Home Magazine

173 IT-controls… en hoe je ze in de publieke sector overzichtelijk ordent

30 maart, 2026
Auteur: Maria Haasnoot M.A. MSc RE

IT-auditors zijn gewend om met controls te werken. In vrijwel elk onderzoek komen beheersmaatregelen terug: rond applicaties, infrastructuur, security, change management of governance. Toch blijkt uit wetenschappelijk onderzoek dat het begrip ‘IT-control’ minder eenduidig is dan vaak wordt aangenomen. In de afgelopen 25 jaar zijn in de literatuur maar liefst 173 verschillende typen IT-controls beschreven. Sommige overlappen, andere verwijzen naar verschillende organisatieniveaus en weer andere gebruiken verschillende termen voor vrijwel hetzelfde concept.

Dat roept een interessante vraag op: als er zo veel verschillende definities en indelingen bestaan, hoe ordenen we het control-landschap eigenlijk?
Het vermogen van een organisatie om haar doelstellingen te realiseren
Voor auditors is dat geen theoretische kwestie. Verschillende definities kunnen leiden tot verschillende scopes, verschillende normenkaders en uiteindelijk ook verschillende bevindingen. Zeker in de publieke sector, waar digitalisering – van systemen en data tot ketensamenwerking, algoritmen en besluitvorming – niet alleen technische risico’s kent maar ook direct raakt aan rechtmatigheid, transparantie en publieke verantwoording, is het belangrijk dat we dezelfde taal spreken over wat ‘in control’ betekent. 

In lijn met bestaande literatuur over internal en management control (COSO, 2013; Simons, 1995; Merchant & Van der Stede, 2017) verstaan we onder ‘in control’ het vermogen van een organisatie om haar doelstellingen te realiseren door risico’s systematisch te identificeren, te beheersen en te monitoren. In de publieke sector betekent dit tevens dat publieke waarden zoals transparantie en verantwoording worden geborgd (Bannister & Connolly, 2014). IT-controls vormen daarbij het concrete instrumentarium waarmee digitalisering beheerst en verantwoord wordt.
Figuur 1: Overzicht van IT-beheersingsgebieden

In de paper “Towards a Classification of IT Control Areas for Government Digitalization” analyseren de auteurs 25 jaar wetenschappelijke literatuur over IT-controls. Op basis van een systematisch literatuuronderzoek identificeren zij 173 verschillende IT-control typen zoals figuur 1 presenteert. Ze stellen een classificatie (ordening) van deze controls op naar zowel beheersingsgebieden (figuur 1) als naar digitaliseringsrisico’s (figuur 2) van de overheid, zoals verder in dit artikel wordt uitgelegd.
Controls, controles of beheersmaatregelen
In de internationale literatuur verwijst het begrip ‘controls’ naar het geheel aan maatregelen waarmee organisaties risico’s beheersen. Deze maatregelen kunnen preventief, detectief of corrigerend zijn en bevinden zich niet alleen in het technisch domein, maar ook in governance, processen, contracten en organisatorische domeinen.

