Omarm de robot en laat de mens hem controleren

Robotic process automation (RPA) maakt al enkele jaren een opmars in de automatisering van processen binnen organisaties. Software robots bootsen stappen na die normaal gesproken mensenwerk zijn. Niet alleen heeft de RPA-technologie gevolgen voor de processen en werkzaamheden, ook de rol van de internal auditfunctie (IAF) verandert.

Waar hedendaags sommige IAF’s audits uitvoeren op het functioneren van medewerkers, wordt in de toekomst vooral naar de kwaliteit en effectiviteit van de software robots gekeken. Om op deze ontwikkeling te anticiperen, vond er in het najaar van 2020 in samenwerking met VVA Informatisering een IIA PAS (voor kleine auditfuncties) workshop plaats over het topic robotic process automation. Tijdens deze workshop bleek dat RPA een onderbelicht onderwerp is onder auditors. Ook is nog niet duidelijk wat de invloed van RPA op de IAF is.

Inzicht

Dit artikel geeft inzicht in de rol van een IAF wanneer een organisatie besluit audits uit te voeren op processen die door deze digitale medewerkers worden uitgevoerd. Om een zo compleet mogelijk beeld te krijgen, worden aan de hand van een fictieve casus een paar belangrijke risico’s van RPA en de bijbehorende beheersmaatregelen toegelicht. Waarbij hier als eerste stap de aanpak en risico’s niet veel verschillen van een andere IT-tool/applicatie-audit. De focus ligt daarbij met name op het doorgronden van de risico’s en het opzetten van beheersmaatregelen rondom de governance, de ontwikkeling en het beheer van RPA. Ook is te lezen dat veel van de risico’s overeenkomen met de generieke IT-risico’s.

Waar hedendaags sommige IAF’s audits uitvoeren op het functioneren van medewerkers, wordt in de toekomst vooral naar de kwaliteit en effectiviteit van de software robots gekeken 

Casus fictieve kleine auditfunctie

Binnen een bedrijf heeft de business sinds één jaar de mogelijkheid om intern met een RPA-tool te werken om gestructureerde processen te automatiseren. Tijdens de jaarlijkse risico-inventarisatie, als input voor het internal audit jaarplan 2021, hoort de manager Audit van een kleine auditfunctie van de CEO dat hij de controle mist op de ontwikkeling, het beheer en de governance rondom RPA. Zijn vraag aan de manager Audit is om een audit op RPA op te nemen in het jaarplan van 2021. De manager Audit geeft zijn team de opdracht om te starten met de audit. Het team loopt vervolgens tegen de volgende zaken aan.

Governance

Het formuleren van een duidelijke RPA-strategie
Tijdens de audit geven interviews inzicht in de rollen en verantwoordelijkheden omtrent RPA. Al snel wordt duidelijk dat verschillende personen (werkend in de business) toegang hebben tot de RPA-software. Deze software is aangeschaft door de afdeling Finance. Ook blijkt dat meerdere medewerkers de software gebruiken voor eigen processen, met als doel hun werkdruk te verlagen. Het management en de IT-afdeling weten dit niet.
De belangrijkste conclusie is dat het ontbreken van standaarden en monitoring op RPA ervoor kunnen zorgen dat er een wildgroei aan robots kan ontstaan, die niet op een adequate wijze zijn ingericht en worden beheerd. Er is dus geen zicht op de aanwezigheid en de werking van de robots. Bovendien, de aanvankelijke motivatie om met RPA aan de slag te gaan, namelijk het realiseren van innovatie, lijkt verschoven naar een ander doel: het verlagen van de werkdruk.

Het advies ⇒ aan de business is dat er een duidelijke visie opgesteld moet worden voor het gebruik van RPA en de algehele RPA Lifecycle.

Rollen, rechten en verantwoordelijkheden bepalen
Binnen de organisatie ontbreken ook richtlijnen voor het gebruik en beheer van de robots. Normaliter ondersteunt de IT-afdeling de business met het opzetten en beheren van de robots. Echter, door het verspreide gebruik van robots voelt deze afdeling zich hiervoor niet verantwoordelijk. De activiteiten worden intern uitgevoerd zonder de benodigde vaardigheden of extern advies ter ondersteuning. De RPA-aanpak is nog onvolwassen. Dit brengt mogelijk risico’s, waaronder dubbele inspanning en onderbenutting van robots, met zich mee.
Wanneer er geen interne of externe verantwoordelijkheden zijn afgesproken en vastgelegd op de verschillende facetten die RPA behelst, kan dit leiden tot het niet of niet tijdig oplossen van problemen.

