RPA yönetişim yapısı ve risk yönetimi çerçevesi
Dijital dönüşüm yolculuğunun önemli adımlarından biri olan Robotik Süreç Otomasyonu (RPA) artık her sektörde yaygın olarak kullanılmaya başlanmıştır. RPA teknolojisinin kullanımı, iş gücünün rutin işlerden katma değerli işlere odaklanmasını, operasyondaki hata riskinin azaltılmasını ve kuruluşların daha fazla değer üretebilmesini sağlayarak, kuruluşlara rekabet avantajı kazandırmaya devam etmektedir. Rekabet ortamında öne çıkabilmek için, şirketlerin bu dijital dönüşüme hızlı adapte olabilmesi ve aynı zamanda da bu dönüşümden kaynaklanan riskleri etkin yönetebilmesi gerekmektedir.
Özellikle birinci savunma hattını oluşturan iş birimleri, finans ve operasyon bölümleri tarafından benimsenen RPA teknolojisinin üçlü savunma hattında kullanımı yaygınlaştıkça, şirketler bünyesinde tutarlılık, hesap verebilirlik ve standardizasyonu sağlamak üzere bir yönetişim yapısının oluşturulması ve risklerinin yönetimine yönelik bir risk yönetim çerçevesinin oluşturulması ihtiyacı daha da öne çıkmaktadır. Bu kapsamda, söz konusu yönetişim yapısının şirketler bünyesindeki üçlü savunma hattına etkin entegrasyonu önem taşımaktadır.
RPA teknolojisinden kaynaklanan risklerin yönetimi için, üçlü savunma hattına entegre bir yönetişim yapısı ve risk yönetimi çerçevesi oluşturulmalıdır.
1. Savunma hattı
İş/BT risklerinin yönetimi
- RPA stratejisinin oluşturulması ve uygulanması
- RPA performansının ölçülmesi ve izlenmesi
- İç kontrol ve risk yönetimi çerçevesinin uygulanması
- RPA programının belirlenen risk iştahına uygun olarak yönetilmesinin sağlanması
2. Savunma hattı
İş/BT süreçlerine yönelik yürütülen risk yönetiminin gözetimi
- RPA ile paralel olarak kurum genelinde bütünleşik risk yönetimi çerçevesinin tasarımı ve uygulanması
- İş birimlerinin RPA risk yönetimi çerçevesine yönelik politika ve prosedürlere uyumunun izlenmesi
- RPA risk ve kontrollerinin yönetimi konusunda İş birimlerinin desteklenmesi/teşvik edilmesi
3. Savunma hattı
Bağımsız güvence
- RPA risk yönetimi çerçevesinin etkin tasarımı ve işletimine yönelik bağımsız değerlendirme ve raporlama faaliyetleri
- Anahtar kontrollerin testi
Teknoloji risklerinin ve kontrollerin belirlenmesi
RPA her geçen gün kullanımı yaygınlaşan bir teknoloji olmasına rağmen, RPA kullanımından kaynaklanan riskleri spesifik olarak adresleyen bir standart veya düzenleme bulunmamaktadır. RPA teknolojisinin tasarımı ve uygulanması aşamasında organizasyonların temel hedefi mümkün olan en kısa sürede maliyetleri azaltmak veya maksimum verimliliği sağlamak olduğu için robotların yaratılması ve sürdürülmesine yönelik yönetişim ve risk yönetimi gereksinimleri genellikle temel odak alanlarının dışında kalmaktadır.
Oysa, RPA teknolojisi, otomatize ettiği süreçlerin risklerine ek olarak kendi yapısal risklerini de beraberinde getirmektedir. Güvenli ve uyumlu bir RPA ortamı, aşağıda belirtilen temel üç risk alanına yönelik risklerin etkin yönetimini ve izlenmesini gerektirmektedir. Her bir risk alanına yönelik alınacak aksiyonlar, şirketler için uygulanabilir olduğu ölçüde, güçlü bir RPA kontrol ortamı sağlayacaktır.
Hem geleneksel riskleri hem de yeni, öngörülemeyen riskleri ortaya çıkaran RPA teknolojisine yönelik risk yönetim çerçevesinin temel olarak yönetişim, organizasyon ve teknoloji unsurlarına yönelik riskleri içerecek şekilde tasarlanması önerilmektedir. Bu bütünleşik risk yönetimi çerçevesi, RPA teknolojisi kullanılan organizasyonlarda hangi teknoloji kaynaklı risklerin dikkate alınması gerektiği konusunda net bir görüş sunmaktadır. Söz konusu riskleri adresleyen kontrolleri belirlerken her bir RPA risk alanı için risk odaklı yaklaşım benimsenmelidir. Bunun için kuruluşların RPA kullanarak maruz kaldıkları teknoloji kaynaklı risklerin bir risk yönetimi çerçevesinde belirlemesi, analiz etmesi, süreç ve sistemler üzerinde bu riskleri ortadan kaldırmaya yönelik kontrolleri tesis etmesi gerekmektedir.
EY size nasıl destek olabilir?
1. Yönetişim ve risk yönetimi çerçevesinin oluşturulması
- RPA yönetişim çerçevesinin oluşturulması
- RPA risk yönetimi çerçevesinin oluşturulması
- Şirketler için RPA ortamına yönelik risklerin ve kontrollerin oluşturulması ve dokümante edilmesi
2. Mevcut RPA kontrol ortamına yönelik BT risk analizi
- Mevcut RPA ortamına yönelik BT risk analizi gerçekleştirilerek RPA risk kontrol matrisinin oluşturulması
- Kontrol eksikliklerini ve düzeltici aksiyon planlarını içeren yol haritasının oluşturulması
3. Siber güvenlik değerlendirmesi