חפש מאמרים:
שלום אורח
04.11.2024
 
   
מאמרים בקטגוריות של:

   
 

שווה זהב: כריית תהליכים (Process Mining)-טכניקת ביקורת להערכת בקרות פנימיות בתהליכים עסקיים

מאת: יוסי נטוביץראיית חשבון08/02/20152371 צפיות שתף בטוויטר |   שתף בפייסבוק

מהי כריית תהליכים?

כריית תהליכים הינה שיטה מממוחשבת לניתוח והבנה של תהליכים עסקיים מורכבים הפועלים בארגון. כתת-תחום של טכנולוגיית כריית נתונים גם היא עוסקת באלגוריתמים לגילוי חוקיות וחריגים במאגרי נתונים, אולם ממוקדת בכאלה המתאימים לניתוחי התהליכים בארגון. הצורך בכריית תהליכים נובע מהכרה הולכת וגוברת של הנהלות בחשיבותם של תהליכים עסקיים איכותיים להצלחת הארגון, בה בשעה שהן מתקשות במקרים רבים לזהות ולהעריך כיצד תהליכים אלו פועלים הלכה למעשה[1].

במערכות ממוחשבות מתקדמות אשר משמשות לביצוע תהליכים עסקיים בארגון, כגון מערכות ERP, CRM וכד',קיימים "יומני אירועים" (קבצי log) המתעדים באופן כרונולוגי את הפעילויות שבוצעו. יומנים אלו מנהלים לכל מופע (Instance) כלומר מקרה פרטי של תהליך עסקי כלשהו, מידע אשר כולל בין היתר את פירוט האירועים (events) שבוצעו על ידי המשתמשים במסגרתו - לדוגמה: הפקת תעודת משלוח או תשלום, את שם המבצע (originator) בכל אירוע ואתפרטי זמן ההתרחשות (timestamp). באמצעות הפעלת אלגוריתמים ממוחשבים לתחקור יומן האירועים ניתן לנתח מה אירע במערכת וכיצד בוצעו התהליכים העסקיים ולזהות מקרים חשודים הדורשים חקירה לעומק.

לניתוח יומן אירועים של מערכות קיימת חשיבות רבה למבקר: היומן אינו מוזן על ידי המשתמש אלא נרשם אוטומטית, הוא מספק "נתיב ביקורת" (Audit Trail) מהימן. זאת ועוד, כריית התהליכים מאפשרת לנתח את ההיבט הדינמי של התהליך, קרי מסלול האירועים שלו, ודרך כך לבחון את חוזקן של הבקרות הפנימיות המשתרעות על פני כל התהליך (Process Level Control) - כגון הפרדת תפקידים ואכיפת סדר אירועים מסוים בתהליך (לדוגמה, אפשרות תשלום בגין חשבונית ספק רק לאחר קבלת הטובין).

למרות שבכל תהליך מוגדר מסלול אירועים נורמלי, עדין המערכות מאפשרות ובצדק גמישות רבה לשינוי מסלול זה. לדוגמה: בתהליך רכש אנו מצפים למסלול פעילויות הכולל הזמנת רכש, קבלת טובין למחסן וקבלת חשבונית ספק, אולם המערכת עשויה לאפשר במקרים מסוימים קבלת טובין ללא הזמנה כדי שלא יגרמו עיכובים בייצור בעקבות אי קבלת חומרי הגלם הדרושים. כתוצאה מהגמישות המובנית של התהליכים יתכן ויתרחשו מקרים הנוגדים את כללי הארגון ועל המבקר הפנימי לבחון ולזהות מקרים אלו.

דוגמה: כריית תהליכים בביקורת בבנק אירופי

כדי להמחיש את טכניקות כריית התהליכים ואת יישומיהן לביקורת, אביא דוגמה מתוך מחקר שטח שנערך בבנק אירופי מוביל ובמסגרתו נותח תהליך הרכש הפועל במערכת ה-ERP SAP[2].

