Compliance-Lexikon · Praxis
Change Management – Praxis
Change Management ist einer der Bereiche, bei dem Auditoren besonders genau hinschauen: Nicht weil der Prozess komplex sein müsste, sondern weil fehlende oder lückenhafte Dokumentation auf ein grundlegendes Kontrolldefizit hinweist.
Was Auditoren konkret prüfen
Der Auditor zieht eine Stichprobe aus den letzten 12 Monaten: Gibt es für jeden produktiven Change einen Request for Change (RFC), eine Genehmigung, einen Test-Nachweis und ein Implementierungsprotokoll?
Häufige Fehler
- RFC existiert, Genehmigung fehlt oder ist nicht datiert
- Emergency Changes nicht nacherfasst
- Keine Trennung zwischen Test- und Produktivumgebung dokumentiert
Praxis-Tipp
Ein Change-Ticket ohne Genehmigungsdatum zählt im Audit nicht. Wer ein ITSM-Tool nutzt (Jira, ServiceNow, OTRS), sollte sicherstellen, dass der Genehmigungsworkflow nachvollziehbar im Ticket abgebildet ist – nicht nur als Kommentar, sondern als Statuswechsel mit Timestamp und Approver.
Mindeststruktur eines RFC
Ein auditrelevanter Request for Change enthält: Beschreibung der Änderung, betroffene Systeme und Abhängigkeiten, Risikoabschätzung, Testplan, Rollback-Plan, Genehmigung mit Datum und Verantwortlichem sowie Implementierungsprotokoll. Diese Struktur lässt sich als Template in jedem ITSM-Tool abbilden.
Evidence-Anforderungen im Audit
Vorzulegen sind: vollständige Liste der Changes im Prüfungszeitraum, Stichproben-RFCs mit allen Pflichtfeldern ausgefüllt, Nachweis der CAB-Sitzungen oder äquivalenter Genehmigungsprozesse und Dokumentation aller Emergency Changes mit rückwirkender Genehmigung. Das BAM-Objekt GOV-CM-01 listet diese Anforderungen als prüfbare Checkliste.
Nächster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – wie Change Management als Risikokontrolle und Audit-Effizienzfaktor wirkt – findet sich auf Ebene 3.