Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Kosten complexe compliance kunnen omlaag

 

sparen

Regels, regels, regels… Het worden er eerder meer dan minder. Qua efficiency en kwalitatief onderscheid weten sommige organisaties ervan te profiteren. Maar door de overheid opgelegde wet- en regelgeving, en zelfs maatschappelijke standaarden absorberen een enorme hoeveelheid resources. Het invulling geven aan ‘compliancy en security’ heeft niet zelden z’n weerslag op het ondernemingstempo. Eén ding is zeker: het kan allemaal een stuk gemakkelijker, beter, sneller en goedkoper.

Het kost bedrijven en instellingen met duizend medewerkers of meer jaarlijks gemiddeld ruim 2,5 miljoen euro om aan alle regels en rapportageverplichtingen te voldoen, blijkt uit internationale benchmarkstudies. De kosten voor non-compliance bedragen overigens meer dan het dubbele (gemiddeld 6,9 miljoen euro per organisatie per jaar), met als belangrijkste drijvers: verstoring van de bedrijfsvoering, productiviteitsverliezen, omzetverliezen, boetes en schadeclaims.

Compliancemaatregelen zijn noodzakelijk, maar tegelijk zit geen medewerker er op te wachten. Het moeten voldoen aan allerlei regels en voorschriften - inclusief het ophoesten van gedetailleerde rapportages en het afleggen van verantwoording - maakt processen meestal alleen maar ingewikkelder. En omdat het uitvoeren van processen steeds meer een samenspel is van mensen en andere productiemiddelen, leidt toenemende complexiteit doorgaans tot een grotere kans op fouten.

Veel fouten

Bij het handmatig uitvoeren van zoekopdrachten (met pen en papier) ligt het gemiddelde foutpercentage tussen de 25 en 27 procent. Ongetwijfeld schuilt hierin één van de vele redenen dat het gebruik van computers zo populair is geworden. Zelfs ervaren computergebruikers maken echter relatief veel fouten. Gemiddeld één op de tien toetsaanslagen is foutief. Het corrigeren ervan neemt gemiddeld iets minder dan 4 procent van de totale correctietijd in beslag. Nog geen man overboord, zou je zeggen. Maar bij het in een programma ingeven van opdrachten gaat het in ongeveer één op de drie gevallen fout (een foutpercentage van gemiddeld 30 procent).

Wetenschappelijke data bevestigen wat iedereen al weet: het automatiseren van processen zorgt voor een forse reductie van de foutkans. Dit pleit sterk voor het automatiseren van hoogcomplexe processen die uitstekend kunnen worden geautomatiseerd, zoals beveiliging of it-beheer. Op het moment dat je een geautomatiseerd proces hebt ingericht, wordt bovendien iedere fout ook nog eens traceerbaar. Ingewikkelde reconstructies op basis van wat menselijke operators zich kunnen herinneren en onnodige herhalingen van zetten, behoren daarmee tot het verleden.

Beveiliging

Bijvoorbeeld beveiliging (security) van systemen speelt bij compliance vaak een belangrijke rol, met name bij financiële instellingen. Natuurlijk zijn er al veel oplossingen beschikbaar die systemen moeten beschermen tegen inbraken (onder andere middels phising) en aanvallen van buitenaf. De Fort Knox-achtige omgeving die systeembeheerders creëren, maakt vaak gebruik van geavanceerde monitoring appliances die doorlopend security dectecties verrichten. Deze tools kunnen tot wel duizenden events per minuut genereren. Daar moet je als beheerder wel wat mee doen. En hoe zeker ben je er dan van dat je steeds ‘compliant' bent?

Gelukkig helpt nieuwe technologie ons uit de brand. Met behulp van expertsystemen kunnen we tegenwoordig zelfs de meest complexe processen in it-beheer optimaal inregelen of zelfs autonoom laten uitvoeren. Omdat iedere gebeurtenis en iedere handeling in zo'n systeem wordt vastgelegd, is te allen tijde tot op de grootst mogelijke diepte en in detail te traceren hoe een proces precies gelopen is. Dit maakt het mogelijk om zelfs aan de meest complexe kwaliteitsstandaarden te voldoen en daarmee compliancy te borgen.

