Robotics Process Automation (RPA) und ­Auswirkungen auf das IT-Risiko-Framework

31. August 2019 - Von Anela Weiss

RPA als integrierte Lösung in der IT-Systemlandschaft


Die Unternehmen im Finanzsektor erleben derzeit signifikante Veränderungen, getrieben durch neue Gesetze, Kostensteigerung, Margendruck und disruptive Markteintritte von nicht traditionellen Teilnehmern die den Kunden eine neue digitale Erfahrung bieten. Kein einfacher Wandel, insbesondere wenn wir traditionelle Silos der operativen Unternehmensbereiche, komplexe Legacysysteme und ständige gesetzlichen Veränderungen in Betracht ziehen.

Ein Teil zur notwendigen Neuausrichtung trägt auch Robotics Process Automation (RPA) bei.

Viele Organisationen begaben sich in den letzten Jahren auf eine Reise mit RPA, sammelten erste Erfahrungen damit und integrierten RPA als zusätzlichen Bestandteil der IT Systemlandschaft. In Bereichen wo ein Ersatz der bisherigen IT-Systeme sehr teuer ist und die Implementierung sich über Jahre erstrecken würde, wird RPA als kostengünstige und schnelle Alternative gewählt. Manuelle Prozesse in denen verschiedene Office Applikationen, SAP Module und Mitarbeiter eingesetzt werden, lassen sich mit einer RPA Anwendung automatisieren, somit auch effizient und fehlerfrei ausführen.

In vielen Fällen wird RPA mittlerweile als strategischer Punkt auf der Unternehmensagenda geführt und nicht nur als taktische Massnahme die zeitlich befristet ist.


Was ist bei einer adäquaten RPA-Einführung zu beachten

Was oft als zu erprobendes Proof-of-Concept ("die Software im eigenen Umfeld kennenlernen") gestartet wird, endet leider in verbrauchten Ressourcen, kurzem Begeisterungseffekt und Entsorgung in der Experimentschublade.

Ein effizientes und effektives RPA-Programm sollte mit einer klaren Zieldefinition und Vorgehensweise eines solchen Programmes beginnen.

Folgende Phasen sind einzuplanen:
1. Bereichsübergreifende Untersuchung des Automatisierungspotenzials (s.g. "Top-down"- und "Bottom-up"-Ansatz)
2. Untersuchung und Festlegung der Automatisierungssoftware
3. Berechnung des Business Case und Definition der zu erzielenden Steuerungsgrössen
4. Definition des Operating Modells für Automatisierung
5. Skalierte Automatisierung mit Anwendung von Agile-Ansatz

Dazu kommt die frühzeitige Integration der relevanten Stakeholder im Unternehmen. Obwohl die Roboter meistens direkt in den Funktionsbereichen betrieben werden, sind beispielsweise die Compliance-, Personal- und IT-Abteilung bereits am Anfang zu involvieren, um spätere Projektverzögerungen auf Grund der Missachtung von Richtlinien und Vorgaben zu vermeiden.


Welche Auswirkungen hat RPA auf die IT-Prüfung und das IT-Risiko-Framework?

RPA sollte als zusätzliche Komponente der IT-Systemlandschaft erachtet werden, eine Erweiterung des Software-­Portfolios. Daher sind auch die üblichen IT-Risiken wie Zugriffsberechtigung, Daten- und Releasemanagement auch im Bereich RPA gleichermassen
relevant.

Die Vorbereitung einer solchen IT-Prüfung und Zusammenstellung des Prüfungsplanes sollte folgende Bereiche berücksichtigen:
1. Governance
2. Technologie
3. Organisation

Risiken werden durch gezielte Fragen pro Bereich erhoben und bewertet:

Governance:
• Wurde das generelle Kontroll-Framework um RPA-relevante Kontrollen ergänzt?
• Wurden verantwortliche Personen definiert, um veränderte und standardisierte Prozesse vor der Automatisierung zu genehmigen?
• Hat das Unternehmen Untersuchungen vorgenommen, um mögliche Defizite im vorhandenen Kontroll-Framework zu identifizieren?
• Hat das Unternehmen eine vordefinier­te Vorgehensweise um Prozesse zu definieren, die für RPA geeignet sind?

Organisation:
• Ist die Entwicklung der Roboter outgesourct? Wie überwacht das Unternehmen die IT-Kontrollen der outgesourcten Gesellschaft?
• Hat das Unternehmen die richtigen Personen für die Entwicklung und das Betreiben der Roboter identifiziert? Ist ein adäquates Schulungsprogramm eingeführt?

Technologie:
• Hat das Unternehmen Applikationsprofile für die Roboter definiert die dem "need-to-know" Prinzip entsprechen?
• Wurde definiert, auf welche vertraulichen Informationen der Roboter zugreifen kann und wie dieser Zugriff überwacht wird?
• Wie wird sichergestellt, dass der Roboter auf Dritt-Informationen nur durch gesicherte Kanäle zugreifen kann?
• Wurden Betriebs- und Supportprozesse definiert, um eine 24/7 Tätigkeit des Roboters sicherzustellen?
• Hat das Unternehmen Massnahmen und Aktivitäten zum Veränderungsmanagement definiert, um Autorisierung, Testen und Prozessveränderungen am Roboter vornehmen zu können?

Aus obigen Fragen ergeben sich Risiken die im gesamten IT-Risiko-Framework zu berücksichtigen sind. Beispielsweise das Risiko des ineffizienten Managements der RPA-Umgebung und ungelöste Dysfunktionalität des Roboters. Oder das Risiko, dass der Roboter auf verschiedene Systeme zugreift, ohne die Trennung der Verantwortlichkeiten zu berücksichtigen oder Prozessschritte nicht korrekt ausgeführt
werden.

Die Beantwortung dieser Fragen und Einschätzung der Risiken rund um RPA sind die neuen Herausforderungen denen sich der IT Prüfer stellen muss.


Chancen des RPA und Quo vadis im Hin­blick auf Intelligente Automatisierung?

Von einer sorgfältig geplanten und erfolgreich eingeführten RPA Anwendung kann das Unternehmen in vielerlei Hinsicht profitieren: Eliminierung der Fehler im Prozess, Freisetzung von Mitarbeiterkapazitäten für analytische Aufgaben, Revisionsnachweis der Prozessschritte und -Ergebnisse bis zu Kostensenkung und Effizienzsteigerung.

Eine nächste Stufe von RPA stellt die Intelligente Automatisierung (IA) dar. Diese kombiniert Künstliche Intelligenz (KI) – inklusive natürlicher Sprachverarbeitung, maschinelles Lernen und Entscheidungsnetzwerken – mit RPA.

Die Kombination der verschiedenen Technologien bringt dem Finanzsektor weitere Automatisierungsmöglichkeiten in Bereichen wie Geldwäsche, Kreditwürdigkeitsprüfung, Vertragsmanagement, Spracherkennung von Nachrichten, etc.

Diese Möglichkeiten bringen einerseits Chancen, bergen allerdings auch Risiken, die vom IT Prüfer verstanden und analysiert werden müssen. Das technische Profilbild eines IT-Prüfers verändert sich, der Wissensbedarf nimmt mit sich verändernden Technologien stetig zu.


Die Autorin

Anela Weiss,
EY Switzerland Intelligent Automation Lead
anela.weiss@ch.ey.com

Copyright by Swiss IT Media 2019