בחינת הבקרות הפנימיות בארגון ובפרט בתהליכים עסקיים הייתה ונשארה אבן היסוד בעבודת המבקר הפנימי. תהליכים עסקיים רבים בארגון מתבצעים כיום במערכות ממוחשבות ומורכבותם, במיוחד בארגונים

בחינת הבקרות הפנימיות בארגון ובפרט בתהליכים עסקיים הייתה ונשארה אבן היסוד בעבודת המבקר הפנימי. תהליכים עסקיים רבים בארגון מתבצעים כיום במערכות ממוחשבות ומורכבותם, במיוחד בארגונים גדולים, מקשה על יכולת המבקר לבצע עליהם ביקורת אפקטיבית ללא אמצעים ממוחשבים.

פיתוח טכנולוגית כריית התהליכים (Process Mining) לניתוח ניהולי של התהליכים[i] עורר התעניינות מחקרית רבה ביכולות השימוש שלה גם ככלי בקרה בין היתר לזיהוי הפרות אבטחת מידע[ii], ולאחרונה אף ככלי לביקורת פנימית לניהול סיכונים[iii], לזיהוי הונאות ומעילות[iv] ולשימוש ככלי כללי לביקורת תהליכים עסקיים[v]. מהתוצאות המעודדות של  המחקרים נראה כי כריית תהליכים עשויה להצטרף לארגז הכלים הממוחשבים של המבקר ולהרחיב את יכולותיו.

למאמר זה שני חלקים: בראשון אציג את טכנולוגיית כריית תהליכים ואמחיש באמצעות דוגמה כיצד ניתן להסתייע בה בביצוע ביקורת של תהליכים עסקיים, ובחלק השני אבחן כיצד משתלבת כריית התהליכים במסגרת טכניקות הביקורת הממוחשבות (CAAT) הקיימות.   

מהי כריית תהליכים?

כריית תהליכים הינה שיטה מממוחשבת לניתוח והבנה של תהליכים עסקיים מורכבים הפועלים בארגון. כתת-תחום של טכנולוגיית כריית נתונים גם היא עוסקת באלגוריתמים לגילוי חוקיות וחריגים במאגרי נתונים, אולם ממוקדת בכאלה המתאימים לניתוחי התהליכים בארגון. הצורך בכריית תהליכים נובע מהכרה הולכת וגוברת של הנהלות בחשיבותם של תהליכים עסקיים איכותיים להצלחת הארגון, בה בשעה שהן מתקשות במקרים רבים לזהות ולהעריך כיצד תהליכים אלו פועלים הלכה למעשה[vi].

במערכות ממוחשבות מתקדמות אשר משמשות לביצוע תהליכים עסקיים בארגון, כגון מערכות ERP, CRM וכד',  קיימים "יומני אירועים" (קבצי log) המתעדים באופן כרונולוגי את הפעילויות שבוצעו. יומנים אלו מנהלים לכל מופע (Instance) כלומר מקרה פרטי של תהליך עסקי כלשהו, מידע אשר כולל בין היתר את פירוט האירועים (events) שבוצעו על ידי המשתמשים במסגרתו - לדוגמה: הפקת תעודת משלוח או תשלום, את שם המבצע (originator) בכל אירוע ואת  פרטי זמן ההתרחשות (timestamp). באמצעות הפעלת אלגוריתמים ממוחשבים לתחקור יומן האירועים ניתן לנתח מה אירע במערכת וכיצד בוצעו התהליכים העסקיים ולזהות מקרים חשודים הדורשים חקירה לעומק.

לניתוח יומן אירועים של מערכות קיימת חשיבות רבה למבקר: היומן אינו מוזן על ידי המשתמש אלא נרשם אוטומטית, הוא מספק "נתיב ביקורת" (Audit Trail) מהימן. זאת ועוד, כריית התהליכים מאפשרת לנתח את ההיבט הדינמי של התהליך, קרי מסלול האירועים שלו, ודרך כך לבחון את חוזקן של הבקרות הפנימיות המשתרעות על פני כל התהליך (Process Level Control) - כגון הפרדת תפקידים ואכיפת סדר אירועים מסוים בתהליך (לדוגמה, אפשרות תשלום בגין חשבונית ספק רק לאחר קבלת הטובין).  

למרות שבכל תהליך מוגדר מסלול אירועים נורמלי, עדין המערכות מאפשרות ובצדק גמישות רבה לשינוי מסלול זה. לדוגמה: בתהליך רכש אנו מצפים למסלול פעילויות הכולל הזמנת רכש, קבלת טובין למחסן וקבלת חשבונית ספק, אולם המערכת עשויה לאפשר במקרים מסוימים קבלת טובין ללא הזמנה כדי שלא יגרמו עיכובים בייצור בעקבות אי קבלת חומרי הגלם הדרושים. כתוצאה מהגמישות המובנית של התהליכים יתכן ויתרחשו מקרים הנוגדים את כללי הארגון ועל המבקר הפנימי לבחון ולזהות מקרים אלו.   

