REALTECH AG Wie sieht es in Ihrem Unternehmen bezüglich der IT-Compliance und IT-Governance von Change Management aus? Sind Ihre Change-Prozesse 'compliant' und werden revisionssicher dokumentiert? Halten sie zudem IT-Governance-Anforderungen stand und unterstützen Unternehmensstrategie und -ziele? Um dies besser beurteilen zu können, verschaffe ich Ihnen im zweiten Teil dieser kleinen Blog-Serie nun einen Überblick der Regelwerke ITIL und COBIT.
IT-Governance und IT-Compliance von SAP und IT Change Management
Anhand von ITIL zeige ich (unabhängiger Wirtschaftsprüfer und IT-Auditor ) Ihnen in diesem Blogartikel zunächst, wie eine Good bzw. Best Practice für Standard-Change-Management-Prozesse aussieht. Was gilt es hier, z. B. beim Change Enablement oder für Organizational Changes, generell zu beachten?
Und inwieweit hinterfragt COBIT (Control Objectives for Information and Related Technology; zentrales Regelwerk für Wirtschaftsprüfer/Auditoren), die IT-Governance von SAP und IT Change Management?
Hierzu schauen wir uns am besten zunächst einen Standard-Change-Management-Prozess genauer an.
- Ein Standard-Change-Management-Prozess nach ITIL beginnt mit dem Change Request (Request for Change (RfC)).
- Wie auch immer dessen Erfassen erfolgt (z. B. Ticketsystem), besteht Schritt 2 in System-Registrierung und Klassifizierung der Change-Anfrage (z. B. als 'Normal' oder 'Emergency').
- Ist der Change Request im ITSM-Tool registriert und klassifiziert, beginnt nun nach ITIL die Überwachung und Planung der Umsetzung des Changes. Wie hoch sind z. B. die erwartbaren Kosten?
- Als vierter Schritt ist die Genehmigung des Changes Hierbei sind die Hauptfaktoren für eine Entscheidung meist das verfügbare Budget sowie die Prüfung, ob der Change Request tatsächlich in das Kompetenzfeld des Anfragenden fällt.
- Nun stehen Ausarbeitung und Test (im Entwicklungssystem) an. Zuvor ist die Änderung für den Test vom Zuständigen noch freizugeben.
- War das Testen erfolgreich, erteilt der Testende (meist Key User) die Freigabe der Implementierung.
- Schritt 7: Implementierung im Operativsystem samt QA-Prüfung
- Last but not least erfolgt nach ITIL die Auswertung, ob der Change 'hält, was man sich davon versprochen hat'. Ist dies nicht der Fall, beginnt der Prozess von vorne - was nicht selten vorkommt. So ergeben sich hieraus immer wieder Veränderungen.
Generell gilt für Standard-Change-Management-Prozesse darüber hinaus:
- Dringlichkeit und Größe eines Changes haben keinen Einfluss auf den Ablauf selbst.
- Ablaufgeschwindigkeiten und Prioritäten können variieren (z. B. höhere Priorisierung von Genehmigung und Freigabe bei 'Emergency'-Changes).
- Alle Prozesse müssen revisionssicher dokumentiert werden.
Werfen wir nun also einen Blick auf die wichtigsten Prozesse hinsichtlich der IT-Governance von Change Management für IT- und SAP-Landschaften. Hierzu stellt COBIT ein Framework für IT-Governance aus Kontrollperspektive bereit.
Aber welche COBIT-Dokumente sind hier besonders relevant? Und was sollten Sie laut diesen tun, um auf die 'sichere Seite' zu gelangen?
BAI05 - Managed Organizational Change (Organisations-Changes)
- Bereiten Sie Stakeholder auf geschäftliche Veränderungen vor.
- Verpflichten Sie sie und verringern Sie das Risiko des Scheiterns.
