Bildquelle: Pexels / Foto-ID 5240008 / https://www.pexels.com/photo/a-calendar-and-laptop-on-a-desk-5240008/
Audit-Ausnahmen sind im IT-Betrieb nicht automatisch ein Problem. Sie werden erst gefährlich, wenn niemand mehr erkennt, warum sie erlaubt wurden, wer sie erneut prüfen muss und wann sie wieder enden. Dann steht im Audit zwar eine Abweichungsliste, aber im Alltag fehlt die Entscheidung.
Ein Audit prüft, ob Prozesse, Kontrollen oder Nachweise zu einem vereinbarten Standard passen. ISO/IEC 20000 ist zum Beispiel ein internationaler Standard für Service Management. IT-Grundschutz und Risikomanagement helfen Organisationen, Schutzbedarf, Maßnahmen und Restfragen nachvollziehbar zu steuern. Für ITSM-Generalisten ist daran wichtig: Eine Ausnahme ist keine Freikarte, sondern eine begründete Abweichung mit Besitzer, Frist und nächster Prüfung.
Eine Ausnahme ist keine dauerhafte Nebenregel
Im Alltag entstehen Ausnahmen aus nachvollziehbaren Gründen. Ein Toolwechsel ist noch nicht fertig. Ein alter Dienst lässt sich nicht sofort ablösen. Ein Dienstleister braucht Übergangszeit. Ein Nachweis ist fachlich vorhanden, aber noch nicht sauber im System abgelegt. Solche Fälle können vertretbar sein, wenn das Risiko verstanden und zeitlich begrenzt ist.
Problematisch wird es, wenn die Ausnahme nach dem Audit in einer Tabelle verschwindet. Dann wird aus einer bewussten Entscheidung eine stille Nebenregel. Der Betrieb arbeitet weiter, als sei die Abweichung normal. Neue Mitarbeitende kennen den ursprünglichen Anlass nicht mehr. Beim nächsten Vorfall oder Audit beginnt die Diskussion von vorn, weil Zweck und Grenze nicht mehr sichtbar sind.
Der Besitzer muss mehr liefern als einen Namen
Jede Audit-Ausnahme braucht einen fachlichen Besitzer. Das ist nicht nur die Person, die in der Liste steht. Der Besitzer muss erklären können, welcher Service betroffen ist, welches Risiko akzeptiert wurde, welche Kompensation gilt und wer die nächste Entscheidung trifft. Ohne diese Rolle bleibt die Ausnahme organisatorisch heimatlos.
Ein guter Besitzer hält außerdem den Anschluss an den Betrieb. Wenn eine Ausnahme einen Service Desk, eine Berechtigung, eine Schnittstelle oder einen Lieferantenprozess betrifft, muss der jeweilige Prozess wissen, dass es diese Abweichung gibt. Sonst lebt die Governance in einem Dokument, während der operative Ablauf andere Entscheidungen trifft.
Das Ablaufdatum schützt vor Gewöhnung
Ein Ablaufdatum macht die Ausnahme unbequem genug, um nicht vergessen zu werden. Es zwingt die Organisation, vor Fristende eine Entscheidung zu treffen: schließen, verlängern, ersetzen oder eskalieren. Diese Reibung ist gewollt. Sie verhindert, dass aus einer Übergangslösung ein dauerhaft akzeptierter Kontrollverlust wird.
Die Frist sollte zum Risiko passen. Eine fehlende Dokumentation kann vielleicht einige Wochen offen bleiben, wenn der technische Zustand klar ist. Eine offene Berechtigung oder eine fehlende Sicherheitskontrolle braucht kürzere Intervalle und stärkere Kompensation. Entscheidend ist nicht die perfekte Zahl, sondern die sichtbare Logik hinter der Frist.
Kompensation muss im Arbeitsalltag funktionieren
Eine akzeptierte Abweichung braucht oft eine Ersatzkontrolle. Das kann ein zusätzlicher Review, eine manuelle Freigabe, ein Monitoring, ein Vier-Augen-Schritt oder ein begrenztes Betriebsfenster sein. Diese Kompensation darf aber nicht nur im Audittext stehen. Sie muss dort auftauchen, wo Menschen tatsächlich arbeiten.
Wenn ein Service Desk eine Ausnahme kennen muss, gehört sie in den Wissensartikel oder in den Ticketprozess. Wenn ein Change betroffen ist, gehört sie in die Freigabeunterlagen. Wenn ein Dienstleister betroffen ist, muss der Vertrag oder der Leistungsnachweis die Übergangsregel sichtbar machen. Nur dann wird Governance zu einem steuerbaren Betriebsschritt.
Die nächste Prüfung braucht eine echte Entscheidungsfrage
Schwache Reviews fragen nur, ob die Ausnahme noch existiert. Starke Reviews fragen, ob der ursprüngliche Grund noch trägt. Hat sich das Risiko verändert? Ist die geplante Maßnahme umgesetzt? Gibt es eine neue technische Möglichkeit? Hat ein Vorfall gezeigt, dass die Ersatzkontrolle nicht reicht? Wer diese Fragen nicht beantwortet, verlängert nur die Liste.
Für ITSM-Verantwortliche ist deshalb ein einfacher Prüfblock hilfreich. Er enthält Anlass, betroffenen Service, Risiko, Kompensation, Besitzer, Ablaufdatum, nächste Entscheidung und Eskalationsweg. Dieser Block ist klein genug für den Alltag und präzise genug für das nächste Audit. Er zeigt, dass die Ausnahme geführt wird und nicht nur verwaltet.
Gute Governance beendet Ausnahmen aktiv
Der praktische Start ist unspektakulär. Keine neue Audit-Ausnahme ohne Ablaufdatum. Keine Verlängerung ohne Begründung. Keine Kompensation ohne sichtbaren Arbeitsort. Keine offene Abweichung ohne Besitzer, der wirklich entscheiden kann. Damit wird aus einer Auditliste ein Steuerungsinstrument für den Betrieb.
Audit-Ausnahmen werden nicht dadurch sauber, dass sie formal dokumentiert sind. Sie werden sauber, wenn sie im Servicebetrieb wieder zu einer Entscheidung führen. Genau dafür braucht jede Ausnahme ein Ende, einen nächsten Prüfpunkt und eine klare Verantwortung.
Quellen und Einordnung: ISO zu ISO/IEC 20000-1 Service Management, NIST SP 800-37 zum Risikomanagement-Framework, BSI zum IT-Grundschutz. Stand der Quellenprüfung: 16.07.2026. Bildquelle: Pexels, Foto-ID 5240008.
