Process mining Tool bij de jaarrekening controle?

Transcriptie

1 Process mining Tool bij de jaarrekening controle? Abstract In dit referaat wordt ingegaan op de vraag of process mining de accountant kan ondersteunen bij de jaarrekening controle. Auteur : drs. M.J.N.M. Karel RA Plaats : Alkmaar Datum : 17 juni 2016 Instelling Opleiding : Universiteit van Amsterdam : Amsterdam IT Audit Programme Begeleider : drs. Y.W. van Wijk RE RA Co-Begeleider : Dr. N.R.T.P. van Beest [email protected]

2 Voorwoord Dit referaat is geschreven als onderdeel van de IT-opleiding aan de Amsterdam Business School van de Universiteit van Amsterdam. In dit referaat is onderzoek gedaan naar de toepasbaarheid van process mining in de audit praktijk. De keuze voor dit onderwerp is afkomstig uit mijn werksituatie. In mijn werk als externe accountant in de audit praktijk en als accountant in de samenstelpraktijk word ik steeds meer geconfronteerd met de automatisering van administratieve processen. Ons kantoor De Hooge Waerder heeft bij de uitvoering van onze controle- en samenstelwerkzaamheden zwaar ingezet op toepassing van IT. Zowel in de audit als in de samenstelpraktijk. Bij een van de gesprekken over toepassing van IT in de controle- en in de samenstelpraktijk die ik heb gehad met een externe adviseur (Johan Hermans) heeft hij mij op het spoor gezet van Process mining. Ik wil mijn begeleider Ype van Wijk bedanken voor zijn waardevolle adviezen en bijdragen aan de totstandkoming van dit eindresultaat. Ook een woord van dank naar mijn co-beleider Nick van Beest. Ook hij heeft mij voorzien van waardevolle adviezen. Voorts een woord van dank aan de experts. Dit zijn achtereenvolgens Jack van Crooij, Tom Koning, Angelique Koopmans, Johan Hermans, Johan Wildenbeest, Michiel Wijma en Danial Khalesi. Zij hebben de tijd genomen om met mij van gedachten te wisselen over de mogelijkheden van process mining in de audit praktijk. Ook mijn collega s binnen De Hooge Waerder wil ik bedanken voor de ruimte die ik heb gekregen om mij ter verdiepen in het vakgebied van IT auditing en dan bijzonder het onderdeel process mining. En last but not least wil ik mijn vrouw Edith bedanken. Zij zag mij vele avonden achter mijn bureau schuiven om dit referaat tot stand te brengen. Alkmaar, 17 juni 2016 Maurice Karel 2

3 Inhoudsopgave Voorwoord... 2 Inhoudsopgave... 3 Lijst van Illustraties... 5 Samenvatting Inleiding Aanleiding voor het onderzoek Primaire onderzoeksvraag Afgeleide onderzoeksvragen Methodologie Leeswijzer Process mining Inleiding Event log Analysetechnieken binnen process mining Petri net modellen Voorwaarden voor het toepassen van process mining Gerelateerd werk over process mining Samenvatting en conclusies Praktijkonderzoek Inleiding Case study onderzoeksmethodologie Dataverzameling Beknopte beschrijving van de mining technieken binnen het pakket perceptive software (Lexmark) Process mining toegepast op het inkoopproces van het productiebedrijf Cool Products BV Samenvatting en conclusie Expert Interviews Inleiding Selectie te interviewen experts Interview vragen Resultaten van de interviews Analyse van de interview resultaten Samenvatting en conclusies Conclusie en aanbevelingen Literatuurlijst Bijlagen

4 Overzicht Bijlagen 1 Inkoopproces van het productiebedrijf Cool Products B.V. 2 Nadere toelichting op het inkoopproces van Cool Products B.V. 3 Inkoopproces van het productiebedrijf CoolProducts B.V. (Ist-positie) 4 Aantal facturen zonder Three-way match 5 Rollen bij de Three-way match 6 Betaling inkoopfacturen zonder autorisatie door de bevoegde functionaris 7 Rollen bij de autorisatie inkoopfactuur procedure 8 Achtergrond expert interviews en data interviews 9 Vragenlijst referaat process mining 4

5 Lijst van Illustraties Figuur 1: Modelweergave... 8 Figuur 2: Methodologie en fasering van het onderzoek Figuur 3: Input data en eventlog data van een inkoopfactuur Figuur 4: Positionering van de drie belangrijkste typen van process mining Figuur 5: Petri net Figuur 6: Over olifantenpaadjes

6 Samenvatting Process mining is een methode om de gegevens uit systemen te gebruiken om inzicht te krijgen in hoe een proces nu daadwerkelijk loopt. Accountants krijgen bij de uitvoering van hun audit werkzaamheden steeds meer te maken met het feit dat prijsafspraken onder druk staan terwijl de wet- en regelgeving waaraan moet worden voldaan steeds meer toeneemt. Wettelijke controles moeten daarom steeds efficiënter worden ingericht om binnen de beschikbaar gestelde budgetten de controles te kunnen uitvoeren. Waarbij het uiteindelijke doel is het afgeven van een goedkeurende controle verklaring. In de zoektocht naar Tools die de accountant hierbij kunnen ondersteunen is de mogelijkheid van process mining de laatste jaren steeds meer onderwerp van onderzoek en discussie. In dit referaat wordt ingegaan op de vraag of process mining de accountant kan ondersteunen bij de jaarrekening controle. Een belangrijke voorwaarde voor het kunnen toepassen van process mining is een bruikbare eventlog. Aandacht wordt besteed aan de informatie die tenminste beschikbaar moet zijn in een eventlog. Een goede eventlog is een van de vereisten voor het kunnen toepassen van process mining. Daarnaast is het van belang om de juiste analysetechniek te hanteren waarmee process mining kan worden uitgevoerd. De keuze van de analysetechniek is afhankelijk van wat je uiteindelijk wilt bereiken met process mining. Het kunnen toepassen van process mining is voorts gebonden aan een aantal voorwaarden. Als de voorwaarden niet worden nageleefd dan heeft dit consequenties voor de toepasbaarheid van process mining. Met behulp van een casestudy is onderzocht hoe de toepassing van process mining zich in een praktijksituatie manifesteert. Hierbij is gebruik gemaakt van een pakket dat speciaal ontwikkeld is om processen te kunnen minen. Tenslotte zijn zeven deskundigen uit de praktijk die ervaring hebben met process mining geïnterviewd. Aan deze deskundigen zijn een viertal specifieke vragen op het gebied van process mining voorgelegd. De bevindingen van de casestudy en de uitkomsten van de interviews zijn meegenomen in de conclusie die in het laatste hoofdstuk van dit referaat is opgenomen. 6

7 1. Inleiding 1.1. Aanleiding voor het onderzoek In de huidige maatschappij wordt in toenemende mate gebruik gemaakt van automatisering. In organisaties worden efficiency slagen gemaakt waarbij handelingen van functionarissen binnen organisaties worden overgenomen door geautomatiseerde processen. De ondersteunende informatiesystemen zijn hierdoor meeromvattend en complexer geworden. Echter, deze ontwikkelingen hebben ook een keerzijde. Doordat processen overgenomen worden door geautomatiseerde systemen dreigt het gevaar dat handelingen niet meer direct zichtbaar zijn. In sommige gevallen is de automatiseringsgraad zo hoog dat er nog maar beperkt aantal menselijke handelingen overblijven. Hierdoor verlegt het systeem van interne controle zich naar information system audit en zijn de consequenties van processen waarbij menselijke handelingen een rol spelen veelal groter. Hierdoor is het systeem van interne controle meer kwetsbaar. Het toepassen van interne controle en auditing van complexe systemen wordt er niet eenvoudiger op. Een van de instrumenten die de accountant hanteert in zijn werkzaamheden is de observatie van de werking van het systeem van interne controle in de organisatie. Echter, door de toegenomen automatisering wordt de accountant steeds meer gedwongen naar de interne controle van de geautomatiseerde processen te kijken. Hierbij spelen enerzijds de observatie van standaard proces handelingen een rol, anderzijds de hiervan afwijkende handelingen, welke niet direct geobserveerd kunnen worden i.e. onzichtbare of onbevoegde handelingen. Het risico wat dit met zich meebrengt is dat bepaalde onbevoegde handelingen door de interne controle niet of niet tijdig worden ontdekt. Een voorbeeld uit de praktijk waarbij handelingen door onbevoegde functionarissen niet tijdig zijn ontdekt is de beursfraudezaak van de Franse effectenhandelaar Jérôme Kerviel. Hij wordt er van verdacht met zijn ongeoorloofde speculaties op de futures markt, zijn werkgever Société Générale begin 2008 met een verlies van 4.9 miljard euro te hebben opgezadeld. Soort gelijke gevallen van beursfraude door onbevoegde handelingen zijn bekend geworden door de zaak Nick Leeson (1995) en Kewku Adoboli (2011). Ook zij hebben met hun onbevoegde handelingen grote financiële schade veroorzaakt voor hun werkgevers. Het onderliggende probleem bij complexe geautomatiseerde systemen is dat er informatie nodig is die de onzichtbare handelingen in het systeem zichtbaar maken i.e. events of proceshandelingen. Veelal worden proceshandelingen in deze systemen slechts op de achtergrond bijhouden i.e. logging (indien gewenst), maar maken geen onderdeel uit van het primaire informatie systeem. In sommige gevallen worden door de leverancier system tools beschikbaar gesteld die analyse van deze logging mogelijk maken, maar deze zijn veelal ontoereikend. Deze logging van bedrijfsprocessen zijn de digitale sporen van informatiesystemen zoals ERP (Enterprise Resource planning) systemen. Deze informatie is te vinden in de logs van deze systemen [HAAS2009-1]. Echter, de traditionele data mining technieken schieten in de dagelijkse praktijk tekort om deze logs te analyseren vanwege de afwezigheid van een duidelijke procesoriëntatie [AALST-5]. De methode, afkomstig uit een ander domein, waarbij deze logs wel kunnen worden geanalyseerd, is process mining die zich richt op de analyse van bedrijfsprocessen die afgeleid worden van structuren in de achtergelaten sporen [HAAS2009-1]. Door deze analyse van processen kan een vergelijking gemaakt worden met de beschrijving hoe de processen zouden moeten werken. In het geval van de fraude bij Société Générale was deze fraude wellicht eerder aan het licht gekomen als process mining was toegepast bij de interne controle en auditing van financiële systemen. Dit is een van de redenen waarom de inzet van proces mining in de controleactiviteiten van de accountant toegevoegde waarde kan hebben. 7

8 Process mining Process mining is een bottom-up techniek waarmee een IT auditor op basis van de in een informatie systeem gelogde gegevens een procesmodel opbouwt (ist-model, het bestaan en de werking). Zo kan de IT-auditor ontdekken (process discovery) hoe de bedrijfsprocessen werkelijk verlopen. Door nu deze werkelijke bedrijfsprocessen af te zetten tegen het vooraf gedefinieerde normatieve bedrijfsprocesmodel kunnen afwijkingen worden opgespoord (conformance checking). Het basisprincipe van process mining is in figuur 1 Modelweergave afgebeeld. Figuur 1: Modelweergave Een veel voorkomend probleem bij de analyse van bestaande systemen is dat de IT-auditor in de voorbereidingsfase van het proces mining onderzoek ontdekt dat het systeem niet alle vereiste data beschikbaar kan stellen, dat de data onvolledig geregistreerd is of dat de data van slechte kwaliteit is. Ondanks de hierboven geschetste problemen is de verwachting dat process mining een steeds belangrijkere plaats zal gaan innemen binnen het vakgebied IT auditing. Door het toenemende gebruik van process mining is de verwachting voorts dat zowel de effectiviteit als de efficiency van jaarrekening controles kan verbeteren door de inzet van process mining [AALST2015-4]. Daarnaast bestaat de mogelijkheid om met behulp van process mining data in de context van bedrijfsprocessen te analyseren. Dit is niet alleen interessant voor organisaties zelf, maar ook voor externe accountants is process mining interessant bij het uitvoeren van jaarrekening controles [AALST2015-4]. 8

9 1.2. Primaire onderzoeksvraag De laatste 5 tot 10 jaar is er veel geschreven over het onderwerp process mining. In deze publicaties wordt aandacht besteed aan het theoretische aspect van process mining en aan het praktische aspect van process mining. Met het theoretische aspect van process mining wordt hier bedoeld de mathematische onderbouwing van het toepassen van process mining door gebruik te maken van algoritmes. Met behulp van de algoritmes wordt de verborgen informatie in eventlogs zichtbaar gemaakt. Uitgangspunt in dit referaat is dat er reeds sprake is van een bruikbare eventlog. Het mathematische aspect van process mining wordt daarom in dit referaat niet verder uitgewerkt. Het praktische aspect van process mining daarentegen wordt in dit referaat wel verder uitgewerkt. De toenemende graad van automatisering binnen bedrijfsprocessen (reeds toegelicht in paragraaf 1.1) en de toenemende druk op de prijsafspraken bij de wettelijke controles brengen de behoefte met zich mee om de controles effectiever en efficiënter in te richten. Vanuit de praktijk is er daarom behoefte aan een tool die de accountant kan helpen om dit te realiseren. Gelet op het bovenstaande en gelet op hetgeen beschreven staat in paragraaf 1.1 aanleiding voor het onderzoek staat de volgende onderzoeksvraag centraal: De primaire onderzoeksvraag luidt: Hoe kan process mining de accountant ondersteunen bij de jaarrekening controle 1.3. Afgeleide onderzoeksvragen Om de primaire onderzoeksvraag te beantwoorden wordt eerst in de geselecteerde literatuur onderzocht wat wordt verstaan onder process mining. Daarnaast wordt nagegaan welke kennis wordt verkregen door het gebruik van process mining bij de uitvoering van de controle werkzaamheden. Om dit te kunnen beantwoorden is de volgende deelvraag geformuleerd: 1. Wat is process mining en welke kennis kan worden verkregen door process mining? Voor het gebruik van process mining bij de uitvoering van de controle van de jaarrekening heeft de accountant behoefte aan specifieke IT gerelateerde evidence om zijn controle werkzaamheden effectief en efficiënt te kunnen uitvoeren. Om na te gaan welke IT gerelateerde evidence dit betreft is de volgende deelvraag geformuleerd. 2. Wat is nodig aan informatie voor de accountant in het kader van de jaarrekening controle? Voor het toepassen van process mining is specifieke informatie nodig. Van belang is om deze informatie uit het geautomatiseerde systeem te genereren. De volgende deelvraag is geformuleerd om de beschikbaarheid van de informatie te onderzoeken. 3. In welke mate is de vereiste data die benodigd is voor process mining beschikbaar? Uiteindelijk gaat het erom of de techniek van process mining bruikbaar is voor de accountantspraktijk. Voor de beantwoording van deze vraag is de volgende deelvraag geformuleerd. 9

