Bereits zum 4. Mal konnten die Studierenden des Masterstudiums „Integrated Risk Management“ anhand einer realen Aufgabenstellung ihr im Studium erworbenes Wissen in einem Workshop unter Beweis stellen. Das Thema war angelehnt an das zeithöchste Risiko aus der ECIIA Studie „Risk in Focus“ (https://lnkd.in/dCFzx6Qq), nämlich „Human Capital, Diversity, Talent Management und Retention: wie können Risiken in diesem Bereich mitigiert werden“ am Beispiel der Internen Revision der UNIQA.

Die Studierenden erarbeiteten in 5 Gruppen unabhängig voneinander mögliche Risiken heraus und gaben sehr praxistaugliche Empfehlungen vom Recruiting Prozess, dem Onboarding, der Förderung im Rahmen eines Talente Managements bis zum langfristigen Karriereplan.

Wir danken allen Studierenden, die diese Aufgabe großartig gemeistert haben. Eine Fachjury (bestehend aus Andrea Joham, Mag. Josef Ruh und Thomas Schwalb) wählte ein siegreiches Team, das somit den IIA Austria Award, der mit 600 € dotiert ist, in Empfang nehmen konnte. Gratulation an alle Studierenden, die mitgemacht haben und vor allem dem erfolgreichen Team!

The G20/OECD Principles of Corporate Governance provide guidance to help policy makers evaluate and improve the legal, regulatory and institutional framework for corporate governance, with a view to supporting market confidence and integrity, economic efficiency, sustainable growth and financial stability.

As the main international benchmark for good corporate governance, the Principles have a global reach and reflect the experiences and ambitions of a wide variety of jurisdictions with varying legal systems and at different stages of development. They are also one of the Financial Stability Board’s Key Standards for Sound Financial Systems.

These revised Principles are the outcome of 18 months of work. They reflect a strong desire from all OECD and G20 Members to see the Principles offer guidance on companies’ sustainability and resilience, and will help companies manage environmental and social risks, with insights on disclosure, the roles and rights of shareholders as well as stakeholders and the responsibilities of company boards.

First, they help companies improve access to finance, particularly from capital markets. By doing so, they promote investment, innovation, and productivity growth, and foster economic dynamism more broadly.

Second, they provide a framework to protect investors, which include households with invested savings. A formal structure of procedures that promotes the transparency and accountability of board members and
executives to shareholders helps to build trust in markets.

Third, they support the sustainability and resilience of corporations which, in turn, contributes to the sustainability and resilience of the broader economy.

The objectives are to help improve companies’ access to financial markets in an environment where investor expectations are evolving and to support investor confidence on the basis of more transparent market information and reinforced investor rights.

The Principles will help address the growing role of institutional investors by promoting stewardship codes, and the disclosure of conflicts of interest by advisory services, like proxy advisors and Environmental, Social and Governance index providers. They also include new recommendations which reflect the increasing importance of corporate debt and the role of bondholders in capital markets.

Policy makers, regulators, international organisations and market participants have an important role to play in putting the Principles to good use so that countries and corporations may continue benefitting from good corporate governance. The OECD will keep on working closely with all relevant national authorities and other partners to promote the implementation of the Principles globally.

Here you can download the whole publication.

You can download the entire publication here

Einführung von Whistleblowing-Systemen in der Praxis: Studierende planen um die Wette

Erfolgreiche Zusammenarbeit von FH Campus Wien und IIA Austria – Auszeichnung für Risikomanager*innen von morgen

Zum dritten Mal in Folge stellen sich Absolvent*innen des Masterstudiums Integriertes Risikomanagement an der FH Campus Wien einer praxisnahen Herausforderung: Wie kann der Hinweisgeber*innenschutz für Mitarbeiter*innen sichergestellt werden? Nach der A1 im vergangenen Jahr unterstützte heuer das AMS die Challenge. Das Preisgeld sponserte auch in diesem Jahr das Institut für Interne Revision (IIA Austria).

Das Institut für Interne Revision (IIA Austria) und die FH Campus Wien setzen ihre erfolgreiche Zusammenarbeit fort. Ende April traten zum dritten Mal Studierende des berufsbegleitenden Masterstudiums Integriertes Risikomanagement im Rahmen eines Workshops gegeneinander an, um eine komplexe Praxisaufgabe zum Thema Hinweisgeber*innenschutz zu lösen. Als Partnerorganisation konnte in diesem Jahr das Arbeitsmarktservice Österreich (AMS) gewonnen werden.

Der Hinweisgeber*innenschutz bildet ein zentrales Element um Missstände in Organisationen und Unternehmen aufzuzeigen und damit Transparenz zu schaffen. Für die Umsetzung der gesetzlichen Rahmenbedingungen und die Einführung eines Whistleblower-Systems ist dabei der Schutz von Mitarbeiter*innen vor Repressalien eine wesentliche Voraussetzung.

Unternehmen und Studierende profitieren von der Challenge

Die Zusammenarbeit bietet den Studierenden des Abschlussjahrganges die Möglichkeit ihre erlernten Kenntnisse in der Praxis anzuwenden. Die Kooperationspartner profitieren wiederum von den neuen Lösungsansätzen, und können in Folge ihre internen Prozesse weiter verbessern. Gemeinsam mit dem Institut für Interne Revision konnte die Praxisrelevanz der Studieninhalte unter Beweis stellen.