Minder risico's

Aantonen dat je ‘in control' bent en voldoet aan alle mogelijke compliancy regels, wordt een stuk eenvoudiger wanneer je gebruik maakt van een op expertsystemen gebaseerd platform voor de executie en orkestratie van complexe it-processen. Processen zijn door industrialisatie en ‘intelligente' automatisering daarmee maximaal voorspelbaar en transparant tot in het kleinste detail. Realtime controle is daarmee binnen handbereik. Ook verslaglegging om aan te tonen dat je compliant bent, kun je daarmee steeds tijdig en volledig opleveren. Je kunt tenminste het proces voor de totstandkoming daarvan geautomatiseerd laten bewaken door autonomics. Het risico op boetes, of bijvoorbeeld het schorsen van vergunningen vanwege twijfels over compliancy kan hierdoor grotendeels worden geëlimineerd. Maar het belangrijkste is misschien nog wel dat het continu monitoren van processen een schat aan informatie oplevert die het mogelijk maakt om pro-actief te reageren en verstoringen van de business te voorkomen.

Compliance, het wordt een steeds complexer verhaal en het kost een hoop geld. Gelukkig ontdekken steeds meer it-afdelingen hoe het makkelijker, beter, sneller en goedkoper kan.

Jeroen de Haas, Business Development Director IPsoft

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4551875). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Leuk verhaal maar zolang gebruikers nog geen USB aansluiting hebben voor de rapportage van dagelijkse werkzaamheden en activiteiten blijft er een 'gap' in de compliance. En zoals al aangehaald zijn regels niet altijd leuk en worden deze daarom naar 'de hand gezet' waardoor het spelletje weer opnieuw begint. Want waarom waren er ook alweer zoveel regels?

Regels worden ons tenslotte opgelegd en zijn daarmee een extrensieke discipline waaraan we geacht worden ons te houden. Zo hebben we boekhoudregels, wetten en normen om in controle te blijven, anarchie te voorkomen. We zouden een stuk minder regels nodig hebben als er dus meer intrensieke discipline was en iedereen gevoelsmatig weet wat wel of niet gepast is. Maar zoals de waard....

Compliance is tenslotte een stuk complexer geworden door SOX, code Tabaksblatt en andere maatregelen die actief werden na schandalen. Hoe zat het ook alweer met de put en het kalff?

Compliancy en security worden vaak met elkaar verward maar hebben in de praktijk niet veel met elkaar te maken. Ze zijn niet equivalent noch impliceren zij elkaar.

Voor elk probleem een oplossing en voor elke oplossing een probleem. Een expertsysteem dat de compliance in de gaten houd moet worden gevoed met informatie en waar haal je die informatie vandaan? Hoe weet je welke regels per informatie item van toepassing zijn? En hoe weet je dan welke afwijking kritisch zijn, het is utopia.
Regels moet je in eerste instantie zoveel mogelijk afdwingen in systemen, zonder gebruiksvriendelijkheid aan te tasten, wat er overblijft kan je beleggen in de die systemen die ertoe doen en dat zal maar een klein deel van de totale systemen zijn.
Boekhoudregels e.d. zijn toch ook allemaal vastgesteld in boekhoudprogramma's, dus waarom daar niet beginnen?

@Willem

Waarschijnlijk moet je voor de antwoorden op jouw vragen bij IPSoft zijn ...

Helaas is de computable van een vakblad af aan het glijden naar een verkapt commercieel krantje, waarin bedrijven zogenaamde opinies en expertises ventileren teneinde hun eigen producten aan de man te brengen

@paveke

Ik vermoed dat ook Computable regels voor 'compliance' heeft. We leven nu eenmaal in een wereld van zesjes, de omgedraaide negens;-)

@Ewout : dit levert je gegarandeerd een 6je (3 sterren op) vrees ik :p

(de rest van mijn cynisme zal ik maar even laten voor wat het is)

Topic Hijacking :-) met willekeurige sterren!

@PaVaKe, die laatste vier sterren is voor je zin tussen haakjes denk ik; als je je mond houdt krijg je sterren! Je kunt niet voor alle reacties een 8 krijgen, dus komt er een gemiddelde en dat is best okee. Die gemiddelde kunnen ze niet in sterren uitdrukken want dan heeft iedereen drie sterren.