10 4. In welke mate zijn de mogelijkheden van process mining toepasbaar in de accountantspraktijk? In de volgende paragraaf zal worden aangegeven hoe de onderzoeksvragen methodologisch worden benaderd. 10

11 1.4. Methodologie In dit referaat worden de volgende fasen achtereenvolgens uitgevoerd. De methodologie die gehanteerd wordt bestaat uit case study en expert interviews. In onderstaande figuur Methodologie en fasering van het onderzoek worden de fasen geïllustreerd. Onderzoeksfasen: 1) Afbakening onderzoek domein, waarbij de research questions en onderzoek scope bepaald worden; 2) Literatuuronderzoek, waarbij naast academische literatuur tevens professionele literatuur wordt onderzocht; 3) Case study research, onderverdeeld in a. Ontwerp: case selectie en scoping; b. Voorbereiding: bepalen tool en dataset; c. Data collectie: uitvoeren van case study; d. Analyse van de resultaten; 4) Expert Interviews, onderverdeeld in: a. Bepalen van de doelgroep experts; b. Interview techniek en tekst voorbereiding; c. Uitvoering interviews, datacollectie; d. Analyse van de resultaten; 5) Concluderen process mining toepassing in jaarrekeningcontrole. Fase 2 betreft het literatuuronderzoek. In dit hoofdstuk wordt de theoretische achtergrond van process mining behandeld. Uitgangspunt hierbij is hetgeen over process mining wordt geschreven in de academische literatuur en de professionele literatuur. Het uitwerken van de theoretische achtergrond heeft tot doel de theoretische toepassingsmogelijkheden van process mining te analyseren. In fase 3 en de fase 4 wordt de relatie gelegd met het praktijkonderzoek. In fase 3 wordt een case study uitgevoerd waarbij het inkoopproces van een productiebedrijf centraal staat. In fase 4 worden verschillende experts geïnterviewd met betrekking tot het onderwerp process mining. Voor deze interviews zijn een viertal vragen met deelvragen geformuleerd. Vanuit de beschrijving van de theorie in hoofdstuk 2 worden de volgende kernpunten met betrekking tot process mining in de interviewvragen meegenomen. 1. Wat wordt verstaan onder process mining 2. Wat is het belang van een eventlog 3. Hoe ziet een bruikbare eventlog eruit 4. Wat is belang van competentietabellen en functiescheidingen (ofwel welke functionarissen spelen een rol in het proces van process mining) 5. Wat is de invloed van het gebruik van process mining bij de jaarrekening controle Fase 3 is gericht op de Understanding of process mining, voor het inkoopproces bij de jaarrekening controle. Hierbij is gekozen voor het inkoopproces van het productiebedrijf Cool Products B.V., die geanalyseerd wordt middels process mining. De belangrijkste reden om te focussen op het inkoopproces is dat de uitgaven die samenhangen met de inkopen worden gezien als een van de key risks van de financiële gezondheid van een productiebedrijf. Voorts is de effectiviteit van het inkoopproces een van de gebieden waar de accountant naar kijkt bij zijn controle van een productiebedrijf. De centrale vraag hierbij zal zijn; Hoe verloopt het inkoopproces bij Cool Products B.V. in werkelijkheid vergeleken met het normatieve inkoopproces. 11

12 Fase 4 is gericht op het evalueren van de interviewresultaten over het gebruik van process mining in de jaarrekening controle. De interviews worden afgenomen bij een aantal deskundigen (zie paragraaf 4.2) uit de praktijk, bestaande uit een tweetal IT auditors, een tweetal registeraccountants en een drietal systeemontwikkelaars. Voor het interview wordt gebruik gemaakt van vier vooraf gedefinieerde vragen met een aantal sub vragen. In paragraaf 4.2 van deze scriptie wordt voorts nader toegelicht waarom de bijdrage van deze verschillende deskundigen van belang wordt geacht voor dit referaat. In paragraaf 4.5 Analyse van de interview resultaten worden de meningen en de ervaringen van de deskundigen met betrekking tot de gesignaleerde kernpunten gerelateerd aan hetgeen hierover in de theoretische literatuur is gepubliceerd. Uiteindelijk zullen de bevindingen die voortvloeien uit de hiervoor beschreven casestudy en de resultaten van de interviews met de deskundigen worden gebruikt om in paragraaf 4.6 een uitspraak te kunnen doen over hoe process mining de accountant kan ondersteunen bij de jaarrekening controle. In figuur 2 wordt een illustratie gegeven van de methodologie en de fasering van het onderzoek. Figuur 2: Methodologie en fasering van het onderzoek 12

13 1.5. Leeswijzer In het onderstaande wordt per hoofdstuk van dit referaat een korte beschrijving gegeven van de inhoud. Hoofdstuk 1: Inleiding Hoofdstuk 1 beschrijft wat de aanleiding is geweest voor het schrijven van het referaat. Daarna worden de primaire onderzoeksvraag en de afgeleide onderzoeksvragen benoemd en wordt kort ingegaan op de casestudy en het interview met deskundigen. Het hoofdstuk wordt afgesloten met een nadere toelichting op de gehanteerde methodologie. Hoofdstuk 2: Process mining Hoofdstuk 2 gaat in op de theorie over process mining. Hierbij wordt ingegaan op de betekenis van een event log, de analysetechnieken binnen process mining, Petri Net modellen, de voorwaarden om process mining toe te kunnen passen alsmede de visie van een aantal schrijvers over de toepassingsmogelijkheden van process mining. Het hoofdstuk wordt afgesloten met een samenvatting en conclusies waarbij een antwoord wordt gegeven op de eerste twee deelvragen uit paragraaf 1.2. Hoofdstuk 3: Praktijkonderzoek Hoofdstuk 3 licht de gekozen onderzoek aanpak nader toe. Het praktijkonderzoek vindt plaats in de vorm van casestudy (businesscase waarbij process mining wordt toegepast op het inkoopproces van een productiebedrijf). Hoofdstuk 4: Interview met deskundigen Hoofdstuk 4 behandelt de uitkomsten van de interviews die zijn gehouden met zeven deskundigen. Het hoofdstuk wordt afgesloten met een samenvatting en conclusies waarbij een antwoord wordt gegeven op de laatste twee deelvragen uit paragraaf 1.2. Hoofdstuk 5: Conclusie Hoofdstuk 5 geeft een antwoord op de primaire onderzoeksvraag. Hierbij wordt gebruik gemaakt van hetgeen in de theorie wordt geschreven over process mining, de resultaten van de casestudy en de meningen van de deskundigen over dit onderwerp. Het hoofdstuk wordt afgesloten met een conclusie. 13

14 2. Process mining 2.1. Inleiding In de inleiding van dit referaat is naast de primaire onderzoeksvraag een viertal deelvragen geformuleerd. In dit hoofdstuk zal een antwoord worden gegeven op de eerste twee deelvragen. De eerste deelvraag luidt: Wat is process mining en welke kennis kan worden verkregen door process mining? Dit zal nader worden uitgewerkt door in te gaan op de betekenis van een event log in paragraaf 2.2. Vervolgens zullen in paragraaf 2.3 de verschillende analysetechnieken binnen process mining worden behandeld. Daarna wordt in paragraaf 2.4 kort de methodiek behandeld hoe een proces visueel kan worden gemaakt door middel van het gebruik van Petri net modellen. In paragraaf 2.5 worden de voorwaarden behandeld die van belang zijn om process mining goed te kunnen toepassen. Voor de beantwoording van deze deelvraag is gebruik gemaakt van artikelen die zijn aangeleverd vanuit de Rijksuniversiteit Groningen (RuG). In de wetenschappelijk database (o.a. Picarta) van de RuG is gezocht naar relevante artikelen over het onderwerp process mining. Hierbij zijn de volgende zoektermen gehanteerd: process mining, eventlog, petri net modellen en Van der Aalst. De reden dat specifiek op Van der Aalst is gezocht is vanwege het feit dat hij een van de toonaangevende wetenschappers is die veel publiceert en schrijft over het gebruik en de toepassingsmogelijkheden van process mining. Zijn boek Process Mining Discovery, Conformance and Enhancement of Business Processses [AALST ] wordt gezien als een van de toonaangevende boeken op het gebied van process mining. Veel van de artikelen die ingaan op process mining behandelen de algoritmes waarmee process mining wordt toegepast. De onderliggende techniek van process mining heeft geen invloed op de centrale research question i.e. het bepalen van de toegevoegde waarde voor process mining in de jaarrekeningcontrole. Om deze reden zijn technische publicaties over bijvoorbeeld algoritmes in process mining buiten het literatuuronderzoek gehouden (zie paragraaf 1.2). De focus bij de selectie van de artikelen is om te komen tot een beantwoording van de eerste onderzoeksvraag. Met name de artikelen van Jans, [JANS , en ], Hakvoort en Sluiter [HAKV2008] en het boek van Van der Aalst [AALST2011-2] sluiten het meeste aan bij de onderwerpen die worden behandeld in de paragrafen 2.2 tot en met 2.5. De tweede deelvraag luidt: Wat is nodig aan informatie voor de accountant in het kader van de jaarrekening controle? Om een antwoord te kunnen geven op deze deelvraag is in paragraaf 2.6 een documentanalyse uitgevoerd waarbij een selectie is gemaakt van artikelen die specifiek aandacht besteden aan de invloed van process mining op de jaarrekening controle. Meerdere schrijvers besteden in hun publicatie aandacht aan de invloed van process mining op de jaarrekening controle. Door de meningen van de verschillende schrijvers naast elkaar te leggen is beoordeeld welke informatie de accountant in ieder geval nodig heeft in het kader van de jaarrekening controle. Hierbij wordt tevens ingegaan op de voor- en tegenargumenten van het gebruik van process mining in het kader van de jaarrekening controle. 14

15 2.2. Event log Om de betekenis van een event log voor de IT auditor te achterhalen, dient eerst een goed begrip van process mining verkregen te worden. Daarom is het relevant om vooraf de definitie van process mining te geven. Het Business Process Management Center 1 beschrijft process mining als volgt: The basic idea of process mining is to extract knowledge from event logs recorded by an information system. Until recently, the information in these event logs was rarely used to analyze the underlying processes. Process mining aims at improving this by providing techniques and tools for discovering process, control, data, organizational, and social structures from event logs. Fueled by the omnipresence of event logs in transactional information systems [ ] process mining has become a vivid research area [JANS2010-1]. Als werk definitie hanteer ik hierbij: process mining is de systematische analyse van informatie die is opgeslagen in een event log, met als doel het abstraheren van het bedrijfsproces vanuit de daadwerkelijke primaire vastleggingen in het informatiesysteem i.e. event log. Een event log wordt gedefinieerd als: een record van events die zijn vastgelegd in een informatiesysteem. Deze record kan op een later tijdstip worden beoordeeld door de systeem administrator met als doel gebruikers handelingen te identificeren die in het systeem hebben plaatsgevonden [ALLES2011]. Indien alle handelingen in het informatiesysteem worden vastgelegd kunnen door process mining (theoretisch gezien) hierdoor ook de handelingen van onbevoegden worden geïdentificeerd. Enige nuance is hier op zijn plaats. In de praktijk is het lastig om deze uitspraak te handhaven, gezien veel activiteiten niet of op een ander aggregatieniveau gelogd worden. Daarnaast vinden er tevens activiteiten plaats buiten het systeem. Activiteiten buiten het systeem worden niet gelogd. Een stellige conclusie inzake onbevoegde handelingen is hierdoor niet mogelijk. Van der Aalst volgend, worden er steeds meer gebeurtenissen geregistreerd en opgeslagen in een event log [AALST-5]. Je kunt hierbij denken aan het boeken van een reis via het internet. Het boeken van de reis leidt ertoe dat veel events worden opgeslagen in de database van de betrokken organisatie. Veel apparatuur in ziekenhuizen (bijvoorbeeld CT/MRI scanners) zijn verbonden met de informatiesystemen van de leverancier. Hierdoor is het voor de leverancier mogelijk om inzicht te krijgen in het gebruik van hun producten [AALST2012-3]. Dankzij deze event logs en de toepassing van process mining technieken is het hierdoor mogelijk om inzicht te krijgen in wat er daadwerkelijk gebeurt in de verschillende bedrijfsprocessen [AALST-5]. In dit referaat wordt gefocust op het gebruik van de event log en process mining, en hoe de accountant hiervan gebruik kan maken in zijn controleactiviteiten. Dit betekent dat de achterliggende systeemtechnieken van de event log, zoals de systeemvastlegging en de onderliggende algoritmen van process mining, buiten de scope van dit referaat vallen. Voor de werkbaarheid wordt daarnaast gefocust op één proces, het inkoopproces. Als voorbeeld wordt onderstaande illustratie gebruikt om de betekenis van de event log nader toe te lichten. 1 Het BPM Center is een samenwerking tussen the Information System groups (IS@CS en IS@IEIS) van de TU in Eindhoven en de BPM groep van de Informatie Technologie Faculteit van Queensland (Brisbane, Australië). 15