Das Ziel der heurigen Challenge bestand darin, sich mit den gesetzlichen Grundlagen des Hinweisgeber*innenschutzes vertraut zu machen und darauf aufbauend eine Strategie zu entwicklen, wie ein Unternehmen wie das AMS ein anonymisiertes und sicheres Whistleblowing-System einführen kann. Dabei musste unter anderem der Prozess für den Informationsfluss, die Schulung der Mitarbeiter*innen, ein Konzept für interne und externe Kommunikation sowie die technischen Erfordernisse durch die Auswahl eines am Markt erhältlichen Tools festgelegt werden.

Beste Umsetzung: IIA Austria und AMS prämieren Siegerteam

In einer Siegerehrung an der FH Campus Wien wurden die Gewinnerinnen und Gewinner mit Urkunden und einem Preisgeld, zur Verfügung gestellt vom Institut für Interne Revision Österreich, ausgezeichnet. Die Durchführung des heurigen Workshops zeigt für Thomas Schwalb, Geschäftsführer des Instituts für Interne Revision, die Aktualität von Whistleblowing: „Wenn sich Missstände häufen und am Ende öffentlich zu Tage treten, kann dies irreparable Schäden hinterlassen. Oft sind jene, die auf diese Umstände hinweisen am stärksten in Mitleidenschaft gezogen.“ Um solche Szenarien zu vermeiden, bedarf es einer klaren Prozessdefinition, um den Schutz von Hinweisgeberinnen und Hinweisgebern sicherzustellen. „Wie in den letzten Jahren unterstützen wir die Challenge und gratulieren allen Gewinnerinnen und Gewinnern sehr herzlich“, so Schwalb abschließend.

Aufgrund des großen Erfolgs haben die FH Campus Wien und das IIA Austria beschlossen, das Projekt auch 2024 weiterzuführen. Dafür wird auch wieder ein Wirtschaftspartner gesucht, der für die herausfordernde Aufgabenstellung sorgt. Interessierte Unternehmen wenden sich bitte an institut@internerevision.at

Der aktuelle „Risk in Focus“-Report identifiziert auch heuer Humankapital, Diversität und Talente-Management als eines der größten Risiken für Unternehmen. Die Nachwirkungen der Corona-Pandemie äußern sich im eklatanten Mangel an Fachkräften. Das Institut für Interne Revision Österreich, das maßgeblich am Bericht beteiligt war, zeigt die Gefahren, aber auch Chancen in diesem Bereich auf.

50 Prozent aller Revisionsleiterinnen und -leiter in Europa zählen Humankapital, Diversität und Talente-Management zu den größten Risiken – das sind um 10 Prozent mehr als im Vorjahr. Zu dieser Schlussfolgerung kommt der vorliegende Bericht Risk in Focus 2023, der gemeinsam vom Institut für Interne Revision in Österreich (IIA Austria) und weiteren fünfzehn europäischen Ländern sowie dem Dachverband ECIIA erstellt wurde. Den kompletten Bericht wurde von den Instituten für Interne Revision in Österreich, Belgien, Bulgarien, Frankreich, Deutschland, Griechenland, Italien, Luxemburg, Niederlanden, Slowenien, Spanien, Schweden, Schweiz, Großbritannien und Irland erstellt und kann hier abgerufen werden.

Haben Revisorinnen und Revisoren bisher hauptsächlich verfahrenstechnische, sogenannte „harte“ Kontrollen durchgeführt, liegt die Aufmerksamkeit aktuell vermehrt auf „weichen“ Kontrollen und damit auf der Prüfung von Unternehmens- respektive Organisationskultur und Verhalten. Gottfried Berger, Vorstandsvorsitzender des Instituts für Interne Revision Österreich, fast zusammen: „Es stellt sich die Frage, wie Unternehmen und Organisationen künftig aufgestellt sein sollen, damit ihre Mitarbeiterinnen und Mitarbeiter mit Herz dabei sind. Die Interne Revision kann helfen, diesen Prozess für alle Beteiligten zu unterstützen.“

New Auditors: Nachwuchsoffensive des Instituts für Interne Revision

Gemäß internationalen Normen sind Revisionsleiterinnen und -leiter (CAEs) ausdrücklich dafür verantwortlich, dass ihre Ressourcen „angemessen und ausreichend“ sind, um die Aufgaben der Internen Revision zu erfüllen. Gibt es nicht genügend Revisorinnen und Revisoren, bedeutet dies ein großes Risiko für Unternehmen und Organisationen – denn dann kann das nötige und von Stakeholdern gewünschte Maß an Sicherheit in Bezug auf geschäftskritische Risiken nicht gewährleistet werden.

Das Institut für Interne Revision startet daher eine Informations- und Nachwuchsoffensive. Denn um personelle Ressourcen sichern und den Talentepool erweitern zu können, muss der Beruf potenziellen Mitarbeiterinnen und Mitarbeitern bekannt sein und attraktiv erscheinen – nicht nur bei jungen Talenten, sondern auch und gerade bei Fachkräften, die ihn noch nie in Erwägung gezogen haben. Mit New Auditors ist heuer ein Mentoring-Programm angelaufen, welches Studierenden am Ende ihres Studiums sowie Quereinsteigerinnen und Quereinsteigern die Möglichkeit bieten soll den Beruf der Internen Revision kennenzulernen. Alle Informationen hierzu sind auf der neuen Webseite hier abrufbar.

