Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
The better the question. The better the answer. The better the world works.
RPA (Automatización Robótica de Procesos) en auditoría Interna
Punto de conocimientoTransformación e innovación en auditoría
Agosto 2019
The better the question. The better the answer. The better the world works.
¿Sabes cuál es el riesgo más importante de tener implementado RPA en tu organización?
Page 3 RPA en auditoría Interna
Contenido
► ¿Qué es la automatización robótica
de procesos (RPA)?
► RPA en auditoría interna
Page 4 RPA en auditoría Interna
Contenido
► ¿Qué es la automatización robótica
de procesos (RPA)?
► RPA en auditoría interna
Page 5 RPA en auditoría Interna
¿Qué es la automatización robótica de procesos (RPA)?Antecedentes
1990
► Automatización de procesos en sistemas integrados
► Interfaces
► ERP (IBM-BPM ORACLE-BPM)
Aplicación de los ecosistemas de TI
2000
Modelos de procesos automáticos
► Procesos lineales automáticos
► Ecosistemas digitales
► Internet de las cosas (IoT)
► Implementación de “Bots”
► Gestión automatizada de procesos
► Inteligencia artificial
2011 - 2018
Automatización de procesos RPA
► Evolución de los ERP y su conectividad
► Ambiente automatizado de control
► Ambientes sistemáticos de mejora de procesos
Page 6 RPA en auditoría Interna
¿Qué es la automatización robótica de procesos (RPA)?
RPA?Qué es
RPA (Robotic Process Automation) es el uso de un software que replica las acciones de un ser humano que interactúa con unsistema informático y que se basa en reglas.
El Instituto de Automatización Robótica de Procesos (IRPA) define RPA como la aplicación de una tecnología. Esta tecnologíapermite a los empleados de una empresa configurar software de computadora para capturar e interpretar las aplicacionesexistentes para procesar una transacción, manipular datos, activar respuestas y comunicarse con otros sistemas digitales.
Otras definiciones…
Como no se requiere una renovación de la infraestructura de TI existente, se puede alcanzar un alto nivel de automatización utilizando mecanismos de control para comunicar todos los sistemas y procesos
RPA está integrado en una infraestructura de TI existente
RPA es un software que ejecuta procesos repetitivos basados en reglas. El software está programado según las especificaciones funcionales y se puede ajustar en cualquier momento.
RPA es un softwareEl robot de software tiene acceso a diversas aplicaciones con un ID o una contraseña. El robot puede recopilar información o cambiar datos. En consecuencia, los procesos comerciales y administrativos pueden ser totalmente automatizados..
RPA simula a un empleado
Page 7 RPA en auditoría Interna
CognitivaChatbots
Inteligencia Artificial (AI)
• Reconocimiento de patrones
• Analítica predictiva
• Aprendizaje automático
• Manejo de datos no estructurados
• Decisiones automatizadas (reglas comerciales)
• Optimización Matemática
• Teoría de juego
Características
• Simula conversaciones con usuarios humanos.
• Extracción de datos
• Procesamiento natural del lenguaje
¿Qué es la automatización robótica de procesos (RPA)?Proceso evolutivo
Page 8 RPA en auditoría Interna
Bases de datos
Suscripciones
Pagos
ERP
AnalíticaWeb o Nube
Segmentación
RPA es una solución de automatización de software que se ejecuta sin supervisión de personas:
• Realiza tareas de manejo de datos y actividades repetitivas de manera confiable.
• Es adaptativa conforme a los requerimientos funcionales.
• Mantiene el comportamiento emulado de los usuarios.
• En la mayor parte de los casos es administrado por el negocio.
• Ofrece ROI (Retorno de inversión)
RPA permite a las organizaciones automatizar acciones de manejo de datos complejos o de alto volumen e como si los usuarios estuvieran haciendo el trabajo
RPA
¿Qué es la automatización robótica de procesos (RPA)?Aplicaciones
Ejecución de
controles
Page 9 RPA en auditoría Interna
Automatización de procesos robóticos (RPA):
Una solución de software que se ejecuta sin supervisión y funciona como un empleado virtual con aplicaciones existentes
Otras tecnologías de automatización:
Un amplio conjunto de tecnologías complementarias que se pueden unir para automatizar un proceso
Comportamiento adaptativo
División de tareas de alta operatividad
Reconocimiento de caracteres basado en palabras clave
Reconocimiento óptico de caracteres (OCR)
Procesamiento de registros y actividades auditables
Introducir datos en un sistema
Redactar y enviar correos electrónicos
Procesamiento basado en reglas y toma de decisiones
Comparación de conjuntos de datos
Leer, copiar, agregar datos
Automatización de ingreso de datos.
