Suchen

Die „3 C‘s“ des IT Change Managements Revisions-Effizienz prüfen und steigern

| Autor / Redakteur: Joachim Brandt / Stephan Augsten

Wirkungsvolle Change-Regeln sind elementarer Bestandteil jeder IT-Change-Umgebung – und tatsächlich gibt es eine ganze Reihe solcher Bestimmungen. Dennoch ist es für Prüfer häufig schwierig zu erkennen, ob die internen IT-Change-Management-Prozesse des Unternehmens tatsächlich wirkungsvoll sind. Dieser Fachbeitrag soll das Change-Management-Knowhow verbessern und Strategien vermitteln, um für entsprechende Prozesse perfekte Revisionen durchzuführen.

Firma zum Thema

( Archiv: Vogel Business Media )

Die Gründe für das mangelnde Verständnis hinsichtlich effektiver Change-Regeln liegen in mehreren Faktoren, denen sich Prüfer gegenüber sehen. Zunächst einmal liegen die Revisionsanleitungen meist in der Form einfacher Prüflisten vor. Deshalb ist oft nicht klar ersichtlich, welche Kontrollmechanismen am wichtigsten sind.

Zweitens sind schriftliche Anleitungen häufig veraltet – neue Erkenntnisse, die bei der Priorisierung helfen würden, finden so keine Berücksichtigung. Gerade diese Erkenntnisse würden jedoch aufzeigen, dass bestimmte Change-Kontroll-Aktivitäten nicht nur wesentlichen Einfluss auf die Reduzierung des Geschäftsrisikos haben, sondern auch deutliche Vorteile betreffend Effektivität und Effizienz mit sich bringen.

Bildergalerie

Am ausschlaggebendsten ist wohl, dass viele Prüfer nicht adäquat ausgerüstet sind, um das IT-Management der Unternehmen gezielt in Frage stellen zu können. Deshalb werden sie manchmal von den Antworten getäuscht, die sie zum Thema Change Management erhalten.

Warum Change Management überprüft wird

Es wichtig sich klar zu machen, dass die Prüfung des Change Managements aus demselben Grund erfolgt, aus dem auch alle anderen Prozesse im Unternehmen überprüft werden: um Risiken vorzubeugen.

In der heutigen compliance-zentrischen Welt ist es leicht, dieses einfache Ziel aus den Augen zu verlieren. Oft stößt man auf IT-Organisationen, die sich so verhalten, als ob es primär darum ginge das Audit zu überstehen. Basiert die Kontrolle auf statischen Checklisten, so wird diese falsche Einstellung leicht aufrecht erhalten. Schließlich ist es leichter, schnelle Antworten auf die Fragen der Checklisten zu finden, als präzise Antworten, die genauen Aufschluss über den gegenwärtigen Zustand der Unternehmensprozesse liefern.

Immer wieder trifft man auf IT-Organisationen mit höchst ineffizienten Change-Management-Prozessen, die nichtsdestotrotz durch ihre Revisionen kamen. Auf Nachfrage, wie das gelungen ist, heißt es dann: „Unser Revisor war wohl nicht sehr kompetent.“ oder „Wir erklärten, dass wir die Technik xyz einsetzen und die Prüfer akzeptierten diese Antwort“. Diese Organisationen sind im Auditing ausnahmslos glücklich davongekommen. Bedauerlicherweise scheinen viele ihr Glück als Kernkompetenz zu betrachten.

Ausgehend von diesem zweifelhaften Ansatz versucht der vorliegende Artikel, interne Prüfer bei der Beratung des Managements zu unterstützen um dieses in die Lage zu versetzen, ein wirkungsvolles und effizientes Change Management zu etablieren. Schließlich sollen IT-Organisationen ermutigt werden, so zu agieren, dass ihr Unternehmen gleichzeitig vor Risiken geschützt wird während sie die Compliance-Anforderungen erfüllen. Wie kann nun eine entsprechende Vorgehensweise des IT-Managements sichergestellt werden, die diese Zielsetzung erfüllt?

Aus Erfahrungen lernen: Wissenschaft auf Prozesse anwenden

Die vergangenen fünf Jahre haben große Fortschritte in der Ermittlung der Zusammenhänge zwischen grundlegenden IT-Regeln und -Effektivität gebracht. Initiiert wurde diese Forschung vom IT Process Institut (ITPI), einem gemeinnützigen Unternehmen, dessen Auftrag das Studium von IT-Organisationen sowie die Verbreitung der dort gefundenen Best Practices ist.

Viele der Ergebnisse des ITPIs sind in der Veröffentlichung „The Visible Ops Handbook“ zusammengefasst. Die nachfolgenden Informationen basieren im Wesentlichen auf den Ergebnissen dieser Forschungen.

