RPA對信息系統內部審計的挑戰與應對

黃長胤（博士）（上海國家會計學院上海201702）

近年來，將“大智移云物區”等智能技術應用于企業財務管理是財務轉型發展的趨勢之一，越來越多的企業開展了智能財務建設。基于RPA（Robotic Process Automation，機器人流程自動化）、機器學習和物聯網的全流程會計處理自動化是智能財務的特征之一（劉勤、楊寅，2018）。RPA①此處的RPA主要是指運用于財務工作的RPA應用，例如基于RPA技術的財務機器人，下同。以其具有的開發設計簡單、應用場景廣泛、對現有系統影響較小的特點，在智能財務的發展初期已經顯示出了一定的優勢（陳虎等，2019；劉梅玲等，2020；張慶龍，2020）。RPA適合在流程標準化、大批量、可重復的財務工作場景中替代人工，同時對實施單位的運行環境、流程、數據、運營等也提出了更高要求（田高良等，2019；解洪勇等，2020），帶來了潛在的信息技術風險。信息系統內部審計作為企業主動管理信息技術風險的重要手段，在智能財務建設中將面臨新的挑戰。目前針對RPA信息系統內部審計的研究還比較少。本文分析了RPA在財務工作中應用所帶來的信息技術風險，并依次從組織層面、信息技術一般控制層面和業務流程應用控制層面分別闡述了信息系統內部審計的應對策略。

一、RPA帶來的信息技術風險

根據《第2203號內部審計具體準則——信息系統審計》，信息技術風險是指組織在信息處理和信息技術運用過程中產生的、可能影響組織目標實現的各種不確定因素。本文認為RPA帶來的信息技術風險主要有：

（一）對RPA的規劃和計劃不完善。近年來，RPA在財務領域的熱度不斷上升，再加上相比其他系統軟件，RPA的應用相對簡單，不少企業都快速部署了RPA。但是不少企業的管理層對于RPA對數據質量和管理工作帶來的潛在影響的認識不夠充分，企業的IT管理者也未結合IT戰略對RPA的規劃和計劃進行全面的思考和部署，可能導致RPA實施的效益、效率不高。此外，RPA的實施還需要配套制度的支撐。如果企業對于RPA實施帶來的工作職責變化、RPA的具體操作流程缺乏相關的制度規范，可能會帶來工作銜接混亂和人機協同困難的問題。RPA在推行初期可能會面臨質疑，要通過及時有效的溝通平穩地實現組織變革管理（毛清，2020）。如果缺乏相關機制，則可能導致員工的過度擔憂和抵觸情緒，甚至對整個智能財務的建設產生阻力。

（二）RPA對內外部運行環境的穩定性要求較高。如果出現硬件故障、網絡不穩定、服務器訪問權限受限、外部系統無法正常登入、系統接口沖突等問題，都會影響RPA的工作。例如在銀企直聯系統中，如果因為服務器或網絡不穩定、系統升級等原因，或者銀行系統將RPA誤認為是惡意軟件而進行攔截（例如外部網站采用了防機器人驗證碼校驗），都可能導致RPA無法正常運行。

（三）RPA對業務和會計處理流程的標準化要求較高。在更多的人工智能技術廣泛地與RPA結合之前，目前RPA采用的主要是事先確定的規則和流程。這就要求企業對RPA涉及的財務和業務流程進行全面的梳理和規范，如有未窮盡的流程和潛在錯誤，都可能導致RPA運行失敗。

（四）在系統升級更新中忽略對RPA的相應改造。企業和外部單位都會定期或不定期地對系統進行升級和更新，在這個過程中，如果未對RPA的規則和訪問路徑進行相應的調整，則可能影響其正常工作。如果RPA采集外部數據失敗并直接報錯，則管理人員很容易發現錯誤。但如果RPA依然按照原有路徑采集數據，而外部數據的定義已經發生變化，則可能出現RPA表面上仍然在正常運行，但實際上已經出現數據錯誤的情況。這種錯誤更不容易被發現。

