Skip to main content

Themes

Data & Analytics

Process mining in de assurance-praktijk

Toepassingen en randvoorwaarden

PGGM verstrekt Assurance Standard 3402- en Assurance Standard 3000-rapportages die specifiek zijn per klant. Process mining is binnen PGGM gebruikt om aan te tonen dat een aantal processen ook multi-client getest kan worden, omdat deze processen generiek zijn voor meerdere pensioenfondsen. In dit artikel wordt uitgelegd wat process mining is. Daarnaast zijn de ervaringen van PGGM met betrekking tot process mining beschreven en wordt er een praktijkvoorbeeld uitgewerkt. Daarna wordt de impact op de werkzaamheden van de auditor van het Standaard 3402- en Standaard 3000-rapport en de randvoorwaarden beschreven. Ook wordt geschetst hoe process mining mogelijk in de toekomst ingezet kan worden om de uitvoering van de controle efficiënter en met een hogere kwaliteit uit te voeren.

Inleiding

PGGM is een van de grootste pensioenuitvoeringsorganisaties van Nederland. Zij is verantwoordelijk voor het beheer van de pensioenadministratie voor meerdere pensioenfondsen, waaronder het Pensioenfonds Zorg en Welzijn (PFZW). Om richting haar klanten aan te tonen dat processen op een juiste wijze worden beheerst, verstrekt PGGM Service Organisatie Control (SOC)-rapportages volgens de Assurance Standard en Assurance Standard 3000. Deze Standaard 3402 en Standaard 3000-rapporten worden specifiek per pensioenfonds verstrekt.

PGGM en de auditor hebben besproken welke mogelijkheden er zijn om het proces van het testen van interne beheersingsmaatregelen ten behoeve van de SOC-rapportages op een efficiëntere manier vorm te kunnen geven. De wens van PGGM is om de Standaard 3402- en Standaard 3000-rapporten specifiek te houden per pensioenfonds. In het geval dat een aantal processen multi-client getest zal worden, is het van belang dat kan worden aangetoond dat deze processen en bijbehorende beheersingsmaatregelen daadwerkelijk op een generieke manier plaatsvinden voor alle pensioenfondsen. De techniek van process mining is hierbij van belang, om aan te kunnen tonen dat bepaalde processen inderdaad op een generieke manier worden uitgevoerd voor meerdere pensioenfondsen. Daarom is PGGM een experiment gestart met process mining, met als doel meer efficiëntie en een hogere kwaliteit.

In dit artikel zal in de volgende paragrafen worden beschreven wat process mining is, wat de ervaringen zijn van PGGM en de auditor, en hoe process mining in de toekomst verder toegepast kan worden.

Wat is process mining?

Process mining is een techniek die nieuwe inzichten mogelijk maakt in processen op basis van ‘event data’. Het meest gebruikelijke voorbeeld van event data, zoals deze gebruikt wordt binnen process mining, is de logging data uit workflow-systemen, bijvoorbeeld de stappen ‘goedkeuren lening’, ‘autoriseren betaling’ of ‘aanmaken order’. Deze workflow-stappen in de logging kunnen zowel worden geïnitieerd door een persoon als door voorgeprogrammeerde software binnen het workflow-systeem. De process mining-tooling plaatst vervolgens de geüploade events in een chronologische volgorde, op basis van de tijdsaanduiding die aan de logging is toegevoegd op het moment dat de workflow-stap wordt uitgevoerd. Door het gebruik van de logging data op deze manier achter elkaar te zetten, biedt process mining inzicht in hoe transacties daadwerkelijk in een proces plaatsvinden. Daardoor kunnen afwijkingen, bottlenecks of stappen die wellicht niet nodig zijn binnen het proces onderkend worden. Process mining kan gebruikt worden binnen een grote verscheidenheid aan processen, zoals Purchase-to-Pay, IT-management of de uitvoering van de pensioenadministratie.

