Robotic process automation

Virtuele medewerkers in control

23 september 2020 Els Franken-Uppelschoten en Miranda Pirkovski
PDF
In dit artikel:

Elk bedrijf is continu in beweging: om klanten goed te blijven bedienen, om de concurrentie te kunnen bijhouden, en als non-profit organisatie om simpelweg aangesloten te blijven bij de maatschappij. IT-innovaties spelen in die beweging een belangrijke rol.

Dit artikel is overgenomen met toestemming van de redactie van het blad Audit Magazine van IIA en de auteurs

Een grote leverancier van robotics-software geeft de volgende omschrijving: Robotic automation refers to a style of automation where a machine, or computer, mimics a human’s action in completing rule-based tasks. De afgelopen jaren is ‘robotics’ een van de innovatie buzzwoorden. Veel mensen denken bij robotics aan een fysieke robot. Echter, daar is bij robotic process automation (RPA) geen sprake van. Het is een IT-oplossing die menselijke handelingen binnen processen nabootst: een softwarerobot, ook wel virtuele medewerker genoemd.

Softwarelaag

Met RPA worden op vaste regels en procedures gebaseerde handelingen gerepliceerd door gebruik te maken van de computertechnieken screenscraping, workflow-automation en optical character recognition. Organisaties kunnen met RPA verder digitaliseren zonder dat een aanpassing in bestaande IT-systemen nodig is. Er wordt als het ware een softwarelaag over de bestaande systemen heen gelegd.

Onze nieuwsgierigheid is gewekt: welke risico’s brengt RPA met zich mee? Wat is de impact ervan op onze interne risico- en controlactiviteiten? En op welke wijze zouden we de risico’s kunnen beheersen en auditen? Dit artikel is geschreven om business, riskmanagers en auditors belangrijke kenmerken van softwarerobots mee te geven, maar bovenal om de inzichten en conclusies van twee recente onderzoeken van de schrijvers van dit artikel te delen.

Een goede samenwerking tussen business en de IT-afdeling is een sleutel tot succes

RPA en citizen developer

Zoals Steven Boekhoudt eind 2018 in zijn artikel over RPA en Cobit al aangeeft: ‘De belangrijkste en meest vernieuwende eigenschap van RPA is dat het de businesss zelf in staat stelt om software(robots) te bouwen’. Het wordt gerealiseerd met RPA-software, een applicatie waarmee individuele robots door de business worden geconfigureerd op het niveau van de graphical user interface (GUI). Dit is een grafisch vormgegeven schil waarmee gebruikers en computer met elkaar kunnen communiceren. Hiermee ontstaat een nieuw type ontwikkelaar: de citizen developer die werkt met een no code-tool.

Het GUI-niveau is gelijk aan de zogenaamde presentation layer in de IT-stack (zie figuur 1). Bij traditionele software voor business process management (BPM) worden applicaties geschreven met software die werkt op het niveau van de business logic layer en de data access layer. BPM is het meest geschikt voor het ontwikkelen van omvangrijke waarde creërende processen die specialistische IT-kennis nodig hebben, zoals ERP-systemen en systemen voor customer relationship management (CRM). RPA-software daarentegen, wordt vooral ingezet voor relatief eenvoudige automatisering die snel, goedkoop en flexibel te realiseren is.

Figuur 1: Plaats RPA-software in IT-stack (Bron: [WILL15])

Doordat softwarerobots worden gebouwd op de presentation layer hebben ze geen impact op onderliggende IT-systemen. Daarnaast is juist het bouwen door de business een belangrijk gegeven bij de vraag hoe softwarerobots in control zijn.

Overigens stellen critici in de beschikbare literatuur dat RPA een gevolg is van slecht geautomatiseerde processen in het verleden. Daar kun je tegenover zetten dat organisaties met een lange IT-geschiedenis nu eenmaal vaker een omvangrijk en divers IT-landschap hebben waarin RPA toepasbaar is voor de vele tussenliggende handmatige taken. Met in het achterhoofd dat het van belang blijft om de inzet van softwarerobots bij elk BPM-initiatief te heroverwegen.

Waar toe te passen?

