De casus: verzekeraar met 6 labels en een DORA-deadline
Een middelgrote verzekeraar is door acquisities gegroeid tot een groep met 6 labels. Verschillende merken, verschillende systemen, verschillende volwassenheidsniveaus. Door de schaalgrootte komt de organisatie op het punt dat de AFM eisen gaat stellen rondom DORA-compliance. Er moet een Internal Audit Functie (IAF) komen.
De directie wil wel — maar realiseert zich dat de organisatie nog niet volwassen genoeg is om het drie-lijns-model volledig te omarmen. De eerste lijn is nog in opbouw. Risk management is versnipperd over de labels. Compliance is reactief en soms zelfs afwezig. En nu moet er een derde lijn komen die onafhankelijk toetst. Dat gaat alleen maar 'gedoe' opleveren denkt de directie. Een terechte zorg.
Het dilemma
- Een fulltime CAE is disproportioneel — er is onvoldoende werk voor een vaste functie, en de organisatie is er cultureel nog niet klaar voor
- Een beginnende auditor (want die "kan het wel") mist het C-level gewicht om het gesprek met directie/bestuur, RvC en toezichthouder te voeren
- Een extern adviestraject levert een assessment op met powerpoint presentaties en lijvige documenten maar geen werkende functie. En kost een veelvoud
- Niets doen is geen optie — de AFM verwacht substance
De pragmatische aanpak
Audirium wordt ingeschakeld als fractional Internal Audit Functie. Niet met een theoretisch implementatieplan, maar met een pragmatische aanpak die rekening houdt met waar de organisatie nu staat. De kern: 20 dagen inzet om te kijken wat eruit komt. Geen groot project met open einde maar een afgebakende eerste fase die direct waarde levert.
Drie sporen, één aanpak
| Spoor | Wat | Waarom pragmatisch |
|---|---|---|
| 1. Road to Compliance | DORA-compliancetraject voor AFM in kaart brengen: wat moet er staan, wanneer, en wie is eigenaar? | Niet alles tegelijk. Focus op wat de AFM verwacht — niet op een ideaalplaatje dat de organisatie niet kan waarmaken. Groeifasen en ambitie is wat hier leidend moet zijn. |
| 2. 6 labels, verschillende risicoprofielen | Per label bepalen: hoe materieel is het? Welke risicoprofielen spelen? Waar zit de grootste exposure en behoefte? Waar kunnen we snel succes boeken? | Niet elk label heeft dezelfde audit-intensiteit nodig. Proportionaliteit: de grootste risico's krijgen de meeste aandacht. En begin daar waar men wil, creëer 'pockets of success'. |
| 3. Audit-aanpak alignen | Nulmeting, gap-analyse en quality assurance afstemmen op de Road to Compliance. Auditplan dat meegroeit, gericht op continue verbetering in plaats van zeggen dat het niet goed is. 'Klaar' is een concept voor de business dat de komende tijd niet zal gelden. | Het auditplan is geen statisch document maar een levend instrument dat meebeweegt met de DORA-roadmap. Agile concepten introduceren een ritme dat meebeweegt met de business in plaats van een alternatieve werkelijkheid. |
Hoe het werkte: 20 dagen
Week 1–2: Oriëntatie en nulmeting
- Stakeholdergesprekken met bestuur, compliance, IT en operatie per label
- DORA-nulmeting: waar staat de organisatie op de vijf DORA-pijlers (ICT risk management, incident reporting, digital resilience testing, third-party risk, information sharing)? Per entiteit en over de groep heen.
- Materialiteitsbeoordeling per label: welke 6 entiteiten zijn het meest relevant voor de AFM? En waar heeft het bestuur zelf behoefte aan? Hoe past dit binnen de strategie van acquisitie en beperkte integratie?
Week 3–4: Gap-analyse en road to compliance
- Gap-analyse: per DORA-pijler het verschil tussen huidige situatie en bestuur/AFM-verwachting
- Road to compliance opgesteld: concrete stappen, eigenaren en deadlines per label. Praktische uitleg door Internal Audit wat er moet gebeuren.
- Audit-aanpak gedefinieerd: welke audits zijn nodig in het eerste jaar, in welke volgorde, met welke diepgang? Er zullen meer gap-analyses en status reports komen dan échte audits — het DORA-werk is nog niet af en dat is begrijpelijk.
- Quality assurance framework: hoe borgen we dat de IAF zelf aan de standaarden voldoet?
Deliverables na 20 dagen
| Deliverable | Status |
|---|---|
| DORA-nulmeting (per pijler, per label) | Afgerond en besproken met bestuur |
| Materialiteitsbeoordeling labels | Gevalideerd — 3 labels high, 1 medium, 2 low |
| Road to Compliance (DORA/AFM) | Opgeleverd met tijdlijn en eigenaren |
| Gap-analyse | Per label en op groepsniveau. Per DORA-pijler, inclusief prioritering |
| Risicogebaseerd auditplan jaar 1 | Geaccordeerd door bestuur |
| IAF-charter (proportioneel) | Vastgesteld — passend bij huidige volwassenheid |
| QA-framework | Basisversie operationeel |
Waarom dit werkt
De organisatie heeft na 20 dagen geen rapport over hoe het zou moeten zijn. Ze heeft een werkend vertrekpunt: een IAF die past bij de huidige volwassenheid, een road to compliance die realistisch is, en een auditplan dat meegroeit naarmate de organisatie volwassener wordt. Geen focus op rapporten die zeggen dat het nog niet goed is, maar actie-gedreven communicatie gericht op groei en verbetering.
Geen overengineered drie-lijns-model dat niemand begrijpt. Geen 200-pagina DORA-assessment dat in de la verdwijnt. Maar een pragmatische basis die de AFM-toets doorstaat en waarop de organisatie kan bouwen.
De bestuurder: "We hoefden niet perfect te zijn. We moesten laten zien dat we begrijpen waar we staan en waar we naartoe moeten. Dat staat er nu."
Het verschil
| Audirium (20 dagen) | Traditioneel adviestraject | |
|---|---|---|
| Doorlooptijd | 4 weken | 12–16 weken |
| Output | Werkende IAF + road to compliance | Assessment-rapport + aanbevelingen |
| Implementatie | Direct bruikbaar | Apart vervolgtraject |
| Proportionaliteit | Afgestemd op volwassenheid | Gebaseerd op best practice (ideaalplaatje) |
| Kosten | Vooraf vastgesteld | Open einde, meerwerk gebruikelijk |
| Vervolg | Flexibel op- en afschaalbaar | Nieuw project per fase |
We hoefden niet perfect te zijn. We moesten laten zien dat we begrijpen waar we staan en waar we naartoe moeten. Dat staat er nu.
— Bestuurder, Verzekeraar