Zoals [Rama16] al schrijft, zijn er vier categorieën binnen process mining te onderkennen, zijnde process discovery, conformance checking, enhancement en process analytics:

  1. Binnen process discovery wordt de data uit de log gebruikt om een weergave van het proces op te stellen, zonder gebruik te maken van informatie over het proces. Op deze wijze wordt een model weergegeven dat niet gebruikt wordt om te sturen of controleren, maar alleen om de realiteit te ontdekken.
  2. Bij conformance checking wordt een model van het proces (bijvoorbeeld het model uit process discovery) gebruikt om afwijkingen of alternatieve wegen in het proces te onderkennen.
  3. Process enhancement omvat het uitbreiden of verbeteren van procesmodellen op basis van data over het daadwerkelijke verloop van een proces. Hier worden bijvoorbeeld bottlenecks aangepakt of alternatieve paden onmogelijk gemaakt.
  4. In process analytics worden verdere analyses gemaakt op basis van de eventdata en de procesmodellen, bijvoorbeeld om toevoegingen beter te begrijpen, toekomstige stappen te voorspellen of opvolgingsacties te definiëren.

Binnen de controlepraktijk kan process mining gedurende meerdere fases in het controleproces worden ingezet:

  1. Tijdens walkthroughs. Hierbij wordt process mining ingezet om de walkthrough te visualiseren op basis van de eventdata. Het voordeel hiervan is dat niet alleen de happy flow in kaart wordt gebracht, maar alle mogelijke paden binnen een proces.
  2. Als basis om steekproeven of deelwaarnemingen op te baseren. Hierbij kunnen bijvoorbeeld alleen items met een hoger risico worden gecontroleerd, omdat deze niet via de happy flow, maar via een alternatief pad lopen.
  3. Voor compliance checking. Hierbij kunnen bijvoorbeeld beheersingsmaatregelen als een vier-ogenprincipe in een proces voor de volledige populatie getest worden.

In deze casus is process mining ingezet om initieel een lijncontrole uit te voeren van de processen bij ieder van de vier klanten van PGGM. Vervolgens zijn deze vier process flows met compliance checking naast elkaar gezet om zo ook aan te tonen dat ieder van de vier pensioenfondsen precies dezelfde stappen volgt binnen de processen, zoals die in deze casus benoemd worden.

Toepassing van process mining

Ervaringen met process mining bij PGGM

Voor het toepassen van process mining is bij PGGM een multidisciplinair projectteam samengesteld met kennis over de uitvoering van pensioenenprocessen, procesanalyse en data-analyse.

De eerste fase van het experiment was gericht op het ontdekken van de mogelijkheden van process mining en de tooling. De toegevoegde waarde van process mining werd snel zichtbaar, door het geven van inzicht in de werkelijke uitvoering van de processen, inclusief knelpunten. Zo werd duidelijk dat er sprake was van het onnodig en veelvuldig doorsturen van activiteiten, en dat de wachttijden hoog waren bij de overdracht van werkzaamheden tussen afdelingen. PGGM heeft deze knelpunten kunnen oplossen door een herinrichting van de processtroom. Andere voorbeelden van geïnitieerde procesverbeteringen zijn:

  • verkorten van de doorlooptijd en het creëren van klantwaarde door het elimineren van activiteiten die niet van toegevoegde waarde zijn voor het proces;
  • realiseren van een betere procesbeheersing door inzicht in ‘first time right’;
  • ontwerpen van een multi-client procesuitvoering in plaats van een fonds-specifieke uitvoering;
  • toepassen van Robotic Process Automation op processen. Hierbij worden repeterende menselijke handelingen in administratieve processen uitgevoerd door softwarematige robots.

De volgende stap was onderzoeken hoe process mining in te zetten is voor het verkrijgen van inzicht in de beheersing van de processen. Daarbij zijn de uitgangspunten gehanteerd dat process mining leidt tot:

  1. efficiëntere uitvoering van de controls;
  2. tijdsbesparing van de controlewerkzaamheden voor de tweede en derde lijn;
  3. op termijn mogelijk meer zekerheid, doordat volledige populaties worden betrokken in plaats van deelwaarnemingen.