התהליך מותנע עם יצירת הזמנת הרכש (1) שלאחריה נדרשת חתימה(2) ושחרור (3) משני מאשרים שונים. קבלת הטובין (4)וחשבונית הספק (5) יכולים להתבצע במקביל, אולם התשלום (6) מתבצע לאחר סיום של שניהם. מסלול התהליך הנורמלי המוצג בתרשים אינו בלעדי והוא גמיש לשינויים: לדוגמה – ניתן לשנות את הזמנת הרכש לאחר הפקתה אבל אז תידרש חתימה חוזרת ושחרור חוזר . כמו כן, טובין יכולים להתקבל לשיעורין במספר משלוחים ובאותו אופן יכולה להתקבל יותר מחשבונית אחת.

כריית התהליכים בוצעה על יומן האירועים (log) של מערכת ה-ERP הבנקאית תוך התייחסות רק למופעים של התהליך אשר הושלמו עד סופם דהיינו שסולק מלוא התשלום בגין הרכש, סך הכל כ-26 אלף מופעים. הניתוחים כללו את סוגי האלגוריתמים הבאים:

גילוי התהליך ((Process Discovery

מטרת אלגוריתם זה הינה ללמוד כיצד מבוצע התהליך בפועל במופעים השונים ולזהות את אלה החורגים מהדגם הנורמלי שלו.

שלב ראשון מזהה האלגוריתם את הנוסחים (variants) השונים של התהליך כלומר המסלולים השונים שבהם הוא התבצע בפועל. לדוגמה: נוסח נורמלי של התהליך הינו: יצירת הזמנת רכש ? חתימה?שחרור? קבלת טובין ? קבלת חשבונית ? תשלום. בניתוח נמצאו 304 נוסחים שונים כאשר הנוסח הנורמלי הנ"ל בוצע רק ב-45% מהמופעים.

ניתוח הנוסחים באופן ויזואלי או באופן ממוחשב מאפשר לזהות כאלה המפרים את כללי התהליך ואשר עלולים להוות סיכון. לדוגמה - באחד הנוסחים אשר נמצא בכ-12% מהמופעים, מיד לאחר יצירת הזמנת הרכש בוצע "שחרור" מבלי שבוצעה "חתימה". אפשרות לקיום נוסח כזה בתהליך עלולה להצביע על חולשה בבקרה הפנימית ואולי אפילו על ניצול לרעה של חולשה זו. בבדיקה שנערכה התברר כי אכן על פי החוקים, בתנאים מסוימים, לא נדרשת חתימה. בהמשך נראה כי קיימת דרך לבצע ניתוח נוסף שיבחן האם כל המופעים שבנוסח זה אכן עמדו בתנאים הדרושים.

דוגמה נוספת – בנוסח אחר שנמצא חסרה הפעילות "קבלת טובין" ולמרות זאת בוצע תשלום. מצב זה קביל רק כאשר מדובר בהזמנת שירות (ובדרך כלל גם יידלק אינדיקטור לסוג הזמנה זה). לכן בהמשך נדרש לבדוק את המופעים שזוהו בנוסח זה ולוודא שאכן כך הוא.

הנוסחים ה"מעניינים" ביותר למבקר הינם אלה שתדירותם נמוכה. לדוגמה- בניתוח נמצאו 3 מקרים בהם, במפתיע ובניגוד לחוקים, הזמנת הרכש בוצעה גם ללא חתימה וגם ללא שחרור. חריגים אלה הועברו למנהלי המערכת לבדיקה כיצד הדבר התאפשר במערכת.

ניתוח תפקידים (Role Analysis)

מטרת ניתוח זה הינו להבטיח כי לא הייתה בתהליך הפרה של חוקי הפרדת התפקידים. בבנק האירופי נמצאו 272 עובדים שונים שהשתתפו ב- 26 אלף המופעים של תהליך הרכש. כאשר מספר עובדים גדול, העובדים מבצעים מספר תפקידים במקביל וקיימת תחלופה דינמית בתפקידים, אזי גם כאשר הרשאות השימוש מנוהלות במסגרת מערכת הERP -, ההקפדה על הפרדת תפקידים נאותה איננה פשוטה.

