01415 Geschäftsprozessmodellierung –Werkzeug für ISM
|
Der Beitrag beschreibt Methoden zur Geschäftsprozessmodellierung im Kontext des IT-Sicherheitsmanagements. Nach einer kurzen Einführung in das Konzept des Geschäftsprozessmanagements wird der Bedarf für den Einsatz von Methoden zur Modellierung von Geschäftsprozessen im Umfeld der IT-Sicherheit aufgezeigt. Nach einem Methoden Überblick werden drei in der Praxis häufig eingesetzte Methoden mit spezifischen Beispielen vorgestellt: Wertschöpfungskettendiagramm (WKD), erweiterte Ereignisgesteuerte Prozesskette (eEPK), Business Process Modeling Notation (BPMN).
Auf Basis des Vergleichs der Methoden und den Hinweisen zu Softwaretools, mit denen die Modellierung durchgeführt werden kann, können Sie gleich durchstarten. Zudem finden Sie einen Überblick über aktuelle Möglichkeiten des KI-Einsatzes im Rahmen der Prozessmodellierung. von: |
1.1 Konzeption
Seit sehr vielen Jahren ist das Geschäftsprozessmanagement eine etablierte Aufgabe, über deren Notwendigkeit in den meisten Unternehmen nicht mehr diskutiert wird. Es wurde entwickelt, um die durch die zunehmende Arbeitsteilung resultierenden Folgen (z. B. Abteilungsegoismus, mangelnde Kundenorientierung, Medienbrüche) zu reduzieren.
Definition Geschäftsprozess
Geschäftsprozesse sind betriebliche Abläufe, also Folgen zielgerichteter Tätigkeiten zur Erreichung strategischer oder operativer Ziele. Sie werden meist arbeitsteilig durch mehrere Personen oder Abteilungen und sehr häufig computerunterstützt ausgeführt. Typische Prozessbeispiele aus dem IT-Sicherheitsmanagement sind:
Geschäftsprozesse sind betriebliche Abläufe, also Folgen zielgerichteter Tätigkeiten zur Erreichung strategischer oder operativer Ziele. Sie werden meist arbeitsteilig durch mehrere Personen oder Abteilungen und sehr häufig computerunterstützt ausgeführt. Typische Prozessbeispiele aus dem IT-Sicherheitsmanagement sind:
| • | Erstellung einer Bedrohungsanalyse, |
| • | Analyse der Sicherheitsmaßnahmen in der IT, |
| • | Zugangskontrollen im Rechenzentrum, |
| • | Erstellung der täglichen Datensicherung. |
Definition Geschäftsprozessmanagement
Geschäftsprozessmanagement ist ein betriebswirtschaftliches Konzept zum Abgleich der Geschäftsprozesse mit der Unternehmensstrategie, der organisatorischen Neugestaltung der Geschäftsprozesse sowie ihrer technischen Umsetzung mit geeigneten Kommunikations- und Informationssystemen. Der Gestaltungsrahmen des in Abbildung 1 dargestellten Konzepts umfasst auf mehreren Ebenen die Entwicklung der Unternehmensstrategie (strategische Ebene), das Prozessmanagement im engeren Sinne (d. h. die fachlich-konzeptionelle Ebene), das Workflowmanagement (d. h. die technisch-operative Ebene) sowie die Anwendungssystem- und die Organisationsgestaltung [1]. Durch die zunehmende Digitalisierung verschwimmen allerdings die Unterschiede zwischen Unternehmensstrategie und Prozessstrategie in Form einer gemeinsamen Digitalstrategie.
KonzeptGeschäftsprozessmanagement ist ein betriebswirtschaftliches Konzept zum Abgleich der Geschäftsprozesse mit der Unternehmensstrategie, der organisatorischen Neugestaltung der Geschäftsprozesse sowie ihrer technischen Umsetzung mit geeigneten Kommunikations- und Informationssystemen. Der Gestaltungsrahmen des in Abbildung 1 dargestellten Konzepts umfasst auf mehreren Ebenen die Entwicklung der Unternehmensstrategie (strategische Ebene), das Prozessmanagement im engeren Sinne (d. h. die fachlich-konzeptionelle Ebene), das Workflowmanagement (d. h. die technisch-operative Ebene) sowie die Anwendungssystem- und die Organisationsgestaltung [1]. Durch die zunehmende Digitalisierung verschwimmen allerdings die Unterschiede zwischen Unternehmensstrategie und Prozessstrategie in Form einer gemeinsamen Digitalstrategie.
