Vernieuwd ITGC-kader door Auditdienst Rijk: praktisch inzicht in IT-beheer

De digitalisering van bedrijfsprocessen leidt tot een toename van IT-risico’s. Om gevoelige systemen en gegevens te beschermen, zijn IT General Controls (ITGC) onmisbaar. Deze beheersmaatregelen bieden niet alleen zekerheid richting regelgeving en compliance, maar versterken bovenal de weerbaarheid van (overheids)organisaties. De IT General Controls dragen zorg voor de integriteit, beschikbaarheid en vertrouwelijkheid van de digitale gegevensverwerking.

Het ITGC-kader is het basisraamwerk van de Auditdienst Rijk voor IT-onderzoeken. Het wordt onder andere gebruikt in de jaarrekeningcontrole en bij onderzoeken naar IT-beheer. Eerder ontwikkelde de Auditdienst Rijk in 2017 een ITGC-kader om de IT-werkzaamheden voor de jaarrekeningcontrole te uniformeren. De komst van de BIO2 in 2025 was aanleiding om het kader te vernieuwen.

In de BIO2 ligt de nadruk nog sterker op risicomanagement. Doordat de BIO2 leidende principes geeft, maar minder harde eisen voorschrijft, dragen organisaties zelf de verantwoordelijkheid voor het bepalen van een passend beveiligingsniveau. Het vernieuwde ITGC-kader speelt daarop in door risicomanagement centraal te stellen, gevolgd door toetsing van relevante beheersmaatregelen zoals wijzigingsbeheer, gebruikersbeheer en authenticatiebeheer.

Om het vernieuwde ITGC-kader breed toepasbaar te maken, zijn ook de onderwerpen securitymanagement, incidentbeheer en continuïteitsbeheer verder uitgewerkt. Het kader ondersteunt zowel interne controles als certificerende onderzoeken, bijvoorbeeld bij de jaarrekeningcontrole. Dankzij de uniforme opzet kunnen audituitkomsten van verschillende informatiesystemen en applicaties eenvoudig met elkaar worden vergeleken. Dat maakt het mogelijk om snel verbeterpunten te signaleren. Het kader biedt organisaties praktisch inzicht in de mate van beheersing én de effectiviteit van de genomen beveiligingsmaatregelen.

Het kader is te downloaden via onze website: