Die jüngste BPM-Tool-Studie des Fraunhofer-IAO beschäftigt sich mit dem Thema Compliance in Geschäftsprozessen. Vorangegangen waren ein Marktüberblick sowie zwei Studien zu Social BPM und der Überwachung von Geschäftsprozessen. 14 der 28 Anbieter, die im Marktüberblick vertreten sind, beteiligten sich an der Compliance-Studie. Das Thema scheint für die Anbieter interessanter zu sein als Social BPM und Prozess-Überwachung, da an den betreffenden Studien nur zehn bzw. fünf Anbieter teilgenommen hatten. Der ursprüngliche Fokus der Studie wurde von dem eng gefassten Compliance-Begriff auf den gesamten Themenkomplex „Governance, Risk & Compliance“ (GRC) erweitert.
Compliance umfasst dabei die Einhaltung von Gesetzen und externen Richtlinien. Governance bezieht sich auf die Führung und Kontrolle eines Unternehmens. Gegenstand des Risikomanagements ist der systematische Umgang mit Risiken. Häufig wird hierfür ein Internes Kontrollsystem (IKS) aufgebaut. Im Rahmen von GRC müssen die verschiedenen Komponenten Strategie, Prozesse, Technologien und Menschen zusammenwirken. Im Zusammenhang mit BPM-Tools wird vor allem das Management der Prozesse betrachtet. GRC-Aspekte können in allen Phasen des Prozessmanagement-Kreislaufs eine Rolle spielen. So werden etwa im Rahmen der Sollprozess-Modellierung Risiken modelliert, Compliance-Anforderungen dokumentiert und das IKS definiert. Während der Prozessausführung werden u. a. die Kontrollen ausgeführt und Risiken nachverfolgt. In der Prozessüberwachung geht es um Auswertung, Ablage und Nachvollziehbarkeit.
Vielfältige Varianten der Toolunterstützung
Entsprechend vielfältig kann die Toolunterstützung für GRC-Aufgaben ausfallen. Die entsprechenden Funktionalitäten hängen von der Kategorie des jeweiligen Tools ab. So kann man mit Modellierungstools etwa Risiken und Kontrollen dokumentieren, Compliance-Anforderungen zu Prozessen zuordnen und die Einhaltung von Modellierungsrichtlinien überprüfen. Teilweise werden auch Freigabeworkflows für die erstellten Modelle angeboten. Mit Prozessanalysetools kann man beispielsweise prüfen, welche Auswirkungen GRC-bezogene Änderungen auf verschiedene Prozesse haben. BPM-Systeme, die eine Prozessausführung ermöglichen, erlauben es unter anderem, interne Kontrollen automatisiert durchzuführen, die Risiken nachzuverfolgen und die Verletzung von Vorgaben zu entdecken. Die untersuchten Tools haben zum größten Teil den Schwerpunkt Prozessmodellierung und -Analyse. Viele bieten auch eine Ablaufsteuerung von Management-Prozessen, wie Prüfung und Freigabe von Prozessdokumentationen. Jeweils ein kleinerer Teil bietet eine kennzahlengestützte Überwachung von Prozessen oder eine Prozessausführung.
Alle 14 teilnehmenden Anbieter geben an, die Bereiche Governance, Risikomanagement, Compliance und IKS zu unterstützen. Zumeist sind die entsprechenden Features voll in das jeweilige Tool integriert, in einigen Fällen werden sie aber auch als eigenständig nutzbare Komponenten angeboten. Für die Unterstützung von GRC-Anforderungen kann auch ein Geschäftsregelmanagement von Bedeutung sein, wie es von neun Tools angeboten wird. Im Bereich Governance legen die meisten Hersteller den Fokus auf die Process Governance, also die Regeln für den Umgang mit Prozessen und Prozessmodellen. Teilweise wird auch die Einbettung in die Unternehmens-Governance betrachtet, z. B. indem dokumentiert wird, wie die Unternehmensziele unterstützt werden. Die Tools weisen hier recht viele Ähnlichkeiten auf. So verfügen praktisch alle über ein Versionsmanagement, ein Prozessportal sowie die Unterstützung von Management-Prozessen. Vielfach werden auch die Einhaltung von Modellierungsrichtlinien sichergestellt und Best Practice-Sammlungen bereitgestellt. Größere Unterschiede gibt es bei den unterstützten Standards. Am häufigsten genannt wurden CoBIT, COSO, ITIL sowie ISO 9000/9001.
Risiken in Prozessen modellieren
Im Bereich Risikomanagement bieten die meisten Tools einerseits die Möglichkeit, den Risikomanagement-Prozess oder die Durchführung von Kontrollmaßnahmen in Form von Prozessmodellen zu beschreiben. Zum anderen kann man Risiken modellieren und zu Prozess-Schritten zuordnen. Bei den möglichen Darstellungen unterscheiden sich die Tools. Sie erfolgt z. B. in Tabellen, direkt im Prozessmodell, oder in Form einer hierarchischen Baumdarstellung. Für die Nachverfolgung von Risiken kann man fast überall die Risikohöhe und die Eintrittswahrscheinlichkeit erfassen. Schließlich werden unterschiedliche Arten von Auswertungen angeboten.
Für den Aufbau eines Internen Kontrollsystems (IKS) kann man bei den meisten Tools Rollen und Kontrollen definieren und die Kontrollen den Risiken in den Prozessen zuordnen. Tools mit einer Ausführungsumgebung können zudem die Ausführung von internen Kontrollen unterstützen sowie die durchgeführten Kontrollen auswerten und sämtliche Informationen dazu revisionssicher archivieren.
Verschiedenes Verständnis der einzelnen GRC-Themen
Zur Compliance tragen die untersuchten Tools bei, indem man mit ihnen Compliance-Anforderungen und die zugehörigen Quelldokumente revisionssicher hinterlegen und untereinander sowie mit weiteren Elementen verknüpfen kann. Meist kann man auch den Compliance-Status darstellen und in Form von Reports ausgeben. Sehr unterschiedlich sind auch hier die von den Tools unterstützten Standards. Jeweils drei Tools unterstützen die Regelwerke Basel 2/Basel 3 und SOX (Sarbanes-Oxley).
Insgesamt zeigen sich in der Studie zahlreiche Übereinstimmungen bei den angebotenen Funktionalitäten. Dennoch kann sich die Art und Weise, wie ein bestimmter Aspekt umgesetzt ist, zum Teil ganz deutlich unterscheiden. In der Befragung wurden die Hersteller auch gebeten, die verschiedenen Begriffe aus dem Bereich GRC zu definieren. Bei den Antworten wird deutlich, dass sie vielfach ein ganz verschiedenes Verständnis bestimmter Themen haben. Dieses schlägt sich dann auch in den jeweiligen Tools nieder.
Monika Kochanowski, Falko Kötter, Thomas Renner:
Business Process Management Tools 2014 – Compliance in Geschäftsprozessen.
Fraunhofer Verlag 2014.
Weitere Infos und Bestellung beim IAO