למידת מכונה
שימוש הלכה ולמעשה ב-DATA Science & Process mining & Machine Learning לאיתור חריגים וליישום בקרה מתמשכת בארגון
בשנים האחרונות, לאור ההתקדמות הטכנולוגית המהירה, מדברים רבות על Data Science, Machine Learning & Artificial Intelligence לשימוש בניתוח תנועות (טרנזאקציות) ואיתור חריגים. הכלים משמשים במגוון תחומים, שהעיקריים והמוכרים שבהם הם מעילות והונאות, שוחד והלבנת הון. כאן יש להזכיר את חטיבת Actimize של חברת ,NICE המחזיקה במגוון כלים מובילים בתחום, המשמשים בין היתר גופים פיננסיים וחברות ביטוח מובילות בארץ ובעולם לאיתור והתראה בזמן אמת של תנועות חשודות המבוססות על חוקים ולוגיקות ולמידה מתמשכת של התנהגות. דוגמה טובה לכך היא ההתראה שמקבל בעל כרטיס אשראי במקרה שבו מבוצעות רכישות בכרטיס האשראי בשני מקומות מרוחקים פיזית בתוך פרק זמן קצר.
עקרונות מנחים ליישום כלים לניטור, ניתוח ואיתור חריגים בטרנזאקציות עסקיות
- חיבור ישיר ומהיר לבסיס המידע בייצור לשליפת הנתונים שעליהם מבוצעים הניתוחים, בין אם מדובר במערכת ERP פיננסית כדוגמת SAP, מערכת מכירות כדוגמת Sales Force, מערכת משאבי אנוש כדוגמת Success Factor וכדומה. מצד אחד נדרש זמן תגובה ושליפה מהיר, ומצד שני יש לוודא שהכלי אינו מכביד ומעמיס על מערכת הייצור, אינו מאט את זמן התגובה ולא פוגע במשתמשים הקיימים.
- הגדרת rule base – רשימת החוקים לאיתור החריגים. בשפת הביקורת מדובר ב-check list שמהווה best practice של חריגים בהתאם לתהליך העסקי שבודקים. דוגמאות בתהליך הרכש: ספק שנפתח יותר מפעם אחת ב-master data של הספקים, תשלומים כפולים לספקים, ספקים שסניף חשבון הבנק שלהם נמצא במדינה אחרת מזו של הספק והדבר מהווה חשד להלבנת הון, וכדומה.
- הקטנה למינימום האפשרי של מקרי ה-False Positive באמצעות תהליך למידה עצמית Machine Learning. כיום גם משתמשים בכלי Artificial Intelligent לזיהוי ה-False Positive ונטרולם מהשליפה. הדבר שפוגע יותר מכל באמינות ובאפקטיביות השימוש בכלים הוא ה-False Positive, כלומר קבלת מסה גדולה של חריגים שאחוז גבוה מהם אינו באמת חריג. מובן שיש לשים לב ולבחון גם את ה-True Negative, כלומר תנועות שהיו צריכות לעלות בשליפה כחשודות ולא עלו. אלו מקרים שהאתגר לאיתורם גדול הרבה יותר.
- מתן הכלים והנתונים הנדרשים לתחקור יעיל, אפקטיבי ומהיר של החריגים. זהו גורם משמעותי נוסף שתורם לקיצור זמן התחקור שנדרש ומגביר את רמת האמון והשימוש בכלי. דוגמה לכך אפשר לתת בתחקור חשבונית חשודה עם כלי שמאפשר לבצע drill down עד לרמת שורת החיוב בחשבונית, הצגה בלחיצת כפתור של כל החשבוניות מהספק עם אותם פרטי חיוב, וכן הלאה, הכול בהתאם לצורכי המתחקר.
- ממשק ניהול משתמש ידידותי ואינטואיטיבי שמאפשר ניהול שוטף של החריגים שעלו. כמו בכל מערכת מידע, גם בכלים אלה יש חשיבות גבוהה מאוד לממשק משתמש שיענה לצורכי המשתמש ויעניק חוויית משתמש מהנה הן מבחינה פונקציונלית והן מבחינה ויזואלית, כדי לגרום לו לרצות לחזור ולהשתמש בכלי.
שימוש ב-Process Mining במסגרת הביקורת
כאשר ניגשים לביצוע ביקורת פנימית על תהליך עסקי, חלק מעבודת הביקורת הוא הבנת התהליך, אילו פעולות/שלבים מעורבים בו, איסוף נתונים רלוונטיים (לרבות נתונים סטטיסטיים) ועוד. בביקורת המסורתית, המבקר מתשאל את המבוקר לגבי התהליך העסקי ומבקש ממנו לראות דוגמאות במערכת, דוחות ומסמכים. לעומת זאת, בכלים המתקדמים של Process Mining, היישום בונה תרשים זרימה של התהליך העסקי מתוך התנועות העסקיות שהוזנו ונוצרו במערכת. היישום גם מספק את המסלולים השונים של התהליך העסקי שנבדלים בפעולות/השלבים השונים שבוצעו במסלול, וכן סטטיסטיקות כדוגמת כמות התנועות בכל פעולה/שלב, האחוז שלהן מתוך כלל התנועות, וכדומה. היתרון המשמעותי בכך הוא שהמבקר מגיע לתשאול עם המבוקר כאשר ברשותו הבנה בסיסית של התהליך העסקי ושל הפעולות/שלבים המרכיבים אותו, והוא יכול להתמקד בשאלות איכותיות לגבי הנתונים והפעולות/השלבים בתהליך, הבנת הסיבות להבדלים בין המסלולים השונים (ובפרט המסלולים הפחות שכיחים) וכדומה.
