Antrags- und Genehmigungsverfahren

Typischerweise ist das Antrags- und Genehmigungsverfahren ein Workflow-gestützter Prozess. Dabei ist es wichtig, ein leistungsfähiges und flexibles Workflow-System zu implementieren, das unternehmensspezifische Ausprägungen umsetzen kann. Wie aber sind der Access Request und Access Approval Workflow konzipiert? Und wo liegt die zentrale Business-Verantwortung?

Die Workflows selbst bestehen aus einzelnen Prozessschritten und den dazugehörigen Akteuren. Jede Aktivität wirft dabei zahlreiche grundsätzliche Fragen auf. So stellt zunächst der Antragsteller beispielsweise für die Zuweisung einer Rolle einen Antrag. Schon kommt die Frage auf, ob er den Antrag auch für sich selbst ausführen (Self-Request) darf. Oder kann er nur für andere Benutzer einen Antrag stellen (Managed-Request)? Im nächsten Schritt wählt der Antragsteller eine oder mehrere Rollen aus. Welche darf er auswählen? Darf er grundsätzliche alle Rollen auswählen und erst im Genehmigungsschritt wird die Zulässigkeit geprüft oder darf er nur die eigene Rolle aussuchen? Nach der Antragstellung erfolgt die Prüfung durch den Genehmiger. Ganz klar ergibt sich hier die Frage, wer den Antrag überhaupt genehmigen darf und wie viele Genehmigungen, das heißt wie viele verschiedene Genehmiger eigentlich erforderlich sind? Nach der Genehmigung erfolgt schließlich die Umsetzung des Antrags. Zwei grundsätzliche Varianten sind hier möglich: die automatisch Vergabe der Benutzerrechte durch das IdM-System, das aus dem Workflow heraus angesteuert wird, oder die manuelle Ausführung durch einen Administrator, der die entsprechenden Einstellungen vornimmt. Schließlich werden am Ende des gesamten Workflow bei Bedarf Beteiligte oder auch Betroffene informiert.

Das Genehmigungsverfahren ist der Dreh- und Angelpunkt im gesamten Prozess. Abhängig von den Verantwortungsbereichen, aber auch mit Blick auf das Risikomanagement müssen in der Regel mehrere Personen einem Antrag zustimmen. Und hier liegt die eigentliche Übernahme der Verantwortung durch das Business. Bei einem Antrag für die Zuweisung einer Rolle sind beispielsweise folgende Akteure und Genehmigungsstufen betroffen: der Vorgesetzte, der wissen muss, welche Aufgaben seine Mitarbeiter haben und was sie beantragen; der Role Owner, der die Verantwortung für die Rolle trägt, ihre Semantik kennt und darüber in Kenntnis sein muss, wer ’seine’ Rolle nutzt; der Scope Approver, der Gruppen von besonders kritischen Berechtigungen überwacht; der Application Owner, der die Berechtigungsvergabe aus der Sicht der Anwendung kontrolliert und beispielsweise prüft, ob aufgrund begrenzter Lizenzen genügend Accounts vorhanden sind.

Am Beispiel des Antrags- und Genehmigungsverfahren ist deutlich erkennbar, dass die Business-Orientierung mit zahlreichen Fragestellungen verbunden ist, die entsprechende Antworten verlangen. Diese müssen mit neuen Datenstrukturen und -beziehungen abgebildet werden. Die Rolle spielt dabei stets die zentrale Entität.