Van 173 IT-controls naar één taal: grip op digitale risico’s bij de overheid

IT-auditors zijn gewend om met controls te werken. In vrijwel elk onderzoek komen beheersmaatregelen terug: rond applicaties, infrastructuur, security, change management of governance. Toch blijkt uit wetenschappelijk onderzoek dat het begrip ‘IT-control’ minder eenduidig is dan vaak wordt aangenomen. In de afgelopen 25 jaar zijn in de literatuur maar liefst 173 verschillende typen IT-controls beschreven. Sommige overlappen, andere verwijzen naar verschillende organisatieniveaus en weer andere gebruiken verschillende termen voor vrijwel hetzelfde concept.

Dat roept een interessante vraag op: als er zo veel verschillende definities en indelingen bestaan, hoe ordenen we het control-landschap eigenlijk?

Het vermogen van een organisatie om haar doelstellingen te realiseren

Voor auditors is dat geen theoretische kwestie. Verschillende definities kunnen leiden tot verschillende scopes, verschillende normenkaders en uiteindelijk ook verschillende bevindingen. Zeker in de publieke sector, waar digitalisering – van systemen en data tot ketensamenwerking, algoritmen en besluitvorming – niet alleen technische risico’s kent maar ook direct raakt aan rechtmatigheid, transparantie en publieke verantwoording, is het belangrijk dat we dezelfde taal spreken over wat ‘in control’ betekent. 

In lijn met bestaande literatuur over internal en management control (COSO, 2013; Simons, 1995; Merchant & Van der Stede, 2017) verstaan we onder ‘in control’ het vermogen van een organisatie om haar doelstellingen te realiseren door risico’s systematisch te identificeren, te beheersen en te monitoren. In de publieke sector betekent dit tevens dat publieke waarden zoals transparantie en verantwoording worden geborgd (Bannister & Connolly, 2014). IT-controls vormen daarbij het concrete instrumentarium waarmee digitalisering beheerst en verantwoord wordt.

[....]