Machine learning
Procesamiento de formato variable
Validaciones Matemáticas
► La automatización de procesos robóticos (RPA) puede proporcionar soluciones avanzadas para eliminar el trabajo manual
► RPA se integra con otra tecnología para reducir significativamente el trabajo manual
¿Qué es la automatización robótica de procesos (RPA)?Robots y otras técnicas
Page 10 RPA en auditoría Interna
Documentos en papel
Escaneo / i-OCR
(Captura inteligente)
EmailManual Data
Manual Data
Manual Data
Sistemas y plataformas
Captura de datos /
interacciones del usuario
Analítica avanzada,
Decis
ion
es a
uto
máti
cas
de "
apre
ndiz
aje
in
teligen
te"
Eje
cu
ció
n d
e
pro
cesos
au
tom
áti
cos
BD
y S
iste
mas
de r
egis
tro
La grafica ilustra el procesamiento automatizado (simple) para registro de información.
¿Qué es la automatización robótica de procesos (RPA)?Ejemplo de procesamiento automatizado simple
RPA
Page 11 RPA en auditoría Interna
¿Qué es la automatización robótica de procesos (RPA)?Demo – Creación de cuentas
Page 12 RPA en auditoría Interna
Riesgo bajo por el uso de tecnología no invasiva
Reutilización de los sistemas y datos existentes, minimizando la interrupción de operatividad de TI.
La tecnología RPA ayuda a automatizar los "vacíos“ de las manualidades entre sistemas de información.
ConsistenciaProcesos y tareas sin errores, eliminando variaciones de salida
ExactitudResultado preciso. Decisiones o cálculos en primera instancia.
Ahorro de costo
ConfiabilidadNo hay días de enfermedad, servicio por 365 días del año.
Pistas de auditoríaRegistros completamente mantenidos esenciales para el cumplimiento
EscalabilidadProductividad que responde a la demanda
RetenciónCambios hacia tareas más productivas y estimulantes
ProductividadTraslado del recursos humanos hacia las tareas de mayor valor agregado
IndependenciaLa independencia geográfica reduce la necesidad de trabajos en sitio y al mismo tiempo ofrece ahorros de costos
Industria CruzadaDivide los problemas de negocio complejos en implementaciones lógicas más simples
ROILos proyectos típicos de RPA incluyen "pilotos" funcionales de 9 a 12 meses con un ROI <1 año
Ahorro desde 20–60% del costo
base
The “Swiss Cheese”
analogy
¿Qué es la automatización robótica de procesos (RPA)?Beneficios
Page 13 RPA en auditoría Interna
¿Qué es la automatización robótica de procesos (RPA)?Estructura organizacional para RPA
CoE Líder• Gobierno y
priorización automatizaciones
RPA Líder
• Coordinador de las actividades ejecutadas diariamente
CoE respaldo• Responsable de la
transferencia de conocimiento y metodologías RPA
RPA Controlador de procesos
• Monitorea y administra los flujos de trabajo de producción
RPA Arquitecto técnico
• Diseño y configuración de flujos de trabajo
RPA Desarrollador• Desarrollo y soporte
de los flujos de trabajo en pruebas y producción
RPA Analista de procesos
• Evalúa la automatización de procesos y documentación requerida
Seguridad y Ciberseguridad
• Administra riesgos y controles de TI
Page 14 RPA en auditoría Interna
RPA Líder
► Supervisa y lidera temas de automatización.
► Revisa y proporciona aportes a la hoja de ruta.
► Soporta la estrategia e infraestructura técnica de RPA.
► Proporciona información estratégica para las transacciones realizadas por RPA.
► Selecciona software y otras características digitales.
► Coordina y gestiona la implementación y programación de Bots desde las pruebas de aceptación del usuario hasta la implementación de producción
► Coordina el cronograma de lanzamiento del Bots.
