Compliance von kooperativen Workflows

Abstract. Automatisierte Workflow-Systeme müssen compliant mit verschiedenen Normen, Regeln und Standards sein. Das bedeutet, dass die Geschäftsprozesse im Einklang mit bestimmten Regulierungen ausgeführt werden müssen. Es gibt verschiedene Ansätze, die sich mit Compliance im Kontext von intraorganizational Workflows befassen. Bei interorganizational Workflows muss jedoch sowohl lokale, als auch globale Compliance gewährleistet werden ⁷. Prozessinterne Details sind dabei versteckt und für die anderen am Prozess beteiligten Partner nicht zugänglich. Das macht die Compliance-Überprüfung wesentlich komplizierter als bei intraorganizational Workflows. Im Rahmen dieser Arbeit werden Methoden zur Compliance-Unterstützung bei kooperativen Workflows vorgestellt, verglichen und bewertet.

Keywords: kooperative Workflows, Choreographie, Compliance, ComplianceÜberprüfung, PROPOLS, Contract Compliance Checker

1 Einleitung

Bei Workflow-Systemen und insbesondere bei kooperativen Workflows ist es sehr wichtig, dass verschiedene Gesetze, Richtlinien und Vertragsspezifikationen, die in der Regel aus Rechten, Pflichten und Verboten bestehen, eingehalten werden. Ein unerwartetes Verhalten eines der am Prozess beteiligten Partner kann dazu führen, dass das gemeinsame Ziel nicht erreicht wird, was sehr negative Folgen für alle Prozessbeteiligten haben kann. Die Ausführung der Geschäftsprozesse im Widerspruch mit bestimmten Normen und Regeln kann auch zu Strafen und Geldverlust für die beteiligten Parteien führen. Aus all diesen Gründen ist eine Compliance-Überprüfung und -Gewährleistung von großer Bedeutung für automatisierte Workflow-Systeme.

Bei kooperativen Workflows ist neben einer lokalen Compliance-Überprüfung auch eine globale erforderlich. Dabei besteht auch eine zusätzliche Einschränkung: alle prozessinternen Details sind versteckt und für die anderen beteiligten Partner nicht zugänglich. Das macht die Compliance-Überprüfung bei kooperativen Workflows noch komplizierter⁷. Es existieren hauptsächlich drei Herausforderungen, die während der Compliance-Überprüfung zu beachten sind:

1. Wann soll auf Compliance überprüft werden (zur Modellierungsoder zur Laufzeit)?

2. Wie sollen die Einschränkungen (Regeln, Normen, Vertragsspezifikationen) modelliert werden?

3. Wie sollen die Modelle überprüft werden?

Im Rahmen dieser Arbeit werden drei Methoden zur Compliance-Unterstützung bei kooperativen Workflows (zwei zur Compliance-Überprüfung zur Modellierungszeit und eine zur Laufzeit) vorgestellt, verglichen und bewertet. Diese Methoden versuchen die Herausforderungen bei Compliace-Überprüfung im Kontext von kooperativen Workflows zu lösen.

Die vorliegende Seminararbeit ist folgendermaßen aufgebaut: in Kapitel 2 werden Grundkonzepte erläutert. Es wird erklärt, was Workflow-Management-Systeme und kooperative Workflows sind und was diese mit Choreographie zu tun haben. In Kapitel 3 werden drei Methoden zur Compliance-Unterstützung bei kooperativen Workflows vorgestellt. In Kapitel 4 werden die Methoden verglichen und bewertet und im letzten Kapitel erfolgen Fazit und Ausblick, wo auch die wichtigsten Informationen zusammengefasst werden.

2 Grundlagen von kooperativen Workflows

In diesem Kapitel werden Grundlagen und Konzepte beschrieben, die zum besseren Verständnis der in Kapitel 3 vorgestellten Methoden notwendig sind. Zunächst wird kurz erläutert, was Workflow-Management-Systeme sind, sowie welche Vorteile der Einsatz dieser Systeme mit sich bringt. Danach folgt eine Einführung in Choreographie von Workflow-Systemen, die den kooperativen Workflows zugrunde liegt.

