Internal audit en robotic process automation (RPA)

Het toepassen van nieuwe technologieën zoals robotisering, neemt in hoog tempo toe. Een aantal jaren terug vond dit grotendeels plaats bij logistieke en productiebedrijven, maar tegenwoordig bij alle typen organisaties en afdelingen. Wat zijn de gevolgen van robotisering en wat betekent dit voor internal audit?

Vandaag de dag komen investeringen in geavanceerde technologieën zoals robotic process automation (RPA), artificial intelligence (AI), natural language processing en machine learning steeds vaker voor binnen organisaties. Technologische ontwikkelingen zijn natuurlijk niet nieuw. Er zijn een paar verschillen. Zo kent de introductie van de RPA-technologieën een aantal specifieke voordelen:

1. De leerkosten nemen gestaag af waardoor de kosten significant lager worden en daarmee wordt de business-case van het investeren in RPA steeds aantrekkelijker. Wanneer je de kosten van een gemiddelde werknemer afzet tegen die van een robot, dan is de investering op dit moment binnen een jaar terugverdiend.
2. De implementatietijd om RPA-technologie te implementeren neemt degressief af: op dit moment kan het robot-iseren van een bedrijfsproces al in enkele weken worden volbracht.
3. Het volume van de output is significant hoger: de output (gemeten in hoeveelheden) van een robot is vele malen groter dan wat een gemiddelde medewerker of een afdeling kan produceren.

Wie is verantwoordelijk wanneer er iets fout gaat met de robot?

Hogere controlekwaliteit

Het uit handen nemen van repeterende werkzaamheden van medewerkers heeft naast kostenvoordelen ook andere voordelen. Het robotiseren van bedrijfsprocessen leidt bijvoorbeeld tot hogere controlekwaliteit, aangezien de robot werkzaamheden altijd in een keer juist verwerkt en geen last heeft van menselijke fouten. Ook op het gebied van compliance en control levert een robot voordelen op. De keuzen die een robot maakt, worden immers altijd gelogd en hiermee kun je de audit trail van begin tot eind goed in kaart brengen. Controles worden geautomatiseerd en de robot voert te allen tijde deze checks uit. Concrete voorbeelden van gerobotiseerde processen op financiële afdelingen zijn: verwerken van facturen in het ERP-systeem, invoeren van journaalboekingen en opstellen van financiële rapportages.

Naast RPA zetten veel organisaties de volgende stap in robotisering. Deze volgende stap betreft een vorm van robotisering die meer cognitief van aard is en die in staat is om te werken met ongestructureerde data. Daarnaast komt het lerend vermogen op basis van handelingen uit het verleden om de hoek kijken (zie figuur 1). De grote organisaties zijn druk bezig om dit soort capaciteiten toe te voegen aan hun bestaande RPA-oplossingen en de volgende stap te maken in robotisering.

Impact op internal audit

Nu duidelijk is wat RPA en robotisering omvatten, komt logischerwijs de vraag naar voren hoe een internal auditfunctie (IAF) dient om te gaan met deze ontwikkelingen. Op basis van onze huidige ervaringen bij diverse organisaties kunnen de volgende vier relevante thema’s voor internal audit worden geïdentificeerd:

1. inspelen op risico’s ontstaan door de opkomst van RPA;
2. beheersing van risico’s rondom robots;
3. auditen van software robots;
4. toepassen van RPA-elementen binnen de internal auditfunctie.

1. Inspelen op risico’s ontstaan door de opkomst van RPA
Wanneer organisaties starten met het implementeren van RPA, krijgen zij al snel te maken met nieuwe risico’s. Een van de meest interessante risicovraagstukken op het gebied van robotisering raakt aan de governance en het eigenaarschap van robots.

Vanuit een businessperspectief zal het management de softwarerobot zien als (mogelijke) vervanging of ondersteuning van een normale medewerker. Processen die door robots worden uitgevoerd, zoals het invoeren van journaalboekingen, bevatten vaak processtappen die deels door de robot worden uitgevoerd en deels door de medewerker. Robots worden dusdanig geprogrammeerd dat er sprake is van een interactie tussen de werkzaamheden van de ‘objectieve‘ robot en de meer ‘subjectieve’ processtappen waarbij een medewerker bijvoorbeeld nog goedkeuring geeft.

Vanuit een governanceperspectief is de business verantwoordelijk voor de primaire processen en voert het continue interactie met de robot. Echter, het robotiseren van bedrijfsprocessen gebeurt door middel van een applicatie. Vanaf het eerste moment dat organisaties aan de slag gaan met robotisering wordt samen gewerkt met de IT-afdeling om deze nieuwe applicatie te installeren, robot user accounts aan te vragen voor bestaande applicaties en een infrastructuur neer te zetten waarop de robots veilig processen kunnen uitvoeren. Maar dan rijst de vraag wie van deze twee partijen verantwoordelijk is wanneer er iets fout gaat met de robot?

