--- title: "Synthesis: APM through the lens of business themes" type: synthesis tags: [apm, business, strategy, compliance, governance, theory] sources: ["[[sources/2026-calvanese-agentic-bpm-manifesto]]", "[[sources/2023-dumas-ai-augmented-bpms]]", "[[sources/2018-dumas-fundamentals-of-bpm]]"] created: 2026-04-13 updated: 2026-04-13 --- # Synthesis: APM through the lens of business themes APM-manifestets forskningsagenda ([[sources/2026-calvanese-agentic-bpm-manifesto]]) omorganiseret efter **hvilke forretningstemaer** den adresserer. Hvert tema grundes i eksisterende teori før APM's løsningsbidrag opridses. Beregnet til at oversætte forskningsagendaen til sprog der møder jurist, risikoansvarlig, CFO, CISO, HR og strategi-funktioner. --- ## 1. Legal & regulatory compliance **Temaet.** Forretningsprocesser opererer i et regulatorisk landskab der er blevet markant tættere i løbet af 2020'erne. **GDPR** (2018) etablerede dataminimering, formålsbegrænsning, og retten til forklaring som defaults for enhver databehandling. **EU AI Act** (fuld kraft 2026–2027) indfører risikoklassifikation af AI-systemer, med høj-risiko systemer (sundhed, ansættelse, kreditvurdering, retshåndhævelse) underlagt art. 9 (risikostyring), art. 13–14 (transparens og human oversight), og art. 15 (robusthed, nøjagtighed, cybersikkerhed). Dertil kommer sektor-specifik: **MiFID II** (finansiel), **HIPAA** (sundhed i USA), **Basel III/IV** (bank-risiko), **AMLD** (hvidvask), **NIS2** (cybersikkerhed). **Eksisterende teori/rammer.** Virksomheder har i årtier brugt *compliance management frameworks* — COSO ERM, ISO 31000, ISO 27001, SOX-kontroller — til at strukturere dette. I BPM-traditionen er compliance typisk kodet som **compliance rules over process models** (LTL-formler, DECLARE-constraints, [[sources/2018-dumas-fundamentals-of-bpm|Fundamentals of BPM]] kap. 4.4), tjekket statisk mod modellen eller dynamisk via conformance checking ([[methods/process-mining-basics]]). Dette virker når processen er deterministisk og agenter er passive eksekverere. **Hvorfor det bliver akut med agenter.** En autonom agent kan træffe beslutninger der teknisk ligger inden for sit mandat, men krænker et regulatorisk princip (fx GDPR's purpose-limitation) — uden at nogen regel eksplicit var formuleret. Klassiske rule-based compliance tools fanger det ikke, fordi reglerne ikke var specificerede ex-ante. **APM's svar.** Løser det gennem [[concepts/framed-autonomy|normative frames]] (F1–F4) formuleret i deontisk logik (must/may/must-not) snarere end operationelle regler, kombineret med [[concepts/explainability-apm|explainability]] (X1–X5) som art. 13-kompatibel forklaringsmekanisme. **C4 (Liability)** er den eksplicitte bro til EU AI Act's ansvarskrav. --- ## 2. Risk management & governance **Temaet.** Operationel risiko (Basel II/III) er traditionelt defineret som tab grundet utilstrækkelige interne processer, mennesker, systemer, eller eksterne events. Når dele af processen delegeres til autonome agenter tilføres en ny kategori: **agentic risk** — tab grundet emergente, ikke-forudsete beslutninger af et lærende system. **Eksisterende teori.** *Three lines of defense* (IIA-model): first line = operations, second = risk & compliance, third = internal audit. *Agency theory* (Jensen & Meckling 1976) giver sproget for principal-agent-problemer: mål-konflikt, informations-asymmetri, moral hazard. Klassisk håndteret via **kontrakter, monitoring, og incitamenter**. I BPM-verdenen er risk management pt. indbygget i **governance**-pillen af Rosemanns seks success-faktorer for [[concepts/bpm-maturity|BPM-modenhed]] — klart defineret process ownership, decision rights, eskalationsveje. **Hvorfor det bliver akut.