Virtuele medewerkers in control
Elk bedrijf is continu in beweging: om klanten goed te blijven bedienen, om de concurrentie te kunnen bijhouden en als non-profitorganisatie om simpelweg aangesloten te blijven bij de maatschappij. IT-innovaties spelen in die beweging een belangrijke rol.
Een grote leverancier van robotics software geeft de volgende omschrijving: ‘Robotic automation refers to a style of automation where a machine, or computer, mimics a human’s action in completing rule-based tasks.’ De afgelopen jaren is ‘robotics’ een van de innovatie buzzwoorden. Veel mensen denken bij robotics aan een fysieke robot. Echter, daar is bij robotic process automation (RPA) geen sprake van. Het is een IT-oplossing die menselijke handelingen binnen processen nabootst: een softwarerobot, ook wel virtuele medewerker genoemd.
Softwarelaag
Met RPA worden op vaste regels en procedures gebaseerde handelingen gerepliceerd door gebruik te maken van de computertechnieken screenscraping, workflow automation en optical character recognition. Organisaties kunnen met RPA verder digitaliseren zonder dat een aanpassing in bestaande IT-systemen nodig is. Er wordt als het ware een softwarelaag over de bestaande systemen heen gelegd. Onze nieuwsgierigheid is gewekt: welke risico’s brengt RPA met zich mee? Wat is de impact ervan op onze interne risico- en controlactiviteiten? En op welke wijze zouden we de risico’s kunnen beheersen en auditen? Dit artikel is geschreven om business, risk managers en auditors belangrijke kenmerken van softwarerobots mee te geven, maar bovenal de inzichten én conclusies van twee recente onderzoeken, uitgevoerd door de auteurs van dit artikel, te delen.
Een goede samenwerking tussen business en de IT-afdeling is een sleutel tot succes
RPA en citizen developer
Zoals Steven Boekhoudt eind 2018 in zijn artikel over RPA en Cobit al aangeeft: ‘De belangrijkste en meest vernieuwende eigenschap van RPA is dat het de businesss zelf in staat stelt om software (robots) te bouwen’. Het wordt gerealiseerd met RPA-software, een applicatie waarmee individuele robots door de business worden geconfigureerd op het graphical user interface (GUI)-niveau. Dit is een grafisch vormgegeven schil waarmee gebruikers en computer met elkaar kunnen communiceren. Hiermee ontstaat een nieuw type ontwikkelaar: de citizen developer die werkt met een no code-tool.
Het GUI-niveau is gelijk aan het zogenaamde presentation layer in de IT-stack (zie figuur 1). Bij traditionele business process management (BPM) software worden applicaties geschreven met software die werkt op het niveau van business logic layer en data access layer. BPM is het meest geschikt voor het ontwikkelen van omvangrijke waardecreërende processen die specialistische IT-kennis nodig hebben, zoals ERP- en customer relationship management (CRM) systemen. RPA-software daarentegen wordt vooral ingezet voor relatief eenvoudige automatisering die snel, goedkoop en flexibel te realiseren is.
Het bouwen op het presentation layer is de reden waarom softwarerobots geen impact hebben op onderliggende IT-systemen. Daarnaast is juist het bouwen door de business een belangrijk gegeven bij de vraag hoe softwarerobots in control zijn.
Overigens stellen critici in de beschikbare literatuur dat RPA een gevolg is van slecht geautomatiseerde processen in het verleden. Daar kun je tegenover zetten dat organisaties met een lange IT-geschiedenis nu eenmaal vaker een omvangrijk en divers IT-landschap hebben waarin RPA toepasbaar is voor de vele tussenliggende handmatige taken. Met in het achterhoofd dat het van belang blijft om de inzet van softwarerobots bij elk BPM-initiatief te heroverwegen.
Waar toe te passen?
We hebben onderzocht welke kenmerken monitoringproces-sen moeten bevatten om succesvol te kunnen zijn. Een succesvolle toepassing betekent hier dat robotisering bedrijven in staat stelt een snellere, betere service en consistentere waarde te leveren. In literatuur over RPA worden een aantal kenmerken voor processen beschreven. Deze zijn afgezet tegen de verschillende soorten monitoringwerkzaamheden die bij de meeste organisaties kunnen worden onderscheiden: filevorming (dossiervorming: start controle en controledossier), uitvoering rule-based controles en uitvoering van controles met oordeelsvorming of professional judgement. Dit resulteerde in tabel 1, zodat een prioritering voor te robotiseren processen kan worden bepaald. De resultaten geven aan dat monitoringswerkzaamheden in de vorm van filevorming en de rule-based controles het meest in aanmerking komen.