הינה דוגמה לתהליך עסקי Procure To Pay (P2P) שנבנה מתוך התנועות במערכת SAP:
ניתן לראות בדוגמה שני מסלולים: מסלול עם חסימה של התשלום לספק, ולאחר מכן שחרור החסימה לצורך ביצוע התשלום, ומסלול שבו לא מבוצעת פעולת חסימה ושחרור תשלום, כלומר התשלום מבוצע אוטומטית. בבדיקתו יתמקד המבקר בהבנת הסיבה למקרים שבהם מבוצעת פעולה ידנית של חסימת התשלום ולאחר מכן שחרור ידני לצורך ביצוע התשלום, אל מול המקרים של שחרור אוטומטי.
יתרונות מרכזיים בשימוש בכלים המתקדמים
- הקטנה של התלות במבוקר ובגורמים עסקיים אחרים בארגון כדוגמת IT. הכלים מאפשרים למבקר נגישות וניתוח עצמאי של הנתונים כאשר כל המידע פרוס בפניו. עם השימוש בכלים המתקדמים, נחסך כל התהליך והזמן שהושקעו בבקשת הנתונים מהמבוקר (שבמקרים רבים היה צריך לקבל סיוע של אנשי ה-IT), בבדיקת הנתונים שהתקבלו מהמבוקר, ובמקרה שהשליפה לא הייתה תקינה בבקשה לתיקון ובשליפה מחדש של הנתונים וחוזר חלילה.
- יעילות וקיצור זמני הביקורת. עד למועד השימוש בכלים המתקדמים צוותי הביקורת הגיעו למשימת הביקורת ללא כל ידע מוקדם. כיום המבקרים מגיעים עם ידע מוקדם על הפעולות/השלבים המרכיבים את התהליך העסקי, על המסלולים השונים הקיימים בתהליך העסקי (כולל אלו הפחות שכיחים), ועל הנתונים והסטטיסטיקות של התהליך העסקי (לדוגמה, מספר הספקים הכולל שאיתם עובדים, מספר הספקים שנפתחו השנה, סכום הוצאה שנתית לספק וכדומה).
- בחברות בין-לאומיות עם מספר חברות, אפשר לבצע בכלי אחד מרכזי ניתוח והשוואה של התהליכים והנתונים העסקיים בין החברות השונות. יתרון נוסף הוא חיבור וניתוח של נתונים ממספר מערכות שונות.
- כאמור, הקטנה למינימום האפשרי של מקרי ה-False Positive באמצעות תהליך למידה עצמית Machine Learning, נדבך שהתעצם בשנים אחרונות ומבדל כלים חדישים אלה מיישומים ותהליכי ניתוח נתונים שמבוצעים מזה עשרות שנים.
שימוש בכלים מתקדמים לניטור, ניתוח ואיתור חריגים בטרנזאקציות עסקיות – בהובלה ובעלות הקו השני או הקו השלישי?
לאור ההתפתחות והשימוש הגובר בכלים המתקדמים של DATA Science & Process mining & Machine Learning, עולה השאלה מי בחברה צריך להשתמש בכלים המתקדמים: האם המבקרים הפנימיים המהווים את הקו השלישי, הגופים בארגון השייכים לקו השני (כגון גופי הציות, ניהול הסיכונים וכדומה), היחידות הארגוניות בקו הראשון (כגון מנהלי היחידות העסקיות), או אולי שילוב שלהם? אין לכך תשובה חד-משמעית, והמענה תלוי בין היתר ברמת הבשלות של החברה בשימוש בכלים המתקדמים, בגורם שמוביל ודוחף להטמעתם בחברה, ביחסי הכוחות בחברה ובסביבת הבקרה שלה. בהחלט ניתן לעבוד במודל שבו הקו השני הוא זה שמשתמש בכלים, והביקורת הפנימית מוודאת שמשתמשים בכלים באופן נכון. בדיקה זו יכולה לכלול את נאותות ה-rule base שהוגדרו, את אופן הטיפול והמעקב בחריגים, בחינה אם יש תהליך סדור של הפקת לקחים ושיפור מתמיד, וכדומה.
סיכום
העולם משתנה לנגד עינינו. הטכנולוגיה מתקדמת בצעדי ענק.
הביקורת הפנימית חייבת להשכיל ולבצע את קפיצת המדרגה בשימוש בכלים הטכנולוגיים המתקדמים ולרתום אותם לשירותה על מנת לשפר, לשכלל ולייעל את עבודת הביקורת ואת איכות הביקורת ולא להישאר מאחור.
הדבר דורש חזון, מוטיבציה, הירתמות של כל הגורמים הרלוונטיים לנושא, ובראש ובראשונה המבקרים, וכן השקעה רבה בבחירת הכלי המתאים ואפיון נכון של תהליך העבודה והשימוש בכלי.