Process mining kan aanvullende zekerheid bieden, omdat het uitgaat van een integrale analyse van de volledige populatie. Het selecteren van deelwaarnemingen, vaak de huidige methodiek, is hierdoor overbodig. De techniek laat namelijk alle handelingen en onderliggende relaties voor de volledige populatie zien. Voorbeelden van toepassingen van process mining op een volledige populatie is het vaststellen of alle aan de deelnemers verstuurde brieven zijn gecontroleerd door een medewerker, of dat voor iedere mutatie een controle-technische functiescheiding is uitgevoerd.

Beperkende factoren van process mining zijn vaak (en dit heeft PGGM ook ervaren) dat de data-architectuur niet is ingericht op een eenvoudig gebruik van process mining. Datapreparatie kost veel tijd, omdat de benodigde informatie uit verschillende systemen komt. Daarnaast worden niet alle handmatige activiteiten binnen het workflow-systeem gelogd, met als risico dat niet alle processen door de data kunnen worden gedekt. Een goed ingerichte data-architectuur is essentieel om optimaal gebruik te kunnen maken van de tooling.

Uitwerking van de PGGM-casus

Ter verduidelijking wordt op basis van een praktijkvoorbeeld het toepassen van process mining bij PGGM nader toegelicht. Als voorbeeld is het proces ‘Excasso’ uitgewerkt.

Het startpunt voor de process mining-analyse was een overleg met alle betrokkenen van het excasso-proces binnen PGGM. Het doel van dit overleg was om de haalbaarheid van het multi-client uitvoeren van de testwerkzaamheden te bepalen. Naar aanleiding van het overleg is geconcludeerd dat het proces Excasso in aanmerking zou komen om multi-client uitgevoerd te kunnen worden. De daadwerkelijke haalbaarheid zou onder meer door process mining moeten worden aangetoond.

In het excasso-proces worden de pensioenrechten en -toekenningen van deelnemers omgezet naar een daadwerkelijke uitbetaling. Een belangrijk onderdeel hierin is de omrekening van het bruto toekenningsbedrag naar de netto uitbetalingsrechten: de bruto/netto-berekening. Verder zitten er in het proces diverse controles en fiattering, die vanwege het karakter van het proces zeer evident zijn. Het excasso-proces omvat drie hoofdactiviteiten, zie Figuur 1.

C-2018-4-Stoof-01-klein

Figuur 1. Excasso-proces. [Klik op de afbeelding voor een grotere afbeelding]

De eerste stap in de analyse was het creëren van een eventlog. Als databron is het betaal- en fiscale systeem gebruikt. De data zijn vervolgens ingeladen in de process mining-tool.

De eerste resultaten op basis van de eventlog waren nog niet toereikend, waarop de eventlog is verrijkt met data uit andere bronnen, waarbij de auditor de trail van de data kan volgen. De definitief gecreëerde eventlog heeft uiteindelijk geleid tot het overzicht zoals weergegeven in Figuur 2.

C-2018-4-Stoof-02-klein

Figuur 2. Uitkomst process mining. [Klik op de afbeelding voor een grotere afbeelding]

De uitkomst van de analyse in Figuur 2 laat zien dat de processtromen voor de vier pensioenfondsen op eenzelfde wijze verlopen. Allereerst wordt er een brutobestand gegenereerd in het systeem, waar de pensioenrechten worden geadministreerd (processtap: ‘Brutobestand’). In het brutobestand zijn de bruto pensioenrechten opgenomen. In de volgende stap vindt de omzetting plaats van de bruto pensioenrechten naar de netto uitbetalingsrechten. Dit wordt uitgevoerd door een externe partij (processtap: ‘Bruto/netto-berekening’). Vervolgens wordt het netto uitbetalingsbestand retour ontvangen (processtap: ‘Nettobestand’). Hierna vinden er controles plaats of de bruto/netto-berekening correct is verlopen, waarna de fiattering en goedkeuring van het netto uitbetalingsbestand plaatsvindt (processtap: ‘Fiattering’). Ten slotte wordt dit uitbetalingsbestand verstrekt aan de uitbetalingsafdeling, die de uitbetaling verricht bij de bank (processtap: ‘Uitbetaling’).

