In ons jaarlijkse verantwoordingsonderzoek onderzoeken wij onderdelen van het IT-beheer van IT-systemen van het ministerie. Deze onderdelen en de te onderzoeken beheersmaatregelen zijn geselecteerd vanuit een risicogebaseerde benadering. Daarbij kijken we primair naar de relevantie van het IT-systeem voor de jaarrekeningcontrole. Daarnaast kunnen ook IT-systemen in scope van het onderzoek zijn die van breder belang zijn voor het ministerie.

De minister is verantwoordelijk dat het IT-beheer op zijn ministerie op orde is. Als wij afwijkingen van de wet- en regelgeving constateren, of als een belangrijke beheersmaatregel ontbreekt, zijn dit tekortkomingen. Die kunnen leiden tot (ernstige) onvolkomenheden. Daarbij is onder andere van belang:

  • Hoe lang deed de tekortkoming zich voor?
  • Hoe hoog was het risico?
  • Hoe ernstig verstoorde de tekortkoming de bedrijfsvoering van het ministerie?

Voor de onderzoeken naar het IT-beheer steunen wij, als dat mogelijk is, op de werkzaamheden van de Auditdienst Rijk (ADR). De ADR heeft voor deze werkzaamheden een beoordelingskader opgesteld op basis van generieke IT-beheersmaatregelen. We noemen deze ook wel general IT-controls (GITC). GITC’s zijn generieke beheersmaatregelen die van belang zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking te kunnen waarborgen.

De GITC’s bestaan momenteel uit de volgende 6 onderdelen:

  1. Wijzigingsbeheer
  2. Wachtwoordbeheer
  3. Gebruikersbeheer
  4. Beveiliging van componenten
  5. Back-up & recovery
  6. Databasemutaties

Bij deze 6 onderdelen zijn normen en werkstappen gedefinieerd om de opzet, het bestaan en de werking van de beheersmaatregelen te toetsen. Voor de meeste normen is de Baseline Informatiebeveiliging Overheid (BIO) het uitgangspunt. De BIO is gebaseerd op de actuele, internationale standaard voor informatiebeveiliging (NEN-ISO/IEC 27001 en 27002). Risicomanagement is het uitgangspunt. Niet alle normen uit de BIO zijn ook relevant voor de jaarrekeningcontrole. Jaarlijks onderzoekt de ADR de relevantie van het GITC-kader en actualiseert het kader waar nodig.