Resultaten van de interviews

In deze paragraaf worden de reacties van de expert interviews op de “vragenlijst scriptie process mining” per deelvraag vastgelegd. Voor de leesbaarheid van deze paragraaf worden de vragen kort herhaald.

Vraag 1: Hoe definieert u process mining?

De experts hebben allemaal een andere definitie van process mining. Als definitie van process mining worden successievelijk gebruikt: “Het digitale spoor zoeken met als doel om bestaan en werking van een proces zichtbaar te maken (JC)”, “Een eventlog zonder dat je meteen weet waar je naar je op zoek bent analyseren. Om te zoeken naar zaken die buiten de normale routine zijn gegaan (TK)”, “Process mining is dat je op basis van data uit systemen en gebeurtenissen een process model visualiseert. En vervolgens het toetsen van het proces aan van tevoren gedefinieerde normen (AK)”, “Uitgangspunt is een vooraf gedefinieerd proces en hoeveel procent houdt zich vervolgens aan dat vooraf gedefinieerde proces (JH)”, “Hoe lopen de processen door de systemen en vervolgens zijn er deviaties geweest ten aanzien van de norm (JW)” en tenslotte “Process mining stelt ons in staat door middel van techniek, algoritme en tools op feiten gebaseerde analyses uit te voeren om gericht processen te kunnen verbeteren (DK)”.

Vraag 2: Welke alternatieven heeft de IT auditor naar uw mening om gebruikershandelingen in relatie tot het inkoopproces alsnog te auditen op onbevoegde handelingen? Het uitgangspunt bij deze vraag is dat er geen event log van het inkoopproces beschikbaar is.

Door de experts worden verschillende mogelijkheden benoemd die hierna worden uiteengezet.

Als je als auditor niets hebt dan moet je helemaal terug naar het papieren proces van het aftekenen. Dus wat wordt door het bedrijf op het document aan handtekeningen en stempels gezet. In de situatie dat het systeem niets logt/of niet sequentieel is dan moet je terug naar de basis (JC).

Het kan ook worden opgelost aldus een van de experts door te zoeken naar karakteristieken van transacties. Dit wordt nader toegelicht met het volgende voorbeeld. Stel je hebt 50.000 inkoopregels en je hebt staan het moment van bestelling, de prijs per stuk, het aantal stuks en het product wat ingekocht is dan kan je gaan kijken zie ik ergens opvallend kleine inkopen tegen heel hoge prijzen die “vreemd” lijken. Ofwel bestandsanalyse (TK).

Deze mogelijkheid wordt ook door een van de andere experts onderschreven. Van belang is dan wel de logische toegangsbeveiliging (hoe steekt dat in elkaar) en de mutatie van stambestanden (wie kan dat doen). Daarnaast moet je je als auditor realiseren dat je niet alles met data analyse kan doen. Je zult ook aanvullende deelwaarnemingen moeten uitvoeren (AK).

Voorts wordt de optie onderkend dat je de eventlog gaat reproduceren. Van belang is dan wel dat er een chronologie zit in de inkooporderstroom. Je wilt namelijk vaststellen dat het proces gelopen is zoals het zou moeten lopen (JH). Dit wordt onderschreven door een van de andere experts. Hij benadrukt daarbij dat je deze informatie in essentie uit de databasetabellen kunt afleiden. Probleem met al dit soort data uit de databasetabellen is wel hoe krijg ik de data kwaliteit goed. De analyse is namelijk maar 20% van het geheel. De overige 80% gaat zitten in de kwaliteit van de data (JW).

Tenslotte wordt als oplossing gegeven het onderzoeken van welke geautomatiseerde beheersmaatregelen in het inkoopproces zitten. De werking van deze geautomatiseerde beheersmaatregelen dient dan getoetst te worden (DK).

Vraag 3a: Welke informatie wilt u terug zien in de eventlog in het kader van de jaarrekeningcontrole? Het uitgangspunt bij deze vraag is dat er wel een event log van het inkoopproces beschikbaar is.

De meeste experts geven aan dat de event log doorlopend (sequentieel) genummerd moet zijn.

Voorts worden meermalen genoemd de unieke gebruiker-/case ID, de datum en de tijd. Bij datum kan dan gedacht worden aan document datum en aanmaakdatum.

Vraag 3b: Indien de gewenste informatie niet beschikbaar is wat is er dan naar uw mening nodig om deze gegevens voor toekomstige gevallen wel beschikbaar te hebben? Het uitgangspunt bij deze vraag is dat er wel een event log van het inkoopproces beschikbaar is.

