RPA风险管理——防范与持续侦查--RPA中国 | RPA全球生态 | 数字化劳动力 | RPA新闻 | 推动中国RPA生态发展

敏于知

引言

随着数字化工具和解决方案的日益成熟，在尝试了各类典型应用场景后，企业逐渐接受机器人流程自动化（RPA）。领先的企业已规模化实施了RPA，尤其在共享服务中心、财务、采购、供应链等部门。于甫瀚咨询联合ESI ThoughtLab对全球知名的450家企业开展的全球性调研报告《2019年全球RPA调查》中显示：

企业在RPA领域的投入占企业收入比重

根据调查结果，已经实施RPA的企业均计划在未来两年内大幅加大对RPA的投资。通过我们的观察和总结，目前RPA在企业中的应用体现为：

从尝试性的导入阶段发展至持续使用期，逐步增加应用的范围和深度。
从单个任务的自动化（task-level automation）发展至端到端业务流程的自动化（process automation），增强了RPA对业务的管理和分析能力，以及对业务和流程整体运作的改变。
从关注RPA的快速效果，发展至关注RPA的稳健运营，持续在业务中扮演适当的角色，由“可用”变成“好用”。

在这样的背景下，RPA的风险管理和治理问题，开始受到管理层、IT部门及风控职能的关注。

面临的挑战

RPA较容易展现自动化的价值，令管理层欣喜于取得的效果。但即便部分企业已有了成熟的RPA项目实施经验，自业务场景自动化价值评估、流程梳理、再到PoC（Proof of Concept概念验证），至实施及运维，却依然无法管控第三方实施的质量和安全性。甫瀚咨询《2019年全球RPA调查》的结果显示：

RPA实施面临的挑战

企业需逐渐认识到，RPA尽管能够以低代码、轻量化快速实现自动化功能，但鉴于其深度融入业务并直接对业务目标的实现、业务数据的处理等产生重大影响，因此，企业应就RPA在对业务的改变、管控设计、安全、运行稳定性、异常处理机制等方面需给予充分的关注。

为构建RPA相关风险的应对机制，甫瀚咨询建议企业遵循“识别——评估——应对”的原则，通过风险地图识别RPA项目全生命周期中的各类风险，建立完善的风险控制矩阵以指导风险测试和评估活动，最终通过分析和监督模型工具对相关风险进行有效管控。

知悉：常见的RPA风险

治理

■ 运行制度缺失

■ 未遵从企业IT政策

■ 违反合规监管要求

■ 权责不清晰

■ 变更管理流程缺失

机器人可以减少错误，提供审计跟踪数据，更好地满足复杂业务的合规控制要求，因此越来越多的RPA被应用于合规性要求较高的金融或医疗组织，以提升组织的风险管理能力。然而，RPA本身亦需要符合企业内外部所面临的监管或合规要求，如公司内部网络安全政策，或外部的SOX法案合规要求等。

变革

■ 对已有操作的影响

■ 上下游业务及应用的必要改变

■ 组织及员工对自动化的抗拒

企业在实施RPA项目过程中，难免在一定程度上将对原有流程进行重塑改造，进而对业务本身及其关联的上下游业务流程均带来变革，需要妥善考虑角色分工、流程控制的重新设计；同时，RPA的部署将替代部分员工的工作，从而可能引发员工因工作习惯变更或角色定位的变化而产生抗拒。

行为

■ 忽略关键异常处理

■ 机器人行为不当

■ 执行事务缺乏监督

■ 操作不可回溯

■ 过度记录信息

企业员工的行为需有合理的监督和管理，以避免不当操作而导致业务运作异常。随着RPA的上线，机器人将很大程度上消减人工操作失误。然而，管理者并不能因为机器人的部署而忽视对其行为的监督。程序本身的设计错误、人为恶意操控、各类不可预见因素等均可能导致机器人行为不当。若对机器人所执行事务的缺乏监督，将可能对企业运转带来异常。

绩效

■ 执行情况不可知

■ 无法得知工作量

■ 未有效分配任务

■ 未达成SLA

■ 不必要的效能浪费

RPA的上线旨在提升企业运营效率，然而对机器人工作量的低估或高估均可能使管理者无法有效地分配机器人的任务，从而使得机器人任务过度负载或带来不必要的效能浪费。对机器人的绩效评价和管控将为RPA项目的高效运行带来保障。

安全

■ 信息泄露

■ 越权访问、权责冲突

■ 员工对RPA不当访问

■ 缺乏隔离管控机制

机器人在执行流程的过程中需要访问业务数据，这类业务信息常常因其敏感性而必须受到企业内部的相关IT制度或外部法律法规（如GDPR等）的保护和监管要求。机器人对业务数据的访问权限使其可以操纵这些数据，故企业需制定相关的安全标准，并通过身份验证或数据加密等手段确保机器人所访问的数据安全。

持续

运行

■ 企业自动化能力未持续建立

■ 运维流程缺失

■ 知识资产流失

■ 外部支持不及时

在RPA上线后，建立企业自动化能力将确保RPA在组织内的持续运营，而并非暂时的阶段性效率提升。其中，运维支持机制的建立和知识资产的传承将为RPA在企业内的持续运行提供保障。

应对一：RPA Audit – 对RPA相关重点风险开展评估或审计

随着RPA在国内的普及，一些公司和企业管理者已经开始或正在考虑建立自己的RPA管控和治理框架。然而，虽然管理者已经逐步掌握了RPA的相关技能及知识，但目前很少有一个行之有效的RPA风险管理框架作为指南。

甫瀚咨询针对前述RPA相关的风险，从项目管理、机器人管控及IT安全三大领域着手，建立了涵盖47项控制的RPA风险管理矩阵，旨在支持企业在建立或评判RPA风险管理过程中提供完整的原则和实务操作指南，以令企业及时发现相关控制缺陷。

RPA风险管理矩阵节选

甫瀚咨询RPA审计（RPA Audit）协助常见领域

进行评估，可灵活选择评估重点

应对二：RPA Watch – 对若干风险开展日常持续监控

在拥有了RPA风险管理矩阵作为指导原则和操作指南后，我们发现传统的测试和检查方法（如抽样测试或日志分析）并不能有效满足对RPA风险开展持续管控的需求。

虽然主流的RPA软件提供了自带的日志（Log）功能，以帮助开发者或使用者分析机器人的行为，识别开发或使用过程中的各类异常。但是该类日志多用于对已发现例外的根因分析，并由于其对使用者专业性的要求以及展现形式（如Json格式）的限制，管理者难以时时或定期地全面浏览日志，并从中提取有效信息，识别例外及负载情况，以达到对机器人的“持续监督”。

为了实现对机器人自身的例外情况的持续监督，乃至进一步实现对业务的深度分析及洞察，甫瀚咨询可协助构建适用于企业管理者的机器人管理及行为监控平台（RPA Watch），整合日志获取、分析挖掘及展示等功能。

结合流程挖掘为例，RPA Watch可借助流程挖掘的理念和工具，以可视化、结构化的形式展现机器人对流程的每一步操作，为管理层解决以下主要管控诉求：

机器人操作例外识别

1. 通过定义机器人的活动（Activity），RPA Watch自动识别机器人每一步活动以及各活动执行的路径，并将记录的结果以可视化的形式在RPA Watch中动态实时展现。

2. RPA Watch识别流程异常或机器人的不当行为，并对例外进行归类（如重复操作、RPA程序中断、人工干预等）。管理者通过根因分析，可直接定位所有RPA的异常情况及其产生原因，及时有效地采取针对性的措施。

机器人多次重试行为提示