黃長(zhǎng)胤（博士）（上海國(guó)家會(huì)計(jì)學(xué)院上海201702）

近年來(lái)，將“大智移云物區(qū)”等智能技術(shù)應(yīng)用于企業(yè)財(cái)務(wù)管理是財(cái)務(wù)轉(zhuǎn)型發(fā)展的趨勢(shì)之一，越來(lái)越多的企業(yè)開展了智能財(cái)務(wù)建設(shè)。基于RPA（Robotic Process Automation，機(jī)器人流程自動(dòng)化）、機(jī)器學(xué)習(xí)和物聯(lián)網(wǎng)的全流程會(huì)計(jì)處理自動(dòng)化是智能財(cái)務(wù)的特征之一（劉勤、楊寅，2018）。RPA①此處的RPA主要是指運(yùn)用于財(cái)務(wù)工作的RPA應(yīng)用，例如基于RPA技術(shù)的財(cái)務(wù)機(jī)器人，下同。以其具有的開發(fā)設(shè)計(jì)簡(jiǎn)單、應(yīng)用場(chǎng)景廣泛、對(duì)現(xiàn)有系統(tǒng)影響較小的特點(diǎn)，在智能財(cái)務(wù)的發(fā)展初期已經(jīng)顯示出了一定的優(yōu)勢(shì)（陳虎等，2019；劉梅玲等，2020；張慶龍，2020）。RPA適合在流程標(biāo)準(zhǔn)化、大批量、可重復(fù)的財(cái)務(wù)工作場(chǎng)景中替代人工，同時(shí)對(duì)實(shí)施單位的運(yùn)行環(huán)境、流程、數(shù)據(jù)、運(yùn)營(yíng)等也提出了更高要求（田高良等，2019；解洪勇等，2020），帶來(lái)了潛在的信息技術(shù)風(fēng)險(xiǎn)。信息系統(tǒng)內(nèi)部審計(jì)作為企業(yè)主動(dòng)管理信息技術(shù)風(fēng)險(xiǎn)的重要手段，在智能財(cái)務(wù)建設(shè)中將面臨新的挑戰(zhàn)。目前針對(duì)RPA信息系統(tǒng)內(nèi)部審計(jì)的研究還比較少。本文分析了RPA在財(cái)務(wù)工作中應(yīng)用所帶來(lái)的信息技術(shù)風(fēng)險(xiǎn)，并依次從組織層面、信息技術(shù)一般控制層面和業(yè)務(wù)流程應(yīng)用控制層面分別闡述了信息系統(tǒng)內(nèi)部審計(jì)的應(yīng)對(duì)策略。

一、RPA帶來(lái)的信息技術(shù)風(fēng)險(xiǎn)

根據(jù)《第2203號(hào)內(nèi)部審計(jì)具體準(zhǔn)則——信息系統(tǒng)審計(jì)》，信息技術(shù)風(fēng)險(xiǎn)是指組織在信息處理和信息技術(shù)運(yùn)用過(guò)程中產(chǎn)生的、可能影響組織目標(biāo)實(shí)現(xiàn)的各種不確定因素。本文認(rèn)為RPA帶來(lái)的信息技術(shù)風(fēng)險(xiǎn)主要有：

（一）對(duì)RPA的規(guī)劃和計(jì)劃不完善。近年來(lái)，RPA在財(cái)務(wù)領(lǐng)域的熱度不斷上升，再加上相比其他系統(tǒng)軟件，RPA的應(yīng)用相對(duì)簡(jiǎn)單，不少企業(yè)都快速部署了RPA。但是不少企業(yè)的管理層對(duì)于RPA對(duì)數(shù)據(jù)質(zhì)量和管理工作帶來(lái)的潛在影響的認(rèn)識(shí)不夠充分，企業(yè)的IT管理者也未結(jié)合IT戰(zhàn)略對(duì)RPA的規(guī)劃和計(jì)劃進(jìn)行全面的思考和部署，可能導(dǎo)致RPA實(shí)施的效益、效率不高。此外，RPA的實(shí)施還需要配套制度的支撐。如果企業(yè)對(duì)于RPA實(shí)施帶來(lái)的工作職責(zé)變化、RPA的具體操作流程缺乏相關(guān)的制度規(guī)范，可能會(huì)帶來(lái)工作銜接混亂和人機(jī)協(xié)同困難的問(wèn)題。RPA在推行初期可能會(huì)面臨質(zhì)疑，要通過(guò)及時(shí)有效的溝通平穩(wěn)地實(shí)現(xiàn)組織變革管理（毛清，2020）。如果缺乏相關(guān)機(jī)制，則可能導(dǎo)致員工的過(guò)度擔(dān)憂和抵觸情緒，甚至對(duì)整個(gè)智能財(cái)務(wù)的建設(shè)產(chǎn)生阻力。

