Process Mining in der Internen Revision, dem IT-Audit oder im Bereich Compliance ermöglicht es, Geschäftsprozesse auf Basis tatsächlicher Prozessdaten transparent zu analysieren. Statt sich ausschließlich auf Interviews, Prozessdokumentationen und Stichproben zu stützen, können Auditoren reale Prozessabläufe aus IT-Systemen, Event Logs und Transaktionsdaten auswerten.
Dadurch lassen sich Abweichungen von dokumentierten Soll-Prozessen, nicht eingehaltene Kontrollen, Umgehungen des Vier-Augen-Prinzips, lange Durchlaufzeiten und auffällige Prozessvarianten systematisch erkennen. Für Interne Revision, IT-Audit und Compliance entsteht damit eine deutlich belastbarere Grundlage für Prüfungsfeststellungen und Prozessverbesserungen.
Was ist Process Mining und wie unterstützt es die Revision?
Process Mining ist eine Datenanalyse-Methode die darauf abzielt, die tatsächlichen Prozessdaten (Events, Transaktionen, Logs) zu analysieren. Hierbei werden die gespeicherten Prozessdaten visualisiert und mit den dokumentierten Modelle abgeglichen.
Die Grundlage für Revisoren und Auditoren bildet zu Prüfungsbeginn zunächst die vorhandene Dokumentation in Form von Richtlinien, Prozessbeschreibungen, Flussdiagrammen, etc. (sog. schriftlich fixierte Ordnung – kurz SfO genannt). Diese gilt es zu sichten und zu bewerten, insbesondere hinsichtlich Vollständigkeit, Aktualität und Richtigkeit.
Ohne Unterstützung von Process Mining Werkzeugen bleibt die Prüfung der Einhaltung der SfO auf Stichproben begrenzt. Infolge dessen wird die tatsächliche Ausführung der IT-Prozesse nur in wenigen Stichproben geprüft. Daraus können sich Risiken für die Compliance ergeben.
Durch den Einsatz von Process Mining Tools kann die tatsächliche Ausführung der Prozesse in der IT-Systemlandschaft, wie beispielsweise in ERP-Systemen (z.B. SAP), anhand von Datenbank-Logs oder Anwendungsprotokollen zu 100 % verifiziert werden. Process Mining findet hierbei die Diskrepanzen zwischen der SfO und den tatsächlichen Abläufen in der IT. Dies bedeutet, dass keine eingeschränkten Stichproben durchgeführt werden, sondern die Prozesse vollständig geprüft werden können. Hierdurch wird die Aussagekraft jeder Prüfungshandlung in der Revision gestärkt.
Wie funktioniert Process-Mining im Audit?
- Identifizierung der Ereignisprotokolle bzw. der Rohdaten.
Hierbei handelt es sich um eine chronologische Liste aller Ereignisse, die im System stattgefunden haben. Hierbei handelt es sich beispielsweise um folgende Ereignisse:
– ein Kunde hat eine Kreditanfrage gestellt,
– die Kreditanfrage wurde von einem Mitarbeiter geprüft
– die Kreditanfrage wurde durch einen zweiten Mitarbeiter genehmigt
– die vereinbarten Sicherheiten liegen vor
– der Kredit wird an den Kunden ausgezahlt. - In einem zweiten Schritt werden die schriftlich dokumentierten Prozesse und Kontrollen identifiziert. Hierbei wird beispielsweise geprüft – um bei dem vorherigen Beispiel eines Kreditantrags zu bleiben –
– Wurde der Kreditantrag vor der Genehmigung erstellt?
– Wurde das 4-Augen-Prinzip bzw. die Kompetenzregelungen bei der Genehmigung beachtet?
Hierbei kann Process Mining aufzeigen, ob ein Antragsteller und ein Genehmiger identisch waren, ob Genehmigungen in der richtigen
Reihenfolge erfolgten und ob definierte Kompetenzgrenzen eingehalten wurden.
– Lagen vor der Auszahlung die Sicherheiten vor?
– Wurde die Auszahlung kompetenzgerecht durchgeführt? - Als Ziel von Process Mining gilt es, anhand der Beschreibungen in der SfO einen konkreten Überblick über die tatsächlichen Prozesse, z.B. eines Kreditprozesses, zu erhalten.
Mit Hilfe eines Prozess Mining Tools werden die tatsächlichen Abläufe, wie sie in den IT-Systemen in Form von Timestamps bzw. Logging-Protokollen dokumentiert werden, analysiert und in Form einer graphischen Darstellung visualisiert.