RPA Arquitecto técnico
► Administra la infraestructura RPA.
► Administra y mantiene el software RPA.
► Instala actualizaciones y parches de software RPA después de la aprobación.
Seguridad y Ciberseguridad
► Administra riesgos.
► Diseña e implementa controles de seguridad
RPA Desarrollador
► Define los requisitos de acceso de seguridad del proceso.
► Crea requisitos funcionales y se traduce en el diseño de la solución RPA y prepara las pruebas de aceptación del usuario .
► Desarrolla y configura Botsbasados en el diseño de soluciones en software RPA.
► Crea casos de prueba y soportes en la fase de prueba.
► Proporciona soporte de nivel 2 si es necesario.
RPA Controlador de procesos
► Monitorea y mantiene la ejecución de Bot.
► Brinda soporte comercial a la producción posterior a la puesta en marcha.
► Responsable del manejo de errores (soporte de Nivel 1)
► Gestiona y supervisa el proceso de admisión de candidatos.
► Optimiza la capacidad de operación del Bot.
Gobierno y CoE (Centro de Excelencia)
¿Qué es la automatización robótica de procesos (RPA)?Roles y responsabilidades
Page 15 RPA en auditoría Interna
Page 16 RPA en auditoría Interna
Contenido
► ¿Qué es la automatización robótica
de procesos (RPA)?
► RPA en auditoría interna
Page 17 RPA en auditoría Interna
Seguridad• IAM
• Desarrollo seguro
• Manejo de amenazas y vulnerabilidades
Auditoría• Desafío efectivo del programa RPA y robots
• Modificaciones del proceso
• Impacto en la estrategia de auditoría
• Controles de línea de base, pruebas, informes
Controles, Gobierno y Cumplimiento• Pruebas de controles
• Habilitación Enterprise GRC
• Seguridad de las aplicaciones
Auditoría• Recopilación de pruebas, aislamiento de problemas
• Evaluación de controles
• Informes
• Cumplimiento normativo RPA
Risk
Seguridad• Identidad digital y acceso
• Identificación y protección de datos
• Operaciones de seguridad
• Producto de software y seguridad
Controles, Gobierno y Cumplimiento• RACM, adopción de marcos, mantenimiento de políticas
y procedimientos
• Habilitación del marco de gobierno, extensión
ImplicacionesAplicaciones
RPA en auditoría internaPuntos críticos de RPA dentro de la gestión de riesgo y auditoría interna
Page 18 RPA en auditoría Interna
2. Modificaciones de los procesos
Existe la posibilidad de que se introduzcan nuevos riesgosa través de la implementación del programa de RPA. La Función de Auditoría debe considerar el efecto en el proceso, los controles, y la confiabilidad y precisión de los datos..
1. Desafío del programa RPA y los robots
La función de auditoría Interna requiere hacer esfuerzos para involucrarse en la estrategia de RPA, de modo que puedan estar preparada para los impactos en el programa de auditoría y ayudar a asesorar a la organización a través de decisiones apropiadas de control y riesgo.
Determine el balance adecuado del programa RPA
frente a la implementación de controles
Implemente procesos RPA
Participación de AI en el programa de RPA de la
Organización
Desarrollar un programa de auditoría
3. Impacto en la estrategia de auditoría existente
La implementación de un programa de RPA dará como resultado modificaciones de la estrategia de auditoría, afectará la disponibilidad y la recopilación de evidencia, y puede requerir competencias adicionales para respaldar las evaluaciones.
RPA en auditoría internaRetos en la Auditoría Interna
Page 19 RPA en auditoría Interna
Gestión de inventarios
Gestión de órdenes
Gestión de fletes
Procesamiento de devoluciones
Gestión de contratos
Cadena de suministro
Nómina
Onboarding
Beneficios
Informes de cumplimiento
RRHH
Ciclo de la compra al pago
Ciclo de la orden al efectivo
Orden de venta
Reclamo de incentivos
RecaudoAdministración de personal
Finanzas
Instalación
Tareas relacionadas con mensajería
Gestión de archivos
Procesamiento por lotes
Supervisión del servidor
TI
Ejecutar controles internos tales como: reconciliaciones, 3 way match, notificación de excepciones, migración de datos.