Het advies ⇒ aan de business is dat rollen, taken en verantwoordelijkheden worden belegd. Verder worden er standaarden opgesteld voor de ontwikkeling en het beheer van robots en de contractuele afspraken met leveranciers. Daarnaast is een centrale monitoringrol die nagaat of aan deze standaarden wordt voldaan wenselijk.

RPA is een kans, maar vormt ook een bedreiging als het niet goed wordt opgepakt

Ontwikkeling

Aanbrengen van scheiding in OTAP
Tijdens systeem- of applicatie-audits binnen de organisatie wordt er altijd gekeken of er een scheiding is tussen ontwikkel-, test-, acceptatie- en productieomgevingen (OTAP). Dit gebeurt ook bij deze RPA-audit. Kijkend naar de uitgevoerde audit op de beheersmaatregelen rondom de ontwikkeling van robots, constateren de auditors dat een goed ingerichte OTAP volledig ontbreekt. De IT-afdeling geeft aan dat de ontwikkel- en productieomgeving niet gescheiden zijn. De huidige ontwikkelaars bouwen de robots rechtstreeks in een productieomgeving, waarin zij ook testen. Dit brengt risico’s met zich mee, bijvoorbeeld dat onbedoeld en ongewenst wijzigingen worden aangebracht in de productieomgeving, met als gevolg potentieel verregaande (en niet altijd direct zichtbare) consequenties.

Het advies ⇒ aan de business is dat er ook voor RPA een adequate scheiding moet zijn tussen deze verschillende omgevingen. Dit zorgt niet alleen voor minder potentiële risico’s, maar ook voor een snellere (naadloze) implementatie van nieuwe updates of toepassingen voor de al bestaande robots.

Medewerkers betrekken bij robotisering
Naast de controle op de inrichting van een OTAP-straat, kijkt het auditteam ook naar de kwaliteit van de robots en het managen ervan. De ontwikkelaars vertellen dat er geen review op hun werk plaatsvindt en dat er ook tijdens de ontwikkeling geen evaluatiemomenten zijn met de processpecialisten. Hierdoor is het mogelijk dat de robots het proces niet correct uitvoeren. Ontwikkelaars hebben namelijk niet altijd een volledig beeld van de activiteiten en bedrijfsresultaten die door fouten of onvolledigheden in robots beïnvloed kunnen worden. Met als gevolg dat het maken van foute keuzen op de loer ligt. Uiteraard is RPA niet geschikt voor het automatiseren van elk willekeurig proces. Sommige foutgevoelige processen kunnen op dit moment door mensen nauwkeuriger worden uitgevoerd.
Wanneer mensen geen rol meer spelen in een proces, kan het lang duren voordat fouten aan het licht komen, bijvoorbeeld door interne controles of inspectie van een externe partij. Het toevoegen van het medewerkersperspectief is daarom van groot belang.

Het advies ⇒ is om de business te betrekken bij de ontwikkeling van robots. Zo is snel duidelijk of er een juiste vertaalslag is gemaakt richting de robot. Het doen van een efficiencyslag op het proces zelf bij aanvang van robotisering is sterk aan te bevelen.

Autorisaties
Het gaat vaak fout bij het toekennen van autorisaties aan ontwikkelaars. Ook hier. De audit laat zien dat alle ontwikkelaars admin-rechten hebben, met verregaande bevoegdheden buiten de scope van hun project. Het toekennen van onnodig veel rechten aan een ontwikkelaar heeft als potentieel gevaar dat de rechten kunnen worden gebruikt voor andere doeleinden dan het daadwerkelijk ontwikkelen van het robotscript. Dit kan leiden tot buitensporig of frauduleus gebruik door onopgemerkte aanpassingen aan de broncode.

Het advies ⇒ aan de business is dat ontwikkelaars alleen rechten krijgen toegekend die noodzakelijk zijn voor het uitvoeren van het betreffende proces. Daarnaast mogen alleen speciaal daarvoor gemachtigde personen robots, en aanpassingen daarin, naar een productieomgeving zetten.