Die Workflow-Management-Systeme (WfMS) sind Vorgangsbearbeitungssysteme, welche die Steuerung von Geschäftsprozessen durch Vereinfachung, Automatisierung und Optimierung unterstützen. Sie koordinieren die Durchführung von Aufgaben durch verschiedene Bearbeiter mithilfe eines vordefinierten Prozessmodells (Workflow-Schema). Die WfMS können Personen, die den Prozessen oder bestimmten Organisationsstrukturen zugeordnet sind, an anstehende Aufgaben erinnern und zusätzliche relevante Informationen bereitstellen. Sie überwachen die Einhaltung von Zeitgrenzen und können als Integrationsplattform dienen, da mittels WfMS die Integration verschiedener externer Applikationen im Prozess möglich ist. Diese Systeme kommen zum Einsatz bei stark strukturierten, routinemäßigen Prozessen, an denen viele Leute beteiligt sind. Sie erhöhen den Automatisierungsgrad und die Qualität der Geschäftsprozesse, reduzieren die Durchlaufzeit, verbessern die Prozesstransparenz und steigern die Informationsverfügbarkeit und die Effizienz.¹

Orchestrierung und Choreographie repräsentieren die zwei wichtigsten Aspekte bei der Komposition von Workflows. Da im Rahmen dieser Seminararbeit ausschließlich kooperative Workflows betrachtet werden, konzentrieren wir uns auf die Erläuterung von Choreographie, die den kooperativen Workflows zugrunde liegt. Ganz allgemein kann man kooperative Workflows als Prozesse, die miteinander agieren, definieren, wobei diese Interaktion aus einer globalen Sicht betrachtet wird.

Bei Choreographie geht es um Modellierung der Koordination von Interkationen zwischen mehreren verschiedenen Prozessen eines Workflow-Systems. Dabei sind prozessinterne Details, d.h. Details über den Aufbau und die Funktionsweise des Prozesses, die zum sogenannten Private-View gehören, nicht relevant. Von Bedeutung sind bei Choreographie nur die Schnittstellen an die beteiligten Partner, mit denen interagiert wird. Diese Schnittstellen gehören zum sogenannten Public-View, das bei der Choreographie von großer Bedeutung ist.²

Somit ist Choreographie eine Koordination des Zusammenspiels zwischen Prozessen, wobei die Interaktion zwischen ihnen von einer globalen Perspektive betrachtet wird. Während der Interaktion werden Nachrichtenflüsse verfolgt. Das sind Nachrichten, die zwischen den am Prozess beteiligten Partnern ausgetauscht werden. Daher kann man behaupten, dass die Interaktion zwischen den Prozessen nachrichtenbasiert verläuft. Zur Ausführungszeit führt jeder Teilnehmer seine Aufgabe entsprechend seiner Rolle und dem Verhalten der anderen Partner durch.³

Derzeit existieren drei Möglichkeiten zur Modellierung von Choreographie: mittels Interaktionsmodelle, Verbindungsmodelle und deklarativer Modelle. Grundlage für die Interaktionsmodelle sind, wie der Name andeutet, die Interaktionen zwischen den Prozessen. Durch das Verbindungsmodell wird versucht, möglichst nah der Idee der abstrakten Prozesse zu kommen. Dabei werden nur Details von den Prozessen berücksichtigt, die für die Interaktion notwendig sind. Durch die deklarativen Modelle werden Einschränkungen für die Ausführung definiert.³

3 Methoden zur Compliance-Unterstützung bei kooperativen

Workflows

Bei der Compliance-Überprüfung in Choreographien bzw. kooperativen Workflows gibt es hauptsächlich drei große Herausforderungen: zu welchem Zeitpunkt soll auf Compliance überprüft werden, in welcher geeigneten Modellierungssprache sollen die Einschränkungen (Constraints) modelliert werden und wie sollen dann die erstellten Modelle überprüft werden.

In diesem Kapitel werden drei Methoden vorgestellt, die versuchen, diese Herausforderungen zu lösen. Bei der ersten Methode werden Regeln mithilfe einer musterbasierten Ontologiesprache spezifiziert. Anschließend werden die bereits modellierten Regeln automatisch verifiziert. Die zweite Methode bietet einen Algorithmus zur Erzeugung von compliantkooperativen Workflows in elf Schritten. Die letzte Methode heißt Contract Compliance Checker. Er überprüft, ob die Aktivitäten der Geschäftspartner compliant mit der Vertragsspezifikation sind. Bei den ersten zwei Methoden handelt es sich um Compliance zur Modellierungszeit, bei der letzten - um Compliance zur Laufzeit.

3.1 Musterbasierte Regelspezifikation und anschließende Verifikation

Bei dieser Methode wird die Sprache PROPOLS (Property Specification Pattern Ontology Language for Service Composition) zur Spezifikation von Regeln eingesetzt. Anschließend erfolgt eine automatisierte Verifikation der mittels dieser Sprache spezifizierten Regeln. Diese Methode setzt voraus, dass die entstehenden Kooperationsmodelle als Service-Interaktionsmodelle modelliert worden sind. Service- Interaktionsmodelle können mit Hilfe der XML-basierten Ausführungssprache BPEL (Business Process Execution Language) spezifiziert werden. Sie wird benutzt zur Spezifikation von Geschäftsprozessen auf der Grundlage von Web-Services.