Realizar funciones de informes incluyendo informes de excepciones, resúmenes de emisiones, actividades de distribución estándar.
Realizar un monitoreo continuo incluyendo recolección de datos, pruebas de controles, informes de excepciones.
1er Línea
Rendimiento de Control
Monitoreo continuo
Informes de cumplimiento
Abastecimiento, exportación de datos, transformación de datos y carga de datos para la presentación de informes, análisis, perfiles de datos, y la migración
Extracción de datos / Transformación / carga, interpretación de KPI, informes de excepción y distribución de informes de auditoría.
Ejecutar pruebas de control, conciliaciones, creación de indicadores clave de riesgo, verificación del cumplimiento de procedimientos predefinidos.
Gestión de Datos
Ejecutar programas de auditoría
Auditoría continua
RPA en auditoría interna¿Cómo las líneas de defensa utilizan RPA?
2da Línea 3ra Línea
Page 20 RPA en auditoría Interna
RPA en auditoría internaRiesgos comunes del RPA
Integridad►Falta de supervisión de transacciones.
►Excepciones no manejadas
apropiadamente.
Gestión del cambio►Cambios de bot conducen a la interrupción.
►Acceso a la configuración del Bot.
Seguridad de la información►Acceso a las credenciales del robot no controlado.
►La vulnerabilidad de seguridad afecta el entorno Bot.
►Acceso excesivo al entorno Bot
►El acceso humano a Bot.
► Inadecuada segregación de funciones
Disponibilidad y desempeño►Sobrecarga de aplicaciones que afectan la continuidad.
►El entorno del bot no está disponible.
►Bot no logra expectativas de rendimiento / SLA´s.”
Gobierno►Objetivos del proceso de
negocio no cumplidos.
►Automatización inefectiva
►Políticas de gobierno de
datos no adheridas por el
diseño de Bot.
►Perdida de Capital
humano y conocimiento.
Page 21 RPA en auditoría Interna
1 La falta de gobierno de la robótica puede conducir a una automatización ineficaz e ineficiente de los procesos y a una incapacidad para apoyar y satisfacer los requisitos funcionales
La gestión del acceso a la robótica se gestiona de forma ineficaz, lo que lleva a comprometer los sistemas, las aplicaciones y sus datos asociados.2
3
4
5
Los requisitos de automatización de procesos no se identifican y documentan de manera adecuada o precisa, lo que conduce a desarrollos de robótica que no satisfacen las necesidades del negocio ni apoyan la estrategia de negocio/TI, lo que resulta en un impacto negativo en los procesos de negocio y Finanzas.
Las implementaciones de robótica no están adecuadamente diseñadas y probadas, lo que lleva a que no se cumplan los requisitos o un impacto negativo en los sistemas de producción que dé lugar a un impacto negativo en el negocio y las pérdidas financieras.
Los problemas de automatización no se identifican y gestionan a tiempo, lo que provoca un retraso en su resolución y da lugar a un impacto negativo en los procesos empresariales.
Se define y mantiene un marco de gobierno de la robótica, que incluye liderazgo, procesos, roles y responsabilidades, requisitos de información y estructura organizativa necesaria para garantizar que el apoyo esté alineado con los objetivos del negocio.
La diligencia debida se realiza sobre los proveedores de robótica para evaluar el riesgo del proveedor al inicio de la relación y de forma periódica
Se administra el control de acceso de robótica con métodos de autenticación adecuados para evitar el acceso no autorizado.
Los requisitos de cambio y desarrollo de la robótica están documentados de manera clara y concisa y se asignan a las necesidades del negocio para garantizar que los cambios estén de acuerdo con la estrategia de negocio.
Los requisitos de implementación, pruebas y soporte se desarrollan y comunican tanto a las partes interesadas del negocio como de TI.
Los problemas y errores de automatización se evalúan, corrigen, rastrean y comunican oportunamente a través de la resolución.
Principales riesgos de RPA Controles ilustrativos para los principales riesgos
6Los riesgos no se mitigan de manera efectiva para la relación con proveedores de robótica y los servicios externalizados, lo que conduce a la exposición financiera y de reputación.
RPA en auditoría internaControles claves asociados a riesgos RPA
Page 22 RPA en auditoría Interna
Comience a identificar:
► ¿El Bot tiene acceso y recopilación de datos de varias aplicaciones?
