Wat zijn ITGC (IT General Controls)?
IT General Controls — in het Nederlands de algemene IT-beheersmaatregelen — zijn de overkoepelende controls over een IT-omgeving die de betrouwbaarheid, integriteit en beschikbaarheid van applicaties en gegevens borgen. Het kenmerkende van ITGC is hun reikwijdte: ze werken niet op het niveau van één transactie, maar op het niveau van de systemen, databases, besturingssystemen en infrastructuur waarin álle transacties worden verwerkt. Eén goed werkende ITGC raakt daardoor talloze processen tegelijk.
Een voorbeeld maakt het concreet. Stel dat een boekhoudpakket automatisch controleert dat een inkoopfactuur overeenkomt met de bestelling en de ontvangst (een drieweg-matching). Die geautomatiseerde controle is alleen betrouwbaar als niemand ongeautoriseerd de programmacode of de instellingen kan aanpassen, als alleen bevoegde mensen toegang hebben tot het systeem, en als het systeem stabiel draait met goede back-ups. Die randvoorwaarden — toegang, wijzigingen, ontwikkeling en operatie — zijn precies wat ITGC afdekken.
Daarom worden ITGC ook wel pervasive of fundamentele controls genoemd: ze zeggen op zichzelf niets over de juistheid van één boeking, maar ze bepalen of je kunt vertrouwen op alles wat het systeem doet. Frameworks als COBIT, ISO 27001 en het NIST Cybersecurity Framework geven de inhoudelijke maatregelen; de auditpraktijk groepeert ze traditioneel in vier domeinen.
ITGC versus application controls en IPE
Wie ITGC wil begrijpen, moet drie begrippen uit elkaar houden die in elke IT-audit terugkomen.
- ITGC (algemene controls): de overkoepelende beheersing van toegang, wijzigingen, ontwikkeling en operatie van de IT-omgeving.
- Application controls (applicatiecontroles): geautomatiseerde controles bínnen een applicatie die de juistheid en volledigheid van een specifieke verwerking bewaken — denk aan invoervalidaties, verplichte velden, automatische berekeningen, drieweg-matching of geconfigureerde autorisatielimieten.
- IPE – Information Produced by the Entity: rapportages, queries en overzichten die uit een systeem komen en die als auditbewijs worden gebruikt. De betrouwbaarheid van zo'n rapport hangt af van de juistheid en volledigheid van de onderliggende data — en dus van de ITGC.
De relatie is afhankelijk en hiërarchisch. Application controls en IPE leunen op de ITGC. Werken de ITGC niet, dan kan een auditor niet zonder meer steunen op een geautomatiseerde controle, want dan staat niet vast dat die controle het hele jaar ongewijzigd en correct heeft gefunctioneerd. Dat is precies waarom ITGC zo'n centrale plaats innemen: één zwakke schakel in de algemene controls kan de bewijskracht van een hele reeks geautomatiseerde controles ondermijnen.
De vier domeinen van ITGC
De auditpraktijk — en standaarden achter SOX, SOC 1 en ISAE 3402 — verdeelt ITGC doorgaans in vier domeinen. Samen beslaan ze de hele levenscyclus van een IT-systeem: wie erin mag, hoe het verandert, hoe het ontstaat en hoe het dagelijks draait.
| Domein | Engelse term | Waar het over gaat |
|---|---|---|
| Logische toegang | Access to Programs and Data | Wie heeft toegang tot systemen en data, en is die toegang passend en functiescheidend? |
| Wijzigingsbeheer | Change Management | Worden wijzigingen aan applicaties en infrastructuur beheerst aangevraagd, getest en goedgekeurd? |
| Systeemontwikkeling | Program Development | Worden nieuwe systemen en grote releases beheerst ontwikkeld en in productie genomen? |
| IT-operations | Computer Operations | Draait het systeem betrouwbaar: jobscheduling, back-up en herstel, monitoring en incidentbeheer? |
1. Logische toegang (Access to Programs and Data)
Het meest getoetste en vaak meest risicovolle domein. Het draait om de vraag: heeft alleen de juiste persoon toegang tot het juiste systeem en de juiste data? Belangrijke maatregelen zijn het toekennen van rechten volgens least privilege (niet meer dan nodig), functiescheiding (segregation of duties, zodat één persoon niet zowel kan invoeren als goedkeuren), gedegen gebruikersbeheer bij in-, door- en uitstroom (joiner-mover-leaver), periodieke toegangsreviews en strikt beheer van privileged accounts zoals beheerders- en systeemaccounts. Hier raakt de IT-audit direct aan het werk van de information security officer, die deze toegangsmaatregelen ontwerpt en beheert.
