Regels, regels, regels… Het worden er eerder meer dan minder. Qua efficiency en kwalitatief onderscheid weten sommige organisaties ervan te profiteren. Maar door de overheid opgelegde wet- en regelgeving, en zelfs maatschappelijke standaarden absorberen een enorme hoeveelheid resources. Het invulling geven aan ‘compliancy en security’ heeft niet zelden z’n weerslag op het ondernemingstempo. Eén ding is zeker: het kan allemaal een stuk gemakkelijker, beter, sneller en goedkoper.
Het kost bedrijven en instellingen met duizend medewerkers of meer jaarlijks gemiddeld ruim 2,5 miljoen euro om aan alle regels en rapportageverplichtingen te voldoen, blijkt uit internationale benchmarkstudies. De kosten voor non-compliance bedragen overigens meer dan het dubbele (gemiddeld 6,9 miljoen euro per organisatie per jaar), met als belangrijkste drijvers: verstoring van de bedrijfsvoering, productiviteitsverliezen, omzetverliezen, boetes en schadeclaims.
Compliancemaatregelen zijn noodzakelijk, maar tegelijk zit geen medewerker er op te wachten. Het moeten voldoen aan allerlei regels en voorschriften – inclusief het ophoesten van gedetailleerde rapportages en het afleggen van verantwoording – maakt processen meestal alleen maar ingewikkelder. En omdat het uitvoeren van processen steeds meer een samenspel is van mensen en andere productiemiddelen, leidt toenemende complexiteit doorgaans tot een grotere kans op fouten.
Veel fouten
Bij het handmatig uitvoeren van zoekopdrachten (met pen en papier) ligt het gemiddelde foutpercentage tussen de 25 en 27 procent. Ongetwijfeld schuilt hierin één van de vele redenen dat het gebruik van computers zo populair is geworden. Zelfs ervaren computergebruikers maken echter relatief veel fouten. Gemiddeld één op de tien toetsaanslagen is foutief. Het corrigeren ervan neemt gemiddeld iets minder dan 4 procent van de totale correctietijd in beslag. Nog geen man overboord, zou je zeggen. Maar bij het in een programma ingeven van opdrachten gaat het in ongeveer één op de drie gevallen fout (een foutpercentage van gemiddeld 30 procent).
Wetenschappelijke data bevestigen wat iedereen al weet: het automatiseren van processen zorgt voor een forse reductie van de foutkans. Dit pleit sterk voor het automatiseren van hoogcomplexe processen die uitstekend kunnen worden geautomatiseerd, zoals beveiliging of it-beheer. Op het moment dat je een geautomatiseerd proces hebt ingericht, wordt bovendien iedere fout ook nog eens traceerbaar. Ingewikkelde reconstructies op basis van wat menselijke operators zich kunnen herinneren en onnodige herhalingen van zetten, behoren daarmee tot het verleden.
Beveiliging
Bijvoorbeeld beveiliging (security) van systemen speelt bij compliance vaak een belangrijke rol, met name bij financiële instellingen. Natuurlijk zijn er al veel oplossingen beschikbaar die systemen moeten beschermen tegen inbraken (onder andere middels phising) en aanvallen van buitenaf. De Fort Knox-achtige omgeving die systeembeheerders creëren, maakt vaak gebruik van geavanceerde monitoring appliances die doorlopend security dectecties verrichten. Deze tools kunnen tot wel duizenden events per minuut genereren. Daar moet je als beheerder wel wat mee doen. En hoe zeker ben je er dan van dat je steeds ‘compliant' bent?
Gelukkig helpt nieuwe technologie ons uit de brand. Met behulp van expertsystemen kunnen we tegenwoordig zelfs de meest complexe processen in it-beheer optimaal inregelen of zelfs autonoom laten uitvoeren. Omdat iedere gebeurtenis en iedere handeling in zo'n systeem wordt vastgelegd, is te allen tijde tot op de grootst mogelijke diepte en in detail te traceren hoe een proces precies gelopen is. Dit maakt het mogelijk om zelfs aan de meest complexe kwaliteitsstandaarden te voldoen en daarmee compliancy te borgen.
Minder risico’s
Aantonen dat je ‘in control' bent en voldoet aan alle mogelijke compliancy regels, wordt een stuk eenvoudiger wanneer je gebruik maakt van een op expertsystemen gebaseerd platform voor de executie en orkestratie van complexe it-processen. Processen zijn door industrialisatie en ‘intelligente' automatisering daarmee maximaal voorspelbaar en transparant tot in het kleinste detail. Realtime controle is daarmee binnen handbereik. Ook verslaglegging om aan te tonen dat je compliant bent, kun je daarmee steeds tijdig en volledig opleveren. Je kunt tenminste het proces voor de totstandkoming daarvan geautomatiseerd laten bewaken door autonomics. Het risico op boetes, of bijvoorbeeld het schorsen van vergunningen vanwege twijfels over compliancy kan hierdoor grotendeels worden geëlimineerd. Maar het belangrijkste is misschien nog wel dat het continu monitoren van processen een schat aan informatie oplevert die het mogelijk maakt om pro-actief te reageren en verstoringen van de business te voorkomen.
Compliance, het wordt een steeds complexer verhaal en het kost een hoop geld. Gelukkig ontdekken steeds meer it-afdelingen hoe het makkelijker, beter, sneller en goedkoper kan.
