טיוב 

טכנולוגיות מידע לניהול בקרה וביקורת פנימית

Tiuv 

  • English

  • צור קשר

  • בלוג

  • פירסומים

  • לקוחות

  • שירותים

  • על הצוות

  • ראשי

  • More

    Information Technology for

    Management, Control & Audit

    2018 © טיוב יועצי מערכות בע"מ | ת.ד. 5125  שוהם | טל. 03-9747600 | info@tiuv.co.il 

    שווה זהב: כריית תהליכים -טכניקה חדשה לביקורת באמצעות המחשב

    October 11, 2014

    בחינת הבקרות הפנימיות בארגון ובפרט בתהליכים עסקיים הייתה ונשארה אבן היסוד בעבודת המבקר הפנימי. תהליכים עסקיים רבים בארגון מתבצעים כיום במערכות ממוחשבות ומורכבותם, במיוחד בארגונים

    בחינת הבקרות הפנימיות בארגון ובפרט בתהליכים עסקיים הייתה ונשארה אבן היסוד בעבודת המבקר הפנימי. תהליכים עסקיים רבים בארגון מתבצעים כיום במערכות ממוחשבות ומורכבותם, במיוחד בארגונים גדולים, מקשה על יכולת המבקר לבצע עליהם ביקורת אפקטיבית ללא אמצעים ממוחשבים.

    פיתוח טכנולוגית כריית התהליכים (Process Mining) לניתוח ניהולי של התהליכים[i] עורר התעניינות מחקרית רבה ביכולות השימוש שלה גם ככלי בקרה בין היתר לזיהוי הפרות אבטחת מידע[ii], ולאחרונה אף ככלי לביקורת פנימית לניהול סיכונים[iii], לזיהוי הונאות ומעילות[iv] ולשימוש ככלי כללי לביקורת תהליכים עסקיים[v]. מהתוצאות המעודדות של  המחקרים נראה כי כריית תהליכים עשויה להצטרף לארגז הכלים הממוחשבים של המבקר ולהרחיב את יכולותיו.

    למאמר זה שני חלקים: בראשון אציג את טכנולוגיית כריית תהליכים ואמחיש באמצעות דוגמה כיצד ניתן להסתייע בה בביצוע ביקורת של תהליכים עסקיים, ובחלק השני אבחן כיצד משתלבת כריית התהליכים במסגרת טכניקות הביקורת הממוחשבות (CAAT) הקיימות.   

    מהי כריית תהליכים?

    כריית תהליכים הינה שיטה מממוחשבת לניתוח והבנה של תהליכים עסקיים מורכבים הפועלים בארגון. כתת-תחום של טכנולוגיית כריית נתונים גם היא עוסקת באלגוריתמים לגילוי חוקיות וחריגים במאגרי נתונים, אולם ממוקדת בכאלה המתאימים לניתוחי התהליכים בארגון. הצורך בכריית תהליכים נובע מהכרה הולכת וגוברת של הנהלות בחשיבותם של תהליכים עסקיים איכותיים להצלחת הארגון, בה בשעה שהן מתקשות במקרים רבים לזהות ולהעריך כיצד תהליכים אלו פועלים הלכה למעשה[vi].

    במערכות ממוחשבות מתקדמות אשר משמשות לביצוע תהליכים עסקיים בארגון, כגון מערכות ERP, CRM וכד',  קיימים "יומני אירועים" (קבצי log) המתעדים באופן כרונולוגי את הפעילויות שבוצעו. יומנים אלו מנהלים לכל מופע (Instance) כלומר מקרה פרטי של תהליך עסקי כלשהו, מידע אשר כולל בין היתר את פירוט האירועים (events) שבוצעו על ידי המשתמשים במסגרתו - לדוגמה: הפקת תעודת משלוח או תשלום, את שם המבצע (originator) בכל אירוע ואת  פרטי זמן ההתרחשות (timestamp). באמצעות הפעלת אלגוריתמים ממוחשבים לתחקור יומן האירועים ניתן לנתח מה אירע במערכת וכיצד בוצעו התהליכים העסקיים ולזהות מקרים חשודים הדורשים חקירה לעומק.

