+39 02 4070 0557

www.relinc-consulting.it

info@relinc-consulting.it

Relinc srl unipersonale - Capitale Sociale 28.000 euro i.v.

via Moscova 32 - 20121 Milano

C.F./P.IVA 04577770961 R.E.A. MI 1758120 Reg.Impr. MI 04577770961

Il Process Mining a supporto della Compliance

Ovvero come potenziare i tradizionali

processi di auditing utilizzando gli approcci

Automated Business Process Discovery (ABPD) 15 dic 2015, rev 01

2

Come possono i processi dare informazioni utili per il

monitoraggio della compliance (Bancaria, Qualità, Ambiente,

231/SOX,…)?

Ovviamente, non esiste una risposta univoca a questa

domanda, ma è necessario prima approfondire il contesto in cui

si è attivi. Di certo, dai processi, dai dati e dalle informazioni in

esso contenute, si possono ricavare, molte informazioni utili per

gli audit di compliance.

In fondo, nell’approccio per processi, l’obiettivo, o comunque

uno degli obiettivi, è limitare le Non Conformità, ottimizzando le

risorse utilizzate.

Se siamo in un ambito produttivo, il tipico processo di supply

chain, “from order to cash” è progettato per garantire ben

precisi standard (tempi, attività, controlli,…). Analogamente, nei

servizi, i processi sono pensati per (richiesta di un prestito,

vendita di prodotti,…), sono pensati devono garantire, oltre le

caratteristiche tipiche (margine, qualità,…) specifiche la

normative.

Nonostante ciò, spesso si fa fatica a soddisfare le specifiche e i

requisiti richiesti.

Nei processi tradizionali di audit, gli auditors non riescono ad

orientare facilmente le informazioni in una logica di processo.

Generalmente, si prendono a campione dei casi, si legge la

documentazione di processo (manuali, linee guida,

procedure, …), si intervistano gli addetti e i loro responsabili, ma

una visione complessiva per processi, ‘ solo intuibile.

Un aiuto al monitoraggio e controllo dei processi, ma anche in

questo caso dipende molto dai contesti, potrebbe arrivare

dall’utilizzo di tecniche di Process Mining, conosciute anche

come Automated Business Process Discovery (ABPD).

Con il supporto delle tecniche di Process Mining, è possibile

analizzare direttamente i processi e le loro varianti, verificarne

la conformità sulla base di un'analisi esaustiva di tutti i dati

registrati nei sistemi informatici.

Sarà così possibili possibile analizzare quel 20% di attività che

genera l’80% dei

problemi (il famoso

principio dell’80-20);

tipicamente i casi più

difficili da analizzare,

perché più nascosti,

che difficilmente

emergono nel corso

di audit tradizionale.

3

Il Process Mining

Il Process Mining è una disciplina del Business Process

Management che attraverso un approccio imparziale, basato su

un’estrazione della totalita dei dati disponibili su un

determinato periodo, consente di:

“Esplorare” il flusso di processo,

Verificare le conformità nei controllo,

Analizzare le prestazioni (volumi, tempi, percorsi,…)

Focalizzare quali miglioramento è possibile apportare ai

processi.

Non ci troviamo ancora nell’ambito di gestione dei ”Big Data”,

però è doveroso ricordare che il valore delle tecniche di

Automated Business Process Discovery (ABPD) emerge quando

siamo in presenza di un processo strutturato, attraversato da

una notevole massa di dati.

Il supporto di un software adatto, o adattato, all’uso è un

passaggio pressoche obbilgato per poter utilizzare questo

approccio.

1. Flusso sviluppato con QPR ProcessAnalyzer

Gli strumenti a disponibili sul mercato sono molteplici, Gartner

ne ha fatto qualche tempo fa un’analisi, altre informazioni si

possono trovare su “Process Mining Manifesto”.