2. Wijzigingsbeheer (Change Management)
Dit domein borgt dat aanpassingen aan productiesystemen niet ongecontroleerd plaatsvinden. Een wijziging hoort een vast pad te volgen: aangevraagd en onderbouwd, getest in een aparte omgeving, formeel goedgekeurd en pas daarna doorgevoerd. Cruciaal is de scheiding tussen ontwikkel-, test- en productieomgeving en het principe dat een ontwikkelaar niet zelf ongecontroleerd code naar productie kan brengen. Goed wijzigingsbeheer voorkomt dat een (kwaadwillende of slordige) wijziging de werking van een geautomatiseerde controle stilletjes verandert — en is daarmee onmisbaar om op application controls te kunnen steunen.
3. Systeemontwikkeling (Program Development)
Waar wijzigingsbeheer over aanpassingen aan bestaande systemen gaat, kijkt dit domein naar de bouw en implementatie van nieuwe systemen en grote releases of migraties. Het gaat om een beheerst ontwikkelproces (SDLC), het testen en accepteren van nieuwe functionaliteit, en de juiste en volledige overdracht van gegevens bij een datamigratie. Bij organisaties die veel met standaardpakketten of SaaS werken, krijgt dit domein vaak de vorm van beheerste implementatie- en configuratieprojecten.
4. IT-operations (Computer Operations)
Het domein dat de dagelijkse, betrouwbare werking van systemen borgt. Denk aan jobscheduling en het bewaken van batchverwerkingen, back-up en herstel (en het testen daarvan), monitoring van systemen en capaciteit, en gestructureerd incident- en probleembeheer. Dit domein raakt sterk aan business continuity en aan normen als ISO 22301: als een verwerking stilvalt of data verloren gaat, komt ook de financiële verslaglegging in gevaar.
Op zoek naar een rol in IT-audit?
Van junior en senior IT-auditor tot IT Audit Manager: op IT Compliance Jobs vind je de nieuwste vacatures bij de Big Four, advieskantoren, banken, verzekeraars en multinationals.
Bekijk IT-auditvacaturesWaarom ITGC ertoe doen: de link met de jaarrekeningcontrole en SOX
ITGC zijn geen doel op zich; hun belang komt voort uit wat ze ondersteunen. Bij de jaarrekeningcontrole wil de accountant kunnen steunen op geautomatiseerde controles en op rapportages uit IT-systemen. Dat kan alleen als de onderliggende ITGC aantoonbaar werken. De IT-auditor levert daarom de bouwsteen waarop de financiële controle voortbouwt: hij toetst of de IT-omgeving betrouwbaar genoeg is om op te steunen.
In een internationale context speelt SOX (de Amerikaanse Sarbanes-Oxley Act) een vergelijkbare rol: beursgenoteerde ondernemingen moeten aantonen dat hun interne beheersing over de financiële verslaggeving werkt, en ITGC zijn daarvan een vast en zwaarwegend onderdeel. Veel Nederlandse dochters van Amerikaanse beursfondsen draaien daarom een jaarlijks SOX-ITGC-testprogramma, vaak naast een SOC 1- of ISAE 3402-rapportage richting klanten. Voor wie de verschillen tussen die assurancerapporten wil doorgronden, is onze gids over SOC 2 en de vergelijking met ISAE 3402 een goede aanvulling.
Dat het in de praktijk niet meevalt, blijkt uit de inspecties van de Amerikaanse toezichthouder PCAOB. Al jaren keren twee thema's terug als veelvoorkomende aandachtspunten: onvoldoende scoping van de relevante IT-systemen voor controletoetsing, en het verkeerd evalueren van ITGC-tekortkomingen. Beide laten zien hoe belangrijk het is dat een IT-auditor echt begrijpt hoe systemen een transactie verwerken — en niet alleen een checklist afvinkt.
Hoe een IT-auditor ITGC toetst
Het toetsen van ITGC volgt een vaste logica die elke IT-auditor in de vingers krijgt. In grote lijnen verloopt het zo:
- Scoping en risicoanalyse: bepalen welke applicaties, databases en infrastructuur relevant zijn voor de financiële verslaglegging of voor de scope van het assurancerapport.
- Walkthrough: per control doorlopen hoe die hoort te werken en wie hem uitvoert, vaak aan de hand van één voorbeeld.
- Toets op opzet en bestaan: is de control goed ingericht (opzet) en op een moment ook daadwerkelijk aanwezig (bestaan)?
- Toets op werking (operating effectiveness): heeft de control gedurende de hele periode gewerkt? Hiervoor neemt de auditor een steekproef — bijvoorbeeld een aantal wijzigingen of nieuwe gebruikers — en toetst per geval of het proces is gevolgd. Bij volledig geautomatiseerde controls kan soms een test of one volstaan, mits het wijzigingsbeheer aantoont dat de control niet is veranderd.