** Software-agenter kan ikke underskrive kontrakter, har ikke karriere-incitamenter, og kan self-modify i retninger der var ukendte på design-tidspunktet. Principal-agent-teorien forudsætter rationel human agent — LLM-agenter overtræder den antagelse. **APM's svar.** Behandler risk som governance-design baked into agenten: **F4** formaliserer frame-overholdelse som incitament ("agentic alignment by design"), **M1** kodificerer *learning to defer* (hvornår skal beslutningen tilbage til mennesker), og **A5** stiller spørgsmålet om balance mellem delegation og kontrol som eksplicit designvalg. Kombineres med **M2** kvalitetssikring i fuldt autonome scenarier — den agentic pendant til three-lines-of-defense. --- ## 3. Security & privacy **Temaet.** Informationssikkerhed bygger klassisk på **CIA-triaden** (Confidentiality, Integrity, Availability) og implementeres via adgangsstyring (RBAC, ABAC), netværkssegmentering, kryptering, patch management, og SIEM-overvågning. Privacy adresseres via *Privacy by Design* (Cavoukian 2009), data minimering, og formålsbindings-principper. **Eksisterende teori.** *Threat modelling* (STRIDE, PASTA, MITRE ATT&CK). Zero Trust-arkitektur (Kindervag 2010). OWASP Top 10 for webapplikationer. Forsynings-kædesikkerhed (SLSA). For AI specifikt har fremkomst af **OWASP Top 10 for LLM Applications** (2023+) kategoriseret angrebsvektorer som prompt injection, insecure output handling, og training data poisoning. **Hvorfor det bliver akut.** Konversationelle agenter med tool-adgang er fundamentalt **ingress + egress i samme enhed**: de modtager eksternt input, deliberater, og handler. Dette krænker zero-trust-antagelsen om at ingress og handling er separate. Microsofts egen NLWeb-forslag blev fx afsløret med en prompt-injection-sårbarhed i 2025 (ref [4] i APM-manifestet). Dertil **privacy-paradokset**: detaljerede agent-forklaringer (som compliance kræver) kan lække persondata ud — direkte konflikt mellem transparens og fortrolighed. **APM's svar.** **C2 (Holistic Security and Privacy)** udpeger dette som et cross-cutting challenge der kræver ny designramme — ikke en patch på eksisterende security controls. Manifestet antyder trade-off-håndtering mellem autonomi og integritet som et forskningsdesiderat, men leverer ikke en færdig løsning — feltet er åbent. --- ## 4. Stakeholder trust & change management **Temaet.** Teknologi-adoption afhænger af tillid. **Technology Acceptance Model** (Davis 1989) og dens efterfølger **UTAUT** (Venkatesh et al. 2003) viser at *perceived usefulness*, *perceived ease of use*, og *social influence* forudsiger om en teknologi faktisk bruges. I BPM-projekter er kulturelt modstand en af de hyppigste fejlårsager ([[concepts/bpm-maturity]] — Rosemanns kultur-faktor). **Eksisterende teori.** *Kotter's 8 trin for change management* (Kotter 1996). *Lewin's unfreeze-change-refreeze*. I XAI-traditionen: Hoffman et al.'s *Metrics for Explainable AI* (2018), Ribeiro et al. LIME/SHAP for lokal forklarbarhed, og Miller's (2019) *Explanation in Artificial Intelligence* — forklaringer skal være **kontrastive, selektive, sociale, og kausale** for at være brugbare. **Hvorfor det bliver akut.** Autonome agenter overtrænger mennesker til rollerne "supervisor" og "auditor" uden at give dem værktøjerne. Det producerer *algorithm aversion* (Dietvorst et al. 2015) — folk afviser algoritmer selv når de er beviseligt bedre. Og hvis eksekveringen går hurtigere end menneskets evne til at følge med, opstår *automation complacency*. **APM's svar.