Bildquelle: Pexels / Foto-ID 325229 / https://www.pexels.com/photo/325229/
Ein Audit fragt am Ende nicht nach der schönsten Prozessfolie. Es fragt nach belastbaren Belegen aus dem Alltag: Wer hat entschieden, was wurde geändert, wann wurde geprüft, welche Ausnahme war erlaubt und wo ist die Spur im Betrieb zu finden?
Für ITSM-Generalisten ist das ein praktischer Unterschied. Ein Standard wie ISO/IEC 20000-1 beschreibt Anforderungen an ein Service-Management-System. ISO/IEC 27001 ordnet Informationssicherheitsmanagement über Risiken, Maßnahmen und Nachweise. Das NIST Cybersecurity Framework hilft Organisationen, Sicherheitsfähigkeiten strukturiert zu steuern. Gemeinsam machen solche Regelwerke deutlich: Governance wird erst dann belastbar, wenn Entscheidungen und Kontrollen im laufenden Betrieb nachweisbar werden.
Prozessfolien erklären den Sollzustand, Belege zeigen den Alltag
Eine Prozessbeschreibung ist wichtig. Sie erklärt, wie Änderungen, Incidents, Zugriffe oder Lieferantenübergaben gedacht sind. Im Audit reicht diese Erklärung aber selten aus. Prüfer wollen sehen, ob der beschriebene Ablauf auch in echten Fällen funktioniert hat. Genau hier trennt sich dokumentierte Absicht von gelebter Kontrolle.
Ein sauberer Betriebsbeleg beantwortet konkrete Fragen. Welche Änderung wurde freigegeben? Welche Auswirkung war erwartet? Wer hat zugestimmt? Wurde nach dem Rollout kontrolliert? Gab es eine Ausnahme und wurde sie begründet? Wenn diese Antworten nur in Gesprächen oder in einer Präsentation auftauchen, bleibt der Nachweis schwach. Wenn sie in Tickets, Change-Datensätzen, Freigabeprotokollen, Monitoring-Ereignissen und Review-Notizen liegen, entsteht eine belastbare Spur.
Audits werden schwierig, wenn Nachweise erst gesammelt werden
Der gefährliche Moment beginnt oft Wochen vor einer Prüfung. Dann werden Screenshots gesucht, Tabellen nachgebaut und Verantwortliche gebeten, alte Entscheidungen zu erklären. Das wirkt fleißig, zeigt aber ein strukturelles Problem. Der Betrieb hat seine Nachweise nicht dort erzeugt, wo die Arbeit passiert ist.
Für den Service Desk bedeutet das unnötige Rückfragen. Für Change-Verantwortliche bedeutet es Nacharbeit. Für Sicherheits- und Compliance-Teams bedeutet es Unsicherheit, ob der gefundene Ausschnitt wirklich den damaligen Stand zeigt. Je stärker ein Audit nachträglich rekonstruiert werden muss, desto größer wird das Risiko, dass Einzelwissen wichtiger wird als der geregelte Prozess.
Der beste Audit-Beleg entsteht im normalen Ticketfluss
Ein guter Nachweis muss nicht kompliziert sein. Er sollte nur früh genug entstehen. Ein Incident-Ticket kann zeigen, wann eine Störung erkannt, priorisiert, eskaliert und geschlossen wurde. Ein Change-Datensatz kann zeigen, welche Prüfung vor der Umsetzung erfolgte und ob ein Rückweg vorhanden war. Ein Zugriffsreview kann zeigen, wer eine Berechtigung bestätigt oder entzogen hat. Ein Provider-Ticket kann zeigen, ob ein Lieferant seine Zusage im Ausfall tatsächlich erfüllt hat.
Der entscheidende Punkt ist die Verbindung. Einzelne Datensätze helfen wenig, wenn sie nicht zum Service, zur verantwortlichen Rolle, zum Risiko und zur Entscheidung passen. Ein Audit-Beleg wird stark, wenn er eine nachvollziehbare Kette bildet: Ausgangslage, Entscheidung, Umsetzung, Kontrolle und Ergebnis.
Fünf Nachweisfragen helfen vor der nächsten Prüfung
ITSM-Teams können ihre Auditfähigkeit mit einfachen Fragen prüfen. Erstens: Gibt es für wichtige Änderungen eine erkennbare Freigabe und einen dokumentierten Rückweg? Zweitens: Können Incidents später einem Service, einer Priorität und einer Kundenwirkung zugeordnet werden? Drittens: Sind Ausnahmen befristet, begründet und wieder auffindbar? Viertens: zeigen Zugriffs- und Rollenprüfungen nicht nur Listen, sondern Entscheidungen? Fünftens: lassen sich Lieferantenbeiträge im Ausfall von internen Maßnahmen trennen?
Diese Fragen ersetzen kein Auditprogramm. Sie machen aber sichtbar, ob der Betrieb seine Spuren im Alltag erzeugt. Wer jede Frage erst mit Sonderauswertungen beantworten muss, sollte nicht auf die nächste Prüfung warten. Dann fehlt kein schöneres Reporting, sondern ein stabilerer Nachweisfluss.
Management braucht keine Belegflut, sondern klare Belegpunkte
Ein häufiger Fehler ist das Gegenteil von Nachweislücke: zu viele Daten ohne erkennbare Aussage. Lange Exportdateien, unkommentierte Loglisten oder komplette Ticketarchive helfen dem Management kaum. Auditfähigkeit entsteht nicht durch Masse, sondern durch ausgewählte Belegpunkte, die eine Entscheidung nachvollziehbar machen.
Dafür sollten Verantwortliche festlegen, welche Pflichtfelder wirklich gebraucht werden. Ein Change braucht zum Beispiel Risiko, betroffene Services, Freigabe, Umsetzungszeitpunkt, Rückweg und Abschlusskontrolle. Ein Incident braucht Wirkung, Priorität, Eskalation, Kommunikation und Ursache oder mindestens den Stand der Ursachenanalyse. Ein Zugriffsreview braucht Rolle, Besitzer, Entscheidung und Datum. Je klarer diese Punkte im Arbeitsfluss verankert sind, desto weniger Sonderarbeit entsteht später.
Die Auditspur ist auch ein Betriebswerkzeug
Audit-Belege werden oft als Pflicht für Prüfer gesehen. Im Alltag sind sie aber ein Werkzeug für den Betrieb selbst. Wer gute Nachweise hat, erkennt wiederkehrende Ausnahmen, riskante Freigaben, unklare Rollen und Lieferantenlücken schneller. Die gleiche Spur, die im Audit Fragen beantwortet, hilft auch bei Störungen, Eskalationen und Managemententscheidungen.
Deshalb sollte die Frage nicht lauten, welche Folie den Prozess am besten erklärt. Die bessere Frage lautet: Welche Belege entstehen automatisch, wenn der Prozess wirklich gelebt wird? Dort beginnt belastbare Governance. Nicht am Ende in der Präsentation, sondern jeden Tag in den Systemen, in denen der Betrieb seine Entscheidungen trifft.
Quellen und Einordnung: ISO/IEC 20000-1 zum Service-Management-System, ISO/IEC 27001 zu Informationssicherheitsmanagementsystemen, NIST Cybersecurity Framework, Global Internal Audit Standards des Institute of Internal Auditors. Stand der Quellenprüfung: 04.07.2026. Bildquelle: Pexels, Foto-ID 325229.