（五）RPA無法自行處理異常情況。RPA一般根據預設的規則運行，如果出現了預設規則以外的異常情況，RPA無法進行相應的處理。這時需要人為進行干預，如果企業沒有相應的監控和處理機制，則可能導致RPA無法正常連續工作。

二、信息系統內部審計的對策

信息系統內部審計是企業主動應對RPA信息技術風險的手段之一。RPA信息系統內部審計一般也是企業整體信息系統內部審計的一部分。內部審計可以對RPA的業務活動、內部控制和風險管理的適當性和有效性進行審查和評價，并在此基礎上提出相關的改進建議。RPA會給企業帶來組織層面、一般控制層面和業務流程層面的信息技術風險，信息系統內部審計也需要從這三個層面展開。

（一）組織層面。

1.RPA相關規劃和計劃。內審人員可以采用查閱文件法對企業的IT戰略進行梳理，重點關注流程標準化、處理自動化和利用信息技術提高工作效率等相關內容。通過對RPA相關規劃和計劃的查閱，分析其完整性、有效性和適用性。根據企業相關規劃中實施RPA的目標，通過調查問卷法以及對管理人員、業務人員和信息技術人員的面談詢問和實地查看，對RPA目前的實施效果進行評價。

2.RPA相關制度和組織。內審人員需要檢查RPA的相關制度是否完整，特別需要關注RPA的適用條件、流程規范、操作要求、異常情況處理等內容。另外，還需要明確RPA的主管部門；管理權限如何在業務部門和信息部門之間進行分配；業務部門和財務部門就RPA產生的分歧如何協調和解決；RPA相關業務流程的變更是否由業務部門發起，再由信息部門實施，最后再由業務部門進行確認。通過查閱流程圖，檢查是否存在未納入相關制度規范但由RPA實施的業務和財務流程。

3.RPA實施過程中的信息溝通和協調。內審人員可以采用調查問卷和面談詢問等方法向操作RPA的業務人員、進行RPA維護的信息技術人員、原有工作職責被RPA替代的人員了解情況，主要包括RPA給其帶來的影響及其對RPA的態度。評價RPA在實施過程中相關人員對RPA的實施初衷和相關制度的了解程度。其中，需要重點關注人機協同中的信息溝通和協調問題，例如財務人員如果發現其收到的、經過RPA處理的文件中存在異常的業務數據，該如何進行后續的溝通和協調。

（二）信息技術一般控制層面。針對RPA的信息技術一般控制是指與支持RPA運行的網絡、操作系統、數據庫、應用系統及其人員相關的信息技術政策和措施，目的是確保RPA穩定運行。根據RPA的技術特點和應用現狀，本文重點對RPA工具的開發、運行和變更控制審計和信息安全控制審計進行闡述。限于篇幅，信息系統基礎設施控制審計等與一般信息系統審計類似的部分本文不再贅述。

1.RPA工具開發和采購控制審計。內審人員首先需要查閱RPA工具可行性研究的相關文檔，并就其中成本收益的合理性、開發和采購RPA工具的必要性和可行性進行回顧性評價。其次對需求分析的相關文檔展開審查，重點關注各業務部門和財務部門期望通過RPA解決的具體問題及應用場景。然后通過審閱RPA工具規劃決策文件，評價企業就RPA工具自行開發或外購相關決策的合理性。對于自行開發的RPA工具，還需要審查開發的方法論是否與企業的業務需求以及軟硬件環境相匹配。對于外購的RPA工具，則需要審查外購的授權審批是否合規；相關的招標流程是否完備、公平；與外部供應商的相關合同條款是否符合相關法律法規。另外還需要關注外購RPA是單一軟件工具采購還是連同整體業務流程優化等咨詢服務一攬子采購。內部審計還需要審查系統測試、審核、驗收和投產的相關記錄，并審查其真實性和合規性。