בניתוח התפקידים בשלב ראשון על המבקר להגדיר מהן קבוצות האירועים בתהליך שאסורות לביצוע על ידי אותו עובד. בתהליך הרכש בבנק הוגדרו כדורשות הפרדה שלוש קבוצות אירועים: (1) החתימה והשחרור של הזמנת הרכש, (2) קבלת חשבונית וקבלת טובין ו-(3) שחרור הזמנת רכש וקבלת טובין.

חיפוש ההפרות בתהליך בוצע באמצעות הפעלת אלגוריתם מבוסס לוגיקה עתית לינארית (linear Temporal Logic) ומתוך כל 26 אלף המופעים לא נמצאה כל הפרה של הפרדת תפקידים בקבוצות 1 ו-2, אולם ביחס לקבוצה 3 נמצאו 175 מקרים של הפרות שבהם מעורבים 3 מבצעים: אחד מהם לבדו מעורב ב-129 מקרים. ממצאים אלה דורשים בדיקה ותיקון של הגדרת מערכת ההרשאות.

ניתוח הרשת החברתית (Social Network Analysis)

אלגוריתם חדשני זה משלים את ניתוח התפקידים בכך שהוא מציג בתרשים קשרים בין מבצעים המעורבים באותו מופע של התהליך. ניתוח הרשת החברתית מאפשר לזהות כיצד אנשים בארגון קשורים זה לזה במסגרת הפעילות העסקית ולקבל תובנה על המוטיבציה והמשמעות של פעילותם. כיישום ביקורת מאפשר האלגוריתם לזהות מצבים חריגים של קשרים הדורשים חקירה יותר מעמיקה. לדוגמה ניתן באמצעותו לזהות מקרים בהם מופעים של התהליך מבוצעים בקביעות על ידי קבוצת עובדים קטנה המובחנת מיתר העובדים שמשתתפים בשאר המופעים. מקרים אלה, הגם שאינם מהווים בהכרח הפרה של הפרדת תפקידים, עלולים להצביע על קיום קנוניה ולכן מחייבים בהמשך הביקורת חקירה לעומק.

ניתוח מאפיינים ( Attribute Analysis)

אלו ניתוחים שאינם מתמקדים במסלול הפעילויות או במבצעים בלבד אלא במשולב עם מאפיינים אחרים של הפעילויות אשר עשויים להיות מתועדים ביומן התנועות עצמו, או בטבלאות מסד הנתונים של המערכת. תוכנת הניתוח יכולה באמצעות מספר מזהה של כל אירוע לקשר בין נתוניו ביומן לבין המאפיינים שלו כפי שהוזנו במסד הנתונים.

באמצעות ניתוח מאפיינים ניתן לבחון יותר לעומק את חוזקה של הבקרה הפנימית. לדוגמה: כזכור באמצעות אלגוריתם הגילוי נמצא ב-12% מהמקרים להזמנת הרכש לא בוצעה חתימה אלא רק שחרור. מקרים אלה כללו נוסחים שבהם נתוני הזמנות שונו ללא ביצוע חתימה חוזרת. על פי נהלי הבנק לא נדרשת חתימה חוזרת אם סכום ההזמנה הינו עד 12,500 יורו ובוצע בה שינוי בגובה של עד 5% מהסכום המקורי. או שסכום ההזמנה הינו בין 12,500 יורו ל 125,000 יורו ובוצע בה שינוי של עד 2%.

באמצעות ניתוח המאפיינים "סכום נטו" ו"סכום השינוי" של ההזמנות הנמצאים במסד הנתונים בטבלת ההזמנות, נבדקו כל המקרים שבהם לא בוצעה חתימה, ונמצאו 77 מקרים של חריגה מהנוהל. מקרים אלו הועברו לבחינה מדוקדקת.