16 Voorbeeld inkoopfactuur betekenis van een event log Figuur 3: Input data en eventlog data van een inkoopfactuur (Bron: Jans2010-1) De bovenstaande figuur laat de informatie zien die wordt vastgelegd in het ERP systeem van een organisatie en de wijze waarop dit wordt vastgelegd in een event log. Overigens geldt de vastlegging van de betreffende informatie ook voor andere systemen zoals bijvoorbeeld Process Aware Information Systems en Workflow Management Systems. De figuur met de input data (links boven op de bladzijde) bevat de factuur gegevens die in het ERP systeem zijn ingevoerd door de functionaris belast met het inboeken van de inkoopfacturen. Deze input data zal worden vergeleken met de meta-data die in het ERP systeem wordt geregistreerd zonder tussenkomst van de functionaris belast met het inboeken van de inkoopfacturen [JANS2011-2]. De input data betreft de beschikbare data op het moment van het boeken van de inkoopfactuur zoals het factuur nummer, de boekingsdatum, de leverancier et cetera. Deze data wordt in principe ook gebruikt door IT auditors bij hun controle werkzaamheden. De figuur met de event log data (rechts boven op de bladzijde) laat de data zien die is opgeslagen in de event log voor dezelfde inkoopfactuur. Redenerend vanuit de definitie van een event log is alle input data ook onderdeel van een event log. Wat het met name interessant maakt voor een IT auditor is dat alle data, dus ook meta-data, in de event log automatisch door het ERP systeem worden vastgelegd zonder tussenkomst van welke functionaris dan ook binnen de gecontroleerde organisatie, waarbij hiervoor genoemde nuance uiteraard wordt meegenomen. Het gebruik van meta-data stelt de IT auditor in staat om het verloop van een transactie te reconstrueren door het leggen van relaties tussen de bewuste transactie en alle andere transacties in de database met dezelfde gemeenschappelijke kenmerken. Hierbij kan gedacht worden aan wijzigingen van de inkoopfactuur en de identiteit van andere functionarissen binnen de organisatie die op de een of andere wijze betrokken zijn geweest bij de administratieve verwerking van de inkoopfactuur. Het is evident dat een en ander samenhangt met hetgeen wordt gelogd in het systeem. 16

17 In het voorbeeld vastgelegd in figuur 3 laat de input data alleen een transactie zien van 100 USD met een factuurdatum van 10 februari. Dit is wat de IT auditor zou zien als er sprake zou zijn van een papieren uitdraai van het grootboek evenals in het geval wanneer er sprake is van een ERP systeem waarbij de IT auditor niet kiest voor het creëren van een event log. Overigens is logging een van de functionaliteiten van een systeem. Als je in het ERP systeem (bijvoorbeeld SAP, [Systems, Applications and Products for data processing]) de logging niet aan hebt staan dan heb je de informatie (meta data) niet beschikbaar. In tegenstelling tot het voorgaande laat de meta-data in de event log zien dat er sprake is van twee verschillende functionarissen die betrokken zijn bij het invoeren van data waarbij de datums waarop dit plaatsvindt niet samenvallen met de boekingsdatum. Daarnaast is er niet alleen sprake van een wijziging van het in eerste instantie ingevoerde bedrag, de wijziging wordt ook nog eens geautoriseerd door de functionaris die de wijziging aanbrengt. Resumerend kan de IT auditor door analyse van de event log de volgende volgorde van handelingen reconstrueren [JANS2010-1]: 1. op 12 februari om 8:23 voert Mike inkoopfactuur nummer 3 in het systeem in, ingevoerd worden de volgende variabelen; de leverancier (AT&T), de factuur datum (10 februari 2010), het factuur bedrag ad USD 100 en de omschrijving (interne ondersteuning), 2. op 12 februari om 8:43 verandert John het factuurbedrag van USD 100 naar USD 120, 3. op 12 februari om 8:44 autoriseert John inkoopfactuur nummer 3. Alhoewel deze volgorde van handelingen een verklaarbare reden kan hebben, kan het toch aanleiding zijn voor de IT auditor om deze transactie nader te onderzoeken. Resumerend De betekenis van de event log voor de IT auditor of accountant berust op de vastlegging en analyse van deze logging. Hierdoor is hij in staat om het bedrijfsproces te abstraheren vanuit de daadwerkelijke primaire vastleggingen in het informatiesysteem. Twee zaken zijn van belang om in het achterhoofd te houden bij het gebruik van event logs. Allereerst moet er sprake zijn van een logging van alle administratieve handelingen in het systeem en voorts dient deze logging ook blijvend bewaard te worden. Van belang is dan ook dat er sprake is van een periodieke back-up van het systeem. Vaak is de beslissing om al dan niet te loggen een strategische keuze op business level niveau. Als er niet gelogd wordt, dan is het niet mogelijk om de volgorde van handelingen te reconstrueren zoals hierboven beschreven. Daarnaast is het zo dat een event log niet direct in het format beschikbaar is waarmee de IT auditor aan de slag kan. In de praktijk zullen de verschillende componenten waaruit de event log bestaat verspreid staan op verschillende plaatsen in het IT systeem [KOOP2014]. 17

18 2.3. Analysetechnieken binnen process mining Door het gebruik van analysetechnieken waarbij gezocht wordt naar vaak voorkomende patronen is het mogelijk automatisch procesmodellen af te leiden (process discovery). Door deze modellen wordt vastgesteld wat er nu daadwerkelijk gebeurt binnen een proces of organisatie. Het blijkt dat de in de praktijk gevonden procesmodellen vaak afwijken van de theoretische procesmodellen waarin wordt uitgegaan van de ideale situatie [KOOP2014]. Voor het zichtbaar maken van de verschillen tussen de normatieve procesbeschrijving en het werkelijke proces wordt gebruik gemaakt van conformance checking technieken [AALST-5]. In de literatuur wordt hierbij verwezen naar Log delta analysis: Interpretable differencing of Business process event logs, en Complete and interpretable conformance checking of business processes. Met behulp van conformance checking wordt zichtbaar gemaakt wat de mate van compliance is (bijvoorbeeld 90% van de control flow loopt volgens plan) en waar in het proces de grootste afwijkingen te vinden zijn (bijvoorbeeld deze controle activiteit wordt veelvuldig overgeslagen ). Indien de event log en het proces model redelijk overeenstemmen kan er ook voor worden gekozen om het procesmodel te verrijken (enhancement) met de additionele informatie uit de log [AALST2011-2]. Figuur 4: Positionering van de drie belangrijkste typen van process mining [AALST2011-2] 18

19 Toelichting op figuur 4. Informatiesystemen besturen en ondersteunen in toenemende mate processen en organisaties. Als gevolg hiervan worden steeds meer events geregistreerd. Deze kunnen gebruikt worden voor de drie vormen van process mining: (a) discovery, (b) conformance en (c) extension. Discovery is gericht op het automatisch construeren van een model op basis van een event log. Conformance daarentegen gaat uit van een event log en een model en laat zien waar de grootste afwijkingen tussen model en werkelijkheid zitten. Extension probeert het model te verrijken met behulp van kennis afgeleid uit de log met historische informatie [AALST-5]. Voor het toepassen van process mining is het belangrijk dat er een koppeling plaatsvindt tussen het procesmodel en een event log. Hierdoor is het mogelijk de werkelijkheid af te spelen op het procesmodel. Eventuele afwijkingen tussen procesmodel en event log worden hierdoor direct zichtbaar. Dit kan belangrijk zijn voor compliance en auditing. Door het gebruik van tijdsaanduidingen (time stamps) van event logs kunnen eventuele knelpunten worden opgespoord. Het signaleren van deze knelpunten kan weer aanleiding zijn voor procesverbetering. Figuur 4 laat alleen de control flow zien. Van der Aalst [AALST2011-2] onderscheidt naast de drie typen van process mining (discovery, conformance en enhancement) ook een aantal verschillende perspectieven van processen. Van der Aalst onderscheidt hierbij de volgende perspectieven: (1) het control-flow perspective, (2) het organizational perspective, (3) het case perspective en (4) het time perspective. Het control flow perspective richt zich op het ordenen van activiteiten. Het doel is het vinden van een goede beschrijving van alle mogelijke paden. Het organizational perspective richt zich op informatie van middelen verborgen in de event log. Bijvoorbeeld welke mensen, systemen of afdelingen zijn betrokken en hoe zijn ze aan elkaar gerelateerd. Het doel van dit perspectief is zowel het structureren van de organisatie door middel van het classificeren van mensen in functies als het zichtbaar maken van het sociale netwerk. Het case perspective richt zich op de eigenschappen van specifieke gevallen. Bijvoorbeeld als het gaat om een aanvullende order is het interessant om te weten wie de leverancier is geweest of het aantal artikelen dat is besteld. Bij het time perspective tenslotte gaat het om de timing en frequentie van gebeurtenissen. Als een gebeurtenis namelijk een tijdstempel met zich meedraagt dan is het mogelijk om knelpunten te ontdekken. Opgemerkt dient te worden dat de verschillende perspectieven elkaar gedeeltelijk overlappen. Niettemin geven ze een goede beschrijving van de aspecten die process mining wil analyseren. 19

20 2.4. Petri net modellen Voor het visueel weergeven van processen wordt veelal gebruik gemaakt van Petri net modellen (zie figuur 5). In Lectures on Petri nets I [REIS1998] wordt een Petri net gedefinieerd als een graaf waar transities (activiteiten of taken) en plaatsen (places) verbonden zijn door middel van pijlen. Een transitie kan worden uitgevoerd als alle input places voorzien zijn van een token. Een place is derhalve geen state. De marking van het net is de state (dus de combinatie van places die een token hebben). Een transition fires en is atomic van aard. Daarbij consumeert het een token van alle input places en produceert het een token voor alle output places. Figuur 5: Petri net In de getoonde Petri net [HAKV2008] wordt de workflow vastgelegd door de verschillende paden die kunnen worden gelegd tussen de verschillende plaatsen (A tot en met A). Een voorbeeld van een workflow zou de volgende volgorde van stappen kunnen hebben A C (D G H ) F A. Nader toegelicht: C heeft twee output places, namelijk één naar D en één naar G. Zowel D als G zijn enabled en de transitie F vereist een token in beide input places. H moet dus ook worden uitgevoerd (hetgeen vereist dat G wordt uitgevoerd). Door nu vooraf de workflow te definiëren kan met behulp van conformance checking zichtbaar worden gemaakt wat de mate van conformance is. Met conformance checking bekijk je of het proces zoals uitgevoerd overeenkomt met het model van het proces zoals het bedoeld is. Als blijkt dat de workflow een process volgorde weergeeft van ACDFA dan is dit in overeenstemming met het vooraf gedefinieerde model. Een workflow met de stappen ACHDFA behoort niet tot de mogelijkheden. 20

21 2.5. Voorwaarden voor het toepassen van process mining Om process mining toe te kunnen passen is het van belang dat de gebruiker bekend is met de voorwaarden voor het gebruik van de logbestanden en de transactiegegevens. In deze paragraaf worden de verschillende voorwaarden nader worden toegelicht. De eerste voorwaarde betreft het bestaan van een adequaat procesmodel, die als norm dient voor conformance analyse. Als tweede voorwaarde geldt dat het onttrekken van event logs aan een informatie systeem mogelijk is om de process mining analyse uit te voeren. Daarvoor dienen deze logs te bestaan uit gebeurtenissen (events) die verwijzen naar een activiteit (activity, bijvoorbeeld het autoriseren van een inkooporder), waarbij de activiteit verwijst naar een subject (case of process instance, bijvoorbeeld een inkooporder) en waarbij de gebeurtenissen geordend zijn [HAKV2008]. Wanneer events worden gelogd in een informatiesysteem dient aan de volgende voorwaarden te worden voldaan om zodoende bruikbaar te zijn voor de toepassing van process mining [DONGEN2005] : 1. Ieder gelogd aspect moet een gebeurtenis zijn die op zeker moment heeft plaatsgevonden. De gebeurtenis moet niet verwijzen naar een periode. Bijvoorbeeld de start van een activiteit is een gebeurtenis evenals het beëindigen van de activiteit (kort gezegd: een event log legt een state change vast). Het bezig zijn met de activiteit dient niet te worden gezien als een gebeurtenis; 2. Ieder gelogd aspect dient te verwijzen naar slechts één activiteit en deze activiteiten dienen uniek te zijn; 3. Ieder gelogd aspect moet een beschrijving bevatten van de gebeurtenis die heeft plaatsgevonden in relatie tot de activiteit (bijvoorbeeld de activiteit start of einde); 4. Ieder gelogd aspect dient te verwijzen naar een subject. Bijvoorbeeld voor welke factuur is het betalingsproces in gang getreden; 5. Ieder event moet verwijzen naar een process instance (en waarbij ieder process instance behoort bij een zeker proces). Naast de event log dient ook het procesmodel dat voor de conformance checking wordt gebruikt te voldoen aan een aantal voorwaarden. Het is belangrijk dat het proces model alle mogelijke en toegestane proces stappen bevat. Als het proces model alleen de ideale proces stap bevat dan zal dit er toe leiden dat veel subjecten niet door proces model worden weergegeven. Hierbij dient opgemerkt te worden dat dataprocessen in werkelijkheid niet noodzakelijk volledig zijn. Er zijn uitzonderingsgevallen die niet worden gemodelleerd, maar wel mogelijk zijn. Afsluitend kan worden opgemerkt dat het voor het toepassen van conformance checking het gebruik van een Petri net model zoals beschreven in paragraaf 2.4. een van de mogelijkheden is. Hiervoor is echter wel een formeel procesmodel nodig voor automatische analyse. Een Petri net is daar een voorbeeld van. De tools die dit ondersteunen werken op basis van Petri nets, BPMN (Business Process Model and Notation), EPC (Event-Driven Process Chain modellen) et cetera. 21