如果內審人員具有較強的信息技術能力，可以在RPA工具開發設計階段就考慮在其中嵌入相應的審計模塊（Embedded Audit Module，EAM），并將收集到的相關審計信息寫入獨立的審計文件（系統控制審計復核文件，System Control Audit Review File，SCARF），為后續的審計提供更有價值的信息。例如，RPA將取自不同系統的兩個數據項目進行對應加總運算前，會自動刪除不匹配的數據項目。嵌入的審計模塊則會將這些刪除數據的信息保存在獨立的審計文件中，以備后續審計時分析。

2.RPA工具運行控制審計。RPA工具的運行控制受到相關系統和網絡穩定性的影響。RPA工具運行控制審計可以分為運行維護管理審計和運行服務管理審計。在運行維護管理審計中，首先需要審查企業是否有專門的RPA運行維護管理機構。RPA的運行需要業務部門和IT部門共同維護，內審人員需要審查其職責劃分是否明確，運行職責是否完整，各部門職責執行是否有效。其次審查RPA的運行維護制度是否完善，運行維護崗位設置是否合理，人員職責是否明確等。運行服務管理審計的重點是審查RPA的運行監控管理和運維服務。檢查企業是否有RPA運行監控機制，例如網絡中斷的提示功能、數據異常值的報警功能、記錄異常情況的日志記錄功能；還需要檢查異常值報警閾值的設置是否合理。內審人員可以通過調整不同的報警閾值，觀察RPA對相同的測試數據是否給出不同的異常報警操作。還可以通過整合測試法（Integrated Test Facility，ITF）采集不同的異常記錄文檔并進行分析，評估報警閾值設置的合理性。在此基礎上，進一步評價相關的運維服務是否有利于RPA故障的發現和系統改進。例如，是否有RPA運行故障的報警設置；是否有合理且高效的人工干預機制規定人工干預介入的時點和方式。最后，還需要檢查RPA工具的業務連續性，即是否有系統和數據備份以及相應的恢復管理。

3.RPA工具變更控制審計。RPA工具變更控制審計主要關注相關變更的授權與審批、變更測試和實施。首先需要檢查RPA工具的變更是否有相應的制度規范。當業務部門提出變更需求時，是否有相應的授權和審批。其次通過系統文檔審核和文件查閱，檢查報批流程的系統痕跡或文檔記錄；檢查系統日志記錄的時間和文檔記錄的時間是否早于變更實施。檢查變更申請文檔中是否包含明確的變更事項和期望功能描述。RPA工具的變更可以分為RPA業務部門用戶主動發起的變更（例如優化處理流程）、RPA采集數據的源系統發生更新而引起的變更、IT人員主動發起的RPA功能性變更。內審人員在審計中需要對不同的變更加以區別。檢查實施RPA變更的項目組是否就該變更進行了充分的評估。對于因為RPA采集數據的源系統變更引起的RPA相應變更，項目組是否對相關源系統的變更進行了分析，以確定業務部門提出的變更需求是否合理和可行；是否就變更的潛在影響進行了評估；是否就相關信息與業務部門進行了必要的溝通。檢查是否完成了RPA變更測試，并評價變更測試程序的適當性。最后，還要檢查是否有變更控制日志，變更控制日志是否完整記錄了變更實施的相關要素。如果項目組留有開發階段測試用的基本案例（Base Case），可以嘗試采用基本案例系統評估法（Base Case System Evaluation，BCSE），利用全套基本案例數據或其中部分數據進行測試并比對處理結果，為變更效果的評估提供更多依據。該方法雖然可以提供較為客觀的評價依據，但僅適用于只有一次變更且RPA采集數據的源系統和網絡環境保持不變的情況。

