RPA (Automatización Robótica de Procesos) en auditoría Interna

The better the question. The better the answer. The better the world works.

RPA (Automatización Robótica de Procesos) en auditoría Interna

Punto de conocimientoTransformación e innovación en auditoría

Agosto 2019

The better the question. The better the answer. The better the world works.

¿Sabes cuál es el riesgo más importante de tener implementado RPA en tu organización?

Page 3 RPA en auditoría Interna

Contenido

► ¿Qué es la automatización robótica

de procesos (RPA)?

► RPA en auditoría interna


Contenido


de procesos (RPA)?



¿Qué es la automatización robótica de procesos (RPA)?Antecedentes

1990

► Automatización de procesos en sistemas integrados

► Interfaces

► ERP (IBM-BPM ORACLE-BPM)

Aplicación de los ecosistemas de TI

2000

Modelos de procesos automáticos

► Procesos lineales automáticos

► Ecosistemas digitales

► Internet de las cosas (IoT)

► Implementación de “Bots”

► Gestión automatizada de procesos

► Inteligencia artificial

2011 - 2018

Automatización de procesos RPA

► Evolución de los ERP y su conectividad

► Ambiente automatizado de control

► Ambientes sistemáticos de mejora de procesos


¿Qué es la automatización robótica de procesos (RPA)?

RPA?Qué es

RPA (Robotic Process Automation) es el uso de un software que replica las acciones de un ser humano que interactúa con unsistema informático y que se basa en reglas.

El Instituto de Automatización Robótica de Procesos (IRPA) define RPA como la aplicación de una tecnología. Esta tecnologíapermite a los empleados de una empresa configurar software de computadora para capturar e interpretar las aplicacionesexistentes para procesar una transacción, manipular datos, activar respuestas y comunicarse con otros sistemas digitales.

Otras definiciones…

Como no se requiere una renovación de la infraestructura de TI existente, se puede alcanzar un alto nivel de automatización utilizando mecanismos de control para comunicar todos los sistemas y procesos

RPA está integrado en una infraestructura de TI existente

RPA es un software que ejecuta procesos repetitivos basados en reglas. El software está programado según las especificaciones funcionales y se puede ajustar en cualquier momento.

RPA es un softwareEl robot de software tiene acceso a diversas aplicaciones con un ID o una contraseña. El robot puede recopilar información o cambiar datos. En consecuencia, los procesos comerciales y administrativos pueden ser totalmente automatizados..

RPA simula a un empleado


CognitivaChatbots

Inteligencia Artificial (AI)

• Reconocimiento de patrones

• Analítica predictiva

• Aprendizaje automático

• Manejo de datos no estructurados

• Decisiones automatizadas (reglas comerciales)

• Optimización Matemática

• Teoría de juego

Características

• Simula conversaciones con usuarios humanos.

• Extracción de datos

• Procesamiento natural del lenguaje

¿Qué es la automatización robótica de procesos (RPA)?Proceso evolutivo


Bases de datos

Suscripciones

Pagos

ERP

AnalíticaWeb o Nube

Segmentación

RPA es una solución de automatización de software que se ejecuta sin supervisión de personas:

• Realiza tareas de manejo de datos y actividades repetitivas de manera confiable.

• Es adaptativa conforme a los requerimientos funcionales.

• Mantiene el comportamiento emulado de los usuarios.

• En la mayor parte de los casos es administrado por el negocio.

• Ofrece ROI (Retorno de inversión)

RPA permite a las organizaciones automatizar acciones de manejo de datos complejos o de alto volumen e como si los usuarios estuvieran haciendo el trabajo

RPA

¿Qué es la automatización robótica de procesos (RPA)?Aplicaciones

Ejecución de

controles

What is RPA.mp4


Automatización de procesos robóticos (RPA):

Una solución de software que se ejecuta sin supervisión y funciona como un empleado virtual con aplicaciones existentes

Otras tecnologías de automatización:

Un amplio conjunto de tecnologías complementarias que se pueden unir para automatizar un proceso

Comportamiento adaptativo

División de tareas de alta operatividad

Reconocimiento de caracteres basado en palabras clave

Reconocimiento óptico de caracteres (OCR)

Procesamiento de registros y actividades auditables

Introducir datos en un sistema

Redactar y enviar correos electrónicos

Procesamiento basado en reglas y toma de decisiones

Comparación de conjuntos de datos

Leer, copiar, agregar datos

Automatización de ingreso de datos.