（二）RPA對(duì)內(nèi)外部運(yùn)行環(huán)境的穩(wěn)定性要求較高。如果出現(xiàn)硬件故障、網(wǎng)絡(luò)不穩(wěn)定、服務(wù)器訪問(wèn)權(quán)限受限、外部系統(tǒng)無(wú)法正常登入、系統(tǒng)接口沖突等問(wèn)題，都會(huì)影響RPA的工作。例如在銀企直聯(lián)系統(tǒng)中，如果因?yàn)榉?wù)器或網(wǎng)絡(luò)不穩(wěn)定、系統(tǒng)升級(jí)等原因，或者銀行系統(tǒng)將RPA誤認(rèn)為是惡意軟件而進(jìn)行攔截（例如外部網(wǎng)站采用了防機(jī)器人驗(yàn)證碼校驗(yàn)），都可能導(dǎo)致RPA無(wú)法正常運(yùn)行。

（三）RPA對(duì)業(yè)務(wù)和會(huì)計(jì)處理流程的標(biāo)準(zhǔn)化要求較高。在更多的人工智能技術(shù)廣泛地與RPA結(jié)合之前，目前RPA采用的主要是事先確定的規(guī)則和流程。這就要求企業(yè)對(duì)RPA涉及的財(cái)務(wù)和業(yè)務(wù)流程進(jìn)行全面的梳理和規(guī)范，如有未窮盡的流程和潛在錯(cuò)誤，都可能導(dǎo)致RPA運(yùn)行失敗。

（四）在系統(tǒng)升級(jí)更新中忽略對(duì)RPA的相應(yīng)改造。企業(yè)和外部單位都會(huì)定期或不定期地對(duì)系統(tǒng)進(jìn)行升級(jí)和更新，在這個(gè)過(guò)程中，如果未對(duì)RPA的規(guī)則和訪問(wèn)路徑進(jìn)行相應(yīng)的調(diào)整，則可能影響其正常工作。如果RPA采集外部數(shù)據(jù)失敗并直接報(bào)錯(cuò)，則管理人員很容易發(fā)現(xiàn)錯(cuò)誤。但如果RPA依然按照原有路徑采集數(shù)據(jù)，而外部數(shù)據(jù)的定義已經(jīng)發(fā)生變化，則可能出現(xiàn)RPA表面上仍然在正常運(yùn)行，但實(shí)際上已經(jīng)出現(xiàn)數(shù)據(jù)錯(cuò)誤的情況。這種錯(cuò)誤更不容易被發(fā)現(xiàn)。

（五）RPA無(wú)法自行處理異常情況。RPA一般根據(jù)預(yù)設(shè)的規(guī)則運(yùn)行，如果出現(xiàn)了預(yù)設(shè)規(guī)則以外的異常情況，RPA無(wú)法進(jìn)行相應(yīng)的處理。這時(shí)需要人為進(jìn)行干預(yù)，如果企業(yè)沒有相應(yīng)的監(jiān)控和處理機(jī)制，則可能導(dǎo)致RPA無(wú)法正常連續(xù)工作。

二、信息系統(tǒng)內(nèi)部審計(jì)的對(duì)策

信息系統(tǒng)內(nèi)部審計(jì)是企業(yè)主動(dòng)應(yīng)對(duì)RPA信息技術(shù)風(fēng)險(xiǎn)的手段之一。RPA信息系統(tǒng)內(nèi)部審計(jì)一般也是企業(yè)整體信息系統(tǒng)內(nèi)部審計(jì)的一部分。內(nèi)部審計(jì)可以對(duì)RPA的業(yè)務(wù)活動(dòng)、內(nèi)部控制和風(fēng)險(xiǎn)管理的適當(dāng)性和有效性進(jìn)行審查和評(píng)價(jià)，并在此基礎(chǔ)上提出相關(guān)的改進(jìn)建議。RPA會(huì)給企業(yè)帶來(lái)組織層面、一般控制層面和業(yè)務(wù)流程層面的信息技術(shù)風(fēng)險(xiǎn)，信息系統(tǒng)內(nèi)部審計(jì)也需要從這三個(gè)層面展開。

