A Visual Language for Modeling Multiple Perspectives of Business Process Compliance Rules (Extended Abstract)

A fundamental challenge for enterprises is to ensure compliance of their business processes with imposed compliance rules stemming from various sources, e.g., corporate guidelines, best practices, standards, and laws. In general, a compliance rule may refer to multiple process perspectives including control flow, time, data, resources, and interactions with business partners. On one hand, compliance rules should be comprehensible for domain experts who must define, verify and apply them. On the other, these rules should have a precise semantics to avoid ambiguities and enable their automated processing. Providing a visual language is advantageous in this context as it allows hiding formal details and offering an intuitive way of modeling the compliance rules. However, existing visual languages for compliance rule modeling have focused on the control flow perspective so far, but lack proper support for the other process perspectives. To remedy this drawback, we introduce the extended Compliance Rule Graph language, which enables the visual modeling of compliance rules with the support of multiple perspectives. Overall, this language will foster the modeling and verification of compliance rules in practice

Automated Sustainability Compliance Checking Using Process Mining and Formal Logic

Business processes need to have certain constraints such that they can lead to sustainable outcomes. These constraints can be manifold and their adherence has to be monitored. In the past compliance checking has been applied in several business domains without considering certain sustainability aspects, such as multi-dimensionality and impact level. With my research I want to contribute to the application of compliance checking techniques for the purpose of sustainability compliance. In order to achieve this, I want to analyse and develop data-driven approaches, which allow to automate the task of compliance checking. The way in which this can be achieved, is be combining methods from process mining with formal languages that can express sustainability rules in a machine-readable manner. The main goal is to develop a compliance engine that can be adapted by ERP systems in order to evaluate sustainability conformance in business processes

Visual Modeling of Business Process Compliance Rules with the Support of Multiple Perspectives

A fundamental challenge for any process-aware information system is to ensure compliance of modeled and executed business processes with imposed compliance rules stemming from guidelines, standards and laws. Such compliance rules usually refer to multiple process perspectives including control flow, time, resources, data, and interactions with business partners. On one hand, compliance rules should be comprehensible for domain experts who must define and apply them. On the other, they should have a precise semantics such that they can be automatically processed. In this context, providing a visual compliance rule language seems promising as it allows hiding formal details and offers an intuitive way of modeling. So far, visual compliance rule languages have focused on the control flow perspective, but lack adequate support for the other perspectives. To remedy this drawback, this paper provides an approach that extends visual compliance rule languages with the ability to consider data, time, resources, and partner interactions when modeling business process compliance rules. Overall, this extension will foster business process compliance support in practice

On Enabling Compliance of Cross-Organizational Business Processes

Process compliance deals with the ability of a company to ensure that its business processes comply with domain-specific regulations and rules. So far, compliance issues have been mainly addressed for intra-organizational business processes, whereas there exists only little work dealing with compliance in the context of cross-organizational processes that involve multiple business partners. As opposed to intra-organizational processes, for a cross-organizational process, compliance must be addressed at different modeling levels, ranging from interaction models to public process models to private processes of the partners. Accordingly, there exist different levels for modeling compliance rules. In particular, we distinguish between local compliance rules of a particular partner and global compliance rules to be obeyed by all partners involved in the cross-organizational process. This paper focuses on checking the compliance of interaction models. For this purpose, we introduce the notion of compliability, which shall guarantee that an interaction model is not conflicting with a set of imposed global compliance rules

A Visual Language for Modeling Business Process Compliance Rules

A fundamental challenge for enterprises is to ensure compliance of their business processes with imposed compliance rules stemming from various sources, e.g., corporate guidelines, best practices, standards, and laws. In general, a compliance rule may refer to multiple process perspectives including control flow, time, data, resources, and interactions with business partners. On one hand, compliance rules should be comprehensible for domain experts who must define, verify and apply them. On the other, these rules should have a precise semantics to avoid ambiguities and enable their automated processing. Providing a visual language is advantageous in this context as it allows hiding formal details and offering an intuitive way of modeling the compliance rules. However, existing visual languages for compliance rule modeling have focused on the control flow perspective so far, but lack proper support for the other process perspectives. To remedy this drawback, this paper introduces the extended Compliance Rule Graph language, which enables the visual modeling of compliance rules with the support of multiple perspectives. Overall, this language will foster the modeling and verification of compliance rules in practice