Machine learning

Procesamiento de formato variable

Validaciones Matemáticas

► La automatización de procesos robóticos (RPA) puede proporcionar soluciones avanzadas para eliminar el trabajo manual

► RPA se integra con otra tecnología para reducir significativamente el trabajo manual

¿Qué es la automatización robótica de procesos (RPA)?Robots y otras técnicas


Documentos en papel

Escaneo / i-OCR

(Captura inteligente)

EmailManual Data

Manual Data

Manual Data

Sistemas y plataformas

Captura de datos /

interacciones del usuario

Analítica avanzada,

Decis

ion

es a

uto

máti

cas

de "

apre

ndiz

aje

in

teligen

te"

Eje

cu

ció

n d

e

pro

cesos

au

tom

áti

cos

BD

y S

iste

mas

de r

egis

tro

La grafica ilustra el procesamiento automatizado (simple) para registro de información.

¿Qué es la automatización robótica de procesos (RPA)?Ejemplo de procesamiento automatizado simple

RPA


¿Qué es la automatización robótica de procesos (RPA)?Demo – Creación de cuentas


Riesgo bajo por el uso de tecnología no invasiva

Reutilización de los sistemas y datos existentes, minimizando la interrupción de operatividad de TI.

La tecnología RPA ayuda a automatizar los "vacíos“ de las manualidades entre sistemas de información.

ConsistenciaProcesos y tareas sin errores, eliminando variaciones de salida

ExactitudResultado preciso. Decisiones o cálculos en primera instancia.

Ahorro de costo

ConfiabilidadNo hay días de enfermedad, servicio por 365 días del año.

Pistas de auditoríaRegistros completamente mantenidos esenciales para el cumplimiento

EscalabilidadProductividad que responde a la demanda

RetenciónCambios hacia tareas más productivas y estimulantes

ProductividadTraslado del recursos humanos hacia las tareas de mayor valor agregado

IndependenciaLa independencia geográfica reduce la necesidad de trabajos en sitio y al mismo tiempo ofrece ahorros de costos

Industria CruzadaDivide los problemas de negocio complejos en implementaciones lógicas más simples

ROILos proyectos típicos de RPA incluyen "pilotos" funcionales de 9 a 12 meses con un ROI <1 año

Ahorro desde 20–60% del costo

base

The “Swiss Cheese”

analogy

¿Qué es la automatización robótica de procesos (RPA)?Beneficios


¿Qué es la automatización robótica de procesos (RPA)?Estructura organizacional para RPA

CoE Líder• Gobierno y

priorización automatizaciones

RPA Líder

• Coordinador de las actividades ejecutadas diariamente

CoE respaldo• Responsable de la

transferencia de conocimiento y metodologías RPA

RPA Controlador de procesos

• Monitorea y administra los flujos de trabajo de producción

RPA Arquitecto técnico

• Diseño y configuración de flujos de trabajo

RPA Desarrollador• Desarrollo y soporte

de los flujos de trabajo en pruebas y producción

RPA Analista de procesos

• Evalúa la automatización de procesos y documentación requerida

Seguridad y Ciberseguridad

• Administra riesgos y controles de TI


RPA Líder

► Supervisa y lidera temas de automatización.

► Revisa y proporciona aportes a la hoja de ruta.

► Soporta la estrategia e infraestructura técnica de RPA.

► Proporciona información estratégica para las transacciones realizadas por RPA.

► Selecciona software y otras características digitales.

► Coordina y gestiona la implementación y programación de Bots desde las pruebas de aceptación del usuario hasta la implementación de producción

► Coordina el cronograma de lanzamiento del Bots.

RPA Arquitecto técnico

► Administra la infraestructura RPA.

