IDM und BPM – ein starkes Team!

Dieser Artikel befasst sich vor allem mit lauffähigen Prozessen in einem BPM-System (BPMS), die einen gewissen Anteil an menschlicher Interaktion erfordert, z.B. der klassische Urlaubsantrag oder die Freigabe von Rechnungen. In solchen Prozessen muss immer wieder der passende Bearbeiter für den nächsten Schritt gefunden werden. Hierfür können verschiedenste Regeln definiert werden. Z.B. benötigt ein BPMS den Vorgesetzten eines Mitarbeiters, der grade einen Urlaub beantragt. Oder etwas komplexer: Es wird nach einer Person gesucht, die eine Rechnung über 50.000 € freigeben darf und in der Linienorganisation der Vorgesetzte von dem Einkäufer ist, der die Produkte gekauft hat, für die die Rechnung eingetroffen ist.

Heutzutage ermöglichen die meisten BPM-Suiten, dass innerhalb kürzester Zeit solche und ähnliche Prozesse modelliert werden können. Über integrierte “Adapter” können zudem häufig verschiedene Systeme (z.B. Datenbanken, ERP-Systeme, etc. ) ohne Programmieraufwand eingebunden werden. Die benötigten Formulare werden ebenfalls mit Hilfe grafischer Oberflächen zusammengebaut und in den Prozess eingebunden, auch ohne Programmieraufwand (zumindest so lange die Formulare keine eigene Logik besitzen). Die Prozesse wären in wenigen Stunden lauffähig und könnten verwendet werden. Leider hapert es dann häufig an den benötigten Benutzerinformationen. Theoretisch benötigt man im System sämtliche Informationen zu jedem Mitarbeiter1. In Welcher Abteilung arbeitet er? Wer ist der Vorgesetzte? Welche Rechte und Pflichten hat ein Mitarbeiter inne? Welche Rollen und besondere fachliche Verantwortung hat ein Mitarbeiter?

Eine Liste aller Mitarbeiter eines Unternehmens ist in der Regel in irgendeinem Verzeichnisdienst (z.B. LDAP, Active Directory, etc.) vorhanden. Zumindest dann, wenn der Mitarbeiter auch am PC bzw. im Netzwerk des Unternehmens arbeitet, dass ist auch nicht zu vernachlässigen. Vor allem im produzierenden Gewerbe ist das nicht immer der Fall. Aber häufig ist in diesen Verzeichnissen leider auch nicht mehr zu finden. Die Zuordnung zu einer Abteilung und zu einem Vorgesetzten, sowie die Rollen und Rechte der Benutzer werden nur selten zentral organisiert. Dies bedeutet, dass man eine Vielzahl an Informationen irgendwie in der Benutzerverwaltung des BPMS hinterlegen muss. Wenn diese Informationen einmal eingepflegt worden sind fängt die eigentliche Arbeit erst richtig an. Die Daten müssen kontinuierlich aktualisiert werden. Bei jeder Änderung (Abteilungswechsel, neue Aufgaben, Kündigung, etc.) müssen die Benutzeradministratoren des BPMS davon erfahren und diese Änderungen einpflegen. Je nach Unternehmensgröße und Fluktuation kann man hier schnell mit einem FTE2 rechnen. Und dabei möchte man doch ein BPMS betreiben um Kosten zu sparen, oder?

An dieser Stelle kann das Identity Management (IDM) hilfreich unterstützen. Ein IDM-System ist häufig ein zentrales Verzeichnis, welches alle Informationen zu den Benutzern zentral verwaltet oder alle Benutzerinformationen als zentrale Informationsplattform allen anderen Systemen zur Verfügung stellt. IDM-Systeme könnte man als Daten-Krake bezeichnen, aber als eine gutartige. In einem IDM-System kann hinterlegt werden welches System welche Informationen über Mitarbeiter beinhaltet, welches System das führende System für Benutzer-Attribute ist und auch welche Systeme bestimmte Benutzer-Attribute benötigen. So können z.B. bestimmte Mitarbeiter-Daten aus einem HR-System gezogen werden (z.B. Name, Kostenstelle, Abteilung, etc.). Das IDM-System kann dann diese Daten provisionieren und z.B. automatisch Benutzer in allen gewünschten Systemen anlegen (z.B. im LDAP, Email-Server oder auch direkt in einem BPMS). Falls in diesen Systemen neue Informationen erzeugt werden (z.B. die Email-Adresse vom Email-Server) können diese wieder an die anderen angeschlossenen Systeme übergeben werden. In der höchsten Ausbaustufe verwaltet ein solches System sämtliche Benutzer-Attribute und auch die Benutzerrechte. Diese könnten anhand bestimmter Informationen automatisch vergeben werden (z.B. wenn im HR ersichtlich ist, dass der Mitarbeiter ein Abteilungsleiter ist oder das der Mitarbeiter auf eine bestimmte Planstelle gesetzt wird, die mit bestimmten Rechten ausgestattet werden muss). Dadurch lassen sich die Kosten für die Benutzeradministration deutlich reduziere. Darüber hinaus, und heutzutage wahrscheinlich ein noch wichtigerer Punkt als die Administrationskosten, kann die Qualität der Benutzerdaten deutlich gesteigert werden. Dies erhöht direkt die IT-Sicherheit des Unternehmens. Viele der großen Datenpannen, bei denen Millionen von Kundendatensätzen verkauft worden sind oder viele Euros durch illegale Geschäfte verbrannt worden sind, hätten durch gutes IDM verhindert werden können. Der Vorteil gegenüber anderen Sicherheitsmaßnahmen ist, dass die Benutzerfreundlichkeit der Systeme nicht durch unnötige Barrieren und Sicherheitsabfragen etc. gemindert wird. Es wird einfach sichergestellt, dass jeder Mitarbeiter nur das machen darf, was in sein Aufgabengebiet fällt (Seperation of Duties).

Fazit
Und nun zurück vom IDM zum BPMS: Wenn die Benutzerinformationen nicht sauber vorliegen, kann jeder auch noch so schön modellierte Prozess nicht ausgeführt werden. Daher ist es wichtig diese Informationen im BPMS vorzuhalten oder dem System zur Verfügung zu stellen. Da ein BPMS bestimmt nicht das einzige System im Unternehmen ist, welches Benutzerinformationen benötigt, ist es in der Regel sinnvoll sich im Vorfeld über das Thema IDM Gedanken zu machen. Man muss nicht unbedingt ein IDM-System einführen oder aufbauen, aber es sollte auf jeden Fall definiert werden wo Benutzerinformationen herkommen und wie diese Informationen allen Interessenten zur Verfügung gestellt werden und wie diese Informationen in allen Systemen konsistent und aktuell gehalten werden. Auch ein Unternehmensweites Rechte- und Rollenkonzept ist sehr hilfreich. Dies ist meiner Meinung nach einer der wichtigsten Voraussetzungen für den erfolgreichen und kostengünstigen Einsatz eines BPMS, mit dem “human-intensive”-Prozesse ausgeführt werden sollen.

  1. natürlich auch zu allen Mitarbeiterinnen, einfachheitshalber verwende ich hier nur die männlichen Bezeichnungen, aber es sind aber natürlich auch immer die weibliche Form gemeint.
  2. Full Time Equivalent – quasi eine Vollzeit-Arbeitskraft

Commentary

Leave a response »

Leave a comment, a trackback from your own site or subscribe to an RSS feed for this entry. Trackback URL for this entry Comments feed for this entry

Leave a response

Leave a URL

Preview