Os departamentos de criação de manutenção de robôs estão
sujeitos a diferentes padrões de risco e controle, e nem sempre conhecerão
todos os procedimentos corretos. A auditoria externa e interna busca uma
estrutura de governança sólida para suportar cada modelo de entrega de
robô. Sempre girando em torno de padrões claros de supervisão
organizacional, justificativa comercial e padrões de desenvolvimento definidos
por um centro de excelência.
Existe o risco de que alguma automação de processo
robótico possa realmente diminuir a eficácia do controle de um
processo. Neste caso, os benefícios do RPA podem não superar o custo do
investimento e a proliferação de robôs pode levar a um ambiente tecnológico mais
vulnerável e fragmentado. A gestão deve ter uma maneira estruturada de avaliar
quais processos são adequados para automação. Isso deve depender de
fatores predeterminados, como risco inerente ao processo subjacente, grau de
complexidade do processo, grau de subjetividade e variabilidade nos resultados
da decisão e estabilidade do ambiente de TI. Esses fatores devem ser ponderados
em relação aos benefícios esperados, por exemplo, a entrega de maior eficiência
e redução de custos.
Os robôs também podem não atingir os objetivos
estabelecidos. Além disso, como não podem avaliar naturalmente anomalias e
irregularidades como um ser humano faria, são capazes de gerar resultados
inapropriados. Por isso, a qualidade dos dados é fundamental para a
eficácia de um robô e, portanto, os controles de governança de dados serão
fundamentais no design, mesmo para
robôs simples. Isso incluirá controles sobre a manutenção dos dados de
origem, bem como a garantia da integridade dos dados e fornecimento de segurança
e confidencialidade, o que é essencial para a credibilidade do público. A
auditoria externa e interna deve verificar se o mapeamento do processo, que
inclui o ciclo de vida e a qualidade dos dados, é completo.
O desenvolvimento
do robô deve obedecer aos princípios organizacionais padrão para o
desenvolvimento de TI, incluindo testes apropriados antes da
implementação. Isso deve incluir uma prova de conceito e uma fase de
transição de execuções paralelas do processo automatizado e não automatizado para
comparar resultados. As rotinas de monitoramento e tratamento de erros
devem ser incorporadas ao processamento, para garantir que problemas e
anomalias operacionais sejam detectados antecipadamente e respondidos
automaticamente sempre que possível.
Outro ponto de atenção é o comportamento do robô em
produção, executando muitas vezes um alto índice de erros. Dependendo do risco,
os robôs exigirão níveis variados de supervisão humana pelo proprietário do
processo, com base em métricas dedicadas. A auditoria externa e interna
deve revisar se a lista dos principais indicadores de risco disponíveis está
completa em relação ao processo subjacente e fornecer garantia sobre a precisão
das métricas da gerência, identificando novos insights sobre a operação do processo. Também deve testar a
eficácia dos alertas e interruptores do robô para pará-lo instantaneamente no
caso de um problema, revisar as exceções em quarentena para garantir a ação
oportuna de um monitor humano e analisar os registros de problemas e reclamações
para avaliar se os temas podem ser atribuídos ao desempenho do robô.
A auditoria externa e interna deve avaliar se existe uma
responsabilidade clara de quem deve determinar quando são necessárias
alterações no robô e quem deve reavaliar o risco. Eles precisarão revisar
se existe um processo estruturado de gerenciamento de mudanças e se inclui
restrições sobre quem pode executar as alterações.
Por fim, o uso generalizado de robôs pode criar uma
dependência que torna os negócios vulneráveis se eles ficarem desabilitados,
principalmente se os negócios perderem os principais conhecimentos do
processo. Um risco é que, se o robô falhar, pode não haver pessoal
suficiente para operar processos manualmente na sua ausência. Neste caso, a
auditoria externa e interna deve procurar documentação que articule um plano
claro de continuidade de negócios para capturar procedimentos de backup e as
fontes de dados necessárias para concluir o trabalho. Além de revisar se o
plano de continuidade de negócios define como as atividades serão retomadas, se
há testes regulares da capacidade do sistema e se existe um processo para
garantir que as áreas impactadas sejam notificadas da incapacidade do
robô. Os robôs evoluirão com o tempo e avaliações de risco periódicas
também serão necessárias para determinar se o robô deve ser retirado.
Para saber mais sobre o tema, entre em contato com a
TATICCA – ALLINIAL GLOBAL, que atua com serviços integrados de auditoria,
contabilidade, impostos, corporate
finance, financial
advisory, risk
advisory, tecnologia, consultoria empresarial e treinamentos. Para
obter mais informações, acesse www.taticca.com.br ou e-mail
taticca@taticca.com.br. Nossa empresa conta com profissionais com ampla
experiência no mercado e possui metodologias certificadas para a realização das
atividades.