לסיכום, במחקר השטח בבנק כריית תהליכים על יומן האירועים של מערכת ה-ERP הצליחה לאתר באופן אוטומטי הפרות של הפרדת תפקידים והעדר אישורים וחתימות הדרושים להזמנת רכש, אשר לא זוהו קודם לכן על ידי המבקרים הפנימיים בשיטות המסורתיות.

שילוב כריית תהליכים עם טכניקות ממוחשבות אחרות לביקורת תהליכים

הצגת טכניקת ביקורת ממוחשבת חדשה באופן טבעי מעלה את השאלה כיצד היא משתלבת עם כלי הביקורת הממוחשבים הקיימים ולאילו משימות ביקורת מתאים כל כלי. בפרק זה נסקור בקצרה את הכלים העיקריים התומכים כיום בביקורת תהליכים עסקיים: ביקורת מתמשכת Continuous Auditing)) וכן ניתוח ותחקור נתונים ((Data Analysis ונבחן כיצד כריית התהליכים משתלבת עם כלים אלה .

ביקורת מתמשכת וכריית תהליכים

ביקורת מתמשכת מבוססת על תוכנה אשר סורקת ומנטרת באופן קבוע ואפילו בזמן אמת את הפעילויות המתבצעות במערכות רגישות בארגון וכאשר היא מזהה בתוך כך אירועים חריגים או פעולות שלא על פי נהלים שבוצעו ונרשמו במערכות הארגון היא מעבירה באופן מידי דיווח על כך למבקר[3]. התועלת במערכת זו בין היתר הינה קיצור פרק הזמן להבאת אירועים חריגים למודעות הביקורת וטיפולה[4]. סביב תפיסת הביקורת המתמשכת התפתח פולמוס עקרוני. יש שהתנגדו לשימוש בטכנולוגיה זו ככלי של הביקורת הפנימית וזאת מחשש שהשימוש יהפוך את המבקר דה פקטו לאחראי על הבקרה מתמשכת על טיב הפעולות במקום שהאחריות תוטל כנדרש על ההנהלה. המצדדים בביקורת מתמשכת לעומת זאת מדגישים כי אין הכוונה שהמבקר יחליף את המנהלים באחריותם לבקרה השוטפת של הפעילות בגזרתם ושהמבקר יתערב בכל חריגה או כשל המתרחשים. המטרה היא כי המבקר יוכל להפעיל את שיקול דעתו לביצוע ביקורת במקרים שבהם תוכנת הביקורת המתמשכת תזהה הצטברות של כשלים וחריגות בנושא מסוים. למרות הבעייתיות המסוימת בשימוש המשותף של ההנהלה ושל הביקורת, העניין בביקורת המתמשכת הולך וגובר[5]

כריית תהליכים בדומה לביקורת מתמשכת, אף היא מזהה כשלים וחריגות אולם ברמת כלל התהליך ולא ברמת אירוע. בשונה מתפיסת הביקורת המתמשכתאין בה דגש על תכיפות עריכתה וסמיכותה למועד האירועים הנבדקים.היא מבוצעת על נתונים היסטוריים שנגזרים באופן תקופתי מהמערכת הנבדקת, ונערכת בסביבת מחשבים נפרדת ובלתי תלויה, כגון מחשבו האישי של המבקר, ולכןאין עוררין על התאמתה ככלי לעריכת ביקורת בלתי תלויה.

יחד עם זאת, במערכות בעלות אוריינטציה תהליכית, במסגרת כלי ניטור וביקורת מתמשכת ניתן לשלב גם אלגוריתמים של כריית תהליכים מסוימים שישמשו לניטור מתמשך של תקינות תהליכים ויעבו בכך את מערך זיהוי החריגות וההתרעות. לדוגמה ניתן להפעיל באופן תכוף אלגוריתם לניתוח תפקידים אשר יזהה ויתריע מיידית על הפרות של הפרדת תפקידים בתהליכים. אלגוריתמים אלה ישפרו את הבקרה הפנימית של התהליכים שבאחריות ההנהלה אך במקביל יספקו מידע חיוני למבקר בהערכת סיכוני התהליכים בהם יתחשב בהכנת תכניות העבודה שלו .

