Bildquelle: Pexels / Foto-ID 3184292 / Dokumenten- und Kennzahlenprüfung als Motiv für Audit-Ausnahme, Nachweis und Rückweg / https://www.pexels.com/photo/3184292/
Audit-Ausnahmen klingen oft nach einem kleinen Verwaltungsproblem. Ein System erfüllt eine Vorgabe noch nicht, eine Kontrolle ist technisch gerade nicht möglich, ein Lieferant braucht mehr Zeit oder ein Projekt darf vorübergehend mit einer Abweichung weiterlaufen. Gefährlich wird es, wenn aus dieser Ausnahme kein klarer Arbeitsauftrag entsteht. Dann bleibt die Abweichung bestehen, obwohl sie im Audit eigentlich nur befristet akzeptiert wurde.
Ein Audit prüft nicht nur, ob Regeln auf dem Papier existieren. Es prüft, ob eine Organisation nachweisen kann, wie sie Risiken erkennt, bewertet, behandelt und nachverfolgt. Normen und Rahmenwerke wie ISO/IEC 27001, der NIST Cybersecurity Framework oder der IT-Grundschutz des BSI verlangen keine perfekte IT ohne jede Abweichung. Sie verlangen aber eine nachvollziehbare Steuerung. Wer eine Ausnahme akzeptiert, muss deshalb zeigen können, warum sie erlaubt wurde, wer sie verantwortet und wann sie wieder geschlossen wird.
Die Ausnahme braucht einen Arbeitsort
Für ITSM-Generalisten ist die wichtigste Frage sehr praktisch: Wo lebt diese Ausnahme im Alltag? Wenn sie nur in einer Audit-Liste, einer E-Mail oder einem Meetingprotokoll steht, erreicht sie den Betrieb oft zu spät. Sinnvoller ist ein Ticket oder ein vergleichbarer Arbeitsdatensatz, der die Ausnahme mit Dienst, Risiko, Owner, Zielzustand und Prüftermin verbindet. Dann bleibt sie nicht nur ein Nachweis für Auditoren, sondern wird Teil der operativen Arbeit.
Der Rückweg ist dabei wichtiger als die Begründung allein. Eine gute Ausnahme erklärt nicht nur, warum eine Kontrolle gerade nicht greift. Sie beschreibt auch, welcher Zustand wieder erreicht werden soll. Muss ein veralteter Server ersetzt werden? Fehlt ein Logging-Nachweis? Ist ein Dienstleister noch nicht vollständig in den Zugriffsprozess eingebunden? Muss ein Change erst in ein Wartungsfenster? Ohne diesen Zielzustand kann niemand erkennen, ob die Ausnahme kleiner wird oder einfach weiterläuft.
Der Zielzustand entscheidet über die Steuerung
Ein belastbares Ausnahme-Ticket braucht deshalb wenige, aber harte Felder. Dazu gehören die betroffene Kontrolle, der betroffene Dienst, die Risiko-Einschätzung, der fachliche und technische Owner, die akzeptierende Rolle, das Ablaufdatum, der nächste Prüftermin und die konkrete Maßnahme zum Schließen. Zusätzlich sollte sichtbar sein, ob ein Risiko bewusst getragen, technisch kompensiert oder aktiv beseitigt wird. Das verhindert, dass jede Ausnahme gleich aussieht, obwohl die operative Dringlichkeit sehr unterschiedlich sein kann.
Auch die Sprache ist wichtig. Ein Feld wie „Abweichung akzeptiert“ hilft im Betrieb wenig. Besser ist eine Formulierung, die die nächste Handlung zeigt: Zugriffsliste bis zum nächsten Monatswechsel bereinigen, Protokollierung für den Dienst aktivieren, Lieferantennachweis einholen, Altsystem aus dem Netzwerksegment entfernen oder Verantwortlichen im Servicekatalog nachtragen. Solche Formulierungen machen aus Compliance eine Aufgabe, die ein Team wirklich abarbeiten kann.
Wiedervorlage ist kein Formalismus
Besonders riskant sind Ausnahmen ohne Wiedervorlage. Sie verschwinden nicht, weil niemand sie sieht. Sie tauchen nur später wieder auf, oft im nächsten Audit, bei einer Störung oder nach einem Sicherheitsvorfall. Dann ist schwer zu erklären, warum die Organisation zwar von der Abweichung wusste, aber keinen Rückweg geführt hat. Für Management und Betrieb entsteht damit ein Vertrauensproblem: Wurden Risiken wirklich gesteuert oder nur sauber abgelegt?
Der Service Desk und das Change Management können hier mehr leisten, als oft gedacht wird. Sie müssen nicht jedes Audit-Thema fachlich entscheiden. Sie können aber dafür sorgen, dass Ausnahmen eine Arbeitsform bekommen. Ein Ticket sorgt für Status, Frist, Eskalation, Historie und Zuständigkeit. Ein Change kann den technischen Rückbau oder die spätere Kontrolle planen. Eine Service-Owner-Runde kann prüfen, ob die Ausnahme noch zum Dienst passt oder ob der Dienst anders beschrieben werden muss.
ITSM macht Compliance arbeitsfähig
Für die nächste Prüfung zählt am Ende nicht die schönste Liste, sondern die Nachvollziehbarkeit. Wer zeigen kann, wann eine Ausnahme eröffnet wurde, wer sie akzeptiert hat, welche Maßnahme geplant war und wie der Status heute aussieht, steht fachlich stärker da. Wer nur eine alte Freigabe findet, muss erklären, warum daraus keine Steuerung geworden ist.
Der pragmatische Maßstab ist einfach. Keine Audit-Ausnahme ohne Ablaufdatum. Keine Abweichung ohne Owner. Keine Risikoakzeptanz ohne nächste Prüfung. Und kein Eintrag, der nur für das Audit existiert, aber im Betrieb keinen Arbeitsort hat. Wenn der Rückweg schon im Ticket steht, wird aus der Ausnahme kein Dauerzustand, sondern ein kontrollierter Übergang zurück in den Normalbetrieb.
Quellen und Stand
- ISO, ISO/IEC 27001 Information security management systems, abgerufen am 11.07.2026: ISO/IEC 27001
- NIST, Cybersecurity Framework, abgerufen am 11.07.2026: NIST Cybersecurity Framework
- BSI, IT-Grundschutz, abgerufen am 11.07.2026: IT-Grundschutz
- AXELOS, ITIL 4 Change Enablement Practice Guide, abgerufen am 11.07.2026: Change Enablement