► ¿El Bot transfiere los datos de un sistema a otro?
► ¿El Bot tiene controles para identificar la consistencia de los datos entre múltiples sistemas?
► ¿El Bot actualiza la información en múltiples sistemas?
► ¿El Bot tiene protocolos de alertamiento o eventos para iniciar sus actividades?
► ¿El Bot realiza remediación de datos?
► ¿El Bot tiene privilegios de administración en lossistemas?
► ¿El Bot cuenta con un esquema de seguridad?
► ¿El Bot procesa información sensible?
Ideas preliminares para considerar:
• Esquemas de seguridad
• Pruebas periódicas a los controles
• Controles de acceso y de funcionalidad
• Monitoreo de cumplimiento
• Riesgos para los datos procesados
RPA en auditoría internaConsideraciones… no estructuradas para auditar RPA (primera visión)
Page 23 RPA en auditoría Interna
Evaluar las responsabilidades en la la gestión, implementación y mantenimiento de RPA.
Comprender los riesgos potenciales que existen en los procesos directamente relacionados con RPA.
Validar la educación y conciencia del personal sobre los beneficios de RPA, el impacto probable en Business As Usual (BAU) y el efecto en la cultura de riesgo y control.
Verificar el diseño de los nuevos controles de RPA y como estos impactan en el riesgo inherente de la Organización.
Identificar y documentar las nueva actividades sobre la operación y cómo el Bot apoya estos procesos (V.gr., mapas de procesos, declaraciones de control clave, RACI)
Evaluar la efectividad operativa de los controles en un entorno BAU. Proporcione comentarios (al CoE) sobre posibles cambios adicionales.
41
2
3
5
6
1ra Línea – Responsable de gestionar el riesgos en el programa de RPA
RPA en auditoría internaPrimera línea de defensa
Page 24 RPA en auditoría Interna
Pru
eba d
e
contr
ole
s Preparar muestra
Aprobación de la preparación de la muestra
PeticiónMuestra
Seleccione Muestras
Reportar resultados
Preparar prueba
Ejecutar prueba
Revisar resultados y excepciones
Población de extracción y seleccionar muestra
Seleccione Muestra y extracción de artefactos de prueba
Preparar hoja de prueba y ejecutar pruebas
Informe
ResultadosResultados de la
revisión
Opera
dor
del
contr
ol
RPA en auditoría internaOperación típica de la primera línea
Aprobación de la solicitud de la muestra
Modelo de gobierno RPA Ecosistema RPA
Page 25 RPA en auditoría Interna
Evaluar si el perfil de riesgo de los procesos incluyen riesgos relacionados con robótica dentro del apetito del riesgo.
Comprender las posibles implicaciones regulatorias y el impacto (ley de protección de datos, CE007, CE005) entre otras.
Supervisar la apropiación del negocio sobre las políticas y procedimientos del marco de riesgo en RPA.
Determinar qué riesgos han sido mitigados o han surgido mediante la implementación de RPA.
Identificar las brechas determinar el de riesgo potencial y monitorear la remediación.
Evolucionar a una supervisión continua sobre un entorno automatizado.
41
2
3
5
6
2a Línea – proporciona una supervisión objetiva de la gestión de riesgos por parte del negocio
RPA en auditoría internaSegunda Línea de defensa
Page 26 RPA en auditoría Interna
► Configuración segura del Bot
► Estándares de desarrollo seguro
► Capacidad, disponibilidad y rendimiento
► Habilitadores tecnológicos
► Arquitectura e integración
► Gestión de cambios
► Autorización y acceso
► Estrategia RPA
► Gestión de riesgos
► Comité Directivo
► Taxonomía de procesos
► Priorización de proyectos RPA
► ROI, medición de valor, informes
► Gestión de la fuerza de trabajo
► Gestión del cambio
► Requisitos de cumplimiento
► Privacidad
► Seguridad de los datos
► Controles de Bots
► RACM, ITGC, mantenimiento de políticas y
procedimientos
► Coordinación entre líneas de defensa
► controles base, las pruebas y los informes
► Gestión de riesgos de proveedores
► Infraestructura (nube)
► Análisis de seguridad de software
► Evaluación de la vulnerabilidades
► IAM
► Modelado de amenazas
► Gestión de vulnerabilidades
► Gestión segura de datos
► Privilegios de acceso
► Administración de eventos
► Resiliencia empresarial
► Mantenimiento de bots
► Sdlc
► KPI, KRI, análisis de beneficios de valor
► Gestión de activos de robótica
Cyber
Operación
Ambiente de
control RPA
RiesgoTIRegulación
TPRM Administración
RPA en auditoría internaMarco de trabajo para asegurar ambiente de control en segunda línea de defensa
Page 27 RPA en auditoría Interna
Los siguientes cinco dominios asociados a ciberseguridad desempeñan uno de los principales aspectos críticos en robótica.
