KI, die Kreative Intelligenz jetzt in der neuesten Folge SMART&nerdy! Podcastfolge #23.

Compliance meets Business Process – Ein harmonisches Zusammenspiel?

[vc_row][vc_column][vc_custom_heading text=“Compliance meets Business Process“ font_container=“tag:h1|font_size:48|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1701443688901{margin-top: -25px !important;}“][vc_custom_heading text=“Ein harmonisches Zusammenspiel?“ font_container=“tag:h2|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1701443700158{padding-bottom: 10px !important;}“][vc_column_text]Tobias Seyffarth, Bundesamt für Sicherheit in der Informationstechnik

(Titelbild: © Adobe Stock | 616072564 | maylim)[/vc_column_text][ultimate_spacer height=“15″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading text=“Kurz und Bündig“ font_container=“tag:h2|font_size:34|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1661761237969{margin-top: -25px !important;}“ el_class=“box-headline“][vc_row_inner el_class=“box-content-wrapper“][vc_column_inner][vc_column_text]Zur Sicherstellung von Compliance-Anforderungen können Compliance-Prozesse in die Geschäftsprozesse integriert werden. Die daraus resultierenden Geschäftsprozesse können entweder zum Zeitpunkt ihrer Modellierung oder erst nach ihrer Ausführung mit Methoden des Geschäftsprozess- und Compliancemanagements auf ihre Compliancekonformität geprüft werden. Trotz der methodischen und technischen Unterstützung bleibt das Compliance-Management eine Querschnittsaufgabe in Unternehmen, die den interdisziplinären Austausch zwischen Prozess-, Compliance- und IT-Management benötigt.[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row css=“.vc_custom_1519752670572{margin-top: -10px !important;}“][vc_column][ultimate_spacer height=“30″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][vc_column_text]Unternehmen und die öffentliche Verwaltung müssen sich an unterschiedlichste Compliance-Anforderungen wie die DSGVO, das Umsatzsteuerrecht oder interne Richtlinien, halten. Zur Umsetzung und Sicherstellung dieser Vorgaben in ihren täglich ausgeführten Geschäftsprozessen bieten sich Methoden des Geschäftsprozessmanagements an. Bei einigen Aufgaben kann ebenfalls eine (teil-)Automatisierung durch IT erfolgen.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]Aus Sicht der Betriebswirtschaftslehre bezeichnet Compliance die Regeltreue eines Unternehmens. Diese Regeln haben ihren Ursprung in sogenannten Compliance-Anforderungen und können unter anderem auf Gesetzen, Normen, Richtlinien, Verträgen oder unternehmens- oder behördeninternen Anforderungen beruhen [1]. Die Einhaltung von Compliance ist sowohl für Unternehmen als auch für die öffentliche Verwaltung eine notwendige und fortlaufend umzusetzende Aufgabe. Die Datenschutzgrundverordnung, die Abgabenordnung und das Umsatzsteuergesetz sind nur einige Beispiele von Compliance-Quellen, dem Ursprung von Compliance-Anforderungen. Die Compliance-Quellen, die ein Unternehmen beachten muss, unterscheiden sich je nach Geschäftsmodell, ihrer juristischen Restriktion und den Absatzmärkten ihrer Produkte und Dienstleistungen.
Compliance-Anforderungen können auf unterschiedliche Elemente eines Unternehmens oder der öffentlichen Verwaltung wirken. Zur Strukturierung der Sichtweisen auf diese Organisationen bietet sich das ARIS-Konzept an, da es mit der Organisations-, Daten-, Leistungs-, Funktions- und Steuerungssicht fünf Sichtweisen auf einen Geschäftsprozess unterscheidet. Die Einhaltung von Compliance-Anforderungen in Geschäftsprozessen wird in der Literatur als Compliance in Geschäftsprozessen oder Business Process Compliance bezeichnet [2].