כלי ניתוח ותחקור נתונים וכריית תהליכים

כלים ממוחשבים לתחקור וניתוח קבצי נתונים כגון IDEA ו-ACL הנמצאים בשימוש המבקר הפנימי מאז שנות השמונים מאפשרים ניתוחים אנליטיים וזיהוי שגויים וחריגים המביאים תועלת רבה בהערכת הבקרות הפנימיות[6]. אולם כלים אלה יעילים בעיקר לניתוחי בקרה פנימית ברמת הטרנזקציה (""Transaction Level Control) , דהיינו בקרות הקשורות לאירוע מסוג מסוים. לדוגמה: במסגרת ניתוח אנליטי ניתן לזהות באמצעותם סכומי מינימום ומקסימום של הזמנות רכש בתקופה במטרה לבחון האם הם חורגים מהסכומים המצופים. וכן במסגרת ניסוי הבקרות ניתן לתחקר קובץ של חשבוניות מכירה ולאתר חשבוניות בהם שיעורי ההנחה חורגים מהמקסימום המותר או לזהות אי רציפות של מספרי החשבוניות.

לעומת זאת, בביקורת של תהליכים עסקיים, הניתוח ברמת הטרנזקציה איננו מספיק למבקר והוא נדרשלבדוק ולהעריך גם את טיב הבקרות הפנימית המתפרשות על כלל התהליך (""Process Level Control), לדוגמה קיומה "הפרדת התפקידים" בתהליך או ביצוע של סדרת האישורים המתאימה על ידי הגורמים המתאימים בהתאם לחוקי הארגון. טכניקת כריית תהליכים מתאימה יותר לביצוע ניתוחים אלה כפי שהראנו בפרק קודם.

ברמה הפרקטית, האלגוריתמים לכריית התהליכים שחלקם הוצג במאמר עדין אינם זמינים כתוכנת מדף למשתמשים,עם זאת הניסיון מלמד כי טכניקות ביקורת ממוחשבות חדשות שהוצעו והוכחו כיעילות שולבו בסופו של דבר כשיטת ניתוח במסגרת תוכנות הביקורת וניתוח הנתונים הקיימות. כך למשל אירע עם הליך הניתוח הספרתי המבוסס על חוק בנפורד (Benford's Law)[7]. לכן צפוי להערכתי כי אלגוריתמיםאלה ישולבו אף הן באופן דומה בחבילות תוכנה המסחריות לביקורת (ACL, IDEA וכדומה)ויגבירו את התועלת של כלים אלה לביקורת.

סיכום

כריית תהליכים שנועדה לספק תובנות ניהוליות כלליות על תהליכים עסקיים מצליחה, כפי שהוכח לאחרונה במחקרים, גם בהערכת בקרות פנימיות ברמה תהליכית, אשר כלים ממוחשבים קיימים מתקשים בביצועה. לכן להערכתי הטכניקה החדשה עתידה להשתלב ב"ארגז הכלים" של המבקר הפנימי, הן במסגרת תפריט הפעולות בתוכנות לניתוח ותחקור נתונים (כגון ACL או IDEA) והן במסגרת יישומי ביקורת מתמשכת, ולתרום להגברת האפקטיביות של הביקורת.

מקורות


[1] Natovich, J. (2009). Business process management systems: The internal control perspective. ISACA Journal, 6, 51.

[2] Jans, M., Alles, M. G., & Vasarhelyi, M. A. (2014), שם

[3] שחר א. (2011) פנים אל פנים, רואה החשבון, ספטמבר

[4] Sparks D.E. (2011), The value of Timely Reporting, Internal Auditor, June, p. 72

[5] Alles, M. G., Kogan, A., & Vasarhelyi, M. A. (2008). Putting continuous auditing theory into practice: Lessons from two pilot implementations. Journal of Information Systems, 22(2), 195-214

[6] Debreceny, R., Lee, S. L., Neo, W., & Toh, J. S. (2005). Employing generalized audit software in the financial services sector: Challenges and opportunities. Managerial Auditing Journal, 20(6), 605-618.