In het Nederlands wordt het begrip vaak vertaald als ‘controles’, met de connotatie dat control (vooral) gaat over achteraf-controleren. In dit artikel wordt daarom liever gesproken over ‘beheersmaatregelen’. Het gaat immers om het geheel aan mechanismen waarmee organisaties digitale risico’s proberen te beheersen.
Waarom de overheid een andere invalshoek nodig heeft
Digitalisering in de publieke sector verschilt op belangrijke punten van digitalisering in private organisaties:
  • Overheden opereren in een context waarin systemen niet alleen bedrijfsprocessen ondersteunen, maar ook publieke waarden zoals transparantie, rechtmatigheid en publieke verantwoording.
  • Daarnaast werken overheidsorganisaties vaak in complexe ketens met meerdere uitvoeringsorganisaties, leveranciers en beleidsverantwoordelijkheden.
  • Nieuwe wetgeving, politieke prioriteiten en publieke verantwoording zorgen voor een dynamiek die in veel private organisaties minder nadrukkelijk aanwezig is.
Uit het literatuuronderzoek blijkt bovendien dat relatief weinig studies IT-controls expliciet in een overheidsspecifieke context beschouwen. Van de 223 geïdentificeerde publicaties hadden slechts 33 studies expliciet betrekking op de publieke sector. Tegelijk heeft de overheid in de praktijk wel sector-specifieke normenkader, zoals duidelijk blijkt in het domein van informatiebeveiliging: de Baseline Informatiebeveiliging Overheid (BIO2), dat is gebaseerd op ISO 27001/27002 en mede de implementatie van de NIS2-richtlijn ondersteunt. Dit laat zien dat terwijl de literatuur weinig overheidsspecifieke IT-controls behandelt, de praktijk al sectorspecifieke kaders biedt voor informatiebeveiliging en IT-auditing.
Het model - een classificatie van IT-beheersingsgebieden
De studie ontwikkelt een classificatie van tien beheersingsgebieden die gekoppeld zijn aan overheidsspecifieke risicodomeinen. Zoals in figuur 2 is weergegeven.
Figuur 2: Van risico’s naar beheersing met controls: zo borgt de overheid publieke waarden

Aan de buitenkant van de “wiel” staan de risicodomeinen die bij overheidsprestaties steeds terugkomen – zoals niet-naleving van wet- en regelgeving, onvoldoende integratie tussen IT en beleid, inefficiëntie en verspilling, onvoldoende beheersing van IT-projecten, continuïteit/security/privacy, legacy-fragmentatie en risico’s rond datamanagement. Meer naar binnen vertaalt het model dit naar herkenbare IT-beheersingsgebieden (uitgewerkt in figuur 1), zoals application controls, data centre operational & support controls, enterprise architecture controls, cloud controls, security controls, system development/change controls, en controls rond IT-organisatie, IT-administratie en IT-strategie. En in het midden staat waar het uiteindelijk om draait: publieke waarde en verantwoording.

Het model laat ook zien dat risicobeheersing op het gebied van digitalisering in de overheid verder gaat dan traditionele IT general controls of application controls. Onderwerpen zoals enterprise-architectuur, datamanagement, cloudgebruik, projectbeheersing en governance worden in frameworks als COBIT of ISO/IEC 27001/27002 deels behandeld, maar vaak niet volledig, of niet gekoppeld aan overheidsspecifieke risicodomeinen en publieke waarden.

De toegevoegde waarde van deze classificatie ligt in het bieden van een breder, risicogericht overzicht van IT-controls voor de overheid, inclusief nieuwe technologieën en governance aspecten, en in het creëren van een gemeenschappelijke taal voor auditors en beleidsmakers.
Conclusie
De studie laat zien dat het veld van IT-controls in de literatuur sterk versnipperd is. Tegelijkertijd groeit de behoefte aan een gestructureerde manier om digitale risico’s in de publieke sector te begrijpen en te beheersen. Een classificatie van beheersingsgebieden biedt geen kant-en-klare toetsing methodiek, maar kan wel helpen om het control-landschap beter te begrijpen en de bevindingen te plaatsen in een bredere context van digitalisering en publieke waarden.