Die Sprache PROPOLS. PROPOLS ist eine Ontologiesprache zur Spezifikation von Geschäftsregeln. Durch Ontologie werden Begrifflichkeiten sprachlich ausgedrückt und sie erlaubt die Definition von standardisierter Terminologie. Das macht PROPOLS sehr einfach zu benutzen und lernen, da Regeln sehr intuitiv und fast wie in natürlicher Sprache spezifiziert werden. [4, 5]

Modellprüfung ist eine formale Methode zur Compliance-Überprüfung. Bei dieser Methode wird ein Workflow üblicherweise in Form von Petri-Netzen, Prozessalgebra oder endlichen Zustandsautomaten formalisiert. Alle Regeln werden formal ausgedrückt, z. B. mithilfe linearer temporaler Logik. Dann kann das formale Modell überprüft und verifiziert werden. Der größte Nachteil dieses Verfahrens besteht darin, dass die Geschäftsregeln formell sehr schwierig auszudrücken sind. Das macht diese Methode sehr schwierig zu benutzen, wenn man kein gutes Wissen im Bereich der formalen Systeme hat. PROPOLS versucht dieses Problem zu lösen, indem sie Muster zur Spezifikation von komplexen Geschäftsregeln bietet. Auf diese Weise können Leute ohne fundierte Kenntnisse im Bereich der temporalen Logik und der formalen Systeme komplexe Spezifikationen erstellen und bereits erstellte Spezifikationen verstehen. Das macht diese Methode leicht zu benutzen und lernen. Alle diesen Eigenschaften sind wichtige Kriterien bei der Auswahl einer Sprache zur Spezifikation von Regeln. [4, 5]

Mit PROPOLS werden nicht nur einfach die Regeln spezifiziert. Bei der Regelspezifikation wird auch bestimmt, wann die Regel gelten muss. Die Sprache PROPOLS besteht aus den folgenden Hauptelementen: OrderPattern, OccurrencePattern, Scope, Operation, Expression, ConstraintList. Im Folgenden werden nur die für kooperative Workflows relevanten Elemente detailliert betrachtet. Eine ausführliche Beschreibung aller Hauptelemente der Sprache PROPOLS im Kontext von Web-Service- Komposition ist in ⁴ vorhanden.

Wir nehmen an, dass P und Q bestimmte Ereignisse oder Zustände in einem Geschäftsprozess sind.

OrderPattern ist eine Klasse, die folgende Muster definiert:

- Precedence: P muss Q immer vorangehen.

- Response (LeadsTo): P muss Q immer folgen.

OccurencePattern ist eine Klasse, die folgende Muster definiert:

- Absence: P tritt nie auf.

- Universality: P tritt immer auf. x Existence: P muss auftreten.

- Bounded Existence: P muss mindestens/ genau/ höchstens kmal auftreten.

Durch Scope wird spezifiziert, wann eine Regel erfüllt sein muss. In Scope werden folgende Muster beschrieben:

- Globally: die Regel muss während der ganzen Ausführung des Prozesses gehalten werden.

- Before: die Regel muss bis zum ersten Auftreten von P gehalten werden.

- After: die Regel muss nach dem ersten Auftreten von P gehalten werden.

- Between … And: die Regel muss von dem Auftreten von P bis das Auftreten von Q gehalten werden.

- After … Until: wie bei dem vorherigen Fall, aber die Regel muss gehalten werden auch wenn Q nie auftritt.

ConstraintList ist praktisch ein Platzhalter für alle definierten Einschränkungen und Regeln.

Es existieren auch die sogenannten zusammengesetzten Muster, mit dessen Hilfe sehr komplexe Geschäftsregeln spezifiziert werden können. Eine komplexe zusammengesetzte Regel besteht aus mehreren einfachen Regeln, die mit einem booleschen Operator verknüpft sind. Folgende Operatoren der booleschen Logik werden dabei verwendet: Not, And, Or, Xor, Imply.⁴

Beispiel. Das folgende Beispiel zeigt wie eine Regel, definiert in natürlicher Sprache, in der Sprache PROPOLS spezifiziert werden kann. Die Regel sieht in natürlicher Sprache so aus:

„ If the order is fulfilled, the bank ensures that the payment transfers to the company. “ ⁴

Die formale Spezifikation dieser Regel in PROPOLS sieht dann folgendermaßen aus:

