RPA(Robotic Process Automation)即机器人流程自动化,这类工具可以通过模拟人类在软件系统中的交互动作,自动执行基于规则、重复的业务流程。在许多行业领域,企业都在寻求数字劳动力来补充人类工作。从前台到财务、人力资源和运营,RPA 正在帮助管理层提高效率并降低成本。如果使用得当,这些工具甚至可以解决应用程序面临的许多问题。
然而,由于RPA缺乏人类的判断力和灵活性,看似简单的流程中往往也暗含风险。例如:在机器人配置文件或程序中直接写入可以登录企业应用程序的用户名和密码、机器人意外流出企业且可以在任意终端下运行、机器人运行时无法判别钓鱼邮件或网站、机器人终端运行而未退出应用系统登录从而造成会话劫持等。
因此,在RPA的风险和控制方面管理层需要一种新的思维方式,而企业在急切地接受这些新工具时往往会忽略对风险的考虑。其实,在RPA项目开始时进行一些简单的工作,企业就可以避免上述风险。
本文将介绍建立RPA控制环境的几个关键步骤。当然,就风险和控制计划而言,没有“一刀切”的选择。尽管如此,如果没有适当的治理,数字劳动力的好处很快就会消失。从一开始就建立起有效的控制环境比以后拼凑政策和控制措施更有效和更具成本效益。
01
建立治理框架
记录良好的流程和控制措施直接影响组织应对采用RPA的财务和运营风险的能力。
管理层需制定并记录正式的政策和程序(例如,逻辑访问、变更管理、计算机操作、受 RPA 影响的 IT 依赖性清单等),其中包含对 RPA 技术使用的考虑。这些政策和程序由管理层定期审查,以确保它们符合企业战略、监管要求和控制预期。
优秀的RPA工具应建立在优秀的流程设计之上。管理层应在公司内部深化这一概念,确保各个业务部门在实施RPA前考虑现有的业务流程是否需要优化,从而避免在不适合自动化的流程上使用RPA工具。浪费开发资源的同时,企业往往对这些强行开发出来的RPA工具疏于管理,未对其中的风险进行识别和监控。
此外,管理层应设计评估问卷,从而确保用户需求部门或项目管理人员在RPA开发初期的设计阶段就会将风险管理以及信息安全纳入考量范围。评估问卷中建议包含以下7个问题:
1、该流程为何要引入RPA?
除了考虑该流程是否适合使用RPA技术进行优化外,还应将该流程的各个步骤进行拆分以识别关键的风险控制节点(例如:修改关键数据、复核、发送邮件等)。具有较高风险的节点应考虑在程序开发时增加人机交互单元,确保对关键操作进行复核。
2、RPA是否可以共享?
管理层应考虑制定规范的RPA工具共享的流程,在降低RPA开发成本的同时防止业务部门在未充分考虑业务峰值和第三方系统的承载能力的情况下使用RPA。
3、如何对RPA进行测试?
应设计合理的UAT测试用例和回归测试用例,确保充分考虑容错和阈值的情况,上线后能够正常运行。
4、谁会对RPA进行管理?
应为RPA设计类似于系统管理员的岗位,对其在生产环境的运行情况进行监控并对发现的问题进行修复。
5、RPA是否符合法律、制度和合同规定?
应对机器人的使用是否满足日新月异的合规要求要建立流程制度。企业法务部门应对相关法律和制度进行定期跟踪,对于其中可能牵涉到RPA的部分进行摘录并分享给RPA管理责任部门,确保合规。例如,RPA在第三方网站抓取数据时必须获得授权同意。
6、如何保证网络安全及数据隐私?
国家2017年生效的《网络安全法》以及最近出台的《个人信息保护法》对网络安全和数据隐私做出了明确的规定。管理层应组织各业务部门识别处理个人信息的工作流程,并制定规章制度对于RPA如何处理和保护个人信息作出规定。此外,RPA往往具备企业信息系统的登录权限,若在RPA开发过程中使用了供应商,应要求供应商签署保密协议等防止重要信息泄露。管理层也可以考虑禁止RPA程序储存用户信息和敏感商业信息、使用不明来源的宏以及登录公司机密信息系统以确保企业网络和数据安全。
7、是否制定了业务连续性计划?
应考虑制定相关计划,以确保当RPA出现问题无法继续使用时业务不会中断。由于RPA工具在一般情况下不会承担数据储存功能,因此对于这类工具来说流程的备份比数据备份更为重要。管理层应考虑为使用RPA工具的流程设计人工流程作为备份措施,以防止RPA不可使用时业务流程中断,为公司带来损失。
02
开发自动化编码和配置
随着公司选择其RPA平台,应保留有关自动化的业务和解决方案设计要求的详细信息,以避免在RPA开发过程中未保留适当文档可能会在内部控制系统中造成空白。
由于机器人程序具有“低码化”的特点,甚至某些RPA厂商提出了“人手一台机器人”的愿景。参与开发的人员越多,RPA开发越需要建立标准的开发规范,以确保开发人员遵循统一的开发要求,降低不规范代码的可能性,并确保在开发时就考虑了风险控制和信息安全保护措施。例如,在机器人登录目标系统的场景下,开发人员直接将登录用户名和密码写在代码中,直接暴露一些敏感信息。
同时,留存有关自动化的业务和解决方案设计要求的详细信息对RPA工具的知识转移具有正面意义。及时更新输入,RPA逻辑处理以及输出等信息,能够确保后来的开发人员在对RPA进行修复和更新时易于查找和更改,还可以避免其误删看起来没必要但其实用于执行风险控制的程序。
03
确定访问权限
1、访问权限控制 – 权限管理
RPA访问权限与一般信息系统不同,需要考虑两方面的访问安全:访问RPA控制中心的权限、机器人的访问目标应用程序的权限。
(1)对于使用RPA控制中心的情况 (例如UiPath Orchestrator),需要评估最终用户访问 RPA 控制中心的权限。因此,需要建立正式流程来配置和更改最终用户对 RPA 控制中心工具的访问权限。 并且明确定义授权最终用户访问 RPA 控制中心工具的人员。 根据相关政策和程序,访问RPA控制中心需要经过恰当的审批,并且记录备案。
(2)对于数字工作者(即机器人)访问目标应用程序的权限,需要建立正式的流程来提供和更改对目标应用程序中数字劳动力(即机器人)的访问。 授予目标应用程序中数字工作者的访问权限是根据最小权限原则提供的(例如,访问权限仅限于数字工作者执行分配的自动化任务所需的功能)。企业应定期对应用程序中数字劳动力(即机器人)的访问进行检查,确保不再使用的数字工作者访问权限被及时删除。另外,不应为数字劳动力提供对目标应用程序的超级(例如,管理员)访问权限。
04
管理变化的环境
05
检测并报告
06
监控与升级


未经允许不得转载:RPA中国 | RPA全球生态 | 数字化劳动力 | RPA新闻 | 推动中国RPA生态发展 | 流 > 不让bot有可乘之机—RPA控制环境内部审计的关键步骤
热门信息
阅读 (14728)
1 2023第三届中国RPA+AI开发者大赛圆满收官&获奖名单公示阅读 (13753)
2 《Market Insight:中国RPA市场发展洞察(2022)》报告正式发布 | RPA中国阅读 (13055)
3 「RPA中国杯 · 第五届RPA极客挑战赛」成功举办及获奖名单公示阅读 (12964)
4 与科技共赢,与产业共进,第四届ISIG中国产业智能大会成功召开阅读 (11567)
5 《2022年中国流程挖掘行业研究报告》正式发布 | RPA中国