► Administra y mantiene el software RPA.

► Instala actualizaciones y parches de software RPA después de la aprobación.

Seguridad y Ciberseguridad

► Administra riesgos.

► Diseña e implementa controles de seguridad

RPA Desarrollador

► Define los requisitos de acceso de seguridad del proceso.

► Crea requisitos funcionales y se traduce en el diseño de la solución RPA y prepara las pruebas de aceptación del usuario .

► Desarrolla y configura Botsbasados en el diseño de soluciones en software RPA.

► Crea casos de prueba y soportes en la fase de prueba.

► Proporciona soporte de nivel 2 si es necesario.

RPA Controlador de procesos

► Monitorea y mantiene la ejecución de Bot.

► Brinda soporte comercial a la producción posterior a la puesta en marcha.

► Responsable del manejo de errores (soporte de Nivel 1)

► Gestiona y supervisa el proceso de admisión de candidatos.

► Optimiza la capacidad de operación del Bot.

Gobierno y CoE (Centro de Excelencia)

¿Qué es la automatización robótica de procesos (RPA)?Roles y responsabilidades



Contenido


de procesos (RPA)?



Seguridad• IAM

• Desarrollo seguro

• Manejo de amenazas y vulnerabilidades

Auditoría• Desafío efectivo del programa RPA y robots

• Modificaciones del proceso

• Impacto en la estrategia de auditoría

• Controles de línea de base, pruebas, informes

Controles, Gobierno y Cumplimiento• Pruebas de controles

• Habilitación Enterprise GRC

• Seguridad de las aplicaciones

Auditoría• Recopilación de pruebas, aislamiento de problemas

• Evaluación de controles

• Informes

• Cumplimiento normativo RPA

Risk

Seguridad• Identidad digital y acceso

• Identificación y protección de datos

• Operaciones de seguridad

• Producto de software y seguridad

Controles, Gobierno y Cumplimiento• RACM, adopción de marcos, mantenimiento de políticas

y procedimientos

• Habilitación del marco de gobierno, extensión

ImplicacionesAplicaciones

RPA en auditoría internaPuntos críticos de RPA dentro de la gestión de riesgo y auditoría interna


2. Modificaciones de los procesos

Existe la posibilidad de que se introduzcan nuevos riesgosa través de la implementación del programa de RPA. La Función de Auditoría debe considerar el efecto en el proceso, los controles, y la confiabilidad y precisión de los datos..

1. Desafío del programa RPA y los robots

La función de auditoría Interna requiere hacer esfuerzos para involucrarse en la estrategia de RPA, de modo que puedan estar preparada para los impactos en el programa de auditoría y ayudar a asesorar a la organización a través de decisiones apropiadas de control y riesgo.

Determine el balance adecuado del programa RPA

frente a la implementación de controles

Implemente procesos RPA

Participación de AI en el programa de RPA de la

Organización

Desarrollar un programa de auditoría

3. Impacto en la estrategia de auditoría existente

La implementación de un programa de RPA dará como resultado modificaciones de la estrategia de auditoría, afectará la disponibilidad y la recopilación de evidencia, y puede requerir competencias adicionales para respaldar las evaluaciones.

RPA en auditoría internaRetos en la Auditoría Interna


Gestión de inventarios

Gestión de órdenes

Gestión de fletes

Procesamiento de devoluciones

Gestión de contratos

Cadena de suministro

Nómina

Onboarding

Beneficios

Informes de cumplimiento

RRHH

Ciclo de la compra al pago

Ciclo de la orden al efectivo

Orden de venta

Reclamo de incentivos

RecaudoAdministración de personal

Finanzas

Instalación

Tareas relacionadas con mensajería

Gestión de archivos

Procesamiento por lotes

Supervisión del servidor

TI

Ejecutar controles internos tales como: reconciliaciones, 3 way match, notificación de excepciones, migración de datos.

Realizar funciones de informes incluyendo informes de excepciones, resúmenes de emisiones, actividades de distribución estándar.

Realizar un monitoreo continuo incluyendo recolección de datos, pruebas de controles, informes de excepciones.