** **X1** adresserer at forskellige stakeholders har forskellige forklarings-præferencer (proces-ejer vs slutbruger vs revisor). **A1** gør menneske-agent-samtale til first-class — du kan *coache* din agent. **X3 (actionable explanations)** støtter autonomi hos modtageren frem for paternalistisk eskalation. **F1** insisterer på at agent-notionen skal være pragmatisk forståelig for BPM-praktikere, ikke kun AI-forskere. --- ## 5. ROI, business value & measurability **Temaet.** CFO'en kræver business case. Klassisk ROI-beregning trækker på *Net Present Value*, *payback period*, *internal rate of return*. For procesforbedring har Dumas et al. institutionaliseret **Devil's Quadrangle** ([[concepts/devils-quadrangle]]) som den kanoniske trade-off-ramme — alle redesign-beslutninger optimerer tid/cost/quality/flexibility *samtidigt* og må derfor gøre eksplicit hvad der ofres hvor. **Eksisterende teori.** *Balanced Scorecard* (Kaplan & Norton 1992) for bredere KPI-strukturering. Den 4-niveau analyse-pyramide i [[sources/2023-chapela-campa-augmented-process-execution|Chapela-Campa & Dumas 2023]] (descriptive → diagnostic → predictive → prescriptive → augmented) viser at højere analytisk modenhed kræver mere infrastruktur. I AI-økonomien diskuteres *Jevons paradox* — billigere AI fører til mere brug, ikke mindre samlede omkostninger. **Hvorfor det bliver akut.** APM-fordelene er delvis intangible: trust, flexibility, adaptivity. De passer dårligt ind i NPV-regneark. Samtidig er **benchmark-kontaminering** (APM C3) en reel trussel: AI-modeller eksponeres utilsigtet for benchmark-data under træning, hvilket inflaterer ROI-cases man tager med hjem fra leverandøren. **APM's svar.** **A4** introducerer trust, usability, uncertainty, og flexibility som **first-class KPI'er** — direkte udvidelse af Devil's Quadrangle. **C3** advarer om benchmark-contamination risiko og efterlyser holistiske evaluerings-rammer. Outlook §5 indrømmer at **killer applications** — de use cases der faktisk giver APM strategisk ROI — er underudforsket og efterlyser empirisk forskning. --- ## 6. Workforce & human-AI collaboration **Temaet.** HR og Operations skal omdefinere job-funktioner når dele af arbejdet går til agenter. Dette er ikke "automation replaces jobs" (den gamle diskussion), men **task-level recomposition** — hvilke **jobs-to-be-done** forbliver menneskelige, hvilke flyttes, og hvordan designes grænsefladen? **Eksisterende teori.** **Jobs-to-be-Done-framework** (Christensen) og **Outcome-Driven Innovation** (Ulwick) giver sprog til decomposition. **Hierarchical Task Analysis** (Annett 2004) er den cognitive-engineering pendant til BPMN — dekomponerer arbejde i sub-tasks til et niveau hvor de kan allokeres. Fitts' 1951 *HABA-MABA* ("men are better at — machines are better at") er klassikerens funktions-allokerings-liste; Sheridans (1992) *Levels of Automation* (LoA 1–10) operationaliserer den som et spektrum. Sociotechnical systems-teori (Trist 1951, Mumford 2006) insisterer på joint optimization af socialt og teknisk delsystem. **Hvorfor det bliver akut.** LLM-agenter gør det **billigt at omdisponere task-allokering dynamisk** — men omlægning af mandater i halv-autonome systemer skaber accountability-huller og kompetence-atrofi. *Automation paradox* (Bainbridge 1983): jo mere automatisering, jo mere kritisk bliver den resterende menneskelige rolle — og jo sværere at bevare den kompetence. **APM's svar.** **M1 (Learning to defer)** formaliserer human-eskalering som et lærbart agent-policy — ikke en hard-coded grænse. **A1** design menneske-agent samtale som primær koordineringsmekanisme. **A5** stiller autonomy/delegation/control-balancen som eksplicit ingeniørvalg per use case — parallelt til Sheridans LoA, men for agentic systemer. --- ## 7. Legacy integration & teknologisk gæld **Temaet.