22 2.6. Gerelateerd werk over process mining Bij de selectie van het gerelateerd werk over process mining is rekening gehouden met het feit of de betreffende artikelen onderwerpen beschrijven die (zijdelings) gerelateerd zijn aan process mining en dan in het bijzonder op de tweede onderzoeksvraag Wat is nodig aan informatie voor de accountant in het kader van de jaarrekening controle. In de hierna behandelde artikelen wordt ingegaan op de kansen die process mining biedt in het kader van de jaarrekening controle maar ook op de tekortkomingen van process mining waardoor toepassing van process mining in het kader van de jaarrekening controle niet zondermeer een succes is. De afgelopen decennia zijn er veel artikelen verschenen over het onderwerp process mining. Vooral vanuit de Technische Universiteit Eindhoven worden onder supervisie van Professor Dr. Ir. Wil M.P. van der Aalst veel artikelen over het onderwerp process mining gepubliceerd. Van der Aalst wordt op het gebied van process mining gezien als een van de toonaangevende wetenschappers. In Process Mining : Discovery, Conformance and Enhancement of Business Processes gaat Van der Aalst uitgebreid in op de belangrijkste technieken die samenhangen met process mining [AALST2011-2]. Daarnaast laat van der Aalst in zijn boek tevens zien hoe deze technieken kunnen worden toegepast. In Auditing 2.0: Using process mining to support tomorrow s auditor [AALST2010-1] wordt een nadere uiteenzetting gegeven van het gebruik van Petri net modellen in de controle. Door het gebruik van actuele data kan de IT auditor met behulp van Petri net modellen afwijkingen achterhalen op het moment dat ze gebeuren. Zelfs de mogelijkheid om afwijkingen te voorspellen wordt in dit artikel beschreven. Van der Aalst is er van overtuigd dat het toepassen van process mining het werk van IT auditors en accountants drastisch zal veranderen. Met name de analytische vaardigheden en de IT vaardigheden van IT auditors en accountants zullen op de proef worden gesteld. In Process Mining [AALST2012-3] gaat Van der Aalst in op het gebruik van process mining technieken waardoor organisaties in staat zijn om als het ware een doorlichting te maken (Van der Aalst gebruikt hiervoor het woord x-ray) van hun business processen om zo knelpunten te signaleren. Voor deze knelpunten dienen dan oplossingen te worden gezocht. Van der Aalst geeft aan dat oplossingen kunnen worden gevonden door het gebruik van Process Discovery waarmee processen kunnen worden herzien en voorts het gebruik van conformance checking waarmee kan worden nagegaan waar processen afwijken. Mieke Jans gaat in het artikel Process mining of event logs in auditing: opportunities and challanges [JANS2010-1] in op de waarde van process mining van event logs voor interne en externe accountants. In het stuk wordt het feit benadrukt dat de vastlegging van de data in een event log automatisch en onafhankelijk plaats vindt van de persoon van wie het handelen onderwerp is van het onderzoek. Voorts geeft zij aan dat de informatie in event logs tot voor kort vrijwel niet werd gebruikt door accountants. Wanneer bedrijven echter in staat zijn om event logs wel efficiënt te gaan gebruiken is de verwachting dat deze event logs als de ultieme monitoring tool kunnen worden gebruikt. Iedere handeling van een medewerker wordt namelijk geregistreerd zonder dat de medewerker daar invloed op uit kan oefenen. In Process Mining: A new research methodology for AIS [ALLES2011] gaan Alles en Jans in op de toepassing van process mining bij veel voorkomende accounting onderwerpen zoals continuous auditing en het signaleren van fraude. Naast een uitgebreide beschrijving van hoe een event log wordt gecreëerd (waar in dit referaat zoals hiervoor opgemerkt niet verder wordt ingegaan) gaan zij ook in op de verschillende methoden van process mining zoals die paragraaf 2.3 worden onderkend. Zij vragen zich onder meer af of alle 22

23 mogelijkheden die process mining in zich heeft kunnen worden benut. Ook vragen zij zich af of er enige waarde zit in de opgeslagen data in event logs. Vragen die in het artikel overigens niet verder worden beantwoord. Gehrke [GEHRKE2010] besteedt in zijn artikel Basic principles of financial process mining a journey through financial data in accounting information systems aandacht aan het gebruik van een algoritme om financiële boekingen te process minen om zo de process instances te reconstrueren die aanleiding hebben gegeven voor de betreffende boeking. Het doel van het artikel is om de kloof tussen de process benadering en de benadering vanuit de accountancy te slechten. Het visualiseren van het financiële proces moet accountants en process managers er toe brengen dat zij hun blik op het financiële process verruimen. Namelijk van het verwerken van boekingen in de financiële administratie naar een process georiënteerd perspectief dat is verweven met een waarde stroom van financiële informatie. In het artikel Business process mining and reconstruction for financial audits wordt door M. Werner [WERN2012] ingegaan op de discrepantie die er is tussen de wijze waarop geïntegreerde en geautomatiseerde processen worden gecontroleerd door middel van handmatige controles. Door middel van een geautomatiseerde en systeem gerichte analyse, die vervolgens visueel wordt weergegeven, worden IT auditors in staat gesteld om efficiënter om te gaan met de complexiteit van geïntegreerde processen en interne controles. In Process mining: conformance analysis from a financial audit perspective [HAKV2008] gaat het om een toepassing van process mining gericht op de controle van de financiële administratie. Met name het gebruik van conformance checking kan worden gebruikt als een techniek die wordt aangewend bij het uitvoeren van een controle. Toch zijn zij van mening dat process mining niet zondermeer het ei van columbus is. Competentietabellen en functiescheiding zijn nog steeds noodzakelijk om een bepaald niveau van zekerheid te realiseren. Het artikel Lessons learned bij toepassing van process mining van M. Haasnoot-Bezverhaya [HAAS2012-2] geeft een beschrijving van de aandachtspunten en moeilijkheden die de techniek van process mining met zich meebrengt. Als belangrijkste knelpunten ziet zij de vaak matige kwaliteit van de beschikbare data, de moeite die het kost om de juiste data te selecteren en de kosten die gemoeid zijn met het construeren van een event log vanuit de bronsystemen. In het vervolg op het in de voorgaande alinea genoemde artikel publiceert M. Haasnoot- Bezverhaya een artikel over Controleerbaarheid en kwaliteit van event logs [HAAS2013-3]. Uiteindelijk komt het er volgens haar op neer dat reeds in de beginfase (de zogenaamde analyse en ontwerpfase) van de implementatie van een bedrijfsproces moet worden nagedacht over de inrichting van een event log. Vervolgens moet in de testfase worden getest of de event log conform de specificaties is gebouwd om vervolgens in de nazorgfase eventuele wijzigingen van het proces in de event log aan te passen. Als we de hiervoor behandelde artikelen naast elkaar zetten dan blijkt dat er tussen de verschillende schrijvers uiteenlopende meningen zijn omtrent het gebruik van process mining in het kader van de jaarrekening controle. Van der Aalst [AALST2010-1] is van mening dat door het toepassen van process mining het werk van de IT auditor in relatie tot de jaarrekening controle drastisch zal veranderen. Dat dit van invloed is op benodigde competenties van de IT auditor is helder. Hakvoort en Sluiter [HAKV2008] daarentegen zijn iets genuanceerder in hun mening over het gebruik van process mining in het kader van de jaarrekening controle. Zij zijn van mening dat het voor het toepassen van process mining nog steeds noodzakelijk is om uit te gaan van minimaal aanwezige functiescheidingen om zo een bepaald minimum niveau van zekerheid te realiseren. 23

24 2.7. Samenvatting en conclusies Om te kunnen komen tot een beantwoording van de primaire onderzoeksvraag Hoe kan process mining de accountant ondersteunen bij de jaarrekening controle zijn in de inleiding een aantal deelvragen afgeleid. Voor de beantwoording van de eerste twee deelvragen is in dit hoofdstuk ingegaan in op de theorie rondom process mining. De eerste deelvraag luidt: Wat is process mining en welke kennis kan worden verkregen door process mining? Voor de beantwoording van deze deelvraag is gebruik gemaakt van een selectie van artikelen die ingaan op de betekenis van process mining. In de inleiding van dit hoofdstuk, paragraaf 2.1, is uiteengezet hoe deze selectie tot stand is gekomen. Voor de beantwoording van de vraag Wat is process mining kan worden aangesloten bij de definitie zoals die wordt gehanteerd door het Business Process Management Center. The basic idea of process mining is to extract knowledge from event logs recorded by an information system. Until recently, the information in these event logs was rarely used to analyze the underlying processes. Process mining aims at improving this by providing techniques and tools for discovering process, control, data, organizational, and social structures from event logs. Fueled by the omnipresence of event logs in transactional information systems [ ] process mining has become a vivid research area. De schrijvers van de artikelen over process mining zijn het er over eens dat het bij process mining primair gaat om het ontdekken en analyseren van processen waarbij gebruik wordt gemaakt van event logs. Waarbij we een event log hebben gedefinieerd als een record van events in een informatiesysteem. Hierbij kan worden gesteld dat de kracht van process mining afhankelijk is van hoe uitgebreid de event log is in de vastlegging van alle activiteiten die relevant zijn voor het te analyseren process. Voorts blijkt dat het voor de toepassing van process mining noodzakelijk is dat aan een vijftal voorwaarden wordt voldaan [DONGEN2005]. Pas wanneer is voldaan aan deze vijf voorwaarden is een efficiënte toepassing van processing mining in de praktijk mogelijk. Voor de beantwoording van de vraag Welke kennis kan worden verkregen door process mining? kan het beste worden aangesloten bij de verschillende analysetechnieken die worden beschreven in de literatuur. Met behulp van deze analysetechnieken kunnen verschillende process modellen worden gegenereerd waarna met behulp van deze process modellen en de hieruit voortvloeiende informatie de IT auditor, in samenspraak met de accountant, vervolgens gericht zijn controle werkzaamheden kan uitvoeren. Er kan onderscheid worden gemaakt in drie verschillende analysetechnieken van process mining [AALST2011-2]. Zie paragraaf 2.3. voor een nadere toelichting van de drie verschillende analyse technieken. Naast Van der Aalst [AALST2011-2] onderschrijven ook Alles [ALLES2011], Jans [JANS2010-1], Haasnoot-Bezerhaya [HAAS2009-1] en Aalst/Koopman [AALST2015-4] het gebruik en de toepassingsmogelijkheden van deze analysetechnieken. Door het gebruik van de analysetechnieken kunnen processen in kaart worden gebracht (process discovery). Voor de accountant die bezig is met zijn jaarrekeningcontrole zijn de bestaande processen een belangrijk uitgangspunt om zijn controle op in te richten. In het kader van de jaarrekeningcontrole (beoordelen van de administratieve organisatie en de interne beheersing) zijn ook de afwijkingen tussen het normatief procesmodel en de 24

25 werkelijkheid van belang (conformance checking). Voor het visueel weergeven van processen wordt in de praktijkgebruik gemaakt van Petri net Modellen. Hierdoor is het voor de IT auditor eenvoudiger om te analyseren waar er sprake is van afwijkingen van de verwachte workflow. De hiervoor genoemde analysetechnieken en het gebruik van Petri net modellen zijn er op gericht om vanuit de beschikbare event logs te komen tot een beschrijving en/of visuele vastlegging van de processen zoals die in werkelijkheid plaatsvinden. Door nu de processen zoals die in werkelijkheid plaatsvinden naast de vooraf gedefinieerde process modellen te leggen kunnen eventuele afwijkingen worden gesignaleerd waarna door de IT auditor gerichte (herstel) acties kunnen worden ondernomen. De tweede deelvraag luidt: Wat is nodig aan informatie voor de accountant in het kader van de jaarrekening controle? Over het onderwerp process mining is en wordt nog steeds veel gepubliceerd. Als rode draad door de gepubliceerde artikelen loopt het feit dat process mining een belangrijke bijdrage kan leveren in het audit proces. Zowel op het vlak van process discovery, waarbij alles er op gericht is om inzicht te krijgen in de feitelijke proces gang, als op het vlak van conformance checking waarbij de soll situatie (het vooraf gedefinieerde proces model) wordt vergeleken met de ist situatie (het werkelijke proces model). Uitgangspunt is dat de IT auditor begrip heeft van de bedrijfsprocessen van de onderneming. Op deze wijze kan de IT auditor namelijk een dergelijke analyse op een efficiënte en effectieve manier aanpakken. Tot slot van dit hoofdstuk kan aan de hand van de meningen van de verschillende schrijvers uit paragraaf 2.6 worden geconcludeerd dat de IT auditor en de accountant voor het uitvoeren van hun werkzaamheden in het kader van de jaarrekening controle waarbij gebruik wordt gemaakt van de techniek van process mining moeten kunnen beschikken over bruikbare event logs. Voorwaarden voor een bruikbare event log zijn dat er sprake moet zijn van logging van alle administratieve handelingen. Voorts speelt de kwaliteit (maar ook de beschikbaarheid en betrouwbaarheid) van de gegevens waar gebruik van wordt gemaakt om te komen tot een event log een belangrijke rol. Daarnaast is het samenspel tussen de IT auditor, de accountant, de data analist en de verantwoordelijke financiële man van het bedrijf eveneens van belang bij de samenstelling van de event log. Wat tenslotte van belang is, is kennis van de vastleggingen gerelateerd aan de bedrijfsprocessen, de boekingsgangen en het onderliggende datamodel van de relevante systemen [KOOPMAN2014]. Alleen wanneer is voldaan aan deze voorwaarden is het mogelijk om door analyse van het proces model in relatie tot de event log eventuele knelpunten op te sporen. In hoofdstuk 3 wordt een praktijk onderzoek uitgevoerd. In het praktijkonderzoek wordt process mining toegepast op het inkoopproces van een productiebedrijf. In bijlage 1 is een vereenvoudigd voorbeeld opgenomen van een inkoopproces zoals dat gebruikelijk is bij een productiebedrijf. Uitgaande van hetgeen in hoofdstuk 2 is beschreven kan process mining worden toegepast op het gehele inkoopproces vanaf het moment van bestelling van de goederen tot en met het moment van betalen van de inkoopfactuur. Door middel van conformance checking kan worden geanalyseerd welke processtromen aansluiten (conformance) op het procesmodel en welke niet (non-conformance). Hiervoor is het noodzakelijk dat uit het ERP systeem de event logs worden onttrokken van het inkoopproces waarin de bovenstaande elementen van het inkoopproces zijn opgenomen. 25

