Richtlinie für RPA Entwicklungen Freigegeben v1

1. Anforderungen/Vorgaben für RPA Entwicklungen

Grundsätzlich

Definition: RPA Entwicklungen (= Robotic Process Automation) sind grundsätzlich zulässig. Für die Entwicklung sind die nachfolgenden Vorgaben zu beachten.

Software: Die MERKUR PRIVATBANK hat sich strategisch für die RPA-Software von UiPath entschieden. Diese ist auch von Atruvia zur Automatisierung ihrer Anwendungen freigegeben.

Dienstleister: Die notwendigen Lizenzen werden über die Firma Roboyo bezogen. Roboyo ist als Partner im Bereich RPA in der Bank etabliert und im Forum OSM dokumentiert.

Anforderungs- und Entwicklungsprozess

Grundsätzliches: Die fachliche Verantwortung für RPA-automatisierte Geschäftsprozesse verbleibt in der Fachabteilung. Die Unternehmensentwicklung verantwortet die technische Umsetzung.

Prozessauswahl

Jede Fachabteilung kann Vorschläge an die Unternehmensentwicklung richten. Die finale Entscheidung trifft ein Mitarbeiter aus dem Team DIP der UENT.

Mindestanforderungen an die Analyse der Automatisierbarkeit:

• Prozesszeitplan und -häufigkeit
• Volumen bzw. erwartetes Volumen und dessen Entwicklung
• Machbarkeit
• Komplexität
• Nutzen

Dokumentation

Für jeden Prozess erstellt ein Mitarbeiter aus dem Team DIP zusammen mit der Fachabteilung eine Dokumentation des Automatisierungspotenzials und ein Prozessdefinitionsdokument (PDD). Das PDD dient als Grundlage für den RPA-Prozess — sowohl für externe als auch interne Entwicklungen.

Mindestanforderungen an das PDD:

• Benennung des zu verwendenden technischen Users
• Prozessmodell (Schaubild Prozessablauf)
• Detaillierte Prozessschritte (Screenshot-Anleitung inkl. Kommentare)

Kompetenzen

Die Bank setzt Unattended Roboter ein. Diese benötigen eigene technische User mit definierten Kompetenzen; Anlage und Kompetenzvergabe erfolgen durch die Betriebsorganisation nach Bewertung durch die IT-Sicherheit. Aus dem Namen eines technischen Users soll die Fachabteilung ersichtlich sein.

Angebot und Auftragserteilung an externe Dienstleister

Der Leiter der Unternehmensentwicklung verantwortet das Budget und die Verträge mit Dienstleistern — Einzelauftrag oder Rahmenvertrag mit Gesamtstundenanzahl. Die operative Auswahl kann an die Mitarbeiter delegiert werden.

Genehmigung von RPA-Automatisierungen

Die grundsätzliche Strategie wird vom Leiter Unternehmensentwicklung vorgegeben; einzelne Prozesse werden eigenverantwortlich vom Team DIP ausgewählt und bedürfen keiner gesonderten Genehmigung.

Entwicklung

Grundsätzlich: RPA-Prozesse können intern oder extern entwickelt werden. Die Entscheidung obliegt dem Team DIP. Nach Abschluss der Entwicklung führt das Team DIP einen Funktionstest durch und schaltet den Prozess frei.

Code-Standards

Ausschließlich Code in der aktuellen Orchestrator-Version; Variablen und Argumente sind eindeutig benannt (z. B. str für String, in für In-Argumente).

Datensicherung und Code-Versionierung

Entwicklung und Speicherung unter \\file01\NETPROG\Roboting in Unterordnern pro Prozess. Upload in UiPath Orchestrator (Server fb007a7g) mit Kommentar im Format YYYYMMDD + BugFix/Neuentwicklung + Kurzbeschreibung. Rollback auf jede vorhergehende Codeversion ist möglich. Beide Server sind in der generellen Bank-Sicherung enthalten.

Logfile

Primäre Logfiles werden im UiPath Orchestrator gespeichert und sind unveränderlich. Log-Level und Messages sind im Code durch den Programmierer zu setzen; das Team DIP prüft im Review auf Nachvollziehbarkeit.

Entwicklung durch Bankmitarbeiter

Ein Mitarbeiter der Unternehmensentwicklung meldet sich mit der technischen Identität an und entwickelt den Prozess. Eine Bild- oder Videoaufzeichnung erfolgt nicht.

Entwicklung durch Dienstleister

Der externe Dienstleister arbeitet in der Bank-Umgebung via TeamViewer. Kennwort und Benutzername wechseln mindestens täglich. Die Sitzung wird vollständig aufgezeichnet und 90 Tage gespeichert; das Einverständnis des externen Programmierers wird eingeholt. Zugriff nur für vertrauenswürdige Dienstleister mit Vertragsverhältnis; Bewertung im Forum OSM. Das Team DIP ist weisungsbefugt.

Arbeitsgrundlage: Das PDD fungiert als Lasten-/Pflichtenheft. Eigentumsverhältnisse werden vertraglich geregelt; Dienstleister verpflichten sich zur unbefristeten Vertraulichkeit.

Hardware und Software: Entwicklung auf Rechnern der Bank mit UiPath Studio.

3. Abgrenzung der Komponenten

Programme

UiPath Orchestrator: verwaltet technische Identitäten, speichert und versioniert Code, steuert Ausführung.

UiPath Studio: Programmierung des Codes, Upload in Orchestrator.

UiPath Robot: führt Code aus dem Orchestrator mit entsprechender technischer Identität aus.

Sonstiges

RPA-Prozesse: im UiPath Studio programmierte Abläufe.

Technische Identitäten: vergeben Kompetenzen an Roboter. Ein technischer User bearbeitet nur Prozesse, die auch menschliche Mitarbeiter der jeweiligen Fachabteilung bearbeiten würden.

Standardkompetenzen

Folgende Rechte sind zur Nutzung im RPA-Umfeld zwingend erforderlich und stellen keinen Verstoß gegen das Minimalprinzip dar:

• Microsoft Office Lizenz – UiPath-Framework nutzt Excel-Konfigurationsdateien.
• SMTP-Zugang – für Error-Messages und Statusreports per Mail.
• Web 2 – Lizenzverifikation online.
• Bildschirmschoner deaktiviert – damit RPA mit der Anwendung interagieren kann.
• TeamViewer – für Fernwartung durch Roboyo nach den unter „Entwicklung durch Dienstleister" definierten Sicherheitsstandards.

4. Test-, Abnahme- und Freigabeverfahren

Neuentwicklung oder Prozesserweiterung

Vor produktivem Einsatz prüft die Unternehmensentwicklung die Übereinstimmung mit dem PDD durch einen User Acceptance Test (UAT), dokumentiert im vorgesehenen Excel-Dokument; optional auch per Videoaufzeichnung.

Mindestbestandteile UAT:

• 2 Testfälle Happy Path
• 2 Testfälle Negative Path inkl. Errorhandling

Fehlerbehebung/BugFix

Änderungen am RPA-Prozess nach Änderungen der Benutzeroberfläche, die den im PDD beschriebenen Workflow nicht verändern, müssen über den Code-Versionierungs-Kommentar hinaus nicht gesondert dokumentiert werden.