Een andere benadering die kan worden gehanteerd is dat process mining de volledige processtroom laat zien. De cases die in de ‘happy flow’ zitten, worden aangemerkt als ‘in control’. Interessant zijn de excepties die zichtbaar worden; die moeten worden geanalyseerd en verklaard. Deze stromen zijn in het kader van procesbeheersing immers niet wenselijk. Zoals te zien is in Figuur 2 waren er in dit proces geen excepties.

Door middel van de analyse en uitkomst, zoals weergegeven in Figuur 2, wordt aangetoond dat de processen voor meerdere pensioenfondsen identiek worden uitgevoerd. Door middel van process mining is zichtbaar gemaakt dat alle activiteiten in het proces, ongeacht welk pensioenfonds, dezelfde processtroom volgen. Voor de vastlegging van deze conclusie is een beschrijving van de log en de wijze van extractie naar de workflow-tool opgenomen. Ook is beschreven welke filters zijn gehanteerd in de tool, en zijn de controls geplot op de procesplaat. Naast de inzet van process mining is de analyse verder onderbouwd door interviews met materiedeskundigen, een walkthrough en een inspectie op onder meer werkinstructies, beleid en handleidingen.

Op basis van de ervaringen van PGGM zijn de volgende ‘lessons learned’ opgesteld:

  • Zorg voor een adequate inrichting van de data-architectuur;
  • Maak gebruik van de aanwezige kennis in de organisatie en schakel deze in. Denk aan data-analisten, SQL-specialisten, procesanalisten en auditors;
  • Focus niet alleen op process mining, maar maak gebruik van een combinatie van data-analysetechnieken.
  • Experimenteer en sta open voor nieuwe inzichten en technieken.

Impact op de auditwerkzaamheden van de auditor en randvoorwaarden

In het voortraject is er tussen PGGM en de auditor veel gesproken over de randvoorwaarden en mogelijkheden om process mining toe te passen in het kader van de Standaard 3402/3000-audit, om aan te tonen dat bepaalde processen voor meerdere pensioenfondsen op een generieke manier worden toegepast.

Uitgangspunt van PGGM is om de Standaard 3402/3000-rapporten specifiek te houden per pensioenfonds. In het geval dat een aantal processen multi-client getest zal worden, is het van belang dat kan worden aangetoond dat deze processen en bijbehorende beheersingsmaatregelen daadwerkelijk op een generieke manier plaatsvinden voor alle pensioenfondsen.

Hierbij is vanuit de auditor een aantal zaken van belang, dat hieronder verder wordt uitgewerkt:

  • Scoping. Van tevoren dient nagedacht te worden over de scoping, waaronder welke pensioenfondsen, processen, processtappen, et cetera tot het auditobject behoren;
  • Het kunnen aantonen van de betrouwbaarheid van de gebruikte data is van belang. Zo is het nog niet voor alle systemen mogelijk om de data te ontsluiten die gebruikt kan worden voor process mining;
  • Andere procedures dan process mining leveren aanvullend controlebewijs op om vast te stellen of het proces en de beheersingsmaatregelen generiek zijn, waaronder het doornemen van procesbeschrijvingen;
  • Toelichting over deze aanpak in het Standaard 3402/3000-rapport.

Omdat er bij PGGM gebruik wordt gemaakt van twee verschillende applicaties waarin de pensioenadministraties worden geadministreerd, is de beslissing genomen dat daarom niet voor alle pensioenfondsen een generieke methodiek kan worden gevolgd. Voor vier pensioenfondsen waarvan de pensioenadministratie in één applicatie wordt uitgevoerd, is gekozen om dit verder te onderzoeken.