Het risico van onduidelijkheid over rollen en verantwoordelijkheden op het gebied van robotisering is een concreet voorbeeld uit de praktijk. Wanneer een robot een verkeerde transactie uitvoert in het ERP-systeem, wie is dan verantwoordelijk voor ‘het gedrag’ van deze robot en wie kan dit preventief controleren? Wie is eigenaar van de robot? De IAF kan hier proactief een rol spelen in het identificeren en het auditen van risico’s.

2. Beheersing van risico’s rondom robots
Naast de voordelen van onder andere kostenreductie en  procesverbetering, brengt het introduceren van RPA uitdagingen met zich mee. Het gebruikmaken van robots roept interessante vragen op het gebied van interne beheersing op, bijvoorbeeld met betrekking tot functiescheiding. In een traditionele financeafdeling stelt een medewerker een factuur op en accordeert een tweede medewerker deze in het systeem. Hierdoor kan functiescheiding en juiste autorisatie worden vastgesteld. Wat is het gevolg als dit proces door een robot wordt uitgevoerd? Dienen er dan twee aparte robots te worden gecreëerd (bijvoorbeeld Robot_01 en Robot_02) zodat functiescheiding in stand blijft? Of is functiescheiding niet meer nodig? Wat betekent robotisering voor interne controles in het proces? Dit is een dilemma waar organisaties, riskfuncties en IAF’s mee te maken hebben bij het beheersen van RPA-risico’s.

Andere nieuwe risico’s hebben betrekking op het ontwikkelen, beheer en onderhoud van de robot en op toegangsbeveiliging. Wanneer de business er voor kiest om nieuwe beheersmaatregelen in te richten voor de robot, ontbreekt vaak kennis van welke (IT-)risico’s er spelen. Zowel riskfuncties als IAF’s kunnen hier een proactieve rol spelen door vroeg in het implementatietraject mee te kijken naar de risico-inschatting en de opzet en implementatie van controls voor RPA.

3. Auditen van software robots
Nadat veel organisaties zijn gestart met een ‘proof of concept’ waarin de werking van RPA-technologie wordt aangetoond, komen robots in het vizier van internal auditors zodra deze in een productieomgeving actief worden. Zeker wanneer kritische processen worden uitgevoerd door robots en medewerkers die voorheen het proces uitvoerden niet meer werkzaam zijn bij de organisatie, wordt de vraag of de robot betrouwbaar werkt levert steeds relevanter. Het daadwerkelijk auditen van robots vergt een aanpak die nieuw kan zijn voor IAF’s. Specifieke kennis over de roboticsoplossing en van de achterliggende geprogrammeerde code is vereist, alsmede kennis van het gerobotiseerde proces.

Wanneer organisaties starten met nieuwe RPA-technologieën krijgen zij al snel te maken met nieuwe risico’s

4. Toepassen van RPA-elementen binnen de IAF
Tot slot kan het toepassen van robotics ook resulteren in kostenreductie, procesefficiëntie en verhoogde kwaliteit binnen de IAF zelf. Uiteraard hangt de toepasbaarheid sterk af van de mate van standaardisatie, beschikbaarheid van IA-tooling en data. Echter, in alle fasen van het internal auditproces bestaan diverse mogelijkheden voor robotisering (bijvoorbeeld risk assessment, planning, testen, rapportages, opvolging & monitoring, dossiervorming, auditmanagement en administratie). Een logisch voorbeeld hierbij is het toepassen van RPA voor bepaalde testwerkzaamheden met een repetitief karakter.

Met de toegevoegde waarde die RPA levert, kunnen IAF’s ook andere voordelen realiseren:

1. verbeteren van de kwaliteit en consistentie van het internal auditproces;
2. verbeteren van de efficiëntie in het plannen, testen en rapporteren waardoor IAF’s meer tijd kunnen besteden aan bijvoorbeeld interviews, observaties en analyses;
3. vergroten van de omvang en frequentie van testwerkzaamheden die worden uitgevoerd;
4. vergroten van de audit scope voor individuele audits;
5. inspelen op de capaciteitsvraagstukken en geografische beperkingen binnen IAF’s.

Voor het implementeren van robotics bij organisaties gebruikt KPMG het 6×6-model. Het 6×6-model bestaat uit 6 hoofdstukken met ieder 6 paragrafen die relevant zijn bij het succesvol inrichten van robotics. Deze 6 hoofdstukken zijn: Organisatiestructuur & governance, Pijplijn en implementatie, Technologie, Leverancier management, Performance & risicomanagement, Medewerkers en competenties (zie figuur 2). Tevens wordt dit framework gebruikt door de IAF voor het inschatten van RPA-specifieke risico’s, het inrichten van gerelateerde beheersmaatregelen en het auditen van robots. Het model leent zich ook uitstekend als referentiemodel voor een internal audit.

Conclusie

Met de komst van nieuwe RPA-technologieën kunnen menselijke vaardigheden steeds vaker worden overgenomen. Het is een kans voor IAF’s om in dit stadium een bijdrage te leveren aan het inzichtelijk krijgen wat de specifieke risico’s zijn en welke controls en beheersing noodzakelijk zijn. Een volgende stap voor IAF’s is om de robots en de gerobotiseerde processen te auditen en om tegelijkertijd na te denken over waar RPA-elementen binnen de IAF zelf kunnen worden toegepast.