Zum Hauptinhalt springen

Benachrichtigung bei Abweichungen vom Standardprozess

User-Story - Prozesskunden-Anforderungen an das für Geschäftsprozessmanagement (BPM)

Praxis Szenario

  • Die Ausgangslage: Ein Bereichsleiter (Prozesskunde) verantwortet das IT-Budget für eine kritische Cloud-Infrastruktur. Er hat klare Vorgaben erlassen: Jede Buchung von Cloud-Ressourcen über 25.000 € pro Monat muss zwingend durch das Controlling und die IT-Sicherheit freigegeben werden, um Kostenexplosionen („Cloud Sprawl“) und Sicherheitslücken zu vermeiden.
  • Das Problem: In der Realität nutzen Administratoren oft „Abkürzungen“. Cloud-Instanzen werden ohne formale Freigabe hochgefahren, weil es „schnell gehen muss“. Der Prozesskunde erfährt davon erst Wochen später durch die Kreditkartenabrechnung oder – im schlimmsten Fall – durch einen Sicherheitsvorfall. Er trägt die volle finanzielle und rechtliche Verantwortung, hat aber kein Werkzeug, das ihn rechtzeitig warnt, wenn seine Mitarbeiter die Leitplanken verlassen.
  • Der Auftrag: Die BPM-Plattform soll als „Frühwarnsystem“ fungieren, das Abweichungen erkennt, noch bevor der finanzielle oder rechtliche Schaden eintritt.

User Story

  • Als budget- und haftungsverantwortlicher Prozesskunde
  • möchte ich, dass das BPM-System bei jeder Abweichung vom Standardprozess (z. B. fehlende Freigabe, Überspringen von Kontrollschritten oder unvollständige Risikoanalyse) sofort eine Echtzeit-Warnung an mich und die Compliance-Stelle ausgibt,
  • damit ich sofort intervenieren kann, um finanzielle Verluste durch Fehlbuchungen oder rechtliche Konsequenzen durch Richtlinienverstöße zu minimieren.

Mehrwert (Business Value)

  • Risiko-Prävention statt Schadensbegrenzung: Der Prozesskunde agiert proaktiv. Er muss nicht auf den Monatsbericht warten, um Fehler zu korrigieren.

    Finanzielle Disziplin: Vermeidung von „Schatten-IT“ und unbudgetierten Ausgaben durch sofortige Transparenz bei Prozessumgehungen.

    Haftungsschutz (Exkulpation): Im Falle eines Audits kann der Prozesskunde nachweisen, dass er ein wirksames Kontrollsystem (Internal Control System - ICS) implementiert hat, das Abweichungen sofort meldet.

    Erziehungseffekt: Da Abweichungen sofort sichtbar werden, steigt die Prozessdisziplin im gesamten Team („Compliance by Design“).

Abnahmekriterien (Acceptance Criteria)

  • Echtzeit-Trigger: Sobald ein Task im Workflow abgeschlossen wird, ohne dass die logisch erforderliche Freigabe (z. B. Feld „Freigabe-ID“ ist leer) vorliegt, muss innerhalb von 300 Sekunden eine Benachrichtigung erfolgen.
  • Multichannel-Warnung: Die Warnung muss per E-Mail und zusätzlich in einem zentralen Compliance-Dashboard für den Prozesskunden erscheinen.
  • Dokumentationspflicht: Jede Prozessabweichung wird automatisch in einem „Exception-Log“ mit Zeitstempel, Verursacher und Art des Verstoßes unlöschbar protokolliert.
  • Prozess-Stopp (Optionaler Hard-Stop): Bei kritischen rechtlichen Schritten (z. B. DSGVO-relevante Datenfreigabe) muss das System den nachfolgenden Prozessschritt technisch blockieren, bis die Warnung bearbeitet wurde.
  • Klassifizierung: Warnungen müssen nach Schweregrad (z. B. Gelb = Verzögerung, Rot = Fehlende Freigabe/Finanzielles Risiko) kategorisiert sein, um Fehlalarme zu vermeiden.