（一）組織層面。

1.RPA相關(guān)規(guī)劃和計(jì)劃。內(nèi)審人員可以采用查閱文件法對(duì)企業(yè)的IT戰(zhàn)略進(jìn)行梳理，重點(diǎn)關(guān)注流程標(biāo)準(zhǔn)化、處理自動(dòng)化和利用信息技術(shù)提高工作效率等相關(guān)內(nèi)容。通過(guò)對(duì)RPA相關(guān)規(guī)劃和計(jì)劃的查閱，分析其完整性、有效性和適用性。根據(jù)企業(yè)相關(guān)規(guī)劃中實(shí)施RPA的目標(biāo)，通過(guò)調(diào)查問(wèn)卷法以及對(duì)管理人員、業(yè)務(wù)人員和信息技術(shù)人員的面談詢問(wèn)和實(shí)地查看，對(duì)RPA目前的實(shí)施效果進(jìn)行評(píng)價(jià)。

2.RPA相關(guān)制度和組織。內(nèi)審人員需要檢查RPA的相關(guān)制度是否完整，特別需要關(guān)注RPA的適用條件、流程規(guī)范、操作要求、異常情況處理等內(nèi)容。另外，還需要明確RPA的主管部門；管理權(quán)限如何在業(yè)務(wù)部門和信息部門之間進(jìn)行分配；業(yè)務(wù)部門和財(cái)務(wù)部門就RPA產(chǎn)生的分歧如何協(xié)調(diào)和解決；RPA相關(guān)業(yè)務(wù)流程的變更是否由業(yè)務(wù)部門發(fā)起，再由信息部門實(shí)施，最后再由業(yè)務(wù)部門進(jìn)行確認(rèn)。通過(guò)查閱流程圖，檢查是否存在未納入相關(guān)制度規(guī)范但由RPA實(shí)施的業(yè)務(wù)和財(cái)務(wù)流程。

3.RPA實(shí)施過(guò)程中的信息溝通和協(xié)調(diào)。內(nèi)審人員可以采用調(diào)查問(wèn)卷和面談詢問(wèn)等方法向操作RPA的業(yè)務(wù)人員、進(jìn)行RPA維護(hù)的信息技術(shù)人員、原有工作職責(zé)被RPA替代的人員了解情況，主要包括RPA給其帶來(lái)的影響及其對(duì)RPA的態(tài)度。評(píng)價(jià)RPA在實(shí)施過(guò)程中相關(guān)人員對(duì)RPA的實(shí)施初衷和相關(guān)制度的了解程度。其中，需要重點(diǎn)關(guān)注人機(jī)協(xié)同中的信息溝通和協(xié)調(diào)問(wèn)題，例如財(cái)務(wù)人員如果發(fā)現(xiàn)其收到的、經(jīng)過(guò)RPA處理的文件中存在異常的業(yè)務(wù)數(shù)據(jù)，該如何進(jìn)行后續(xù)的溝通和協(xié)調(diào)。

（二）信息技術(shù)一般控制層面。針對(duì)RPA的信息技術(shù)一般控制是指與支持RPA運(yùn)行的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)及其人員相關(guān)的信息技術(shù)政策和措施，目的是確保RPA穩(wěn)定運(yùn)行。根據(jù)RPA的技術(shù)特點(diǎn)和應(yīng)用現(xiàn)狀，本文重點(diǎn)對(duì)RPA工具的開發(fā)、運(yùn)行和變更控制審計(jì)和信息安全控制審計(jì)進(jìn)行闡述。限于篇幅，信息系統(tǒng)基礎(chǔ)設(shè)施控制審計(jì)等與一般信息系統(tǒng)審計(jì)類似的部分本文不再贅述。