Mehr als Checklisten – die 3 C’s

Die Wirksamkeit eines Change Management Systems kann durch Überprüfung von drei Hauptbereichen, den so genannten „3 C’s des Change Managements“ (Culture, Control und Credability; dt.: Kultur, Kontrolle und Glaubwürdigkeit) ermittelt werden. Diese drei Bereiche bilden ein Gerüst und erlauben, unbegrenzte Fragen zu stellen. So wird dem Unternehmen ermöglicht, detektivische Revisionskenntnisse anzuwenden um das Change Management zu überprüfen, selbst wenn sich die Verantwortlichen aufgrund eines Mangels an technischem Wissen im Nachteil fühlen.

Prüfen der Kultur

Die Prüfung der Kultur konzentriert sich auf Fragen und Indikatoren, die etwas über die Einstellung einer Organisation mitteilen. Einige Kernaspekte der Kultur sind:

  • Einstellung seitens des Managements: Bekanntermaßen ist die Einstellung des Top-Managements bei einem Audit von zentraler Bedeutung. Wichtig ist hierbei die klare Kommunikation der Unternehmensspitze, dass die Ziele im Change Management als wesentlicher Baustein zum Geschäftserfolg einzuhalten sind.
  • Haftung – mit Folgen: Policies sind bedeutungslos, wenn ihre Einhaltung nicht durchgesetzt wird. Es gilt zu durchleuchten, ob für die Verletzung von Policies entsprechende Folgen festgeschrieben sind.
  • Kausalität und Management durch Fakten: „Kultur der Kausalität“ heißt, die Analyse von IT-Änderungen zu fokussieren – sowohl vor als auch nach ihrem Auftreten. Während die Vorhersage der Auswirkung von Änderungen auf die Minimierung von Risiken abzielt, ist die nachträgliche Analyse darauf ausgerichtet, fehlgeschlagene oder unsachgemäß durchgeführte Änderungen in Erfahrung zu bringen. Ausgehend von historischen Daten ist es Unternehmen auf diese Weise möglich, Modifikationen systematisch so genannten „Risk Ratings“ zuzuordnen. Da nicht alle Abwandlungen auf die gleiche Art ausgelöst werden, können Unternehmen risikoreichen Änderungen somit erhöhtes Augenmerk widmen.
  • Zusammenarbeit und Kommunikation: Besonders leistungsfähige Unternehmen institutionalisieren Prozesse, die Änderungen sichtbar machen. So erhalten alle Interessensgruppen und involvierten Instanzen die Gelegenheit, Änderungen zu sehen, vorwegzunehmen und Vorschläge einzubringen, bevor selbige eintreten. Dies ermöglicht eine proaktive Reduzierung des Risikos und verhindert, dass die Änderungen einer Gruppe eine andere Gruppe überraschen oder negativ beeinflussen.
  • Betonen der Kombination von Menschen, Prozessen und Technik: High Performer verstehen, dass es keine umfassend zufriedenstellende technische Lösung für einen komplexen Prozess wie Change Management gibt. Stattdessen bestehen sie auf einem einheitlichen Programm, das ein Zusammenwirken von Leuten, Prozessen und Technik erfordert.

Hinweise auf potenzielle Problemfelder der Kultur

Change Management als Lippenbekenntnis: Dies ist der Fall, wenn Unternehmen zwar über Change-Management-Prozesse, verfügen, die Verletzung derselben aber nicht ahnden (häufig wie gar nicht bekannt ist, wann die Prozesse verletzt wurden).

Ständige Wiederholung derselben Ausfälle: Dies ist ein Zeichen dafür, dass ein Unternehmen nicht aus seinen früheren Fehlern gelernt hat, oder dass es sich auf das Wissen einzelner verlässt anstatt ein Organisationshandbuch zu erstellen.

Offensichtlich redundante Softwarelösungen: Verfügt ein Unternehmen über eine Vielzahl von Softwarelösungen für mehr oder minder dasselbe Problem, so signalisiert dies oft, dass es nach „der einen“ Lösung für seine Change-Management-Probleme sucht. Schließlich ist es einfacher, den Kauf neuer Software durchzusetzen, als eine Change-Initiative, die die Arbeit von Personen und Prozessen im Unternehmen verändert.

Überprüfung der Kontrolle

Studien mit High Performern belegen, dass diese die besten Ergebnisse durch Implementierung präziser Änderungs-, Zugangs- und Haftungskontrollen erreichen. Im Fokus steht also die Art der Arbeitsausführung im Unternehmen, wer mit welchen Rechten ausgestattet ist sowie die Sicherstellung, dass Änderungen nur richtlinienkonform vorgenommen werden. Viele der IT-Business-Risiken haben ihre Entsprechung in der Finanzwelt, beispielsweise die Trennung von Pflichten bei der Steuerung von Finanzdiensten, um Betrug zu verhindern.