4.信息安全控制審計。與RPA工具相關的信息安全控制審計包括安全機制控制審計和數據安全控制審計。安全機制控制審計應覆蓋RPA工具開發、實施、運行、變更、監督等各個環節。相關審計的重點包括：檢查信息安全相關制度中是否有關于RPA的內容；RPA的相關管理制度中是否有信息安全的內容；是否開展了與RPA相關的信息安全教育和培訓；使用RPA的業務人員是否明確其安全責任及有效履行，特別是相關人員離崗后的保密管理；RPA工具的身份認證是否有效，口令的安全性；RPA的系統設置是否實現了職責分離控制；是否實施了RPA信息安全風險評估以及確定的等級；相關的安全保護制度是否符合《中華人民共和國計算機信息系統安全保護條例》《信息安全等級保護管理辦法》等有關法律法規；實施了信息資產管理的企業是否已將RPA納入信息資產管理；審查對于以往信息安全缺陷采取的整改措施并評估其效果；外購RPA時，檢查供應商對該RPA的控制是否受到有效限制。RPA工具訪問企業外部網絡（例如銀企直聯）時，需要檢查網絡邊界的完整性；是否與外部數據提供者有效溝通，確保本企業RPA對其資源的訪問不被屏蔽；RPA是否運行在具有有效的網絡入侵防范措施的本企業環境下；RPA運行的系統日志是否完整，是否可以改寫等。

在數據安全控制審計方面，首先要審查數據的完整性，包括在RPA和不同系統之間、不同RPA之間數據存儲和傳輸是否有完整的保護措施；發現數據缺失時，RPA能否恢復數據。其次要檢查數據的保密性，是否采用加密或其他保密措施進行RPA相關數據的存儲和傳輸。最后還要檢查是否有有效的數據備份和恢復機制。

（三）業務流程應用控制層面。對RPA的業務流程應用控制是指在業務流程層面，為了保證RPA準確、完整、及時地完成業財數據的生成、記錄、處理、報告等功能而設計并執行的信息技術控制。由于在RPA應用的大部分場景下，數據輸入、處理和輸出是自動完成的，所以對其業務流程層面的應用控制就顯得非常重要。對RPA的業務流程應用控制審計主要包括數據輸入、數據處理、數據輸出控制審計和數據接口控制審計。

1.數據輸入控制審計。首先，通過文件審閱和面談詢問，檢查與RPA數據輸入相關的規章制度是否健全及其執行的有效性。審計的重點包括：檢查企業是否就數據輸入RPA或者RPA采集數據的流程做出了相應規定；這些流程是否包含了對數據輸入和數據采集的審核和批準環節；操作手冊是否就出現異常情況時停止RPA自動采集數據改為人工采集數據做出相應規定。其次，獲取與RPA相關的數據輸入規則，并對其設置的合理性進行評價。對于經人工處理后再由RPA讀取數據的情況，需要收集這些數據的格式、內容等相關輸入規則。對于RPA直接從外部系統采集數據的情況，需要收集RPA對數據的格式、內容自動校驗的輸入規則。依據業務規則和流程，評價RPA數據輸入規則是否與其相符。如果該流程僅采用RPA自動執行，還需要檢查RPA無法正常運行情況下的備用方案。最后，通過審閱以往輸入錯誤和異常情況的記錄，在上述的輸入規則中識別出可疑的輸入控制錯誤，即關鍵輸入控制項，作為下一步核查的重點。評價RPA關鍵輸入控制項的有效性。內審人員應圍繞關注的核查重點編制相應的測試數據，將其輸入RPA，通過追蹤法（Tracing）或者嵌入式審計模塊觀察RPA對該測試數據的采集情況，以檢查RPA的數據輸入控制是否有效。還可以通過檢查RPA處理和輸出的結果，反推可能存在的輸入控制問題。另外，還需要關注數據的唯一性、缺失值、數值區間、數據精度、勾稽關系等可能存在的問題。

2.數據處理控制審計。RPA的一個主要優勢就是提高業務和財務處理的自動化水平，所以RPA數據處理控制審計就顯得尤為重要，是RPA應用控制審計的核心環節。數據處理控制審計的目標是通過對RPA數據處理控制措施的審查，評價這些控制措施是否能夠確保經過RPA自動處理的數據是完整、準確且符合業務需要的。

