Объемное зрение
Итак, у вас построен цифровой двойник процесса – набор повторяющихся событий в цифровых системах, как «сильных», непосредственно касающихся процесса, так и «слабых», касающихся лишь косвенно, но создающих устойчивые паттерны в рамках исполнения процесса. Поскольку люди не роботы и каждый живой участник процесса выполняет даже одну и ту же функцию немного по-разному, наш цифровой двойник будет выглядеть как некое «облако событий» вокруг «идеального процесса».
«Идеальный процесс» может выглядеть как математическое ожидание всех произошедших экземпляров этого процесса или как некий типовой процесс, описанный какой-то нотации с определёнными нормативами. Уже само «облако событий» может дать вам много информации. У вас как бы появится трёхмерное зрение, вы будете видеть объёмной картину, которая раньше казалась вам плоской. Раньше вы смотрели на то, как процесс происходит в базовом приложении: АБС, кадровой системе, бухгалтерской системе, ERP и т.п.
Теперь каждая транзакция в базовом приложении будет связана с определёнными «слабыми сигналами» совершенно в других системах. И вы увидите, что в некоторых экземплярах процессы транзакции, происходящие в базовой системе, не имеют продолжения в «облаке». Скажем, ответственный сотрудник подтвердил платёж, но обычно перед подтверждением платежа он кому-то звонит или пишет (вы даже можете не знать содержимое его запросов, достаточно фиксировать сам факт коммуникации, адресата, длительность контакта в минутах или килобайтах, интервал между запросом и реакцией и другие доступные атрибуты этой коммуникации), а в каком-то процессе подтверждение платежа в базовой системе прошло автоматически, с небольшим интервалом между запросом и утверждением и без всяческих коммуникаций.
Аномалия поведенческого паттерна? Да, возможно не злонамеренная, но аномалия. Может быть, про этот платёж было известно заранее и надо было его быстро провести. А может быть, учётная запись финансового контролёра скомпрометирована и подтверждение ставит уже взломщик. А может быть, финансовый контролёр находится под давлением, ему или его близким угрожают. Короче, любое отклонения от привычных паттернов должно рассматриваться как возможная угроза.
Обычно в таких случаях автоматическое исполнение подозрительного платежа приостанавливается и он проводится в полуручном режиме с дополнительными контролями. Человеку, который знает, как работает базовое приложение, не составляет труда обмануть его. Кадровику, проводящему по кадровому приложению «мёртвую душу» по всем правилам, имитируя обычное поведение сотрудника – с больничными, отпусками, опозданиями, подарками к Новому году, не составит труда изображать в документах «мертвеца» неотличимым от настоящего сотрудника. Но только в кадровом приложении – имитировать цифровой след в других приложениях предприимчивый кадровик не в состоянии. Вы сразу увидите, что неработающий человек оставляет совершенно другой след в информационной системе компании, чем его живые коллеги.
Или возьмём корреляцию «сильного» сигнала – оплату счёта и «слабого» - переписку с конкретным юрлицом. Согласитесь, практически невозможная история, чтобы платёж исполнялся в сторону компании, название которой не разу не встречалась в корпоративной переписке. То есть, если происходит подтверждённый платёж на счёт компании, название которой ни разу не фигурировало в цифровом пространстве плательщика, то что-то с этим процессом не так и его стоит приостановить и провести в полуручном режиме с дополнительными контролями.
Можно долго рассказывать про кейсы, выявленные лишь при составлении «облака событий» вокруг процесса, часто уже на этом этапе эффект от затраченных усилий окупает усилия по сбору и анализу данных, но для нас с вами анализ «облака событий» это только начало. В следующей публикации мы начнём искать чемпионов процессов и хронически отстающих, и научимся понимать причины побед и отставаний.
Опубликовано 31.05.2020