Krisenfestigkeit und Personalstrategie: Interne Revision schafft Talentgewinn

„Viele Mitarbeiterinnen und Mitarbeiter fühlen sich dem ständigen Druck ausgesetzt, den hohen Erwartungen an sie nicht entsprechen zu können. Hinzu kommen soziale Aspekte und auch die Frage der Unternehmens- und Organisationskultur spielt eine große Rolle,“ stellt Gottfried Berger fest. „Gleichzeitig sehen wir aufgrund des anhaltenden Mangels an qualifizierten Fachkräften ein Buhlen um die besten Köpfe am Arbeitsmarkt. Je mehr in die Aus- und Weiterbildungsmaßnahmen von Mitarbeiterinnen und Mitarbeitern investiert wird, umso höher ist auch das Risiko, diese wieder an die Konkurrenz zu verlieren.“

Die Herausforderungen bestehen laut Risk in Focus künftig darin, zu prüfen, inwieweit Personalstrategien mit der Vision, den sozialen Aspekten und dem Auftrag von Unternehmen und Organisationen übereinstimmen und wie Mitarbeiterinnen und Mitarbeiter durch entsprechende Anpassungen künftig besser gehalten werden können. Diese Strategieentwicklung impliziert einen laufenden Prozess, der am Ende sämtliche Organisationsebenen umfasst, um erfolgreich zu sein. Eine weitere Empfehlung betrifft die Unternehmens- respektive Organisationskultur. Hier muss künftig abgewogen werden, ob diese im Einklang mit den Anforderungen an die Mitarbeiterinnen und Mitarbeiter ist und welche Anpassungen der Arbeitsweisen durch die Einführung neuer IT-Infrastruktur erfolgen müssen.

Über das Institut für Interne Revision Österreich – IIA Austria

Das Institut für Interne Revision (www.internerevision.at), zielt gemeinnützig auf die Förderung und Entwicklung der Internen Revision in Österreich ab. Die Tätigkeiten des Instituts mit Sitz in Wien sind nicht auf Gewinn ausgerichtet, sondern gemeinnützig und unpolitisch. Zu seinen Hauptaufgaben zählen der nationale und internationale Erfahrungsaustausch, die Information über Interne Revision, die Intensivierung der Zusammenarbeit zwischen Wissenschaft und Praxis, sowie die Erarbeitung und laufende Adaptierung von Grundsätzen und Methoden. Ein wesentliches Ziel ist auch die Weiterbildung von Mitarbeiterinnen und Mitarbeitern der Internen Revision im Rahmen der Akademie für Interne Revision. Das Institut zählt derzeit rund 2.000 Mitglieder aus allen Sparten der österreichischen Wirtschaft.

Bisherige Forschung zu Robotic Process Automation (RPA) und Publikationen von RPA-Anbietern und Beratungsfirmen konzentrieren sich weitgehend auf die Vorteile der Technologie für Unternehmen und Mitarbeiter. Dass bei der Nutzung von RPA jedoch verschiedene Risiken bestehen, zeigt der Forschungsartikel The Dark Side of Robotic Process Automation (Eulerich, Waddoups, Wagener und Wood 2022),1Das vollständige Working Paper kann auf der Plattform SSRN unter ssrn.com/abstract=4026996 kostenfrei heruntergeladen werden. an dem sich der vorliegende Fachbeitrag orientiert. Die Autoren identifizieren fünf Kernprobleme im Zusammenhang mit RPA, die es zu beachten gilt. Der Beitrag gibt ebenfalls einen Ausblick auf Best Practices für Prüfung von RPA, die mit Hilfe eines Kontrollsets durchgeführt werden kann.

1. Einleitung und Begriffsbestimmung

Robotic Process Automation (RPA), auch Software-Roboter oder Bots genannt, beschreiben den Einsatz von Computerprogrammen zur Automatisierung strukturierter, regelbasierter und sich wiederholender Geschäftsprozesse (beispielsweise Cooper, Holderness, Sorensen und Wood 2019, 2020; Eulerich, Pawlowski, Waddoups und Wood 2021). Die Eigenschaften von RPA lassen sich wie folgt zusammenfassen:

  • Bei RPA handelt es sich um eine Software-Lösung, die an den Benutzerschnittstellen bestehender IT-Systeme und Anwendungen arbeitet.
  • Der Bot imitiert menschliche Handlungen anhand vordefinierter Abfolgen von Aktivitäten wie bspw. Mausbewegungen oder -klicks, Tastatureingaben oder Ablesen vom Computerbildschirm.
  • Der Bot liest und verarbeitet Daten in strukturierter Form.
  • RPA ist im Unternehmen einfach zu implementieren, da keine Integration in eine bestehende IT-Architektur erforderlich ist (minimalinvasive Technologie).
  • Die Programmierung erfolgt in der Regel über Drag-and-Drop auf einer ‚Low-Code/No-Code‘ Basis und erfordert keine tiefergehenden Programmierkenntnisse.
  • Sich wiederholende, regelbasierte, strukturierte und stabile Prozesse (mit hohem Datenvolumen) sind für RPA am besten geeignet.
  • Bei RPA handelt es sich nicht um eine „intelligente“ Automatisierung wie bspw. bei der Intelligent/Cognitive Automation.

