前回はID管理には、アクセス権限の適切な設定を行う「アイデンティティ・プロビジョニング」と、設定されているアクセス権限を検証する「アイデンティティ監査」の2つの役割があることを紹介した。今回は、ITガバナンスの中でも特に「ビジネスプロセスマネジメント(BPM)」について説明する。
個々の業務をつなぎ、ビジネスの効率化や最適化を継続的に目指そうとするビジネスプロセスマネジメント(BPM)。その考え方や関連製品の紹介記事は、すでにWebサイト上に多く存在する。このようにBPMは広く認知されている概念ではあるのだが、内部統制に対して効果があることはあまり知られていない。
BPMといっても、その製品アーキテクチャは数種類あり実に多様だ。現在では、業務プロセスのモデリング機能にたけた製品と、システム間を連携させながら業務プロセスの構築と実行をシステム化する製品、これら2種類が主力である。
前者のモデリングに注力した製品は、既存システムに縛られずに業務プロセスの設計が可能であるため、表現の自由度が高く、かつては経営者や業務コンサルタント向けともいわれてきた。ただし、システムへ実装するためには、コード自動生成機能はあるものの、既存システムとつなぐためのモジュールの開発が別途発生する場合がある。
一方、後者のシステム連携にたけた製品は、EAIやSOAを実現する製品の拡張機能としてBPMを実装している。その歴史故に、連携できる対象アプリケーションが豊富であることが特徴だ。モニタリングや権限管理機能も充実しており、「ゼロコーディング」のようなコードを書かずともデータ連携や業務プロセスの構築、および稼働状況を確認できるアプリケーションの構築が可能な製品もある。
このような技術が、もともと理論先行のイメージが強かったBPMを現実のものとしている。両者ともお互い補完関係にあるのだが、今回は特に、内部統制の継続的な実行力を備える手段として、後者の「システム連携のアーキテクチャ」が極めて重要であることをご理解いただきたいと考えている。
かつてシステムが各部門主導で導入された結果、“それぞれ異なる経緯を背負ったシステム”が、全社に散在するのはよくある一般的な状況だ。このような“分断されたシステムをまたぐ業務プロセス”には、多くの統制が必要であることに気付いてきた現場のプロセスオーナーも多いと思われる。
半永久的に続く、内部統制のような部門や業務を超えた全社最適型プロジェクトでは、全サイクルにおける作業の有効性や効率性を、あらかじめ議論する必要がある。しかしながら、こうした中長期の戦略が十分検討されないまま、統制活動の実務が「マニュアル統制」で実装されるというケースは非常に多い。
「マニュアル統制」とは、運用中のアプリケーション間が分断されていたり、アプリケーションに統制機能が不足していることが原因で、補完的に人的処理が発生する作業を指す。こうした手作業の裏には、必ず「ミスを犯す」というリスクが伴うことを忘れてはいけないが、それ以上に憂慮すべきは、ミスを防ぐための施策を含め、業務の正当性を確認する“内部テストで評価すべき項目”が多岐にわたってしまうということだ。
図1は、各境界点で統制活動が必要になることを抽象的に説明したものだ。マニュアル統制では、システムから出てきた情報の受け取り方やその情報の扱い方、さらに次の業務への渡し方を、事細かに定義する必要がある。当然、それらが正しく遂行できることや、遂行できていたことを証明するためのテスト方法も定義しておく必要がある。
一方、業務がシステム的に連携できている場合には、統制活動そのものはシステム内部に含まれることになる。システムは常に同じ条件下で同じ結果が期待できるという特徴を持っているため、予防的な統制が働くようになる。そのため、その評価に当たっても、マニュアル統制に比べて極めて省力化が期待できる。これを以下では、「統制の自動化」と定義する。
前述のような、「業務のつなぎ目をどのように自動的に統制するか?」という議論は、大抵2つの解にたどり着く。
1つは、業務そのものを「作り直して」一本にまとめ上げる方法、そして2つ目は業務を何らかの方法でシステム的に連携する方法、である。
ERPなどのパッケージ製品を一斉に導入して業務プロセスを統合することは、統制の自動化を実現する手段として、立案段階においては最もシンプルなアプローチといえる。
しかし、いま現在残された時間や、必要な作り込みの量、その作り込みが将来の製品アップグレードにも耐えられるのかといった判断、そして現状の業務とのギャップに関する社員教育、と懸念事項が多いのも事実だ。
また、業務提携や経営統合といった事業環境変化のスピードに乗って経営層が期待する相乗効果を早期に発揮するためにも、ITの役割が決定的であることは間違いない。従って、システム運用負荷の増大となり得る、特定のプロプライエタリな技術で記述されたシステムへの、過度なカスタマイズ・追加開発は避けるべきである。
つまり、見た目には業務プロセスが連携され、統制の自動化が達成できていても、オープン性や柔軟性という観点が見落とされていては、内部統制の持続が困難になるというわけだ。
そこでBPMが必要になる。BPMは既存の業務プロセスを生かしたまま、内部統制の実現方法を模索する企業にとって有効な解となる。
つまり、いまあるものを捨てて統合パッケージ製品の導入に踏み切ることなく、部門と部門、もしくはシステムとシステムの間に発生する内部統制上のリスクを低減させることが可能なのだ。こうした効果は、次に挙げるようなシステム連携にたけたBPM製品の特徴によるものである。
次に、具体的な例を挙げてみる。
Copyright © ITmedia, Inc. All Rights Reserved.