La minería de procesos se ha establecido como una rama de la ciencia de los datos que ayuda a las personas a descubrir, comprender y analizar la ejecución de procesos de toda índole. Se originó en la Universidad de Eindhoven (Holanda), propagándose rápidamente por diferentes sectores, y aún siendo una tecnología emergente, alcanzó un nivel de madurez suficiente como para que el ecosistema de fabricantes de herramientas que ofrecen soluciones en este sector sea ya considerable. La posibilidad de analizar grandes volúmenes de datos a unas velocidades próximas al tiempo real y las capacidades de visualización y exploración de los datos hacen de la Minería de Procesos una tecnología especialmente útil en el sector de la auditoría, dotando al auditor de los recursos necesarios para visualizar los modelos de procesos que se están ejecutando realmente, explorar información para responder a las preguntas que se hace o analizar el cumplimiento normativo que se está dando.
En esta conferencia, Antonio nos dará su particular visión sobre las capacidades que nos proporciona la Minería de Procesos, así como algunos ejemplos prácticos y nos orientará en cómo dar nuestros primeros pasos en el uso de esta novedosa práctica.
4. Audit 2.0 – Los Retos
Auditoría Interna: es una actividad
independiente, y objetiva de aseguramiento
y asesoría diseñada para aportar valor y
mejorar las operaciones de una organización.
Ayuda a la organización a cumplir sus
objetivos mediante la incorporación de una
forma sistemática y disciplinada de evaluar y
mejorar la efectividad de los procesos de
gestión del riesgo, control y gobierno.
Prevenir
Asesorar
Asegurar
6. ¿Qué es la Minería de Procesos?
Es una disciplina dentro de la ciencia
de los datos que dota al al usuario
(de negocio) de los mecanismos
necesarios para comprender
procesos complejos de una forma
objetiva y exploratoria.
7. Fuentes de Información
La ejecución del proceso deja “pistas” en los
sistemas de información.
Estas pistas se denominan trazas y el conjunto de
trazas se denomina log.
A partir del log, podemos hacer ingeniería inversa y
descubrir el proceso subyacente y su
comportamiento
8. ¿Y qué podemos hacer?
El descubrimiento nos ayuda a ganar en
comprensión sobre el proceso que estamos
auditando. Nos da, además, su
comportamiento real.
La conformidad nos permite analizar el
proceso en base a datos objetivos, de
forma exploratoria y estudiando la totalidad
de los datos.
La mejora nos facilita la propuesta de
acciones de mejora, basándonos en datos
objetivos. Y nos permite la evaluación de
los resultados de estas acciones de mejora.
Descubrimiento
Log
Conformidad Diagnóstico
Modelo
Log
Mejora Nuevo Modelo
Modelo
Log Modelo
9. Un ejemplo simple
Registro
Diagnóstico
Inicial
Escalado
N2
Diagnóstico
Resuelto
Cerrado
CASO ACTIVIDAD TIEMPO OPERADOR
001 Registro 00:00:00 John Nieve
001 Diagnostico Inicial 00:01:30 John Nieve
002 Registro 00:01:40 Arya Stark
002 Diagnostico Inicial 00:03:50 Arya Stark
001 Escalado N2 00:04:00 John Nieve
002 Resuelto 00:05:00 Arya Stark
001 Diagnostico 00:10:00 Khal Drogo
001 Resuelto 00:30:00 Khal Drogo
002 Cerrado 00:10:00 Arya Stark
001 Cerrado 00:35:12 John Nieve
12. Las preguntas más frecuentes
¿Cuáles son los caminos más habituales?
¿Cuáles son los poco habituales?
¿Cuánto tiempo tarda el proceso?
¿Cuánto tiempo por estado?
¿Qué actividades se repiten más?
¿Hay reworking?
¿Hay “influencers”?
¿Se sigue el proceso definido?
¿Se cumple la segregación de funciones?
¿Se cumplen las reglas de negocio?
¿Hay casos de fraude?
¿Qué controles están siendo violados?
¿Cuál es la red social?
13. Algunos casos de ejemplo
Estudio del rendimiento de un proceso
Análisis de patrones y del grado de estandarización de un proceso
Estudio de la Segregación de Funciones
Cumplimiento de Reglas de Negocio
Orden de compra sin presupuesto previo
Facturas pagadas antes de su aprobación
Descubrimiento de la Red Social
18. ¿Hay segregación de funciones?3
Exigimos segregación de funciones para reducir el riesgo
separando la responsabilidad de algunas actividades,
como puede ser el registro y la autorización de
transacciones.
Buscamos facturas que han sido aprobadas y
contabilizadas por la misma persona.
20. Hallazgos
Se encontraron tres facturas autorizadas y pagadas por la misma persona,
y en los tres casos la persona era la misma.
21. ¿Se cumplen las reglas de negocio?4
Las facturas pueden contener errores, estar duplicadas o
incluso ser fraudulentas.
Por ello deben ser cuidadosamente verificadas antes de
emitirse la orden de pago.
25. Hallazgos
Encontramos 49 facturas que pasaron por un intento de pago antes de ser
aprobadas (menos del 1% del conjunto de datos), pero un refinamiento
posterior de la información nos mostró 2 casos en los que nunca hubo una
aprobación anterior, valorados en cerca de 30.000 US$
26. ¿Se cumplen las reglas de negocio?4
En el proceso ”Procurement to Pay” (aprovisionamiento al
pago) las órdenes de compra deben ser emitidas después
de un proceso de solicitud de presupuesto, selección de
proveedor y negociación del precio.
Si en el proceso encontramos órdenes de compra que no
han pasado por la etapa de presupuestación, puede ser un
síntoma de fraude.
28. ¡¡ No hay actividades como Requisition-Create o similares !!
29. Hallazgos
Encontramos que un 29% de las órdenes de compra se han ejecutado sin
proceso de presupuestación previa, un total de 3.654 ocasiones y
acumulando un importe cercano a los 150.000.000 US$
El 51% de estas operaciones (1.847) han sido para el proveedor 3588532
30. ¿Qué personas participan?5
En el caso de los pedidos realizados sin presupuesto previo, ¿qué
usuarios intervienen? ¿Hay algunos que tengan estas prácticas más
arraigadas?
31.
32. Hallazgos
Encontramos que de los 3532 casos, 1713 (48%) se reparte entre los
usuarios ATB_User_238, ATB_User_155, ATB_User_232
34. ¿Quiénes participan en un análisis?
Scoping
Propietario del
Proceso
Cliente Especialista PM
Comprensión
de Datos
Especialista PM
Especialista
técnico SSII
Especialista
Funcional SSII
Creación del
Log
Especialista PM
Especialista
Técnico SSII
Minería de
Proceso
Especialista PM
Especialista
Funcional SSII
Propietario del
Proceso
Evaluación
de
Resultados
Especialista PM
Propietario del
Proceso
Representantes
del equipo de
proceso
(operadores)
Despliegue
Propietario del
Proceso
Especialista
Funcional
Cliente
Equipo de
Proceso
36. ¿Hay referencias en el sector?
ECA - > European Court of Auditors à
https://www.eca.europa.eu/Lists/ECADocuments/JOURNAL20_01/JOURNAL20_01.pdf
ISO Standard Data Collection à
https://www.iso.org/committee/5648297.html
Novatica 233 à
http://www2.ati.es/novatica/2013/223/Nv223-Monografia.pdf