Sicherheit und Compliance mit RPA
-
in b4 News
Sicherheit und Compliance mit RPA
Lösungen zur Robotic Process Automation (RPA) wie etwa der AmdoSoft/b4 Software-Roboter „b4 Bot" sind ideal für die Optimierung und Effizienzsteigerung in Prozessen und Systemen von Unternehmen. Zugleich greifen diese Lösungen aber auch in diese Systeme ein und berühren damit auch Sicherheits- und Compliance-Bedenken. Wir empfehlen daher stets, neben den vordergründigen wirtschaftlichen Erwägungen auch diese Sicherheitsfragen bei der Planung und Implementierung mit zu bedenken. Am besten geht dies, wenn der Compliance-Gedanken auch in Sachen RPA von Anfang an eine Rolle spielt.
Sicherheitsanforderungen in Prozessen und Systemen
Im Großen und Ganzen unterscheidet man bezüglich der Sicherheit bei Unternehmensprozessen zwischen allgemeinen rechtlichen Vorgaben, die sich aus unterschiedlichen Gesetzen und Verordnungen ableiten, sowie aus branchenspezifischen Vorgaben durch Aufsichtsorgane und selbst auferlegten unternehmensspezifischen Vorgaben. Alle vier Anforderungskategorien stellen individuelle Anforderungen an eine RPA-Software, die ihnen gerecht werden soll.
Vorgaben aus dem Handels- und Steuerrecht
Eine RPA-Software muss immer im Rahmen der handels- und steuerrechtlichen Vorgaben agieren. Das betrifft zum Beispiel die Auflagen zur Aufbewahrungspflicht und zum elektronischen Datenzugriff. Wird ein Software-Roboter wie der b4Bot in der Buchhaltung eingesetzt, müssen diese Vorgaben Berücksichtigung finden.
Vorgaben aus dem Datenschutz und der Informationssicherheit
Nicht erst seit der Etablierung der DSGVO spielen Datenschutz und Informationssicherheit eine tragende Rolle, wenn digitale Daten von Kunden und Geschäftspartnern verarbeitet werden. Heute mehr als je zuvor müssen Software-Lösungen in der Lage sein, Daten zu schützen und die geforderten technischen und organisatorischen Maßnahmen zur Beibehaltung der Datensicherheit zu erfüllen. Dies betrifft auch die notwendigen Werkzeuge zum Löschen, Ändern und Aufbewahren von Daten unter Wahrung der individuellen Rechte der Betroffenen.
Branchenspezifische Vorgaben
Je nach Branche und Teilgebiet berühren RPA-gestützte Prozesse oft auch gewisse branchenspezifische Vorgaben von externen Organen, beispielsweise der Bankenaufsichtsbehörden. Sämtliche Prozesse einer Kreditanstalt müssen auf diese Vorgaben geprüft werden und natürlich müssen auch die eingesetzten Software-Roboter entsprechend den geltenden Bestimmungen arbeiten.
Unternehmensspezifische Vorgaben
Nicht zuletzt entscheidet ein Unternehmen auch selbst über die eigene Compliance und über Maßnahmen zur Einhaltung dieser – etwa durch die interne Revision, eingesetzte Datenschutzbeauftragte oder das hauseigene Risikomanagement. Ein Software-Roboter muss auch den internen Vorgaben Rechnung tragen.
RPA nur mit ganzheitlichem Lösungsansatz sinnvoll
Aufgrund der Vielzahl an Anforderungen im Bereich Sicherheit und Compliance ist es notwendig, schon beim ersten Gedanken an die Implementierung einer RPA-Software das Themenfeld Sicherheit mit zu bedenken. Die Compliance-Komponente eines RPA-Werkzeugs steht nie für sich allein, sondern ist Bestandteil der Funktionalität und hängt von dieser ab. Anders gesagt: Bevor auch nur ein einziger Prozess aus Optimierungsgründen mit einer RPA-Software angegangen wird, müssen alle sicherheitsrelevanten Aspekte klar umrissen sein und in die Konzeption der Implementierung mit einfließen. Der schlimmste Fehler, den ein Unternehmen machen kann, ist es, Sicherheitsanforderungen erst reaktiv festzustellen – etwa wenn ein Verstoß ans Tageslicht kommt. Denn das kostet Ressourcen, Zeit und unter Umständen unersetzlichen Kunden-Trust.
Vorgehensweise bei der Etablierung von RPA-Software
Der erste Schritt bei (oder besser „vor") der Aktivierung von RPA-Lösungen ist die klare und lückenlose Auflistung der Sicherheitsanforderungen eines Prozesses. Diese Anforderungen ändern sich in der Regel kaum, wenn ein Software-Roboter statt eines Mitarbeiters den Prozess abarbeitet. Die Software muss genauso vorab wissen, was von ihr erwartet wird, wie der Mensch.
In einem zweiten Schritt muss festgelegt werden, wie die Anforderungen konkret umgesetzt werden müssen und welche technischen und organisatorischen Mittel dafür bereitstehen müssen. Die zuständigen RPA-Projektmitarbeiter und auch der externe Dienstleister – zum Beispiel AmdoSoft – finden dann gemeinsam Wege, die Anforderungen konkret in der Programmierung und Implementierung des Roboters in das unternehmenseigene System zu berücksichtigen.
Wichtig ist drittens, die Sicherheitsanforderungen sowohl in der Projektphase als auch im späteren laufenden Betrieb ständig zu überwachen und gegebenenfalls anzupassen. Das gilt nicht nur für mögliche Änderungen in den rechtlichen Vorgaben, sondern auch, um mögliche Optimierungsquellen zu finden und versteckte Fehlerquellen ausfindig zu machen.