1er Línea

Rendimiento de Control

Monitoreo continuo

Informes de cumplimiento

Abastecimiento, exportación de datos, transformación de datos y carga de datos para la presentación de informes, análisis, perfiles de datos, y la migración

Extracción de datos / Transformación / carga, interpretación de KPI, informes de excepción y distribución de informes de auditoría.

Ejecutar pruebas de control, conciliaciones, creación de indicadores clave de riesgo, verificación del cumplimiento de procedimientos predefinidos.

Gestión de Datos

Ejecutar programas de auditoría

Auditoría continua

RPA en auditoría interna¿Cómo las líneas de defensa utilizan RPA?

2da Línea 3ra Línea


RPA en auditoría internaRiesgos comunes del RPA

Integridad►Falta de supervisión de transacciones.

►Excepciones no manejadas

apropiadamente.

Gestión del cambio►Cambios de bot conducen a la interrupción.

►Acceso a la configuración del Bot.

Seguridad de la información►Acceso a las credenciales del robot no controlado.

►La vulnerabilidad de seguridad afecta el entorno Bot.

►Acceso excesivo al entorno Bot

►El acceso humano a Bot.

► Inadecuada segregación de funciones

Disponibilidad y desempeño►Sobrecarga de aplicaciones que afectan la continuidad.

►El entorno del bot no está disponible.

►Bot no logra expectativas de rendimiento / SLA´s.”

Gobierno►Objetivos del proceso de

negocio no cumplidos.

►Automatización inefectiva

►Políticas de gobierno de

datos no adheridas por el

diseño de Bot.

►Perdida de Capital

humano y conocimiento.


1 La falta de gobierno de la robótica puede conducir a una automatización ineficaz e ineficiente de los procesos y a una incapacidad para apoyar y satisfacer los requisitos funcionales

La gestión del acceso a la robótica se gestiona de forma ineficaz, lo que lleva a comprometer los sistemas, las aplicaciones y sus datos asociados.2

3

4

5

Los requisitos de automatización de procesos no se identifican y documentan de manera adecuada o precisa, lo que conduce a desarrollos de robótica que no satisfacen las necesidades del negocio ni apoyan la estrategia de negocio/TI, lo que resulta en un impacto negativo en los procesos de negocio y Finanzas.

Las implementaciones de robótica no están adecuadamente diseñadas y probadas, lo que lleva a que no se cumplan los requisitos o un impacto negativo en los sistemas de producción que dé lugar a un impacto negativo en el negocio y las pérdidas financieras.

Los problemas de automatización no se identifican y gestionan a tiempo, lo que provoca un retraso en su resolución y da lugar a un impacto negativo en los procesos empresariales.

Se define y mantiene un marco de gobierno de la robótica, que incluye liderazgo, procesos, roles y responsabilidades, requisitos de información y estructura organizativa necesaria para garantizar que el apoyo esté alineado con los objetivos del negocio.

La diligencia debida se realiza sobre los proveedores de robótica para evaluar el riesgo del proveedor al inicio de la relación y de forma periódica

Se administra el control de acceso de robótica con métodos de autenticación adecuados para evitar el acceso no autorizado.

Los requisitos de cambio y desarrollo de la robótica están documentados de manera clara y concisa y se asignan a las necesidades del negocio para garantizar que los cambios estén de acuerdo con la estrategia de negocio.

Los requisitos de implementación, pruebas y soporte se desarrollan y comunican tanto a las partes interesadas del negocio como de TI.

Los problemas y errores de automatización se evalúan, corrigen, rastrean y comunican oportunamente a través de la resolución.

Principales riesgos de RPA Controles ilustrativos para los principales riesgos

6Los riesgos no se mitigan de manera efectiva para la relación con proveedores de robótica y los servicios externalizados, lo que conduce a la exposición financiera y de reputación.

RPA en auditoría internaControles claves asociados a riesgos RPA


Comience a identificar:

► ¿El Bot tiene acceso y recopilación de datos de varias aplicaciones?

► ¿El Bot transfiere los datos de un sistema a otro?

