Computergestützte Prozessauditierung mit Process Mining

Weitere Magazine

Empfehlungen

Info

$Einstieg in Latex (PDF)$

führen, die für längerfristige Vertragsbindungen in Kombination mit Monatsabrechnungen stehen und deshalb mehrfache, mehr oder minder regelmäßige Rechnungseingänge aufweisen. Bei auffällig kurzen Bearbeitungszeiten kann eine detaillierte Betrachtung der betreffenden Instanzen unter besonderer Berücksichtigung beteiligter Personen analog zu Abschnitt 4.1 sinnvoll sein. Bei Disco ist die Information über die Dauer einzelner Cases und die grafische Ansicht für Aktivitätsübergänge innerhalb von Cases direkt verfügbar. Auch die Anzahl aktiver Instanzen und Aktivitäten pro Tag kann nachvollzogen werden. Bei der Verwendung von ProM ist zu beachten, dass in manchen Fällen nicht nur das Datum und die Uhrzeit der Fertigstellung einer Aktivität, sondern auch deren Beginn benötigt wird. Dies muss, falls möglich, schon bei der Datenextraktion berücksichtigt oder nachträglich annotiert werden ([Disco: Filter – Attribute – Activity, Map – Performance (Mean), Cases – Statistics], [ProM: Filter – Eventfilter, Analysis – Perf. Sequence Analysis, Basic Perf. Analysis]). 6 Analyse von Risiko und Sicherheit Auch wenn im Rahmen der Komplexitäts- und Performanceanalysen schon Risikoabschätzungen mithilfe der Identifikation und Beurteilung von Verhaltensauffälligkeiten durchgeführt werden können, gibt es sicherheitsorientierte Prozesseigenschaften in Form systemspezifischer Benutzerbefugnisse, die über den in Isolation betrachteten Prozess hinausgehen und einer separaten Überprüfung bedürfen. Ein starker Fokus liegt hierbei auf rollenbasierter Zugangskontrolle (RBAC) und Vorgaben zur Funktionstrennung. Solche Richtlinien sind in vielen Fällen mithilfe mathematischer Verifikation überprüfbar. Existierende wissenschaftliche Ansätze bieten hierfür die Möglichkeit, Prozessanforderungen in Linearer Temporaler Logik (LTL) zu formulieren und anschließend auf Prozesslogs zu verifizieren [van der Aalst 2005]. Im Wesentlichen werden dabei Prozessanforderungen in Form mathematischer Formeln beschrieben. LTL bietet in diesem Zusammenhang die Möglichkeit, zeitliche Abfolgen zu definieren (z.B. „Wenn A ausgeführt wird, dann immer auch B“). Die Verifikation klärt anschließend die Frage, ob einzelne Prozessinstanzen diese Formeln erfüllen. Für den vorliegenden Bestellprozess gelten folgende Anforderungen bzgl. der Funktionstrennung, die Prozessmissbrauch zu kriminellen Zwecken verhindern sollen: 1. Personen, die Bestellanforderungen erstellen, dürfen diese nicht selbst freigeben. Dieses 4-Augen-Prinzip soll sicherstellen, dass die Freigabe dadurch umgangen wird, dass Personen ihre eigenen Bestellanforderungen freigeben. 2. Personen, die Bestellungen anlegen, dürfen keine Wareneingänge bestätigen. Durch diese Anforderung soll erschwert werden, dass Personen nicht-reale Bestellvorgänge über gefälschte Lieferantenkonten initiieren. Um diese Anforderungen zu überprüfen, wird für Prozessinstanzen mit entsprechenden Aktivitäten und dem in ProM verfügbaren LTL-Preset „Exists person doing task A and B“ überprüft, ob die Funktionstrennung verletzt wurde. Während im ersten Fall keine Verletzungen vorliegen, beinhalten die betreffenden 6.200 Bestellvorgänge für Anforderung 2 tatsächlich drei Verletzungen, einmal durch Benutzer 293 und zweimal durch Benutzer 269. In allen drei Fällen wurde die Bestellung von Benutzer 20 freigegeben. Abb. 8 zeigt, dass die Bestellanforderung von unterschiedlichen, Rechnungseingänge jedoch von derselben Person verbucht wurden. Ob in diesen Fällen tatsächlich eine Verletzung vorliegt, muss im Einzelfall geklärt werden. [ProM: Analysis – LTL Checker]