Bei intensiverer Beschäftigung mit RPA sollte zudem zwischen Attended und Unattended Automation unterschieden werden. Bei der Attended Automation werden die automatisierten Prozesse beaufsichtigt (engl. attended) auf einem lokalen Rechner ausgeführt und durch den einzelnen Benutzer gestartet. In der Regel werden die Zugriffsrechte und -daten genutzt, die der Benutzer des Bots hat. Attended Bots eigenen sich besonders bei der Automatisierung von kleinen und sich wiederholenden Aufgaben, wobei der Prozess nicht vollständig automatisiert wird.

Bei der Unattended Automation werden die automatisierten Prozesse unbeaufsichtigt (engl. unattended) auf einem lokalen Rechner ausgeführt. Es handelt sich dabei um alleinstehende Bots, die Arbeitsabläufe und Arbeiten ohne menschliches Eingreifen automatisieren. Sie können je nach Geschäftsanforderung zu jeder Zeit gestartet und gestoppt werden.

Ein Orchestrator ist cloudbasiert, kann viele Bots zentralisieren und die Laufzeiten der Bots optimieren. Diese Orchestrierung eignet sich für End-to-End-Prozesse ohne Interventionen durch menschliche Mitarbeiter.

Viele praxisorientierte Berichte, White Paper und akademische Studien dokumentieren die Vorteile von RPA (unter anderem Asatiani und Penttinen 2016; Lacity und Willcocks 2016, 2017; Hallikainen, Bekkhus, und Pan 2018; Kokina und Blanchette 2019; Christ, Eulerich, Krane, und Wood 2021; Harrast und Wood 2022). Diese Studien zeigen beispielsweise, dass RPA die betriebliche Effizienz verbessert, die Genauigkeit und Nachvollziehbarkeit erhöht und dass RPA Menschen von einfachen und nicht wertschöpfenden Aufgaben entlastet, was letztlich zu einer höheren Arbeitszufriedenheit führt. Über die potenziell negativen Folgen des RPA-Einsatzes ist jedoch weitaus weniger bekannt. Vor diesem Hintergrund widmet sich die Studie von Eulerich, Waddoups, Wagener und Wood (2022) den Herausforderungen und Risiken im Zusammenhang mit RPA.

2. Risiken und Herausforderungen in der Nutzung von Robotic Process Automation

Ein Zitat des Revisionsleiters eines Fortune 500 Unternehmens zeigt eindrucksvoll einige der Herausforderungen mit RPA auf: Es hilft einem Unternehmen zwar kurzfristig, ist aber langfristig keine Lösung zur Behebung der tieferliegenden, strukturellen Probleme.

RPA is almost like a drug. It relieves the pain, it helps a lot, it cures to a
certain extent, but it does not address the underlying root cause of the problem.

Im Folgenden werden fünf wichtige Risiken und Herausforderungen von RPA näher erläutert. Viele der identifizierten Probleme sind auf die Tatsache zurückzuführen, dass RPA einfach zu bedienen, kostengünstig und minimalinvasiv ist. Aus diesem Grund scheinen die Stärken, die zu einer weit verbreiteten Anwendung von RPA geführt haben, für einige der größten Herausforderungen verantwortlich zu sein.

1. RPA wird oft als schnelle Pflasterlösung eingesetzt, anstatt die Kernprobleme des Systems zu beheben.

Die Benutzerfreundlichkeit von RPA kann Mitarbeiter ungewollt dazu veranlassen, weniger über die tatsächliche Behebung schlecht funktionierender Geschäftsprozesse nachzudenken, sondern vielmehr darüber, wie RPA eingesetzt werden kann, um die Potenziale der Technologie auszuschöpfen. Dabei wird unter Umständen ein bestehender aber nicht optimaler Prozess zusammengehalten. Dies führt letztlich dazu, dass RPA wie ein Pflaster wirkt, das die Prozessverbesserung innerhalb einer Organisation verlangsamen kann.

Dazu kommt, dass Unternehmen oft viele verschiedene Technologien einsetzen, die nicht miteinander kompatibel sind. Folglich können Daten nicht ohne menschliche Hilfe zwischen den verschiedenen Systemen übertragen werden. Da Bots menschliche Verhaltensweisen imitieren, bieten sie eine verlockende und kurzfristige Lösung für diese Datenflussprobleme, wobei eine vollständige systemweite Integration langfristig vielleicht die sinnvollere Lösung wäre. Dafür müssten jedoch Prozesse umgestaltet und Technologien konsolidiert werden. Diese Prozessumgestaltung kann durch Bots verzögert werden.

In diesem Zusammenhang ist eine weitere negative Folge von RPA, dass sie eine zusätzliche Technologie ist und auf die bestehende IT-Architektur aufgesetzt wird (anstatt sie zu ersetzen). Dies führt zu einer erhöhten Komplexität und Aufblähung der technologischen Infrastruktur.