Relinc Consulting, partner di QPR Software Plc, come tools

di ’Automated Business Process Discovery (ABPD), propone QPR

ProcessAnalyzer - www.qpr.com/products/qpr-processanalyzer

L’utilizzo di QPR

ProcessAnalyzer nelle

attività di Audit

Il supporto delle tecniche di ’Automated Business Process

Discovery (ABPD) e di strumenti come QPR ProcessAnalyzer,

come complemento alle tecniche tradizionali di auditing,

portano ad alcuni benefici indiscutibili, tra cui:

Visualizzare ed analizzare un modello di processo senza

una preventiva conoscenza dello stesso, sarà QPR

ProcessAnalyzer, una volta estratti ed elaborati i dati, a

ricostruire il processo, il flusso l’insieme di attività e i

ruoli/aree organizzative coinvolte.

Identificare le attività che non portano valore.

Visualizzare chiaramente i colli di bottiglia, le varianti, i

tempi di attesa, di attraversamento, le anomalie,...

4

Comprendere i modelli sociali, come ruoli e persone che

interagiscono all’interno dell’organizzazione e lungo il flusso

di attività.

Corretto bilanciamento della delle risorse utilizzate e dei

carichi di lavoro per aumentare il volume e qualità

produttiva.

Capire che cosa è necessario cambiare o modificare per

ridurre le basse prestazioni (produttività, completezza dei

controlli, tempi di attraversamento, tempi di attesa,…).

Verificare la completa conformità dei processi a norme

giuridiche, internazionali, aziendali,…., come ISO, 231/SOX,

Compliance Bancaria,…

Identificare i rischi, le frodi e i problemi di controllo.

Massimizzare il controllo, invece di utilizzare un campione

di eventi, si valuta un processo, o una parte significativa di

esso, in tutta la sua interezza, basandosi su i dati di un

determinato periodo.

Come funziona Si utilizzano direttamente la totalità dei dati presenti nei sistemi

ICT, nel perimetro dell’analisi svolta, permettendo così a QPR

ProcessAnalyzer di analizzare il reale andamento dei processi

esistenti, così come avvengono nella realtà.

In questo modo l’analisi sarà completamente asettica ed

oggettiva (ci si basa su fatti reali).

Dall’elaborazione di alcuni semplici dati, come:

un identificativo del caso ("Case_ID"), che identifica i singoli

casi da analizzare, come una pratica, numero di costruzione

di un prodotto, un cliente/utente/utilizzatore dei servizi

erogati…

gli eventi, cioè le attività che avvengono all'interno di un

processo, quali le stazioni di lavorazione, i reparti o i vari

dipartimenti/uffici,...

una misura del tempo ("timestamp") relativi alle attività,

come durata, data e ora di inizio...

è così possibile ottenere lo sviluppo del flusso di processo

“esplorato”, con l’aggiunta di altre importanti informazioni non

solo, sui percorsi, ma anche su tempi, percentuali di

distribuzione lungo i rami e le attività,…

Le tecniche di Process Mining permettono agli auditors di

trovare risposte ad alcune domande chiave:

"Qual è la reale esecuzione dei processi"

"Dove sono i colli di bottiglia"

"Quando e perché ci sono degli scostamenti?”

“I controlli previsti sono sempre eseguiti”

5

2. Flusso di attività elaborate da una base dati in un

processo analizzato con QPR ProcessAnalyzer

QPR ProcessAnalyzer permette agli auditors di trovare risposte

ad alcune domande chiave:

"Qual è la reale esecuzione dei processi"

"Dove sono i colli di bottiglia"

"Quando e perché ci sono degli scostamenti?”

“I controlli previsti sono sempre eseguiti”

3. Analisi delle variazioni in un processo

analizzato con QPR ProcessAnalyzer

Inoltre, si evidenziano e si quantificano le variazioni che

avvengono all’interno di un processo e si analizzano i diversi

tempi connessi, come i tempi di attesa prima, durante e dopo le

diverse attività, i tempi di attraversamento parziali e totali e la

loro distribuzione.