Identidad digital y acceso► Cumplimiento de acceso
► Aprovisionamiento/ desaprovisionamiento
► Certificación de accesos
► Gestión de acceso con privilegios
Operaciones de seguridad► Detección de amenazas cibernéticas
► Respuesta a incidentes
► Inteligencia de amenazas
► Gestión de la exposición a vulnerabilidades.
GobiernoEstrategia, políticas y
estándares, métricas e
informes, monitoreo de
controles continuosIdentificación y protección de datos►Clasificación de datos
►Protección de datos
► Monitoreo del uso de datos
►Privacidad de los datos
Seguridad de software y productos► Desarrollo seguro de software
► Modelado de amenazas
► Escaneo de código estático/dinámico
► Identificación de vulnerabilidades
RPA en auditoría internaAsegurar ambiente de control en segunda línea de defensa - Cyber
Page 28 RPA en auditoría Interna
Marco de control RPA1. Configuración de Bots
►Líneas base de configuración
►Rutinas con el proceso que soporta de extremo a extremo.
► Integridad de la información durante la comunicación entre sistemas
►Detección de errores y escalamiento
►Segregación de labores incompatibles en las funciones automatizadas.
2. Plataforma Robótica
►Componentes del Bot (Librerías)
►Objetos de programación
► Interfaces relacionadas con el Bot
►Log´s de eventos
►Orquestador
►Servicios
3. Seguridad y Ciberseguridad
►Desarrollo seguro de software
►Líneas base de seguridad (servidores, BD)
►Seguridad de las comunicaciones
4. Ambiente de operación del Bot
►Firewall
► Hashing* (Actualmente en Automation Anywhere, solo en la herramienta RPA)
► Cifrado de datos
►Enmascaramiento de datos
► Integración de Active Directory
►Gestión de credenciales Configuración del Bot
1 2
3
4
RPA en auditoría internaAsegurar ambiente de control en 2LD – Riesgo Tecnológico
Page 29 RPA en auditoría Interna
Asegurar la tecnología
Aseguramiento del proceso
► Cifrado de la información.
► Capacitación sobre riesgos y controles requeridos durante los procesos de creación y ejecución
► Creación de reglas (resultados no esperados)
1. Credenciales de administrador de RPA 2. Infraestructura de servidores
RPA
3. Máquinas virtuales
4. Credenciales de bot
5. Aplicaciones empresariales
Componentes a evaluar
► Bóveda de contraseñas
► Registro de auditoría de las actividades de la cuenta
► Políticas de contraseñas seguras
► Actualizaciones de seguridad de hardware
► Control de acceso basado en roles
► Medidas de protección de malware y datos
► Actualizaciones de seguridad (máquinas virtuales)
► Bloqueo de sesión mientras los bots están en funcionamiento
► Contraseñas únicas y robsutas para cada credencial de bot que superen la política estándar
de la empresa
► Acceso limitado a las aplicaciones empresariales necesarias para admitir bots
► Inicio de sesión interactivo deshabilitado desde fuentes distintas de la máquina virtual
► Registro de auditoría habilitados
► Aplicación de líneas base
► Control de acceso basado en roles
RPA en auditoría internaEjemplo de aseguramiento general de un Bot
Page 30 RPA en auditoría Interna
Participación oportuna (temprana) en
la comprensión de las oportunidades y
riesgos que RPA plantea.
Verificar la configuración inicial para el
éxito de la implementación de RPA.
Validar el ciclo de vida y el ambiente
de control de RPA.
Realicé evaluaciones funcionales y
técnicas.
