Klik door voor de complete uitleg. ISAE 3402, SOC 1, SOC 2. Knop

< Terug Vacature Financieel manager Plaza Foods Per direct 36 tot 40 uur per week Nijmegen €79.920,- tot €93.240,- per jaar SOLLICITEER Over de organisatie Je komt terecht in een dynamische, internationale organisatie met een warme, informele bedrijfscultuur. Plaza Foods is begonnen als familiebedrijf en is inmiddels uitgegroeid tot een van Europa’s toonaangevende producenten van koelverse maaltijden met een oriëntaalse en mediterrane signatuur. Die oorsprong proef je nog steeds terug — in het eten en in de manier van samenwerken. Persoonlijke betrokkenheid, vakmanschap en innovatie gaan hier hand in hand. De organisatie groeit hard en investeert volop in technologie, processen en mensen. In de moderne productielocatie in Nijmegen wordt gewerkt aan kwaliteitsproducten die via retail en foodservice hun weg vinden naar klanten in heel Europa. Over de functie Als financieel manager speel je een sleutelrol binnen de organisatie. De functie vraagt om een professional die de directie kan voorzien van betrouwbare cijfers, heldere analyses en strategisch advies. In deze rol geef je richting aan het financiële beleid en heb je directe invloed op bedrijfsprocessen en keuzes die bepalend zijn voor de toekomst van het familiebedrijf. Deze organisatie wil inzetten op groei. Jij ook? Topprioriteiten van de functie: • Consolidatie & rapportage; zorgdragen voor tijdige, juiste en kritische analyses van de financiële prestaties van de holding, dochtermaatschappijen en privéholdings en van nieuw op te starten projecten. • Strategisch advies en sparringpartner voor general manager; kostprijzencalculatie, vertalen van cijfers naar inzicht en richtinggevend advies voor directie en MT. • Leiding & ontwikkeling; aansturen en coachen van de finance-afdeling en het verder professionaliseren van systemen en processen. Daarnaast ben je verantwoordelijk voor het opstellen van de maand-, kwartaal- en jaarrapportages en analyseer je deze kritisch, zodat de directie altijd beschikt over betrouwbare inzichten. Ook bewaak je budgetten, forecasts en de liquiditeitspositie. Je initieert verbetertrajecten en kostenbesparingsprojecten en onderhoudt actief contact met externe partijen zoals accountants, banken, verzekeringsmaatschappijen en de Belastingdienst. Je werkt continu aan het optimaliseren van financiële processen en systemen, zodat de organisatie klaar is voor de toekomst. Wie zoeken we? Je hebt een aantoonbaar hbo- of wo werk- en denkniveau. Je neemt vijf jaar ervaring mee in een vergelijkbare functie. Je hebt ervaring binnen een productieomgeving, food of non-food, waarbij ook met veel grondstoffen gewerkt wordt. Je bent gewend te werken met meerdere vennootschappen en om financiële rapportages zorgvuldig en volledig te verzorgen. Ook heb je internationale ervaring en beheers je de Engelse taal. Ervaring met geïntegreerde informatiesystemen komt je zeker van pas. Daarnaast voel je je thuis in een familiebedrijfscultuur, waar betrokkenheid en samenwerking belangrijk zijn. Je bent analytisch en accuraat, maar ook besluitvaardig en communicatief sterk, waardoor je met gemak de verbinding maakt met zowel je team als de directie. Bovenal geniet je van een dynamische omgeving waarin je soepel schakelt tussen operationele vraagstukken en strategische beslissingen. Arbeidsvoorwaarden • Een sleutelrol in een gezonde, groeiende organisatie met korte lijnen en een open cultuur. • Salaris tussen de 6.000,- en 7.000,- EUR o.b.v. 40u. • 25 vakantiedagen en 8% vakantiegeld. • Eindejaarsuitkering • Een goede pensioenregeling. • Een opleidings- en ontwikkelbudget. • Ruimte voor eigen initiatief en directe impact op strategie en processen. Over ons Ferocia levert verschillende diensten op het gebied van audit, controlen risicomanagement. Zo bemiddelen we in (interim-)professionals, waarbij we ons onderscheiden met onder meer ons uitgebreide netwerk en scherpe tarieven. Daarnaast ontzorgen onze ervaren consultants organisaties bij vraagstukken op het gebied van sturing en beheersing; van coaching van raden van bestuur tot implementatie van beheersmaatregelen in complexe omgevingen. Ook biedt Ferocia open en inhouse opleidingen en trainingen op voorgenoemde gebieden. Dit alles doen we vanuit het principe ‘inspiratie, co-creatie, prestatie’. Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!