1.RPA工具開發(fā)和采購(gòu)控制審計(jì)。內(nèi)審人員首先需要查閱RPA工具可行性研究的相關(guān)文檔，并就其中成本收益的合理性、開發(fā)和采購(gòu)RPA工具的必要性和可行性進(jìn)行回顧性評(píng)價(jià)。其次對(duì)需求分析的相關(guān)文檔展開審查，重點(diǎn)關(guān)注各業(yè)務(wù)部門和財(cái)務(wù)部門期望通過(guò)RPA解決的具體問(wèn)題及應(yīng)用場(chǎng)景。然后通過(guò)審閱RPA工具規(guī)劃決策文件，評(píng)價(jià)企業(yè)就RPA工具自行開發(fā)或外購(gòu)相關(guān)決策的合理性。對(duì)于自行開發(fā)的RPA工具，還需要審查開發(fā)的方法論是否與企業(yè)的業(yè)務(wù)需求以及軟硬件環(huán)境相匹配。對(duì)于外購(gòu)的RPA工具，則需要審查外購(gòu)的授權(quán)審批是否合規(guī)；相關(guān)的招標(biāo)流程是否完備、公平；與外部供應(yīng)商的相關(guān)合同條款是否符合相關(guān)法律法規(guī)。另外還需要關(guān)注外購(gòu)RPA是單一軟件工具采購(gòu)還是連同整體業(yè)務(wù)流程優(yōu)化等咨詢服務(wù)一攬子采購(gòu)。內(nèi)部審計(jì)還需要審查系統(tǒng)測(cè)試、審核、驗(yàn)收和投產(chǎn)的相關(guān)記錄，并審查其真實(shí)性和合規(guī)性。

如果內(nèi)審人員具有較強(qiáng)的信息技術(shù)能力，可以在RPA工具開發(fā)設(shè)計(jì)階段就考慮在其中嵌入相應(yīng)的審計(jì)模塊（Embedded Audit Module，EAM），并將收集到的相關(guān)審計(jì)信息寫入獨(dú)立的審計(jì)文件（系統(tǒng)控制審計(jì)復(fù)核文件，System Control Audit Review File，SCARF），為后續(xù)的審計(jì)提供更有價(jià)值的信息。例如，RPA將取自不同系統(tǒng)的兩個(gè)數(shù)據(jù)項(xiàng)目進(jìn)行對(duì)應(yīng)加總運(yùn)算前，會(huì)自動(dòng)刪除不匹配的數(shù)據(jù)項(xiàng)目。嵌入的審計(jì)模塊則會(huì)將這些刪除數(shù)據(jù)的信息保存在獨(dú)立的審計(jì)文件中，以備后續(xù)審計(jì)時(shí)分析。

2.RPA工具運(yùn)行控制審計(jì)。RPA工具的運(yùn)行控制受到相關(guān)系統(tǒng)和網(wǎng)絡(luò)穩(wěn)定性的影響。RPA工具運(yùn)行控制審計(jì)可以分為運(yùn)行維護(hù)管理審計(jì)和運(yùn)行服務(wù)管理審計(jì)。在運(yùn)行維護(hù)管理審計(jì)中，首先需要審查企業(yè)是否有專門的RPA運(yùn)行維護(hù)管理機(jī)構(gòu)。RPA的運(yùn)行需要業(yè)務(wù)部門和IT部門共同維護(hù)，內(nèi)審人員需要審查其職責(zé)劃分是否明確，運(yùn)行職責(zé)是否完整，各部門職責(zé)執(zhí)行是否有效。其次審查RPA的運(yùn)行維護(hù)制度是否完善，運(yùn)行維護(hù)崗位設(shè)置是否合理，人員職責(zé)是否明確等。運(yùn)行服務(wù)管理審計(jì)的重點(diǎn)是審查RPA的運(yùn)行監(jiān)控管理和運(yùn)維服務(wù)。檢查企業(yè)是否有RPA運(yùn)行監(jiān)控機(jī)制，例如網(wǎng)絡(luò)中斷的提示功能、數(shù)據(jù)異常值的報(bào)警功能、記錄異常情況的日志記錄功能；還需要檢查異常值報(bào)警閾值的設(shè)置是否合理。內(nèi)審人員可以通過(guò)調(diào)整不同的報(bào)警閾值，觀察RPA對(duì)相同的測(cè)試數(shù)據(jù)是否給出不同的異常報(bào)警操作。還可以通過(guò)整合測(cè)試法（Integrated Test Facility，ITF）采集不同的異常記錄文檔并進(jìn)行分析，評(píng)估報(bào)警閾值設(shè)置的合理性。在此基礎(chǔ)上，進(jìn)一步評(píng)價(jià)相關(guān)的運(yùn)維服務(wù)是否有利于RPA故障的發(fā)現(xiàn)和系統(tǒng)改進(jìn)。例如，是否有RPA運(yùn)行故障的報(bào)警設(shè)置；是否有合理且高效的人工干預(yù)機(jī)制規(guī)定人工干預(yù)介入的時(shí)點(diǎn)和方式。最后，還需要檢查RPA工具的業(yè)務(wù)連續(xù)性，即是否有系統(tǒng)和數(shù)據(jù)備份以及相應(yīng)的恢復(fù)管理。