[7] Durtschi, C., Hillison, W., & Pacini, C. (2004). The effective use of Benford’s law to assist in detecting fraud in accounting data. Journal of forensic accounting, 5(1), 17-34.‏

 





 
     
     
     
   
 
אודות כותב המאמר:

ד"ר יוסי נטוביץ, רו"ח

מנכ"ל טיוב יועצי מערכות

www.tiuv.co.il

 
     
   
 

מאמרים נוספים מאת יוסי נטוביץ

מאמרים נוספים בנושא ראיית חשבון

מאת: אור מחשביםראיית חשבון24/10/162642 צפיות
הדוח השנתי הוא הדיווח שמידי שנה כל עצמאי מחויב בו הבסיס בדוח שמיחד אותו אצל עצמאי אל מול שאר מגישי הדוח הוא נספח א שבו רשומות כלל ההכנסות החשבוניות שבעל העסק הוציא באותה שנה ללקוחותיו ,מתחת לשורת ההכנסות רשומות כלל ההוצאות שבעל העסק הוציא.

מאת: עידן שלומןראיית חשבון05/03/152669 צפיות
טיפול בענייני מס נחשב מזה שנים רובת כשייך לרואי חשבון המייצגים עצמאיים ואנשי עסקים המגלגלים כסף רב, אך המצב אינו כזה ולאחרונה עוד ועוד שכירים מגלים כיתכנון מס אפקטיבי עבורם לא פחות מאשר עבור המעסיק שלהם.

מאת: עידן שלומןראיית חשבון05/03/152182 צפיות
פתיחת עסק עצמאי דורשת לא מעט אומץ ותעוזה כמו גם התמחות ויכולת בתחום שבו בחרתם. מעבר לכל אלו חשוב לנהל את כל ההתנהלות העיסקית בצורה נכונה וזאת באמצעות ליווי של רואה חשבון מקצועי.

מאת: עידן שלומןראיית חשבון05/03/152059 צפיות
אם אתם מקימים עסק חדש אתם חייבים לשכור שירותי רואה חשבון באזור המגורים שלכם ולקבל ממנו את כל סל השירותים המקובל בין רו"ח ללקוח. על כך במאמר הבא.

מאת: עידן שלומןראיית חשבון05/03/152074 צפיות
אחת הדרכים הנוחות ביותר להרוויח כסף מעבודה צדדית לזו שלכם כשכירים או סטודנטים היא באמצעות פתיחת תיק של עוסק פטור. מדובר על רישום כחוק כמי שעוסק בעבודה כעצמאי אך בהיקפים קטנים שפוטרים אותו מתשלומי מעמ או קבלה שלהם. על כך במאמר הבא.

מאת: טוב לעסקראיית חשבון20/01/152000 צפיות
אחת השאלות אשר נשאלות על ידי עסקים, היא באיזה פונקציה להשתמש לצורך ניהול חשבונות העסק. ברואה חשבון או ביועץ מס, מה בעצם ההבדל ביניהם. במאמר זה ננסה להבהיר כיצד לבחור יועץ מס וההבדל מרואה חשבון.

מאת: Smartaxראיית חשבון18/06/144700 צפיות
מס הכנסה בארה"ב מעוניין למנוע מאזרחי ארה"ב להשקיע בחברות השקעה זרות (PFICׁׂׂ) שמייצרות יותר מ – 75% מההכנסות שלהן מהכנסת פאסיביות או ש - 50% מהנכסים שלהן מפיקים הכנסה פאסיבית זרה או שאינם מפיקים הכנסה כלל, קרנות נאמנות ישראליות עונות בדרך כלל לההגדרה הזו.

 
 
 

כל הזכויות שמורות © 2008 ACADEMICS
השימוש באתר בכפוף ל תנאי השימוש  ומדיניות הפרטיות. התכנים באתר מופצים תחת רשיון קראייטיב קומונס - ייחוס-איסור יצירות נגזרות 3.0 Unported

christian louboutin replica