We hebben onderzocht welke kenmerken monitoringprocessen moeten bezitten om succesvol te kunnen zijn. Een succesvolle toepassing betekent hier dat robotisering bedrijven in staat stelt een snellere, betere service en consistentere waarde te leveren. In literatuur over RPA worden een aantal kenmerken voor processen beschreven. Deze zijn afgezet tegen de verschillende soorten monitoringwerkzaamheden die bij de meeste organisaties te onderscheiden zijn: filevorming (dossiervorming: start controle en controledossier), uitvoering rule-based controles en uitvoering van controles met oordeelsvorming of professional judgement. Dit resulteerde in tabel 1, zodat een prioritering voor te robotiseren processen kan worden bepaald. De resultaten geven aan dat monitoringwerkzaamheden in de vorm van filevorming en de rule-based controles het meest in aanmerking komen.

Tabel 1: Kenmerken monitoringsprocessen en RPA

Ervaringen met RPA

Naast de literatuurstudie zijn ervaringen met RPA in kaart gebracht via een vragenlijst, uitgezet onder financiële instellingen in Nederland. Het belangrijkste voordeel van RPA dat door leveranciers wordt geclaimd is dat repeterende handelingen goedkoper, sneller en beter worden uitgevoerd dan medewerkers dat kunnen. Daarmee is het in de basis een middel om kosten te verlagen, maar het is ook een manier om de concurrentiepositie te verstevigen.

Uit de antwoorden blijkt dat de voordelen wisselend worden ervaren en dat de tijd/fte-besparing die de commerciële partijen promoten niet altijd als het belangrijkste voordeel wordt gezien. De verbetering van de kwaliteit van de processen, enerzijds door het reduceren van handmatige handelingen en anderzijds door professionals meer in hun kracht te zetten, wordt als belangrijkste voordeel ervaren. Zonder twijfel wordt RPA als extra hulpmiddel gezien ter ondersteuning van de processen met als doel een efficiëntere organisatie.

RPA nog beperkt ingezet

Uit de uitkomsten van de vragenlijsten komt het beeld naar voren dat eind 2018 nog maar een gering aantal softwarerobots live waren. Dit is opvallend, omdat in alle literatuur wordt aangegeven dat de software vrij eenvoudig te configureren is en de kostendruk hoog is bij financiële instellingen. Onze verwachting is dan ook dat de aantallen de komende jaren een flinke stijging zullen doormaken. Ten aanzien van RPA worden ook een aantal belangrijke belemmeringen ervaren. Dit betreft bijvoorbeeld het ontbreken van de juiste kennis en ervaring in de werking en impact van robotics, evenals de beperkte interne ICT-capaciteit. Ook weerstand in de organisatie wordt als een belemmering genoemd. Het is duidelijk dat binnen elk bedrijf eerst scepsis heerst over RPA. De medewerkers beseffen dat de softwarerobots tijdwinst en daarmee fte-besparingen kunnen opleveren. Tegelijkertijd is de ervaring dat bij een duidelijke en open communicatie de scepsis snel verdwijnt.

Een praktijkcasus

Eind 2018 hebben we bij een financiële instelling in Nederland geïnventariseerd wat de softwarerobots in de praktijk nu eigenlijk doen. Dit is gedaan bij de businessunit Operations met backofficeprocessen en ondersteunende processen als het personele en salarisverwerkende proces. Het bleek dat ruim honderd softwarerobots live waren voor eenvoudige repeterende taken zoals het leggen van verbindingen tussen applicaties, maar ook voor het verwerken van niet-financiële mutaties, het bijhouden van workflowvoorraad, controleren en rapporteren (verzamelen van data) en eenmalige grootschalige invoer van vaste gegevens in een productsysteem. De gebouwde softwarerobots waren daarbij nog niet complex, maar wel van (groeiend) belang qua aantal. Gezien het laatste is voor de interne risico- en controlactiviteiten een controlframework ontwikkeld.

RPA is een IT-oplossing voor en door de business, maar let op: is de business capabel genoeg om alle IT-risico’s te onderkennen en deze te beheersen?

Een controlframework voor RPA

Dat de geïnventariseerde groep softwarerobots uit de praktijkcasus alleen eenvoudige repeterende taken uitvoert, is gebruikt bij het door ons ontwikkelde control framework. Een belangrijk deel van de interne beheersing draait om de RPA-applicatie met te beheersen IT-risico’s. De functionele risico’s zijn als lager ingeschat en spelen een ondergeschikte rol. Naast de IT-risico’s zijn tevens een aantal specifieke RPA-risico’s onderkend zoals de robot identity en compliance met privacy wet- en regelgeving. Over BOT (robot) identity management merkte Deloitte in 2018 op: BOT ID accesses systems like humans but operates as system ID.

