תהליכי אוטומציה וביקורת פנימית

מבוא

תארו לכם שהמושג "עובדים כמו רובוטים" היה מקבל משמעות אמיתית. עבודה הייתה מבוצעת במהירות, ללא הפסקות, ללא חופשות או מחלות. 24/7. ללא טעויות.

מסתבר שאנו כבר לא רחוקים מעולם כזה.

במצב שבו רובוטים משתלבים בעולמנו כמעט בכל תחום, אין סיבה שלא יגיעו גם לעולם התעסוקתי.

אז אמנם לא נראה רובוטים בדמות אדם מתהלכים ברחובות תל אביב (או אולי כן, אבל זה כבר נושא לדיון אחר) אך תוכנות ייעודיות המתוכנתות לביצוע פעולות ספציפיות ומוגדרות, בהחלט משתלבות בעולם העסקי.

תהליכים אלו נקראים Robotic Process Automation (RPA).

במאמר זה ננסה לשפוך מעט אור על תהליכי האוטומציה ההולכים ומתרחבים במגוון תחומים ומגזרים שונים. ננסה להבין כיצד אלה יכולים לסייע לארגון, וכיצד מושפעת עבודת הביקורת הפנימית כתוצאה מתהליכי אוטומציה המוטמעים בארגון.

מהם תהליכי רובוטיקה ואוטומציה?

בשנים האחרונות קיימת מגמה של מעבר לתהליכי רובוטיקה ואוטומציה (RPA) בעולם העסקי. מגמה זו צוברת תאוצה וניצנים ראשונים ניתן לראות גם בישראל. הצפי הוא כי המגמה תימשך ותבוא לידי ביטוי במגזרים שונים במשק.

חברת המחקר האמריקנית Forrester Research סבורה כי שוק ה-RPA יגיע לסך 2.9 מיליארד דולר עד לשנת 2021, ואילו עד לשנת 2029 כ-47% משוק העבודה האמריקאי יושפע בדרך כזו או אחרת מתהליכי RPA. השפעה זו יכולה לבוא לידי ביטוי, בין היתר, ביצירת משרות חדשות או בתפיסת מקומם של עובדים על ידי RPA.

RPA הוא תהליך עסקי (במרבית המקרים) המבוצע על ידי "רובוט". יש המתייחסים לנושא כ"יצירת כוח אדם וירטואלי".

במסגרת RPA ניתן לבצע פעולות מתוכנות ופלטפורמות טכנולוגיות שונות.

דוגמאות לפעולות "קלאסיות" הניתנות לביצוע במסגרת תהליך RPA: שינוע קבצים ותיקיות, שליחת מיילים, קבלת טפסים ממוחשבים מלקוחות וקליטתם במערכות החברה.

נציג בפניכם דוגמה להמחשת תהליך עסקי בסיסי:

תאגיד קמעונאי מעוניין להטמיע RPA לתהליך קליטת הזמנות מלקוחות.

להלן תרשים המתאר מקטע מהליך הקליטה כפי שמבוצע טרום הטמעת RPA:

אם נבקש להפוך את התהליך לאוטומטי (RPA), סביר שהשלב הראשון של תהליך פתיחת ההזמנות ייראה כך:

הדוגמה לעיל ממחישה את הצורך לפרוט את התהליך למשימות פשוטות וקצרות, כמו גם הגדרת המסמכים הנדרשים בכל שלב על מנת שניתן לבצען באופן דיגיטלי, לדוגמה: מסמך שהתקבל בכתב יד נצטרך לקבלו מוקלד. שלב העברה לאוטומציה מחייב הגדרת נקודות החלטה וברירת מחדל של "מה קורה אם לא" – שבמסגרתן התהליך האוטומטי ייעצר ותועבר הודעה לגורם האחראי (כמו בדוגמה בסעיף 3 ו-4).

יתרונות וחסרונות בתהליך

ארגון המעוניין לבחון העברת תהליך ידני ל-RPA צריך לבחון את היתרונות והחסרונות. להלן נקודות מרכזיות:

יתרונות:

• חיסכון בעלויות לטווח הרחוק.
• מניעת טעויות ידניות
• מהירות תגובה.
• זמינות – 24/7/365.
• שביעת רצון עובדים – הפחתת "עבודה שחורה" ומעבר לעבודה תורמת.
• שיפור הגנת הפרטיות – תהליכים המבוצעים אוטומטית פחות חשופים ליד אדם.

