Bei der Einführung eines Vertragsmanagementsystems sind Fragen zum Berechtigungskonzept unvermeidlich: „Wer soll welche Verträge sehen, anzeigen, bearbeiten dürfen?“ oder „Soll der Zugriff auf den Inhalt einer Vertragsakte noch weiter differenziert werden?“

Die Antwort auf diese Fragen wie auch hilfreiche Hinweise, wie Sie ein langlebiges und vor allem flexibles Berechtigungskonzept entwickeln können, möchte ich mit diesem Beitrag geben.

Auf Basis von Vertragsmerkmalen wie Vertragstyp, organisatorischer Zuordnung oder Vertraulichkeitsstufe können Regeln (sogenannte „Berechtigungsvorlagen“, siehe Fußnote) definiert werden. Diese bestimmen, welche Benutzer bzw. Gruppen welche Art des Zugriffs auf welche Verträge bekommen sollen. Beim Anlegen einer Vertragsakte werden dann anhand der genannten Vertragsmerkmale die passenden Regeln ausgewählt und die entsprechenden Berechtigungen der neuen Akte automatisch hinzugefügt. Darüber hinaus ist es möglich, Zugriffsberechtigungen individuell für einzelne Vertragsakten zu erteilen. Eine Vertragsakte kann auf diese Weise beliebig viele Berechtigungen erhalten:

Berechtigungen einer Vertragsakte (Screenshot: forcont)

Damit ist es uns bisher immer gelungen, die internen Richtlinien unserer Kunden umzusetzen, selbst bei größeren Unternehmen mit mehreren Tochtergesellschaften und Organisationseinheiten.

Vorsicht bei zu vielen Regeln
Bei all der Flexibilität kann andererseits jedoch schnell die Übersichtlichkeit oder auch die Performance leiden: Je mehr Regeln und Ausnahmen existieren, desto mehr Pflegeaufwand entsteht für den Administrator. Er muss den Überblick über die Regeln behalten, das können bei einem größeren Unternehmen durchaus 100 oder mehr sein. Dazu kommt: Je mehr Regeln berücksichtigt werden müssen, umso mehr Informationen müssen bei bestimmten Aktionen – wie z. B. beim Anlegen einer Akte – verarbeitet werden. Mit anderen Worten: Das Anlegen einer Akte dauert länger, wenn mehr Regeln existieren.

Bei der Recherche kann sich dann die Anzahl von vergebenen Berechtigungen einer Akte auf die Performance auswirken. Der Anwender darf bei der Recherche ja nur Akten präsentiert bekommen, für die er auch Zugriffsrechte besitzt. Bei der Präsentation der Rechercheergebnisse muss das Vertragsmanagementsystem also mehr Informationen verarbeiten, je mehr Berechtigungen für die Vertragsakten definiert sind. Mit anderen Worten: Die Recherche dauert länger, je mehr Berechtigungen für die Vertragsakten definiert sind.

Zwei Vertraulichkeitsstufen reichen oft aus
Während der Diskussion des Berechtigungskonzepts ist es wichtig, die oben genannten Aspekte zu berücksichtigen und die benötigten Regeln auf ein vernünftiges Maß zu reduzieren. Dabei hat sich folgende Vorgehensweise bewährt:

Es gibt nur zwei Vertraulichkeitsstufen: „Normal“ und „Vertraulich“.

„Vertrauliche“ Verträge
„Vertrauliche“ Verträge werden grundsätzlich nur individuell berechtigt. Für vertrauliche Verträge werden demnach im System keine Regeln definiert.

„Normale“ Verträge
Die folgenden Punkte betreffen nur „normale“ Verträge:

Organisatorische Zuordnung
Jeder Vertrag ist einer Organisationseinheit zugeordnet. In der Regel ist das die Organisationseinheit, die fachlich für den Vertrag verantwortlich ist. Die Mitarbeiter einer Organisationseinheit erhalten Zugriff auf alle Verträge, die ihrer Organisationseinheit zugeordnet sind. Beauftragt beispielsweise die Abteilung „Legal Affairs“ eine Anwaltskanzlei, so ist der entsprechende Vertrag der Abteilung „Legal Affairs“ zugeordnet. Alle Mitarbeiter der Abteilung „Legal Affairs“ würden dann Zugriff auf den Vertrag erhalten.

Regeln nach Vertragstyp
Das reicht aber häufig nicht aus. Die Mitarbeiter der Abteilung „Corporate Purchase“ könnten z. B. Zugriff auf alle Beratungsverträge benötigen, auch auf den oben erwähnten Vertrag mit der Anwaltskanzlei, auch wenn der Vertrag der Abteilung „Legal Affairs“ zugeordnet ist. Es wird also zusätzlich noch eine Festlegung benötigt, wer Zugriff auf bestimmte Vertragstypen unabhängig der organisatorischen Zuordnung benötigt. Dafür wird eine Berechtigungsmatrix gemeinsam mit dem Kunden ausgearbeitet:

Beispiel einer Berechtigungsmatrix in Form einer Excel-Tabelle (Screenshot: forcont)

Je nach Anforderung beim Kunden kann es dann noch eine weitere Anwendergruppe geben, die Zugriffsrechte für sämtliche Verträge im System erhält. Das ist jedoch kein Muss.

Der Nutzen
Durch die Trennung der Regeln in „Regeln nach organisatorischer Zuordnung“ und „Regeln nach Vertragstyp“ ist die Übersichtlichkeit für den Administrator gegeben: Für jeden Organisationsbereich gibt es genau eine Regel, und für jeden Vertragstyp gibt es maximal eine Regel, wenn sie gemäß Berechtigungsmatrix benötigt wird. Für die Anwender ist das Berechtigungskonzept leicht verständlich. Die Anzahl der Regeln wird damit auf das wirklich Notwendige reduziert. Dadurch wird auch der Einfluss des Berechtigungskonzepts auf die Performance minimiert.

Fußnote

Eine Berechtigungsvorlage enthält eine bestimmte Kombination von Vertragseigenschaften, anhand derer den Vertragsakten die richtige Berechtigung automatisch zugewiesen werden kann.