דוגמה: כריית תהליכים בביקורת בבנק אירופי

כדי להמחיש את טכניקות כריית התהליכים ואת יישומיהן לביקורת, אביא דוגמה מתוך מחקר שטח שנערך בבנק אירופי מוביל ובמסגרתו נותח תהליך הרכש הפועל במערכת ה-ERP SAP[vii]. המסלול הנורמלי של התהליך בבנק מוצג בתרשים 1 להלן.

תרשים1: תהליך רכש בבנק אירופי מוביל.  מקור:Jans et al. (2011)

התהליך מותנע עם יצירת הזמנת הרכש (1) שלאחריה נדרשת חתימה(2) ושחרור (3) משני מאשרים שונים. קבלת הטובין (4)וחשבונית הספק (5) יכולים להתבצע במקביל, אולם התשלום (6) מתבצע לאחר סיום של שניהם. מסלול התהליך הנורמלי המוצג בתרשים אינו בלעדי והוא גמיש לשינויים: לדוגמה – ניתן לשנות את הזמנת הרכש לאחר הפקתה אבל אז תידרש חתימה חוזרת ושחרור חוזר . כמו כן, טובין יכולים להתקבל לשיעורין במספר משלוחים  ובאותו אופן יכולה להתקבל יותר מחשבונית אחת.

כריית התהליכים בוצעה על יומן האירועים (log) של מערכת ה-ERP הבנקאית תוך התייחסות רק למופעים של התהליך אשר הושלמו עד סופם דהיינו שסולק מלוא התשלום בגין הרכש, סך הכל כ-26 אלף מופעים. הניתוחים כללו את סוגי האלגוריתמים הבאים:

גילוי התהליך ((Process Discovery  

מטרת אלגוריתם זה הינה ללמוד כיצד מבוצע התהליך בפועל במופעים השונים  ולזהות את אלה החורגים מהדגם הנורמלי שלו.   

שלב ראשון מזהה האלגוריתם את הנוסחים (variants) השונים של התהליך כלומר המסלולים השונים שבהם הוא התבצע בפועל. לדוגמה: נוסח נורמלי של התהליך הינו: יצירת הזמנת רכש ß חתימהß  שחרור  ß קבלת טובין ß קבלת חשבונית ß תשלום. בניתוח נמצאו 304 נוסחים שונים כאשר הנוסח הנורמלי הנ"ל בוצע רק ב-45% מהמופעים.

ניתוח הנוסחים באופן ויזואלי או באופן ממוחשב מאפשר לזהות כאלה המפרים את כללי התהליך ואשר עלולים להוות סיכון. לדוגמה - באחד הנוסחים אשר נמצא בכ-12% מהמופעים, מיד לאחר יצירת הזמנת הרכש בוצע "שחרור" מבלי שבוצעה "חתימה". אפשרות לקיום נוסח כזה בתהליך עלולה להצביע על חולשה בבקרה הפנימית ואולי אפילו על ניצול לרעה של חולשה זו. בבדיקה שנערכה התברר כי אכן על פי החוקים, בתנאים מסוימים, לא נדרשת חתימה. בהמשך נראה כי קיימת דרך לבצע ניתוח נוסף שיבחן האם כל המופעים שבנוסח זה אכן עמדו בתנאים הדרושים.       

דוגמה נוספת – בנוסח אחר שנמצא חסרה הפעילות "קבלת טובין" ולמרות זאת בוצע תשלום. מצב זה קביל רק כאשר מדובר בהזמנת שירות (ובדרך כלל גם יידלק אינדיקטור לסוג הזמנה זה). לכן בהמשך נדרש לבדוק את המופעים שזוהו בנוסח זה ולוודא שאכן כך הוא.  

הנוסחים ה"מעניינים" ביותר למבקר הינם אלה שתדירותם נמוכה. לדוגמה- בניתוח נמצאו 3 מקרים בהם, במפתיע ובניגוד לחוקים, הזמנת הרכש בוצעה גם ללא חתימה וגם ללא שחרור. חריגים אלה הועברו למנהלי המערכת לבדיקה כיצד הדבר התאפשר במערכת. 

