Home / Resources / ISACA Journal / Issues / 2020 / Volume 2 / Organizational RPA Adoption and Internal Auditing

El aspecto practico: Adopción y auditoría interna de RPA en una organización

Autor: Vasant Raval, DBA, CISA, ACMA, and Erica Smith, CISA, CISM, Security+
Fecha de Publicación: 13 May 2020
English

La adopción de la automatización robótica de procesos (hoy conocido como RPA) es una puerta de entrada para contribuir, en mayor medida, en la actividad de auditoría interna de la organización. Es decir, su implantación aportará a los auditores internos mayor conocimiento de los procesos de negocio de la organización, esto ayudará a gestionar la innovación en procesos nuevos o modificados de acuerdo con el riesgo cambiante, a mejorar su eficiencia, a mejorar su confiabilidad, a reducir los costes o a añadir valor al negocio.

RPA es la programación de una tarea o procedimiento, denominado robot, que ayuda a reducir la intervención humana durante la ejecución de un proceso. La referencia a robots (también denominados bots) apunta a software programado para imitar el comportamiento y las decisiones del ser humano, a través de uno o varios interfaces de aplicación. Tenemos el caso de UiPath, un proveedor software RPA que está trabajando en un robot capacitado para verificar, sistemáticamente, la precisión de las firmas en los cheques introducidos en los cajeros automáticos (ATM). Esta innovación implica un conocimiento detallado del proceso de toma de decisiones que realiza el ser humano, especialmente en la verificación de firmas y así el robot programado imitará el criterio del ser humano. Los primeros resultados, de unos estudios recientes, mostraron que los robots lograron verificar el 80 por ciento de las firmas, mientras que el 20 por ciento restante se entregó a personas para que tomasen la decisión final.1 RPA materializa la idea de minimizar la acción del ser humano y ofrecer así el control, al robot, a una gran variedad de tareas. Sin embargo, el sistema está limitado a posibles retardos y errores de decisión. Básicamente, el sistema citado (RPA) está diseñado para operar tareas entre máquinas (robots) y seres humanos.2 Un modelo sencillo–basado en roles–para distribuir tareas entre máquinas y seres humanos, consta de cuatro partes:

  1. Sin rol de la máquina—Las máquinas no están preparadas para tomar el control o la tarea es mejor que la desempeñe una persona. Por ello, la máquina no debe ejercer ninguna acción.
  2. Rol discrecional del ser humano—Enfocado en el objetivo o en el resultado deseado y por ello el ser humano limita la función de la máquina.
  3. Función de apoyo de la máquina—El sistema se encarga de las tareas principales de agregación y manipulación de datos.
  4. Función integrada de la máquina—Intervención mínima, o ninguna, del ser humano (por ejemplo, sistemas de recursos corporativos). Se trata de tareas más abstractas que no siguen procesos estándar de toma de decisiones y en las interviene de manera significativa el criterio humano.3 

El modelo a seguir, basado en roles, se muestra en la figura 1, donde se pueden comprobar los niveles mencionados para la integración y automatización del RPA de cada uno de los roles.

Modelo a seguir para la integración RPA

Aplicando el nivel “función integrada de la máquina” para un sistema RPA en el mundo empresarial, las soluciones se ajustan a los procesos de negocio de la organización y se basan en el tipo de actividad a desempeñar. Una forma de valorar la integración de un sistema RPA, es a través del tratamiento los datos de entrada de clientes. Por ejemplo, RPA en sistemas telefónicos pueden autenticar al usuario y desarrollar actividades básicas de soporte a clientes, tales como: pago de facturas, transferencia de fondos, el cambio de contraseñas o el desbloqueo de cuentas.

El nivel “función de apoyo de la máquina” en un sistema RPA requiere un cierto grado de intervención del ser humano, dentro del flujo de trabajo incluido en el proceso. Esta automatización se encuentra, tradicionalmente, en las actividades de “back-office” y se puede enseñar a desarrollar la automatización de un flujo de trabajo con procesos de varios pasos. Ejemplos habituales de este tipo de sistemas RPA incluyen la evaluación de la gestión de control de cambios, la evaluación de cuentas obsoletas por el cual el RPA coteja datos de varios sistemas, evalúa los datos extraídos según criterios predeterminados y establece acciones como resultado del análisis realizado (por ejemplo: notificar cambios autorizados o crear un ticket para revocar un acceso).