    לניתוח יומן אירועים של מערכות קיימת חשיבות רבה למבקר: היומן אינו מוזן על ידי המשתמש אלא נרשם אוטומטית, הוא מספק "נתיב ביקורת" (Audit Trail) מהימן. זאת ועוד, כריית התהליכים מאפשרת לנתח את ההיבט הדינמי של התהליך, קרי מסלול האירועים שלו, ודרך כך לבחון את חוזקן של הבקרות הפנימיות המשתרעות על פני כל התהליך (Process Level Control) - כגון הפרדת תפקידים ואכיפת סדר אירועים מסוים בתהליך (לדוגמה, אפשרות תשלום בגין חשבונית ספק רק לאחר קבלת הטובין).  

    למרות שבכל תהליך מוגדר מסלול אירועים נורמלי, עדין המערכות מאפשרות ובצדק גמישות רבה לשינוי מסלול זה. לדוגמה: בתהליך רכש אנו מצפים למסלול פעילויות הכולל הזמנת רכש, קבלת טובין למחסן וקבלת חשבונית ספק, אולם המערכת עשויה לאפשר במקרים מסוימים קבלת טובין ללא הזמנה כדי שלא יגרמו עיכובים בייצור בעקבות אי קבלת חומרי הגלם הדרושים. כתוצאה מהגמישות המובנית של התהליכים יתכן ויתרחשו מקרים הנוגדים את כללי הארגון ועל המבקר הפנימי לבחון ולזהות מקרים אלו.   

    דוגמה: כריית תהליכים בביקורת בבנק אירופי

    כדי להמחיש את טכניקות כריית התהליכים ואת יישומיהן לביקורת, אביא דוגמה מתוך מחקר שטח שנערך בבנק אירופי מוביל ובמסגרתו נותח תהליך הרכש הפועל במערכת ה-ERP SAP[vii]. המסלול הנורמלי של התהליך בבנק מוצג בתרשים 1 להלן.

    תרשים1: תהליך רכש בבנק אירופי מוביל.  מקור:Jans et al. (2011)

     

    התהליך מותנע עם יצירת הזמנת הרכש (1) שלאחריה נדרשת חתימה(2) ושחרור (3) משני מאשרים שונים. קבלת הטובין (4)וחשבונית הספק (5) יכולים להתבצע במקביל, אולם התשלום (6) מתבצע לאחר סיום של שניהם. מסלול התהליך הנורמלי המוצג בתרשים אינו בלעדי והוא גמיש לשינויים: לדוגמה – ניתן לשנות את הזמנת הרכש לאחר הפקתה אבל אז תידרש חתימה חוזרת ושחרור חוזר . כמו כן, טובין יכולים להתקבל לשיעורין במספר משלוחים  ובאותו אופן יכולה להתקבל יותר מחשבונית אחת.

    כריית התהליכים בוצעה על יומן האירועים (log) של מערכת ה-ERP הבנקאית תוך התייחסות רק למופעים של התהליך אשר הושלמו עד סופם דהיינו שסולק מלוא התשלום בגין הרכש, סך הכל כ-26 אלף מופעים. הניתוחים כללו את סוגי האלגוריתמים הבאים:

    גילוי התהליך ((Process Discovery  

    מטרת אלגוריתם זה הינה ללמוד כיצד מבוצע התהליך בפועל במופעים השונים  ולזהות את אלה החורגים מהדגם הנורמלי שלו.   

    שלב ראשון מזהה האלגוריתם את הנוסחים (variants) השונים של התהליך כלומר המסלולים השונים שבהם הוא התבצע בפועל. לדוגמה: נוסח נורמלי של התהליך הינו: יצירת הזמנת רכש ß חתימהß  שחרור  ß קבלת טובין ß קבלת חשבונית ß תשלום. בניתוח נמצאו 304 נוסחים שונים כאשר הנוסח הנורמלי הנ"ל בוצע רק ב-45% מהמופעים.

