SOX対応ソリューションの要と期待されるBPM（Business Process Management)　(2)　

前回「SOX対応ソリューションの要と期待されるBPM (1)」では、BPM（Business Process Management)　の特徴と、BPMの必要性、ビジネスプロセスとビジネスルールをアプリケーションから分離する必要性について述べた。今回は、BPMを機能アップのトータルソリューションである、BPMスイートにおけるそれぞれの機能についてもう少し詳しく述べたい。

BPMシートの構成機能

BPMスイートはおおむね、大きく分けて以下の機能で構成されると思われる。

１．Workflow（Business Process）

２．Business Rules

３．Enterprise Application Integration（EAI）

４．Business To Business Integration

５．Business Process Monitoring & Analytics

６．Solution Frameworks

１．Workflow及び２．BusinessRules

これらは、アプリケーションをブレークダウンして、個々の小さな業務サービスをつなぐものである。Workflow及びBusinessRulesは、BPMの基本となるサブシステムとなる。Workflowは業務フローとかビジネスプロセスとか呼ばれるものである。Workflowを分類すると大きく分けて３つあり、1.A⇒B⇒C、という「連続」2.A⇒B及びA⇒Cの「並行」、B＋C⇒Dの「結合」、3.A⇒B（if a=b）、A⇒C（if not a=b）という「分岐」である。

ビジネスルールは、Business Rulesは、ビジネスポリシーとも言うべき、ビジネスプロセスの判断の材料となるものであり、3.のa=bという基準を示し、分岐の判断尺度となる。

実際の導入では、まずは、ビジネスをワークフローとビジネスルールをモデル化し、フレームワークをつくる（業務の可視化の作業）。作成したワークフローと社内のシステムを実際にリンクさせて、日常業務を実行する。それをモニタリングし、分析することで、業務効率やビジネスの変化に合わせて改善すべき点が出てくれば、ワークフローを修正したり追加したりする。それをぐるぐると繰り返すことで、ビジネスの変化に合わせて、システムも改善していくことが可能となる。これらをうまく日常的にまわしていくことができれば、新しい変化への対応に即したシステム基盤の提供が可能となり、企業のシステム投資リターン（ROI）だけでなく、ビジネスでの投資リターンも向上させることが可能となる。

比重を増すコンプライアンス対応

コンプライアンスの対応は、特に最近重要となっており、内部統制のサポートに大きな威力を発揮する。

?計画と分析：チームの特定化、内部監査及び外部監査の連携、アイデンティティ・コントール、統制のカルチャーの醸成、評価の手続きなどの実施。

?ドキュメント：プロセスフロー、ポリシー、手続き、コントロール、リスク評価、自己診断、診断結果、修正プランなどあらゆる活動を記録。

?レポート：四半期、年次、適時報告の実施。

?テスト：IT統制、自己診断、統制の信頼性評価、監査テスト

?修正：例外規定、不足部分の修正

?モニタリング：全社のコントロールプロセス、リアルタイム、個別評価の実施

上記が一体化して管理されることで、コンプライアンス対応に必要なレビューのための必要リソースを減少させることが可能となる。また、全ての要求と承認の手続きが記録されるので、内部監査及び外部監査を行う際に、記録を短時間に追跡することが可能となり、透明性が高まる。更に、リアルタイムでモニタリングを行うことができるために、ルール違反などの異例操作によるリスクを小さくすることが可能となる。J-SOX対応が義務づけられたことにより、BPM導入の重要性はますます高まっている。

BPMスイートモデリング

BPMスイートを構成する際には、全体のモデリングが必要となる。モデリングは、「戦略ビジョンモデル」、「プロセスモデル」、「ビジネスポリシーモデル(ビジネスルール)」、「組織モデル」、「情報及びインテグレーションモデル」で構成され、それぞれが密接に関与してくる。