► ¿El Bot tiene controles para identificar la consistencia de los datos entre múltiples sistemas?

► ¿El Bot actualiza la información en múltiples sistemas?

► ¿El Bot tiene protocolos de alertamiento o eventos para iniciar sus actividades?

► ¿El Bot realiza remediación de datos?

► ¿El Bot tiene privilegios de administración en lossistemas?

► ¿El Bot cuenta con un esquema de seguridad?

► ¿El Bot procesa información sensible?

Ideas preliminares para considerar:

• Esquemas de seguridad

• Pruebas periódicas a los controles

• Controles de acceso y de funcionalidad

• Monitoreo de cumplimiento

• Riesgos para los datos procesados

RPA en auditoría internaConsideraciones… no estructuradas para auditar RPA (primera visión)


Evaluar las responsabilidades en la la gestión, implementación y mantenimiento de RPA.

Comprender los riesgos potenciales que existen en los procesos directamente relacionados con RPA.

Validar la educación y conciencia del personal sobre los beneficios de RPA, el impacto probable en Business As Usual (BAU) y el efecto en la cultura de riesgo y control.

Verificar el diseño de los nuevos controles de RPA y como estos impactan en el riesgo inherente de la Organización.

Identificar y documentar las nueva actividades sobre la operación y cómo el Bot apoya estos procesos (V.gr., mapas de procesos, declaraciones de control clave, RACI)

Evaluar la efectividad operativa de los controles en un entorno BAU. Proporcione comentarios (al CoE) sobre posibles cambios adicionales.

41

2

3

5

6

1ra Línea – Responsable de gestionar el riesgos en el programa de RPA

RPA en auditoría internaPrimera línea de defensa


Pru

eba d

e

contr

ole

s Preparar muestra

Aprobación de la preparación de la muestra

PeticiónMuestra

Seleccione Muestras

Reportar resultados

Preparar prueba

Ejecutar prueba

Revisar resultados y excepciones

Población de extracción y seleccionar muestra

Seleccione Muestra y extracción de artefactos de prueba

Preparar hoja de prueba y ejecutar pruebas

Informe

ResultadosResultados de la

revisión

Opera

dor

del

contr

ol

RPA en auditoría internaOperación típica de la primera línea

Aprobación de la solicitud de la muestra

Modelo de gobierno RPA Ecosistema RPA


Evaluar si el perfil de riesgo de los procesos incluyen riesgos relacionados con robótica dentro del apetito del riesgo.

Comprender las posibles implicaciones regulatorias y el impacto (ley de protección de datos, CE007, CE005) entre otras.

Supervisar la apropiación del negocio sobre las políticas y procedimientos del marco de riesgo en RPA.

Determinar qué riesgos han sido mitigados o han surgido mediante la implementación de RPA.

Identificar las brechas determinar el de riesgo potencial y monitorear la remediación.

Evolucionar a una supervisión continua sobre un entorno automatizado.

41

2

3

5

6

2a Línea – proporciona una supervisión objetiva de la gestión de riesgos por parte del negocio

RPA en auditoría internaSegunda Línea de defensa


► Configuración segura del Bot

► Estándares de desarrollo seguro

► Capacidad, disponibilidad y rendimiento

► Habilitadores tecnológicos

► Arquitectura e integración

► Gestión de cambios

► Autorización y acceso

► Estrategia RPA

► Gestión de riesgos

► Comité Directivo

► Taxonomía de procesos

► Priorización de proyectos RPA

► ROI, medición de valor, informes

► Gestión de la fuerza de trabajo

► Gestión del cambio

► Requisitos de cumplimiento

► Privacidad

► Seguridad de los datos

► Controles de Bots

► RACM, ITGC, mantenimiento de políticas y

procedimientos

► Coordinación entre líneas de defensa

► controles base, las pruebas y los informes

► Gestión de riesgos de proveedores

► Infraestructura (nube)

► Análisis de seguridad de software

► Evaluación de la vulnerabilidades

► IAM

► Modelado de amenazas

► Gestión de vulnerabilidades

► Gestión segura de datos

► Privilegios de acceso

► Administración de eventos

► Resiliencia empresarial

► Mantenimiento de bots

► Sdlc

► KPI, KRI, análisis de beneficios de valor

► Gestión de activos de robótica

Cyber

Operación

Ambiente de

control RPA

RiesgoTIRegulación

TPRM Administración

RPA en auditoría internaMarco de trabajo para asegurar ambiente de control en segunda línea de defensa


Los siguientes cinco dominios asociados a ciberseguridad desempeñan uno de los principales aspectos críticos en robótica.