Vergleichbare Fragestellungen sind in den nachfolgenden Bereichen möglich:
- Kreditprozess
- Zahlungsverkehr
- Einkaufsprozess / Purchase-to-Pay
- Berechtigungsvergabe
- Change Management
- Incident Management
- Benutzeranlage und Rezertifizierung
- SAP-Freigabeworkflows
Bei der Visualisierung mittels Process Mining Tool können sehr schnell Abweichungen von den schriftlich fixierten Vorgaben identifiziert und Compliance-Verstöße erkannt werden. Beispiele hierfür sind, z.B.
– Genehmigungsprozesse werden übergangen oder
– Vier-Augen-Prinzip wird nicht gelebt (Compliance-Verstoß),
– Prozesse kommen nicht zu Ende (Langläufer, ineffizient)
– Kontrollen werden nicht eingehalten (Compliance-Verstoß)
– Prozesse laufen teilweise anders ab, als dies aus der SfO hervorgeht.
Typische Prüfungsfragen im Process Mining:
- Wurde der definierte Genehmigungsprozess vollständig eingehalten?
- Gibt es Prozessschritte, die regelmäßig übersprungen werden?
- Werden kritische Transaktionen ohne ausreichende Freigabe durchgeführt?
- Gibt es ungewöhnliche Prozessvarianten?
- Welche Prozessinstanzen haben außergewöhnlich lange Durchlaufzeiten?
- Gibt es Hinweise auf Umgehung von Kontrollen oder dolose Handlungen?
Nutzen von Process Mining für Interne Revision und Compliance
Als Auditor bzw. Revisor steht die Prüfung der Compliance, Effizienz, Risiko und Qualität im Mittelpunkt der Tätigkeit. Process Mining kann hierfür eine große Unterstützung sein und objektiven Beweise für eventuelle Verstöße gegen interne und gesetzliche Regelungen liefern.
-
Compliance Prüfung
Hierbei wird ein Vergleich der tatsächlichen Ausführung der IT-Prozesse mit den festgelegten regulatorischen oder internen Richtlinien durchgeführt. Es werden Prozessen identifiziert, welche nicht den Compliance-Standards entsprechen, wie beispielsweise fehlende Freigaben, umgegangene Kontrollen. Gleichzeitig trägt Process-Mining für eine Qualitätsverbesserung der Prozesse sowie IT-Systeme bei. -
Steigerung der Effizienz
Durch die Erkennung von Prozessen, welche nie zum Ende kommen oder lange Wartezeiten aufgrund unnötiger Schleifen im Prozess verursachen kann die Effizienz gesteigert werden. Es werden sog. „Bottlenecks“ (u.a. lange Bearbeitungszeiten bei bestimmten Transaktionen) identifiziert und können bei einer Behebung zu einer Prozessoptimierung und somit Effizienzsteigerung führen. -
Verbessertes Risikomanagement
Durch die Identifizierung von „Dark Patterns (ethische, manipulative Designmuster in Benutzeroberflächen) oder unkontrollierte Workarounds können Fehler oder Sicherheitslücken identifiziert und reduziert werden, so dass diesbezügliche Compliance-, Rechts- und Reputationsrisiken verringert werden können. Zudem können Designschwächen in Kontrollpunkten, wie beispielsweise eine fehlende Zwei-Faktor-Authentifizierung, erkannt werden. -
Prozess-Validierung
Mit Hilfe von Process Mining Tools kann die Einhaltung der dokumentierten Prozesse tatsächlich so geprüft werden, wie sie ausgeführt werden. Hierbei können qualifizierte Prozessabweichung erkannt werden. Ferner resultiert die Prozess-Validierung nicht auf einzelnen Stichproben, sondern kann zu 100 % für alle Prozesse eines Jahres bzw. zu prüfenden Zeitabschnitts durchgeführt werden.
Darüber hinaus ergeben sich weitere vielfältige Einsatzmöglichkeiten für Process Mining.
Fachliche Grundlagen und Quellen zu Process Mining
Eine genaue Beschreibung der Process Mining Technologie ergibt sich aus dem Process Mining Manifest, das von Mitgliedern und Unterstützern der IEEE Task Force on Process Mining verfasst wurde. Eine anschauliche Einführung in das Thema können Sie dem Artikel „Geschäftsprozesse durch Datenanalyse transparent machen“ aus der Zeitschrift BT-Magazin, Ausgabe 2/2012, Seite 30, entnehmen.
Unsere wesentlichen Dienstleistungen im Bereich von Process Mining sind:
