RPA对信息系统内部审计的挑战与应对

黄长胤（博士）（上海国家会计学院上海201702）

近年来，将“大智移云物区”等智能技术应用于企业财务管理是财务转型发展的趋势之一，越来越多的企业开展了智能财务建设。基于RPA（Robotic Process Automation，机器人流程自动化）、机器学习和物联网的全流程会计处理自动化是智能财务的特征之一（刘勤、杨寅，2018）。RPA①此处的RPA主要是指运用于财务工作的RPA应用，例如基于RPA技术的财务机器人，下同。以其具有的开发设计简单、应用场景广泛、对现有系统影响较小的特点，在智能财务的发展初期已经显示出了一定的优势（陈虎等，2019；刘梅玲等，2020；张庆龙，2020）。RPA适合在流程标准化、大批量、可重复的财务工作场景中替代人工，同时对实施单位的运行环境、流程、数据、运营等也提出了更高要求（田高良等，2019；解洪勇等，2020），带来了潜在的信息技术风险。信息系统内部审计作为企业主动管理信息技术风险的重要手段，在智能财务建设中将面临新的挑战。目前针对RPA信息系统内部审计的研究还比较少。本文分析了RPA在财务工作中应用所带来的信息技术风险，并依次从组织层面、信息技术一般控制层面和业务流程应用控制层面分别阐述了信息系统内部审计的应对策略。

一、RPA带来的信息技术风险

根据《第2203号内部审计具体准则——信息系统审计》，信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。本文认为RPA带来的信息技术风险主要有：

（一）对RPA的规划和计划不完善。近年来，RPA在财务领域的热度不断上升，再加上相比其他系统软件，RPA的应用相对简单，不少企业都快速部署了RPA。但是不少企业的管理层对于RPA对数据质量和管理工作带来的潜在影响的认识不够充分，企业的IT管理者也未结合IT战略对RPA的规划和计划进行全面的思考和部署，可能导致RPA实施的效益、效率不高。此外，RPA的实施还需要配套制度的支撑。如果企业对于RPA实施带来的工作职责变化、RPA的具体操作流程缺乏相关的制度规范，可能会带来工作衔接混乱和人机协同困难的问题。RPA在推行初期可能会面临质疑，要通过及时有效的沟通平稳地实现组织变革管理（毛清，2020）。如果缺乏相关机制，则可能导致员工的过度担忧和抵触情绪，甚至对整个智能财务的建设产生阻力。

（二）RPA对内外部运行环境的稳定性要求较高。如果出现硬件故障、网络不稳定、服务器访问权限受限、外部系统无法正常登入、系统接口冲突等问题，都会影响RPA的工作。例如在银企直联系统中，如果因为服务器或网络不稳定、系统升级等原因，或者银行系统将RPA误认为是恶意软件而进行拦截（例如外部网站采用了防机器人验证码校验），都可能导致RPA无法正常运行。

（三）RPA对业务和会计处理流程的标准化要求较高。在更多的人工智能技术广泛地与RPA结合之前，目前RPA采用的主要是事先确定的规则和流程。这就要求企业对RPA涉及的财务和业务流程进行全面的梳理和规范，如有未穷尽的流程和潜在错误，都可能导致RPA运行失败。

（四）在系统升级更新中忽略对RPA的相应改造。企业和外部单位都会定期或不定期地对系统进行升级和更新，在这个过程中，如果未对RPA的规则和访问路径进行相应的调整，则可能影响其正常工作。如果RPA采集外部数据失败并直接报错，则管理人员很容易发现错误。但如果RPA依然按照原有路径采集数据，而外部数据的定义已经发生变化，则可能出现RPA表面上仍然在正常运行，但实际上已经出现数据错误的情况。这种错误更不容易被发现。

（五）RPA无法自行处理异常情况。RPA一般根据预设的规则运行，如果出现了预设规则以外的异常情况，RPA无法进行相应的处理。这时需要人为进行干预，如果企业没有相应的监控和处理机制，则可能导致RPA无法正常连续工作。

二、信息系统内部审计的对策

信息系统内部审计是企业主动应对RPA信息技术风险的手段之一。RPA信息系统内部审计一般也是企业整体信息系统内部审计的一部分。内部审计可以对RPA的业务活动、内部控制和风险管理的适当性和有效性进行审查和评价，并在此基础上提出相关的改进建议。RPA会给企业带来组织层面、一般控制层面和业务流程层面的信息技术风险，信息系统内部审计也需要从这三个层面展开。

（一）组织层面。

1.RPA相关规划和计划。内审人员可以采用查阅文件法对企业的IT战略进行梳理，重点关注流程标准化、处理自动化和利用信息技术提高工作效率等相关内容。通过对RPA相关规划和计划的查阅，分析其完整性、有效性和适用性。根据企业相关规划中实施RPA的目标，通过调查问卷法以及对管理人员、业务人员和信息技术人员的面谈询问和实地查看，对RPA目前的实施效果进行评价。

2.RPA相关制度和组织。内审人员需要检查RPA的相关制度是否完整，特别需要关注RPA的适用条件、流程规范、操作要求、异常情况处理等内容。另外，还需要明确RPA的主管部门；管理权限如何在业务部门和信息部门之间进行分配；业务部门和财务部门就RPA产生的分歧如何协调和解决；RPA相关业务流程的变更是否由业务部门发起，再由信息部门实施，最后再由业务部门进行确认。通过查阅流程图，检查是否存在未纳入相关制度规范但由RPA实施的业务和财务流程。

3.RPA实施过程中的信息沟通和协调。内审人员可以采用调查问卷和面谈询问等方法向操作RPA的业务人员、进行RPA维护的信息技术人员、原有工作职责被RPA替代的人员了解情况，主要包括RPA给其带来的影响及其对RPA的态度。评价RPA在实施过程中相关人员对RPA的实施初衷和相关制度的了解程度。其中，需要重点关注人机协同中的信息沟通和协调问题，例如财务人员如果发现其收到的、经过RPA处理的文件中存在异常的业务数据，该如何进行后续的沟通和协调。

（二）信息技术一般控制层面。针对RPA的信息技术一般控制是指与支持RPA运行的网络、操作系统、数据库、应用系统及其人员相关的信息技术政策和措施，目的是确保RPA稳定运行。根据RPA的技术特点和应用现状，本文重点对RPA工具的开发、运行和变更控制审计和信息安全控制审计进行阐述。限于篇幅，信息系统基础设施控制审计等与一般信息系统审计类似的部分本文不再赘述。

1.RPA工具开发和采购控制审计。内审人员首先需要查阅RPA工具可行性研究的相关文档，并就其中成本收益的合理性、开发和采购RPA工具的必要性和可行性进行回顾性评价。其次对需求分析的相关文档展开审查，重点关注各业务部门和财务部门期望通过RPA解决的具体问题及应用场景。然后通过审阅RPA工具规划决策文件，评价企业就RPA工具自行开发或外购相关决策的合理性。对于自行开发的RPA工具，还需要审查开发的方法论是否与企业的业务需求以及软硬件环境相匹配。对于外购的RPA工具，则需要审查外购的授权审批是否合规；相关的招标流程是否完备、公平；与外部供应商的相关合同条款是否符合相关法律法规。另外还需要关注外购RPA是单一软件工具采购还是连同整体业务流程优化等咨询服务一揽子采购。内部审计还需要审查系统测试、审核、验收和投产的相关记录，并审查其真实性和合规性。

如果内审人员具有较强的信息技术能力，可以在RPA工具开发设计阶段就考虑在其中嵌入相应的审计模块（Embedded Audit Module，EAM），并将收集到的相关审计信息写入独立的审计文件（系统控制审计复核文件，System Control Audit Review File，SCARF），为后续的审计提供更有价值的信息。例如，RPA将取自不同系统的两个数据项目进行对应加总运算前，会自动删除不匹配的数据项目。嵌入的审计模块则会将这些删除数据的信息保存在独立的审计文件中，以备后续审计时分析。

2.RPA工具运行控制审计。RPA工具的运行控制受到相关系统和网络稳定性的影响。RPA工具运行控制审计可以分为运行维护管理审计和运行服务管理审计。在运行维护管理审计中，首先需要审查企业是否有专门的RPA运行维护管理机构。RPA的运行需要业务部门和IT部门共同维护，内审人员需要审查其职责划分是否明确，运行职责是否完整，各部门职责执行是否有效。其次审查RPA的运行维护制度是否完善，运行维护岗位设置是否合理，人员职责是否明确等。运行服务管理审计的重点是审查RPA的运行监控管理和运维服务。检查企业是否有RPA运行监控机制，例如网络中断的提示功能、数据异常值的报警功能、记录异常情况的日志记录功能；还需要检查异常值报警阈值的设置是否合理。内审人员可以通过调整不同的报警阈值，观察RPA对相同的测试数据是否给出不同的异常报警操作。还可以通过整合测试法（Integrated Test Facility，ITF）采集不同的异常记录文档并进行分析，评估报警阈值设置的合理性。在此基础上，进一步评价相关的运维服务是否有利于RPA故障的发现和系统改进。例如，是否有RPA运行故障的报警设置；是否有合理且高效的人工干预机制规定人工干预介入的时点和方式。最后，还需要检查RPA工具的业务连续性，即是否有系统和数据备份以及相应的恢复管理。

3.RPA工具变更控制审计。RPA工具变更控制审计主要关注相关变更的授权与审批、变更测试和实施。首先需要检查RPA工具的变更是否有相应的制度规范。当业务部门提出变更需求时，是否有相应的授权和审批。其次通过系统文档审核和文件查阅，检查报批流程的系统痕迹或文档记录；检查系统日志记录的时间和文档记录的时间是否早于变更实施。检查变更申请文档中是否包含明确的变更事项和期望功能描述。RPA工具的变更可以分为RPA业务部门用户主动发起的变更（例如优化处理流程）、RPA采集数据的源系统发生更新而引起的变更、IT人员主动发起的RPA功能性变更。内审人员在审计中需要对不同的变更加以区别。检查实施RPA变更的项目组是否就该变更进行了充分的评估。对于因为RPA采集数据的源系统变更引起的RPA相应变更，项目组是否对相关源系统的变更进行了分析，以确定业务部门提出的变更需求是否合理和可行；是否就变更的潜在影响进行了评估；是否就相关信息与业务部门进行了必要的沟通。检查是否完成了RPA变更测试，并评价变更测试程序的适当性。最后，还要检查是否有变更控制日志，变更控制日志是否完整记录了变更实施的相关要素。如果项目组留有开发阶段测试用的基本案例（Base Case），可以尝试采用基本案例系统评估法（Base Case System Evaluation，BCSE），利用全套基本案例数据或其中部分数据进行测试并比对处理结果，为变更效果的评估提供更多依据。该方法虽然可以提供较为客观的评价依据，但仅适用于只有一次变更且RPA采集数据的源系统和网络环境保持不变的情况。

4.信息安全控制审计。与RPA工具相关的信息安全控制审计包括安全机制控制审计和数据安全控制审计。安全机制控制审计应覆盖RPA工具开发、实施、运行、变更、监督等各个环节。相关审计的重点包括：检查信息安全相关制度中是否有关于RPA的内容；RPA的相关管理制度中是否有信息安全的内容；是否开展了与RPA相关的信息安全教育和培训；使用RPA的业务人员是否明确其安全责任及有效履行，特别是相关人员离岗后的保密管理；RPA工具的身份认证是否有效，口令的安全性；RPA的系统设置是否实现了职责分离控制；是否实施了RPA信息安全风险评估以及确定的等级；相关的安全保护制度是否符合《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》等有关法律法规；实施了信息资产管理的企业是否已将RPA纳入信息资产管理；审查对于以往信息安全缺陷采取的整改措施并评估其效果；外购RPA时，检查供应商对该RPA的控制是否受到有效限制。RPA工具访问企业外部网络（例如银企直联）时，需要检查网络边界的完整性；是否与外部数据提供者有效沟通，确保本企业RPA对其资源的访问不被屏蔽；RPA是否运行在具有有效的网络入侵防范措施的本企业环境下；RPA运行的系统日志是否完整，是否可以改写等。

在数据安全控制审计方面，首先要审查数据的完整性，包括在RPA和不同系统之间、不同RPA之间数据存储和传输是否有完整的保护措施；发现数据缺失时，RPA能否恢复数据。其次要检查数据的保密性，是否采用加密或其他保密措施进行RPA相关数据的存储和传输。最后还要检查是否有有效的数据备份和恢复机制。

（三）业务流程应用控制层面。对RPA的业务流程应用控制是指在业务流程层面，为了保证RPA准确、完整、及时地完成业财数据的生成、记录、处理、报告等功能而设计并执行的信息技术控制。由于在RPA应用的大部分场景下，数据输入、处理和输出是自动完成的，所以对其业务流程层面的应用控制就显得非常重要。对RPA的业务流程应用控制审计主要包括数据输入、数据处理、数据输出控制审计和数据接口控制审计。

1.数据输入控制审计。首先，通过文件审阅和面谈询问，检查与RPA数据输入相关的规章制度是否健全及其执行的有效性。审计的重点包括：检查企业是否就数据输入RPA或者RPA采集数据的流程做出了相应规定；这些流程是否包含了对数据输入和数据采集的审核和批准环节；操作手册是否就出现异常情况时停止RPA自动采集数据改为人工采集数据做出相应规定。其次，获取与RPA相关的数据输入规则，并对其设置的合理性进行评价。对于经人工处理后再由RPA读取数据的情况，需要收集这些数据的格式、内容等相关输入规则。对于RPA直接从外部系统采集数据的情况，需要收集RPA对数据的格式、内容自动校验的输入规则。依据业务规则和流程，评价RPA数据输入规则是否与其相符。如果该流程仅采用RPA自动执行，还需要检查RPA无法正常运行情况下的备用方案。最后，通过审阅以往输入错误和异常情况的记录，在上述的输入规则中识别出可疑的输入控制错误，即关键输入控制项，作为下一步核查的重点。评价RPA关键输入控制项的有效性。内审人员应围绕关注的核查重点编制相应的测试数据，将其输入RPA，通过追踪法（Tracing）或者嵌入式审计模块观察RPA对该测试数据的采集情况，以检查RPA的数据输入控制是否有效。还可以通过检查RPA处理和输出的结果，反推可能存在的输入控制问题。另外，还需要关注数据的唯一性、缺失值、数值区间、数据精度、勾稽关系等可能存在的问题。

2.数据处理控制审计。RPA的一个主要优势就是提高业务和财务处理的自动化水平，所以RPA数据处理控制审计就显得尤为重要，是RPA应用控制审计的核心环节。数据处理控制审计的目标是通过对RPA数据处理控制措施的审查，评价这些控制措施是否能够确保经过RPA自动处理的数据是完整、准确且符合业务需要的。

RPA是基于流程的自动化，所以确定RPA所涉及的业务流程是进行RPA数据处理控制审计的首要步骤。内审人员可以通过面谈询问RPA管理员和业务部门操作人员，结合业务流程图，确定RPA所涉及的业务流程。内审人员需要了解与这些业务流程相关的法律法规和规章制度，通过面谈询问掌握业务部门使用RPA的期望效果。然后综合上述信息对RPA业务流程设计的完整性、合理性进行评价。

内审人员需要依据业务流程设计，找出流程中的关键风险控制点；审阅以往的错误记录和异常记录；对RPA管理员和业务部门操作人员甚至是RPA处理工作的上下游业务人员进行面谈询问，以确定关键风险控制点。常见的关键风险控制点有跨系统的业财数据关联关系建立、合并报表和单体报表间数据的核对等。对于已经识别出来的关键风险控制点，内审人员需要检查RPA设计时的系统计算规则是否正确，是否与业务规则一致。然后采用程序代码检查法，检查数据处理逻辑与业务要求的一致性。如果程序代码无误，内审人员可以采用测试数据法，将专门设计的容易诱导出现处理错误的数据输入RPA，检查其处理结果；还可以采用基本案例系统评估法或整合测试法，将设计RPA系统时已经应用过的整套案例数据或者内审人员新编制的整套案例数据输入RPA，检查其处理结果。最后，基于上述测试结果综合评价数据处理逻辑的正确性控制。

另外，对于RPA的数据处理控制审计，还需要关注RPA的自动化处理流程是否涵盖了处理错误和异常数据的识别、记录及其解决机制，特别是RPA对于计算过程中的中间变量异常值的校验逻辑和处理机制。

3.数据输出控制审计。首先要逐一检查各类用户对RPA输出信息的使用、修改是否与其权限相匹配。然后检查RPA输出的结果是否准确，包括格式、缺失值、异常值、数据精度、勾稽关系等。因为RPA是自动输出结果，还需要检查是否有针对输出异常情况的检查机制及相应的处理方法。最后还需要通过查阅文档和系统日志、面谈询问相关操作人员和实地观察等方法，检查输出数据分发和保存的合理性，包括：检查输出资料的分发和保存是否有相应的记录；检查相关操作人员是否有相应的权限；审查输出资料的保管过程，是否及时备份了重要信息，是否有未经授权的人员接触备份数据等。

4.接口控制审计。由于RPA一般需要从多个系统采集数据，所以接口控制审计需要评价其是否实施了有效的接口处理程序。首先审查接口数据提取、转换和加载机制，包括源系统接口数据导出/RPA提取机制、源系统和RPA之间的接口数据映射/转换和RPA导入控制机制是否有效。特别是对于企业外部的源系统，需要测试源系统变更的情况下RPA数据提取和转换控制的有效性。其次检查接口数据传输机制，包括检查数据自动传输是否及时、准确、完整和安全等，检查数据传输协议、传输格式是否正确，检查接口错误的识别、记录和纠正措施的有效性，最后还需要检查接口权限控制、接口重启和系统恢复机制的有效性。另外，由于非结构化数据是处理难度较大的审计证据（吴尘，2018），对于非结构化数据和结构化数据之间的转换，在审计过程中也要重点关注。

三、结语

随着RPA在智能财务领域应用范围的不断扩大，RPA与物联网、机器学习等技术的更深层次结合，财务工作自动化带来的信息技术风险将更加值得关注。本文仅从企业的视角探讨了信息系统内部审计对RPA信息技术风险的一些对策。要想更好地发挥RPA的优势并更有效地管理其风险，不仅需要内部审计相关规范根据智能财务发展的趋势进行持续更新，为企业的内部审计实践提供详细的指导，还需要软件供应商开发和提供更适应智能财务的辅助审计工具。除了借助软件工具和外部信息技术专家的帮助，内审人员也需要加强其自身信息技术知识和技能的更新，以适应智能财务和审计发展的需要。