捕获合规需求的模式化方法简介

捕获合规需求的模式化方法简介2013-10-05 infoq 夏雪这是一个基于模式的新框架，它通过业务流程的充分自动化和持续审计，来捕获并管理业务流程的合规需求。

在现如今以IT为中心的业务环境中，对法规、法律和其命令的合规性管理已成为成功的关键。指令几乎控制着业务经营的各个方面，要求组织为监管机构、利益相关者、客户和业务合作伙伴提供保证。1.保证整个企业的合规性迫切需要一个整体的、易实施的、自律的方法，用它来定义一个完整、一致的流程和系统层的内部控制集。内部控制尤其应帮助组织达成它的目标，这些目标涉及有效和高效运营、可靠的对内和对外报告，并遵从适用的法律、法规和内部政策。2000年早期一连串大型公司的丑闻导致各种法律法规的产生，例如Sarbanes–Oxley Act （SOX）和 Basel I–III。为达成这些监管措施，许多公司采取措施把控制整合到他们业务流程和企业制度中。然而，他们所做的大多数尝试形成了一个个极具自身特色、孤立的解决方案，其中包括对实现跨多系统的合规需求的控制进行硬编码。这些分离的结构难以适应不断变化的业务环境以及越来越多的法律、法规和标准。2.我们走向业务流程合规性综合管理的第一步，是开发了基于模式的方法，通过此方法来捕获和管理业务流程合规需求。本方法作为对业务流程进行充分自动化和不断审计的起点。在管理业务流程内部控制管理方面，业务流程合规性主流方法也面临着一些挑战，它们过于分散孤立，而且只关注了回顾性报告。3.但是，这样会产生被动的风险防范，因而经常需要付出昂贵的代价,诸如Oracle GRC（治理、风险和合规性）Accelerators的现有工具和SAP Business Objects GRC解决方案提供的解决方法仅能用于一体式应用（比如企业资源计划系统，或ERP系统）。这严重影响了这些解决方案在现代业务流程及以此为支撑的企业系统中的可用性，因为这些系统高度分散并互联互通的。

因为业务流程合规性和规格说明书伴随于不同的生命周期，而且它们通常由不同的利益相关者制定,所以应该将它们解耦，作为单独的实体进行管理。通过把流程规格说明书中的合规需求进行逻辑解耦，我们可以更好地管理它们历经的演变和所做的改写。为了达到这个目标，我们应该在合规需求和业务流程规格说明书之间建立双向追溯。回溯合规需求的最初来源、经历的过程、已经实现和实施的业务系统,以分析变更合规需求的影响。用这种方法，我们也可以避免在不同的应用程序中重复地实现处理合规信息的方法。

通过部分或完全地自动化质量保证任务，我们可以很大程度上避免在昂贵的人工过程检验中产生的错误和遗漏，从而降低合规性质量保证的整体成本。自动化程度取决于捕获并形式化合规需求的能力。但很不幸地是，业务用户很难使用形式化语言去捕获需求，因为他们不具备这些语言技能和相关经验。

我们的框架和模型

与业务流程合规性相关的问题，包括适应性和演变、被动风险管理和自动化（包含形式化），需要一个可重复的、可预见的、整体的方法，该方法可以横跨所有业务流程生命周期。为了解决这些问题，我们首先开发了一个业务流程合规性管理（BPCM）框架，它整合了业务流程生命周期的合规性管理实践。然后，我们为集中式合规资源库开发了一个概念模型（紧密结合上述框架），该模型用于捕获和管理合规需求以及相关的概念。（此前发表了一篇论文介绍了该框架和概念模型的基础。图1：业务流程合规性管理（BPCM）框架（a）运维组件。（b）合规资源库概念模型的关键元素。该框架整合了业务流程生命周期的合规性管理实践。该模型捕获和管理合规需求以及相关的概念。

图 1：业务流程合规性管理（BPCM）框架。（a）运维组件。（b）合规资源关键元素的概念模型。该框架整合了针对业务流程生命周期的合规性管理实践。该模型捕获和管理合规需求和相关的概念。