Door het ontbreken van een overzicht op het totaal aan robots, zijn robots mogelijk niet goed op elkaar afgestemd en dus niet efficiënt ingericht

Beheer

Monitoren van robots
De auditors merken dat een overzicht met de in de organisatie actieve robots ontbreekt. Er is geen centrale locatie van waaruit één aangewezen eindverantwoordelijke de robots kan monitoren. Daarmee is er geen inzicht in potentiële doorontwikkeling of noodzakelijk onderhoud. Het is dus mogelijk dat wijzigingen een grotere invloed hebben op meer robots, dan feitelijk vastgelegd is.
Een ander risico is dat robots wegens omstandigheden niet starten met hun taak of dat er foutmeldingen tijdens het uitvoeren van de taak ontstaan, zonder dat iemand dit opmerkt. Door het ontbreken van een overzicht op het totaal aan robots, zijn robots mogelijk niet goed op elkaar afgestemd en dus niet efficiënt ingericht. Kansen voor de integratie van robots zijn daardoor mogelijk niet goed zichtbaar.

Het advies ⇒ aan de business is om per robot vooraf vast te stellen hoe het beheer in te richten, hoe deze interacteert met andere processen en onder wiens verantwoordelijkheid deze valt. De verantwoordelijke draagt zorg voor het periodiek monitoren, analyseren en, indien nodig, bijsturen van robots. Daarnaast is het advies dat één centraal persoon overzicht houdt over het geheel aan actieve robots, waarbij ook aandacht is voor de onderlinge interactie en afhankelijkheden tussen de verschillende robots en de handmatig uitgevoerde processen.

Nieuwe systeemreleases
De afwezigheid van een correct ingerichte OTAP-straat zet het auditteam aan om door te vragen of er ook rekening wordt gehouden met periodieke updates en releases van applicaties waar de robots mee interacteren. De IT-afdeling geeft aan dat het de verantwoordelijkheid is van de business die de robots in productie heeft genomen. Vanuit de business ontbreekt de kennis wanneer releases voor de verschillende applicaties beschikbaar komen en welke impact zij mogelijk hebben. Zij krijgen namelijk geen ‘release notes’.

Het ontbreken van deze inzichten werkt belemmerend voor het (tijdig) signaleren dat robots mogelijk niet goed meer werken. De meeste robots functioneren binnen Windows en browsergebaseerde applicaties waarbij de juiste werking van een robot verstoord kan worden door wijzigingen aan de inrichting van deze applicaties. Als de samenwerking tussen IT en de business niet optimaal is, dan is het mogelijk dat de robots niet of niet genoeg functioneren. Dit risico is overigens ook een bekend probleem bij andere IT-gerelateerde onderwerpen.

Het advies ⇒ aan de business is dat er periodiek afstemming plaatsvindt tussen IT en de business om de releaseplannen te bespreken en te kijken of dit invloed heeft op de gerobotiseerde processen.

Conclusie

De hiervoor belichte onderwerpen schijnen een eerste licht op een aantal belangrijke beheersmaatregelen rondom RPA en de risico’s die ontstaan wanneer deze niet worden nageleefd. Waarbij duidelijk wordt dat als eerste stap de aanpak en risico’s niet heel veel verschillen van een andere IT tool/applicatie audit. De behandelde onderwerpen vormen uiteraard geen allesomvattende lijst. Andere onderwerpen die om beheersmaatregelen vragen, omvatten onder andere het inrichten van een audit trail, hoe om te gaan met foutafhandeling, security, privacy en standaard werkwijzen rondom de ontwikkeling van een robot.

Overall advies

Vanuit een IIA PAS-oogpunt is het een aanrader om je als IAF te verdiepen in de mogelijkheden van RPA. RPA is een kans, maar vormt ook een bedreiging als het niet goed wordt opgepakt. RPA is een technologie die de komende jaren blijft groeien en in veel organisaties een vaste rol gaat krijgen. Het is een kwestie van tijd voordat digitale robots het merendeel aan administratieve processen uitvoeren en enkel een exceptieverslag uitdraaien ter controle voor een menselijke reviewer. Het advies is dan ook om deze technologie niet als bedreiging te zien, maar proactief te omarmen om de mogelijke risico’s voor het bedrijf vooraf te mitigeren.