Identidad digital y acceso► Cumplimiento de acceso

► Aprovisionamiento/ desaprovisionamiento

► Certificación de accesos

► Gestión de acceso con privilegios

Operaciones de seguridad► Detección de amenazas cibernéticas

► Respuesta a incidentes

► Inteligencia de amenazas

► Gestión de la exposición a vulnerabilidades.

GobiernoEstrategia, políticas y

estándares, métricas e

informes, monitoreo de

controles continuosIdentificación y protección de datos►Clasificación de datos

►Protección de datos

► Monitoreo del uso de datos

►Privacidad de los datos

Seguridad de software y productos► Desarrollo seguro de software


► Escaneo de código estático/dinámico

► Identificación de vulnerabilidades

RPA en auditoría internaAsegurar ambiente de control en segunda línea de defensa - Cyber


Marco de control RPA1. Configuración de Bots

►Líneas base de configuración

►Rutinas con el proceso que soporta de extremo a extremo.

► Integridad de la información durante la comunicación entre sistemas

►Detección de errores y escalamiento

►Segregación de labores incompatibles en las funciones automatizadas.

2. Plataforma Robótica

►Componentes del Bot (Librerías)

►Objetos de programación

► Interfaces relacionadas con el Bot

►Log´s de eventos

►Orquestador

►Servicios

3. Seguridad y Ciberseguridad

►Desarrollo seguro de software

►Líneas base de seguridad (servidores, BD)

►Seguridad de las comunicaciones

4. Ambiente de operación del Bot

►Firewall

► Hashing* (Actualmente en Automation Anywhere, solo en la herramienta RPA)

► Cifrado de datos

►Enmascaramiento de datos

► Integración de Active Directory

►Gestión de credenciales Configuración del Bot

1 2

3

4

RPA en auditoría internaAsegurar ambiente de control en 2LD – Riesgo Tecnológico


Asegurar la tecnología

Aseguramiento del proceso

► Cifrado de la información.

► Capacitación sobre riesgos y controles requeridos durante los procesos de creación y ejecución

► Creación de reglas (resultados no esperados)

1. Credenciales de administrador de RPA 2. Infraestructura de servidores

RPA

3. Máquinas virtuales

4. Credenciales de bot

5. Aplicaciones empresariales

Componentes a evaluar

► Bóveda de contraseñas

► Registro de auditoría de las actividades de la cuenta

► Políticas de contraseñas seguras

► Actualizaciones de seguridad de hardware

► Control de acceso basado en roles

► Medidas de protección de malware y datos

► Actualizaciones de seguridad (máquinas virtuales)

► Bloqueo de sesión mientras los bots están en funcionamiento

► Contraseñas únicas y robsutas para cada credencial de bot que superen la política estándar

de la empresa

► Acceso limitado a las aplicaciones empresariales necesarias para admitir bots

► Inicio de sesión interactivo deshabilitado desde fuentes distintas de la máquina virtual

► Registro de auditoría habilitados

► Aplicación de líneas base

► Control de acceso basado en roles

RPA en auditoría internaEjemplo de aseguramiento general de un Bot


Participación oportuna (temprana) en

la comprensión de las oportunidades y

riesgos que RPA plantea.

Verificar la configuración inicial para el

éxito de la implementación de RPA.

Validar el ciclo de vida y el ambiente

de control de RPA.

Realicé evaluaciones funcionales y

técnicas.

La Auditoría Interna (AI) debe identificar

oportunidades de mejoramiento del

ambiente de control, como

oportunidades en el mejoramiento del

negocio.

