Change Management bezeichnet in der IT den strukturierten Prozess, mit dem Änderungen an IT-Systemen und -Diensten geplant, bewertet, genehmigt, umgesetzt und dokumentiert werden. Ziel ist es, den Nutzen von Änderungen zu maximieren und gleichzeitig Risiken für den laufenden Betrieb zu minimieren.
In der SAP-Welt bedeutet das konkret: jede Änderung an ABAP-Code, Customizing, Konfiguration oder Systemparametern durchläuft einen definierten Prozess, bevor sie produktiv geht. Der Prozess endet nicht mit dem Transport, sondern mit dem Post-Implementation Review.
Change Management ist weder optional noch reine Tool-Frage. Drei Dimensionen machen es geschäftskritisch:
Betriebsrisiko. Fehlerhafte Änderungen in produktiven SAP-Systemen wirken unmittelbar: Produktionsstopps, fehlerhafte Buchungen, Datenverluste. Die Komplexität moderner SAP-Landschaften erhöht die Wahrscheinlichkeit von Abhängigkeits- und Sequenzproblemen.
Compliance-Anforderungen. SOX verlangt dokumentierte Kontrollen über Änderungen an finanzrelevanten Systemen. GxP fordert dasselbe für validierte Systeme. DORA erweitert die Anforderungen auf Finanzdienstleister. Der EU AI Act ergänzt Kontrollanforderungen für KI-gestützte Systeme.
Geschwindigkeit und Governance im Gleichgewicht. Zu enge Prozesse bremsen Entwicklung und Innovation. Zu lose Prozesse erzeugen unkontrollierte Risiken. Belastbares Change Management findet die Balance.
ITIL 4 definiert drei Change-Typen, die den Kern jedes SAP-Change-Managements bilden:
Standard Changes sind vorab genehmigte, risikoarme Änderungen mit wiederholbarem Ablauf. Sie werden durch eine Whitelist definiert und können weitgehend automatisiert werden.
Normal Changes durchlaufen den vollständigen Prozess inklusive Risikobewertung, Genehmigung und CAB-Entscheidung. Sie sind der Standardfall für alle nicht-trivialen Änderungen.
Emergency Changes werden beschleunigt durchgeführt bei kritischen Betriebsstörungen. Ein abgekürztes Genehmigungsverfahren durch ein Emergency CAB ermöglicht schnelles Handeln bei nachträglicher vollständiger Dokumentation.
Separation of Duties als blinder Fleck. Das Vier-Augen-Prinzip wird prozessual behauptet, aber selten technisch erzwungen. Im SOX-Audit fällt das auf.
Emergency Change als Dauerzustand. Wenn mehr als 20 Prozent aller Changes als Emergency klassifiziert werden, ist der Normalprozess kaputt.
Audit Trail Lücken. Änderungen werden durchgeführt, aber nicht vollständig dokumentiert. Genehmigungen fehlen im System.
Separation of Duties technisch erzwingen. Niemand genehmigt den eigenen Change. Das Berechtigungsmodell erzwingt dies, nicht nur das Prozesshandbuch.
Standard Change Whitelist aktiv pflegen. Neue wiederkehrende, risikoarme Änderungstypen werden laufend zur Whitelist hinzugefügt. Das entlastet den CAB und beschleunigt den Prozess.
Change-Metriken etablieren. Emergency Change Rate, Mean Time to Approve, Change Success Rate und Failed Change Rate sind Kernmetriken für die kontinuierliche Prozessverbesserung.
Change Management ist das zentrale Steuerungsinstrument für Änderungen an SAP-Systemen. ITIL 4 liefert die Referenzprozesse mit den drei Change-Typen Standard, Normal und Emergency. SOX, GxP, DORA und EU AI Act verlangen nachweisbare Kontrollen.