2. RPA kann ernsthafte Kontroll- und Sicherheitsprobleme verursachen.

RPA ist ein weiteres IT-Element und kann ernsthafte Kontroll- und Sicherheitsprobleme verursachen. Die folgende Abbildung fasst diese potenziellen Probleme zusammen und der nachfolgende Abschnitt beschreibt diese konkreter.

Da RPA-Software leicht heruntergeladen und Bots ohne tiefergehende Programmierkenntnisse erstellt werden können, können diese leicht außer Kontrolle geraten. Das Konzept der „Citizen Developer“ erfreut sich in vielen Unternehmen zunehmend größerer Beliebtheit. Dabei entwickeln End-User RPA-Automatisierungen selbstständig für ihre Zwecke ohne die Unterstützung durch eine IT-Abteilung oder ein RPA-Expertenteam. Vor diesem Hintergrund spricht ein Interview-Teilnehmer treffend von einem Vergleich mit einer Lawine, die immer größer wird, wenn sie einmal ins Rollen gekommen ist.

Ein darauf aufbauendes Kontrollproblem besteht darin, dass Unternehmen nach einer gewissen Zeit nicht mehr in der Lage sind, RPA-Aktivitäten innerhalb des Unternehmens zu verfolgen. Es kann zu „dunklen Flecken“ im Unternehmen kommen, wenn Bots nicht bei der IT-Abteilung oder einem RPA-Expertenteam registriert sind. Besonders problematisch ist vor diesem Hintergrund, wenn Bots Aufgaben der Finanzbuchhaltung oder -berichterstattung übernehmen. Die Notwendigkeit für ein solches Bot-Register lässt sich unter anderem dadurch begründen, dass Wirtschaftsprüfer – und ggf. auch die Interne Revision – für ihre Prüfungen eine Übersicht über die Grundgesamtheit aller Bots benötigen, um daraus eine angemessene Stichprobe ziehen zu können. Bei Fehlen einer solchen Grundgesamtheit kann der RPA-Ansatz nicht angemessen geprüft werden.

Durch die einfache Handhabung kann es ebenfalls dazu kommen, dass Mitarbeiter Bots implementieren, ohne dabei alle Sicherheitsrichtlinien und -protokolle des Unternehmens zu befolgen. Ebenfalls können Mitarbeiter das mit RPA-Bots assoziierte IT-Risiko falsch einschätzen (oder erst gar nicht einschätzen). Wenn ein Bot beispielsweise Aufgaben im Zusammenhang mit der Finanzberichterstattung ausführt, sind zusätzliche Sicherheitsmaßnahmen und Kontrollen erforderlich. Ähnlich verhält es sich bei kritischen Geschäftsprozessen, die unter Umständen ebenfalls zusätzliche Kontrollen erfordern. Weil Bots so schnell und einfach zu implementieren sind, wird die Assurance-Perspektive möglicherweise nicht angemessen beachtet.

RPA ahmt menschliches Verhalten nach und benötigt für eine weitgehende Automatisierung entsprechende Benutzerrechte, um auf verschiedene Systeme zugreifen und ihre Funktionen ausführen zu können. Dies könnte dazu führen, dass RPA-Bots (in der Zukunft) zu bevorzugten Zielen von Hackern werden oder sich die Gefahr von Fraud erhöht. Hat eine unautorisierte Person Zugriff auf einen Bot (oder den Orchestrator), hat diese unter Umständen Zugriff auf das ERP-System und wichtige Daten des Unternehmens.

Ein weiteres Sicherheitsproblem besteht darin, dass Bots im Gegensatz zu Menschen nicht erkennen, wenn sich die zugrunde liegenden Prozesse ändern. Sie können beispielsweise wie gewohnt weiterarbeiten und dabei falsche Daten verwenden. Zwei mögliche Beispiele konkretisieren diese Bedenken:

  1. Ein Unternehmen nutzt einen Bot, um sich von einer externen Webseite täglich Wechselkurse zu ziehen und diese in das ERP-System zu übertragen. Ändert sich an der Darstellung der externen Webseite etwas, kann es vorkommen, dass beim Wechselkurs eine zusätzliche Zahl hinzugefügt wird (beispielsweise zu Beginn eine 1 oder am Ende eine 0).
  2. Ein Bot erstellt monatlich eine Auswertung über Kostenarten eines Unternehmens und verwendet diese Daten für weitere Berichte. Wird in einem Monat eine neue Kostenart hinzugefügt, die nicht mit in der Auswertung vom Bot eingeschlossen ist, werden in der Folge falsche Daten erzeugt. Dies kann bei einer manuellen Erstellung durch einen Mitarbeiter ebenfalls geschehen, im Gegensatz zum Bot prüft dieser die Daten jedoch in der Regel auf Plausibilität.

Solche Probleme bestehen insbesondere dann, wenn sich die Mitarbeiter vollständig auf die Bots verlassen, ohne die generierten Daten zu prüfen.

3. Die wahren Kosten von RPA werden oft missverstanden und unterschätzt.

Aktuell wird RPA häufig eingesetzt, um den sogenannten Backlog von Abteilungen abzuarbeiten. Damit ist gemeint, dass RPA den Mitarbeitern dabei hilft, die angestauten Aufgaben oder Aufträge zu erledigen oder sie in Zeiten entlasten, in denen besonders viele Aufträge gleichzeitig eingehen. RPA wird aber zunehmend auch dafür genutzt, alltägliche, routinemäßige Aufgaben zu automatisieren, wobei die freigewordene Kapazität anderweitig genutzt werden kann. Können die Mitarbeiter keine anderen Aufgaben übernehmen und müssen stattdessen auf weitere Aufgaben warten, sind die Einsparungen nur laut dem Business Case des Bots erreicht.