6

4. Analisi dei tempi di attraversamento e attesa in un

processo analizzato con QPR ProcessAnalyzer

Con le tecniche di Automated Business Process Discovery

(ABPD) si mettono a disposizione degli auditors alcune opzioni

di analisi aggiuntive, come il benchmarking tra i diversi processi

e tra parti dello stesso; la costruzione di indicatori e la

condivisione di indicatori, la valutazione dello sviluppo ad albero

dei processi, l’analisi delle quali cause che hanno condizionato il

reale sviluppo dei flussi di processo.

5. Altre opzioni di analisi

Come si esegue un

audit con il supporto

delle tecniche di

Process Mining

Il Process Mining può fornire il suo supporto in diversi modi

all’interno di un processo di auditing. Ogni caso rappresenta

comunque un caso particolare, da pensare e strutturare in

modo opportuno.

Possiamo dire che fasi principali di un audit supportato da

ProcessAnalyzer il tool di QPR per l’ Automated Business

Process Discovery (ABPD), sono:

7

Insieme con il team di auditors, si determinano i confini del

processo da analizzare e questioni più importanti che

dovrebbero essere “esplorate”.

Insieme con il team IT, si estraggono i dati rilevanti, alcuni

prodotti sw possono fare questo in automatico, con tool

specifici per i diversi ERP presenti sul mercato.

Si analizziamo i dati e si condividono i risultati intermedi

per l'analisi preliminare.

Si approfondisce “sul campo” quanto emerso (verifica della

documentazione e/o interviste,…)

Si redigono gli opportuni Report dove sono evidenziate le

criticità, i problemi e le raccomandazioni.

Confrontandosi con i diversi attori del processo si

identificano le opportune Azioni Correttive e di mtigazione

del rischio

Si elaborano KPI per il monitoraggio del processo.

Si implementa l’attività di monitoraggio dei processi, anche

con l’ausilio di QPR ProcessAnalyzer.

Detto questo, non si deve pensare che con le tecniche di

Automated Business Process Discovery (ABPD) gli audit

debbano diventare procedure automatiche o comunque a forte

impatto IT.

Il giudizio degli auditors è, e rimane, essenziale come quando si

svolge un audit tradizionale, Semplicemente si ha la possibilità

di valutare molti più dati, in minor tempo e da prospettive

diverse, arricchendo enormemente il valore dell’audit stesso.

Gli auditors, invece di analizzare le informazioni attraverso la

documentazione di un campione di eventi, hanno la possibilità

di prendere in considerazione la totalità degli eventi del periodo

analizzato, evidenziando le anomalie e verificando tutte le

informazioni degli eventi anomali.

6 Schema del processo di auditing supportato

8

Per questo il ruolo delle riunioni, delle interviste e della visione

documentale rimane centrale al processo di auditing.

Inoltre, l’utilizzo di QPR ProcessAnalyzer permette di “estrarre”

ed “esplorare” dati in modo leggibile e comprensibile per tutti,

gli interlocutori.

In conclusione Il Process Mining è uno strumento che non si sostituisce agli

audit, ma che ne completa lo svolgimento. È sicuramente un

valido supporto nei casi in cui il processo è attraversato da

rilevanti “masse” di dati, che renderebbero poco efficaci, ma

anche poco credibili, gli approcci tradizionali, basati sull’analisi

di un campione di eventi, dove, però, i processi devono essere

ben strutturati, almeno nelle piattaforme IT.

Quindi non sostituirà mai l’approccio tradizionale agli audit, ma

lo affiancherà, migliorandone, dove possibile, i risultati. Le

tecniche di Automated Business Process Discovery (ABPD)

estraggono tutti i dati registrati, analizzando ed evidenziando le

anomalie su cui gli auditor si devono concentrare.