** Intet større foretagende starter på bar mark. Der er typisk 10–30 års akkumuleret investering i **ERP** (SAP, Oracle, Dynamics), **CRM** (Salesforce), **case management systemer**, **RPA-bots** (UIPath, Blue Prism), og dokumentation i form af **BPMN-modeller**. McKinsey og Gartner's tal viser konsekvent at **70–80% af AI-projekter fejler** — hyppigste enkeltårsag er integrations-kompleksitet. **Eksisterende teori.** *Strangler Fig Pattern* (Fowler) for gradvis modernisering. *Anti-Corruption Layer* fra DDD (Evans 2003) for at isolere legacy-komponenter. I BPM: [[concepts/process-aware-information-system|PAIS/BPMS-arkitekturen]] ([[sources/2018-dumas-fundamentals-of-bpm|Fundamentals of BPM]] kap. 9) skelner domæne-specifikke (ERP/CRM) fra proces-agnostiske (BPMS) systemer og specificerer integration-konnektorer. **Hvorfor det bliver akut.** Klassisk modernisering flytter workflow-logik fra legacy til BPMS via model-driven migration. APM kræver en **ontologisk migration**: fra aktivitet-baserede modeller til agent-baserede — og institutionel viden om roller, politikker, governance er fragmenteret på tværs af workflow-diagrammer, scripts, regel-engines, og tavs human-praksis. **APM's svar.** **C1** udpeger *agent-centric process mining* ([[methods/agent-oriented-process-mining]]) som nøgleteknikken — reinterpretér eksisterende workflows til agent-roller, mål, politikker, mens auditabilitet bevares. **A3** foreslår et wrap-pattern: et eksisterende ABPMS eksponeres *som* én samlet agent, så agentic oversight kan lægges oven på. **A2** standardiserer tool-adgang via MCP og tilsvarende protokoller så ERP/CRM-konnektorer bliver genbrugelige. --- ## 8. Audit, traceability & accountability **Temaet.** Intern audit (IIA), ekstern revisor, og myndigheder kræver at enhver forretningsbeslutning skal kunne spores til en ansvarlig handling og begrundelse. **SOX §404** (USA) krævede siden 2004 dokumenterbare internal controls over financial reporting; ISO 27001 kræver tilsvarende for informationssikkerhed. **Eksisterende teori.** *Audit trail* som begreb er ældgammelt (medieval accounting). *Provenance* (W3C PROV-DM 2013) giver formel model for data-herkomst. I BPM: [[methods/process-mining-basics|conformance checking]] giver *alignment-based* sporbarhed mellem observeret og preskriberet adfærd. Causal inference (Pearl's do-calculus) giver rammen for at skelne *fordi X forårsagede Y* fra *X skete før Y*. **Hvorfor det bliver akut.** Når et neuralt netværk har truffet beslutningen er "hvem gjorde det og hvorfor" ikke længere et klart spørgsmål. Værre: emergent multi-agent-adfærd kan skabe beslutninger ingen enkelt agent tog. Dette er **C4's responsibility gap** — et juridisk og organisatorisk hul. **APM's svar.** Kombinerer tre veje: **X3** actionable og auditable forklaringer ved hver beslutning; **X5** kausalt sunde forklaringer der skelner ægte kausalitet fra spurious korrelation (direkte forbindelse til Pearl); **F2–F3** frames som formel audit-basis ("agenten handlede inden for sit godkendte frame"). **C4** adresserer eksplicit alignment med EU AI Act's ansvarskæder. --- ## 9. Quality, reliability & operational continuity **Temaet.** Production-grade systemer måles på **SLA** (availability, latency, throughput), **MTTR** (mean time to repair), og **error budgets** (SRE-traditionen, Google 2016). For AI-systemer tilføjes *calibration*, *drift detection*, og *graceful degradation*. **Eksisterende teori.