Werden Kontrollmechanismen eingeführt, sollten diese Folgendes abdecken:

  • Dürfen Personen Kundenkonten generieren, können sie keine Zahlungen an den Kunden ausgeben (Präventivkontrolle).
  • Zahlungen an Lieferanten müssen vom Budgeteigentümer autorisiert werden (Präventivkontrolle).
  • Zahlungsfreigaben müssen periodisch überprüft werden, um sicherzustellen, dass die entsprechenden Unterschriftsgenehmigungen vorliegen (nachträgliche Kontrolle).
  • Interne Kontoerklärungen müssen mit Haftungserklärungen gekoppelt werden, um sicherzustellen, dass alle Geschäfte rechtmäßig sind und dokumentiert sowie richtig durchgeführt werden (nachträgliche Kontrolle).
  • Ausnahmen müssen untersucht und entsprechende Maßnahmen nach den Regeln der Policy ergriffen werden (korrigierende Kontrolle).

Analog können IT-Steuerungen das Risiko ungeprüfter oder unbefugter Änderungen in bzw. an der Produktionsumgebung reduzieren. Solche Kontrollen können Themen spezifizieren wie:

  • Teams der Vorproduktion haben keinen Zugriff auf Produktionssysteme und müssen Änderungen über den Change Management Prozess einreichen (Präventivkontrolle).
  • Alle Änderungen müssen vor der Implementierung vom Änderungsbeirat überprüft und abgesegnet werden (Präventivkontrolle).
  • Ein automatisiertes Monitoring muss alle Änderungen an Produktionskonfigurationen aufzeichnen (nachträgliche Kontrolle).
  • Alle erkannten Änderungen müssen mit Arbeitsberechtigungen abgeglichen werden, um sicherzustellen, dass alle Änderungen rechtmäßig sind sowie dokumentiert und richtig ausgeführt wurden (Präventivkontrolle).
  • Ausnahmen sind entweder nicht zulässig und/oder müssen als Sicherheitsvorfall eskaliert werden (Korrigierende Kontrolle).

Angesichts der steigenden Anforderungen heutiger Audits geben Prüfer häufig folgendes Ziel für IT-Revisionen vor: „Alle Änderungen müssen überprüfbar sein und unbefugte Änderungen müssen untersucht werden“.

Berücksichtigt man diese Punkte, so sollten Unternehmen sich folgende Fragen beantworten:

  • Werden alle Änderungen an der Produktionsumgebung erkannt?
  • Kann eine Änderungshistorie vorgelegt werden?
  • Ist es möglich festzustellen, ob Änderungen unbefugt sind oder nicht?
  • Wie lange dauert es, unbefugte Änderungen zu entdecken?
  • Was geschieht, wenn unbefugte Änderungen auftreten?

Hinweise auf Probleme bei der IT-Steuerung

Indikator für eine schwache IT-Steuerung ist die Unfähigkeit, glaubwürdig auf obige Fragen zu antworten oder innerhalb eines angemessenen Zeitraums richtig zu reagieren. Gründe für unbefriedigende Antworten basieren häufig auf „Bauchgefühl“ oder der Notwendigkeit zu zeitraubendem Stöbern in Systemereignisprotokollen und/oder E-Mail-basierten Änderungsfreigaben sowie in dem Einsatz anderer ineffizienter Methoden.

Ein weiteres Anzeichen ineffizienter Steuerung ist die Unfähigkeit zu sagen, wann Änderungen außerhalb des Prozesses erfolgen. Viele Unternehmen haben eine Präventivkontrolle (wie Change-Management-Systeme und Policies) und korrigierende Prüfmechanismen (wie Provisioning-Systeme oder Wiederherstellungsprozesse), aber keine nachträgliche Kontrolle. Diese Unternehmen können nur über Änderungen berichten, die den Prozess durchlaufen. Sie sind aber solange blind für Änderungen außerhalb des befugten Prozesses, bis ein Ausfall auftritt.

Unternehmen mit schwacher IT-Steuerung neigen dazu, einen hohen Prozentsatz ihrer Ressourcen auf ungeplante Arbeiten zu verwenden. Dies schließt „Brandbekämpfung“, Überarbeitung fehlgeschlagener Änderungen und Reaktionen auf Systemausfälle mit ein.

Glaubwürdigkeit

Credability, also „Glaubwürdigkeit“, vereint alle Bereiche. Im vorliegenden Zusammenhang bezieht sich der Begriff auf die Qualität der Antworten, die ein Unternehmen erhält, wenn es wirkungsvolle Steuerungsprozesse testet. Der Spruch „Ein guter Revisor ist ein denkender Revisor“ trifft hier den Punkt.

