Анализируйте события, выявляйте аномалии

А вдруг галочку «подтвердить» в экранной форме поставил не ответственный сотрудник, а кто-то другой? А вдруг учётная запись скомпрометирована и ею управляет злоумышленник?

В прошлых публикациях моего блога мы собрали подробные данные с рабочих станций сотрудников, делающих однотипную работу и по событиям восстановили «облако событий», окружающее последовательность транзакций, составляющих типовой бизнес-процесс.

Теперь у нас есть элементарные события (вплоть до нажатия клавиш и щёлканья мыши), которые если непосредственно и не составляют процесс, но «окружают», обрамляют его. Важно, чтобы данные о процессе получались не из одной «базовой» системы, например, бухгалтерского ПО, а из как можно большего количества источников – событий на компьютере, в соцсетях, в почтовых системах, в мессенджерах, системах групповой работы, конференцсвязи, и других. Несколько раз в моей практике было так, что с точки зрения «базового» приложения процесс шёл идеально – все этапы последовательно и с нужным результатом, но сопутствующие сигналы отсутствовали. Например, между получением платежа на утверждение и нажатием в финансовом приложении кнопки «согласовано» обычно происходили какие-то действия в других системах – ответственный сотрудник кому-то звонил, с кем-то списывался, выяснял срочность платежа или какие-то другие подробности. В этом случае формально процесс пройден: заявка поступила и затем была утверждена. Но отсутствие какой-либо активности в других системах между поступлением заявки и её утверждением само по себе является аномалией, которая может вызвать подозрение в том, что процесс согласования платежей проходит не по плану. Конечно, ответственный сотрудник имеет техническую и юридическую возможность утвердить платёж без каких-то действий в других приложениях, но статистика говорит нам, что такое поведение скорее исключение, чем правило.

Что не так в отсутствии «сторонних» событий между этапами процесса в конкретном случае - при том, что в большинстве других случаев такие события есть? Мы даже можем не знать, что именно писал или говорил ответственный сотрудник, нам достаточно знать сам факт, что действия были – а теперь их нет. А вдруг галочку «подтвердить» в экранной форме поставил не ответственный сотрудник, а кто-то другой? А вдруг учётная запись скомпрометирована и ею управляет злоумышленник? Захватить учётную запись в одном приложении и совершить в ней какое-то действие и взломать десяток приложений для того, чтобы имитировать действия живого человека в цифровой системе предприятия – это задачи совершенно разного уровня сложности и стоимости. Потому так важно смотреть не только «одномерный» процесс, в какой бы умной бизнес-системе он не был реализован, а всё цифровое окружение этого процесса, тем более что информационные системы с радостью делятся событиями в виде логов.


Анализируйте события, выявляйте аномалии. Рис. 1

Но с собранными данными, связанными одним процессом можно не только отмечать аномальные случаи и таким образом методом «белых списков» бороться с мошенничеством, сбоями или атаками. Мы можем понять, что происходит не так с процессами, результат которых нас не устраивает по какому-то из параметров качества. Предположим, у нас есть два процесса – один типовой, статистически средний и один аномальный. Для простоты посмотрим на две похожие накладные, оформленные разными людьми: одна была оформлена по нормативу времени, другая – существенно медленнее. С точки зрения базового приложения всё произошло как надо, поскольку в конце концов были последовательно пройдены все требуемые этапы и результат достигнут – накладная оформлена. Нюансы находятся в других системах и вы можете сравнив эти два «облака событий» найти отличие одного от другого и проанализировать это отклонение. Может быть, сотрудник отвлекался от процесса выписывания накладной на другие процессы или вообще отходил от компьютера. Может быть, его компьютер медленнее среднего обрабатывал транзакции. Возможно, скорость сети конкретного сотрудника отличается от среднего по компании (что часто бывает при дистанционной работы из дома, когда компания не предоставляет сотруднику компьютер и доступ в Сеть). И так далее – вы начинаете измерять производительность сотрудников на типовых операциях, а значит – понимаете направление улучшения этой производительности. Видя, в чём узкое горлышко, замедляющее процесс, вы можете дообучить сотрудника, модернизировать его компьютер, программное обеспечение или доступ в сеть, и т.д.

И наоборот – изучая, в чём отличие элементарных операций «чемпионов», быстрее всех выполняющих типовые операции, вы можете находить резервы производительности и на их основе составлять инструкции для остальных сотрудников.

Не устаю напоминать, что все эти данные в вашей системе уже собираются, так что резервы оптимизации бизнеса при удалённой работе сотрудников у вас уже прямо в руках. Обработать и проанализировать их вы можете с помощью инженерной смекалки, знания математики и умения обращаться с открытыми инструментами по обработке больших данных.

Читайте также
Бизнес ориентирован главным образом на рост и финансовую выгоду, а потому зачастую видит в скорейшем внедрении ИИ панацею. Совсем другое дело — госорганы, которые обеспечивают комфорт и благополучие граждан. Далеко не всегда этого можно добиться за счет ИИ и прочих цифровых решений, уверен Денис Волков, министр цифрового развития Воронежской области — нужен многосторонний, взвешенный подход.

Опубликовано 22.07.2020

Другие публикации эксперта