Ervaringen met RPA
Naast de literatuurstudie zijn ervaringen met RPA in kaart gebracht door middel van het uitzetten van een vragenlijst onder financiële instellingen in Nederland. Het belangrijkste voordeel van RPA dat door leveranciers wordt geclaimd is dat repeterende handelingen goedkoper, sneller en beter worden uitgevoerd dan medewerkers dat kunnen. Daarmee is het in de basis een middel om kosten te verlagen, maar het is ook een manier om de concurrentiepositie te verstevigen. Uit de antwoorden blijkt dat de voordelen wisselend worden ervaren, en dat de tijd/fte-besparing die de commerciële partijen promoten niet altijd als het belangrijkste voordeel wordt gezien. De verbetering van de kwaliteit van de processen, enerzijds door het reduceren van handmatige handelingen en anderzijds door professionals meer in hun kracht te zetten, wordt als belangrijkste voordeel ervaren. Zonder twijfel wordt RPA als extra hulpmiddel gezien ter ondersteuning aan de processen met als doel een efficiëntere organisatie.
RPA nog beperkt ingezet
Uit de uitkomsten van de vragenlijsten komt het beeld naar voren dat eind 2018 nog maar een gering aantal softwarerobots ‘live’ waren. Dit is opvallend, omdat in alle literatuur wordt aangegeven dat de software vrij eenvoudig te configureren is en de kostendruk hoog is bij financiële instellingen. Onze verwachting is dan ook dat de aantallen de komende jaren een flinke stijging zullen doormaken. Ten aanzien van RPA worden ook een aantal belangrijke belemmeringen ervaren. Dit betreft bijvoorbeeld het ontbreken van de juiste kennis en ervaring in de werking en impact van robotics, evenals de beperkte interne ICT-capaciteit. Ook weerstand in de organisatie wordt als een belemmering genoemd.
Het is duidelijk dat binnen elk bedrijf eerst scepsis heerst over RPA. De medewerkers beseffen dat de softwarerobots tijdwinst en daarmee fte-besparingen kunnen opleveren. Tegelijkertijd is de ervaring dat bij een duidelijke en open communicatie de scepsis snel verdwijnt.
RPA is een IT-oplossing voor en door de business. Maar let op: is de business capabel genoeg om alle IT-risico’s te onderkennen en deze te beheersen?
Een praktijkcasus
Eind 2018 hebben we bij een financiële instelling in Nederland geïnventariseerd wat de softwarerobots in de praktijk nu eigenlijk doen. Dit is gedaan bij de businessunit Operations met backofficeprocessen en ondersteunende processen als het personele en salarisverwerkende proces. Het bleek dat ruim honderd softwarerobots live waren voor eenvoudige repeterende taken zoals het leggen van verbindingen tussen applicaties, maar ook voor het verwerken van niet-financiële mutaties, het bijhouden van workflowvoorraad, controleren en rapporteren (verzamelen van data) en eenmalige grootschalige invoer van vaste gegevens in een productsysteem. De gebouwde softwarerobots waren daarbij nog niet complex, maar wel van (groeiend) belang qua aantal. Gezien het laatste is voor de interne risico- en controlactiviteiten een control framework ontwikkeld.
Een controlframework voor RPA
Dat de geïnventariseerde groep softwarerobots uit de praktijkcasus alleen eenvoudige repeterende taken uitvoert, is gebruikt bij het door ons ontwikkelde control framework. Een belangrijk deel van de interne beheersing draait om de RPA-applicatie met te beheersen IT-risico’s. De functionele risico’s zijn als lager ingeschat en spelen een ondergeschikte rol. Naast de IT-risico’s zijn tevens een aantal specifieke RPA-risico’s onderkend zoals de robot-identity (Deloitte in 2018 over BOT identity management: ‘accesses systems like humans but operates as system ID’) en compliance aan privacy wet- en regelgeving.