חיסרונות:

• עלות ראשונית גבוהה.
• בהיעדר בקרות הולמות והטמעה נכונה, קיימת חשיפה לתקלה רוחבית.
• חשיפה לפגיעה בתהליכי העבודה אם לא בוצעה בחינה מחודשת לתהליך העבודה.
• התנגדויות לצמצום כוח אדם.
• אבטחת מידע – תהליכים המבוצעים באופן אוטומטי, חשופים יותר לאירועי סייבר ואירועי אבטחת מידע.

ביקורת פנימית לתהליכי RPA

עבודת הביקורת הפנימית לתהליכי RPA תבוצע בשני שלבים:

ביקורת פרויקט – כביקורת מלווה במהלך ההטמעה.

ביקורת פנימית על תהליך – ביקורת פנימית שוטפת לתהליך העבודה העסקי לאחר הטמעת PRA.

ביקורת בנושא הטמעת פרויקט

בדומה לביקורת פנימית בנושא ניהול וביצוע פרויקטים, ניתן לבצע ביקורת על תהליך הטמעת RPA בתאגיד הן ב"ראיית-על" (מדיניות, השלכות בנושא יחסי עבודה, שירות לקוחות/ספקים וכו') והן בראייה ממוקדת עבור תהליך נקודתי. ניתן לבצע אף כביקורת מלווה.

כאמור, ביקורת ניהול פרויקט כוללת נושאים גנריים שסביר שנמצא בכל פרויקט בכל תחום (תכנון מול ביצוע והשגת היעד, עמידה בלוח זמנים, תקציב מול עלויות בפועל). במאמר זה נשים דגש על נושאים ייחודיים בתהליך RPA.

להלן דגשים לביקורת פנימית בנושא ניהול פרויקטRPA :

1. POC (Proof of Concept) – בחינת תהליך בדיקת היתכנות טרם יציאה לפרויקט. האם אוטומציה היא אכן פתרון ראוי או שניתן לייעל את התהליך בחלופה אחרת. בבדיקת ההיתכנות רצוי לבחון גם האם קיימים היבטי רגולציה בתחום הנבדק. לדוגמה: בתהליך שבו נדרש הליך זיהוי פיזי, ייתכן שהפעלת ה-RPA תחל לאחר הליך הזיהוי הידני.
2. ROI(Return of Investment) – יש לוודא כי הארגון ביצע תהליך בחינת כדאיות כלכלית וקבלת אישור מוסדות התאגיד הנדרשים.
3. מסמך אפיון – יש לוודא כבר בשלב זה כי במסמך האפיון הוגדרו: דוחות שגויים ותהליכי Fallback – (חזרה למצב מקור טרום שינוי) בגין שגויים בתהליך, תהליך העבודה בסביבת RPA, בקרות לאיתור תקלות בזמן סביר.
4. בחינת תהליכי ניהול שינויים, ובכללם:
   • קיום סביבות נפרדות לפיתוח ולייצור.
   • תסריטי בדיקות.
   • בדיקות קבלה.
   • אישור העברה לייצור.
5. תוכנית לביצוע הדרכות לעובדים.
6. היערכות לחירום – בחינת החברה לצורך בעדכון תוכנית היערכות לשעת חירום בעקבות מעבר ל-RPA.

ככל שמדובר בביקורת מלווה, מומלץ כי המבקר הפנימי יעמוד מקרוב על הסיכונים הרלוונטיים לפרויקט.

להלן מספר דוגמאות לסיכונים הכרוכים בהטמעת RPA והצעות למענה:

1. בחינת שינוי תהליך העבודה השוטף – על הארגון לבחון האם כתוצאה מהטמעת RPA נדרש לבצע שינוי בתהליך העבודה השוטף. לדוגמה: אם במצב הנתון מתקבלות הזמנות הן באמצעות טלפון, הן באמצעות פקס והן באמצעות מייל, הרי שהחברה תצטרך להגדיר הליך אחיד וסדור לקבלת הזמנות מלקוח. למשל, הזמנות יתקבלו באמצעות מייל ובצירוף PO (הזמנת רכישה) בפורמט אחיד מהלקוח. אם יישאר מענה טלפוני הוא צריך להיות במערכת IP חכמה שתוכל לייצא נתונים על ההזמנה, ואם יועברו פקסים יש להגדיר מנגנון Fax to mail.
2. אבטחת מידע – הנושא יכול לבוא לידי ביטוי בניהול הרשאות גישה עבור ה-USER המשמש את הרובוט (לדוגמה: מי מנהל את סיסמאות הרובוט?), בחינת מוצר התוכנה והספק בהיבטי אבטחת המידע. לצורך כך ישנה חשיבות  שישולבו בתהליך האפיון אנשי אבטחת המידע בארגון.
3. שגויים בתהליך העבודה – שגויים בתהליך ייתכנו ממספר סיבות:
   • שרתים ו/או מערכות הנדרשים לתהליך מושבתים. כמענה לנושא זה יש לוודא כי החברה הגדירה מנגנוני ניטור קבועים לשרתים למערכות הקריטיות לתהליך. כך שאם שרת אחד או יותר אינם פעילים, תהליך RPA לא יבוצע ותתקבל התראה לגורמים הרלוונטיים.
   • RPA מבצע הליך סדור וקבוע המוגדר מראש, ובהיעדר תהליכי בינה מלאכותית (IA) מדובר בהליך ללא שיקול דעת. לכן בעת אפיון RPA יש להגדיר מראש פתרונות למקרים אלו. לדוגמה: בתהליך יצירת SO (הזמנת מכירה), מסמך חובה יהיה ה-PO של הלקוח. אם לא יצורף PO, לא ניתן יהיה להמשיך בתהליך האוטומטי והאירוע יועבר לטיפול ידני.
4. היערכות החברה להשבתתRPA – כתיבת נוהלי עבודה סדורים המפרטים את תהליך העבודה במקרה של השבתת הרובוט והדרכת העובדים הרלוונטיים.
5. שילוב כלי בקרה כחלק מהפיתוח – מומלץ כי בחודשי העבודה הראשונים תבוצע בדיקה מדגמית ידנית במקביל לעבודת הרובוט השוטפת, במטרה לוודא את תקינות התהליך.

ביקורת פנימית על תהליך (כנושא ביקורת שוטף)

עבודת הביקורת הפנימית תשתנה ככל שתהליכים ידניים יהפכו ל-RPA. במקום לדגום מסמכים, הביקורת נדרשת לבקר תהליכי בקרה ממוחשבים. המבקרים הפנימיים יידרשו להשתמש בכלים טכנולוגיים כגון: כלי ניתוח ממוחשבים, אפליקציות לביצוע סימולציה וכו'. ביצוע הביקורת ידרוש שילוב של ידע במערכות מידע ותהליכים עסקיים.

ייתכן שאף מבנה דוח הביקורת יעבור שינויי מסוים. הדיווחים יהיו קצרים יותר, תוצרי הביקורת יהיו לא פעם ניתוחי אוכלוסיות שגויים בתהליך, ולא מן הנמנע כי ממצא ביקורת שיימצא יהיה בעל השפעה רוחבית.

דוחות הביקורת יכללו פחות ממצאים אך לכל ממצא יהיה משקל מהותי.

לאחר הטמעת התהליך, במסגרת הביקורות השוטפות ייבחנו הנושאים שלהלן:

1. הרשאות גישה בתהליך – מורשים לביצוע פעולות ידניות, מורשים לשינוי הגדרות הרובוט.
2. בקרת שלמות התהליך – בדיקה אפשרית לתהליך זה היא באמצעות סימולציה (לרבות בחינת צומתי ההחלטות ובדיקה כי במקרים שבהם הוגדר מעבר לתהליך ידני אכן בוצעה העברה לתהליך ידני ולא חזרה ל"תחילת" הפעולה).
3. ביצוע בדיקות על אוכלוסיות שגויים ודרך הטיפול בהן.
4. ניתוח אירועי כשל וצמתים של קבלת החלטות.
5. מוכנות הארגון להשבתת RPA.
6. בדיקות ועדכון שוטף של RPA (תחזוקה, ניהול גרסאות).
7. בדיקות סבירות שוטפות. לדוגמה: סבירות כמות המיילים שהתקבלו ביחס לכמות ההזמנות שנפתחו.
8. בדיקות איכות התהליך וכדאיות שוטפת – בחינה האם המעבר לעבודה באמצעות רובוט אכן יעיל, או שכמות ההעברה לתהליך ידני היא משמעותית ומעמידה בספק את כדאיות התהליך.
9. שינויים בהגדרות פעילות הרובוט לאחר הפעלה ראשונית – תקינות התהליך, אישורים נדרשים.
10. השפעתם של שינויים בפעילות העסקית על עבודת הרובוט. לדוגמה, אם החברה פתחה או סגרה מחסן מלאי, האם ישנה השפעה על ניהול הזמנות הלקוח?

לסיכום, מגמת המעבר ל-RPA בעולם ובישראל, יחייבו את המבקר הפנימי להכיר את העולם החדש הזה ולהיות קשוב ופתוח לאפשרויות חדשות העומדות בפניו בניצול יכולות RPA לשם קידום, ייעול ושיפור עבודת המבקר הפנימי, וכפועל יוצא להגברת תרומתו לארגון.

אודות הכותב/ת

גלי גנה

אודות הכותב/ת

מוריה צבעוני