Modellierung regelkonformer Geschäftsprozesse

Abstract

Regelkonformes Verhalten ist für viele Firmen und Konzerne ein wichtiger Punkt auf der Agenda hin zu einer nachhaltigen Wachstumsstrategie. Durch den in den letzten Jahren gestiegenen regulatorischen Druck und die zu erwartenden Strafen bei Verstößen gegen Regeln und Gesetze, sind Firmen gezwungen, sich intensiver mit der Überwachung ihrer Geschäftsprozesse zu befassen. Die wiederkehrenden Skandale um nicht regelkonformes Verhalten von Mitarbeitern und die daraus resultierenden Konsequenzen unterstreichen die Richtigkeit dieser Richtungswendung. Viele Firmen arbeiten mit IT-unterstützten Geschäftsprozessen, in deren automatische Ausführung Menschen eingebunden sind. Diese Geschäftsprozesse müssen bezüglich der Einhaltung neuer oder sich ändernder Regeln und Gesetze auf dem neuesten Stand gehalten werden. Den Aufwand für die Aktualisierung der Geschäftsprozesse möglichst gering zu halten, ist eine Herausforderung, der die Unternehmen gegenüber stehen. Der Begriff Compliance drückt im Englischen das Einhalten von Regeln und Gesetzen aus. Im günstigsten Fall sollte Compliance schon bei der Erstellung eines neuen Prozesses in Betracht gezogen werden, da in dieser Phase Entwicklungsfehler mit dem geringsten Aufwand behoben werden können. Durch die Zunahme der Regeln und Gesetze, die von Geschäftsprozessen eingehalten werden müssen, ist es wichtig, die Anforderungen mit Bezug auf Compliance von den wirtschaftlichen Zielen der Prozessentwicklung zu trennen. Menschliche Prozessentwickler sollen sich voll und ganz auf die Entwicklung der Geschäftslogik eines Prozesses konzentrieren können. Die Überprüfung von Gesetzen und Regularien soll automatisiert durch Werkzeuge geschehen, die weitgehend im Hintergrund arbeiten. Graphische Entwicklungswerkzeuge müssen Mittel bereitstellen, um Regularien und Gesetze zu verwalten und diese mit Geschäftsprozessen zu verbinden. Es müssen dabei zwei Szenarien behandelt werden können. Erstens müssen Regeln und Gesetze vor Beginn der Entwicklung eines neuen Prozesses festgelegt und automatisch überprüfbar gemacht werden. Zweitens müssen bestehende Geschäftsprozesse mit neuen Regeln und Gesetzen verknüpft werden können. Desweiteren müssen von den Überprüfungswerkzeugen verschiedene Arten von Regeln und Gesetzen verarbeitet werden können. Beispiele hierfür sind Regeln, die auf den Datenfluss in Prozessen angewendet werden oder Regeln, die auf den Kontrollfluss in Prozessen Anwendung finden. Diese Arbeit erweitert eine bestehende Entwicklungsumgebung für Geschäftsprozesse und implementiert die oben aufgeführten Anforderungen. Bei der Entwicklung der Konzepte und deren Umsetzung im Prototyp wurde darauf geachtet, dass diese Konzepte die Entwicklungsarbeit am Geschäftsprozess so wenig wie möglich behindern. Die bestehende Entwicklungsumgebung für Geschäftsprozesse wurde intern umstrukturiert, so dass alle Änderungen am aktuell angezeigten Prozessmodell auf Verstöße gegen Complianceregeln überprüft werden können. Die beiden grundlegenden Forschungsbeiträge dieser Arbeit sind das Compliancetemplate und der Compliancescope. Das Compliancetemplate ist eine Prozessvorlage, die an bestimmten Stellen unvollständig ist. Nur diese Stellen können von einem Prozessentwickler mit Prozessaktivitäten gefüllt werden, um einen vollständig spezifizierten Prozess zu erhalten. Durch diese Vorgabe wird verhindert, dass Complianceregeln umgangen werden können. Der Compliancescope ist ein Mittel, um Teile von bestehenden Prozessmodellen mit Complianceregeln zu verknüpfen. Diese Teile von Prozessmodellen werden automatisch überprüft, wenn eine Änderung an ihnen vorgenommen wird. Die automatische Überprüfung von Teilen von Prozessmodellen übernimmt das zur Entwicklung des Prozesses verwendete graphische Entwicklungswerkzeug. Aufbauend auf diesen beiden Konzepten beschreibt die vorliegende Dissertation drei weitere Beiträge. Das Konzept der Compliancedomain baut auf dem Konzept des Compliancescopes auf und erweitert diesen, um mit datenbasierten Complianceregeln arbeiten zu können. Vervollständigungsebenen sind ein Konzept, verschiedenen Partnern die Arbeit an einem, mit Complianceregeln versehenen Prozessmodell, zu ermöglichen. Die Architektur des Prototyps dieser Dissertation zeigt, wie diese neuen Konzepte umgesetzt und somit anwendbar gemacht werden können.

Compliance is an important issue for many enterprises on their way to a sustainable growth. Due to the increased regulatory pressure stemming from more and more rules and regulations being set in place and associated penalties, enterprises are more intensively forced to cope with compliance issues concerning their business processes. The returning scandals concerning non-compliant behaviour of employees and the subsequent penalties stress the correctness of this turn. Many enterprises are running IT-driven business processes. Humans are integrated into the automatic execution of these business processes. These business processes must be kept up to date in order to meet changing regulations. Holding the effort on a reasonable level for keeping business processes up to date is a challenge enterprises are facing today. Compliance should be considered from the beginning of the development phase of a new business process. It takes less effort for removing compliance issues in this phase. Due to the increased number of regulations it is important to separate compliance requirements from business requirements during the development of a new business process. Human business process developers should be able to fully concentrate on the development of the business logic of a new business process. The adherence to compliance rules should automatically be guaranteed by graphical development tools. These tools should check compliance rules in the background. Graphical business process development tools have to provide means to manage regulations and laws. These tools must also support the linking of compliance rules to business processes. When working with these tools two scenarios should be possible: First of all compliance rules must be automatically verifiable from the beginning of the development of a business process. Second, it must be possible to link compliance rule to existing business processes. Apart from that the tools used to automatically check compliance rules in the background must be capable of dealing with different kinds of compliance rules. Examples for different kinds of compliance rules are compliance rules restricting the control flow of a business process in contrast to compliance rules restricting the data flow of a business process. This thesis extends an existing integrated development environment (IDE) for business processes. It realises the requirements stated above. One goal for the development of the prototypical implementation of the new concepts is that the additions to the existing platform do not hamper human developers during the creation phase of a business process. The existing IDE has been restructured from the ground up. With these changes it is possible to introduce compliance checking mechanisms which are capable of coping with different kinds of compliance rules. The two fundamental contributions of this thesis are the Compliance Template and the Compliance Scope. The compliance template is a process template which is kept incomplete in a number of places. Only these places can be filled with business activities by human business process developers in order to get a fully specified business process. This development restriction prevents human business process developers from circumventing compliance rules, which are already present in the original compliance template. The compliance scope is a means to attach compliance rules to certain areas in a business process. A modification of the business process within such an area makes it only necessary to automatically check the area where the modification was made. Based on the fundamental concepts this thesis describes three further new concepts. The concept of a Compliance Domain is based on the compliance scope. Compliance scopes are extended to be able to work with data-based compliance rules. The concept of a refinement layer allows for integrating different stake-holders during the development of a new business process. The architecture of the prototype shows the practicability of the approach of this thesis.