La Auditoría Interna (AI) debe identificar
oportunidades de mejoramiento del
ambiente de control, como
oportunidades en el mejoramiento del
negocio.
Se debe tener las habilidades y
capacidades técnicas apropiadas para
proporcionar valor a la revisión del
ambiente de control.
41
2
3
5
6
3a Línea – Responsable de evaluar de forma independiente la eficacia, el diseño y la operación del marco de riesgos
RPA en auditoría internaTercera línea de defensa
Page 31 RPA en auditoría Interna
► Configuración segura del Bot
► Estándares de desarrollo seguro
► Capacidad, disponibilidad y rendimiento
► Habilitadores tecnológicos
► Arquitectura e integración
► Gestión de cambios
► Autorización y acceso
► Estrategia RPA
► Gestión de riesgos
► Comité Directivo
► Taxonomía de procesos
► Priorización de proyectos RPA
► ROI, medición de valor, informes
► Gestión de la fuerza de trabajo
► Gestión del cambio
► Requisitos de cumplimiento
► Privacidad
► Seguridad de los datos
► Controles de Bots
► RACM, ITGC, mantenimiento de políticas y
procedimientos
► Coordinación entre líneas de defensa
► controles base, las pruebas y los informes
► Gestión de riesgos de proveedores
► Infraestructura (nube)
► Análisis de seguridad de software
► Evaluación de la vulnerabilidades
► IAM
► Modelado de amenazas
► Gestión de vulnerabilidades
► Gestión segura de datos
► Privilegios de acceso
► Administración de eventos
► Resiliencia empresarial
► Mantenimiento de bots
► Sdlc
► KPI, KRI, análisis de beneficios de valor
► Gestión de activos de robótica
Cyber
Operación
Ambiente de
control RPA
RiesgoTIRegulación
TPRM Administración
RPA en auditoría internaEvaluaciones que reten el ambiente de control
Page 32 RPA en auditoría Interna
RPA en auditoría internaIdentificación de riesgos y controles
Risk considerations Illustrative risks Illustrative controls
RPA development and change
management
► Development life cycle practices have not been established or followed
► Insufficient testing (unit, end-to-end system, performance and load, (UAT), regression)
► Inconsistent implementation of key controls addressing completeness and accuracy of processing
► Unclear development, testing, release and change management roles and responsibilities
► Changes in upstream/downstream processing and/or business rules are not
identified/not communicated timely
► Incomplete or insufficient requirements from the business
► The company has systems development life cycle (SLDC) policies and procedures
in place that are updated on a periodic basis.
► For any production application that a robot operates on or is interfaced to, robot
interdependencies related to production application changes should to be tested to
determine the impact of robot functionality.
► Changes to the robot scheduler or robot are authorized, tested and approved by
appropriate management.
► A review of all scheduling changes and robot changes are performed by IT
management to determine the changes are appropriate.
► The ability to change the robot is segregated from the ability to promote the
change.
Security
► Excessive user access privileges/segregation of duties risk
► Ability to make workflow changes without detection
► Insufficient sensitive data protection during RPA run-time
► Remote access to RPA ID to alter/fail processing
► Inappropriate access to modify RPA logs
► Incompatible business processing functions are combined for processing under the same RPA ID
► Robot access to key systems is appropriately restricted and limited to authorized
users (super user access is not granted and segregation of duties is considered
when designing robot access).
► User IDs and passwords used by the robot to access other systems are
appropriately restricted against unauthorized access.
► Activity of robot user accounts is monitored to identify any unauthorized access.
► Privileged access, including administrator accounts and super user accounts, are
appropriately restricted from accessing the robot software.
Monitoring and issue
management
► Failed processing is not timely detected, escalated or remediated
► Processing errors are not detected and escalated or remediated
► Insufficient trend analysis around data volumes and run times to avoid capacity and performance issues
► Issue management process (detection, notification, prioritization, escalation, remediation) to address
production issues not consistently executed
► Emergency issue management process not triggered when needed
► Insufficient logging to root-cause the issue
► Incident management policies and procedures are in place.
► Incidents and failures are appropriately identified, documented, escalated and
remediated in a timely manner.
Processing integrity► Insufficient checkpoints around accuracy and completeness of input, processing and output results ► Appropriate edit and data integrity checks are built into the automation process to
verify that the data and computations are complete and accurate throughout the
automated process.