26 3. Praktijkonderzoek 3.1. Inleiding In het voorgaande hoofdstuk is op basis van literatuuronderzoek inzicht verkregen in het onderzoekdomein, is een definitie gegeven van process mining en is nader ingegaan op analysetechnieken binnen process mining. Tevens is ingegaan op Petri net modellen en de voorwaarden voor het toepassen van process mining. Het hoofdstuk is afgesloten met een vastlegging van het inkoopproces zoals dat bij een productiebedrijf gebruikelijk is. In dit hoofdstuk wordt de methodologie nader uitgewerkt. Het uiteindelijke doel is om na te gaan of process mining bruikbaar en nuttig is om in de praktijk te gebruiken door de accountant bij zijn werkzaamheden die samenhangen met de jaarrekening controle. De bevindingen van het praktijkonderzoek worden gebruikt om een antwoord te gegeven op de laatste twee deelvragen zoals die in hoofdstuk 1 zijn geformuleerd. De derde deelvraag luidt: In welke mate is de vereiste data die benodigd is voor process mining beschikbaar. De vierde en tevens laatste deelvraag luidt: In welke mate zijn de mogelijkheden van process mining toepasbaar in de accountantspraktijk. Voor de beantwoording van beide deelvragen wordt gestart met een casestudy in paragraaf 3.2. In paragraaf 3.2 wordt de keuze voor de gehanteerde methodologie nader toegelicht. In paragraaf 3.3 wordt vervolgens ingegaan op de keuze van het te onderzoeken productiebedrijf. Paragraaf 3.4 geeft een beknopte beschrijving van de mining technieken binnen het pakket perceptive software (waarmee het process mining onderzoek zal plaatsvinden). Afsluitend wordt in paragraaf 3.5 de toepassing van process mining op een aantal onderdelen van het inkoopproces van het onderzochte productiebedrijf nader uitgewerkt. Het hoofdstuk wordt afgesloten met een samenvatting van het praktijkonderzoek in paragraaf 3.6. Naast de uitwerking van de casestudy zijn verscheidene interviews met deskundigen afgenomen. De uitkomsten van deze interviews zijn eveneens gebruikt bij de beantwoording van de laatste 2 deelvragen. De opzet en de uitvoering van de interviews zijn uitgewerkt in hoofdstuk 4 Expert Interviews Case study onderzoeksmethodologie Yin [Yin1994] stelt dat de onderzoeksmethodologie afhankelijk is van het type onderzoeksvraag. Yin onderscheidt de volgende type onderzoeksvragen: een wie-vraag, een wat-vraag, een waar-vraag, een hoe-vraag en de waaromvraag. Dit onderzoek richt zich op de hoe-vraag: Hoe kan process mining de accountant ondersteunen bij de jaarrekening controle. Yin stelt voor om bij de beantwoording van de hoe-vraag een case study uit te voeren. Daarom is bij dit onderzoek gekozen voor door een kwalitatieve empirische aanpak in plaats van een kwantitatieve aanpak. Een kwalitatieve case studie heeft een aantal voordelen. Eén van de voordelen is dat het rekening houdt met de restricties waaraan een onderzoeker is gebonden. Naast voordelen heeft een kwalitatieve case studie ook een aantal nadelen. In een kwalitatief onderzoek is het lastig om de validiteit te controleren. Validiteit is de relatie tussen het theoretische paradigma en de empirische metingen. Om de validiteit in een kwalitatief onderzoek te waarborgen heeft Yin [Yin1994] een aantal richtlijnen opgesteld. Het onderzoek 26

27 moet gericht zijn op het gebruik van meerdere, verschillende bronnen. Daarnaast moet een onderzoek transparant zijn om achteraf de stappen die genomen zijn en die tot de conclusie hebben geleid, te evalueren. De derde richtlijn die Yin [Yin1994] heeft opgesteld, is om het onderzoek te laten herzien door mensen (experts) die daar bij betrokken zijn. Tot slot beveelt Yin [Yin1994] aan om meerdere case studies naast elkaar te analyseren, dit om de externe validiteit te vergroten. De bovenstaande richtlijnen van Yin zijn bij het uitvoeren van het onderzoek zoveel mogelijk in acht genomen. Daarnaast is er gekozen voor het interviewen van ervaringsdeskundigen die ervaring hebben met de toepassing van process mining in de accountants- en/ of de IT-praktijk. Voor een nadere uitwerking van de interviews wordt verwezen naar hoofdstuk Dataverzameling Het heeft enige moeite gekost om een bruikbare database te verkrijgen. De database die vanuit de praktijk was aangeleverd door een handelsbedrijf (zakelijke relatie van M. Karel) bleek niet bruikbaar. In de betreffende database waren onder andere de inkopen vastgelegd die door het handelsbedrijf waren gedaan bij haar leveranciers. Het bleek niet mogelijk om een bruikbare event log uit het systeem te verkrijgen tegen acceptabele kosten. Om toch een database te kunnen hanteren van waaruit een bruikbare eventlog kon worden gegenereerd is contact gezocht met Coney uit Halfweg. Coney is een middelgroot accountantskantoor die zich bezig houdt met de controle van middelgrote en grote MKB bedrijven. Bij de uitvoering van haar controlewerkzaamheden maakt Coney gebruik van process mining door het toepassen van perceptive process mining. Coney is bereid gevonden een database beschikbaar te stellen van een productiebedrijf met de gefingeerde naam Cool Products BV. (hierna Cool). In deze database zijn opgenomen de gegevens met betrekking tot de inkopen van de materialen. In bijlage 2 is een nadere toelichting gegeven op het inkoopproces van Cool. Het spreekt voor zich dat de informatie van Cool voor publicatiedoeleinden is bewerkt. Het is echter wel een weergave van een situatie zoals die in de controle praktijk voorkomt. Door Coney is tevens de event log beschikbaar gesteld met behulp waarvan de casestudy kon worden uitgevoerd Beknopte beschrijving van de mining technieken binnen het pakket perceptive software (Lexmark) Perceptive software ontwikkelt proces management en content management software die de leemtes in organisatie informatie dicht ( Perceptive is onderdeel van Lexmark International. Perceptive Process mining is een van de tools die worden geleverd door Lexmark International. Hierbij dient Perceptive te worden gezien als een productnaam. Het product is het toepassen en het gebruik van de techniek van process mining. Vergelijk de boekhoudpakketen Exact, Visma, Twinfield, Reeleezee et cetera. Allemaal productnamen die staan voor een boekhoudpakket met het doel te boekhouden. Perceptive Process Mining bevat twee mining technieken voor het verzamelen van informatie. Dit zijn respectievelijk de fast miner en de thorough miner. De thorough miner bevat een complexe algoritme en valt buiten de scope van dit referaat. De fast miner kijkt welke mogelijke paden belopen worden door de cases in de event log. Vervolgens classificeert de tool de paden door het meest belopen pad boven aan te plaatsen, dan het 27

28 pad dat daarna het meest gevolgd wordt et cetera. Door de vastlegging van deze paden worden interacties binnen een bedrijfsproces gevisualiseerd, knelpunten worden gesignaleerd en effectiviteit van medewerkers wordt geëvalueerd [PERC2014]. In het uitgevoerde praktijk onderzoek is alleen gebruik gemaakt van de hierboven beschreven fast miner Process mining toegepast op het inkoopproces van het productiebedrijf Cool Products BV Uitgangspunt voor de casestudy zijn de gegevens met betrekking tot het inkoopproces die zijn opgeslagen in de database zoals die ontvangen is van Coney. Door een data-analist in dienst van Coney is een eventlog ter beschikking gesteld waarmee het inkoopproces van Cool is op te vragen met behulp van perceptive. In bijlage 1 is het overzicht weergegeven van de Soll-positie van het inkoopproces bij Cool. Het uiteindelijke doel van het onderzoek van de accountant is om de Ist-positie (de subsidiaire gegevens) te toetsen aan de Soll-positie (de primaire vastlegging) [KLOOS2013]. In bijlage 3 is het overzicht weergegeven van de Ist-positie van het inkoopproces bij Cool. Bij nadere bestudering van dit overzicht blijkt dat er sprake is van een aantal afwijkingen van de gewenste procedure. Bij elke activiteit is het aantal transacties vermeld en bij de pijlen is de doorlooptijd van de ene activiteit naar de andere vermeld. De normale procedure vanaf het moment dat de inkoopfactuur is ontvangen is dat er een Three-way match wordt uitgevoerd waarbij de inkooporder en de inkoopfactuur met elkaar worden gematcht en voorts wordt er volgens de procedure een controle uitgevoerd op de geboekte ontvangsten ten opzichte van de inkoopfactuur en de eerder aangemaakte inkooporder. Na akkoord van de inkoopfactuur vindt er dan betaling plaats. De geconstateerde afwijkingen bestaan eruit dat er in een aantal situaties na de factuur ontvangst geen Three-way match plaats vindt. De factuur wordt dus feitelijk zonder controle goedgekeurd. Daarnaast blijkt dat er in een aantal gevallen direct na de Three-way match de betaling plaatsvindt zonder accordering van de betreffende inkoopfactuur. Deze afwijkingen van de normale werkprocessen noemen we ook wel de zogenaamde olifantenpaadjes (feitelijk de transacties die buiten het gewenste pad zijn gegaan), zie figuur 6. Deze situaties zullen hierna met behulp van het toepassen van process mining via perspective nader worden onderzocht. Het eerste werkproces dat met process mining nader onderzocht wordt is het proces waarbij de ontvangen inkoopfacturen onderworpen dienen te worden aan een Three-way match. Met perceptive is het mogelijk om met gebruikmaking van filters nader in te zoomen op het hiervoor genoemde olifantenpaadje. We spreken ook wel van het minen van een proces. Wanneer we het filter zo instellen dat er ingezoomd kan worden op de situatie dat de Threeway match wordt overgeslagen dan blijkt dat er in totaal inkoopfacturen worden aangeboden. Zie bijlage 3. Van deze inkoopfacturen lopen 299 inkoopfacturen niet via de Three-way match. Zie bijlage 4. Van belang is dan uiteraard om te weten welke functionarissen deze inkoopfacturen hebben goedgekeurd zonder gebruikmaking van de Three-way match. Vanuit perceptive is het mogelijk om naast de transacties ook in te zoomen op de zogenaamde rollen. Aan deze rollen zijn de functionarissen gekoppeld die de betreffende 28

29 transactie hebben behandeld. Het blijkt dat van de 299 inkoopfacturen die niet via de Three-way match zijn beoordeeld er 46 door de medewerker crediteuren zijn goedgekeurd, 243 zijn er door het hoofd crediteuren goedgekeurd en de resterende 10 zijn door het hoofd inkoop goedgekeurd. Zie bijlage 5. De accountant zal deze transacties bespreken met zijn opdrachtgever en hij zal onderzoeken waarom deze transacties niet via het normale proces zijn behandeld. Hierbij zal tevens aandacht worden besteed aan het feit of de functionarissen geautoriseerd zijn om de inkoopfacturen goed te keuren. Voorgaande constatering brengt met zich mee dat de interne Three Way Match extra aandacht verdient. Resumerend: de Three-way match procedure Aantal Totaal inkoopfacturen Controle via Three-way match Controle niet via Three-way match 299 Waarvan: Geautoriseerd door hoofd crediteuren 243 Geautoriseerd door medewerker crediteuren 46 Geautoriseerd door hoofd inkoop 10 Figuur 6: Over olifantenpaadjes ( Het tweede werkproces wat bij nadere bestudering van de Ist-positie opvalt is het proces waarbij het traject van de goedkeuring van de inkoopfactuur wordt overgeslagen. We hebben zojuist geconstateerd dat er 2084 inkoopfacturen worden aangeboden voor de Threeway match. Van deze 2084 zijn er 299 reeds aan een nader onderzoek onderworpen omdat ze niet via het normale proces worden behandeld (hiervoor beschreven onder het eerste werkproces). Per saldo blijkt derhalve dat er 1785 inkoopfacturen wel via de Three-way match worden beoordeeld. Wanneer we nu de volgende stap gaan minen dan blijkt dat er van deze 1785 inkoopfacturen 191 inkoopfacturen zijn waarbij sprake is van een afwijking in de hoeveelheid artikelen en bij 142 inkoopfacturen blijkt er sprake te zijn in een afwijking van de prijs. Op zich kan dat gebeuren dat er afwijkingen optreden in de hoeveelheid en/of prijs. 29

30 Dit zal over het algemeen aanleiding zijn tot nader onderzoek. Op basis van de resultaten van het onderzoek die een plausibele verklaring geven voor de afwijking kan alsnog tot goedkeuring van de factuur worden overgegaan. Wat meer zorgen baart is het feit dat er in 149 gevallen sprake is van betaling van de inkoopfactuur zonder dat deze door een bevoegde functionaris is geautoriseerd. Zie bijlage 6. Het blijkt dat er van deze 149 inkoopfacturen 17 zijn goedgekeurd door het hoofd crediteuren, 4 zijn er goedgekeurd door de medewerkers crediteuren en 128 zijn goedgekeurd door een automatische controle (application control) in het systeem. Zie bijlage 7. Ook voor deze afwijkingen van de normale procedure geldt dat de accountant deze zal bespreken met zijn opdrachtgever en indien nodig aanvullende onderzoek zal verrichten. Met name de geprogrammeerde controles verdienen zijn aandacht. Resumerend: Autorisatie factuur procedure Aantal Controle facturen via Three-way match Autorisatie inkoop factuur door bevoegde functionaris Geen autorisatie door bevoegde functionaris 149 Waarvan: Geautoriseerd door systeem (application control) 128 Geautoriseerd door hoofd crediteuren 17 Geautoriseerd door medewerker crediteuren 4 30

31 3.6. Samenvatting en conclusie In de voorgaande paragrafen (paragraaf 3.1. tot en met 3.4) is de case studie met betrekking tot process mining op het inkoopproces bij een productiebedrijf (Cool Product BV) nader uitgewerkt. In paragraaf 3.2 is ingegaan op de overwegingen die hebben geleid om te opteren voor de gekozen methodologie. Yin [Yin1994] stelt dat de onderzoeksmethodologie afhankelijk is van het type onderzoeksvraag. Voor de beantwoording van de hoe-vraag is een case studie uitgevoerd met een kwalitatieve empirische aanpak. In paragraaf 3.3 is daarna aangegeven op welke wijze de data is verzameld die gebruikt is voor de uitvoering van de case studie. Het blijkt dat het in de praktijk nog niet zo eenvoudig is om een bruikbare eventlog te genereren zonder hiervoor (op dit moment) aanzienlijke kosten te moeten gaan maken. Voor de uitvoering van de case studie is gebruik gemaakt van een database waarin het inkoopproces van een productiebedrijf is vastgelegd. De database is ter beschikking gesteld door het accountantskantoor Coney uit Halfweg. Paragraaf 3.4 geeft vervolgens een korte beschrijving van de werking van het pakket perceptive software waarmee de case studie praktisch is uitgevoerd. Binnen het pakket is gebruik gemaakt van de mogelijkheid van de fast miner. De fast miner geeft inzage in de mogelijke paden die door de cases worden doorlopen in de eventlog. In paragraaf 3.5 is de daadwerkelijke uitvoering van de case studie vastgelegd. Uit het onderzoek blijken een aantal afwijkingen tussen Ist-Positie van het inkoopproces en de Soll-positie van het inkoopproces. Wanneer we de bevindingen van de case studie terugkoppelen naar de beschrijving van de theorie in hoofdstuk 2 dan vallen de volgende zaken op. Het verkrijgen van een bruikbare eventlog uit het systeem tegen acceptabele kosten blijkt in de praktijk niet eenvoudig (zie paragraaf 3.3 Dataverzameling). Dit is een bevestiging van hetgeen M. Haasnoot-Bezverhaya [HAAS2012-2] in haar artikel beschrijft. In dit artikel noemt zij een aantal moeilijkheden die de techniek van process mining met zich meebrengt. Eén van deze knelpunten is dat de kosten die gemoeid zijn met het construeren van een eventlog vanuit de bronsystemen kunnen oplopen. De bevindingen uit de case study bevestigen haar mening. In het artikel van M. Werner [WERN2012] trekt hij de volgende conclusie. Door middel van een geautomatiseerde en systeem gerichte analyse, die vervolgens visueel wordt weergegeven, worden IT auditors in staat gesteld om efficiënter om te gaan met de complexiteit van geïntegreerde processen en interne controles. Wanneer we deze conclusie naast de bevindingen van de case study leggen dan kunnen we inderdaad concluderen dat het door visualisatie van de bedrijfsprocessen (zie bijlage 3) eenvoudiger wordt om deze processen te doorgronden. Process mining blijkt hierdoor een geschikte visualisatie te kunnen bieden voor de IT-auditor om knelpunten te signaleren. Hakvoort en Sluiter [HAKV2008] vervolgens zijn in hun artikel het volgende van mening. Competentietabellen en functiescheiding zijn nog steeds noodzakelijk om een bepaald niveau van zekerheid te realiseren. Uit de case study komt naar voren dat er bij de Threeway match procedure en de autorisatie factuur procedure meerdere functionarissen zijn betrokken (zie de tabellen op de bladzijden 29 en 30). De vraag die hierbij gesteld kan worden is of dit de bevoegde functionarissen zijn die geautoriseerd zijn om bepaalde 31