RPA是基于流程的自動化，所以確定RPA所涉及的業務流程是進行RPA數據處理控制審計的首要步驟。內審人員可以通過面談詢問RPA管理員和業務部門操作人員，結合業務流程圖，確定RPA所涉及的業務流程。內審人員需要了解與這些業務流程相關的法律法規和規章制度，通過面談詢問掌握業務部門使用RPA的期望效果。然后綜合上述信息對RPA業務流程設計的完整性、合理性進行評價。

內審人員需要依據業務流程設計，找出流程中的關鍵風險控制點；審閱以往的錯誤記錄和異常記錄；對RPA管理員和業務部門操作人員甚至是RPA處理工作的上下游業務人員進行面談詢問，以確定關鍵風險控制點。常見的關鍵風險控制點有跨系統的業財數據關聯關系建立、合并報表和單體報表間數據的核對等。對于已經識別出來的關鍵風險控制點，內審人員需要檢查RPA設計時的系統計算規則是否正確，是否與業務規則一致。然后采用程序代碼檢查法，檢查數據處理邏輯與業務要求的一致性。如果程序代碼無誤，內審人員可以采用測試數據法，將專門設計的容易誘導出現處理錯誤的數據輸入RPA，檢查其處理結果；還可以采用基本案例系統評估法或整合測試法，將設計RPA系統時已經應用過的整套案例數據或者內審人員新編制的整套案例數據輸入RPA，檢查其處理結果。最后，基于上述測試結果綜合評價數據處理邏輯的正確性控制。

另外，對于RPA的數據處理控制審計，還需要關注RPA的自動化處理流程是否涵蓋了處理錯誤和異常數據的識別、記錄及其解決機制，特別是RPA對于計算過程中的中間變量異常值的校驗邏輯和處理機制。

3.數據輸出控制審計。首先要逐一檢查各類用戶對RPA輸出信息的使用、修改是否與其權限相匹配。然后檢查RPA輸出的結果是否準確，包括格式、缺失值、異常值、數據精度、勾稽關系等。因為RPA是自動輸出結果，還需要檢查是否有針對輸出異常情況的檢查機制及相應的處理方法。最后還需要通過查閱文檔和系統日志、面談詢問相關操作人員和實地觀察等方法，檢查輸出數據分發和保存的合理性，包括：檢查輸出資料的分發和保存是否有相應的記錄；檢查相關操作人員是否有相應的權限；審查輸出資料的保管過程，是否及時備份了重要信息，是否有未經授權的人員接觸備份數據等。

4.接口控制審計。由于RPA一般需要從多個系統采集數據，所以接口控制審計需要評價其是否實施了有效的接口處理程序。首先審查接口數據提取、轉換和加載機制，包括源系統接口數據導出/RPA提取機制、源系統和RPA之間的接口數據映射/轉換和RPA導入控制機制是否有效。特別是對于企業外部的源系統，需要測試源系統變更的情況下RPA數據提取和轉換控制的有效性。其次檢查接口數據傳輸機制，包括檢查數據自動傳輸是否及時、準確、完整和安全等，檢查數據傳輸協議、傳輸格式是否正確，檢查接口錯誤的識別、記錄和糾正措施的有效性，最后還需要檢查接口權限控制、接口重啟和系統恢復機制的有效性。另外，由于非結構化數據是處理難度較大的審計證據（吳塵，2018），對于非結構化數據和結構化數據之間的轉換，在審計過程中也要重點關注。

三、結語

隨著RPA在智能財務領域應用范圍的不斷擴大，RPA與物聯網、機器學習等技術的更深層次結合，財務工作自動化帶來的信息技術風險將更加值得關注。本文僅從企業的視角探討了信息系統內部審計對RPA信息技術風險的一些對策。要想更好地發揮RPA的優勢并更有效地管理其風險，不僅需要內部審計相關規范根據智能財務發展的趨勢進行持續更新，為企業的內部審計實踐提供詳細的指導，還需要軟件供應商開發和提供更適應智能財務的輔助審計工具。除了借助軟件工具和外部信息技術專家的幫助，內審人員也需要加強其自身信息技術知識和技能的更新，以適應智能財務和審計發展的需要。