Geschäftsprozessmodellierung im GRC-Kontext

Ich wurde vor einiger Zeit gebeten, die Modellierung von Geschäftsprozessen im GRC-Kontext anschaulich zu erklären. Dies ist ja ein Thema, welches mittlerweile fast alle Hersteller von Modellierungstools aufgegriffen haben. Ich habe in Lehrbüchern und Vorlesungs-Skripten nach einfachen Beispielen gesucht. Fehlanzeige! Ausser theoretischen Ausführungen und ein paar Hochglanzbroschüren von Tool-Herstellern war nichts zu finden. Also habe ich mich selber daran gemacht ein einfaches Beispiel aufzubauen. Aber beginnen wir ganz von Vorne mit einer kleinen Definition.

Bedeutung von «GRC-Kontext»

GRC steht für Governance, Risk und Compliance

  • Governance (und verwenden wir hierfür auch mal einen deutschen Begriff: Unternehmensführung)
    Festlegung und Umsetzung von Unternehmensrichtlinien, Prozesse für eine ordentliche Geschäftsführung, etc.
  • Risk
    Identifikation von Risiken sowie Festlegung von Massnahmen zur Eindämmung der Risiken.
  • Compliance
    Einhaltung von Normen, Gesetzen, Vorschriften, etc.

Soviel zur theoretischen Definition. Sehen wir uns nun aber ein ganz einfaches Beispiel an, welches für alle Leser nachvollziehbar sein sollte.

Praxisbeispiel: Fremdwährungskauf

Nehmen wir als Beispiel einen simplen Geschäftsfall einer Retailbank: Ein Kunde möchte am Schalter einen Geldbetrag in einer Fremdwährung kaufen und hierfür bar mit Schweizerfranken zahlen.

Das sieht doch einfach aus! Modellieren wir nun diesen Geschäftsprozess aus einer Laien-Optik in BPMN 2.0. Das könnte dann so aussehen:

Dieses Beispiel werden nun verwenden um in vier Schritten die Themen Governance, Risk (identifizieren / mitigieren) und Compliance zu berücksichtigen. Wir werden hierbei nicht abschliessend alle GRC-Themen berücksichtigen, sondern nur beispielhaft jeweils ein paar wenige Themen aufgreifen.

Governance

Beim ersten GRC-Thema geht es darum sicherzustellen, dass unsere Beispiel-Bank überhaupt als Unternehmen bzw. spezifisch als Bank geführt werden kann. Wir müssen gar nicht weit suchen um auf erste Rahmenbedingungen zu stossen:

  • Die Bank muss in der Lage sein, nachzuvollziehen welche Transaktionen getätigt wurden. Stichwort: Buchhaltung.
  • Der Schalter-MA kannnicht einfach mit dem Taschenrechner den FW-Betrag in CHF umrechnen, CHF in die Kasse legen und FW herausnehmen. Die Transaktion muss ordentlich verbuchtwerden.
  • Zumindest bei Kunden, die über ein Konto bei der Bank verfügen, will die Bank dieTransaktion einer Person zuordnen können um das Profil ihrer Kunden pflegen zu können. Daher sollte die Transaktion in diesem Fall über das Kundenkonto abgewickelt werden.
  • Ausserdem muss für die Buchhaltung ein Kundenbeleg erstellt werden, mit welchem der Kunde den Empfang der Fremdwährung bestätigt.

Mit dieser Anforderung steigt die Komplexität unseres Geschäftsprozesses einerseits um die Verbuchung und andererseits um die Unterscheidung zwischen Bankkunden und Laufkundschaft. Schauen wir uns den neuen Prozess an:

Gehen wir nun weiter zu den Risiken im Geschäftsprozess.

Identifikation von Risiken

Die Frage nach Risiken im Geschäftsprozess könnte salopp lauten: "Was könnte denn alles schief gehen?". Wiederum ohne tief in die Sphären des Bankengeschäfts eintauchen zu müssen kommen wir zu folgenden Risiken:

  • Risiko 1:
    Der Schalter-MA verwendet einen falschen Wechselkurs, verrechnet sich oder manipuliert die Umrechnung.
  • Risiko 2:
    Vom Kunden gegebener CHF-Betrag stimmt nicht und der Schalter-MA merkt es nicht, bzw. der Schalter-MA verzählt sich beim FW-Betrag.
  • Risiko 3:
    Der Kunde gibt CHF-Falschgeld, möglicherweise in betrügerischer Absprache mit dem Schalter-MA.
  • Risiko 4:
    Der Schalter-MA betrügt die Bank bei den Tresor-Einlagen bzw. Entnahmen.

Und nun können wir in unserem Geschäftsprozess-Modellierungstool das Feature nutzen, welches über die letzten Jahre von den meisten Herstellern in der einen oder anderen Form aufgenommen wurde. Hiermit verlassen wir jedoch den BPMN 2.0-Standard und nutzen proprietäre Erweiterungen.

