Process Mining in der Internen Revision
in Lernen

Process Mining in der Internen Revision

Auditoren haben einen sehr anspruchsvollen Job. Sie müssen alle Transaktionen einer Organisation durchsuchen, um die spezifischen Fälle zu finden, in denen die internen Kontrollen nicht befolgt wurden. Diese Aufgabe wird durch einen Mangel an Mitarbeitern und anderen Ressourcen noch erschwert. Die Prüfer gehen das Ressourcenproblem in der Regel durch Stichproben einer Teilmenge von Transaktionen an, was zu einer unvollständigen Sicht auf das tatsächliche Risiko führt. Process Mining bietet einen neuen Ansatz zum Sammeln von Auditnachweisen, indem die gesamte Population der im IT-System eines Unternehmens aufgezeichneten Event-Logs automatisch analysiert wird. Mit anderen Worten: Die Geschäftsprozesse des Unternehmens und die von den Mitarbeitern durchgeführten Aktionen werden für die Analyse chronologisch im Event Log festgehalten.

Was ist Process Mining?

Process Mining nutzt Daten, die sich bereits in den Systemen eines Unternehmens befinden, um Geschäftsprozesse visuell zurückzuverfolgen. Transaktionssysteme erstellen heute ein Audit-Protokoll von praktisch jeder Aktion in einer Organisation. Process Mining-Algorithmen verwenden diese Audit-Protokolle, um Geschäftsprozesse nachzubilden. Die Process Mining-Algorithmen benötigen nur wenige Felder, um effektiv zu sein: Transaktions-ID, Aktivität, Ressource und Zeitstempel. Zusätzlich zur Neuerstellung des Prozesses gruppieren diese Systeme die Transaktionen auch nach Ausführungspfaden, die als Variante bezeichnet werden. Eine Variante im Process Mining ist eine Gruppe von Prozessinstanzen, die einen identischen Ausführungspfad haben. Wenn z. B. Prozessinstanz X und Prozessinstanz Y beide den Pfad “Bestellung anlegen → Unterschrift → Wareneingang → Rechnungseingang → Freigabe → Zahlung” haben, dann werden sie in derselben Variante gruppiert. Die Gruppierung von Prozessinstanzen in Varianten ermöglicht es Auditoren, häufige und seltene Pfade aus einem Ereignisprotokoll zu beobachten; sie können dann auf der Grundlage der Geschäftsregeln der Organisation zwischen konformer und nicht konformer Ausführung unterscheiden.

Diese Geschäftsregeln erlauben es den Auditoren, bei der Durchführung ihrer Audit-Prozeduren Transaktionen in konforme und nicht-konforme Varianten auf Basis der Pfade der Prozessinstanzen zu trennen. Da die Algorithmen 100 % der Transaktionen eines Unternehmens auswerten, ist es für Process Mining möglich, eine potenzielle Ineffizienz der internen Kontrolle zu erkennen, ohne dass ein Stichproben verfahren erforderlich ist.

Die Analyse der Geschäftsprozesse eines Unternehmens anhand von Event-Logs ist kein völlig neues Konzept für Data Science oder Business Intelligence. In der Tat wurde das Konzept vor über zwei Jahrzehnten in den Niederlanden entwickelt. Allerdings gibt es nur wenige Studien, die Process Mining im Bereich der Wirtschaftsprüfung anwenden. Zum Beispiel schlagen Mieke Jans, Michael Alles und Miklos Vasarhelyi (“A Field Study on the Use of Process Mining of Event Logs as an Analytical Procedure in Auditing,” Accounting Review, September 2014, vor, dass Process Mining Prüfer bei der Durchführung von analytischen Verfahren unterstützen könnte. Auch der 2017 erschienene AICPA’s 2017 Guide to Audit Data Analytics stellt fest, dass Process Mining es den Prüfern ermöglicht, die internen Kontrollen des Unternehmens zu verstehen und unbefugte Mitarbeiteraktionen zu identifizieren, die das Risiko wesentlicher falscher Darstellungen erhöhen könnten.