Aber selbst wenn Mitarbeiter weitere Aufgaben übernehmen können, da sie durch einen Bot entlastet wurden, können die wahren Kosten von RPA missverstanden und unterschätzt werden. In vielen Business Cases wird berichtet, dass RPA Arbeitsstunden eingespart und Fehler reduziert werden. In diesen Berichten fehlt jedoch oft die Betrachtung von wiederkehrenden Kosten im Zusammenhang mit der notwendigen laufenden Überwachung, zusätzlicher Assurance-Leistungen und anderer Sicherheitsmaßnahmen, die für die Bots erforderlich werden. Werden diese laufenden Kosten mit einkalkuliert, kann das den finanziellen Erfolg von Bots unter Umständen erheblich schmälern. Zu beachten sind ebenfalls ständige Anpassungen an der Programmierung der Bots, die in Reaktion auf Änderungen in darunterliegenden Systemen vorgenommen werden müssen. Es ist deshalb von großer Bedeutung, beim Einsatz von RPA die richtigen (und stabilen) Prozesse zu automatisieren.

4. Die RPA-Governance ist kompliziert und anspruchsvoll.

Eine weitere Herausforderung bei RPA besteht darin, eine Governance-Struktur zu finden, die eine Balance schafft zwischen der Autonomie und Motivation, die ein dezentrales RPA-Governance-Umfeld mit sich bringt, und der Sicherheit und Kontrolle einer zentralen RPA-Governance-Umgebung. Werden dem lokalen RPA-Entwickler viele zentrale Anforderungen auferlegt, so kann dies demotivierend und arbeitshemmend wirken im Vergleich zu den Freiheiten, die ein dezentraler Ansatz bringt. Dieses Problem ist zwar auch bei anderen Technologien anzutreffen, scheint aber bei RPA besonders problematisch zu sein, da die Technologie keine fortgeschrittenen technischen Fähigkeiten erfordert, die oft nur in zentralisierten IT-Abteilungen zu finden sind.

In der Fallstudie beschrieben mehrere Interviewpartner aus dem RPA-Entwicklungsumfeld ihren Wunsch nach schlankeren Prozessen mit mehr Freiheiten, während Interviewpartner aus Assurance-Funktionen für die Einhaltung aller Standards und Vorschriften plädierten.

Versucht ein Unternehmen eine Governance-Struktur für RPA zu formulieren und schafft es dabei nicht, allgemeine Anforderungen und IT-Anforderungen zwischen den Geschäftseinheiten und verschiedenen Funktionen abzustimmen, kann es zu einer uneinheitlichen und komplizierten Governance-Umgebung kommen, die die zuvor beschriebenen Sicherheitsprobleme weiter verschärft. Ebenfalls zu beachten ist, dass selbst bei einem Vorhandensein von RPA-Regeln nicht gesichert ist, dass sich die Mitarbeiter auch an diese Regeln halten, da RPA-Lösungen leicht heruntergeladen und implementiert werden können.

5. RPA kann zu einem Verlust von Prozesswissen führen.

Eine weitere Gefahr besteht darin, dass beim Einsatz von RPA mit der Zeit Prozesswissen verloren gehen kann. Zwei Dimensionen sind hier zu beachten: Verlust von Fachwissen über die zugrundeliegenden Geschäftsprozesse und Verlust von RPA-spezifischem Wissen.

Automatisiert ein Bot Teile von Geschäftsprozessen, so führt das zwangsläufig dazu, dass Mitarbeiter diese Teil-Prozesse nicht mehr ausführen. Meist überblicken die Mitarbeiter in diesem Fall jedoch noch recht gut, welche Prozessschritte ein Bot ausführt. Werden die erstellten Bots allerdings orchestriert und so in Reihe geschaltet, dass sie End-to-End-Prozesse automatisieren, sind unter Umständen keine Mitarbeiter mehr in diesen Prozess involviert und führen diesen dementsprechend nicht mehr aus. Mit der Zeit kann diese vollständige Automatisierung dazu führen, dass die Prozesse ausschließlich im Hintergrund laufen und die Menschen nach einiger Zeit oder Fluktuationen in der Abteilung vergessen, wie der Prozess ohne Bot-Unterstützung abläuft. Der Verlust von Fachwissen ist besonders problematisch, wenn Bots ausfallen bzw. nicht mehr funktionieren oder der Prozess umgestaltet werden soll.