Back on-topic: Compliance... als bank kom je er niet onderuit, maar ik denk wel eens; wat kost het en wat levert het op? Diginotar moest de hoofdprijs betalen, maar veel bedrijven komen er prima mee weg door stiekem niet compliant te zijn. Het checken is duur en vergt ook discipline, ook als klant zijnde! Compliance is één van de redenen waarom arbeid elders zoveel goedkoper kan zijn. Compliance is ook vaak een vals gevoel van veiligheid en daarmee doorkruis ik meteen de stelling van Kees. Ze hebben dan wel degelijk met elkaar te maken :-) Alleen anders dan bedoeld.

Dan zal ik ook even terug on topic komen:

Compliance is een zeer breed vakgebied. Helaas is lang niet alle compliance te checken middels tooling.

Ergo, is sommige sectoren kun je dan misschien wel tools inzetten om je te helpen bij het aantonen van je compliance, maar deze tooling zal dan ook gevalideerd moeten worden om aan te tonen dat deze inderdaad doet wat je denkt dat 'ie doet.

De grootste uitdaging aan compliance is niet het verzamelen van data, maar het interpreteren van deze data, het interpreteren van de compliance-regels en vervolgens de juiste conclusies trekken.


@Henry
@Pavake

gewoon voor de inhoud gaan en laat dat sterrenstreven maar, net als een meteorietenregen lijkt dat veel op momentane sterren is dat ook willekeurig met maar tijdelijke roem........

Excuses, maar er staan in deze opinie meerdere meningen waar ik me niet in kan vinden of het niet mee eens ben.

Processen kunnen automatiseerd worden inderdaad. Beveiliging en IT Beheer lenen zich hier echter helemaal niet goed voor. Bij beveiliging wordt er gecontroleerd op alle bekende aanvallen,virussen en malware.
De geautomatiseerde systemen zien de nieuwe aanval niet en het compliance rapportage komt vrolijk met reeks groene berichten.

En IT Beheer geautomatiseerd, daar weet ik niet wat ik me moet voor stellen, robots komen de werkplek indelen?

Ook, en ik quote:
"Ingewikkelde reconstructies op basis van wat menselijke operators zich kunnen herinneren en onnodige herhalingen van zetten, behoren daarmee tot het verleden."

Log bestanden houden gewoon precies bij wat er gebeurd is. Bij al mijn eerste werkgever konden we precies traceren wie wat gedaan had en waarom het fout was gegaan. Een goed systeem logt ook gewoon precies wat er aan de hand is en gaat niet vreemde foutcodes naar gebruikers toespugen.

Daarnaast heb ik ervaren dat sommige organisaties gewoon om de compliance regelingen heen werken.

Tuurlijk is het wel zo dat apparatuur en appliances de taken van een systeem/netwerkbeheerder een stuk makkelijker kan maken, maar hier wordt een veelst te rooskleurige utopische oplossing afgeschilderd.

Met 3 vlotgeschreven opiniestukken op rij lijkt de auteur een reclameoffensief voor het toepassen van expertsystemen te zijn gestart. Met onderwerpen als ‘expertsystemen en een nieuw paradigma voor IT, maatschappij en economie’, ‘expertsystemen en kunstmatige intelligentie’ en nu dus ‘expertsystemen en compliance’ is het snel duidelijk dat ‘expertsystemen’ hier het centrale thema van aandacht vormt. De opiniestukken doen mij sterk denken aan de ‘multi million dollar savings’-retoriek ten aanzien van de mogelijkheden van expertsystemen aan het eind van de jaren 80.

In weerwil van het eerste opiniestuk is in de hele serie geen spoor van een nieuw paradigma te ontdekken; veel eerder is hier sprake van het oude paradigma dat tot ver voorbij de grenzen van haar mogelijkheden is opgeschroefd. De naam van dit oude paradigma luidt: controle (vooral in de betekenis van: macht, beheersing).

