其实，所有的项目都需要考虑风险和控制。元年研究院资深研究员杨菲菲认为，从方法论的角度，风险管控分为风险识别、风险监督、审计三个步骤。企业在部署RPA时，可以从下面八个关键问题来识别和控制风险：

如何选择流程实施RPA的项目？这个在之前的章节已经介绍过挖掘流程，里面涉及到了如何评估适合RPA的流程以及如何做优先级排序。

机器人是否可以共享（基本原则）？并非一个机器人只能做一个任务，由于机器人是24*7的工作，通常一个机器人可以处理多个流程或者任务。所以在考虑上线机器人项目时，企业需要考虑如何共享机器人，以及以部门为单位还是可以跨部门调用。

机器人如何管理和配置？机器人流程的上线、配置、权限管理都需要有流程和规则，如果随意改动机器人设计、配置会导致后期无法识别的风险出现。

RPA项目具体牵头人是谁？目前我们接触的机器人项目分为业务主导和IT主导两种情况，不论是业务主导还是IT主导，企业端都需要一个项目牵头人。本身RPA的项目不是简单的IT产品实施，它是一个长期建设的过程，项目牵头人可以起到项目知识的转移、整体流程规则的控制和合规性把控等作用。

RPA项目方案是否合规？RPA项目的合规性要从业务和IT两个角度出发，例如：由于RPA项目在实施过程中为了确保项目能成功实施，会存在流程优化的情况，这个实施需要业务人员来评估流程优化是否符合业务的合规性。

网络和数据安全如何保证？这涉及到账户、密码、数据（输入输出过程数据等）各个方向的安全性，都需要在项目初期设置好。

机器人上线后的BCP方案是什么？机器人作为新的数字员工需要在业务规划的时候，考虑业务可持续性和灾备等问题。

RPA项目如何管理变更？需要分析出项目运行过程中的风险所在。

从不同的维度需要考虑哪些风险呢？可以分为项目实施、机器人安全保障、合规性、运营管理四个部分。从项目实施维度来看，需要考虑机器人安全架构管理运营策略和方案设计、账户和访问权限的管理、上线前后风险评估（业务侧）、业务可持续考虑（技术和业务都需要有BCP方案）、工作流程的标准化和流程图（文档管理）、项目管理和策略等内容。从机器人安全保障维度出发，需要考虑账户和密码的安全性、访问权限的控制和设计、测试和试运行计划、代码审查、接口和API安全、流程峰值和压力评估等内容。从合规性维度来看，需要考虑合规性评估（SoX，JSOX、FRC等）、运营风险评估、内控和审计、定期风险评估、机器人软件管理（其中包括机器人的软件和过程中用到的其他软件）等内容。从运营管理角度，需要考虑整体运营策略、卓越中心网络安全管理、事件管理和响应策略、变更管理和验证、运营标准操作程序等内容。

从技术角度出发，举例看看哪些情况需要一开始就控制风险。

第一：技术应用的合理性。大部分公司都会有僵尸系统，如果用RPA来集成，它们可能掩盖遗留系统的问题，并可能延迟解决真正的潜在问题的机会，公司将面临使技术债务永续甚至增加的风险。为避免这种情况，公司需要对如何以及何时部署和最终淘汰机器人具有清晰的愿景，并将其功能集成到公司整体的IT路径中。

第二：机器人的维护和运维管理。机器人需要指导才能执行所需的活动。尽管根据定义的业务需求对机器人进行配置，但业务和系统变更会严重影响RPA的预期。仅仅去修改数据字段映射或者流程，并不能解决孤立和悬挂机器人，选择正确的流程，并在机器人设计中考虑后期的兼容性至关重要。

第三，网络安全和数据隐私。RPA的实施会带来许多风险和内部特权访问权限，这些风险和潜在使用潜力都将受到利用。这可能导致组织处理的数据的机密性、完整性和可靠性受到威胁。公司应根据数据批露程度和组织内可用个人数据的范围来部署适当的网络安全和数据隐私控制。

最后，系统过载。业务流程存在很强的“潮汐规律”，需要充分考虑业务峰值和第三方系统的承载能力，需要对业务规律总结，在设计的时候，合理评估机器人的效率、部署上线的时间，充分测试和再评估优化机器人的配置和计划。

从业务和运营角度出发，RPA项目也存在一些风险。

RPA实施过程中对于不适合自动化的流程需要优化，过程中可能会引起员工的反感、降低支持率，最终可能导致项目推进的问题；RPA实施后的流程可能在关键节点的变更且流程由机器人来处理或者人机交互的处理模式，如果由于程序出现异常或中断，会出现影响业务情况；人为风险在RPA上线后占比比较大，出现例如输入信息的错误、操作不当、产出浪费等情况；RPA项目上线后如果没有组织正确的引导和推广，往往会出现很多问题，例如机器人取代的员工的抵触情绪，又或者机器人仅仅在本部门推广和培训，上下游的沟通并不到位。面临这些问题，企业其实可以从业务连续性和持续性、项目推广和培训两个角度进行解决。在业务连续性和持续性方面，RPA方案需要和业务可持续性和连续性保持一致，不仅仅考虑本流程，还需要考虑上游和下游的需求。根据不同的项目需求制定不同的危机补偿计划，部署正向和逆向流程的关键节点。异常和灾备的流程恢复计划应充分考虑容错性和流程弹性。在项目推广和培训方面，管理层需要了解RPA技术对运营的影响，帮助员工理解和转型。成立内部RPA专家组（可兼职），在内部形成知识转移。适当培训技能及流程过程中的使用说明。

最后，杨菲菲强调，在风险控制方面，企业需要加强监管和内部审计审查，创建和保存项目文档，部署生产中断应对方案，将风险和控制加入项目日常工作中，进行需求方案评估，识别项目延迟风险并加以控制，确定人员的新角色。