Des Weiteren kann es dazu kommen, dass Unternehmen das Wissen über die Funktionsweise und Programmierung von Bots verlieren. Wenn Mitarbeiter, die Bots erstellt oder verwaltet haben, das Unternehmen verlassen oder die Abteilung wechseln, muss gewährleistet sein, dass die Bots auch später noch funktionieren. Dafür ist eine ordnungsgemäße Dokumentation erforderlich. Zwei Beispiele verdeutlichen diese Problematik:

  1. Das erste Beispiel ist aus dem MS Excel-Kontext bekannt. Ein Werkstudent entwickelt in seiner Tätigkeit einen Bot, der einen Teilprozess automatisiert. Nach Abschluss des Studiums verbleibt der Werkstudent nicht im Unternehmen und erklärt einem anderen Mitarbeiter die Funktionsweise des Bots. Innerhalb kürzester Zeit kann es dazu kommen, dass der Mitarbeiter nicht mehr weiß, wie genau der Bot programmiert wurde. Ändert sich der Prozess, ist der Mitarbeiter unter Umständen nicht mehr in der Lage, den Bot entsprechend umzuprogrammieren, damit er weiterhin funktioniert. Ein weiteres Szenario wäre, dass keine Übergabe stattfindet und der Bot nach Ausscheiden des Werkstudenten nicht mehr genutzt werden kann.
  2. Das zweite Beispiel beschreibt ein Szenario, das sich in einem kleinen Unternehmen abgespielt hat. Ein Mitarbeiter reißt die RPA-Entwicklung an sich und koordiniert alle RPA-Projekte selbst. Er programmiert über eine längere Zeit einen Bot, der einen wichtigen und arbeitsintensiven Prozess automatisiert. Das Unternehmen verlässt sich so stark auf den Bot, dass der Prozess ohne RPA nicht mehr durchzuführen wäre. Vor diesem Hintergrund kam es dazu, dass der Mitarbeiter das Unternehmen im Unguten verlies, den Zugriff auf den Bot jedoch durch ein Passwort geschützt hatte. Dem Unternehmen war es nicht mehr möglich, auf die Programmierung zuzugreifen, weshalb ein neuer Bot erstellt werden musste.

Diese beiden Beispiele veranschaulichen mögliche Probleme, die durch eine fehlende Governance und Dokumentation auftreten können.

Abschließend zu diesem Kapitel lässt sich festhalten, dass RPA zwar ein wirkungsvolles Werkzeug zur Automatisierung von Prozessen ist, jedoch mit Bedacht implementiert werden sollte. Wichtig ist vor allem, dass die richtigen Prozesse für einen RPA-Einsatz ausgewählt werden und die Governance von Anfang an beachtet wird. Trotz der hier dargestellten Herausforderungen mit RPA kann die Technologie für einige Unternehmen sinnvoll sein.

3. Best Practices für die Prüfung von RPA mit Hilfe eines Kontrollsets

Aktuell existiert in Wissenschaft und Praxis kein spezifisches Rahmenwerk für die Prüfung von RPA.2Die Forscher des referenzierten Working Papers arbeiten aktuell an einem Rahmenwerk mit Kontrollanforderungen für RPA. Zum Zeitpunkt der Veröffentlichung dieses Fachbeitrags lag jedoch noch keine fertige Version eines entsprechenden Working Papers vor. Ein konkreter RPA-Prüfungsansatz für die Interne Revision ist im Fachbeitrag von Eulerich, Meschke und Grüne (2019) zu finden. Aus dem Forschungsprojekt zur Analyse von Risiken und Herausforderungen ergaben sich zudem weitere Best Practices für die Prüfung von RPA mit Hilfe eines Kontrollsets. Dieses kann verschiedenen Einheiten im Unternehmen bei der Prüfung von RPA behilflich sein.

1. Das Unternehmen sollte über eine angemessene und formale Governance von RPA-Lösungen verfügen und die Nutzer nicht alleine lassen bei der Anwendung.

Mit einer formalen RPA-Governance sind unternehmens- bzw. geschäftsbereichsweite Rahmenbedingungen für den Einsatz von RPA gemeint. Diese definieren strategische Leitlinien und konkrete Anweisungen, unter anderem hinsichtlich Entwicklung, Implementierung, Monitoring und Change Management. Die Schaffung einer RPA-Initiative bzw. einer Organisationseinheit, die sich mit der Entwicklung und dem Betrieb von RPA befasst, wird in vielen Unternehmen vorangetrieben. Vor diesem Hintergrund ist zu beachten, dass sich die verschiedenen RPA-Stakeholder und Assurance-Funktionen abstimmen. Bei Installation eines reinen RPA-Expertenteams kann es dazu kommen, dass die Governance vernachlässigt und stattdessen lediglich Automatisierungspotenziale verfolgt werden.

2. Im Unternehmen sollten Kontrollen vorhanden sein (ITGCs), die IT-assoziierte Risiken von RPA minimieren und den Erfolg von RPA maximieren.

Angemessene Kontrollen sind unerlässlich für den Betrieb einer Technologie. Im Unternehmen sollte ein Rahmenwerk an allgemeinen IT-Kontrollen (ITGCs) vorhanden sein, die für alle Systeme, Prozesse und Daten der Organisation bzw. IT-Umgebung gelten. Ein effektives ITGC-Setup für RPA sollte unter anderem die IT Compliance, Change Management, User Access Management und IT Operations umfassen und damit die IT-assoziierten Risiken beim Einsatz von RPA reduzieren.

3. Ein Kontrollset für RPA bzw. ein PRA-Prüfungsrahmenwerk sollte auf bestehende Kontrollanforderungen im Unternehmen referenzieren und RPA als IT-Element behandeln. Es sollte für die gesamte Organisation gelten, alle gängigen Testbereiche abdecken und das jeweilige Prüfungsvorgehen detailliert beschreiben.