Regulatory Compliance-oriented Impediments and Associated Effort Estimation Metrics in Requirements Engineering for Contractual Systems Engineering Projects

Large-scale contractual systems engineering projects often need to comply with a myriad of government regulations and standards as part of contractual fulfillment. A key activity in the requirements engineering (RE) process for such a project is to elicit appropriate requirements from the regulations and standards that apply to the target system. However, there are impediments in achieving compliance due to such factors as: the voluminous contract and its high-level specifications, large number of regulatory documents, and multiple domains of the system. Little empirical research has been conducted on developing a shared understanding of the compliance-oriented complexities involved in such projects, and identifying and developing RE support (such as processes, tools, metrics, and methods) to improve overall performance for compliance projects. Through three studies on an industrial RE project, we investigated a number of issues in RE concerning compliance, leading to the following novel results:(i) a meta-model that captures artefacts-types and their compliance-oriented inter-relationships that exist in RE for contractual systems engineering projects; (ii) discovery of key impediments to requirements-compliance due to: (a) contractual complexities (e.g., regulatory requirements specified non-contiguously with non-regulatory requirements in the contract at the ratio of 1:19), (b) complexities in regulatory documents (e.g., over 300 regulatory documents being relevant to the subject system), and (c) large and complex system (e.g., 40% of the contractual regulatory requirements are cross-cutting); (iii) a method for deriving base metrics for estimating the effort needed to do compliance work during RE and demonstrate how a set of derived metrics can be used to create an effort estimation model for such work; (iv) a framework for structuring diverse regulatory documents and requirements for global product developments. These results lay a foundation in RE research on compliance issues with anticipation for its impact in real-world projects and in RE research

Enabling Multi-Perspective Business Process Compliance

A particular challenge for any enterprise is to ensure that its business processes conform with compliance rules, i.e., semantic constraints on the multiple perspectives of the business processes. Compliance rules stem, for example, from legal regulations, corporate best practices, domain-specific guidelines, and industrial standards. In general, compliance rules are multi-perspective, i.e., they not only restrict the process behavior (i.e. control flow), but may refer to other process perspectives (e.g. time, data, and resources) and the interactions (i.e. message exchanges) of a business process with other processes as well. The aim of this thesis is to improve the specification and verification of multi-perspective process compliance based on three contributions: 1. The extended Compliance Rule Graph (eCRG) language, which enables the visual modeling of multi-perspective compliance rules. Besides control flow, the latter may refer to the time, data, resource, and interaction perspectives of a business process. 2. A framework for multi-perspective monitoring of the compliance of running processes with a given set of eCRG compliance rules. 3. Techniques for verifying business process compliance with respect to the interaction perspective. In particular, we consider compliance verification for cross-organizational business processes, for which solely incomplete process knowledge is available. All contributions were thoroughly evaluated through proof-of-concept prototypes, case studies, empirical studies, and systematic comparisons with related works

IT-gestütztes Compliance Management für Geschäftsprozesse

Die Einhaltung regulatorischer Anforderungen und interner Richtlinien ist zunehmend kritisch für den Unternehmenserfolg geworden. In dieser Arbeit wird ein Ansatz vorgestellt, der eine effiziente Compliance-Prüfung von Geschäftsprozessen basierend auf den in standardisierten Ereignisprotokollen aufgezeichneten Ereignisdaten ermöglicht. Neben einer Referenzimplementierung des Ansatzes werden eine Erweiterung für ein Geschäftsprozessmanagementwerkzeug sowie ein webbasiertes Dashboard entwickelt