Jeroen de Haas, Business Development Director IPsoft
Met 3 vlotgeschreven opiniestukken op rij lijkt de auteur een reclameoffensief voor het toepassen van expertsystemen te zijn gestart. Met onderwerpen als ‘expertsystemen en een nieuw paradigma voor IT, maatschappij en economie’, ‘expertsystemen en kunstmatige intelligentie’ en nu dus ‘expertsystemen en compliance’ is het snel duidelijk dat ‘expertsystemen’ hier het centrale thema van aandacht vormt. De opiniestukken doen mij sterk denken aan de ‘multi million dollar savings’-retoriek ten aanzien van de mogelijkheden van expertsystemen aan het eind van de jaren 80.
In weerwil van het eerste opiniestuk is in de hele serie geen spoor van een nieuw paradigma te ontdekken; veel eerder is hier sprake van het oude paradigma dat tot ver voorbij de grenzen van haar mogelijkheden is opgeschroefd. De naam van dit oude paradigma luidt: controle (vooral in de betekenis van: macht, beheersing).
In de opiniestukken wordt controle tot haar maximum opgevoerd door ‘de complexiteit van it-ketens/infrastructuren’ tot een voldongen feit te verklaren, en nu expertsystemen te wilen inzetten om de laatste inbreng van de mens in de ‘control centers’ te kunnen automatiseren. In plaats van in te zetten op complexiteitsreductie wordt hier de complexiteit nog eens verdubbeld. Het doet denken aan de ontwikkeling van een nieuw verkeersvliegtuig waarbij de besturing zo complex is geworden dat besloten wordt om ook de piloot maar te automatiseren (ook wel bekend als de automatische piloot). Ik vermoed dat er weinig animo zal bestaan om mee te vliegen met een vliegtuig waar geen enkele menselijke besturing meer aan te pas komt.
Nu is complexiteit een complex vraagstuk, maar de vraag blijft hoe complexiteitsreductie kan worden gerealiseerd. Zowel in verouderde legacy-systemen als in modernere, op services gebaseerde multitier-systemen wordt complexiteit mijns inziens vooral veroorzaakt door een aanhoudend wetenschappelijk denken in regels en processen binnen de ICT.
Het denken in regels, zoals dat bijvoorbeeld wordt voorgestaan door een aanpak als Business Rules Management (BRM), gaat uit van het eenvoudige schema: feiten + regels impliceren nieuwe feiten. Feiten komen in de database, regels komen in de rulebase en met een zogenaamde (business) rules engine worden nieuwe feiten door middel van regels afgeleid van bekende feiten. Naast regelgericht is BRM vooral ook data- of feitgericht.
Het denken in processen, zoals gepropageerd door een benadering als Business Proces Management (BPM), komt vooral tot uiting in het veelvuldig toepassen van processchema’s in de vorm van flowcharts, maar is feitelijk ook feitgeoriënteerd: Als dit feit zich voordoet, voer dan dit proces, dit subproces, deze processtap of deze activiteit uit.
Terwijl nu SOA – voluit: Service Oriented Architecture – de volledige potentie in zich heeft tot een drastische reductie van de complexiteit van informatiesystemen (onder het motto ‘van spaghetti naar lasagne’), wordt deze belofte tot op heden niet ingelost vanwege de aanhoudende pogingen deze veelbelovende aanpak te combineren met wetenschappelijke, feitgeoriënteerde benaderingen als BRM en BPM.
De vraag is dus of er een alternatief is voor de proces- en regelgeoriënteerde benaderingen van BRM en BPM, zodat SOA haar belofte van flexibiliteitsverhoging en complexiteitsreductie eindelijk kan waarmaken. In mijn optiek is zo’n benadering er zeker en die luidt……. kunstmatige intelligentie.
Zowel menselijke als kunstmatige intelligentie wordt mijns inziens gekenmerkt door doelgerichtheid. Mijn stelling is dus dat we zowel binnen de ICT, maar vooral ook binnen de business meer moeten denken in doelen (lees ook: diensten/services) en minder moeten denken in feiten, regels en processen.
In mijn afstudeerscriptie voor de HTS (Informatica) met de titel ‘Kennissystemen en kunstmatige intelligentie’ (1989) beschouwde ik de beslissingstabel als de belangrijkste techniek voor het realiseren van kunstmatig intelligente, doelgerichte informatiesystemen.
Beslissingstabellen maken 2 redeneerstijlen mogelijk, namelijk voorwaarts, feitgericht redeneren (ook wel aangeduid met begrippen als forward-chaining, data-driven of antecedent-driven redeneren) en achterwaarts, doelgericht redeneren (ook wel backward-chaining, goal-driven of consequent-driven redeneren genoemd). Een mooi, enthousiast verhaal over beslissingstabellen is op deze site overigens te vinden onder de titel: ‘Beslissingstabel zorgt voor stevig fundament’.
Uit oogpunt van complexiteitsreductie, performance, effectiviteit (doeltreffendheid) en flexibiliteit heeft doelgericht redeneren verre de voorkeur boven feitgericht redeneren. Samengevat denk ik dat inherent flexibele kennisarchitecturen gerealiseerd kunnen worden door het toepassen van SOA, beslissingstabellen en doelgerichte, kunstmatig intelligente redeneertechnieken.
In dat opzicht is de visie van de auteur op kunstmatige intelligentie, zoals verwoord in zijn tweede opiniestuk, volstrekt achterhaald.