Door middel van process mining kan worden aangetoond dat processen dezelfde flow volgen voor alle pensioenfondsen. Dit geeft inzicht in het feit dat de processen en bijbehorende beheersingsmaatregelen in de applicatie op een generieke manier worden behandeld. Voor de auditor was het van belang dat door PGGM duidelijk is vastgelegd hoe men tot deze conclusie is gekomen. Dit houdt onder meer in dat PGGM voor de auditor inzichtelijk heeft moeten maken hoe zij de analyse door middel van process mining heeft uitgevoerd, en wat daarbij de conclusies waren. Ook de analyse en toelichting van de uitzonderingen is door de auditor ge-reperformed. Ook was van belang dat de betrouwbaarheid van het gehanteerde databestand, met daarin de populatie waarop de process mining heeft plaatsgevonden, kon worden vastgesteld. Dit houdt in dat herleidbaar moet zijn hoe de data (zogenaamde ‘information produced by the entity’) zijn verkregen vanuit het systeem, en dat deze juist en volledig zijn. Hierbij is onder meer van belang dat vastgesteld moet kunnen worden dat er na het downloaden van gegevens uit de pensioenadministratie geen handmatige aanpassingen meer hebben plaatsgevonden.

Voor de auditor is het daarbij ook van belang om vast te stellen dat de processen die als multi-client behandeld zullen worden door één team worden uitgevoerd, in plaats van door specifieke klantteams, waardoor het risico kan bestaan dat bepaalde controls toch op een andere manier worden uitgevoerd. We hebben aan de hand van procesbeschrijvingen vastgesteld dat er sprake was van één Shared Service Center, dat de betreffende processen generiek uitvoert voor alle pensioenfondsen.

Ook is het vanuit het oogpunt van de auditor van belang dat in het Standaard 3402/3000-rapport duidelijk wordt toegelicht aan de gebruikers dat niet alle processen separaat zijn getest voor die specifieke gebruiker, maar dat voor een aantal processen dit op basis van een multi-client-aanpak is uitgevoerd. Zowel PGGM als de auditor lichten dit duidelijk toe in het rapport. Process mining kan daarmee een toegevoegde waarde leveren voor de gebruiker van het Standaard 3402/3000-rapport. Naast een schriftelijke toelichting is het aan te raden om de pensioenfondsen hier tijdens periodieke besprekingen tijdig en mondeling over te informeren.

Toekomst

Op dit moment wordt ook gekeken naar de toekomst, waarbij onder meer wordt onderzocht wat de mogelijkheden zijn om process mining te integreren in de beheersingsmaatregelen. Een voorbeeld hiervan is dat een medewerker voor de pensioenadministratie aan de hand van process mining voor een volledige populatie over een bepaalde periode vaststelt of er geen excepties zijn geweest ten opzichte van het standaardproces, en als dit wel het geval is, deze excepties analyseert. Een voordeel van deze methodiek is dat de volledige populatie wordt meegenomen in de uitvoering van de beheersingsmaatregel, en de auditor zich ook meer op volledige populaties baseert, in plaats van een aantal deelwaarnemingen te selecteren en op basis daarvan een conclusie te trekken.

Op deze manier kan op een efficiënte manier assurance worden verstrekt over de volledige populatie, wat ook een toegevoegde waarde kan zijn voor de gebruiker van het Standaard 3402/3000-rapport. Daarnaast zou process mining ook ingezet kunnen worden als continuous monitoring-tool, waarbij de data wellicht continu zou kunnen worden ingeladen om afwijkingen binnen het proces direct te detecteren.

Conclusie

Tijdens de controle van de Standaard 3402-rapporten door PGGM heeft deze in samenspraak met KPMG process mining ingezet. Hiermee is aangetoond dat vier van de pensioenfondsen hetzelfde proces volgen, en hierin ook gebruikmaken van dezelfde controls binnen het proces. Process mining biedt inzicht in de gehele populatie, terwijl de auditor normaal gesproken gebruikmaakt van deelwaarnemingen. De volgende stappen in het gebruik van process mining bij PGGM liggen zowel in de combinatie met andere processen, als het invoeren van process mining als control binnen de Standaard 3402/3000-rapportage. Door process mining in te zetten als control komt continuous monitoring een stap dichterbij.

Referentie

[Rama16] E. Ramezani Taghiabadi PhD, drs P.N.M. Kromhout Msc RE CISA and ir. M Nagelkerke RE, Process mining: Let data describe your process, Compact 2016/4, https://www.compact.nl/articles/process-mining/, 2016.