    ניתוח הנוסחים באופן ויזואלי או באופן ממוחשב מאפשר לזהות כאלה המפרים את כללי התהליך ואשר עלולים להוות סיכון. לדוגמה - באחד הנוסחים אשר נמצא בכ-12% מהמופעים, מיד לאחר יצירת הזמנת הרכש בוצע "שחרור" מבלי שבוצעה "חתימה". אפשרות לקיום נוסח כזה בתהליך עלולה להצביע על חולשה בבקרה הפנימית ואולי אפילו על ניצול לרעה של חולשה זו. בבדיקה שנערכה התברר כי אכן על פי החוקים, בתנאים מסוימים, לא נדרשת חתימה. בהמשך נראה כי קיימת דרך לבצע ניתוח נוסף שיבחן האם כל המופעים שבנוסח זה אכן עמדו בתנאים הדרושים.       

    דוגמה נוספת – בנוסח אחר שנמצא חסרה הפעילות "קבלת טובין" ולמרות זאת בוצע תשלום. מצב זה קביל רק כאשר מדובר בהזמנת שירות (ובדרך כלל גם יידלק אינדיקטור לסוג הזמנה זה). לכן בהמשך נדרש לבדוק את המופעים שזוהו בנוסח זה ולוודא שאכן כך הוא.  

    הנוסחים ה"מעניינים" ביותר למבקר הינם אלה שתדירותם נמוכה. לדוגמה- בניתוח נמצאו 3 מקרים בהם, במפתיע ובניגוד לחוקים, הזמנת הרכש בוצעה גם ללא חתימה וגם ללא שחרור. חריגים אלה הועברו למנהלי המערכת לבדיקה כיצד הדבר התאפשר במערכת. 

    ניתוח תפקידים (Role Analysis)

    מטרת ניתוח זה הינו להבטיח כי לא הייתה בתהליך הפרה של חוקי הפרדת התפקידים. בבנק האירופי נמצאו 272 עובדים שונים שהשתתפו ב- 26 אלף המופעים של תהליך הרכש. כאשר מספר עובדים גדול, העובדים מבצעים מספר תפקידים במקביל וקיימת תחלופה דינמית בתפקידים, אזי גם כאשר הרשאות השימוש מנוהלות במסגרת מערכת הERP -, ההקפדה על הפרדת תפקידים נאותה איננה פשוטה.

    בניתוח התפקידים בשלב ראשון על המבקר להגדיר מהן קבוצות האירועים בתהליך שאסורות לביצוע על ידי  אותו עובד. בתהליך הרכש בבנק הוגדרו כדורשות הפרדה שלוש קבוצות אירועים: (1) החתימה והשחרור של הזמנת הרכש, (2) קבלת חשבונית וקבלת טובין ו-(3) שחרור הזמנת רכש  וקבלת טובין.

    חיפוש ההפרות בתהליך בוצע באמצעות הפעלת אלגוריתם מבוסס לוגיקה עתית לינארית (linear Temporal Logic)  ומתוך כל 26 אלף המופעים לא נמצאה כל הפרה של הפרדת תפקידים בקבוצות 1 ו-2, אולם ביחס לקבוצה 3 נמצאו 175 מקרים של הפרות שבהם מעורבים 3 מבצעים: אחד מהם לבדו מעורב ב-129 מקרים. ממצאים אלה דורשים בדיקה ותיקון של הגדרת מערכת ההרשאות.

    ניתוח הרשת החברתית (Social Network Analysis)   

    אלגוריתם חדשני זה משלים את ניתוח התפקידים בכך שהוא מציג בתרשים קשרים בין מבצעים המעורבים באותו מופע של התהליך. ניתוח הרשת החברתית מאפשר לזהות כיצד אנשים בארגון קשורים זה לזה במסגרת הפעילות העסקית ולקבל תובנה על המוטיבציה והמשמעות של פעילותם.  כיישום ביקורת מאפשר האלגוריתם לזהות מצבים חריגים של קשרים הדורשים חקירה יותר מעמיקה. לדוגמה ניתן באמצעותו לזהות מקרים בהם מופעים של התהליך מבוצעים  בקביעות על ידי קבוצת עובדים קטנה המובחנת מיתר העובדים שמשתתפים בשאר המופעים. מקרים אלה, הגם שאינם מהווים בהכרח הפרה של הפרדת תפקידים, עלולים להצביע על קיום קנוניה ולכן מחייבים בהמשך הביקורת חקירה לעומק.