Strategische Ebene
Auf der strategischen Ebene werden die Geschäftsfelder eines Unternehmens einschließlich der hier wirksamen kritischen Erfolgsfaktoren betrachtet. Auf der darunter liegenden fachlich-konzeptionellen Ebene erfolgt die Ableitung der Prozesse im Rahmen des Prozessmanagements. Das Prozessmanagement stellt hierbei die Verbindung zur Unternehmensplanung auf der strategischen Ebene dar, während das Workflowmanagement aus der Perspektive der darunter liegenden Ebene der operativen Durchführung die Anwendungssystem- und Organisationsgestaltung einbindet.
Auf der strategischen Ebene werden die Geschäftsfelder eines Unternehmens einschließlich der hier wirksamen kritischen Erfolgsfaktoren betrachtet. Auf der darunter liegenden fachlich-konzeptionellen Ebene erfolgt die Ableitung der Prozesse im Rahmen des Prozessmanagements. Das Prozessmanagement stellt hierbei die Verbindung zur Unternehmensplanung auf der strategischen Ebene dar, während das Workflowmanagement aus der Perspektive der darunter liegenden Ebene der operativen Durchführung die Anwendungssystem- und Organisationsgestaltung einbindet.
Fachlich konzeptionelle Ebene
Das Prozessmanagement umfasst die Phasen der Prozessabgrenzung, der Prozessmodellierung und der Prozessführung im Lebenszyklus von Prozessen:
Das Prozessmanagement umfasst die Phasen der Prozessabgrenzung, der Prozessmodellierung und der Prozessführung im Lebenszyklus von Prozessen:
| Abgrenzung | |
| • | Die Prozessabgrenzung beschreibt die Prozessentstehung. Ausgehend von den Geschäftsfeldern und strategisch orientierten Spezifikationen wie Produktsortiment, kritische Erfolgsfaktoren usw., sind in einem schrittweisen Vorgehen Prozesskandidaten für jedes Geschäftsfeld abzuleiten, zu bewerten und schließlich die zu modellierenden und zu implementierenden Prozesse auszuwählen. |
| Modellierung | |
| • | In der Prozessmodellierung geht es darum, Realitätsausschnitte aus einem Geschäftsfeld unter einer fachlich-konzeptionellen Perspektive in einem Geschäftsprozess abzubilden. Abhängig von den strategischen Zielen eines Unternehmens kann dabei z. B. eine völlige Neugestaltung von Abläufen im Rahmen des IT-Sicherheitsmanagements oder eine weitergehende Automatisierung bestehender Kontrollprozesse angestrebt werden. |
| Durchführung | |
| • | Auf die Phase der Prozessdurchführung bezieht sich die Prozessführung. Ihr Ziel ist die Ausrichtung der Prozesse an vorzugebenden Messgrößen für den Prozesserfolg, den so genannten Prozessführungsgrößen. Die Führungsgrößen der Prozesse sind, gegebenenfalls in mehreren Schritten, aus den kritischen Erfolgsfaktoren der jeweiligen Geschäftsfelder abzuleiten. Je nach dem Umfang ermittelter Erfolgsdefizite und aufgetretener Schwachstellen im Projektablauf kann eine Neumodellierung bzw. ein erneutes Durchlaufen der Phase der Prozessmodellierung erforderlich sein. |
Operative Ebene
Das Workflowmanagement wird in die Phasen Workflowmodellierung, Workflowausführung und Workflowmonitoring unterteilt. Unter Workflows sind solche Geschäftsprozesse oder Teilprozesse zu verstehen, die vollständig oder teilweise mit Software unterstützt werden können. Die Workflowmodellierung folgt der Geschäftsprozessmodellierung. Hierbei wird der modellierte Geschäftsprozess um Spezifikationen erweitert, die für eine automatisierte Prozessausführung unter der Kontrolle eines Workflowmanagementsystems notwendig sind. Anschließend erfolgt die Phase der Workflowausführung; sie umfasst die Erzeugung von Prozessobjekten und den Durchlauf von Prozessobjekten entlang der vorgesehen Bearbeitungsstationen unter der Kontrolle eines Workflowmanagementsystems. Das anschließende Workflowmonitoring dient der laufenden Überwachung des Prozessverhaltens. Die Gegenüberstellung von Prozessführungsgrößen und entsprechenden Prozess-Ist-Größen auf der Ebene von Workflows liefert Informationen darüber, ob ein Prozess bereits richtig eingestellt ist oder ob korrigierende Eingriffe vorzunehmen sind.