Die kleinen Warndreiecke neben den Aufgaben im Sequenzfluss zeigen in diesem Beispiel an, welche Aufgaben Risiken referenzieren. Die grossen Warndreiecke mit den roten Pfeilen habe ich grafisch darübergelegt um noch deutlicher anzuzeigen, welche Risiken jeweils vorhanden sind.

Risiken mitigieren

Den genannten Risiken kann unterschiedlich begegnet werden, je nachdem über welche Technologie die Bank verfügt. Folgende Massnahmen (Kontrollen) sind erforderlich:

  • Kontrolle 1 (zu Risiko 1):
    Die Umrechnung der Beträge von CHF in FW müssen vom Banksystem mit der Verbuchung vorgenommen werden.
  • Kontrolle 2 (zu Risiken 2 und 3):
    CHF und FW müssen gezählt und auf Falschgeld geprüft werden. Um Betrug vorzubeugen, sollte eine Zweitperson oder eine Zählmaschine die Prüfung der Geldbeträge und der Echtheit des Geldes vornehmen.
  • Kontrolle 3 (zu Risiko 4):
    Manipulationen zwischen der Zweit-Zählung und der Tresor-Einlage bzw. -Entnahme müssen verunmöglicht werden. Wiederum entweder ein zweiter MA oder eine geschützte, direkte Verbindung der Zählmaschine mit dem Tresor.

Wenn man noch nie in einer Bank gearbeitet hat, kann man sich unter "direkte Verbindung der Zählmaschine mit dem Tresor" kaum etwas vorstellen. Hier nur kurz zur Illustration das Beispiel eines in der Schweiz häufig eingesetzten "AKT" (Automatischer Kassen-Tresor):

Sie finden diese Geräte meist unter der Arbeitsfläche des Bank-Schalters. Ein solches Modell enthält zwei Währungen, typischerweise CHF und EUR. Der Schalter-MA legt die CHF oben hinein, der AKT zählt die Geldscheine, prüft sie auf Echtheit und legt sie anschliessend sicher im Tresorfach ab. Analog entnimmt das Gerät die bestellte Menge EUR-Noten aus dem Tresorfach und führt sie ob wieder heraus. Sie haben mit solch einem Gerät keine Chance mehr, die Geldbeträge zu manipulieren. So viel für diesen kleinen Exkurs in die technischen Hilfsmittel am Bankschalter.

Im Geschäftsprozess mit um GRC-Artefakte erweiterten BPMN 2.0 sieht dies dann wie folgt aus:

Sie sehen, dass ich den Geschäftsprozess ausser um die Kontrollen nun auch um ein Fehler-Ereignis erweitert habe um mit dem Fall, dass Falschgeld entdeckt wird, umgehen zu können. Schliesslich kommen wir noch zur Compliance.

Compliance

Für unseren Geschäftsprozess sind mehrere Quellen von Vorschriften und Gesetzen massgebend:

  • Standesregeln der Schweizerischen Bankiervereinigung (VSB)
  • Geldwäschereigesetz (GwG)
  • Interne Weisungen der Bank

Diese Liste ist bei weitem nicht abschliessend und dient nur zur Illustration für unser Beispiel. Aus dieser Sammlung von Normen, Vorschriften und Gesetzen könnte sich zum  Beispiel nun Folgendes für unseren Geschäftsprozess ergeben:

  • Gemäss GwG (präzisiert durch VSB) dürfen Geldbeträge über CHF 25'000.- nur von identifizierten Personen entgegengenommen werden.
  • Gemäss VSB erfordert die Identifikation einer Person das Vorweisen eines in der Schweiz gültigen Ausweises (Pass, ID, Führerausweise nur CH). Zur Dokumentation ist eine durch die Bank erstellte Ausweiskopie erforderlich. Ausserdem ist die wirtschaftliche Berechtigung an dem eingezahlten Geldbetrag mittels VSB-Formular "A" zu bestätigen bzw. nachzuweisen.
  • Eine interne Weisung der Bank präzisiert die Umsetzung der Identifizierungs-Anforderung insofern, dass FW-Käufe über CHF 25'000.- nur für Bankkunden mit Kontobeziehung (d.h. mit bereits erfolgter Identifizierung) angeboten werden.

Diese Regelungen führen dazu, dass nach der zweiten Aufgabe noch eine Weichenstellung eingeführt wird um den Prozess abbrechen zu können, falls ein Laufkunde einen Betrag grösser CHF 25'000.- wechseln möchte.

Zusammenfassung

Das in diesem Beitrag gezeigte Beispiel ist sicher nicht vollständig und vieles wurde vereinfacht dargestellt. Es sollte aber auf nachvollziehbare Art illustrieren, welche Schritte und Überlegungen Sie bei der Modellierung eines Geschäftsprozesses im GRC-Kontext vornehmen müssen.