「戦略ビジョンモデル」は、対象業務に対する会社の取組み方針であり、それにしたがって、「プロセスモデル」が選定される。これは、例えば、オンラインショップを例に挙げると、カタログ検索、オーダー指示、請求書発行業務、発送指示、トラッキングなどの業務単位となる。「組織モデル」は、トップのCEOから始まって、CFO、COO、CITなどの下部組織につながってくる組織図となる。それぞれの業務単位に対し、誰が何を担当するのか（請求を行う、操作を行う、承認を行うなど）が定められる。「プロセスモデル」においては、各業務単位がどの順番で行われるか業務フローが定められる。「ビジネスポリシーモデル（ビジネスルール）」は、プロセスの分岐における判断材料となるもので、ポリシー（法令、会社の方針など）、ベストプラクティス（業務を行うために最適と考えられるもの）、顧客の好み（クライアントが望むもの）、パートナーの好み（パートナーが望むもの）に分かれる。「インフォメーション及びインテグレーションモデル」は、それぞれの情報がどこに存在していてどういうふうに関連するかを定めたものである。

コンプライアンスに絡めて若干補足であるが、「戦略ビジョンモデル」は企業によって当然ながら異なる。決して間違ってはいけないのは、外部から与えられるものではなく、外部環境と内部のリソースを勘案して、企業のトップが定めるものである。お上、ITベンダー、監査法人、コンサルタントが教えてくれるものではない。特に、SOX対応において重要なポイントであるが、内部統制とは、経営管理そのもののである。経営者は経営とは何か？もう一度見直す必要がある。ここがあいまいだと、BPMの導入も効果が薄くなってしまう。

３．Enterprise Application Integration（EAI）と４．Business To Business Integration

ビジネスプロセスの背後には、社内には従来から配備されたバックエンドシステムが動いている。例えば、セールス、サービス、クレーム対応、詐欺対応、パートナー対応など。ある程度の規模と歴史を有する企業であれば、それぞれにフロントオフィス、ミドルオフィス、バックオフィスの業務と担当者が存在し、業務アプリケーションが配備されているはずである。更に、外部のビジネスパートナーにも、何らかの業務アプリケーションが配備されているはずである。

それらをBPMの定めたフローにあわせて、個々の業務アプリケーションの個別の機能を有機的にリンク（インテグレーション）させていく。インテグレーションは、さまざまな技術が用いられるが、最近ではWebサービスが一般的になっている。インテグレーションには、業務アプリケーションの個別の機能同士を接続するためのアダプターも含まれる。

また、業務アプリケーションとして、パッケージツールである、SAP、Peopleソフト、Siebelなどさまざまなベンダーが提供するものがあり、外部のビジネスパートナーとのインテグレーション（Business To Business Integration）には、Webサービスを用いた連携が力を発揮する。部品化された個別機能は一つのサービスと定義され、共通のデータベースとともに、エンタープライズサービスバス（Enterprise Service Bus）と呼ばれるバックボーンで連携される。これはSOA（Service Oriented Architecture）の基本的なコンセプトである。

ツールベンダーであるベンチャー登場への期待

このインテグレーションのツールである、アダプターや、それぞれの業務アプリケーションの機能を分離するツールについては、BPMスイートのベンダーのみならず、さまざまなツールベンダーから提供されている。更に、業務アプリケーションには、上記のメジャーなパッケージソフトばかりではなく、自社開発のレガシーシステムが配備されているケースが少なくなく、ビジネスプロセス、ビジネスルール、データベースが、スパゲッティー状態に複雑に絡み合っているケースが少なくない。これらについては、機能単位を粒度を定めて確定し、一つづつ手作業で切り離していく作業が必要である。さながらシャム双生児の分離手術のようだ。さまざまなベンダーからツールが提供されつつあり、今後、自動化が進むものと期待される。いろいろなベンダーの業務アプリケーション同士をつなぐには、個々のベンダーのシステムの癖など裏を熟知している必要があり、大手ベンダーだけではなかなか難しいものである。その領域は、大手企業よりも、多様なバックグラウンドを持つ技術者たちの混成部隊であるベンチャー企業の方がはるかに有利である。エンタープライズソリューションの世界で今後成長が見込まれる有望な領域であり、ベンチャーの登場と活躍が期待される。

（徳田浩司 koji.tokuda at www.fusion-reactor.biz）