BAI07 - Managed IT Change Acceptance und Transitioning (i. e. L. für größere Projekte relevant)
- Lösungen sicher und im Einklang mit den vereinbarten Erwartungen und Ergebnissen umsetzen
- Prüfen, wiederholen und gegebenenfalls korrigieren
BAI06 - Managed IT Changes (tägliche, kleinere Changes)
- Ermöglicht schnelle und zuverlässige Änderungen
- Mindert das Risiko negativer Auswirkungen auf die Stabilität oder Integrität des veränderten Umfelds
Das COBIT-Dokument BAI06 befasst sich mit den täglichen, kleineren und damit oft häufigsten Changes in einem Unternehmen. Daher erläutere ich Ihnen dieses gerne noch etwas genauer:
BAI06.01 Bewerten, priorisieren und genehmigen von Änderungsanträgen
- Bewertung aller Änderungswünsche, um die Auswirkungen auf Geschäftsprozesse und IT-Dienstleistungen zu ermitteln und um zu beurteilen, ob sich die Änderung negativ auf die Betriebsumgebung auswirkt und inakzeptable Risiken mit sich bringt
BAI06.02 Notfalländerungen verwalten
- Verwalten Sie Notfalländerungen sorgfältig, um weitere Vorfälle zu minimieren.
- Stellen Sie sicher, dass die Notfalländerung kontrolliert wird und sicher abläuft.
- Stellen Sie sicher, dass Notfalländerungen nach der Änderung angemessen bewertet und autorisiert werden.
Wichtig: Notfalländerungen sind immer gesondert zu verwalten und zu dokumentieren.
BAI06.03 Änderungsstatus verfolgen und berichten
- Pflegen Sie ein Verfolgungs- und Berichtssystem, um abgelehnte Änderungen zu dokumentieren und den Status genehmigter, in Bearbeitung befindlicher und vollständiger Änderungen mitzuteilen.
- Sicherstellen, dass genehmigte Änderungen wie geplant implementiert werden
BAI06.04 Abschließen und dokumentieren der Änderungen
- Aktualisieren Sie bei jeder Implementierung von Änderungen die Lösung, die Benutzerdokumentation und die von der Änderung betroffenen Verfahren (bspw. 'Loggingtabelle').
Generell gilt für das Change Management nach COBIT: Jede Änderung muss über einen Status irgendwie verfolgbar sein - von der Anfrage über Test und Implementierung bis zum Livegang. Alles muss zudem revisionssicher dokumentiert sein (durchgängiges Tracing vom Change Request bis zur Produktivsetzung).
Ausblick auf IT und SAP Change Management: IT-Compliance durch die 'Prüferbrille' - Teil 3Im letzten Artikel dieser Blog-Serie werde ich noch einmal etwas auf COBIT eingehen. Außerdem werfen wir einen Blick 'durch die Prüferbrille' auf IT-Compliance und IT-Governance von Change Management (bzw. IT Management generell).
Ihr
Prof. Dr. Jonas Tritschler
Informationen über mich sowie die Falk IT Audit & Consulting finden Sie unter https://falk-itaudit.com/Geschaeftsfuehrung.html bzw. https://falk-itaudit.com.
Sie haben Teil 1 noch nicht gelesen? Hier geht'szum ersten Artikel.
REALTECH Tipp:Morgen kommt der Wirtschaftsprüfer
Haben Sie unsere interaktive Expertenrunde zum Thema IT-Compliance verpasst? Gemeinsam mit Prof. Dr. Jonas Tritschler (Falk IT Audit & Consulting) und Michael Heyn (SERVIEW) diskutierten wir:
- Warum Anforderungen und Komplexität künftig noch zunehmen werden.
- Warum IT-Compliance für viele ein so unliebsames Thema ist.
- Und wie Sie Ihre IT-Organisation so aufstellen, dass die nächste Revision per Knopfdruck erledigt ist.
Jetzt Aufzeichnung kostenlos ansehen!
Attachments
- Original document
- Permalink
Disclaimer
Realtech AG published this content on 15 March 2021 and is solely responsible for the information contained therein. Distributed by Public, unedited and unaltered, on 28 March 2021 19:31:02 UTC.