Customer.GetOrderFulfilled Precedes Bank.Transfer Globally And

Customer.GetOrderFulfilled LeadsTo Bank.Transfer Globally

illustration not visible in this excerpt

Fig. 1. Verifikationsframework⁶

Das Verifikationsframework erfordert das BPEL-Schema und die mit PROPOLS spezifizierten Regeln als Eingabe. Danach wird alles automatisch durchgeführt und am Ende bekommt man das Ergebnis von der Verifikation. Mit Hilfe der Werkzeuge BPEL2DFA und PROPOLS2DFA werden die beiden Automaten konstruiert und anschließend durch das FSA-Verifier-Tool verifiziert. PROPOLS2DFA greift auf eine Pattern-Library zu, mit dessen Hilfe es den Regelautomaten aufbaut. Der Verfication- Manager übergibt die konstruierten Automaten dem FSA-Verifier. Nach der Verifikation gibt der FSA-Verifier das Ergebnis dem Verification-Manager zurück.

3.2 Methode zur Erzeugung von compliantkooperativen Workflows

Diese Methode ist speziell für kooperative Workflows konzipiert. Sie definiert 11 separate Schritte, die durchgeführt werden müssen, um ein compliantkooperatives Workflow-System zu erzeugen. Diese Methode setzt voraus, dass die Interaktionsmodelle in Business Process Model and Notation (BPMN) modelliert sind. Die Regelspezifikation erfolgt mittels linearer temporaler Logik. Bei dieser Methode geht es genauso wie bei der vorherigen um Compliance in der Designphase. Die eigentliche Compliance-Überprüfung wird durch Modellprüfung der public Elemente (Interaktionsmodell und public Prozessmodelle) durchgeführt. Auf Figur 2 sind alle 11 Schritte graphisch abgebildet. Im Folgenden werden die einzelnen Schritte beschrieben.

Im ersten Schritt werden globale Regeln definiert. In Schritt 2 erfolgt die Spezifikation der globalen öffentlichen Sicht der Interaktionen zwischen den beteiligten Partnern. Was die globale öffentliche Sicht beschreibt, wurde bereits im zweiten Kapitel erläutert. In den nächsten zwei Schritten (3 und 4) wird die Korrektheit des Interaktionsmodells gewährleistet. Dabei geht es einerseits um korrektes Verhalten der Partner (z. B. keine Deadlocks). ⁷

illustration not visible in this excerpt

Fig. 2. Erzeugung von compliant kooperativen Workflows⁷

Andererseits sollte Realisierbarkeit des Interaktionsmodell gewährleitet werden. In diesen Schritten soll also sichergestellt werden, dass jeder der beteiligten Partner in der Lage ist, seinen Prozess so zu modellieren, dass er mit dem Interaktionsmodell kompatibel ist. Generell müssen die beteiligten Partner in der Lage sein, öffentliche und private Prozessmodelle zu definieren, die dem Interaktionsmodell und den in Schritt 1 spezifizierten Regeln entsprechen. Somit muss das Interaktionsmodell den globalen Regeln nicht widersprechen. Diese Korrektheitsbedingung nennt man Compliability. ⁷

Nachdem ein korrektes Verhalten, Realisierbarkeit und Compliability sichergestellt worden sind, muss in Schritt 5 die lokale private Sicht jedes Partners spezifiziert werden. Was die private Sicht beschreibt, wurde in Kapitel 2 auch erläutert. Aufgrund der in Schritt 5 definierten privaten Sicht, definieren die Partner in Schritt 6 öffentliche Prozessmodelle für ihre Prozesse mittels öffentlicher Tasks. Im nächsten Schritt (7) wird eine globale Compliance-Überprüfung durchgeführt. Dabei wird überprüft, ob das Interaktionsmodell und die öffentlichen Prozessmodelle den globalen Regeln, die in Schritt 1 festgelegt wurden, entsprechen. Schritt 7 ist der wichtigste Schritt in dieser Methode. Hier muss berücksichtigt werden, dass die privaten Prozesse nicht öffentlich bekannt sind. Falls keine globale Compliance gewährleistet werden kann, müssen die öffentlichen Prozessmodelle in Schritt 8 überarbeitet werden, bevor noch einmal auf Compliance überprüft wird.⁷

Wenn auch globale Compliance sichergestellt werden kann, sind die öffentlichen Teile, die notwendig für das kooperative Workflow-System sind, vollständig. Danach definieren die Partner in Schritt 9 ihre privaten Prozessmodelle. Sie müssen mit den entsprechenden öffentlichen Prozessmodellen kompatibel sein und den lokalen Regeln entsprechen. In Schritt 10 wird separat von jedem Partner lokal auf Compliance überprüft, da die Prozessmodelle nach außen nicht sichtbar sind. In Schritt 11 ist das kooperative Workflow-System vollständig und fertiggestellt.⁷