[/vc_column_text][vc_custom_heading text=“Business Process Compliance“ font_container=“tag:h3|text_align:left|color:%23676b6d“][vc_column_text]Ein typischer Lebenszyklus des Geschäftsprozesses besteht aus den Phasen Modellierung, Validierung, Implementierung, Betrieb und Monitoring sowie der Analyse der ausgeführten Prozessinstanzen [3]. Die Modellierung umfasst die Erfassung und Dokumentation von Geschäftsprozessen. Das kann in Prozessmodellierungssprachen, wie Business Process Model and Notation (BPMN) oder der erweiterten ereignisgesteuerten Prozesskette (eEPK) nach dem ARIS-Konzept erfolgen. Während der Validierung wird geprüft, ob der Geschäftsprozess vollständig und korrekt modelliert wurde. Die Implementierung des Prozesses beinhaltet sowohl eine organisatorische Implementierung des modellierten Geschäftsprozesses als auch eine IT-gestützte Implementierung in Process Aware Information Systems, die den Geschäftsprozess in seiner Ausführung unterstützen. Bei einem Beschaffungsprozess kann die IT-Implementierung zum Beispiel in einem ERP-System erfolgen. Nach der Implementierung wird der Geschäftsprozess ausgeführt und während seiner Ausführung durch das Process Aware Information System gemonitort. Das Monitoring kann verschiedene Daten umfassen und erfolgt in der Regel in Prozesslogs. Typischerweise werden in diesen mindestens der Zeitstempel der Aktivitätsausführung, die ausführende Rolle und eine Zuordnung dieser Informationen zu einzelnen Cases vorgenommen. Jeder Case repräsentiert die Ausführung einer einzelnen Prozessinstanz. Bei einem Bestellprozess kann jeder Bestellvorgang in einer einzelnen Prozessinstanz abgebildet sein.
Die Einhaltung von Business Process Compliance kann in unterschiedlichen Phasen des Lebenszyklus des Geschäftsprozesses überprüft werden. Beim Forward Compliance Checking wird zum Zeitpunkt der Geschäftsprozessmodellierung geprüft und sichergestellt, dass das Prozessmodell den zugrundeliegenden Compliance-Anforderungen genügt. Das geschieht in der Regel durch die Zusammenarbeit mehrerer beteiligter Personen aus den Bereichen des Geschäftsprozess- und Compliancemanagements. Ziel ist es, den Geschäftsprozess „by design“ entsprechend den Compliance-Anforderungen zu modellieren. Zur Entwurfszeit können jedoch lediglich sogenannte Bestimmungen abgebildet werden [4]. Dabei handelt es sich um Compliance-Anforderungen, die sich auf die Vergangenheit und Gegenwart beziehen. Bei einem Beschaffungsprozess kann das zum Beispiel die Anforderung nach der Freigabe der Bestellanforderung durch eine vorgesetzte Person sein. Die Freigabe der Bestellanforderung kann während der Prozessmodellierung durch eine passende Aktivität im Prozessmodell berücksichtigt werden.
Im Gegensatz zu Bestimmungen kann bei sogenannten Obligationen nicht zur Entwurfszeit des Prozessmodells sichergestellt werden, dass diese eingehalten werden. Obligationen beschreiben Anforderungen an die Zukunft, die während der Ausführung der Prozessinstanz eingehalten werden müssen. In einem Beschaffungsprozess ist die Anforderung, dass eine Rechnung in maximal 30 Tagen zu zahlen ist, ein Beispiel für eine Obligation. Die Einhaltung von Obligationen kann also erst nach der Ausführung der Prozessinstanz überprüft werden, von daher wird in diesem Fall auch von Backward Compliance Checking gesprochen. Dieses kann mithilfe von Methoden des Process Mining erfolgen. Process Mining ermöglicht es mit Prozesslogs den tatsächlichen Ablauf von Geschäftsprozessen zu entdecken, die Konformität der ausgeführten Geschäftsprozesse gegenüber Compliance-Anforderungen festzustellen und Performanceanalysen der ausgeführten Prozesse vorzunehmen [5].[/vc_column_text][vc_custom_heading text=“Operationalisierung „by design„“ font_container=“tag:h3|text_align:left|color:%23676b6d“][vc_column_text]Compliance-Prozesse beinhalten eine Vielzahl von Aktivitäten zur Durchsetzung und Einhaltung von Compliance-Anforderungen in Geschäftsprozessen. Sie sind entweder direkt in den Geschäftsprozess integriert und gekennzeichnet oder unabhängig davon ausgeführt. Compliance-Prozesse können wie Geschäftsprozesse mit den Methoden des Geschäftsprozessmanagements modelliert, automatisiert, gemonitort und verbessert werden [6].