In de opiniestukken wordt controle tot haar maximum opgevoerd door ‘de complexiteit van it-ketens/infrastructuren’ tot een voldongen feit te verklaren, en nu expertsystemen te wilen inzetten om de laatste inbreng van de mens in de ‘control centers’ te kunnen automatiseren. In plaats van in te zetten op complexiteitsreductie wordt hier de complexiteit nog eens verdubbeld. Het doet denken aan de ontwikkeling van een nieuw verkeersvliegtuig waarbij de besturing zo complex is geworden dat besloten wordt om ook de piloot maar te automatiseren (ook wel bekend als de automatische piloot). Ik vermoed dat er weinig animo zal bestaan om mee te vliegen met een vliegtuig waar geen enkele menselijke besturing meer aan te pas komt.

Nu is complexiteit een complex vraagstuk, maar de vraag blijft hoe complexiteitsreductie kan worden gerealiseerd. Zowel in verouderde legacy-systemen als in modernere, op services gebaseerde multitier-systemen wordt complexiteit mijns inziens vooral veroorzaakt door een aanhoudend wetenschappelijk denken in regels en processen binnen de ICT.

Het denken in regels, zoals dat bijvoorbeeld wordt voorgestaan door een aanpak als Business Rules Management (BRM), gaat uit van het eenvoudige schema: feiten + regels impliceren nieuwe feiten. Feiten komen in de database, regels komen in de rulebase en met een zogenaamde (business) rules engine worden nieuwe feiten door middel van regels afgeleid van bekende feiten. Naast regelgericht is BRM vooral ook data- of feitgericht.

Het denken in processen, zoals gepropageerd door een benadering als Business Proces Management (BPM), komt vooral tot uiting in het veelvuldig toepassen van processchema’s in de vorm van flowcharts, maar is feitelijk ook feitgeoriënteerd: Als dit feit zich voordoet, voer dan dit proces, dit subproces, deze processtap of deze activiteit uit.

Terwijl nu SOA – voluit: Service Oriented Architecture - de volledige potentie in zich heeft tot een drastische reductie van de complexiteit van informatiesystemen (onder het motto ‘van spaghetti naar lasagne’), wordt deze belofte tot op heden niet ingelost vanwege de aanhoudende pogingen deze veelbelovende aanpak te combineren met wetenschappelijke, feitgeoriënteerde benaderingen als BRM en BPM.

De vraag is dus of er een alternatief is voor de proces- en regelgeoriënteerde benaderingen van BRM en BPM, zodat SOA haar belofte van flexibiliteitsverhoging en complexiteitsreductie eindelijk kan waarmaken. In mijn optiek is zo’n benadering er zeker en die luidt……. kunstmatige intelligentie.

Zowel menselijke als kunstmatige intelligentie wordt mijns inziens gekenmerkt door doelgerichtheid. Mijn stelling is dus dat we zowel binnen de ICT, maar vooral ook binnen de business meer moeten denken in doelen (lees ook: diensten/services) en minder moeten denken in feiten, regels en processen.

In mijn afstudeerscriptie voor de HTS (Informatica) met de titel ‘Kennissystemen en kunstmatige intelligentie’ (1989) beschouwde ik de beslissingstabel als de belangrijkste techniek voor het realiseren van kunstmatig intelligente, doelgerichte informatiesystemen.

Beslissingstabellen maken 2 redeneerstijlen mogelijk, namelijk voorwaarts, feitgericht redeneren (ook wel aangeduid met begrippen als forward-chaining, data-driven of antecedent-driven redeneren) en achterwaarts, doelgericht redeneren (ook wel backward-chaining, goal-driven of consequent-driven redeneren genoemd). Een mooi, enthousiast verhaal over beslissingstabellen is op deze site overigens te vinden onder de titel: ‘Beslissingstabel zorgt voor stevig fundament’.

Uit oogpunt van complexiteitsreductie, performance, effectiviteit (doeltreffendheid) en flexibiliteit heeft doelgericht redeneren verre de voorkeur boven feitgericht redeneren. Samengevat denk ik dat inherent flexibele kennisarchitecturen gerealiseerd kunnen worden door het toepassen van SOA, beslissingstabellen en doelgerichte, kunstmatig intelligente redeneertechnieken.

In dat opzicht is de visie van de auteur op kunstmatige intelligentie, zoals verwoord in zijn tweede opiniestuk, volstrekt achterhaald.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×