Anforderung 267 77 Freigabe 20 20 Bestellung anlegen Abb. 8: Verletzungen der Funktionstrennungs-Anforderungen. Für die Überprüfung von Autorisierungs-Richtlinien besteht die Möglichkeit, eine Matrix zu generieren, die widergibt, welche Prozessaktivitäten von einzelnen Personen durchgeführt werden. Diese Matrix manuell zu analysieren ist sehr aufwändig und in den meisten praktischen Fällen nicht in akzeptabler Zeit durchführbar. Die aktuelle Version von ProM enthält deshalb ein Plugin, welches die direkte Überprüfung von RBAC-Richtlinien auf Logdaten erlaubt, sofern ein Organisationsmodell bereitgestellt wird, welches Benutzer und deren Rollenzugehörigkeit beschreibt [Baumgraß 2011]. Berechtigungen werden auf Aktivitätsebene spezifiziert und intern auf LTL-Formeln zurückgeführt, die dann mithilfe existierender Model-Checking Mechanismen verifiziert werde ([ProM: Analysis: Originator by Task Matrix]). 7 Erfahrungen mit der Einsatzfähigkeit von Process Mining 269 269 Wareneingang Die Voraussetzung für die Anwendung von Process Mining ist die Existenz eines Prozesslogs der Systemaktivitäten gemäß fest definierter Aktivitäten und gruppiert nach Prozessinstanzen enthält. Das grundsätzliche Problem hierbei ist die Diskrepanz zwischen der wirtschaftlichen und technischen Sicht auf Geschäftsprozesse, die sich darin äußert, dass Prozessaktivitäten, wenn auch in Modellen hinterlegt, nicht in derselben Form in den beteiligten Informationssystemen implementiert sind. Ausgehend von Referenz-Prozessmodellen müssen deshalb zunächst auf Basis von Systemereignissen Prozessaktivitäten identifiziert und eine Strategie für deren korrekte Extraktion gefunden werden. Für die Durchführung von computergestützten Prozessanalysen auf Basis von Process Mining ist fachliche Expertise bzgl. Datenbank- und Informationssystemen sowie in Einzelfällen informatisches Grundlagenwissen (formale Modelle, mathematische Verifikation) notwendig. Für Unternehmen bedeutet dies, dass notwendiges Know-How entweder durch geeignete Mitarbeiterschulungen oder das Einwerben von Fachpersonal generiert, oder durch die Inanspruchnahme von Leistungen externer Anbieter erbracht werden muss. Die korrekte Interpretation von Prüfungsergebnissen auf Basis von Process Mining erfordert in jedem Fall eine klare und die Prüfung in allen Teilbereichen begleitende Kommunikation zwischen Prüfer und Prozessverursacher/-verantwortlichen, um aussagekräftige Ergebnisse zu produzieren. Obwohl durch die Verwendung existierender Softwarekomponenten die Hauptinteressen von Prozessprüfungen grundsätzlich abgedeckt sind, lässt sich in vielen Fällen das Analyseziel nur durch zusätzlichen manuellen Aufwand oder die Kombination verschiedener Komponenten erreichen. Es ist jedoch absehbar, dass existierende Produkte ihren Funktionsumfang kontinuierlich erweitern werden, um dem wissenschaftlichen Stand der Technik näher zu kommen. Im Vergleich zu manuellen Stichprobenverfahren berücksichtigen die verwendeten Methoden die Gesamtheit verfügbarer Prozessdaten und generieren damit Ergebnisse, die sich aufgrund ihrer höheren Aussagekraft besser als Entscheidungsgrundlage für Konformitätsfragen eignen. Generell kann durch den Einsatz von Process Mining bei der Prüfung von Geschäftsprozessen deshalb ein detailliertes Verständnis für die reale Prozessausführung gewonnen werden. Der erreichbare Mehrwert hängt dabei wesentlich von der korrekten Datenextraktion und -aufbereitung 269 269 Rechnungseingang 388 388
Seite 1 und 2: Thomas Stocker, Rafael Accorsi, Tob
Seite 3 und 4: Prozessinstanz) zugeordnet der für
Seite 5 und 6: identifizierte Aktivitäten und ihr
Seite 7 und 8: 3006 367 9236 Bestellanforderung 92
Seite 9: 5 Analyse der Prozessperformance Ob

Computergestützte Prozessauditierung mit Process Mining

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?