** *Self-adaptive systems* (MAPE-K loop: Monitor, Analyze, Plan, Execute, Knowledge — Kephart & Chess 2003) er den etablerede arkitektur for systemer der tilpasser sig selv. *Chaos engineering* (Netflix's Chaos Monkey) validerer robusthed via kontrollerede fejl. I ML-drift: *Concept drift* (Gama et al. 2014) skelner covariate shift fra prior shift fra concept shift — hver kræver forskellig respons. **Hvorfor det bliver akut.** Self-modifying agents kan *poisoning-evolve* ind i usikker adfærd gennem stillestående feedback-loops. Klassisk MAPE-K forudsætter at adaptive rules er design-time fixed — men APM-agenter self-modify reglerne selv. **APM's svar.** **M2** evaluerer modifikationers succes i fuldt autonome scenarier (LLM-as-a-judge, active testing, formal methods). **M5** kræver eksplicit **aleatoric vs epistemic uncertainty**-modellering — agenten skal vide hvornår den ikke ved nok. **F4** opretholder frame-overholdelse som kontinuerligt lærbar egenskab (anti-poisoning). **M3** aligner concurrent evolution på tværs af koblede proces-eksekveringer. --- ## 10. Vendor lock-in & teknologisk suverænitet **Temaet.** EU's *strategisk autonomi*-diskurs har gjort teknologisk suverænitet til et bestyrelses-niveau-spørgsmål. GDPR's art. 44 (tredjelands-overførsler) og Schrems II-dommen (2020) har gjort dataplacering til compliance-kritisk. Samtidig er LLM-infrastruktur domineret af få amerikanske leverandører. **Eksisterende teori.** *Porter's Five Forces* identificerer leverandør-forhandlingsmagt som en strukturel konkurrence-faktor. *Modularity theory* (Baldwin & Clark 2000) viser at standardisering reducerer lock-in. I software specifikt har **12-factor app-principperne** og *hexagonal architecture* (Cockburn) institutionaliseret portability. **Hvorfor det bliver akut.** LLM-API'er har ingen genuine drop-in-kompatibilitet; prompts skal typisk re-tunes per model, agent-frameworks er tæt koblede til bestemte modeller, og deprecation-cyklusser er korte (6–18 måneder). Skift af underliggende model kan effektivt kræve re-development. **APM's svar.** Manifestet foreskriver standardprotokoller: **MCP** (Anthropics Model Context Protocol) til tool-adgang, **ACP**, **KQML**, **FIPA**, **TOON**-encoding — alle åbne standarder. **C5** efterlyser **engineering methods** bygget på etablerede agent-orienterede rammer (AAII, Gaia, Tropos, Prometheus) frem for proprietære leverandør-arkitekturer. Dette indrammer lock-in som et løseligt arkitektur-problem snarere end en uafklaret kommerciel risiko. --- ## 11. Strategic positioning & konkurrenceevne **Temaet.** Bestyrelse og strategi-funktion skal vide om AI er en strategisk differentiator eller hygiejne. **Resource-Based View** (Wernerfelt 1984, Barney 1991) siger at konkurrencefordel kommer fra ressourcer der er værdifulde, sjældne, svært-imitérbare, og organisatorisk forankrede (VRIO). **Dynamic Capabilities** (Teece 1997) tilføjer evnen til at reconfigure ressourcer hurtigt. **Eksisterende teori.** *Process innovation* vs *product innovation* (Utterback & Abernathy 1975): i modne industrier flytter konkurrencen fra produktdifferentiering til proces-effektivitet. BPM-modenheds-teorien (Rosemanns 6 success-faktorer, [[concepts/bpm-maturity]]) placerer strategic alignment øverst. I AI-strategi: Iansiti & Lakhani's *Competing in the Age of AI* (2020) argumenterer at AI-drevne virksomheder opnår skalerbarhed, scope, og læring som traditionelle ikke har. **Hvorfor det bliver akut.** APM lover at flytte konkurrence fra proces-eksekvering til proces-adaptation — virksomheden der bedst kan tilpasse sine processer vinder. Men det kræver organisatorisk modenhed de fleste virksomheder ikke har. **APM's svar.