De Auditdienst Rijk introduceert een vernieuwd IT General Controls (ITGC)-kader. In 2017 ontwikkelde de Auditdienst Rijk al een ITGC-kader om de IT-werkzaamheden bij jaarrekeningcontroles te standaardiseren. Met de komst van de BIO2 is dit kader vernieuwd.
In de BIO2 ligt de nadruk namelijk sterker op risicomanagement. De BIO2 geeft leidende principes en schrijft minder harde eisen voor. Hierdoor dragen organisaties zelf de verantwoordelijkheid voor het bepalen van een passend beveiligingsniveau. Het vernieuwde ITGC-kader sluit hierop aan door risicomanagement centraal te stellen. En door toetsing van relevante beheersmaatregelen, zoals wijzigingsbeheer, gebruikersbeheer en authenticatiebeheer.
ITGC-kader
Door de digitalisering van bedrijfsprocessen nemen IT-risico’s toe. Om gevoelige systemen en gegevens te beschermen zijn IT General Controls onmisbaar. Ze zorgen voor de integriteit, beschikbaarheid en vertrouwelijkheid van de digitale gegevensverwerking. Dit kader maakt de belangrijkste beheersmaatregelen inzichtelijk, bijvoorbeeld bij jaarrekeningcontroles en onderzoeken naar IT-beheer. Deze maatregelen helpen organisaties te voldoen aan de wet- en regelgeving én maken hen weerbaarder. Het kader vormt daarmee de basis voor IT-audits en interne controles.
Om het vernieuwde ITGC-kader breed toepasbaar te maken zijn ook de onderwerpen securitymanagement, incidentbeheer en continuïteitsbeheer verder uitgewerkt. Door de uniforme opzet kun je audituitkomsten van verschillende informatiesystemen en applicaties eenvoudig met elkaar vergelijken. Zo worden verbeterpunten sneller zichtbaar.
Aan de slag met het kader
Het kader is bedoeld voor iedereen die moet voldoen aan de BIO2: van Chief Information Security Officer (CISO) of IT-manager tot ontwikkelaar of auditor. Via de website van de Auditdienst Rijk vind je het ITGC-kader en meer informatie over hoe je het kunt gebruiken.