- Evaluatie van bevindingen: afwijkingen worden gewogen op hun impact (zie hieronder).
Steeds vaker gebeurt dit deels geautomatiseerd. Door de toename van cloud, SaaS en honderden systemen tegelijk is een puur op spreadsheets gebaseerd ITGC-programma niet meer houdbaar; GRC- en ITGC-tooling en data-analyse winnen daarom snel terrein. Ook AI doet zijn intrede, bijvoorbeeld bij het analyseren van volledige populaties in plaats van steekproeven en bij het signaleren van afwijkende toegangsrechten.
Het evalueren van ITGC-tekortkomingen
Niet elke bevinding is even ernstig. Een belangrijk en lastig onderdeel van het vak is het wegen van een tekortkoming. De auditpraktijk kent daarvoor een oplopende schaal:
| Niveau | Betekenis |
|---|---|
| Deficiency (tekortkoming) | Een control is niet goed opgezet of heeft niet (altijd) gewerkt, maar de impact is beperkt. |
| Significant deficiency | Een tekortkoming die belangrijk genoeg is om te melden aan de leiding of het auditcomité. |
| Material weakness (materiële zwakte) | Een tekortkoming waardoor een wezenlijke fout in de financiële verslaglegging niet tijdig zou worden voorkomen of ontdekt. |
De kunst zit in de doorvertaling: een ITGC-tekortkoming is zelden direct een fout in de cijfers, maar verhoogt het risico daarop. De IT-auditor moet daarom de koppeling leggen naar het onderliggende proces — welke geautomatiseerde controls of welke data leunen op deze ITGC? — en beoordelen of er compenserende maatregelen zijn. Juist hier gaat het in de praktijk vaak mis, zoals ook de PCAOB-inspecties laten zien: een tekortkoming wordt te licht gewogen omdat de relatie met het transactieproces onvoldoende is doorgrond.
ITGC in 2026: cloud, SaaS en automatisering
De inhoud van ITGC is stabiel, maar de context verandert snel. Een paar ontwikkelingen bepalen het werk van de IT-auditor in 2026:
- Cloud en SaaS. Een groot deel van de IT-omgeving draait niet meer in het eigen datacenter, maar bij externe leveranciers. Dat verschuift een deel van de ITGC naar die leveranciers — en maakt assurancerapporten als SOC 1 en ISAE 3402 en het beheersen van third-party risk belangrijker dan ooit.
- Schaal. Organisaties draaien tientallen tot honderden applicaties en identity providers tegelijk. Handmatig testen schaalt niet meer; continue monitoring en geautomatiseerde controletoetsing worden de norm.
- Identity-centric beveiliging. Met de opkomst van zero trust verschuift de nadruk binnen logische toegang naar sterke authenticatie, just-in-time-toegang en strak beheer van privileged accounts.
- AI en data-analyse. AI ondersteunt bij het analyseren van volledige populaties, het opsporen van afwijkende rechten en het opstellen van bevindingen — maar introduceert ook nieuwe controlevraagstukken over de modellen zelf.
De rode draad: de IT-auditor die ITGC test, beweegt steeds meer richting data, automatisering en ketenbeheersing. Dat maakt het vak inhoudelijk rijker en de vraag naar goede mensen alleen maar groter.
Wie werkt er met ITGC? De rollen op de arbeidsmarkt
ITGC zijn bij uitstek een onderwerp dat meerdere functies verbindt. De ene rol ontwerpt de controls, de andere voert ze uit en weer een andere toetst ze onafhankelijk. Zo verdeelt het werk zich doorgaans:
| Rol | Rol bij ITGC |
|---|---|
| IT-auditor / Senior IT-auditor | Toetst onafhankelijk de opzet, het bestaan en de werking van de ITGC, voor de jaarrekeningcontrole, SOX of een assurancerapport. |
| IT Audit Manager | Stuurt het IT-auditteam aan, bepaalt de scope en de aanpak en is verantwoordelijk voor de kwaliteit en conclusies van de ITGC-toetsing. |
| IT control owner / proceseigenaar | Voert de control in de eerste lijn daadwerkelijk uit en levert het bewijs — bijvoorbeeld de beheerder die toegang toekent of wijzigingen goedkeurt. |
| Information Security Officer / CISO | Ontwerpt en bewaakt het beleid en de maatregelen rond toegang, wijzigingen en operatie waarop de ITGC steunen. |
| IT Risk & Compliance Officer / GRC | Bewaakt het ITGC-framework in de tweede lijn, beheert de tooling en bewaakt de naleving van SOX, ISO 27001 en interne kaders. |
| SOX-specialist / internal controls | Coördineert het jaarlijkse SOX-programma en de testing van ITGC bij beursgenoteerde ondernemingen. |
Die verdeling sluit naadloos aan op het Three Lines Model: de IT- en businessfuncties beheersen de controls in de eerste lijn, risk en compliance bewaken en challengen in de tweede lijn, en de IT-auditor toetst onafhankelijk in de derde lijn. Op ons platform zijn de IT-auditfuncties — van junior tot manager — veruit het sterkst vertegenwoordigd, en ITGC vormen daarvan de inhoudelijke kern.
