Quando si parla di automazione si pensa immediatamente al mondo dell’industria, ai processi industriali, alle fabbriche, ai robot. In questo articolo parleremo invece degli strumenti per automatizzare i processi e i relativi rischi e opportunità.

Con il termine RAP (Robotic Process Automation), si intendono le tecnologie e gli strumenti che permettono di automatizzare i processi ripetitivi, realizzati utilizzando applicazioni software governate da operatori umani; la finalità di tali strumenti è quella di permettere l’automazione di tali processi con facilità.

Per certi versi si tratta un’evoluzione, in molti casi molto spinta, di quelle che sono le macro disponibili già da molti anni nelle applicazioni di produttività individuale L’automazione dei processi: rischi e opportunità. quali Excel o Word. Le macro possono essere usate molto semplicemente registrando e riproducendo l’attività dell’utente, ovvero possono essere integrate con ulteriori funzionalità grazie alla disponibilità di uno specifico linguaggio di programmazione.

Personalmente, grazie alla macro, ho creato applicazioni molto complesse senza usare una sola riga di codice.

Fra queste la trascodifica di un bilancio, dal formato previsto da un software di contabilità italiano, ad un modello standard di una società turca, con relativa traduzione in inglese.

Gli strumenti RAP consentono di ampliare tali capacità automatizzando in modo intelligente i processi; per tale motivo la loro trattazione avviene solitamente nell’ambito delle applicazioni dell’IA.

Se alcuni anni fa era soprattutto il mondo della finanza a presentare le proprie applicazioni pilota (nel 2017 durante un convegno organizzato dall’ ABI sono stati presentati alcuni casi in tal senso, quali ad esempio la chiusura in modalità completamente automatizzata di un rapporto dopo aver analizzato tutte le posizioni di un cliente), oggi tali strumenti sono parte integrante, ad esempio, del nuovo sistema operativo di Microsoft, che incorpora in Windows 11 Power Automate per desktop1.

Un’evoluzione molto rapida che rende disponibile a tutti gli utenti del nuovo sistema operativo strumenti (e decine di modelli) per automatizzare in autonomia i propri processi operativi.

I vantaggi che ne possono derivare sono abbastanza evidenti, automatizzando i processi ripetitivi:

  • si liberano gli operatori dalle attività meno significative, affinché possano occuparsi di quelle a maggior valore aggiunto
  • si limitano gli errori operativi causati dall’operatore umano

  • si velocizzano le operazioni

  • è possibile impostare meccanismi di controllo più efficaci

  • è possibile automatizzare i controlli.

Inoltre, in molte situazioni l’automazione non richiede l’uso di figure tecniche specializzate per l’implementazione ma, come nel nuovo sistema operativo di Microsoft, può essere impostata direttamente dall’utente finale.

Tali strumenti, tuttavia, non risolvono una serie di rischi legati alla operatività degli utenti, che in realtà potrebbero essere aggravati dal loro uso e dal conseguente aumento della produttività.

Vanno infatti distinte le situazioni nelle quali ciò che viene automatizzato è un processo che utilizza per il proprio svolgimento applicazioni centralizzate e adeguatamente presidiate, da quelle nelle quali i processi si svolgono in tutto o in parte mediante l’uso di prodotti di produttività individuale (quali programmi di elaborazione testo e fogli elettronici) e loro appendici (ad esempio cartelle condivise sul cloud…).

La disponibilità di tali strumenti ha da tempo permesso agli utenti più evoluti di sviluppare in autonomia applicazioni per lo svolgimento di operazioni complesse, in particolare laddove l’azienda non renda disponibili specifiche soluzioni per la loro gestione (per problemi di costo, di flessibilità, di tempo o semplicemente perché gli utenti vogliono mantenere la propria autonomia senza dipendere dai tempi e dalle risorse dell’ICT).

Oggi, la disponibilità di strumenti come Power Automate direttamente da sistema operativo, consentirà un ulteriore livello di libertà ed autonomia per gli utenti, in particolare a quegli utenti evoluti abituati da tempo a operare al di fuori del sistema informativo ufficiale dell’azienda, delle relative policy e vincoli e dei relativi controlli.

Va anche ricordato che questa tipologia di utenti spesso si occupa di argomenti rilevanti per l’azienda, quali ad esempio il bilancio o il controllo di gestione o, nel mondo bancario, della finanza.

Se da un lato quindi la disponibilità di strumenti di automazione può agevolare il lavoro degli utenti, dall’altro si introducono una serie di rischi significativi, come ha ben compreso Banca d’Italia, che nella Circolare 285 già da parecchi anni ha introdotto sul tema uno specifico paragrafo:

La richiesta che Banca d’Italia esprime nella propria circolare (che è vincolante per le banche italiane, le quali rischiano sanzioni fino al 10% del proprio fatturato2 in caso di mancato rispetto delle prescrizioni previste) è molto onerosa.

Tali applicazioni, essendo di fatto irrinunciabili, devono garantire lo stesso livello di sicurezza presente nel resto del sistema informativo.