Die eigentliche Compliance-Überprüfung erfolgt bei dieser Methode in Schritt 7. Dabei geht es jedoch um eine globale Compliance-Überprüfung im Kontext von kooperativen Workflows. Die Compliance-Überprüfung bei kooperativen Workflows ist relativ kompliziert, weil die privaten Prozessmodelle jedes Partners von der globalen Perspektive nicht bekannt sind.⁷

Bei der globalen Compliance-Überprüfung wird zunächst ein erweitertes öffentliches Prozessmodell für jeden Partner aufgebaut. Danach werden die gebildeten Modelle mit Interaktionsmodellen verknüpft. Die erweiterten öffentlichen Prozessmodelle können jedoch keine Korrektheit des Nachrichtenaustauschs zwischen den Partnern nachweisen. Aus diesem Grund werden die globalen Compliance-Regeln um Vorbedingungen erweitert, mit dessen Hilfe nicht korrekten Nachrichtenaustausch heraus filtriert wird. Zum Schluss wird dann Modellprüfung zur Gewährleistung von globaler Compliance der public Elemente eingesetzt. ⁷

3.3 Contract Compliance Checker (CCC)

In der Business-Welt spielen Verträge eine zentrale Rolle. Sie regeln die Interaktionen zwischen den interagierenden Geschäftspartnern. Aus diesem Grund ist es sehr wichtig zu gewährleisten, dass diese Interaktionen den im Vertrag spezifizierten Bedingungen entsprechen.

Zu diesem Zweck kann der Contract Compliance Checker (CCC) verwendet werden. Der CCC ist ein unabhängiger Third-Party-Service zur Compliance-Überprüfung während der Laufzeit, der in der Lage ist, Ereignisse zu beobachten, die mit den Interaktionen zwischen den Geschäftspartnern verbunden sind. Er ist neutral, liegt zwischen den interagierenden Partnern und beobachtet und protokolliert die Interaktionen. Das Ziel ist zu bestimmen, ob die Aktivitäten der Geschäftspartner den Spezifikationen im Vertrag entsprechen. Diese Methode erfordert eine Spezifikation aller Regeln (Vertragsklauseln) als Event-Condition-Action-Regeln (ECA-Regeln), damit sie vom CCC interpretiert werden können. ECA-Regeln sind Regeln, die erfüllt sein müssen, nur wenn ein bestimmtes Ereignis oder eine bestimmte Zustandsänderung ⁴

Dabei handelt es sich um eine komplexe zusammengesetzte Regel, die aus zwei einfachen Regeln besteht, die mit einem booleschen And-Operator verknüpft sind. Die Regel muss während der gesamten Ausführung des Prozesses gelten, deswegen ist sie als „globally“ definiert.

Verifikation. Wie schon erwähnt wurde, müssen die bereits mit PROPOLS spezifizierten Regeln anschließend verifiziert werden. Die Verifikation erfolgt automatisch mit Hilfe eines Verifikationsframeworks in folgenden drei Schritten:

Im ersten Schritt wird für jede spezifizierte Regel ein semantisch äquivalenter endlicher deterministischer Automat konstruiert. Wenn es sich dabei um eine zusammengesetzte komplexe Geschäftsregel handelt, die mithilfe eines zusammengesetzten Musters spezifiziert ist, wird der Automat mittels Zusammensetzung von einfachen Automaten konstruiert. ⁴

Im zweiten Schritt wird ein endlicher deterministischer Automat für das ganze Workflow-System aus dem BPEL-Schema aufgebaut. Dieser Automat besteht aus einer Menge von endlichen Zuständen und zu jedem endlichen Zustand wird ein Zustand zur Behandlung von Fehlerfällen definiert.⁴

Im letzten Schritt erfolgt die eigentliche Compliance-Überprüfung des Workflow- Schemas gegenüber den bereits mittels PROPOLS spezifizierten Regeln. Dabei werden die beiden in Schritt 1 und 2 konstruierten Automaten verifiziert. Es wird überprüft, ob die Sequenz von allen akzeptierenden Ereignissen des Automaten des Workflow-Systems in der Sequenz der akzeptierenden Ereignisse des Automaten der Geschäftsregeln enthalten ist. ⁴

Der ganze Verifikationsprozess wird von Werkzeugen unterstützt und erfolgt automatisch. Auf Figur 1 ist grafisch dargestellt, wie die Verifikation durchgeführt wird.

[...]