Voor de IT-risico’s is een set beheersmaatregelen ontworpen, gericht op zowel de technische instellingen als de IT-beheerprocessen, waarbij gekozen is om deze te ontwerpen op basis van het IT-framework van NOREA (NOREA-studierapport Algemene beheersing van IT-diensten, maart 2015). Ook voor de specifieke risico’s zijn maatregelen afgeleid uit het NOREA-framework. Het beheersen van softwarerobots heeft daarmee een grote parallel met het beheersen van traditionele software. In tabel 2 zijn de onderwerpen uit het NOREA-model vermeld die zijn meegenomen in het ontwerpproces.
De uitgewerkte beheersmaatregelen zijn een mix van dagelijkse (monitoring)controls, periodieke controls uit te voeren door of namens het management en beheersmaatregelen met betrekking tot de initiële inrichting van RPA die bij een toets geclusterd kunnen worden.
Impact bouwen door business
Eén belangrijk aspect is nog niet meegenomen in het ontwerpproces: het gegeven dat de business bouwt. Daarmee verschuift de inrichting en uitvoering van beheersmaatregelen voor softwarerobots deels van de IT-afdeling naar de business. Deze verschuiving is geen probleem, zolang voor het bouwen van robots een kwaliteitsstandaard voor codering/configuratie en documentatie wordt opgelegd ten behoeve van onderhoud en flexibiliteit. Of bijvoorbeeld dat het monitoren van robots zoveel mogelijk centraal binnen de businessunit plaatsvindt, en indien mogelijk op basis van standaard IT-hulpmiddelen en processen.
Een goede samenwerking tussen business en de IT-afdeling is dus een sleutel tot succes. In de praktijkcasus is dit geregeld via een center of excellence binnen de businessunit waar ondersteunende IT-medewerkers, robotic engineers en specialisten op het gebied van de IT-infrastructuur en security werken. Voor het beantwoorden van de vraag of softwarerobots in control zijn, is het beoordelen van deze samenwerking tussen IT en business daarom van groot belang.
Het blijft mensenwerk
RPA heeft veel kansen in organisaties met een omvangrijk en divers IT-landschap door de vele handmatige rule-based taken. Het is een IT-oplossing voor en door de business, maar let op: is de business capabel genoeg om alle IT-risico’s te onderkennen en deze te beheersen? Is de IT-afdeling met haar standaardprocessen voldoende aangehaakt? Om te bouwen is de business niet meer afhankelijk van de IT-afdeling, maar softwarerobots zijn wel onderdeel van het IT-ecosysteem van een organisatie. Samenwerking tussen business en de IT-afdeling en het delen van elkaars kennis is cruciaal bij de inzet van virtuele medewerkers. Dat moet je organiseren, bijvoorbeeld door het inrichten van een center of excellence binnen de businessunit. Laat je niet geruststellen door de gedachte dat virtuele medewerkers alleen doen waarvoor ze geconfigureerd zijn. Het juist, volledig en veilig configureren en het monitoren is nog steeds mensenwerk.
Over
Drs. Els Franken-Uppelschoten RA EMITA is internal auditor bij de pool IT Systems & Operations van Audit Rabobank. Specifieke aandachtsgebieden zijn betalingsverkeer en datamanagement.
Drs. Miranda Pirkovski RA EMITA is strategisch onderzoeker/-adviseur op het gebied van IT audit, innovatie & risk management bij de Algemene Rekenkamer.
Reacties (0)
Lees meer over dit onderwerp:
Complexiteit is geen black box
Bij veel projecten worden de gestelde doelen niet behaald. Bovendien is de doorlooptijd vaak (veel) langer dan gepland en zijn de kosten (veel) hoger dan beoogd. Ook de gemeente Rotterdam kent dit soort projecten.
Lees meerInnovatie in eenvoud en effectiviteit!
Concern Auditing (CA) is de auditdienst van de gemeente Rotterdam met als missie ‘audits leiden tot verbetering’. De strategie is om meer aan de voorkant mee te kijken in plaats van achteraf aan te geven wat er niet goed is gegaan. De afgelopen jaren zijn wij meer audits gaan uitvoeren op de kwaliteit van risicovolle/complexe […]
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.