Una sfida non banale, considerando che tali strumenti non dispongono di funzionalità base di sicurezza quali ad esempio la gestione di profili di accesso differenziati o il tracking delle modifiche apportate…

Ma non sono solo questi i rischi legati alle applicazioni sviluppate direttamente dagli utenti; ne cito alcuni:

  • manca solitamente la documentazione che dettagli le regole che sono state implementate
  • chi le ha realizzate ne detiene spesso in modo assoluto il know how; al riguardo, per quanto possa essere relativamente semplice ricostruire algoritmi e formule utilizzati in un foglio elettronico, può essere difficile ricostruire le motivazioni che hanno portato a tali scelte, in particolare allorquando non si tratti di un solo foglio elettronico, ma di un insieme di fogli fra loro interconnessi
  • spesso sono conservate solo sul pc di chi le ha sviluppate, e quindi inaccessibili per il resto dell’azienda
  • non esiste una reale gestione delle versioni
  • sono facilmente modificabili (questa, del resto, è la loro forza) e sono quindi soggette a variazioni accidentali derivanti da errori operativi dell’utilizzatore
  • non sono soggette a backup, salvo che il loro sviluppatore non provveda al riguardo
  • sono utilizzate di solito in produzione senza seguire un iter di validazione e test
  • possono contenere degli errori nelle formule, nel codice, nelle query, che difficilmente sono evidenti in assenza di test esaustivi
  • etc.

La disponibilità di soluzioni RAP, aumentando il livello di autonomia degli utenti (ovviamente se si permette agli utenti di sviluppare autonomamente l’automazione dei loro processi) o comunque facilitando notevolmente la possibilità di automatizzare processi che fanno uso di prodotti di produttività individuale, può aumentare, se non vengono adottate le opportune contromisure, il livello di questi rischi.

Se infatti per un’azienda l’alternativa all’automazione di un processo tramite tali strumenti è lo sviluppo di un’applicazione ad hoc, ben difficilmente sarà percorsa questa seconda (e onerosa) soluzione.

È quindi di fondamentale importanza che la disponibilità e l’uso di tali strumenti siano accompagnati da una valutazione complessiva dei costi e benefici per l’azienda da tutti i punti di vista e non solo, come troppo spesso accade, dalla semplice valutazione della riduzione dei costi derivante dal minor uso di “mano d’opera”.

Anche per quanto attiene i rischi va considerato che, se da un lato è innegabile che l’automazione permetta di ridurre i rischi legati alla operatività, dall’altro l’eventuale presenza nei processi automatizzati di applicazione sviluppate dagli utenti o più in generale di prodotti di produttività individuale può aumentare i rischi legati loro uso in conseguenza dell’aumento dei volumi di dati ed operazioni processabili.

In sintesi, quindi, vanno adeguatamente distinte le varie situazioni:

  • da un lato si avranno i casi in cui la tecnologia RPA consente di automatizzare processi che vengono svolti utilizzando essenzialmente applicazioni ben consolidate, presidiate e con un adeguato livello di sicurezza; per tali situazioni il bilancio fra costi/rischi e benefici sarà di norma positivo.
  • dall’altro si avranno casi nei quali tale tecnologia è applicata a processi anche solo parzialmente effettuati con strumenti di produttività individuale; in questi casi la riduzione dei rischi legata alla operatività manuale deve essere comparata con l’eventuale aumento di rischio legato al numero di operazioni trattate in un ambiente non sicuro.

Per questa seconda situazione devono essere eventualmente impostate le opportune contromisure, che si possono agevolare proprio dall’uso dell’automazione dei processi.

Come anticipato infatti, sarà possibile automatizzare anche i processi di controllo, anche se tale misura da sola non può bastare e deve essere affiancata da misure sia di carattere generale quali:

  • la definizione di una policy sull’uso degli strumenti di produttività individuale e sullo sviluppo delle applicazioni da parte degli utenti
  • il censimento e classificazione delle applicazioni
  • il monitoraggio dei controlli impostati
  • la revisione periodica delle esigenze degli utenti al fine di valutare, laddove i rischi siano troppo elevati, lo sviluppo di applicazioni ad hoc
  • l’uso di piattaforme (ne esiste più di una) per il presidio delle applicazioni sviluppate dagli utenti, sia specifiche, legate alla singola situazione.

Conclusioni

Come per tutte le tecnologie l’utilizzo delle soluzioni RAP può portare notevoli vantaggi, ma se non correttamente indirizzato, in alcuni ambiti può portare ad un aumento dei rischi per l’azienda.

Come sempre quindi il corretto approccio deve comprendere un’analisi a 360 gradi, al fine di saper cogliere le opportunità che la tecnologia rende disponibili ed a guidarla, in particolare se questa sarà resa disponibile di default agli utenti come componente del sistema operativo installato sulle loro postazioni.

 

Autore: Giancarlo Butti

 


1 https://powerautomate.microsoft.com/it-it/robotic-process-automation/

2 A titolo esemplificativo le pesanti sanzioni introdotte dal GDPR arrivano al massimo al 4% del

fatturato

Twitter
Visit Us
LinkedIn
Share
YOUTUBE