ניתוח תפקידים (Role Analysis)

מטרת ניתוח זה הינו להבטיח כי לא הייתה בתהליך הפרה של חוקי הפרדת התפקידים. בבנק האירופי נמצאו 272 עובדים שונים שהשתתפו ב- 26 אלף המופעים של תהליך הרכש. כאשר מספר עובדים גדול, העובדים מבצעים מספר תפקידים במקביל וקיימת תחלופה דינמית בתפקידים, אזי גם כאשר הרשאות השימוש מנוהלות במסגרת מערכת הERP -, ההקפדה על הפרדת תפקידים נאותה איננה פשוטה.

בניתוח התפקידים בשלב ראשון על המבקר להגדיר מהן קבוצות האירועים בתהליך שאסורות לביצוע על ידי  אותו עובד. בתהליך הרכש בבנק הוגדרו כדורשות הפרדה שלוש קבוצות אירועים: (1) החתימה והשחרור של הזמנת הרכש, (2) קבלת חשבונית וקבלת טובין ו-(3) שחרור הזמנת רכש  וקבלת טובין.

חיפוש ההפרות בתהליך בוצע באמצעות הפעלת אלגוריתם מבוסס לוגיקה עתית לינארית (linear Temporal Logic)  ומתוך כל 26 אלף המופעים לא נמצאה כל הפרה של הפרדת תפקידים בקבוצות 1 ו-2, אולם ביחס לקבוצה 3 נמצאו 175 מקרים של הפרות שבהם מעורבים 3 מבצעים: אחד מהם לבדו מעורב ב-129 מקרים. ממצאים אלה דורשים בדיקה ותיקון של הגדרת מערכת ההרשאות.

ניתוח הרשת החברתית (Social Network Analysis)   

אלגוריתם חדשני זה משלים את ניתוח התפקידים בכך שהוא מציג בתרשים קשרים בין מבצעים המעורבים באותו מופע של התהליך. ניתוח הרשת החברתית מאפשר לזהות כיצד אנשים בארגון קשורים זה לזה במסגרת הפעילות העסקית ולקבל תובנה על המוטיבציה והמשמעות של פעילותם.  כיישום ביקורת מאפשר האלגוריתם לזהות מצבים חריגים של קשרים הדורשים חקירה יותר מעמיקה. לדוגמה ניתן באמצעותו לזהות מקרים בהם מופעים של התהליך מבוצעים  בקביעות על ידי קבוצת עובדים קטנה המובחנת מיתר העובדים שמשתתפים בשאר המופעים. מקרים אלה, הגם שאינם מהווים בהכרח הפרה של הפרדת תפקידים, עלולים להצביע על קיום קנוניה ולכן מחייבים בהמשך הביקורת חקירה לעומק.

ניתוח מאפיינים ( Attribute Analysis)

אלו ניתוחים שאינם מתמקדים במסלול הפעילויות או במבצעים בלבד אלא במשולב עם מאפיינים אחרים של הפעילויות אשר עשויים להיות מתועדים ביומן התנועות עצמו, או בטבלאות מסד הנתונים של המערכת. תוכנת הניתוח יכולה באמצעות מספר מזהה של כל אירוע לקשר בין נתוניו ביומן לבין המאפיינים שלו כפי שהוזנו במסד הנתונים.

באמצעות ניתוח מאפיינים ניתן לבחון יותר לעומק את חוזקה של הבקרה הפנימית. לדוגמה: כזכור באמצעות אלגוריתם הגילוי נמצא ב-12% מהמקרים להזמנת הרכש לא בוצעה חתימה אלא רק שחרור. מקרים אלה כללו נוסחים שבהם נתוני הזמנות שונו ללא ביצוע חתימה חוזרת. על פי נהלי הבנק לא נדרשת חתימה חוזרת אם סכום ההזמנה הינו עד 12,500 יורו ובוצע בה שינוי בגובה של עד 5% מהסכום המקורי. או שסכום ההזמנה הינו בין 12,500 יורו ל 125,000 יורו ובוצע בה שינוי של עד 2%.

באמצעות ניתוח המאפיינים "סכום נטו" ו"סכום השינוי" של ההזמנות הנמצאים במסד הנתונים בטבלת ההזמנות, נבדקו כל המקרים שבהם לא בוצעה חתימה, ונמצאו 77 מקרים של חריגה מהנוהל. מקרים אלו הועברו לבחינה מדוקדקת.

לסיכום, במחקר השטח בבנק כריית תהליכים על יומן האירועים של מערכת ה-ERP הצליחה לאתר באופן אוטומטי הפרות של הפרדת תפקידים והעדר אישורים וחתימות הדרושים להזמנת רכש, אשר לא זוהו קודם לכן על ידי המבקרים הפנימיים בשיטות המסורתיות.