We zien als toegevoegde waarde van dit onderzoek voor de Rijksoverheid en (ook voor IT-auditing):
  • Ten eerste helpt een classificatie om een gemeenschappelijke taal te ontwikkelen. Wanneer controlbegrippen verschillend worden gebruikt, kan dat leiden tot verschillende interpretaties van auditbevindingen.
  • Ten tweede kan een classificatie helpen bij het herkennen van patronen. Bevindingen uit afzonderlijke onderzoeken lijken vaak incidenteel, maar kunnen bij bundeling wijzen op structurele problemen in architectuur, datagovernance of portfoliosturing.
  • Ten derde vormt de classificatie een brug tussen (audit)praktijk en wetenschappelijke literatuur. Nieuwe onderwerpen zoals AI-governance, DevOps-controls en Zero Trust-architecturen zijn in organisaties al actueel, terwijl deze onderwerpen in de academische literatuur nog relatief beperkt zijn geordend. Deze brug bespoedigt wetenschappelijk onderzoek naar nieuwe onderwerpen. Hiervan kan auditing dan weer profiteren.
Uiteindelijk gaat het niet om het aantal van controls, maar om het spreken van dezelfde taal over wat “in control” betekent en hoe dat bijdraagt aan publieke waarden. De echte uitdaging voor de organisaties (en ook auditors) ligt niet in méér controls, maar in meer overzicht, eenduidigheid en inzicht in welke maatregelen welke risico’s en publieke waarden afdekken.
Referenties
  • Haasnoot, M., Janssen, M., & Bharosa, N. (2024). Towards a Classification of IT Control Areas for Government Digitalization.
  • ISACA (2019). COBIT 2019 Framework: Governance and Management Objectives. 
  • ISO/IEC (2022). ISO/IEC 27001: Information security management systems.
  • Bannister, F., & Connolly, R. (2014). ICT, Public Values and Transformative Government. Government Information Quarterly.
  • Janssen, M., & van Veenstra, A. (2015). Failure of Large Transformation Projects from the Perspective of Complex Adaptive Systems. Government Information Quarterly.
  • Bannister, F., & Connolly, R. (2014). ICT, public values and transformative government: A framework and programme for research. Government Information Quarterly, 31(1), 119–128.
  • Committee of Sponsoring Organizations of the Treadway Commission (COSO). (2013). Internal Control – Integrated Framework. COSO: https://www.coso.org/guidance-on-ic
  • Janssen, M., & van Veenstra, A. F. (2015). Failure of large transformation projects from the viewpoint of complex adaptive systems. Government Information Quarterly, 32(3), 386–395.
  • Merchant, K. A., & Van der Stede, W. A. (2017). Management Control Systems: Performance Measurement, Evaluation and Incentives (4e ed.). Pearson.
  • Simons, R. (1995). Levers of Control: How Managers Use Innovative Control Systems to Drive Strategic Renewal. Harvard Business School Press.
  • Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. (2023). BIO2 – Doorontwikkeling Baseline Informatiebeveiliging Overheid versie 1.3.
    https://www.digitaleoverheid.nl/nieuws/bio2-versie-1-3-voor-alle-overheidslagen/ 
    https://zoek.officielebekendmakingen.nl/stcrt-2026-7416-n1.pdf
Disclaimer: Bij het schrijven van dit artikel is gebruikgemaakt van een AI-tool (ChatGPT van OpenAI) ter ondersteuning bij taal- en structuurverbetering en het maken van figuur 2. De inhoud is door de auteur handmatig gecontroleerd en definitief opgesteld.
Maria Haasnoot MSc EMITA RE
Strategisch business & iController Ministerie van LVVN
Maria Haasnoot-Bezverhaya heeft ruim 18 jaar ervaring in complexe IT-governance/-control en digitaliseringsvraagstukken bij de Rijksoverheid: IT-auditing, informatiemanagement, Project Portfolio Management, IT-governance, COBIT 2019, I-strategie, IT- en iControl, Grote IT-projecten, Risicomanagement, process mining, AI-implementaties

PhD onderzoeker TU Delft
De afgelopen drie jaar doet Maria promotieonderzoek aan de TU Delft naar Adaptive iControl bij overheden
Docent bij de Rijksacademie voor Financiën, Economie en Bedrijfsvoering, Ministerie van Financiën

Maria is tevens docent Financieel Risicomanagement en Onregelmatigheden voor buitenlandse overheden die zich voorbereiden op toetreding tot de EU.