Belang van volgorde
Data-analyse in audits richt zich vooral op waarden. Denk aan bedragen, aantallen, saldi, ratios, maar ook outliers in facturen of aansluitingen tussen subadministraties en het grootboek. De kernvraag is meestal: is dit bedrag logisch? of wijkt deze waarde af van de rest?
Process mining stelt een andere vraag. Niet wat is geboekt, maar in welke volgorde dingen zijn gebeurd. Het kijkt naar de flow van transacties door een proces. Bijvoorbeeld: wordt een inkooporder altijd goedgekeurd vóór ontvangst? Wordt er soms betaald vóórdat een factuur is geregistreerd? En hoe vaak wijkt het werkelijke proces af van de formele procedure?
Daarmee verschuift de focus van individuele transacties naar procesgedrag over tijd. Dat maakt process mining fundamenteel anders dan veel andere audit-analyses.
Wat is een event log?
De basis van process mining is het event log. Dit is simpelweg een gestructureerde tabel waarin gebeurtenissen zijn vastgelegd. Elk event log bevat in essentie drie elementen.
Ten eerste is er een case-id. Dit is het object waar het proces om draait, bijvoorbeeld een factuurnummer, ordernummer of dossier-id. Alles wat bij elkaar hoort, moet dezelfde case-id hebben.
Ten tweede is er de activiteit. Dit beschrijft wat er gebeurt: “factuur ontvangen”, “goedkeuring gegeven”, “betaling uitgevoerd”, enzovoort.
Tenslotte is er een timestamp. Dit legt vast wanneer die activiteit heeft plaatsgevonden. Zonder tijd is er geen volgorde, en zonder volgorde geen process mining.
In het voorbeeld hierboven is ook nog een gebruiker toegevoegd; dat kan heel nuttig zijn (om te achterhalen wie wat gedaan heeft en de GITC dit toelaten), maar is niet noodzakelijk om het process in de basis te kunnen begrijpen.
In theorie klinkt dit allemaal best overzichtelijk. In de praktijk blijkt juist dit event log vaak de bottleneck.
Uitdagingen
Veel process-mining-initiatieven stranden niet op de tool, maar op de data en de verwachtingen.
Een eerste probleem is onvolledige logging. Niet elke processtap wordt vastgelegd in systemen. Goedkeuringen vinden soms mondeling plaats, via e-mail of buiten het ERP om. Het event log laat dan een schijnbaar afwijkend proces zien, terwijl de controle in werkelijkheid wel heeft plaatsgevonden. Voor de audit is dat riskant: je ziet een afwijking, maar je weet niet of die echt is.
Daarnaast is er vaak sprake van te veel varianten. In theorie bestaat er één standaardproces. In de data blijken er honderden of duizenden varianten te zijn. Kleine timingverschillen, extra stappen, uitzonderingen en handmatige correcties zorgen voor een zogenoemd “spaghetti-proces”. Visueel indrukwekkend, maar analytisch lastig te duiden. Welke varianten zijn normaal, en welke zijn echt afwijkend?
Voorbeeld van een Spaghetti process (via Researchgate)
Een derde valkuil is dat process mining vaak resulteert in mooie visualisaties zonder hard controlebewijs. Een procesdiagram laat zien dat iets gebeurt, maar niet automatisch of het mag. De stap van procesobservatie naar auditconclusie is groter dan vaak wordt gedacht. Zonder duidelijke norm, tolerantie en koppeling aan risico’s blijft het bij illustratie.
Wat process mining wél kan betekenen voor auditors
Process mining is vooral een exploratieve techniek. Het helpt om processen te begrijpen zoals ze daadwerkelijk verlopen, in plaats van zoals ze op papier zijn beschreven. Dat kan heel handig zijn in de planningsfase van een audit, bij het identificeren van procesrisico’s of het onderbouwen van waar uitzonderingen structureel voorkomen.
Toepassingen
Een veelvoorkomende toepassing van process mining is het toetsen van de volgorde van een aantal belangrijke stappen. Denk aan de vraag of een factuur daadwerkelijk is goedgekeurd vóórdat deze werd geboekt of betaald. In de analyse kijk je dan alleen naar enkele events, zoals ontvangst, goedkeuring en betaling. Process mining maakt snel zichtbaar of deze volgorde structureel afwijkt bij een deel van de transacties.
Ook tijdspatronen zijn in de praktijk relevant. Zo kun je signaleren of stappen ongebruikelijk snel op elkaar volgen, terwijl daar normaal een handmatige controle plaatsvindt, of juist extreem veel tijd tussen zit. Dit levert geen bewijs op, maar wel aanwijzingen voor mogelijke omzeiling of procesproblemen.
De kracht van process mining in audits zit dus niet zozeer in brede of diepe analyses, maar in kleine, gerichte toepassingen die kunnen helpen bepalen waar nadere controle nodig is.