Voor de IT-risico’s is een set beheersmaatregelen ontworpen, gericht op zowel de technische instellingen als de IT-beheerprocessen, waarbij gekozen is om deze te ontwerpen op basis van het IT-framework van NOREA. [NORE15] Ook voor de specifieke risico’s zijn maatregelen afgeleid uit het NOREA-framework. Het beheersen van softwarerobots heeft daarmee een grote parallel met het beheersen van traditionele software. In tabel 2 zijn de onderwerpen uit het NOREA-model vermeld die zijn meegenomen in het ontwerpproces.

De uitgewerkte beheersmaatregelen zijn een mix van dagelijkse (monitoring)controls, periodieke controls uit te voeren door of namens het management, en beheersmaatregelen met betrekking tot de initiële inrichting van RPA die bij een toets geclusterd kunnen worden.

Tabel 2: Inventarisatie van relevante onderwerpen uit NOREA-studierapport voor de praktijkcasus

Impact bouwen door business

Eén belangrijk aspect is nog niet meegenomen in het ontwerpproces: het gegeven dat de business bouwt. Daarmee verschuift de inrichting en uitvoering van beheersmaatregelen voor softwarerobots deels van de IT-afdeling naar de business. Deze verschuiving is geen probleem, zolang voor het bouwen van robots een kwaliteitsstandaard voor codering/configuratie en documentatie wordt opgelegd ten behoeve van onderhoud en flexibiliteit. Of bijvoorbeeld dat het monitoren van robots zoveel mogelijk centraal binnen de businessunit plaatsvindt en indien mogelijk op basis van standaard IT-hulpmiddelen en -processen.

Een goede samenwerking tussen business en de IT-afdeling is dus een sleutel tot succes. In de praktijkcasus is dit geregeld via een center of excellence binnen de businessunit waar ondersteunende IT-medewerkers, robotic engineers en specialisten op het gebied van de IT-infrastructuur en security werken. Voor het beantwoorden van de vraag of softwarerobots in control zijn, is het beoordelen van deze samenwerking tussen IT en business daarom van groot belang.

Tot slot: het blijft mensenwerk

RPA heeft veel kansen in organisaties met een omvangrijk en divers IT-landschap door de vele handmatige, rule-based taken. Het is een IT-oplossing voor en door de business, maar let op: is de business capabel genoeg om alle IT-risico’s te onderkennen en deze te beheersen? Is de IT-afdeling met haar standaardprocessen voldoende aangehaakt? Om te bouwen is de business niet meer afhankelijk van de IT-afdeling, maar softwarerobots zijn wel onderdeel van het IT-ecosysteem van een organisatie. Samenwerking tussen business en de IT-afdeling en het delen van elkaars kennis is cruciaal bij de inzet van virtuele medewerkers en dat moet je organiseren, bijvoorbeeld door een center of excellence binnen de businessunit in te richten. Laat je niet geruststellen door de gedachte dat virtuele medewerkers alleen doen waarvoor ze geconfigureerd zijn. Het juist, volledig en veilig configureren en het monitoren ervan is nog steeds mensenwerk.

Literatuur

[NORE15] Studierapport Algemene beheersing van IT-diensten, werkgroep Standaard Normenkader Beheersing en Beveiliging, maart 2015, https://www.norea.nl/download/?id=2341, geraadpleegd op 31 augustus 2020.

[WILL15] Willcocks L., Lacity M. and Craig A.: ‘The IT Function and Robotic Process Automation’, October 2015, https://www.uio.no/studier/emner/matnat/ifi/ITLED4021/h18/dokumentasjon/the-it-function-and-robotic-process-automation-willcocks-2015.pdf, geraadpleegd op 31 augustus 2020.

Geen categorie

Drs. E. (Els) Franken-Uppelschoten RA EMITA | internal auditor bij Rabobank

Els werkt als internal auditor bij de pool IT Systems & Operations van Audit Rabobank. Specifieke aandachtsgebieden zijn betalingsverkeer en datamanagement.

Drs. M. (Miranda) Pirkovski RA EMITA | onderzoeker/adviseur bij Algemene Rekenkamer

Miranda werkt als strategisch onderzoeker/adviseur op het gebied van IT-audit, innovatie & riskmanagement bij de Algemene Rekenkamer.