目前，国际市场上有十多家规模巨大的RPA公司，在市场上也相对比较活跃，中国本土也有十多家RPA企业在国内市场上占据重要位置。2019年6月Gartner发布了2019年软件市场数据报告，在全球软件市场中，RPA软件以75.6%的增幅速度继续领跑，成为增长速度最快的企业级软件。

艺赛旗联合创始人兼高级副总裁胡立军认为，就国内趋势而言，中国厂商分为综合生态型、客户型、AI型、定制型四种。同时，胡立军强调，RPA和AI有很大区别，需要辩证看待这两种技术的结合。从业务角度，在AI领域最先体验到流程便捷性。例如，OCR身份识别、人脸认证，它通常应用在财务表单、发票处理等流程中，达到了节省部分流程的目的。

但这还远远不够，RPA+能帮助企业打通最后一公里。胡立军表示，RPA+用人工智能技术赋能，提高工作效率，提升工作品质。例如法律文本、合同文本披露的自动化比对，智能客服非结构化文本的自动筛选等。

通过调研数据发现，在欧美、日本等国家，RPA是作为工具使用，而在国内，RPA作为产品或项目使用。例如， RPA在国内大部分行业的渗透率可能只有3%左右。即便这样，最先使用RPA产品的一定是大型企业，反而不是中小企业用户，但其实中小型企业的需求也非常大。胡立军称，艺赛旗在行业里最早提出了机器人工厂，今年将通过机器人工厂的集中化、中心化，来提高RPA部署和落地的最佳实践路径能力。

中石化共享服务中心2013年开始启动建设，2018年集团公司境内所有企业财务共享业务上线，HR、IT共享业务也逐步开展。RPA项目上线前，公司业务处理标准相对统一、业务处理流程日趋标准规范，但人员相对较少，业务量不均衡，月末加班时间长。传统的通过业务系统开发接口的集成方式投资高，建设周期长。存在大量重复性的手工作业操作，耗时长，易出错。业务全面上线后，提高业务处理效率、提升客户满意度成为一个难题。随着业务逐渐拓展到集团公司境外企业，急需智能化手段提升业务自动化处理水平，实现降本增效。

中石化共享服务公司南京分公司IT共享项目服务业务部副经理丁锦锋介绍，中石化2018年开始实施RPA项目，启动上线12个业务场景，根据运行情况，不断对流程进行优化和提升，应用拓展至所有业务部门，与业务深度融合，目前，41个全流程业务场景上线，为集团内部企业提供RPA应用。财务应用场景中，RPA在发票校验、资金收款、凭证制证、应收清账、数据维护、规范检查等流程中，大大提升工作效率。HR应用场景中，RPA在人事信息、薪酬发放、报表提取、统计分析等业务中发挥重要作用。现在，财务业务平均每月处理12万多笔财务凭证，占上线业务场景凭证量的85%，每天检查200多万份凭证的摘要和项目文本。HR业务每月处理薪酬数据约28万条，工资奖金约18万人次，占上线业务场景的85%。使用RPA处理后，执行效率提升了约10倍，并且在准确性、时效性方面有了提升。 

在应收清账场景中，RPA机器人每天8：00之前自动完成对指定客户的清账工作，及时释放客户的信用额度，确保企业按时发货，大幅减少客户的等待时间，提升了客户体验。发票校验集中发生在月末最后两天，人工需要30多人完成，使用RPA机器人后只需要2人，解决了业务量极不平衡与人员难以匹配的矛盾，也确保了月结数据的准确性和完整性。

在RPA应用过程中，丁锦锋强调，明确标准，统一业务处理逻辑是基础。好的流程设计，必须先深刻理解业务逻辑，并跟踪业务变化，不断对流程设计进行优化。

1、账户密码保存和使用的安全性如何保证？

杨菲菲：有管理后台管理账户密码，管理后台有相关权限设置，而且在使用过程中对账户和密码进行了加密。

2、请问下，如果网络中断或系统异常，导致业务中断，这时候RPA的应急机制是什么？

杨菲菲：异常分很多种情况。例如登录异常、系统异常，但这些异常其实由很多原因造成。登录异常可能由于系统导致，也可能是账户密码过期导致。所以根据不同情况，RPA可能会设置异常处理机制，例如由于用户密码过期而导致的登录异常，RPA就不会重复登录账号和密码，它会发送邮件通知管理员或者业务人员更改密码。如果是由于系统异常而引致，RPA会发送邮件或者发通知告知现场管理人员。所以，在不同场景中，不同异常情况会有相应处理机制。

3、共享中心如何进行RPA数据风险管理？

丁锦锋：从系统用户和密码的管理角度出发，开发人员在流程上线以后不接触系统，中石化所有应用系统都是统一身份认证，用户名和密码由业务部门来进行管理。由业务部门申请用户名和密码，并由业务部门维护，每三个月强制修改一次密码。密码加密以后，开发人员建立数据库来保存，不接触明文密码。第二，从IP处理系统数据角度来看，数据基本上通过中石化内部邮箱与业务人员进行交互，不会放到公网，也不会发给不相关人员，在整个数据传输过程中和外网是隔离状态。


 

特别声明：

文章来源：元年服务

原文链接：https://mp.weixin.qq.com/s/rel0lTk88V-5HsTmqPHbdw

RPA中国推荐阅读，转载此文是出于传递更多信息之目的。如有来源标注错误或侵权，请联系更正或删除，谢谢。

继续阅读：流程自动化   RPA

未经允许不得转载：RPA中国 | RPA全球生态 | 数字化劳动力 | RPA新闻 | 推动中国RPA生态发展 | 流 > RPA的风险控制与应用案例分享