Berichterstattung zu und Prüfung von Compliance-Management-Systemen

Die zunehmende Internationalisierung von Geschäftstätigkeiten, immer umfangreichere Gesetze und neue Industriestandards, der höhere Wettbewerbsdruck sowie die negativen Auswirkungen von Unternehmensskandalen haben das Verständnis für eine gute Unternehmensführung erweitert. Compliance, d. h. die Einhaltung von Gesetzen oder Vorschriften durch Unternehmensorgane und sämtliche Unternehmensmitglieder, ist ein unabdingbarer Bestandteil für gute, transparente und nachvollziehbare Unternehmensführung. Compliance Management Systeme (CMS) umfassen die systematische Ausgestaltung von Compliance im Unternehmen unabhängig von Größe, Branche und Art der Geschäftstätigkeiten. Das wesentliche Ziel eines CMS ist es, Non-Compliance, d. h. betriebsbezogene und gesetzwidrige Straftaten durch Unternehmensorgane und Unternehmensmitarbeiter, zu verhindern und zu vermindern. CMS sind zum Gegenstand der betriebswirtschaftlichen, rechtlichen sowie gesellschaftlichen Diskussion avanciert. Ein zentraler Diskussionspunkt ist die Standardisierung von CMS, der sich auch in der Berichterstattung zu und Prüfung von CMS widerspiegelt. Das erste Forschungsprojekt geht der Frage nach, wie Unternehmen über ihr CMS berichten. Hierbei werden die CMS Berichtsabschnitte aus 173 Geschäftsberichten von HDAX Unternehmen für die Geschäftsjahre 2017 und 2018 untersucht. Eine deskriptive Inhaltsanalyse beleuchtet anhand der Anzahl der identifizierten Compliance Elemente, der Compliance Fokusthemen und Compliance Maßnahmen die Branchenunterschiede und Indexzugehörigkeit. Drei Regressionsanalysen untersuchen mögliche Einflüsse von ausgewählten Unternehmenseigenschaften auf die Anzahl der Elemente, Fokusthemen und Maßnahmen. Die inhaltsanalytische Untersuchung zeigt, dass die Compliance-Maßnahmen am häufigsten im Konzernlagebericht verortet sind. DAX 30 Unternehmen berichten vergleichsweise über mehr CMS Grundelemente als MDAX und TecDAX Unternehmen. Am häufigsten wird über die Compliance Organisation informiert und oft fehlen die Compliance Kultur bzw. die Compliance Kommunikation. Die Branche mit den meisten Unternehmen „Metall & Elektronik“, zu denen BMW, Daimler und VW gehören, berichtet überdurchschnittlich über ihre CMS Elemente. Als Compliance Maßnahmen werden am häufigsten der Verhaltenskodex, die Implementierung von Hinweisgebersystemen und Schulungen genannt. Die wesentlichen Compliance Fokusthemen sind Antikorruption, Wettbewerbsverhalten und Datenschutz. Die Regressionsergebnisse bezüglich der Anzahl der Compliance Elemente bzw. Maßnahmen deuten darauf hin, dass mit steigender Anzahl anderer Unternehmen, die Anteile am berichterstattenden Unternehmen halten, die Zahl der in den CMS-Abschnitten kommunizierten Compliance-Elemente bzw. Maßnahmen zunimmt. Für die Compliance Fokusthemen lässt sich ein positiver Einfluss der an der Bilanzsumme gemessenen Unternehmensgröße und der Anzahl an Geschäftssegmenten feststellen. Die Ergebnisse deuten darauf hin, dass die Darstellungsweise der CMS Berichterstattung der HDAX Unternehmen noch heterogen ist. Zudem untermauern die Ergebnisse die fehlende einheitliche Regulierung der Berichterstattung über bereits eingerichtete CMS und die unterschiedliche Ausgestaltung von CMS bei HDAX Unternehmen. Das zweite Forschungsprojekt ist ein Experiment und untersucht die Reaktion von 148 Finanzanalysen auf den CMS Berichtsabschnitt eines