Typische Muster für Compliance-Prozesse sind das Vier-Augen-Prinzip und die Funktionstrennung. In einem Beschaffungsprozess kann das Vier-Augen-Prinzip durch einen erneuten Abgleich von Rechnung, Bestellanforderung und Lieferschein durch eine zweite Person auftreten. Die Genehmigung der Bestellung durch eine vorgesetzte Person ist hingegen ein Beispiel für eine Funktionstrennung.
Neben den Mustern haben Compliance-Prozesse weitere Eigenschaften [6]. Die Vielfalt der Eigenschaften zwingt Unternehmen und die öffentliche Verwaltung dazu, die Compliance-Prozesse individuell an ihre eigenen Geschäftsprozesse und Compliance-Anforderungen anzupassen. Zu den Eigenschaften zählen unter anderem der Typ des Compliance-Prozesses und der Grad der Automatisierung. Der Typ unterscheidet zwischen einem präventiven und reaktiven Compliance-Prozess. Ein präventiver Compliance-Prozess kann die Bestimmungen von Compliance-Anforderungen durchsetzen und verhindert, dass ein negatives Ereignis im weiteren Prozessverlauf eintreten kann. Funktionstrennungen, wie die Genehmigung einer Bestellung durch eine dritte Person, werden durch präventive Compliance-Prozesse umgesetzt. Auch der Abgleich von Bestellanforderung zum Lieferschein und der Rechnung ist ein präventiver Compliance-Prozess. Bei einer falschen Lieferung oder einer nicht korrekten Rechnung, verhindert er das Auslösen des Bezahlvorgangs. Ein detektiver Compliance-Prozess hingegen entdeckt Compliance-Verstöße erst nach dem Auftreten. Beim Feststellen eines Compliance-Verstoßes müssen korrektive Maßnahmen durchgeführt werden. Die Muster für korrektive Maßnahmen sind vielfältig. Sie können eine Wiederholung der Geschäftsaktivität einläuten, eine Eskalation an eine vorgesetzte Person auslösen oder die betroffene Geschäftsprozessinstanz abbrechen.
Compliance-Prozesse können entweder automatisch, teilautomatisch oder manuell ausgeführt werden. Wenn der Beschaffungsprozess in einem ERP-System abgebildet ist, kann die Beschränkung des Personenkreises, der in der Lage ist eine Bestellung auszulösen, durch das Rollen- und Rechtekonzept des ERP-Systems eingeschränkt werden. In diesem Fall handelt es sich um einen automatischen Compliance-Prozess. Die Freigabe der Bestellanforderung ist ein teilautomatischer Compliance-Prozess, da die vorgesetzte Person zwar automatisch durch das ERP-System informiert wird, jedoch die Freigabe manuell durchführen muss. Der Abgleich zwischen Bestellung, Liefer-
schein und Rechnung kann ein manueller Prozess sein, wenn es für diese Tätigkeit keine IT-Unterstützung gibt.[/vc_column_text][vc_custom_heading text=“Compliance by IT und Compliance for IT“ font_container=“tag:h3|text_align:left|color:%23676b6d“][vc_column_text]Das Überprüfen und Durchsetzen von Business Process Compliance „by design“ kann für Anforderungen des Typs Bestimmung automatisiert werden [7]. Dafür werden Compliance-Anforderungen händisch in formale Regelsprachen, wie Linear Temporal Logic (LTL) oder Formal Contract Language (FCL) überführt. Die Regeltreue des Geschäftsprozesses wird anschließend mit formalen Verfahren wie dem Model Checking automatisch überprüft. Außerdem kann Informationstechnologie bei der Durchsetzung von Business Process Compliance helfen. Ein Beispiel ist die Definition einer Berechtigung für das Auslösen einer Bestellanforderung in dem Berechtigungskonzept eines ERP-Systems. So wird durch IT sichergestellt, dass nur berechtigte Personen eine Bestellung auslösen können. Diese Unterstützung von Business Process Compliance durch IT wird auch Compliance by IT genannt.Im Gegensatz zur Sicherstellung von Compliance durch IT