General IT Controls in kleinen öffentlichen Unternehmen – Eine Checkliste für die Interne Revision

In ihrem Beitrag zeigen Jan Schmeisky, Sophia Steinle und Kim Socher, wie sich „General IT Controls“ (GITC) praxistauglich auf die besonderen Rahmenbedingungen kleiner öffentlicher Unternehmen zuschneiden lassen. Kommunale Eigenbetriebe, Stadtwerke oder Zweckverbände stehen unter hoher regulatorischer Dichte und wachsendem Cyber-Risiko – verfügen jedoch häufig nur über begrenzte personelle und finanzielle Ressourcen. Standard-Checklisten aus der Konzernwelt greifen hier oft zu kurz oder führen zu wenig praktikablen Feststellungen.

Die Autoren entwickeln daher eine speziell auf kleine öffentliche Einheiten ausgerichtete GITC-Checkliste. Sie berücksichtigt zentrale Anforderungen wie BSI WiBA, IT-Grundschutz, Vergaberecht (UVgO/VgV), EVB-IT, DSGVO, KRITIS sowie Vorgaben zur Barrierefreiheit und E-Rechnung. Im Fokus stehen unter anderem IT-Strategie und Governance, Dienstleistersteuerung und Cloud-Nutzung, Identitäts- und Berechtigungsmanagement, Notfallvorsorge, Patch-Management sowie finanzrelevante IT-Kontrollen. Ziel ist ein ausgewogenes Instrument zwischen regulatorischer Vollständigkeit und praktischer Umsetzbarkeit.

Besondere Aufmerksamkeit widmen die Autoren typischen Risikofeldern kleiner Organisationen: dem Spannungsfeld fehlender Funktionstrennung und kompensierender Kontrollen, dem „IT-Kümmerer“ als Single Point of Failure, intransparenter Schatten-IT durch unsystematische Beschaffung sowie dem Trugschluss vollständiger Risikoverlagerung bei Outsourcing an kommunale Rechenzentren. Ihr Fazit: Eine wirksame Prüfung von General IT Controls erfordert kein schematisches Abarbeiten von Listen, sondern ein tiefes Verständnis für die öffentlich-rechtlichen Rahmenbedingungen und die operativen Realitäten kleiner Einheiten.

Den Gastbeitrag finden Sie hier.