May
14
2010

Process + Compliance + Risk Management = GPRC oder ein starkes Trio?

Compliance als Bestandteil des Business Process Lifecycle

Compliance als Bestandteil des Business Process Lifecycle

Nachdem wir nun wissen, dass wir uns an Regeln halten und nicht wegschauen sollten und  Deloitte empfiehlt, Compliance und Risk Management zusammen zu betreiben, gehen Dr. Gero Decker (Signavio), Kristian Beckers (Fraunhofer Institut ISST) und  ich noch einen Schritt weiter und meinen, dass auch das Geschäftsprozessmanagement gut dazu passt.

Ich hatte schon in meinem ersten Post (siehe oben) dazu unterschieden: Compliance by Designtime, by Runtime und by History. Wenn man sich die kürzeste Darstellung des Business Process Lifecycles anschaut, dann sind dies genau die wesentlichen Phasen. Beginnend mit dem Modellieren sowohl aus fachlicher Sicht als auch aus IT-Sicht geht es über zur Ausführung der Prozesse durch eine Workflow Engine. Die von ihr gesammelten Historiendaten werden anschließend analysiert, um über Optimierungen nachzudenken und die Prozessmodelle entsprechend anzupassen.

In allen 3 Phasen ließe sich das Compliance und Risk Management gut einbauen. Hätte man in einem Repository Richtlinien zur Einhaltung von Regeln operational hinterlegt, so könnte man schon das Prozessmodell analysieren und auf entsprechende Regelverletzungen hinweisen. Zur Laufzeit könnten im Falle dynamischer Änderungen, sprich Abweichungen von Modell, die Benutzer auf Regelverstöße aufmerksam gemacht, z.B. bei einer Delegation darauf achten, dass eine Person mit dem passenden Skill ausgewählt wird. Bzw. kann dafür gesorgt werden, dass wo notwendig ein zweites Paar Augen zusätzlich freigibt.

Wenn die Workflow Engine die passenden Daten unterwegs aufgesammelt hat, ließe sich aus der Historie wieder schließen, wo sonst noch Regeln nicht eingehalten wurde. Denkbar ist auch die Nutzung der Simulation bzgl. Laufzeit und Ressourcen-Verbrauch, wenn zum Schutz weitere Sicherungen in den Prozess eingebaut werden sollen. Denn wirtschaftliche Aspekte sollten unbedingt gewahrt bleiben. Was nützt mir eine Sicherung, wenn das Risiko und sein Schadenspotential geringer sind als der verursachte Aufwand zur Vermeidung derselben?

Hm, gab es da nicht mal vor Jahren so etwas wie eine Abteilung Organisation, die in vielen Firmen dem Rotstift zum Opfer gefallen ist? Wo man sich um alle diese schönen Dinge gekümmert hatte? Jetzt gibt es hier einen Chief Compliance Manager, dort einen Chief Risk Manager und neuerdings vermehrt auch einen Chief Process Manager …

Das Akronym GPRC lehnt sich an GRC an, das für Governance Risk and Compliance Management System steht. Ich liebe Akronyme :o|

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: deutsch,general,language | Tags: , ,

No Comments »

RSS feed for comments on this post. TrackBack URL

Leave a comment


5 − = two

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions