Bildquelle: Pexels / Foto-ID 4476376 / Notizbuch und Stift als Symbol für nachvollziehbare Auditbelege, Entscheidungen und Kontrollspuren / https://www.pexels.com/photo/4476376/
Eine IT-Organisation kann sauber klingende Richtlinien haben und im Audit trotzdem schlecht aussehen. Der Grund ist selten die fehlende Regel. Häufig fehlen Spuren aus dem Alltag: Wer hat entschieden, welche Ausnahme wurde erlaubt, welche Kontrolle hat wirklich stattgefunden und was wurde danach verbessert? Für ITSM wird Governance erst dann belastbar, wenn sie im Betrieb Belege erzeugt.
Governance beschreibt die Steuerung und Kontrolle einer Organisation. Im IT-Betrieb geht es dabei um Zuständigkeiten, Regeln, Risiken, Entscheidungen und Nachweise. Standards wie ISO/IEC 20000, ITIL, COBIT oder das Cybersecurity Framework des US-Instituts NIST liefern dafür Orientierung. Sie ersetzen aber keine gelebte Praxis. Ein Auditor, ein Managementteam oder ein Kunde will nicht nur lesen, dass ein Prozess existiert. Er will sehen, dass er wiederholbar funktioniert.
Der Unterschied zwischen Regel und Nachweis
Eine Richtlinie sagt, was geschehen soll. Ein Nachweis zeigt, was tatsächlich geschehen ist. Genau in dieser Lücke entstehen viele Governance-Probleme. Ein Change-Prozess kann auf dem Papier Freigaben verlangen. Wenn die Freigabe aber nur mündlich, verstreut in Chats oder gar nicht dokumentiert wird, bleibt später unklar, ob der Prozess wirklich eingehalten wurde. Dann wird aus einer eigentlich einfachen Betriebsfrage eine Vertrauensfrage.
Für Service Manager ist diese Unterscheidung entscheidend. Sie müssen nicht jede technische Einzelheit prüfen. Sie müssen aber sicherstellen, dass wichtige Entscheidungen nachvollziehbar sind. Dazu gehören Änderungen mit Risiko, Abweichungen von Standards, Notfallentscheidungen, Ausnahmen bei Zugriffsrechten, verschobene Updates, Lieferantenfreigaben und nicht erfüllte Serviceversprechen. Je stärker ein Prozess auf Vertrauen angewiesen ist, desto wichtiger werden klare Belege.
Auditfähigkeit entsteht nicht kurz vor dem Termin
Vor Audits beginnt oft eine hektische Suche nach Screenshots, Tickets, Protokollen und Excel-Listen. Das ist ein Warnsignal. Belege, die erst kurz vor der Prüfung zusammengesucht werden, zeigen meist nicht den echten Zustand des Betriebs, sondern den Zustand der Vorbereitung. Auditfähigkeit entsteht deshalb nicht durch einen Sammelordner, sondern durch Arbeitsabläufe, die automatisch brauchbare Spuren hinterlassen.
Ein gutes Beispiel ist die Änderung an einem kritischen Service. Der Nachweis sollte nicht aus einer nachträglichen Erklärung bestehen. Besser ist eine Kette aus Ticket, Risikobewertung, Freigabe, Umsetzungsfenster, Testnachweis, Kommunikation und Abschlussbewertung. Diese Kette muss nicht kompliziert sein. Sie muss aber vollständig genug sein, damit ein Dritter den Weg der Entscheidung versteht.
Belege müssen für den Alltag gemacht sein
Governance scheitert oft, weil Nachweispflichten wie Zusatzarbeit wirken. Dann entstehen Formulare, die niemand gern ausfüllt, oder Pflichtfelder, die mit Floskeln gefüllt werden. Bessere Nachweise entstehen dort, wo sie direkt zum Arbeitsablauf passen. Ein Change-Ticket kann die Risikofrage enthalten. Ein Problem-Review kann die beschlossene Verbesserung speichern. Ein Zugriffsantrag kann Zweck, Dauer und verantwortliche Rolle erfassen. Ein Lieferantengespräch kann eine konkrete Entscheidung samt Frist hinterlassen.
Wichtig ist die Balance. Zu wenige Informationen machen den Nachweis wertlos. Zu viele Pflichtfelder führen zu Widerstand und schlechter Datenqualität. Service Manager sollten deshalb mit einer einfachen Frage arbeiten: Welche Information braucht ein fachkundiger Dritter, um die Entscheidung später fair beurteilen zu können? Alles andere kann oft weg.