Verständlicherweise ist dies jener Bereich, in dem die High Performer wirklich überzeugen. Hoch performante IT-Organisationen erkennen, dass ihre erste Verantwortung der Schutz des Geschäfts vor Risiken ist. Sie operieren so, dass Compliance-Revisionen zu einer geradlinigen Sache werden.

Glaubwürdige Unternehmen haben Kultur und Kontrollen eingerichtet, die klar vorgeben, wie bestimmte Dinge innerhalb des Unternehmens abzulaufen haben und wie Daten gesammelt und als Vermögenswert verwendet werden. Sie verfügen zudem über klar definierte Kontrollen, um Mitarbeiter an die Prozesse zu binden. Außerdem demonstrieren sie, dass die Nichteinhaltung von Regeln eindeutige Folgen hat.

Das Prüfen der Glaubwürdigkeit

Um die Glaubwürdigkeit zu prüfen gilt es Fragen zu stellen, die ohne das Vorhandensein entsprechenden Kultur und Kontrolle schwierig zu beantworten wären – beispielsweise nach

  • einem Compliance-Bericht für das Change Management, der die gesamten Änderungen für einen gegebenen Zeitraum liefert, mit Daten über erlaubte vs. unbefugte Änderungen,
  • Statistiken über fehlgeschlagene Änderungen und ihre Ursachen,
  • dem Verlauf unplanmäßiger Ausfälle und ihrer Ursachen sowie
  • Ausnahmeberichten, die Änderungen zeigen, welche außerhalb des offiziellen Change-Prozesses vorgenommen wurden.

Hinweise auf bestimmte Problemfelder

Zu den Anzeichen von Glaubwürdigkeitsschwachstellen zählen die folgenden Punkte:

  • Häufige Notfall-Änderungen: Schwache IT-Organisationen nennen unbefugte Changes oft „Notfall-Änderungen“, um zu verhindern, dass Angestellte für die Verletzung vorgeschriebener Prozesse zur Verantwortung gezogen werden.
  • Eine Vielzahl von Systemverfügbarkeits-Problemen, besonders ungeklärte Ausfälle oder Sicherheitsvorfälle.
  • Ein hohes Maß unplanmäßiger Arbeit: Übersteigt der Anteil unplanmäßiger Arbeiten 20 bis 25 Prozent der Gesamtarbeitszeit, weist dies üblicherweise auf Kultur- oder Kontrollprobleme hin (High Performer verbringen weniger als 5 Prozent ihrer Arbeitszeit mit unplanmäßiger Arbeit; Quelle: The Visible Ops Handbook, VEESC-Studie von Kevin Behr, Gene Kim und George Spafford).
  • Verzögerte Projekte, Kostenüberschreitungen wegen Einbeziehung externer Ressourcen zum „Feuerlöschen“ sowie eine hohe Fluktuation sind Zeichen systematischer Change Management Probleme.
  • Unfähigkeit, die Verfügbarkeit von Kontrollmechanismen zu belegen oder übertrieben lange Reaktionszeiten, wenn Beweise für die Verfügbarkeit oder Wirksamkeit von Kontrollen eingefordert werden.

Zeit für einen „C-Change“

Weiterentwicklung bedeutet mehr, als nur Prüflisten abzuarbeiten. Die gezielte Fragestellung bei einer Revision sowie die Erhebung glaubhafter Details in Risikobereichen ist eine wirkungsvolle Art, während des IT-Audits nicht getäuscht zu werden.

Ihre deduktive Leistungsfähigkeit erlaubt es Auditoren, schnell zum Kernzweck der Revision vorzudringen: Es gilt zu überprüfen, ob das Management die Verantwortung für seinen Zuständigkeitsbereich ernst nimmt und ob es sich so verhält, dass es das Geschäft vor Risiken schützt.

Werden Change-Management-Revisionen in Kultur, Kontrolle und Glaubwürdigkeit verankert und IT-Teams auf die Implementierung von Kontrollstrategien trainiert, welche die 3 Cs erfüllen, gewinnen alle Seiten. Sowohl IT-Revisoren als auch -Praktiker können auf einfache Weise mehr über die vorgestellten Prinzipien und die damit verbundenen Best Practices zu lernen. Die Publikation des IT Process Institute “The Visible Ops Handbook” sowie der Leitfaden “Change and Patch Management“ des Institute of Internal Auditors geben hierzu wertvolle Tipps und Hilfestellungen.

Joachim Brandt ist Sales Manager für Zentraleuropa bei Tripwire.

(ID:2004577)