La maîtrise des risques liée à la robotisation des processus

Les robots font désormais partie du paysage de la gestion courante des entreprises. Ils sont déployés au sein de nombreux domaines tels que la finance (comptabilité client, fournisseur et générale, trésorerie, contrôle de gestion), mais aussi la gestion des Master Data client et fournisseur, les Ressources Humaines (la paie, la gestion des demandes des collaborateurs, la gestion des mouvements), mais aussi les achats, la supply chain, l’IT, ainsi que le contrôle interne via l’automatisation des contrôles.

Il parait toutefois nécessaire de préciser ce que l’on entend par robot car il en existe de plusieurs familles selon leur degré d’autonomie.

On parle de Robotic Desk Automation (RDA) pour des programmes simples lancés par l’humain principalement sur son poste de travail, de Robotic Process Automation (RPA) pour lequel l’automate se lance automatiquement pour réaliser les tâches de manière autonome, mais aussi pour des programmes plus avancés, de Intelligent Process Automation (IPA) qui associe RPA, data analytics et IA, via notamment du machine learning, pour lequel l’automate est entraîné à prendre des décisions sur la base du résultat souhaité.

Nous nous focaliserons dans cet article sur ce qui est à ce jour le plus développé en entreprise à savoir la RPA et l’IPA.

Quand on parle de maîtrise des risques, d’audit ou de contrôle interne des robots, il faut bien comprendre ce qu’est un robot et surtout ce à quoi il ne doit pas être réduit, à savoir une application informatique sur laquelle calquer les solutions de maîtrise des risques IT.

Les solutions de RPA ou d’IPA cherchent à automatiser un ensemble de tâches manuelles effectuées par une ou plusieurs personnes. Ces solutions doivent conduire à améliorer la performance du processus : plus de tâches traitées, traitées d’ailleurs plus rapidement, temps homme libéré pour des tâches à plus forte valeur ajoutée, tâches plus sécurisées, amélioration de la qualité de service…

Aussi, la mise en place d’un programme de RPA est avant tout un projet métier qui regroupe de nombreuses dimensions à fort impact sur les risques :

• La définition du processus cible,
• Le processus de développement et de validation de la solution,
• Le respect des bonnes pratiques de développement,
• La sécurité des accès, des habilitations et du code source,
• La conduite du changement,
• La gouvernance projet,
• La gouvernance du Run.

Ainsi, le champ des risques à identifier et à maîtriser est vaste.

Dans le cadre des ateliers de l’IFACI, Grant Thornton a animé un groupe de travail de professionnels visant à produire un référentiel de contrôle et d’audit des robots qui réponde aux enjeux présentés ci-dessus.

Ce référentiel se structure autour de 8 processus, 62 thèmes de contrôle et 106 points de contrôle. Il est accessible sur le site de l’IFACI.

Les 8 processus permettent de couvrir toutes les dimensions d’un projet RPA : l’organisation, le pilotage, l’exploitation, la performance, la sécurité, la maintenance.

Les 10 éléments clés de maîtrise des risques d’un projet de RPA portent sur les points suivants :

1. Les interactions entre le programme du robot et les nombreux systèmes internes ou externes auxquels il va se connecter : ERP, outils bureautiques, bases de références sur internet… La connaissance de la cartographie applicative est essentielle au fonctionnement du robot car toutes modifications de paramétrage ou des conditions d’exploitation non anticipées peuvent empêcher celui-ci d’accéder aux systèmes ou dégrader ses conditions d’exploitation,

2. La documentation du projet, notamment via les supports suivants : Process Analysis Document (PAD), Process Description Document (PDD), Solution Design Document (SDD), qui permettent de documenter les choix faits et la solution mise en production,

3. La conformité réglementaire des traitements, d’autant plus que ceux-ci sont automatisé,

4. La gouvernance du projet de robotisation, notamment afin de s’assurer de l’implication des bons acteurs et de la documentation des arbitrages réalisés,

5. Les prérequis à la robotisation, visant notamment à s’assurer que le processus à robotiser répond à trois critères : il est standardisable, il est virtualisable, c’est-à-dire qu’il se déroule dans un environnement applicatif, il s’inscrit dans une logique d’arbre de décision,

6. Le suivi de la performance du robot par rapport aux attendus du projet,<

7. La gestion des changements opérés sur le robot afin de s’assurer qu’ils respectent les pratiques professionnelles en la matière,

8. La supervision des changements, afin notamment de s’assurer de la prise en compte holistique de l’environnement du robot dans le processus de changement,

9. La gestion des droits d’accès au robot et la conformité de ces droits à la gouvernance définie,

10. L’intégrité du code source qui constitue le cœur du processus robotisé.

La maîtrise des risques autour d’un robot de type RPA ou IPA est une approche complexe qui nécessite de prendre en compte des éléments qui se situent très en amont, comme la dimension de gestion du projet initial, de sa gouvernance, de sa documentation, des aspects très techniques liés au code source et à la séparation des tâches lors du paramétrage et du codage des programmes sensibles, des aspects de performance, mais aussi des aspects RH ou humains, enfin, liés à l’interface qui subsiste avec des collaborateurs à qui le robot va attribuer des tâches aboutissant potentiellement à des situations qu’ils ne sont pas en mesure de traiter.

La RPA ne doit pas se réduire à une simple dimension applicative mais être pris pour ce qu’il est : un projet de transformation de l’organisation avec toutes les dimensions que cela intègre.