32 handelingen te mogen verrichten. Vanuit dat licht bezien hebben Hakvoort en Sluiter een punt. Van der Aalst [AALST2010-1] tenslotte is van mening dat door het toepassen van process mining het werk van de IT auditor in relatie tot de jaarrekening controle drastisch zal veranderen. Het is inderdaad zo dat door het toepassen van process mining er een efficiency slag kan gaan plaatsvinden en ook is het zo dat bedrijfsprocessen beter te doorgronden zijn. Maar basale accountantscontroles zoals het beoordelen van de opzet en het bestaan van de administratieve organisatie en interne controle blijven bestaan. Naar mijn mening zal door het toepassen van process mining het werk van de IT auditor in relatie tot de jaarrekening controle de nodige veranderingen met zich meebrengen. Enige nuance ten opzicht van het gehanteerde woord drastisch is dus op zijn plaats. 32

33 4. Expert Interviews 4.1. Inleiding Voor een nadere toetsing van de in hoofdstuk 1 Inleiding gedefinieerde probleemstelling: Hoe kan process mining de accountant ondersteunen bij de jaarrekening controle? is een aantal ervaringsdeskundigen i.e. experts geraadpleegd. Met ervaringsdeskundige wordt in dit verband bedoeld dat de experts ervaring hebben met de mogelijkheden die process mining biedt. Een aantal van de deskundigen is actief bezig met de toepassing van process mining in de accountantspraktijk. In paragraaf 4.2 wordt toegelicht hoe de selectie van deze deskundigen heeft plaatsgevonden. Vervolgens worden in paragraaf 4.3 de vragen die tijdens het interview met de deskundigen zijn besproken nader uitgewerkt. Waarna in paragraaf 4.4 de resultaten van de interviews worden besproken. In paragraaf 4.5 tenslotte vindt een analyse plaats van de interview resultaten. Het hoofdstuk wordt in paragraaf 4.6 afgesloten met een samenvatting en conclusie. In deze paragraaf worden ook de laatste 2 deelvragen uit paragraaf 1.2 beantwoord Selectie te interviewen experts De samenstelling van de te interviewen deskundigen is zodanig gekozen om een breed toetsingskader te krijgen. Derhalve is gekozen voor een aantal deskundigen die zich bezig houden met het ontwikkelen en beheren van pakketten voor accountants. Dit betreffen drs. Tom Koning RA (TK), Johan Hermans (JH), Michiel Wijma (MW) en drs. Johan Wildenbeest RA (JW). Voorts een deskundige uit de audit praktijk mevrouw drs. Angelique Koopmans RE RA (AK). En tenslotte twee deskundigen op het gebied van IT controle. Dit zijn Jack van Crooij RE (JC) en Danial Khalesi RE (DK). De geselecteerde deskundigen hebben door hun ervaring met process mining het vermogen om de mogelijke toepassing van process mining bij de jaarrekening controle van nader commentaar te voorzien. Voor een beknopte achtergrond van de experts verwijs ik naar bijlage 8 Achtergrond expert interviews en data interviews Interview vragen Na een korte introductie van het onderwerp process mining en een korte toelichting op de probleemstelling van deze scriptie aan de experts zijn de interviewvragen met de deskundigen doorgenomen. Voor de vragen die aan de orde zijn geweest wordt verwezen naar bijlage 9 Vragenlijst referaat process mining. Bij een aantal van de vragen die zijn gesteld aan de experts is een korte toelichting opgenomen. De toelichting is met name opgenomen om de vraag te scopen. De resultaten van de interviews zijn hierna in paragraaf 4.4 verder uitgewerkt. Het gebruik van ( ) bij de uitwerking van de interviews geeft aan dat er sprake is van een letterlijke weergave van hetgeen de expert heeft geantwoord. 33

34 4.4. Resultaten van de interviews In deze paragraaf worden de reacties van de expert interviews op de vragenlijst scriptie process mining per deelvraag vastgelegd. Voor de leesbaarheid van deze paragraaf worden de vragen kort herhaald. Vraag 1: Hoe definieert u process mining? De experts hebben allemaal een andere definitie van process mining. Als definitie van process mining worden successievelijk gebruikt: Het digitale spoor zoeken met als doel om bestaan en werking van een proces zichtbaar te maken (JC), Een eventlog zonder dat je meteen weet waar je naar je op zoek bent analyseren. Om te zoeken naar zaken die buiten de normale routine zijn gegaan (TK), Process mining is dat je op basis van data uit systemen en gebeurtenissen een process model visualiseert. En vervolgens het toetsen van het proces aan van tevoren gedefinieerde normen (AK), Uitgangspunt is een vooraf gedefinieerd proces en hoeveel procent houdt zich vervolgens aan dat vooraf gedefinieerde proces (JH), Hoe lopen de processen door de systemen en vervolgens zijn er deviaties geweest ten aanzien van de norm (JW) en tenslotte Process mining stelt ons in staat door middel van techniek, algoritme en tools op feiten gebaseerde analyses uit te voeren om gericht processen te kunnen verbeteren (DK). Vraag 2: Welke alternatieven heeft de IT auditor naar uw mening om gebruikershandelingen in relatie tot het inkoopproces alsnog te auditen op onbevoegde handelingen? Het uitgangspunt bij deze vraag is dat er geen event log van het inkoopproces beschikbaar is. Door de experts worden verschillende mogelijkheden benoemd die hierna worden uiteengezet. Als je als auditor niets hebt dan moet je helemaal terug naar het papieren proces van het aftekenen. Dus wat wordt door het bedrijf op het document aan handtekeningen en stempels gezet. In de situatie dat het systeem niets logt/of niet sequentieel is dan moet je terug naar de basis (JC). Het kan ook worden opgelost aldus een van de experts door te zoeken naar karakteristieken van transacties. Dit wordt nader toegelicht met het volgende voorbeeld. Stel je hebt inkoopregels en je hebt staan het moment van bestelling, de prijs per stuk, het aantal stuks en het product wat ingekocht is dan kan je gaan kijken zie ik ergens opvallend kleine inkopen tegen heel hoge prijzen die vreemd lijken. Ofwel bestandsanalyse (TK). Deze mogelijkheid wordt ook door een van de andere experts onderschreven. Van belang is dan wel de logische toegangsbeveiliging (hoe steekt dat in elkaar) en de mutatie van stambestanden (wie kan dat doen). Daarnaast moet je je als auditor realiseren dat je niet alles met data analyse kan doen. Je zult ook aanvullende deelwaarnemingen moeten uitvoeren (AK). Voorts wordt de optie onderkend dat je de eventlog gaat reproduceren. Van belang is dan wel dat er een chronologie zit in de inkooporderstroom. Je wilt namelijk vaststellen dat het proces gelopen is zoals het zou moeten lopen (JH). Dit wordt onderschreven door een van de andere experts. Hij benadrukt daarbij dat je deze informatie in essentie uit de databasetabellen kunt afleiden. Probleem met al dit soort data uit de databasetabellen is wel hoe krijg ik de data kwaliteit goed. De analyse is namelijk maar 20% van het geheel. De overige 80% gaat zitten in de kwaliteit van de data (JW). Tenslotte wordt als oplossing gegeven het onderzoeken van welke geautomatiseerde beheersmaatregelen in het inkoopproces zitten. De werking van deze geautomatiseerde beheersmaatregelen dient dan getoetst te worden (DK). 34

35 Vraag 3a: Welke informatie wilt u terug zien in de eventlog in het kader van de jaarrekeningcontrole? Het uitgangspunt bij deze vraag is dat er wel een event log van het inkoopproces beschikbaar is. De meeste experts geven aan dat de event log doorlopend (sequentieel) genummerd moet zijn. Voorts worden meermalen genoemd de unieke gebruiker-/case ID, de datum en de tijd. Bij datum kan dan gedacht worden aan document datum en aanmaakdatum. Vraag 3b: Indien de gewenste informatie niet beschikbaar is wat is er dan naar uw mening nodig om deze gegevens voor toekomstige gevallen wel beschikbaar te hebben? Het uitgangspunt bij deze vraag is dat er wel een event log van het inkoopproces beschikbaar is. Op deze vraag worden verschillende mogelijkheden genoemd door de experts. De antwoorden komen in redelijke mate overeen. Onder andere de mogelijkheid van parametrisering van het systeem wordt genoemd (JC). Simpel gezegd: je zet een aantal vinkjes en dan gaat er een eventlog draaien. En anders overleg met de leverancier. Wat kan die faciliteren (JC). In het MKB kom je vaak een SQL data base tegen en die heeft van zichzelf al behoorlijk wat logging. In de praktijk zie je wel vaak dat de logging door de leverancier of de gebruiker om performance redenen wordt uitgezet (JC). Vraag 4a: Welke functionarissen binnen en buiten de organisatie dienen met elkaar samen te werken om te komen tot een zo goed mogelijke toepassing van process mining in het kader van de jaarrekening controle en welke rol vervullen de betreffende functionarissen in dat samenwerkingsproces. Alle experts zijn het er over eens dat de volgende functionarissen met elkaar dienen samen te werken. De procesverantwoordelijke. In het geval van de vraagstelling degene die verantwoordelijk is voor de inkopen. Vaak zal dit het hoofd inkoop zijn die moet toelichten hoe het inkoopproces werkt. Deze functionaris zal dan ook informatie moeten geven over onder andere statuscodes, uitzonderingscodes en reeksen met factuurnummers die je niet zondermeer in je data analyse moet betrekken. De controller als hoofdverantwoordelijke van het financiële proces. Hij is vaak degene die het totaal overzicht heeft in de geldgoederen beweging waarvan het inkoopproces onderdeel uitmaakt. De data analist heb je nodig om de gegevens uit het systeem te herleiden (JH). De accountant (of een van zijn assistenten) die met een kritische blik naar de uitkomsten van het process minen kijkt om de eventuele consequenties voor zijn controle te destilleren. De accountant moet ook vaststellen dat de verkregen event logs als controle informatie kunnen worden gebruikt. Sterker nog de accountant moet erbij zitten als de eventlogs worden gegenereerd. Voorts wordt aangegeven dat ook degene die de database heeft ontworpen (vanuit de kant van de software leverancier) een rol kan spelen. Zij weten namelijk hoe de database in elkaar zit en zij weten ook hoe je de gegevens uit de database kunt uithalen (JC). Vraag 4b: In welke mate zijn de mogelijkheden van proces mining te gebruiken bij de algemene jaarrekening controle? Voor welke onderdelen in het audit programma is process mining het best toepasbaar? En voor welke onderdelen in het auditprogramma is process mining slecht of niet van toepassing? Alle experts zijn het er over eens dat je process mining kunt inzetten bij de controle van de jaarrekening. Er is wel een aantal randvoorwaarden. Het is namelijk niet zo dat je als accountant process mining zonder meer kunt implementeren als controle tool. Je moet het zien als een groeiproces (JC). Dus in jaar één starten met het in kaart brengen van de 35

36 tekortkomingen en dan vervolgens in jaar twee kijken hoe het proces nu feitelijk loopt en welke gevolgen heeft dat voor mijn controleverklaring. Belangrijk is dat je de klant meeneemt in de cyclus en dat je de klant gedurende het proces kan overtuigen om ook zelf process mining te gaan gebruiken in het kader van proces optimalisatie. Het moet namelijk niet zo zijn dat process mining alleen wordt gebruikt voor de controle. De klant zal er dan minder waarde aan hechten dan in het geval de toepassing van process mining ook voor hem profijt op levert. Het moet dus gaan om een win-win situatie. De meeste kansen voor het inzetten van process mining in het auditprogramma worden gezien als process mining wordt ingezet bij de controle van transactie gerelateerde processen. Hierbij moet worden gedacht aan het inkoopproces en het verkoopproces en in mindere mate het productieproces. Maar ook bij access controles is de inzet van process mining niet ondenkbaar. Hierbij moet je dan denken aan het autoriseren van logische toegangsbeveiliging. Er wordt ook opgemerkt dat je met process mining veel meer zekerheid kunt verkrijgen dan het selecteren van 25 facturen. Je ziet namelijk veel meer met process mining. Uitgangspunt hierbij is wel dat er sprake is van een materiële hoeveelheid inkoopfacturen. Vooral bij de interim controle waar de verschillende processen worden getoetst op opzet, bestaan en de werking is process mining goed in te zetten als controle tool. Uitgangspunt blijft wel dat er sprake is van een primaire basis vastlegging in het systeem. In dit verband wordt tevens opgemerkt dat je prima het proces (in dit geval het inkoopproces) kunt visualiseren. Alleen heb je dan nog geen onderliggende factuur gezien. Van belang bij de controle van de inkopen is onder andere of de inkoopfacturen wel ten naam zijn gesteld. De vraag is dan hoe ga je daar mee om. Allemaal zaken die je wel in je dossier moet vastleggen (AK). 36

