IT-Compliance und IT-Governance
von Change Management

Anhand von ITIL zeige ich (unabhängiger Wirtschaftsprüfer und IT-Auditor ) Ihnen in diesem Artikel zunächst, wie eine Good bzw. Best Practice für Standard-Change-Management-Prozesse aussieht. Was gilt es hier, z. B. beim Change Enablement oder für Organizational Changes, generell zu beachten?

Und inwieweit hinterfragt COBIT (Control Objectives for Information and Related Technology; zentrales Regelwerk für Wirtschaftsprüfer/Auditoren), die IT-Governance von SAP und IT Change Management?
Hierzu schauen wir uns am besten zunächst einen Standard-Change-Management-Prozess genauer an.

• Ein Standard-Change-Management-Prozess nach ITIL beginnt mit dem Change Request (Request for Change (RfC)).
• Wie auch immer dessen Erfassen erfolgt (z. B. Ticketsystem), besteht Schritt 2 in System-Registrierung und Klassifizierung der Change-Anfrage (z. B. als „Normal“ oder „Emergency“).
• Ist der Change Request im ITSM-Tool registriert und klassifiziert, beginnt nun nach ITIL die Überwachung und Planung der Umsetzung des Changes. Wie hoch sind z. B. die erwartbaren Kosten?
• Als vierter Schritt ist die Genehmigung des Changes Hierbei sind die Hauptfaktoren für eine Entscheidung meist das verfügbare Budget sowie die Prüfung, ob der Change Request tatsächlich in das Kompetenzfeld des Anfragenden fällt.
• Nun stehen Ausarbeitung und Test (im Entwicklungssystem) an. Zuvor ist die Änderung für den Test vom Zuständigen noch freizugeben.
• War das Testen erfolgreich, erteilt der Testende (meist Key User) die Freigabe der Implementierung.
• Schritt 7: Implementierung im Operativsystem samt QA-Prüfung
• Last but not least erfolgt nach ITIL die Auswertung, ob der Change „hält, was man sich davon versprochen hat“. Ist dies nicht der Fall, beginnt der Prozess von vorne – was nicht selten vorkommt. So ergeben sich hieraus immer wieder Veränderungen.

Generell gilt für Standard-Change-Management-Prozesse darüber hinaus:

• Dringlichkeit und Größe eines Changes haben keinen Einfluss auf den Ablauf selbst.
• Ablaufgeschwindigkeiten und Prioritäten können variieren (z. B. höhere Priorisierung von Genehmigung und Freigabe bei „Emergency“-Changes).
• Alle Prozesse müssen revisionssicher dokumentiert werden.

Werfen wir nun also einen Blick auf die wichtigsten Prozesse hinsichtlich der IT-Governance von Change Management für IT- und SAP-Landschaften. Hierzu stellt COBIT ein Framework für IT-Governance aus Kontrollperspektive bereit.
Aber welche COBIT-Dokumente sind hier besonders relevant? Und was sollten Sie laut diesen tun, um auf die „sichere Seite“ zu gelangen?

BAI05 – Managed Organizational Change (Organisations-Changes)

• Bereiten Sie Stakeholder auf geschäftliche Veränderungen vor.
• Verpflichten Sie sie und verringern Sie das Risiko des Scheiterns.

BAI07 – Managed IT Change Acceptance und Transitioning (i. e. L. für größere Projekte relevant)

• Lösungen sicher und im Einklang mit den vereinbarten Erwartungen und Ergebnissen umsetzen
• Prüfen, wiederholen und gegebenenfalls korrigieren

BAI06 – Managed IT Changes (tägliche, kleinere Changes)

• Ermöglicht schnelle und zuverlässige Änderungen
• Mindert das Risiko negativer Auswirkungen auf die Stabilität oder Integrität des veränderten Umfelds

Das COBIT-Dokument BAI06 befasst sich mit den täglichen, kleineren und damit oft häufigsten Changes in einem Unternehmen. Daher erläutere ich Ihnen dieses gerne noch etwas genauer:

BAI06.01 Bewerten, priorisieren und genehmigen von Änderungsanträgen

• Bewertung aller Änderungswünsche, um die Auswirkungen auf Geschäftsprozesse und IT-Dienstleistungen zu ermitteln und um zu beurteilen, ob sich die Änderung negativ auf die Betriebsumgebung auswirkt und inakzeptable Risiken mit sich bringt

BAI06.02 Notfalländerungen verwalten

• Verwalten Sie Notfalländerungen sorgfältig, um weitere Vorfälle zu minimieren.
• Stellen Sie sicher, dass die Notfalländerung kontrolliert wird und sicher abläuft.
• Stellen Sie sicher, dass Notfalländerungen nach der Änderung angemessen bewertet und autorisiert werden.

Wichtig: Notfalländerungen sind immer gesondert zu verwalten und zu dokumentieren.

BAI06.03 Änderungsstatus verfolgen und berichten

• Pflegen Sie ein Verfolgungs- und Berichtssystem, um abgelehnte Änderungen zu dokumentieren und den Status genehmigter, in Bearbeitung befindlicher und vollständiger Änderungen mitzuteilen.
• Sicherstellen, dass genehmigte Änderungen wie geplant implementiert werden

BAI06.04 Abschließen und dokumentieren der Änderungen

• Aktualisieren Sie bei jeder Implementierung von Änderungen die Lösung, die Benutzerdokumentation und die von der Änderung betroffenen Verfahren (bspw. „Loggingtabelle“).

Generell gilt für das Change Management nach COBIT: Jede Änderung muss über einen Status irgendwie verfolgbar sein – von der Anfrage über Test und Implementierung bis zum Livegang. Alles muss zudem revisionssicher dokumentiert sein (durchgängiges Tracing vom Change Request bis zur Produktivsetzung).

Informationen über mich sowie die Falk IT Audit & Consulting finden Sie unter https://audit.falk-co.de/de/unternehmen bzw. https://audit.falk-co.de/de.