    ניתוח מאפיינים ( Attribute Analysis)

    אלו ניתוחים שאינם מתמקדים במסלול הפעילויות או במבצעים בלבד אלא במשולב עם מאפיינים אחרים של הפעילויות אשר עשויים להיות מתועדים ביומן התנועות עצמו, או בטבלאות מסד הנתונים של המערכת. תוכנת הניתוח יכולה באמצעות מספר מזהה של כל אירוע לקשר בין נתוניו ביומן לבין המאפיינים שלו כפי שהוזנו במסד הנתונים.

    באמצעות ניתוח מאפיינים ניתן לבחון יותר לעומק את חוזקה של הבקרה הפנימית. לדוגמה: כזכור באמצעות אלגוריתם הגילוי נמצא ב-12% מהמקרים להזמנת הרכש לא בוצעה חתימה אלא רק שחרור. מקרים אלה כללו נוסחים שבהם נתוני הזמנות שונו ללא ביצוע חתימה חוזרת. על פי נהלי הבנק לא נדרשת חתימה חוזרת אם סכום ההזמנה הינו עד 12,500 יורו ובוצע בה שינוי בגובה של עד 5% מהסכום המקורי. או שסכום ההזמנה הינו בין 12,500 יורו ל 125,000 יורו ובוצע בה שינוי של עד 2%.

    באמצעות ניתוח המאפיינים "סכום נטו" ו"סכום השינוי" של ההזמנות הנמצאים במסד הנתונים בטבלת ההזמנות, נבדקו כל המקרים שבהם לא בוצעה חתימה, ונמצאו 77 מקרים של חריגה מהנוהל. מקרים אלו הועברו לבחינה מדוקדקת.

    לסיכום, במחקר השטח בבנק כריית תהליכים על יומן האירועים של מערכת ה-ERP הצליחה לאתר באופן אוטומטי הפרות של הפרדת תפקידים והעדר אישורים וחתימות הדרושים להזמנת רכש, אשר לא זוהו קודם לכן על ידי המבקרים הפנימיים בשיטות המסורתיות.  

     

    תגיות:

    כריית נתונים

    תהליכים עסקיים

    ביקורת מערכות מידע

    Please reload

    • Facebook Basic Square
    • Twitter Basic Square
    • Google+ Basic Square
    פוסטים נבחרים
    פוסטים אחרונים

    ביקורת חוזים: זיהוי הפרת אמונים בפרויקט BOT

    March 13, 2015

    מערכות לניהול תהליכים עסקיים 101 BPMS

    July 23, 2014

    יישום אפקטיבי של "קו חם" – להעלאת הערך המוסף בביקורת פנימית

    April 12, 2015

    1/7
    Please reload

    על הבלוקצ’יין (Blockchain) ועתיד הביקו...

    3.6.2018

    הפוליטיקה של הביקורת הפנימית: ספר חובה...

    20.11.2015

    Big Data וביקורת פנימית: אתגר והזדמנות

    20.6.2015

    יישום אפקטיבי של "קו חם" –...

    12.4.2015

    ביקורת חוזים: זיהוי הפרת אמונים בפרויק...

    13.3.2015

    בינה עסקית (BI) בביקורת פנימית: זיהוי...

    5.3.2015

    המבקר הפנימי - הנוכח הנפקד בפרשיות השח...

    23.2.2015

    ביקורת ממשל IT :למנוע "פירמידה הפוכה"...

    19.1.2015

    שווה זהב: כריית תהליכים -טכניקה חדשה ל...

    11.10.2014

    מערכות BPM - פתרונות לשיפור תהליכים בת...

    9.9.2014

    Please reload

    ארכיון

    June 2018 (1)

    November 2015 (1)

    June 2015 (1)

    April 2015 (1)

    March 2015 (2)

    February 2015 (1)

    January 2015 (1)

    October 2014 (1)

    September 2014 (1)

    July 2014 (1)

    Please reload

    חיפוש לפי תגיות

    Big Data

    bi

    bpm

    אנליטיקה

    בינה עסקית

    ביקורת חוזים

    ביקורת טכנולוגיות מידע

    ביקורת מערכות מידע

    ביקורת פנימית

    בלוקציין

    בקרה

    הפרת אמונים

    כריית נתונים

    מיקור חוץ

    ממשל it

    ממשל תאגידי

    מעילות והונאות

    קו חם

    שחיתות ציבורית

    תהליכים עסקיים

    Please reload