37 4.5. Analyse van de interview resultaten De analyse van de interview resultaten geeft aanleiding tot de volgende constateringen waarbij zoveel mogelijk de relatie wordt gelegd met hetgeen hierover in de literatuur is gepubliceerd. 1. De definities zoals die worden gehanteerd door de experts komen in grote lijnen overeen met de definitie zoals die wordt gehanteerd in paragraaf 2.2 Eventlog van deze scriptie en dan het cursief gedrukte deel The basis idea of process mining a vivid research area. Alle experts zijn het er over eens dat het gaat om het zoeken naar de digitale sporen die bedrijfsprocessen achterlaten in het informatiesysteem. Om vervolgens op basis van de data uit het informatiesysteem een procesmodel te visualiseren. Nadat het proces model is gevisualiseerd kan het worden getoetst aan vooraf gedefinieerde normen. Een van de experts geeft aan dat de eerste zin uit de gehanteerde definitie van process mining in paragraaf 2.2 enige nuance behoeft (AK). De betreffende zin luidt: The basic idea of process mining is to extract knowledge from event logs recorded by an information system. Deze zin suggereert dat je een eventlog zonder problemen zo uit het system kunt destilleren. De praktijk is echter weerbarstiger. Volgens haar heeft SAP hier wel een functionaliteit voor. De toepassingen op dit gebied voor de MKB praktijk zijn echter nog niet zover. Voor je dan kunt gaan extracten dient er eerst nog een bewerkingsslag plaats te vinden. Eerst moet met data analyse tooling een eventlog worden gemaakt. Die eventlog is vervolgens de basis om in te lezen in een process mining tool. 2. De genoemde alternatieven om gebruikershandelingen in relatie tot het inkoopproces alsnog te auditen op onbevoegde handelingen waarbij er sprake is van het ontbreken van een eventlog van het inkoopproces komt samengevat op twee alternatieven neer. Aan de ene kant wordt het opgelost door gebruik te maken van data analyse. Voorwaarde hierbij is een adequate logische toegangsbeveiliging en aan de andere kant wordt de optie onderkent dat de eventlog wordt herbouwd. Het zijn de pakketontwikkelaars die voor de laatst genoemde optie opteren. Met name de oplossing tot het herbouwen van de eventlog zoals die genoemd wordt door de pakketontwikkelaars wijkt af van de theorie. In de artikelen die in paragraaf 2.6 aan de orde zijn gekomen zie je deze optie niet terug. Het lijkt er dus op dat de pakketontwikkelaars die in het expert panel zitten via een omweg alsnog aan de benodigde gegevens denken te kunnen komen. 3a. Over de gewenste informatie die men wil terug zien in de beschikbare eventlog in het kader van de jaarrekening controle bestaan vrijwel geen verschillen. Belangrijke elementen zijn: doorlopende (sequentiële) nummering, unieke gebruiker/case ID, datum en de tijd. Dit zijn ook de elementen die terugkomen in de theoretische verhandeling over de eventlog in paragraaf 2.3. De betreffende elementen kunnen worden geschaard onder het begrip metadata dat in deze paragraaf wordt genoemd. 3b. Indien de onder 3a gewenste informatie niet aanwezig is terwijl er wel sprake is van een beschikbare eventlog dan worden de volgende opties genoemd om in toekomstige gevallen toch te kunnen beschikken over de gewenste informatie. 37

38 Diverse malen wordt de mogelijkheid van parametrisering genoemd. Je moet het systeem dan zodanig programmeren dat vanuit de database de eventlog wordt gevuld. Voorts wordt het gebruik van een SQL database met logging genoemd. Voorwaarde is wel dat de logging aan staat. 4a. De experts zijn het er nagenoeg unaniem over eens dat de volgende functionarissen samen dienen te werken om tot een zo goed mogelijke toepassing van process mining in het kader van de jaarrekening controle te komen. De key personen zijn: de procesverantwoordelijke (hoofd inkoop in dit geval), de controller (is meestal de binnen het bedrijf financieel verantwoordelijke), de data analist (ingezet vanuit de accountantsorganisatie), de accountant. Voorts wordt ook de leverancier een aantal malen genoemd vanwege de kennis van de database waar het bedrijf gebruik van maakt. In [KOOP2014] en [HAAS2009-1] worden de hierboven genoemde key-personen eveneens aangehaald als de key-personen die moeten samen werken bij het gebruik van process mining in de auditpraktijk. Praktijk en theorie zitten hier dus op één lijn. 4b. De mogelijkheden om process mining te gebruiken bij de jaarrekening controle worden door alle experts onderkend. Het is echter niet zo dat het een kwestie is van we gaan vanaf heden process mining toepassen bij de jaarrekening controle. Het moet meer gezien worden als een groeiproces. Belangrijkste voorwaarde is dat cliënt het nut inziet van het gebruik van process mining bij de jaarrekening controle De experts geven aan dat het toepassen van process mining bij de jaarrekening controle ook verkocht dient te worden als een tool om te komen tot proces optimalisatie. Als het de cliënt duidelijk is dat de inzet van process mining ook een bijdrage kan leveren aan de optimalisatie van zijn processen dan zal de cliënt eerder bereid zijn om hier voor te betalen en de cliënt zal ook eerder bereid zijn om mee te werken aan de implementatie van het gebruik van process mining bij de jaarrekening controle. Ook Van der Aalst [AALST2010-1], [HAAS2009-1], [JANS2010-1], [GEHRKE2010] en [WERN2012] zijn vanuit hun theoretische beschouwingen van mening dat process mining kan worden ingezet bij de jaarrekening controle. 38

39 4.6. Samenvatting en conclusies Om te kunnen komen tot een beantwoording van de primaire onderzoeksvraag Hoe kan process mining de accountant ondersteunen bij de jaarrekening controle zijn in de inleiding een aantal deelvragen afgeleid. Voor de beantwoording van de eerste twee deelvragen wordt verwezen naar Paragraaf 2.7 Samenvatting en conclusies. De beantwoording van de resterende twee deelvragen wordt beantwoord in dit hoofdstuk. Hiervoor is in hoofdstuk 3 in paragraaf 3.5 een case studie uitgewerkt. In hoofdstuk 4 zijn de bevindingen van het interview met deskundigen vastgelegd. De derde deelvraag luidt: In welke mate is de vereiste data die benodigd is voor process mining beschikbaar? Bij de uitvoering van de case studie die was gericht op het inkoopproces van het productiebedrijf Cool Products BV is gebruik gemaakt van een database van Coney. De gegevens met betrekking tot het inkoopproces van Cool Products BV waren in deze database opgeslagen en dus beschikbaar. In eerste instantie was het de bedoeling om voor het toepassen van de case studie gebruik te maken van de aangeleverde database van een zakelijke relatie van de schrijver van dit referaat. Het was echter niet mogelijk om een bruikbare event log te destilleren uit het systeem tegen acceptabele kosten. Het voorgaande wil niet zeggen dat de vereiste data niet beschikbaar was om de casestudy uit te voeren. Het probleem zat m vooral in het prepareren van een bruikbare eventlog tegen acceptabele kosten. Uit de interviews met de deskundigen is naar voren gekomen dat het ontbreken van een eventlog geen probleem behoeft te zijn om alsnog process mining toe te passen. Met name zij die expertise hebben in het bouwen van administratieve pakketten geven aan dat je een eventlog ook kunt reconstrueren. Van belang is dan wel dat er een chronologie zit in de inkooporderstroom. Je wilt namelijk vast stellen dat het proces gelopen is zoals het zou moeten lopen. De vierde en tevens laatste deelvraag luidt: In welke mate zijn de mogelijkheden van process mining toepasbaar in de accountantspraktijk? Zoals hiervoor reeds vermeld is bij de case studie ingezoomd op het inkoopproces van het productiebedrijf Cool Products BV. Met betrekking tot dit inkoopproces is vervolgens verder ingezoomd op de volgende twee werkprocessen. Het eerste werkproces betreft het proces waarbij de ontvangen inkoopfacturen onderworpen dienen te worden aan een Three-way match en het tweede werkproces betreft de goedkeuring van de inkoopfactuur. Wanneer process mining wordt gebruikt om deze werkprocessen te minen dan blijkt dat er voor beide werkprocessen afwijkingen worden geconstateerd ten opzichte van de gewenste procedure die met het werkproces samenhangt. Voor de controlerend accountant zijn dit de afwijkingen waar hij zich in eerste instantie op richt. Hij is vooral geïnteresseerd in de verklaring die wordt gegeven voor deze afwijking. Het panel van experts is het er over eens dat process mining prima kan worden ingezet bij de jaarrekening controle. Process mining is toepasbaar bij de controle van meerdere bedrijfsprocessen zoals het inkoopproces, het verkoopproces en het productie proces. Ook toepassing bij access controls behoort tot de mogelijkheden. Wel is men van mening dat je de cliënt meekrijgt. Dat wil zeggen dat de klant het nut moet inzien van het toepassen van process mining bij de uitvoering van de accountantscontrole. De accountant kan dit volgens 39

40 de experts realiseren door de cliënt bewust te maken van het feit dat process mining kan bijdragen tot process optimalisatie. Zodra de cliënt hier in mee gaat ontstaat er een win-win situatie voor zowel de accountant als de cliënt. 40

41 5. Conclusie en aanbevelingen In dit referaat ben ik op zoek gegaan naar een antwoord op de volgende vraag: Hoe kan process mining de accountant ondersteunen bij de jaarrekening controle. Hiertoe is in hoofdstuk twee ingegaan op de betekenis van process mining alsmede de kennis die kan worden verkregen door het toepassen van process mining. Process mining gaat over het analyseren van event-data in de context van processen. Hierbij is het van belang dat binnen process mining een onderscheid wordt gemaakt naar de volgende analysetechnieken; process discovery, conformance checking en extension. De genoemde technieken zijn er op gericht om vanuit de beschikbare eventlogs te komen tot een beschrijving en/of visuele vastlegging van de processen zoals die in werkelijkheid plaatsvinden. Voor de toepassing van process mining bij de jaarrekening controle is het primair van belang voor de accountant dat hij de beschikking heeft over een bruikbare event log. De event log moet daarbij een totaal beeld geven van het te onderzoeken proces in de gewenste tijdsperiode. In de eventlog moeten daarnaast de benodigde gegevens zijn vastgelegd om te kunnen minen. Uit de geraadpleegde artikelen waarin over process mining wordt geschreven blijkt dat niet alle schrijvers het eens zijn over de mogelijkheden van het toepassen van process mining in het kader van de jaarrekeningcontrole. De meningen variëren van de toepassing van process mining in het kader van de jaarrekening controle beïnvloedt het werk van de IT auditor wezenlijk tot er moet wel sprake zijn van primaire functiescheidingen om zo een bepaald niveau van zekerheid te realiseren. In hoofdstuk drie is vervolgens ingegaan op de beschikbaarheid van data die benodigd is om process mining te kunnen toepassen in de accountantspraktijk. De data verkrijgen is niet het belangrijkste probleem. Waar men in de praktijk vooral tegen aanloopt is het feit dat er een bruikbare event log moet worden gegenereerd. Hiervoor is van belang dat er een bruikbare database beschikbaar is van waaruit de event log wordt gegenereerd. De ervaring leert dat dit de nodige kosten met zich meebrengt. Daarnaast is expertise op het gebied van bestandsanalyse vereist om de event log te prepareren. Inzet van een data analist is in dit verband essentieel. Op dit moment is er al reeds speciale software beschikbaar waarmee process mining wordt toegepast in de accountantspraktijk. Door het minen van werkprocessen beoordeelt de accountant of de werkprocessen afwijkingen vertonen van de gewenste procedures die met de werkprocessen samenhangen. Aan de hand van de bovenstaande problematiek zijn in hoofdstuk vier een viertal vragen met sub vragen geformuleerd die in de vorm van een interview zijn besproken met de geselecteerde ervaringsdeskundigen op het gebied van process mining. De algemene conclusie van de ervaringsdeskundigen is dat je process mining prima kunt inzetten bij de controle van de jaarrekening. Er zijn wel een aantal randvoorwaarden voor je gebruik kunt maken van process mining. Dit zijn de volgende randvoorwaarden. In de eerste plaats moet een event log beschikbaar zijn waarin een aantal basale gegevens beschikbaar zijn. Belangrijke gegevens zijn: een doorlopende (sequentiële) nummering, unieke gebruiker/case ID, datum en de tijd. 41

42 Voorts moeten de volgende functionarissen met elkaar samenwerken bij process mining. De procesverantwoordelijke, de controller, de data analist en de accountant. En last but not least is het belangrijk dat de cliënt het nut inziet van het gebruik van process mining bij de jaarrekening controle. Op basis van hetgeen in dit referaat is geschreven over process mining kan de conclusie worden getrokken dat process mining de accountant kan ondersteunen bij de jaarrekening controle. De uitkomsten van het process minen geven de accountant namelijk extra inzicht in de werkprocessen. Daarnaast gebruikt de accountant de uitkomsten van het process minen bij zijn risico analyse en bij het maken van de juiste keuzes in zijn controleaanpak. Om van de toepassing van process mining in de praktijk een succes te maken kunnen de volgende aanbevelingen in overweging worden genomen. Allereerst kan worden overwogen om in het curriculum van de externe accountant en het curriculum van de IT-auditor aandacht te besteden aan het onderwerp process mining. Dit kan dan plaatsvinden in de vorm van theoriecolleges over het onderwerp aangevuld met gastcolleges over het onderwerp door ervaringsdeskundigen uit de praktijk. Om de behoefte op dit gebied te inventariseren is nader onderzoek op dit gebied binnen de beroepsgroep van zowel accountants als IT-auditors aan te bevelen. Voorts is het van belang dat door de NBA (Koninklijke Nederlandse Beroepsorganisatie van Accountants) en de NOREA (de beroepsorganisatie van IT-auditors) cursussen worden ontwikkeld op het gebied van process mining. Om zo de kennis op dit gebied te vergroten. Door Coney BV (reeds eerder genoemd in dit referaat) worden reeds in samenwerking met de NBA cursussen op het gebied van process mining gegeven. Tevens moet het gebruik van process mining worden ingebed in een systematiek van kwaliteitsbeheersing, zoals vastgelegd in de standaarden en richtlijnen van de NBA en de NOREA. Hierbij kan bijvoorbeeld worden gedacht aan vastlegging van aanpak, werkwijze en tussenresultaten, testen van de process mining toepassing en afstemming van tussenresultaten en bevindingen [HAAS2009-1]. Tenslotte zijn er mogelijkheden voor de Universiteit om onderzoek op het gebied van process mining te promoten. Zoals reeds eerder aangegeven in paragraaf 2.6 wordt er vanuit de Technische Universiteit Eindhoven al veel over het onderwerp gepubliceerd. Veel van deze publicaties echter gaan in op het mathematische aspect van process mining. Het praktische aspect van process mining is minder terug te vinden in de onderzochte publicaties. In dit referaat is het praktische aspect van process mining aan de orde gekomen. Het blijkt dat de toepassing van process mining als tool bij de jaarrekening controle reeds wordt ingezet. Interessant om te weten is of process mining daadwerkelijk een bijdrage levert aan het daadwerkelijke ontdekken van onbevoegde handelingen van functionarissen. Een vervolgonderzoek kan hier een interessante bijdrage aan leveren. 42