El nivel “rol discrecional del ser humano” sugiere un grado bajo de automatización del proceso incluido en el flujo de trabajo. A este nivel, un sistema RPA podría realizar tareas del tipo: validar datos de formularios, recopilar datos de varios sistemas para centralizarlos en un repositorio o alertar al personal adecuado cuando se superen ciertos umbrales predefinidos. El objetivo es determinar si se automatiza el componente de un proceso o si por el contrario se dejan para que las personas lo gestionen.

El nivel “sin rol de la máquina” requeriría mucho esfuerzo de automatización: el proceso no es regular, surgen cambios muy frecuentes, la regulación o los propios sistemas limitan la automatización. Experiencias o suposiciones pasadas, nos han podido mostrar que automatizar ciertos procesos no es adecuado. Las nuevas tecnologías en inteligencia artificial (AI) y análisis de datos desafían estos supuestos. Por todo ello, el proceso podría modificarse significativamente utilizando un sistema RPA.

 

Características del proceso

Determinar las ventajas de un sistema RPA en toda la organización puede ser un desafío debido a que depende mucho de las características de cada proceso. Si un proceso es maduro, existirán más oportunidades para transformarlo en su automatización robótica del proceso mejorado por el cual algunas o la mayoría de tareas humanas se transferirán al ordenador. Los beneficios de la transformación de procesos dependerán de si el proceso es repetitivo, escalable y el histórico de tiempo consumido por el ser humano.4 Por norma general, los objetivos a enfocarse son una mejora de la eficiencia, reducción del tiempo de operación, mejora de la confiabilidad y del servicio soportado por el proceso. Un registro de errores humanos en el manejo de procesos puede arrojar luz sobre si se puede minimizar el riesgo de ejecución errónea. Esto es particularmente urgente cuando la rotación de personal es alta, lo que conduce a una pérdida de precisión en la toma de decisiones del responsable a lo largo del tiempo. Si el proceso ya tiene tareas automatizadas, es probable que sea más fácil de conseguir su transformación, debido a que ya existen los datos y las aplicaciones relevantes para el proceso. Resulta esencial la presencia de entradas digitales, de no ser así, debería ser posible convertir las entradas necesarias a un formato digital. Con todo ello, podría resultar en una mejora del proceso, hacerlo más eficiente y confiable. La figura 2 ilustra las áreas a valorar para implantar un sistema RPA.

Por lo general, si un proceso manual es repetitivo por su naturaleza y requiere del análisis de un gran volumen de datos, será un buen candidato a ser automatizado como sistema RPA. A continuación, tenemos algunos ejemplos:

  • Evaluación de las copias de seguridad de los logs corporativos y asignación de tickets de resolución de problemas
  • Análisis de cuentas de usuario final “obsoleto” y de administradores a certificar, contando también el posible borrado de privilegios
  • Administración y gestión del permiso de aparcamiento
  • Retención de impuestos de los empleados

La organización BluePrism está probando una plataforma habilitada con AI para aseguradoras. La aplicación automatizará el proceso para validar reclamaciones y aportar recomendaciones a las personas que ejerzan como evaluadoras.5

SI UN PROCESO ES MADURO, EXISTIRÁN MÁS OPORTUNIDADES PARA TRANSFORMARLO EN SU AUTOMATIZACIÓN ROBÓTICA DEL PROCESO MEJORADO POR EL CUAL ALGUNAS O LA MAYORÍA DE TAREAS HUMANAS SE TRANSFERIRÁN AL ORDENADOR.

Introducción del proceso

Para introducir el sistema RPA en cualquier unidad de negocio—en una corporación–el primer paso es contar con un patrocinador. Es decir, el prerrequisito para el éxito, es que el responsable del proceso tenga el cargo suficiente. Dicho patrocinador será alguien, tanto con el suficiente conocimiento y concienciación del proceso, como con el cargo apropiado de liderazgo para guiar el campo cultural de los equipos.