Einsatz von Process Mining im Audit-Prozess

Der Prüfungsprozess umfasst vier einzelne Phasen: 1) Planen und Entwerfen eines Prüfungsansatzes, 2) Durchführen von Tests von Kontrollen und substanziellen Tests von Transaktionen, 3) Durchführen von analytischen Verfahren und Tests von Details der Bilanzen und 4) Abschließen der Prüfung und Ausstellen eines Prüfungsberichts (Alvin A. Arens, Randall J. Elder, and Mark S. Beasley, Auditing and Assurance Services: An Integrated Approach, 14. Auflage, Prentice Hall, 2012). In den meisten Fällen setzen Auditoren Process Mining während der ersten und zweiten Phase des Auditprozesses ein.

Phase 1. Planen und entwerfen.

Die erste Phase des Auditprozesses ist die “Planung und Gestaltung des Auditansatzes”. Process Mining stellt den Auditoren Prozessabbilder und Prozessstatistiken zur Verfügung, die zum Verständnis der Geschäftsprozesse eines Unternehmens dienen. Diese Prozessabbildungen zeigen nicht nur die häufigsten Wege, auf denen Prozesse ausgeführt werden, sondern jeden Weg, auf dem ein Prozess irgendwo im Unternehmen ausgeführt wurde. Die Statistiken ermöglichen es Auditoren, einmalige Ausführungen herauszufiltern und Ausführungsmuster an einem oder mehreren Orten leicht zu erkennen.

process statistics purchase-to-pay cycle
Beispiel einer Prozessübersicht für den Purchase-to-Pay-Zyklus
process statistics purchase-to-pay cycle
Beispielhafte Prozessstatistiken des Purchase-to-Pay-Zyklus

Die Visualisierung des Prozessflusses und die zugehörigen Prozessstatistiken ermöglichen es den Auditoren, eine Reihe von Fragen zu beantworten, beispielsweise:

  • Wie viele Aktivitäten sind im Geschäftsprozess des Unternehmens enthalten, und sind sie alle geschäftsrelevant (Unterstützung bei der Identifizierung von Schlüsselkontrollen)?
  • Welche Aktivität kommt im Geschäftsprozess am häufigsten vor?
  • Was ist der Kerngeschäftsprozess für dieses Unternehmen?
  • Wie viele Mitarbeiter sind an dem Geschäftsprozess des Unternehmens beteiligt und welche Verantwortlichkeiten haben die Mitarbeiter (Schlüssel zur Identifizierung möglicher Verstöße gegen die Funktionstrennung)?
  • Wie lauten Start- und Enddatum und -uhrzeit für jede Prozessinstanz, und wie lautet der Zeitstempel jeder Aktivität (hilft bei der Identifizierung von Abgrenzungsproblemen)?

Phase 2: Überprüfung der internen Kontrollen

Process Mining ermöglicht es den Prüfern, die Wirksamkeit der internen Kontrollsysteme zu beurteilen, ein wesentlicher Schritt bei der Bewertung des Kontrollrisikos. Process Mining bietet den Prüfern einen detaillierten Durchgang durch die Transaktionszyklen. Diese Technologie ersetzt viele manuelle Prüfungshandlungen, wie z. B. die erneute Durchführung von Transaktionsabläufen oder das Prüfen von Kontrollen anhand von Stichproben, was die Effektivität und Effizienz der Prüfung erhöht.