Vaardigheden en certificeringen
Wie met ITGC werkt, combineert technische nieuwsgierigheid met een gestructureerde, kritische blik. Werkgevers vragen doorgaans om:
- Begrip van IT-processen: weten hoe toegang, wijzigingen en operatie in systemen als ERP-pakketten, databases en cloudplatformen werken.
- Procesdenken: de brug kunnen slaan van een IT-control naar het financiële of bedrijfsproces dat erop steunt.
- Frameworkkennis: vertrouwd zijn met COBIT, ISO 27001 en de logica achter SOX, SOC 1 en ISAE 3402.
- Analytisch vermogen en tooling: kunnen werken met data-analyse en GRC-/ITGC-platformen voor geautomatiseerde toetsing.
- Heldere rapportage: bevindingen kunnen wegen en begrijpelijk uitleggen aan zowel IT als het management.
Qua certificeringen is de CISA (Certified Information Systems Auditor) van ISACA de standaard voor IT-auditors. Aanvullend zijn de CRISC (risicomanagement), CISM (securitymanagement) en de CIA (Certified Internal Auditor) waardevol. In Nederland sluit de postacademische opleiding tot RE (Register EDP-auditor) sterk aan op het ITGC-werkveld.
Salaris in Nederland
Omdat ITGC de kern vormen van de sterk gevraagde IT-auditfunctie, liggen de salarissen op een aantrekkelijk niveau. De beloning hangt af van ervaring, werkgever (de Big Four en de financiële sector betalen doorgaans goed) en of je in de advies- of de interne-audithoek werkt. Als indicatie voor Nederland in 2026:
| Niveau | Indicatief bruto jaarsalaris |
|---|---|
| Junior IT-auditor | €38.000 – €55.000 |
| Medior IT-auditor | €55.000 – €75.000 |
| Senior IT-auditor | €75.000 – €95.000 |
| IT Audit Manager | €90.000 – €130.000+ |
De bedragen zijn richtbedragen; de feitelijke beloning verschilt per werkgever, regio en sector. Meer detail vind je in onze gids over het salaris van de IT-auditor. Bekijk de actuele IT-auditvacatures voor de meest recente arbeidsvoorwaarden.
Carrièrepad: van ITGC naar breder IT-audit en GRC
ITGC zijn voor veel professionals de ideale opstap in IT-audit, security en risk. Je leert er de hele IT-omgeving van binnenuit kennen: toegang, wijzigingen, ontwikkeling en operatie raken aan vrijwel elke afdeling. Veelvoorkomende paden zijn:
- Doorgroeien binnen audit: van junior via senior IT-auditor naar IT Audit Manager en verder.
- Overstappen naar de eerste of tweede lijn: als information security officer, IT risk & compliance officer of GRC-specialist die de controls zelf ontwerpt en bewaakt.
- Specialiseren: richting cloud-audit, ERP-/SAP-controls, data-analyse of de auditkant van third-party risk.
- Doorgroeien naar leiderschap: richting Head of Internal Audit of de stap van IT-auditor naar CISO.
Omdat ITGC de taal van zowel IT als finance spreken, bouw je er een breed en gewild profiel mee op. Het is geen toeval dat IT-audit de meest aangeboden functie op ons platform is.
Conclusie
IT General Controls zijn het stille fundament onder betrouwbare systemen, geautomatiseerde controles en financiële verslaglegging. Wie de vier domeinen — logische toegang, wijzigingsbeheer, systeemontwikkeling en IT-operations — beheerst, begrijpt waarom een nog zo slimme applicatiecontrole zonder goede ITGC waardeloos is. Voor de IT-auditor zijn ITGC de dagelijkse kern van het werk, en met de opkomst van cloud, SaaS, automatisering en AI wordt dat werk eerder rijker dan eenvoudiger. Voor wie een loopbaan in IT-audit, security of risk ambieert, bieden ITGC een stevige en toekomstbestendige basis. Bekijk de actuele IT-compliancevacatures om te zien welke organisaties vandaag versterking zoeken.