Ausnahmen sind der eigentliche Stresstest
Regeln klingen stabil, bis der Betrieb unter Druck gerät. Dann wird ein Update verschoben, ein Sonderzugriff verlängert, ein Test übersprungen oder ein Provider macht eine Übergangslösung nötig. Solche Ausnahmen sind nicht automatisch schlecht. Schlecht werden sie, wenn niemand Zweck, Risiko, Befristung und Rückkehr zur Regel dokumentiert.
Eine gute Ausnahme hat deshalb mindestens fünf Elemente: Anlass, Risiko, verantwortliche Person oder Rolle, Ablaufdatum und Rückführungsplan. Damit bleibt sie eine bewusste Entscheidung und wird nicht zur stillen neuen Normalität. Gerade in Audits zeigt sich hier Reife. Nicht perfekte Regelbefolgung überzeugt, sondern der erkennbare Umgang mit Abweichungen.
Welche Spuren ein Serviceprozess hinterlassen sollte
- Entscheidung und verantwortliche Rolle eindeutig benennen.
- Risiko, fachlichen Nutzen und betroffene Services kurz festhalten.
- Freigabe, Test, Kommunikation und Abschluss in einem nachvollziehbaren Ablauf verbinden.
- Ausnahmen befristen und mit einer Rückkehr zur Regel versehen.
- Kontrollen nicht nur planen, sondern Ergebnis und Folgeaktion dokumentieren.
- Nachweise dort speichern, wo der Arbeitsprozess ohnehin stattfindet.
- Regelmäßig prüfen, ob die Belege verständlich, auffindbar und aktuell sind.
Diese Liste ist kein Aufruf zu mehr Bürokratie. Sie soll verhindern, dass wichtige Arbeit unsichtbar bleibt. Ein sauberer Betrieb produziert täglich Entscheidungen. Ohne klare Spuren wirken diese Entscheidungen später wie Zufall, selbst wenn sie fachlich richtig waren.
Kontrolle ist nur nützlich, wenn sie Folgen hat
Governance endet nicht beim Nachweis. Eine Kontrolle, die nur einen Haken erzeugt, verbessert den Betrieb kaum. Wirksam wird sie erst, wenn aus Befunden konkrete Entscheidungen folgen. Ein wiederkehrend unvollständiges Change-Ticket kann auf Schulungsbedarf, ein schlechtes Feldlayout oder unklare Zuständigkeiten hinweisen. Ein abgelaufener Sonderzugriff ist nicht nur ein Compliance-Fund, sondern ein Hinweis auf fehlende Nachverfolgung.
Deshalb sollten ITSM-Teams Belege nicht nur für Prüfer sammeln. Sie sollten daraus lernen. Welche Ausnahmen häufen sich? Welche Services brauchen besonders oft manuelle Freigaben? Welche Kontrollen erzeugen zwar Aufwand, aber keine Entscheidung? Welche Nachweise fehlen immer wieder? Diese Fragen machen Governance praktisch und helfen, Prozesse zu vereinfachen.
Der Service Desk braucht die gleiche Beleglogik
Governance wird häufig mit Management, Audit oder Security verbunden. Im Service Desk ist sie aber genauso wichtig. Dort entstehen täglich Nachweise über Nutzerprobleme, Eskalationen, Workarounds, Wissensartikel, Kommunikationszeiten und Serviceversprechen. Wenn diese Informationen sauber erfasst werden, kann das Management echte Schwachstellen erkennen. Wenn sie fehlen, bleiben Diskussionen abstrakt.
Gerade für Generalisten im IT-Management ist das hilfreich. Sie müssen nicht jedes Tooldetail kennen, um gute Fragen zu stellen. Sie brauchen verlässliche Spuren: Welche Entscheidung wurde getroffen? Welche Regel wurde angewendet? Welche Ausnahme wurde erlaubt? Welches Ergebnis wurde erreicht? Governance wird dann vom Papierbegriff zur gemeinsamen Betriebssprache.
Quellen und Einordnung ISO/IEC 20000 Überblick der International Organization for Standardization, AXELOS Überblick zu ITIL Service Management, ISACA COBIT Ressourcen und NIST Cybersecurity Framework. Stand der Quellenprüfung 29.06.2026.