Wir von AmdoSoft achten stets darauf, bei der Implementierung unseres b4 Software-Roboters die sicherheitsrelevanten Compliance-Vorgaben unserer Kunden von Beginn an mitzudenken und bei der Konzeption einer Lösung zu berücksichtigen. Haben Sie Fragen zum Thema RPA und Compliance oder interessieren sich für eine RPA-Lösung für Ihr Unternehmen? Wir freuen uns auf Ihren Kontakt.
Sicherheitsanforderungen in Prozessen und Systemen
Im Großen und Ganzen unterscheidet man bezüglich der Sicherheit bei Unternehmensprozessen zwischen allgemeinen rechtlichen Vorgaben, die sich aus unterschiedlichen Gesetzen und Verordnungen ableiten, sowie aus branchenspezifischen Vorgaben durch Aufsichtsorgane und selbst auferlegten unternehmensspezifischen Vorgaben. Alle vier Anforderungskategorien stellen individuelle Anforderungen an eine RPA-Software, die ihnen gerecht werden soll.
Vorgaben aus dem Handels- und Steuerrecht
Eine RPA-Software muss immer im Rahmen der handels- und steuerrechtlichen Vorgaben agieren. Das betrifft zum Beispiel die Auflagen zur Aufbewahrungspflicht und zum elektronischen Datenzugriff. Wird ein Software-Roboter wie der b4Bot in der Buchhaltung eingesetzt, müssen diese Vorgaben Berücksichtigung finden.
Vorgaben aus dem Datenschutz und der Informationssicherheit
Nicht erst seit der Etablierung der DSGVO spielen Datenschutz und Informationssicherheit eine tragende Rolle, wenn digitale Daten von Kunden und Geschäftspartnern verarbeitet werden. Heute mehr als je zuvor müssen Software-Lösungen in der Lage sein, Daten zu schützen und die geforderten technischen und organisatorischen Maßnahmen zur Beibehaltung der Datensicherheit zu erfüllen. Dies betrifft auch die notwendigen Werkzeuge zum Löschen, Ändern und Aufbewahren von Daten unter Wahrung der individuellen Rechte der Betroffenen.
Branchenspezifische Vorgaben
Je nach Branche und Teilgebiet berühren RPA-gestützte Prozesse oft auch gewisse branchenspezifische Vorgaben von externen Organen, beispielsweise der Bankenaufsichtsbehörden. Sämtliche Prozesse einer Kreditanstalt müssen auf diese Vorgaben geprüft werden und natürlich müssen auch die eingesetzten Software-Roboter entsprechend den geltenden Bestimmungen arbeiten.
Unternehmensspezifische Vorgaben
Nicht zuletzt entscheidet ein Unternehmen auch selbst über die eigene Compliance und über Maßnahmen zur Einhaltung dieser – etwa durch die interne Revision, eingesetzte Datenschutzbeauftragte oder das hauseigene Risikomanagement. Ein Software-Roboter muss auch den internen Vorgaben Rechnung tragen.
RPA nur mit ganzheitlichem Lösungsansatz sinnvoll
Aufgrund der Vielzahl an Anforderungen im Bereich Sicherheit und Compliance ist es notwendig, schon beim ersten Gedanken an die Implementierung einer RPA-Software das Themenfeld Sicherheit mit zu bedenken. Die Compliance-Komponente eines RPA-Werkzeugs steht nie für sich allein, sondern ist Bestandteil der Funktionalität und hängt von dieser ab. Anders gesagt: Bevor auch nur ein einziger Prozess aus Optimierungsgründen mit einer RPA-Software angegangen wird, müssen alle sicherheitsrelevanten Aspekte klar umrissen sein und in die Konzeption der Implementierung mit einfließen. Der schlimmste Fehler, den ein Unternehmen machen kann, ist es, Sicherheitsanforderungen erst reaktiv festzustellen – etwa wenn ein Verstoß ans Tageslicht kommt. Denn das kostet Ressourcen, Zeit und unter Umständen unersetzlichen Kunden-Trust.
Vorgehensweise bei der Etablierung von RPA-Software
Der erste Schritt bei (oder besser „vor") der Aktivierung von RPA-Lösungen ist die klare und lückenlose Auflistung der Sicherheitsanforderungen eines Prozesses. Diese Anforderungen ändern sich in der Regel kaum, wenn ein Software-Roboter statt eines Mitarbeiters den Prozess abarbeitet. Die Software muss genauso vorab wissen, was von ihr erwartet wird, wie der Mensch.
In einem zweiten Schritt muss festgelegt werden, wie die Anforderungen konkret umgesetzt werden müssen und welche technischen und organisatorischen Mittel dafür bereitstehen müssen. Die zuständigen RPA-Projektmitarbeiter und auch der externe Dienstleister – zum Beispiel AmdoSoft – finden dann gemeinsam Wege, die Anforderungen konkret in der Programmierung und Implementierung des Roboters in das unternehmenseigene System zu berücksichtigen.
Wichtig ist drittens, die Sicherheitsanforderungen sowohl in der Projektphase als auch im späteren laufenden Betrieb ständig zu überwachen und gegebenenfalls anzupassen. Das gilt nicht nur für mögliche Änderungen in den rechtlichen Vorgaben, sondern auch, um mögliche Optimierungsquellen zu finden und versteckte Fehlerquellen ausfindig zu machen.
Wir von AmdoSoft achten stets darauf, bei der Implementierung unseres b4 Software-Roboters die sicherheitsrelevanten Compliance-Vorgaben unserer Kunden von Beginn an mitzudenken und bei der Konzeption einer Lösung zu berücksichtigen. Haben Sie Fragen zum Thema RPA und Compliance oder interessieren sich für eine RPA-Lösung für Ihr Unternehmen? Wir freuen uns auf Ihren Kontakt.