Así pues, el desarrollo del robot (sistema RPA) debería seguir los estándares actuales del ciclo de vida para el desarrollo software. Los requisitos para el sistema RPA deberían ser definidos en línea con negocio y los equipos dependientes del proceso a automatizar. Se debe involucrar a una persona, con conocimientos técnicos y de negocio (arquitecto), para ayudar en el mapeo y evaluación de la arquitectura de los procesos de negocio y de sistemas. El diagrama de arquitectura debería incluir: las dependencias primarias/secundarias del sistema/proceso en fase de automatización, fuentes (de aplicación o proporcionadas por las personas), tipos de datos y el resultado deseado. Sin un completo entendimiento y su correspondiente documentación, de cara a la creación del robot (RPA), sería bastante complicado desarrollar un sistema RPA confiable. Asimismo, garantizar su escalabilidad y proporcionar el soporte necesario una vez el sistema se traslade a la cadena de producción.

Es muy importante que los auditores internos y gestores de riesgos estén involucrados desde el principio del proyecto, mientras se desarrolla el sistema RPA. Los auditores internos pueden ayudar a los responsables del proceso de negocio de la siguiente manera: evaluando el proceso en su conjunto (posibles dependencias con otros procesos), determinar el impacto a la organización, dónde se encuentran los riesgos en los procedimientos y que controles internos existen para mitigarlos. Durante el desarrollo del sistema RPA, los controles primarios y secundarios pueden modificarse o eliminarse del proceso de negocio a automatizar. También, algunos controles podrían ser reemplazados por otros recién diseñados. Por tanto, es imprescindible que las funciones de auditoría y gestión de riesgos revisen los controles, para validar: si las funciones automatizadas están operando según lo diseñado, si los riesgos se reducen a un nivel tolerable (riesgo aceptable) y si los controles cumplen con las regulaciones pertinentes en un entorno controlado. Adicionalmente, es preciso actualizar las autoevaluaciones, sobre el entorno de control de la línea de negocio, para reflejar: los nuevos procesos, riesgos y controles. Asimismo, el personal de soporte a las operaciones de negocio debería recibir formación sobre los nuevos procesos y las posibles implicaciones a un fallo de control.

Por último, antes de implantar un sistema RPA en la cadena de producción, los responsables y patrocinadores del proceso deberían reevaluar las métricas e informar de los indicadores clave de rendimiento (KPI) y de los indicadores clave de riesgo (KRI) al mando directivo de la organización. El citado mando evaluará los informes para determinar si los umbrales de decisión, tanto en el conjunto de indicadores KPI como KRI, están alineados con negocio y si además fuese necesario, aporten información suficiente para que se determinen medidas estratégicas en la organización.

Podríamos decir que un sistema RPA ofrece una oportunidad en coste-beneficio para reevaluar y optimizar los procesos de negocio actuales, a la vez que se minimiza el error humano. Debido a la relativa facilidad en la implementación de un sistema RPA y la escalabilidad potencial a lo largo de la organización, el sistema RPA ha venido para quedarse. Recordamos que es responsabilidad de los auditores internos y los encargados de la gestión de riesgos, ser parte del desarrollo del sistema RPA y así guiar a la organización hacia el éxito en su implementación.

Notas finales

1 Loten, A.; “Robots Take on Complex Software Tasks,” The Wall Street Journal, 10 de diciembre de 2019, B4, https://www.wsj.com/articles/software-robots-get-smarter-thanks-to-ai-11575887400
2 Emery, J.; Cost/Benefit Analysis of Information Systems. University of Georgia: The Society for Management Information Systems, 1971
3 Raval, V.; “A Curriculum-Wide Approach to Integration of Computer in Accounting Education,” The Journal of Information Systems, Spring 1989, p. 132–144
4 Sanders, C.; “Launching a Value-Based Analytics and RPA Program,” ISACA® Journal, vol. 6, 2018, https://www.isaca.org/archives
5 Op Cit Loten

Vasant Raval, DBA, CISA, ACMA
Es un profesor emérito de contabilidad en la Universidad de Creighton (Omaha, Nebraska, EE. UU.). También es coautor de dos libros, Seguridad y Sistemas de Información. Además, sus áreas de enseñanza e investigación incluyen: fraude, seguridad de la información y gobierno corporativo. Se le puede contactar al c. e. vraval@creighton.edu.

Erica Smith, CISA, CISM, Security+
Es una cerente de auditoría de las tecnologías de información en infraestructura, capacidad de recuperación de negocio y recuperación ante desastres. Con más de 15 años de experiencia en soporte de las tecnologías de la información, ciberseguridad y auditoría de las tecnologías de la información. Cuenta con la experiencia de haber trabajado en diversos sectores, incluyendo energético, salud, comercio y servicios financieros. Se la puede contactar al c. e. ericasmith411@gmail.com.