Por qué los responsables de auditoría deben adoptar la RPA

La automatización de procesos robotizados (RPA) está muy presente en las finanzas, la contabilidad, los servicios compartidos y otras áreas de las empresas en las que los procesos son estables, repetibles y de gran volumen. Como consecuencia, los responsables de auditoría deben comprender los riesgos asociados y considerar cómo la RPA puede mejorar los propios procesos del departamento de auditoría. 

“Dado que la auditoría se enfrentará a la garantía de muchos procesos recién automatizados, los equipos de auditoría deberían, como mínimo, realizar revisiones de gobernanza de la RPA para garantizar su implementación en la empresa”, afirma Malcolm Murray, vicepresidente y director de equipo de Gartner. “La auditoría también debe ser consciente de que la RPA no solo puede agravar los riesgos conocidos, sino también crear otros nuevos”.

El software de robótica se distingue de otras formas de automatización por su capacidad de abarcar múltiples sistemas. Es flexible, imita la interacción humana con los sistemas informáticos y se le puede enseñar casi cualquier proceso o actividad basados en reglas estándar, lo que le permite ejecutar pasos basados en reglas en una fracción del tiempo que tardaría una persona. El software también puede registrar y capturar una serie de pasos en varios sistemas.

Aunque la RPA suele incluir capacidades avanzadas de computación cognitiva que automatizan la toma de decisiones, como el Machine Learning, la RPA por sí misma está en el extremo inferior del espectro de las soluciones de automatización.

El creciente uso de la RPA en toda la empresa significa que es probable que la auditoría se encuentre con software de robótica durante los compromisos de auditoría. Como la RPA imita las actividades humanas, muchos controles en torno a los procesos de la RPA son similares a los de los procesos que sustituyen. Sin embargo, la implementación de RPA a menudo incluye rediseños de procesos y nuevos riesgos relacionados con las nuevas tecnologías. 

Por tanto, la auditoría debe tener en cuenta los riesgos para la empresa, incluso los de gobernanza y legales, al evaluar los proyectos piloto o las implementaciones de la RPA. La necesidad de abordar estos y otros riesgos exige que los equipos desempeñen un nuevo papel. Los responsables de las auditorías ahora deben asegurarse de que:

• Exista y se cumpla una estructura adecuada de gobernanza del programa RPA. 
• Los controles relevantes en la implementación de la RPA no se eliminen accidentalmente y los nuevos riesgos tengan controles adecuados. 
• Exista un proceso claro para gestionar eficazmente las excepciones del proceso, que probablemente aumentarán a medida que se incremente el volumen de transacciones. 
• Los sistemas recién automatizados tengan planes adecuados para continuar las operaciones críticas en caso de cortes intencionados o no del sistema RPA.

Más información: Auditoría interna y RPA

Los departamentos de auditoría también están empezando a utilizar la RPA, dadas las numerosas tareas repetitivas que realizan los auditores. La RPA automatiza los pasos habituales en los compromisos de auditoría, como la recopilación de todos los datos, incluso los resultados de auditorías anteriores, durante la fase de evaluación de riesgos. Los equipos de auditoría también pueden automatizar ciertas revisiones durante la auditoría, como las pruebas de contraseñas o las revisiones de contratos.

“La propia auditoría tiene grandes oportunidades de aprovechar las ventajas de la RPA”, dice Murray. “Existen claras oportunidades para que los equipos de auditoría automaticen las numerosas actividades repetitivas, de poco valor y que consumen mucho tiempo, y liberen el tiempo de los auditores para tareas de mayor valor”.

Los líderes deberían buscar procesos que estén dentro del control de su departamento para implementar la RPA. Basándose en el impacto del proceso o las actividades, los responsables pueden plantearse tres preguntas clave para saber si la RPA es adecuada:

• ¿Se puede hacer un mapa de procesos de la actividad humana actual (es decir, se trata del mismo proceso repetitivo que se realiza cada vez)?
• Si la actividad requiere juicio humano, ¿pueden definirse las reglas sobre cómo hacer ese juicio para cubrir todos los ángulos?
• ¿La actividad extrae y coloca datos desde y hacia el mismo lugar cada vez (es decir, el mismo nombre de campo o la misma ubicación del campo en una pantalla concreta de un sistema)?

Si la respuesta es afirmativa a las tres preguntas, el proceso o la actividad son candidatos a la RPA. Si las reglas no se pueden definir ni articular, es mejor dejar esas tareas a los humanos. Recuerda: La RPA es más eficaz cuando se utiliza para crear procesos eficientes que permitan destinar los recursos humanos a actividades de mayor valor. La RPA debe mejorar el trabajo humano en lugar de obstaculizarlo o complicar su ejecución.

Además, considera cómo encajan los nuevos procesos en los flujos de trabajo de auditoría más amplios. La RPA funciona mejor cuando complementa los flujos de trabajo de auditoría y se integra en las actividades familiares. Es poco probable que se utilicen bots de RPA con poca relación con los flujos de trabajo de los auditores.

Escucha el Gartner ThinkCast: Lo que tu jefe espera que hagas; por qué necesitas RPA