Unternehmens. Der Abschnitt umfasst drei Gestaltungselemente: ein Textabschnitt, eine informationsvermittelnde Abbildung und Unterschriften der Top Manager. Untersucht werden der Einfluss der Gestaltungselemente auf das Vertrauen, die Verständlichkeit und die Nützlichkeit der Informationen, die Aktienkaufwahrscheinlichkeit, die Anlageempfehlungswahrscheinlichkeit sowie die Einschätzung des Kreditrisikos. Dem Textabschnitt liegt die Experimentalbedingung des positiven bzw. negativen Tonfalls zugrunde. Die Abbildung und die Unterschriften besitzen die Ausprägungen vorhanden bzw. nicht vorhanden. Die Ergebnisse zeigen einen positiven Haupteffekt für negativ formulierte CMS-Abschnitte auf die Wahrnehmung und die Entscheidungen der Finanzanalysten. Die beiden Ausnahmen bilden hierbei die Investitionsentscheidung sowie die Verständlichkeit des CMS-Abschnitts. Zudem bewirken die Einbindung der Unterschriften oder die der Abbildung stets eine positivere Wahrnehmung und Entscheidung der Finanzanalysten. Die Interaktionseffekte zeigen, dass ein positiv formulierter CMS-Abschnitt einen positiven Einfluss auf die Wahrnehmung und Entscheidungen von Finanzanalysten ausübt, sofern dieser CMS-Abschnitt die Unterschriften und die Abbildung beinhaltet. Zudem deuten die Ergebnisse darauf hin, dass unterschriebene CMS Berichtsabschnitte mit der Abbildung die Wahrnehmung und die Entscheidungen von Finanzanalysten verbessern. Diese Reaktion tritt jedoch nicht im Falle eines unterschriebenen und negativ formulierten CMS Abschnitts ein. Das dritte Forschungsprojekt ist ebenfalls ein Experiment und untersucht, ob die CMS Prüfung sowie die Art des CMS Prüfers und die Art des CMS-Prüfurteils das Vertrauen, sowie die Wahrscheinlichkeit zu Anlage- und Kreditvergabeempfehlung und zum Anlagekauf von 105 Bankdirektoren beeinflussen. Beim CMS Prüfer wird differenziert zwischen einer Big4 Wirtschaftsprüfungsgesellschaft und dem TÜV Rheinland und beim Prüfurteil zwischen einer hinreichenden und begrenzen Sicherheit. Die Reaktionen weisen auf einen positiven Zusammenhang zwischen der Durchführung einer CMS-Prüfung und dem Vertrauen der Bankdirektoren sowie deren Entscheidungen zur Kreditvergabe, Aktienkaufempfehlung und persönlichem Aktienkauf hin. Dies verdeutlicht die Relevanz einer CMS-Prüfung im Vergleich zu Unternehmen, die ihr CMS nicht prüfen lassen. Zudem verdeutlichen die Untersuchungsergebnisse, dass im Falle einer CMS-Prüfung die Wahrscheinlichkeit des Kreditvergaberisikos geringer und die Wahrscheinlichkeit des privaten Aktienkaufs am höchsten ist. Zudem zeigen die Untersuchungsergebnisse, dass die Bankdirektoren eindeutig zwischen einer Wirtschaftsprüfungsgesellschaft und dem TÜV Rheinland differenzieren. Bei einer Wirtschaftsprüfungsgesellschaft als CMS-Prüfer weisen die Bankdirektoren dem hypothetischen Unternehmen ein signifikant höheres Vertrauen zu sowie höhere Wahrscheinlichkeiten hinsichtlich Kreditvergabe, Aktienkaufempfehlung sowie privatem Aktienkauf. Zudem sind Bankdirektoren eher bereit, Kredite zu gewähren und den Aktienkauf zu empfehlen, wenn die Aussagekraft des Prüfurteils hinreichend sicher ist. Allerdings sind die Ergebnisse bezüglich der Aussagekraft des CMS-Prüfurteils weniger deutlich und es bleibt unklar, ob Bankdirektoren einen Unterschied zwischen hinreichender Sicherheit und begrenzter Sicherheit tatsächlich wahrnehmen und wenn ja, ob sich dieser Unterschied auf ihr Vertrauen und ihre Entscheidungen auswirkt