L’utilizzo di QPR ProcessAnalyzer può portare ad un effetto

deterrente: sapere che le verifiche e i controlli saranno fatti sul

100% degli eventi, potrebbe spingere i diversi attori aziendali ad

attenersi alle procedure previste e a collaborare in un’ottica di

miglioramento complessivo dei processi, evitando scorciatoie o

percorsi fraudolenti.

Ovviamente, non tutte le anomalie o le frodi possono essere

evidenziati solo analizzando i dati. Quando le procedure

lasciano spazio alla flessibilità, questa flessibilità può essere

utilizzata impropriamente; ma d'altra parte, i sistemi troppo

vincolanti e burocratizzati, sono una delle principali cause di

inefficienza ed inefficacia.

Il miglior beneficio, si potrà ottenere quando i processi saranno

reingegnerizzati anche in un’ottica di applicazione di metodi di

audit basati sulla totalità dei dati presenti a sistema, in moda da

sfruttare al massimo le potenzialità offerte dalla tecnologia.

9

I principali vantaggi dell’utilizzo di QPR ProcessAnalyzer nel

processo di auditing, sono:

L’Audit è svolto su il processo reale, nel momento stesso

dell’audit (“As Is”), o comunque nel periodo stabilito.

I dati sono considerati e analizzati nella loro interezza,

senza utilizzare campionature.

Il processo di audit è trasparente.

È possibile effettuare delle verifiche mirate (si analizza a

fondo il 20% dei casi che danno l’80% di ciriticità)

Migliorare l’efficienza e l’efficacia del processo di auditing

Avere dei parametri di riferimento oggettivi per gli audit

successivi.

Credits “Il Process Mining a supporto della Compliance” -

www.process-mining.it

Process Mining Manifesto

W.M.P. van der Aalst, “Process Mining: Discovery,

Conformance and Enhancement of Business Processes” -

Springer Verlag

Turner CJ, Tiwari A, Olaiya R, Xu Y “Business Process Mining:

From Theory to Practice” – Business Process Management

Journal Vol 18

M. Alles, M. Jans, M. Vasarhelyi “Process Mining Of Event

Logs In Auditing: Opportunities And Challenges” - Rutgers

Accounting Research Center

“6 Reasons for Internal Auditors to Get Familiar with

Process Mining” - Flux Capacitor

W.M.P. van der Aalst, M. van Hee, J. M. van der Werf, M.

Verdonk “Auditing 2.0: Using Process Mining to Support

Tomorrow’s auditor” – IEEE Computers vol. 43

www.qpr.com/products/qpr-processanalyzer

10

Relinc Consulting

Relinc Consulting si occupa di Business Process Management (BPM) e

delle sue applicazioni come Qualità, Risk, Compliance & Performance

Management sia attraverso il supporto di tecnologie specifiche che

supportando nel percorso di cambiamento persone e organizzazioni.

L’appartenenza a importanti network internazionali, ci permette di

trovare la migliore soluzione per i fabbisogni dei nostri clienti

QPR Software Plc QPR Software Plc è una società finlandese, leader per i servizi e le

soluzioni in ambito di Performance e Process Management. La missione

di QPR è supportare le persone e le organizzazioni nel governo dei

propri processi e dei propri obiettivi. Attraverso partner certificati offre

le proprie soluzioni in oltre 50 paesi. Ad oggi, sono oltre 1.500

organizzazioni in tutto il mondo che utilizzano i servizi e le soluzioni QPR

fornite in oltre 20 lingue.

Relinc Consultinc è il partner italiano di QPR Software Plc.

www.process-mining.it è il blog italiano dedicato al Process Mining w e al Automated

Business Process Discovery (ABPD).

11

Via Moscova 32

20121 Milano

www.relinc-consulting.it

Tel +39 02 40700557

38 Clarendon road.

Watford, WD17 1JJ

United Kingdom

www.pnmsoft.com

Tel + 44 (0)192 381 3420

Huopalahdentie 24

FI-00350 Helsinki

Finland

www.qpr.com

Tel +358 (0)290 001 155