Se debe tener las habilidades y

capacidades técnicas apropiadas para

proporcionar valor a la revisión del

ambiente de control.

41

2

3

5

6

3a Línea – Responsable de evaluar de forma independiente la eficacia, el diseño y la operación del marco de riesgos

RPA en auditoría internaTercera línea de defensa


► Configuración segura del Bot

► Estándares de desarrollo seguro

► Capacidad, disponibilidad y rendimiento

► Habilitadores tecnológicos

► Arquitectura e integración

► Gestión de cambios

► Autorización y acceso

► Estrategia RPA

► Gestión de riesgos

► Comité Directivo

► Taxonomía de procesos

► Priorización de proyectos RPA

► ROI, medición de valor, informes

► Gestión de la fuerza de trabajo

► Gestión del cambio

► Requisitos de cumplimiento

► Privacidad

► Seguridad de los datos

► Controles de Bots

► RACM, ITGC, mantenimiento de políticas y

procedimientos

► Coordinación entre líneas de defensa

► controles base, las pruebas y los informes

► Gestión de riesgos de proveedores

► Infraestructura (nube)

► Análisis de seguridad de software

► Evaluación de la vulnerabilidades

► IAM


► Gestión de vulnerabilidades

► Gestión segura de datos

► Privilegios de acceso

► Administración de eventos

► Resiliencia empresarial

► Mantenimiento de bots

► Sdlc

► KPI, KRI, análisis de beneficios de valor

► Gestión de activos de robótica

Cyber

Operación

Ambiente de

control RPA

RiesgoTIRegulación

TPRM Administración

RPA en auditoría internaEvaluaciones que reten el ambiente de control


RPA en auditoría internaIdentificación de riesgos y controles

Risk considerations Illustrative risks Illustrative controls

RPA development and change

management

► Development life cycle practices have not been established or followed

► Insufficient testing (unit, end-to-end system, performance and load, (UAT), regression)

► Inconsistent implementation of key controls addressing completeness and accuracy of processing

► Unclear development, testing, release and change management roles and responsibilities

► Changes in upstream/downstream processing and/or business rules are not

identified/not communicated timely

► Incomplete or insufficient requirements from the business

► The company has systems development life cycle (SLDC) policies and procedures

in place that are updated on a periodic basis.

► For any production application that a robot operates on or is interfaced to, robot

interdependencies related to production application changes should to be tested to

determine the impact of robot functionality.

► Changes to the robot scheduler or robot are authorized, tested and approved by

appropriate management.

► A review of all scheduling changes and robot changes are performed by IT

management to determine the changes are appropriate.

► The ability to change the robot is segregated from the ability to promote the

change.

Security

► Excessive user access privileges/segregation of duties risk

► Ability to make workflow changes without detection

► Insufficient sensitive data protection during RPA run-time

► Remote access to RPA ID to alter/fail processing

► Inappropriate access to modify RPA logs

► Incompatible business processing functions are combined for processing under the same RPA ID

► Robot access to key systems is appropriately restricted and limited to authorized

users (super user access is not granted and segregation of duties is considered

when designing robot access).

► User IDs and passwords used by the robot to access other systems are

appropriately restricted against unauthorized access.

► Activity of robot user accounts is monitored to identify any unauthorized access.

► Privileged access, including administrator accounts and super user accounts, are

appropriately restricted from accessing the robot software.

Monitoring and issue

management

► Failed processing is not timely detected, escalated or remediated

► Processing errors are not detected and escalated or remediated

► Insufficient trend analysis around data volumes and run times to avoid capacity and performance issues

► Issue management process (detection, notification, prioritization, escalation, remediation) to address

production issues not consistently executed

► Emergency issue management process not triggered when needed

► Insufficient logging to root-cause the issue

► Incident management policies and procedures are in place.

► Incidents and failures are appropriately identified, documented, escalated and

remediated in a timely manner.

Processing integrity► Insufficient checkpoints around accuracy and completeness of input, processing and output results ► Appropriate edit and data integrity checks are built into the automation process to

verify that the data and computations are complete and accurate throughout the

automated process.