Das Workflowmanagement wird in die Phasen Workflowmodellierung, Workflowausführung und Workflowmonitoring unterteilt. Unter Workflows sind solche Geschäftsprozesse oder Teilprozesse zu verstehen, die vollständig oder teilweise mit Software unterstützt werden können. Die Workflowmodellierung folgt der Geschäftsprozessmodellierung. Hierbei wird der modellierte Geschäftsprozess um Spezifikationen erweitert, die für eine automatisierte Prozessausführung unter der Kontrolle eines Workflowmanagementsystems notwendig sind. Anschließend erfolgt die Phase der Workflowausführung; sie umfasst die Erzeugung von Prozessobjekten und den Durchlauf von Prozessobjekten entlang der vorgesehen Bearbeitungsstationen unter der Kontrolle eines Workflowmanagementsystems. Das anschließende Workflowmonitoring dient der laufenden Überwachung des Prozessverhaltens. Die Gegenüberstellung von Prozessführungsgrößen und entsprechenden Prozess-Ist-Größen auf der Ebene von Workflows liefert Informationen darüber, ob ein Prozess bereits richtig eingestellt ist oder ob korrigierende Eingriffe vorzunehmen sind.
BPM-Systeme
Wegen der Unterstützungsfunktion für das Geschäftsprozessmanagement werden Workflowmanagementsysteme auch zunehmend als BPM-Systeme (Business-Process-Management-Systeme) bezeichnet.
Wegen der Unterstützungsfunktion für das Geschäftsprozessmanagement werden Workflowmanagementsysteme auch zunehmend als BPM-Systeme (Business-Process-Management-Systeme) bezeichnet.
1.2 IT-Sicherheitsmanagement als Anwendungsfall der Prozessmodellierung
Erstellung einer Risikoanalyse
Der Bedarf für den Einsatz der Geschäftsprozessmodellierung soll anhand des folgenden Beispiels zur Erstellung einer Risikoanalyse erläutert werden [2].
Der Bedarf für den Einsatz der Geschäftsprozessmodellierung soll anhand des folgenden Beispiels zur Erstellung einer Risikoanalyse erläutert werden [2].
Ein typischer Geschäftsprozess im IT-Sicherheitsmanagement ist die Risikoanalyse zur Definition von geeigneten Schutzmaßnahmen. Ausgehend von einer Bedrohungsanalyse und der Einarbeitung der Risikotoleranz des Unternehmens werden das Bedrohungspotenzial und das verbleibende Restrisiko ermittelt. Hiernach werden die vorhandenen Sicherheitsmaßnahmen gegenübergestellt, um eine Schwachstellenanalyse zu erstellen. Das identifizierte Risikopotenzial wird im Rahmen einer IT-Sicherheitsstrategie und hieraus resultierender Maßnahmen reduziert.
Der zuvor skizzierte Prozess muss detailliert beschrieben werden, damit die beteiligten Mitarbeiter ihre Aufgabe wahrnehmen können. Möglicherweise sind Teilautomatisierungen (Kontrollen etc.) zu implementieren. Das Geschäftsprozessmanagement unterstützt diese Aufgaben durch die Bereitstellung geeigneter Methoden.
1.3 Beteiligte und Rollen
Das Geschäftsprozessmanagement hat seinen Ursprung in der arbeitsteiligen Aufgabenerfüllung im Unternehmen. Daher ist es auch durch das Zusammenspiel einer Vielzahl von Beteiligten in unterschiedlichen Rollen geprägt. Die Übersicht in Abbildung 2 ordnet die wesentlichen Beteiligten in das vorgestellte Konzept des Geschäftsprozessmanagements ein.