< Terug Vacature Risk monitoring specialist Bovemij Per direct 36 tot 40 uur per week Nijmegen / Hybride € 51.652,- tot € 87.948,- per jaar SOLLICITEER Over Bovemij Bovemij verbindt de 10.000 Nederlandse mobiliteitsbedrijven met de 10 miljoen consumenten. Zo helpt Bovemij de consument aan betrouwbare mobiliteit en de branche succesvol ondernemen. Bovemij biedt oplossingen die branche en consument dichter bij elkaar brengen. Van verzekeringen tot financieringen, van data tot online portalen. Zo versterken we de band van rijdend Nederland, en helpen we Nederland vooruit. Over de functie Als junior/medior risk officer binnen Bovemij maak je onderdeel uit van het team Risk binnen de afdeling Risk & Compliance en speel je een centrale rol in het versterken van de interne beheersing. Je houdt scherp toezicht op de werking van interne beheersmaatregelen binnen de belangrijkste processen en draagt actief bij aan het aantoonbaar ‘in control’ zijn van de organisatie. Je werkt nauw samen met proceseigenaren in de eerste lijn en helpt hen bij het verbeteren van beheersmaatregelen. Je toetst of deze beheersmaatregelen voldoende effectief zijn en overtuigt waar nodig de business van het belang van structurele risicobeheersing. Een van de focuspunten binnen deze functie ligt op risico’s rondom IT en informatiebeveiliging, maar je krijgt ook te maken met bredere procesrisico’s. Je denkt mee over procesinrichting, helpt bij het opstellen van testplannen voor de eerste lijn en ontwikkelt monitoringsplannen voor de tweede lijn. Het team AO/IC, waar je deel van uitmaakt, is eigenaar van de GRC-tool (ServiceNow). Jij speelt hierin een sleutelrol: je beheert het systeem, denkt mee over doorontwikkeling en zorgt ervoor dat de tooling op een slimme en toegankelijke manier wordt ingezet binnen de organisatie. Binnen de afdeling is veel ruimte voor professionele en persoonlijke groei. Samen met je team neem je regelmatig deel aan intervisiesessies onder begeleiding van een externe teamcoach, waarbij kennisdeling en reflectie centraal staan. Wat ga je doen? Je adviseert de eerste lijn bij het opstellen van testplannen en het aantonen van de werking van beheersmaatregelen. Je stelt monitoringsplannen op om de effectiviteit van beheersmaatregelen te toetsen. Je toetst en beoordeelt de kwaliteit van beheersmaatregelen binnen IT- en operationele processen en rapporteert hierover. Je bent medeverantwoordelijk voor de doorontwikkeling en het beheer van de GRC-tool (ServiceNow). Je fungeert als inhoudelijk sparringpartner bij vraagstukken op het gebied van risicobeheersing, procesinrichting en compliance. Je draagt bij aan het vergroten van risicobewustzijn en het structureel verbeteren van de controlomgeving. Je werkt samen met collega’s binnen Risk, Compliance én de business. Collega Chantal over de functie “Het mooie aan deze functie is dat je niet alleen toetst, maar ook echt meedenkt. Over risico’s, over processen, over tooling – én over hoe je anderen daarin meeneemt. Je bent inhoudelijk betrokken, maar ook adviserend en verbindend.” Ze vervolgt: “Je gaat de hele organisatie door en leert daardoor veel collega’s kennen. Je kunt daadwerkelijk impact maken, omdat er nog veel te bouwen is. Je wordt gestimuleerd om ideeën aan te dragen, en daar wordt ook wat mee gedaan.” En over het team zegt ze: “We werken fijn samen, met vragen kunnen we altijd bij elkaar terecht. We zijn een divers team en iedereen brengt kennis en ervaring mee, waardoor we veel van elkaar kunnen leren.” Wie zoeken we? Minimaal één tot twee jaar relevante werkervaring. Kennis van IT-control (of de bereidheid om dit snel eigen te maken). Je bent communicatief sterk en schakelt gemakkelijk met verschillende lagen binnen de organisatie. Je weet anderen mee te nemen in het belang van risicobeheersing. Je stelt je proactief en resultaatgericht op: je werkt zelfstandig, maar bent tegelijkertijd een echte teamspeler die verbinding zoekt en eigenaarschap toont. Wat bieden we? Een salaris van maximaal € 87.948,- per jaar (inclusief vakantiegeld en 13de maand, exclusief winstdeling). En uitstekende secundaire arbeidsvoorwaarden. Denk daarbij aan een thuiswerkvergoeding, internetvergoeding, een vergoeding voor thuiswerkfaciliteiten, 200 uur vakantie op basis van 40 uur en de mogelijkheid om jaarlijks uren bij te kopen, een extra vrije dag op je verjaardag, reiskostenvergoeding, een fietsplan, een collectieve zorgverzekering, korting op de aanvullende ziektekostenverzekering, korting op particuliere verzekeringen, ruime leer- en ontwikkelingsmogelijkheden en een beschikbare premieregeling bij Zwitserleven met gedeeltelijke inleg voor de werkgever. Maar bovenal: een prettige werkomgeving met leuke collega’s! Over ons Ferocia is het enige bureau in Nederland dat volwaardige dienstverlening levert op het gebied van interim en consultancy, opleidingen en trainingen, en werving en selectie, binnen de vakgebieden internal audit, control en risicomanagement. Wij bieden deze disciplines afzonderlijk aan én combineren ze waar nodig — alles onder één dak. Dat is de kracht van complete dienstverlening! Lijkt deze functie je wat en herken je jezelf in het geschetste profiel? Of heb je vragen over deze functie? Solliciteer dan direct of neem contact op met Terri Stuijfbergen-Beens (085-0608598, terri.stuijfbergen@ferocia.nl ). Is deze functie toch niks voor jou? Check dan ook onze andere vacatures ! Ken je een andere topper bij wie deze functie zou passen? Dan komen we daarmee graag in contact! En vanzelfsprekend stellen we daar wat tegenover. Als je tip leidt tot plaatsing, dan belonen we je met een mooie finder's fee!