RPA en auditoría internaCreación de un programa de auditoría

# Category Risk Control Summary Control Test Plan

1 Manage Access Unauthorized users are granted access to

applicable logical access layers.

Key financial data/programs are intentionally or

unintentionally modified.

Design and control of Robot profiles does not

consider least privileges access or SOD conflicts.

Privileged access

through Robot

Robot access to key systems is appropriately restricted

and limited to access necessary to perform its functions

(superuser access is not granted and segregation of duties

is considered when designing robot access).

User IDs and passwords used by the Robot to access

other systems are appropriately restricted against

unauthorized access.

Activity of robot User IDs is monitored to identify

unauthorized use of these IDs by parties other than the

robot.

Obtain a system generated list of Robot access

to privileged roles, and gain an understanding of

who has the ability to gain that access.

Determine if access is appropriate.

2 Manage Access Security and password configurations are not

optimized to prevent unauthorized access.

Authentication and

encryption

Robot password is encrypted and cannot be accessed by

company personnel. Any communication performed by the

robot across different networks is encrypted.

Obtain evidence that the robot's application

passwords are stored in an encrypted state and

can't be accessed by unauthorized personnel.

3 Manage Access Security and password configurations are not

optimized to prevent unauthorized access.

Password Settings Password parameters are configured according to policy

(includes both automation software and supporting

infrastructure).

Obtain password settings and determine if

configured according to policy.

4 Manage Access Unauthorized users are granted key privileged

rights.



Incompatible business processing functions are

combined for processing under the same RPA ID.

Privileged access Privileged access, including administrator accounts and

super user accounts, are appropriately restricted from

accessing the Robot software.

Obtain a system generated list of users with

access to the privileged roles within Robot, and

determine if access is appropriate through job

title and discussion with the control owner.

5 Manage Access Unauthorized users are granted access to

applicable logical access layers.



Robotic identity and access management process

is not centralized.

New/modified user

access

New and modified user access to the robot software is

approved by IT management. All access is appropriately

provisioned.

Obtain a system generated list of access added

or modified during the current audit period.

Select a sample of users based on the total

population based on sampling methodology.

Obtain the corresponding evidence to determine

if access was appropriately approved and setup.


RPA en auditoría internaDetermine las oportunidades de automatización al interior de AI

Test Process Name Robotics Process OpportunitiesShort term

candidates

Medium Term

CandidatesFuture Candidates

Prepare testing leadsheet ► Transpose key control attributes from Risk and Control Matrix (RACM) to testing leadsheet/workbooks

Sample Identification ► Define sample population based on defined criteria from master data

Data Collection

► Collect data from multiple disparate systems. Data may need to be extracted from mainframe screens,

PDFs, images, or websites, preventing automation using common tools such as SQL

► Use alternate tools in addition to robotics for data extraction and interpretation

Data Transformation► Consolidate supporting information and documentation

► Transform data from complex structured information to standard templates required for testing

Test Execution Pre-Analysis► Conduct preliminary analysis, and initial test scripts execution for rules based, logical tests

► Integrate and execute scripts based on defined inputs and rules

Test Execution –

Judgmental

► Tests requiring human judgments to interpret information could be pre-analyzed for an analysts to review

based on set criteria and self-learning algorithms using structured information

Issue Identification ► Identify failures and report issues in issue management platforms

Issue Upload ► Consolidate issues and conduct bulk uploads of test issues

Reporting Data collection► Consolidate data for report development from disparate issue management platforms

► Distribute reports to owners, or publish on accessible location

Report Development► Generate consolidate reports using predefined logic for various aggregated reporting required

► Generate reports based on trends and issues identified in Test Execution

Operations Management

and Planning

► Develop Reports to monitor status monitoring, identify changes and alerts on operational challenges

► Consolidate plans across testing functions and identify overlapping activities

Quality Control► Systematic controls to verify quality through the testing process

► Identify exceptions in testing process

Inte

rna

l A

ud

it U

se C

ase

s

Documents

RPA (Automatización Robótica de Procesos) en auditoría Interna