Page 33 RPA en auditoría Interna
RPA en auditoría internaCreación de un programa de auditoría
# Category Risk Control Summary Control Test Plan
1 Manage Access Unauthorized users are granted access to
applicable logical access layers.
Key financial data/programs are intentionally or
unintentionally modified.
Design and control of Robot profiles does not
consider least privileges access or SOD conflicts.
Privileged access
through Robot
Robot access to key systems is appropriately restricted
and limited to access necessary to perform its functions
(superuser access is not granted and segregation of duties
is considered when designing robot access).
User IDs and passwords used by the Robot to access
other systems are appropriately restricted against
unauthorized access.
Activity of robot User IDs is monitored to identify
unauthorized use of these IDs by parties other than the
robot.
Obtain a system generated list of Robot access
to privileged roles, and gain an understanding of
who has the ability to gain that access.
Determine if access is appropriate.
2 Manage Access Security and password configurations are not
optimized to prevent unauthorized access.
Authentication and
encryption
Robot password is encrypted and cannot be accessed by
company personnel. Any communication performed by the
robot across different networks is encrypted.
Obtain evidence that the robot's application
passwords are stored in an encrypted state and
can't be accessed by unauthorized personnel.
3 Manage Access Security and password configurations are not
optimized to prevent unauthorized access.
Password Settings Password parameters are configured according to policy
(includes both automation software and supporting
infrastructure).
Obtain password settings and determine if
configured according to policy.
4 Manage Access Unauthorized users are granted key privileged
rights.
Key financial data/programs are intentionally or
unintentionally modified.
Incompatible business processing functions are
combined for processing under the same RPA ID.
Privileged access Privileged access, including administrator accounts and
super user accounts, are appropriately restricted from
accessing the Robot software.
Obtain a system generated list of users with
access to the privileged roles within Robot, and
determine if access is appropriate through job
title and discussion with the control owner.
5 Manage Access Unauthorized users are granted access to
applicable logical access layers.
Key financial data/programs are intentionally or
unintentionally modified.
Robotic identity and access management process
is not centralized.
New/modified user
access
New and modified user access to the robot software is
approved by IT management. All access is appropriately
provisioned.
Obtain a system generated list of access added
or modified during the current audit period.
Select a sample of users based on the total
population based on sampling methodology.
Obtain the corresponding evidence to determine
if access was appropriately approved and setup.
Page 34 RPA en auditoría Interna
RPA en auditoría internaDetermine las oportunidades de automatización al interior de AI
Test Process Name Robotics Process OpportunitiesShort term
candidates
Medium Term
CandidatesFuture Candidates
Prepare testing leadsheet ► Transpose key control attributes from Risk and Control Matrix (RACM) to testing leadsheet/workbooks
Sample Identification ► Define sample population based on defined criteria from master data
Data Collection
► Collect data from multiple disparate systems. Data may need to be extracted from mainframe screens,
PDFs, images, or websites, preventing automation using common tools such as SQL
► Use alternate tools in addition to robotics for data extraction and interpretation
Data Transformation► Consolidate supporting information and documentation
► Transform data from complex structured information to standard templates required for testing
Test Execution Pre-Analysis► Conduct preliminary analysis, and initial test scripts execution for rules based, logical tests
► Integrate and execute scripts based on defined inputs and rules
Test Execution –
Judgmental
► Tests requiring human judgments to interpret information could be pre-analyzed for an analysts to review
based on set criteria and self-learning algorithms using structured information
Issue Identification ► Identify failures and report issues in issue management platforms
Issue Upload ► Consolidate issues and conduct bulk uploads of test issues
Reporting Data collection► Consolidate data for report development from disparate issue management platforms
► Distribute reports to owners, or publish on accessible location
Report Development► Generate consolidate reports using predefined logic for various aggregated reporting required
► Generate reports based on trends and issues identified in Test Execution
Operations Management
and Planning
► Develop Reports to monitor status monitoring, identify changes and alerts on operational challenges
► Consolidate plans across testing functions and identify overlapping activities
Quality Control► Systematic controls to verify quality through the testing process
► Identify exceptions in testing process
Inte
rna
l A
ud
it U
se C
ase
s