43 Literatuurlijst Geraadpleegde literatuur [AALST2010-1] Aalst W.M.P. van der, Hee, M. van, Werf, J.M.E.M. van der, Verdonk, M.C. (2010). Auditing 2.0: Using process mining to support tomorrow s auditor. Computer, 43(3), P [AALST2011-2] Aalst W.M.P. van der, (2011). Process mining Discovery, Conformance and Enhancement of Business Processes. Springer-Verlag Berlin Heidelberg (ISBN ). [AALST2012-3] Aalst W.M.P. van der, (2012). Process mining. Communications of the ACM. P [AALST2015-4] Aalst W.M.P. van der, Koopman A. (2015). Process mining: data analytics voor de accountant die wil weten hoe het nu echt zit. MAB. P [AALST-5] Aalst W.M.P. van der., [ALLES2011] Alles M., Jans M., Vasarhelyi M., (2011). Process mining: a new research methodology for AIS. CAAA Annual Conference [DONGEN2005] Dongen B.F. van, Van der Aalst W.M.P. (2005). A meta model for process mining data. In J. Castro and E. Teniente, editors. Proceedings of the CAiSE 05 Workshops (EMOI-INTEROP Workshop), Vol. 2. P [GEHRKE2010] Gehrke N., Müller-Wickop N. (2010). Basic principles of financial process mining A journey through financial data in accounting information systems. Americas conference on information systems 2010 Proceedings. Paper 289. [HAAS2009-1] Haasnoot-Bezerhaya M., Caron E. en Goeyenbier P. (2009). Naar een softwarematige analyse van bedrijfsprocessen voor auditing. Process mining als gereedschap voor (IT-)auditors. De EDP-auditor (2-2009). P [HAAS2012-2] Haasnoot-Bezerhaya M. (2012). Lessons learned bij toepassing van process mining. De IT-auditor (3-2012). P [HAAS2013-3] Haasnoot-Bezerhaya M. (2013). Controleerbaarheid en kwaliteit van event logs. Verbetering controleerbaarheid van geautomatiseerde processen. De IT-auditor (2-2013). P [HAKV2008] Hakvoort R., Sluiter A. (2008). Process mining: conformance analysis from a financial audit perspective. Int. J. Business Process Integration and Management. P [JANS2010-1] Jans M., Alles M., Vasarhelyi M. (2010). Process mining of event logs in auditing: opportunities and challenges. Available at SSRN: or [JANS2011-2] Jans M., Alles M., Vasarhelyi M. (2011). Process mining of event logs in internal auditing: a case study. In: 2 nd International symposium on accounting information systems, Rome

44 [JANS2012-3] Jans M., Alles M., Vasarhelyi M. (2012). The case for process mining in auditing: Sources of value added and areas of application. International Journal of Accounting Information Systems. P [KLOOS2013] Kloosterman H., Snoeker R. (2013). Informatietechnologie en interne beheersing (deel 1). De IT-auditor (2-2013). P [KOOP2014] Koopman A.J.M., Kok P. de. (2014). Process mining: leuk voor de liefhebber of noodzaak?. Informatie 6/ P [PERC2014] Lexmark International (2014). Perceptive Process Mining. Getting Started Guide. Process Mining Version 2.5. P [REIS1998] W. Reisig, G. Rozenberg (eds). (1998). Lectures on Petri Nets I: Basic Models, Lecture Notes in Computer Science. vol. 1491, Springer-Verlag, Berlin, [VERSCH2007] Verschuren P., Doorewaard H. (2007). Het ontwerpen van een onderzoek. Vierde druk, Boom Lemma Den Haag, (ISBN ). [WERN2012] Werner M., Gehrke N., Nüttgens M. (2012). Business Process Mining and reconstruction for financial audits. 45 th Hawaii International Conference on system sciences. [Yin1994] Yin R.K., (1994). Case Study research: Design and Methods. Sage. 44

45 Bijlagen 1 Inkoopproces van het productiebedrijf Cool Products B.V. 2 Nadere toelichting op het inkoopproces van Cool Products B.V. 3 Inkoopproces van het productiebedrijf CoolProducts B.V. (Ist-positie) 4 Aantal facturen zonder Three-way match 5 Rollen bij de Three-way match 6 Betaling inkoopfacturen zonder autorisatie door de bevoegde functionaris 7 Rollen bij de autorisatie inkoopfactuur procedure 8 Achtergrond expert interviews en data interviews 9 Vragenlijst referaat process mining 45

46 Bijlage 1: Inkoopproces van het productiebedrijf Cool Products B.V. 46

47 Bijlage 2 Nadere toelichting op het inkoopproces van Cool Products B.V. Deze beschrijving is vastgelegd met toestemming van Coney B.V. Cool Products B.V. Cool Products B.V. (hierna Cool) is een productiebedrijf en heeft zich gespecialiseerd in het bouwen van koelelementen. Cool produceert voor 99% op order. Zonder order geen productie en dus geen verkoop. Algemeen De activiteiten van Cool zijn onder te verdelen in vier hoofdprocessen: 1. Inkoop 2. Productie (blijft verder buiten beschouwing in deze scriptie) 3. Logistiek (idem) 4. Verkoop (idem) Cool heeft met succes een ERP-pakket onder de naam COOL+ geïmplementeerd. 1. Inkoop Het inkoopproces start op het moment dat een offerte door een klant is goedgekeurd. Met een orderaanvraag geeft de klant aan welk type koeling en aantallen gewenst zijn. Deze offerte wordt opgesteld in COOL+ door een medewerker Calculatie. De offerte omvat materialen en man- en machine-uren. De prijscomponent voor materialen in de offerte is een zogenaamde automatische variabele. Calculatieprijzen zijn gekoppeld aan inkoopprijzen. De inkoopprijzen zijn vastgelegd in tabellen in COOL+. Met verschillende leveranciers bestaan raamcontracten. Voor de benodigde man- en machine uren bevat COOL+ een vaste tarieventabel, die éénmaal per jaar wordt aangepast. Na goedkeuring van de offerte door de klant maakt klant COOL+ automatisch een productieopdracht aan. Op basis van deze productieopdracht wordt een inkooporder gegenereerd. Het systeem COOL+ bepaalt automatisch wat ingekocht dient te worden en bij welke leverancier. Het is mogelijk dat inkooporders handmatig moeten worden aangepast omdat de leverancier andere prijzen terug bevestigt dan is opgenomen in het raamcontract en dus in COOL+. Afwijkingen zijn toegestaan omdat marktprijzen van materialen fors kunnen fluctueren op de wereldmarkt. COOL+ geeft een signaal ingeval de werkelijke inkoopprijzen sterk afwijken van de inkoopprijs volgens de offerte en dus de productieopdracht. Hoofd inkoop moet de afwijkingen groter dan 10% autoriseren. Een definitieve inkooporder wordt automatisch via /pdf naar de leverancier gestuurd. Cool+ heeft afspraken met leveranciers voor wat betreft volumekortingen, kick-backs et cetera. Zodra de goederen ontvangen worden vindt, na controle van de pakbon met de werkelijk geleverde materialen, een goederen-ontvangstmelding plaats in COOL+. Afwijkingen in aantallen geleverde goederen worden door COOL+ automatisch in backorder geplaatst. 47

48 Deze ontvangstmelding is het signaal voor de boeking van de goederenontvangst in het magazijn te ontvangen facturen). De inkoopfactuur wordt automatisch gekoppeld aan de goederen ontvangst bon en de inkooporder en bij akkoord geboekt in de crediteurenadministratie (Nog te ontvangen 48

49 Bijlage 3 Inkoopproces van het productiebedrijf CoolProducts B.V. (Ist-positie) 49

50 Bijlage 4 Aantal facturen zonder Three-way match 50

51 Bijlage 5 Rollen bij de Three-way match 51

52 Bijlage 6 Betaling inkoopfacturen zonder autorisatie door de bevoegde functionaris 52

53 Bijlage 7 Rollen bij de autorisatie inkoopfactuur procedure 53

54 Bijlage 8 Achtergrond expert interviews en data interviews Jack van Crooij Msc. EMITA is master in IT-auditing (Tias Nimbas Business School) en Leanspecialist, hij heeft ruim 20 jaar ervaring op het gebied van automatiseringsvraagstukken in de accountancy. Jack publiceert regelmatig artikelen in vakbladen en verzorgt leergangen van controleteams op zijn vakgebied. (interview 1 d.d. 28 augustus 2015) drs. Tom Koning RA is oprichter en eigenaar van Cygnus Atratus. Tom houdt zich bezig met het vertalen van complexe onderwerpen naar een concrete en praktische oplossing. Daarnaast geeft Tom cursussen op het gebied van controle, IT-controle en aanverwante accountancy- en automatiseringswerkzaamheden. (interview 2 d.d. 2 september 2015) drs. Angelique Koopmans RE RA was ten tijde van het interview Partner bij Coney Accountants in Halfweg. Met ingang van 1 juli 2016 is zij werkzaam als partner audit innovation bij Baker Tilly Berk. Angelique heeft uitgebreide ervaring met het toepassen van process mining en data-analyse bij MKB kantoren. Op dit moment is zij bezig met promotie onderzoek op het gebied van process mining. Daarnaast geeft Angelique cursussen op het gebied van process mining en data-analyse. (interview 3 d.d. 9 september 2015) Johan Hermans is oprichter en eigenaar van Intelly. Intelly is een online ERP software ontwikkelaar. Johan houdt zich bezig met het analyseren van business processen om deze vervolgens te vertalen in ERP software implementaties. (interview 4 d.d. 10 september 2015) drs. Johan Wildenbeest RA is samen met Michiel Wijma oprichter en eigenaar van Make- Life-Easier. MLE houdt zich bezig met het leveren van automatiseringsoplossingen voor de zowel de controle praktijk als de samenstelpraktijk van accountants. Johan houdt zich met name bezig met de pakketontwikkeling van MLE. (interview 5 d.d. 16 september 2015) Michiel Wijma is samen met Johan Wildenbeest oprichter en eigenaar van Make-Life-Easier. Michiel houdt zich met name bezig met de commerciële activiteiten rond MLE en voorts geeft hij cursussen op het gebied van de toepassingsmogelijkheden van MLE. (interview 5 d.d. 16 september 2015) Danial Khalesi RE is eigenaar van DK Audit assurance & advies. Danial houdt zich bezig met het uitvoeren van financiële, IT en operationele audits. Voorst verzorgt hij regelmatig cursussen op het gebied van IT-audit. (interview d.d. 28 september 2015) 54

55 Bijlage 9 Vragenlijst referaat process mining Korte introductie van het onderzoek (wordt mondeling toegelicht tijdens het interview) Uit mijn literatuur onderzoek is gebleken dat er voor process mining verschillende definities worden gehanteerd. 1. Hoe definieert u process mining? Ik definieer process mining als volgt (mijn definitie volgt): Nadat de expert zijn definitie heeft gegeven zal deze naast mijn definitie worden gelegd en zal aan de expert een reactie worden gevraagd over de eventuele verschillen. Vast onderdeel van de definitie van process mining is een event log. Een event log kan worden gedefinieerd als een record van events in een informatiesysteem. Deze record kan op een later tijdstip worden beoordeeld door de IT auditor met als doel gebruikers handelingen te identificeren die in het systeem hebben plaatsgevonden. 2. Uitgangspunt voor deze vraag is dat er geen event log van het inkoopproces beschikbaar is. Process mining is hierdoor niet mogelijk. Het inkoopproces waar hier aan wordt gerefereerd is onderdeel van de geldgoederenbeweging. a) Welke alternatieven heeft de IT auditor naar uw mening om gebruikershandelingen in relatie tot het in koopproces alsnog te auditen op onbevoegde handelingen? 3. Uitgangspunt voor deze vraag is dat een event log van het inkoopproces wel beschikbaar is. Ook hier is het inkoopproces onderdeel van de geldgoederenbeweging. a) Welke informatie wilt u terug zien in deze event log ( de zogenaamde requirements event log) in het kader van de jaarrekening controle? b) Indien de gewenste informatie niet beschikbaar is wat is er dan naar uw mening nodig om deze gegevens voor toekomstige gevallen wel beschikbaar te hebben? Uit mijn literatuuronderzoek blijkt dat diverse schrijvers ingaan op het nut van het toepassen van process mining in het kader van de jaarrekening controle. 4. Samengevat luidt vraag drie als volgt: In welke mate is de vereiste data die benodigd is voor process mining beschikbaar. In aansluiting hierop luidt de vierde en tevens laatste deelvraag: a) Welke functionarissen binnen en buiten de organisatie dienen met elkaar samen te werken om te komen tot een zo goed mogelijke toepassing van process mining in het kader van de jaarrekening controle van het inkoopproces en welke rol vervullen de betreffende functionarissen (en dan in het bijzonder de controlerend account) in dat samenwerkingsproces? b) In welke mate zijn de mogelijkheden van process mining te gebruiken bij de algemene jaarrekeningcontrole? Voor welke onderdelen in het audit programma is process mining het best toepasbaar? En voor welke onderdelen in het auditprogramma is process mining slecht of niet van toepassing? 55