kann Informationstechnologie auch selbst Träger von Compliance-Anforderungen sein. In diesem Fall wird von Compliance for IT oder IT-Compliance gesprochen [8]. Anforderungen an einzelne Komponenten einer IT-Architektur können die Standortsicherheit des Rechenzentrums, die Regelungen zum Erstellen von Backups oder zur Aktualisierung der Applikationslandschaft betreffen [9]. In dem Dreiklang von Geschäftsprozessen, Komponenten einer IT-Architektur und Compliance-Anforderungen müssen beim Verändern eines der drei Elemente die Auswirkungen auf die Compliance ermittelt werden. Nur so kann die Einhaltung von Compliance-Anforderungen in flexiblen und IT-gestützten Geschäftsprozessen weiterhin sichergestellt werden [10].[/vc_column_text][vc_custom_heading text=“Fazit“ font_container=“tag:h3|text_align:left|color:%23676b6d“][vc_column_text]Die Einhaltung von Compliance in Geschäftsprozessen ist ein vielschichtiges Aufgabengebiet, das mit Methoden des Geschäftsprozessmanagements sichergestellt werden kann. Die modellhafte Betrachtung der Elemente eines Informationssystems von Compliance-Anforderungen mit dem ARIS-Konzept kann helfen, die Komplexität beherrschbarer zu machen. Die Operationalisierung von Compliance-Anforderungen kann durch die Integration von Compliance-Prozessen in Geschäftsprozessen erreicht werden. Deren explizite Modellierung und Kennzeichnung im Geschäftsprozess als Compliance-relevante Aktivitäten kann außerdem zu einem erhöhten Compliance-Verständnis in der eigenen Organisation beitragen. Trotz der technischen Möglichkeiten zur Sicherstellung von Compliance bleibt das Compliancemanagement eine Querschnittsausgabe an der Organisationseinheiten aus Geschäfts-, Compliance- und IT-Management interdisziplinär und fortlaufend mitwirken müssen.[/vc_column_text][ult_createlink title=“Zu den Literaturangaben“ btn_link=“url:https%3A%2F%2Fbit.ly%2F3rXvpu1|target:_blank“][/vc_column][/vc_row][vc_row][vc_column][ult_dualbutton btn_hover_style=“Style 2″ btn_border_style=“solid“ btn_color_border=“#ffffff“ btn_border_size=“2″ btn_alignment=“left“ dual_resp=“off“ button1_text=“Einzelheft kaufen“ icon_link=“url:https%3A%2F%2Fwww.im-io.de%2Fproduct%2Fmetaverse%2F|title:Metaverse%2C%20NFTs%20%26%20Cryptos|target:_blank“ btn1_background_color=“#f3f3f3″ btn1_bghovercolor=“#f07d00″ icon=“Defaults-book“ icon_size=“22″ icon_color=“#f07d00″ icon_hover_color=“#ffffff“ button2_text=“Jetzt abonnieren“ btn_icon_link=“url:https%3A%2F%2Fwww.aws-institut.de%2Fim-io%2Fabo%2F|title:Abo||“ btn2_background_color=“#f3f3f3″ btn2_bghovercolor=“#f07d00″ btn_icon=“Defaults-chevron-right“ btn_icon_size=“22″ btn_icon_color=“#f07d00″ btn_iconhover_color=“#ffffff“ divider_text=“oder“ divider_text_color=“#f07d00″ divider_bg_color=“#ffffff“ btn1_text_color=“#f07d00″ btn1_text_hovercolor=“#ffffff“ btn2_text_color=“#f07d00″ btn2_text_hovercolor=“#ffffff“ title_font_size=“desktop:20px;“ btn_border_radius=“30″ title_line_ht=“desktop:22px;“ btn_width=“280″][/vc_column][/vc_row]

LinkedIn
WhatsApp
Telegram
Facebook

Related Posts

The Moral Compass of the Mind

Gemeinsame globale Standards: Die UNESCO-Empfehlung als ethischer Kompass für KI

Image 2: Co-founders in front of W7-X2. (Proxima Fusion)

Fusion: The Final Frontier. These are the voyages of the next-generation stellarator reactors

Eintritt Campus Schwarzwald gGmbH

Vom Köhlerhandwerk zur KI-Forschung: Die neue Innovationslandschaft im Schwarzwald

Green city

Mit Moos mehr los: Wie Biofilter und Daten die Städte entlasten

Data Raining Wald

It’s Raining Data: Wasserprognosen gewinnen an Präzision

Labyrinth und Hand. Lösungen.

Repair Culture für Bauwerke: Diagnostik, die tief unter die Oberfläche reicht

  • 1. Dezember 2023

August-Wilhelm Scheer Institut

Entdecken Sie unsere neusten Ausgaben

Biotech: Innovationsschub aus Deutschland

Artikel entdecken