** Manifestets Outlook §5 indrømmer åbent at **"killer applications" for APM endnu er et underforsket område** og efterlyser enterprise-grade agents der leverer *tangible business value*. **A5's** autonomy/control-balance er eksplicit et strategisk valg — virksomheder med høj risikotolerance kan høste mere produktivitet. **C5's engineering methods** modner time-to-value. Hvor ABPMS var en teknisk vision, placerer APM eksplicit strategisk rationale på roadmap'en. --- ## 12. Inter-organisatorisk koordinering **Temaet.** Mange værdikæder krydser organisationsgrænser: forsyningskæder, finansielle afviklings-netværk, sundhedsvæsen med primær- og sekundær-sektor, GovTech-samarbejder. Integration har været domineret af **EDI** (siden 1970'erne), **B2B-web-standarder** (RosettaNet, UBL), og senere **event-driven integration** (Kafka, event mesh). **Eksisterende teori.** *Transaction Cost Economics* (Williamson 1985) forklarer hvorfor nogle koordineringer foregår i markedet og andre i hierarki. *Network economics* (Shapiro & Varian 1998) beskriver value i netværkseffekter. I BPM specifikt er **process choreography** (Decker 2009, ref [11] i APM-manifestet) det formelle sprog for inter-organisatorisk proces-koordinering. **Hvorfor det bliver akut.** APM agenter i én organisation skal kunne interagere med eksterne agenter der ikke nødvendigvis er process-aware eller tillid-værdige. Klassiske B2B-kontrakter forudsætter human juridisk accountability. **APM's svar.** **M3** adresserer alignment af samtidig evolution og adaptation *på tværs af koblede proces-eksekveringer* — lessons-sharing mellem agent-koalitioner uden fuld synlighed. **C2** udvider security-diskussionen til netværk af heterogene agenter hvor eksterne kan være kompromitterede. Feltet er relativt åbent — manifestet flagger det mere end det løser det. --- ## Krydsmatrix-overblik Oversigt i tabel-format. Hvert forretningstema kortlægges til de mest relevante navngivne APM-challenges (F/X/A/M/C-serien) og den klassiske BPM-pendant der viser sig utilstrækkelig. | Forretningstema | Centrale APM-challenges | Klassisk BPM-pendant der ikke er nok | |---|---|---| | 1. Legal & regulatory | C4, X1–X5, F1–F4, C2 | Statisk compliance-checking | | 2. Risk & governance | M1, A5, F4, M2 | Manuel godkendelse | | 3. Security & privacy | C2, M4 | RBAC + audit log | | 4. Trust & change mgmt | X1, A1, X3, F1 | Klassisk change management | | 5. ROI & measurability | A4, C3, Outlook §5 | Tid/cost/quality KPI'er | | 6. Workforce | M1, A1, A5 | Job-beskrivelser, RACI | | 7. Legacy integration | C1, A3, A2 | Big-bang udskiftning | | 8. Audit & accountability | X3, X5, F2–F3, C4 | Audit log + signaturer | | 9. Reliability | M2, M5, F4 | SLA monitoring | | 10. Vendor lock-in | F3, A1/A2, C5 | Proprietære BPMS-suiter | | 11. Strategic | Outlook §5, C5, A5 | BPM modenhed (Rosemann 6FF) | | 12. Inter-org | M3, C2 | EDI / B2B-protokoller | ## Hvordan bruge synthesen - **For jura og compliance:** tema 1, 3, 8. Brug dem som base for GDPR-/EU AI Act-impact-assessments. - **For risiko og governance:** tema 2, 9. Brug til at opdatere risk register med agentic risk-kategorien. - **For CFO/bestyrelse:** tema 5, 11. Brug til business case og strategisk positionering. - **For HR/Operations:** tema 4, 6. Brug til job-redesign og change programs. - **For IT-arkitektur/CIO:** tema 7, 10. Brug til modernisering-roadmap og standardisering. - **For indkøb/partnerskaber:** tema 12. Brug til leverandør- og samarbejdsstrategi. ## Connections **Primary source:** [[sources/2026-calvanese-agentic-bpm-manifesto]] **Historisk kontekst:** [[sources/2023-dumas-ai-augmented-bpms]] · [[sources/2018-dumas-fundamentals-of-bpm]] **Beslægtede syntheser:** [[syntheses/abpms-to-apm-evolution]] · [[syntheses/ppm-landscape]]