Op deze vraag worden verschillende mogelijkheden genoemd door de experts. De antwoorden komen in redelijke mate overeen. Onder andere de mogelijkheid van parametrisering van het systeem wordt genoemd (JC). Simpel gezegd: je zet een aantal vinkjes en dan gaat er een eventlog draaien. En anders overleg met de leverancier. Wat kan die faciliteren (JC). In het MKB kom je vaak een SQL data base tegen en die heeft van zichzelf al behoorlijk wat logging. In de praktijk zie je wel vaak dat de logging door de leverancier of de gebruiker om performance redenen wordt uitgezet (JC).

Vraag 4a: Welke functionarissen binnen en buiten de organisatie dienen met elkaar samen te werken om te komen tot een zo goed mogelijke toepassing van process mining in het kader van de jaarrekening controle en welke rol vervullen de betreffende functionarissen in dat samenwerkingsproces.

Alle experts zijn het er over eens dat de volgende functionarissen met elkaar dienen samen te werken.

De procesverantwoordelijke. In het geval van de vraagstelling degene die verantwoordelijk is voor de inkopen. Vaak zal dit het hoofd inkoop zijn die moet toelichten hoe het inkoopproces werkt. Deze functionaris zal dan ook informatie moeten geven over onder andere statuscodes, uitzonderingscodes en reeksen met factuurnummers die je niet zondermeer in je data analyse moet betrekken.

De controller als hoofdverantwoordelijke van het financiële proces. Hij is vaak degene die het totaal overzicht heeft in de geldgoederen beweging waarvan het inkoopproces onderdeel uitmaakt.

De data analist heb je nodig om de gegevens uit het systeem te herleiden (JH).

De accountant (of een van zijn assistenten) die met een kritische blik naar de uitkomsten van het process minen kijkt om de eventuele consequenties voor zijn controle te destilleren. De accountant moet ook vaststellen dat de verkregen event logs als controle informatie kunnen worden gebruikt. Sterker nog de accountant moet erbij zitten als de eventlogs worden gegenereerd.

Voorts wordt aangegeven dat ook degene die de database heeft ontworpen (vanuit de kant van de software leverancier) een rol kan spelen. Zij weten namelijk hoe de database in elkaar zit en zij weten ook hoe je de gegevens uit de database kunt uithalen (JC).

Vraag 4b: In welke mate zijn de mogelijkheden van proces mining te gebruiken bij de algemene jaarrekening controle? Voor welke onderdelen in het audit programma is process mining het best toepasbaar? En voor welke onderdelen in het auditprogramma is process mining slecht of niet van toepassing?

Alle experts zijn het er over eens dat je process mining kunt inzetten bij de controle van de jaarrekening. Er is wel een aantal randvoorwaarden. Het is namelijk niet zo dat je als accountant process mining zonder meer kunt implementeren als controle tool. Je moet het zien als een groeiproces (JC). Dus in jaar één starten met het in kaart brengen van de

tekortkomingen en dan vervolgens in jaar twee kijken hoe het proces nu feitelijk loopt en welke gevolgen heeft dat voor mijn controleverklaring. Belangrijk is dat je de klant meeneemt in de cyclus en dat je de klant gedurende het proces kan overtuigen om ook zelf process mining te gaan gebruiken in het kader van proces optimalisatie. Het moet namelijk niet zo zijn dat process mining alleen wordt gebruikt voor de controle. De klant zal er dan minder waarde aan hechten dan in het geval de toepassing van process mining ook voor hem profijt op levert. Het moet dus gaan om een win-win situatie.

De meeste kansen voor het inzetten van process mining in het auditprogramma worden gezien als process mining wordt ingezet bij de controle van transactie gerelateerde processen. Hierbij moet worden gedacht aan het inkoopproces en het verkoopproces en in mindere mate het productieproces. Maar ook bij access controles is de inzet van process mining niet ondenkbaar. Hierbij moet je dan denken aan het autoriseren van logische toegangsbeveiliging.

Er wordt ook opgemerkt dat je met process mining veel meer zekerheid kunt verkrijgen dan het selecteren van 25 facturen. Je ziet namelijk veel meer met process mining. Uitgangspunt hierbij is wel dat er sprake is van een materiële hoeveelheid inkoopfacturen. Vooral bij de interim controle waar de verschillende processen worden getoetst op opzet, bestaan en de werking is process mining goed in te zetten als controle tool. Uitgangspunt blijft wel dat er sprake is van een primaire basis vastlegging in het systeem.

In dit verband wordt tevens opgemerkt dat je prima het proces (in dit geval het inkoopproces) kunt visualiseren. Alleen heb je dan nog geen onderliggende factuur gezien. Van belang bij de controle van de inkopen is onder andere of de inkoopfacturen wel ten naam zijn gesteld. De vraag is dan hoe ga je daar mee om. Allemaal zaken die je wel in je dossier moet vastleggen (AK).