Abschnitt 404 des Sarbanes-Oxley Act aus dem Jahr 2002 (SOX) verpflichtet US-amerikanische Wirtschaftsprüfer, das interne Kontrollsystem eines Unternehmens zu bewerten und festzustellen, was schief gehen kann. In Deutschland gibt das Institut der Wirtschaftsprüfer regelmäßig ähnliche Verlautbarungen für seine Mitglieder aus. Die Prüfung interner Kontrollsysteme ist in der Regel ein sehr manueller Prozess und erfordert viele Arbeitsstunden. Process Mining kann ein wirkungsvolles Werkzeug sein, um Auditoren bei der Durchführung von Tests der internen Kontrollen zu unterstützen. Die im Event Log gespeicherten Informationen können auch Prüfungsnachweise in Bezug auf relevante Aussagen des Managements liefern. Beispiele für prüfbare Behauptungen sind Vollständigkeit, Genauigkeit, Abgrenzung und Auftreten. Es gibt mehrere Beispiele für die Erkennung von Fehlern mithilfe von Event-Logs aus dem Purchase-to-Pay-Zyklus:

  • Erhaltene Einkäufe werden nicht aufgezeichnet
  • Kaufbeträge werden nicht richtig erfasst
  • Nicht autorisierte Einkäufe
  • Trennung der Aufgaben
  • Prozesskonformität

In der zweiten Phase des Auditprozesses hilft Process Mining auch bei der Durchführung von Substantivtests von Transaktionen, um den Prozess in Bezug auf den Transaktionssaldo zu untersuchen. Wenn z. B. der Saldo der Zahlung aufgrund von Doppelzahlungen für eine Bestellung nicht korrekt ist, kann dies bei der Analyse des Prozesses zur Erstellung und Genehmigung dieser Bestellung entdeckt werden. Process Mining identifiziert auch schnell Transaktionen, bei denen Genehmigungsstufen durch Aufteilung von Transaktionen und anderes unseriöses Kaufverhalten umgangen wurden.

Process Mining als neue Form des Prüfungsnachweises

Process Mining ist ein vielversprechendes Werkzeug, das in verschiedenen Phasen des Audit-Prozesses nützlich ist, insbesondere bei der Prüfung von internen Kontrollen. Die in Event Logs gespeicherten Daten liefern den Prüfern eine Fülle von Informationen, die bei der Durchführung von Tests von Kontrollen oder anderen Prüfungshandlungen als zusätzliche Prüfungsnachweise dienen können. Darüber hinaus zeichnen IT-Systeme diese Ereignisprotokolle automatisch auf, wenn Aktivitäten oder Geschäftsprozesse stattfinden, und sind daher weniger anfällig für Veränderungen oder Verfälschungen. Darüber hinaus ist die Process-Mining-Technologie heute in vielen der Business-Intelligence-Tools verfügbar, die Wirtschaftsprüfer seit Jahren nutzen, wie etwa Power BI, Tableau und Qlik.

Während Process Mining bereits von Tausenden von Unternehmen weltweit eingesetzt wird, ist die Anwendung von Process Mining auf Auditverfahren insbesondere in Nordamerika noch relativ neu. Es gibt Herausforderungen innerhalb der Unternehmen. Zum Beispiel erfassen nicht alle Unternehmen die gesamten Event Log Datensätze für jeden Geschäftszyklus, und wenn sie es tun, sind die Daten möglicherweise nicht ohne Weiteres auswertbar. Einige Unternehmen zögern aufgrund von Sicherheitsbedenken, Transaktionsdaten in die Cloud hochzuladen. Außerdem haben viele Process-Mining-Tools eine eigene Benutzeroberfläche und eigene Konfigurationstools, die die Implementierung zu einem Problem machen könnten.

Auditoren, die die bereits in ihrem Unternehmen vorhandenen Daten nutzen und Process Mining zur Planung ihrer Audits und zur Verbesserung ihrer Kontrolltests einsetzen möchten, sollten zunächst die aktuellen Business-Intelligence-Tools ihres Unternehmens und die Anforderungen an die Datensicherheit bewerten. Von dort aus sollten Process Mining Tools evaluiert werden, die zur technologischen Ausrichtung des Unternehmens passen, einschließlich der Möglichkeit für Auditoren, das Audit Tool zu nutzen, und der Informationssicherheit von Transaktionsdaten.