Entwickelt ein Unternehmen ein Kontrollset für RPA, sollte dieses auf bestehende Kontrollanforderungen im Unternehmen referenzieren. Oftmals bestehen im Unternehmen bereits Kontrollanforderungen für IT-Elemente, die auch für RPA gelten. Es bietet sich demnach an, ein solches Kontrollset im IT-Umfeld anzusiedeln und es für die gesamte Organisation als verpflichtend einzuführen. Eine solche Zusammenfassung von bestehenden Kontrollen kann um konkrete Prüfungshandlungen ergänzt werden, um so die Umsetzung der Kontrollen prüfen zu können.

4. Ein entwickeltes Kontrollset für RPA sollte von RPA-Entwicklern, Internen Revisoren und anderen Prüfern sowie den Service-Dienstleistern genutzt werden können.

Das Kontrollset sollte so gestaltet sein, dass sich diverse RPA-Stakeholder daran orientieren können. RPA-Entwicklern kann es dabei helfen, die Kontrollen so umzusetzen, dass bei einer anschließenden Prüfung keine Defizite auftreten. Verantwortliche für Interne Kontrollen können dieses Rahmenwerk anwenden, um die Umsetzung zu prüfen. Auch für die Interne Revision könnte dieses Rahmenwerk bei der Entwicklung eines Prüfungsplans hilfreich sein. Insgesamt kann mit einem solchen Kontrollset erreicht werden, dass im Unternehmen „eine Sprache“ im Hinblick auf Begriffe und Anforderungen gesprochen wird.

5. Eine regelmäßige Prüfung von RPA ist empfehlenswert. Dabei sollte zwischen Attended und Unattended Automation unterschieden werden.

Durch die häufigen Veränderungen und zunehmenden Gefahren in der RPA-Landschaft sind regelmäßige Prüfungen von RPA empfehlenswert. Besonders relevant sind dabei Bots, die eine Relevanz für die Finanzberichterstattung aufweisen. Attended Bots weisen in der Regel geringere IT-assoziierte Risiken auf: Sie greifen auf die Zugriffsrechte ihrer Entwickler zurück, operieren auf dem lokalen PC und sind von anderen Automatisierungstools nicht klar abgrenzbar. Für die Attended Automation sind Schulungen zur Schaffung eines Bewusstseins für Risiken und RPA-Richtlinien empfehlenswert. Unattended Bots und ihre Governance-Struktur müssen dagegen detaillierter geprüft werden.

Literaturverzeichnis

Asatiani, A., and E. Penttinen. 2016. Turning robotic process automation into commercial success – Case OpusCapita. Journal of Information Technology Teaching Cases 6 (2): 67-74.

Christ, M. H., M. Eulerich, R. Krane, and D. A. Wood. 2021. New frontiers for internal audit research. Accounting Perspectives 20 (4): 449-475.

Cooper, L. A., D. K. Holderness Jr., T. L. Sorensen, and D. A. Wood. 2019. Robotic process automation in public accounting. Accounting Horizons 33 (4): 15-35.

Cooper, L. A., D. K. Holderness Jr., T. L. Sorensen, and D. A. Wood. 2021. Perceptions of Robotic Process Automation in Big 4 Public Accounting Firms: Do Firm Leaders and Lower-Level Employees Agree? Journal of Emerging Technologies in Accounting.

Eulerich, M., R. Meschke, and J. Grüne. 2019. Robotic Process Automation als Prüfobjekt. Zeitschrift Interne Revision 54(6): 257-264.

Eulerich, M., J. Pawlowski, N. Waddoups, and D. A. Wood. 2021. A Framework for Using Robotic Process Automation for Audit Tasks. Contemporary Accounting Research Forthcoming.

Eulerich, M., N. Waddoups, M. Wagener, and D. A. Wood. 2022. The Dark Side of Robotic Process Automation. Working Paper. Available at SSRN: ssrn.com/abstract=4026996.

Hallikainen, P., R. Bekkhus, and S. L. Pan. 2018. How OpusCapita Used Internal RPA Capabilities to Offer Services to Clients. MIS Quarterly Executive 17 (1): 41-52.

Harrast, S., and D. A. Wood. 2022. The status of robotic process automation in accounting. The Routledge Companion to Accounting Information Systems Forthcoming.

Kokina, J., and S. Blanchette. 2019. Early evidence of digital labor in accounting: Innovation with robotic process automation. International Journal of Accounting Information Systems 35 (December): 1-13.

Über den Autor

M.Sc. Martin WagenerM.Sc. Martin Wagener ist wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl für Interne Revision der Mercator School of Management, Universität Duisburg-Essen. Der Lehrstuhl von Univ.-Prof. Dr. Marc Eulerich ist aktuell deutschlandweit der einzige Universitätslehrstuhl mit Fokus auf Interne Revision in Forschung und Lehre. Im Jahr 2020 wurde dem Lehrstuhl der Status „Center for Internal Auditing Excellence“ des Institute of Internal Auditors (IIA) verliehen. Diesen Status haben bisher nur elf Hochschulen weltweit erreicht. Martin Wagener war vor seiner Tätigkeit an der Universität mehrere Jahre als Business Controller in einem großen Technologiekonzern tätig.