3.RPA工具變更控制審計(jì)。RPA工具變更控制審計(jì)主要關(guān)注相關(guān)變更的授權(quán)與審批、變更測(cè)試和實(shí)施。首先需要檢查RPA工具的變更是否有相應(yīng)的制度規(guī)范。當(dāng)業(yè)務(wù)部門提出變更需求時(shí)，是否有相應(yīng)的授權(quán)和審批。其次通過(guò)系統(tǒng)文檔審核和文件查閱，檢查報(bào)批流程的系統(tǒng)痕跡或文檔記錄；檢查系統(tǒng)日志記錄的時(shí)間和文檔記錄的時(shí)間是否早于變更實(shí)施。檢查變更申請(qǐng)文檔中是否包含明確的變更事項(xiàng)和期望功能描述。RPA工具的變更可以分為RPA業(yè)務(wù)部門用戶主動(dòng)發(fā)起的變更（例如優(yōu)化處理流程）、RPA采集數(shù)據(jù)的源系統(tǒng)發(fā)生更新而引起的變更、IT人員主動(dòng)發(fā)起的RPA功能性變更。內(nèi)審人員在審計(jì)中需要對(duì)不同的變更加以區(qū)別。檢查實(shí)施RPA變更的項(xiàng)目組是否就該變更進(jìn)行了充分的評(píng)估。對(duì)于因?yàn)镽PA采集數(shù)據(jù)的源系統(tǒng)變更引起的RPA相應(yīng)變更，項(xiàng)目組是否對(duì)相關(guān)源系統(tǒng)的變更進(jìn)行了分析，以確定業(yè)務(wù)部門提出的變更需求是否合理和可行；是否就變更的潛在影響進(jìn)行了評(píng)估；是否就相關(guān)信息與業(yè)務(wù)部門進(jìn)行了必要的溝通。檢查是否完成了RPA變更測(cè)試，并評(píng)價(jià)變更測(cè)試程序的適當(dāng)性。最后，還要檢查是否有變更控制日志，變更控制日志是否完整記錄了變更實(shí)施的相關(guān)要素。如果項(xiàng)目組留有開發(fā)階段測(cè)試用的基本案例（Base Case），可以嘗試采用基本案例系統(tǒng)評(píng)估法（Base Case System Evaluation，BCSE），利用全套基本案例數(shù)據(jù)或其中部分?jǐn)?shù)據(jù)進(jìn)行測(cè)試并比對(duì)處理結(jié)果，為變更效果的評(píng)估提供更多依據(jù)。該方法雖然可以提供較為客觀的評(píng)價(jià)依據(jù)，但僅適用于只有一次變更且RPA采集數(shù)據(jù)的源系統(tǒng)和網(wǎng)絡(luò)環(huán)境保持不變的情況。

4.信息安全控制審計(jì)。與RPA工具相關(guān)的信息安全控制審計(jì)包括安全機(jī)制控制審計(jì)和數(shù)據(jù)安全控制審計(jì)。安全機(jī)制控制審計(jì)應(yīng)覆蓋RPA工具開發(fā)、實(shí)施、運(yùn)行、變更、監(jiān)督等各個(gè)環(huán)節(jié)。相關(guān)審計(jì)的重點(diǎn)包括：檢查信息安全相關(guān)制度中是否有關(guān)于RPA的內(nèi)容；RPA的相關(guān)管理制度中是否有信息安全的內(nèi)容；是否開展了與RPA相關(guān)的信息安全教育和培訓(xùn)；使用RPA的業(yè)務(wù)人員是否明確其安全責(zé)任及有效履行，特別是相關(guān)人員離崗后的保密管理；RPA工具的身份認(rèn)證是否有效，口令的安全性；RPA的系統(tǒng)設(shè)置是否實(shí)現(xiàn)了職責(zé)分離控制；是否實(shí)施了RPA信息安全風(fēng)險(xiǎn)評(píng)估以及確定的等級(jí)；相關(guān)的安全保護(hù)制度是否符合《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《信息安全等級(jí)保護(hù)管理辦法》等有關(guān)法律法規(guī)；實(shí)施了信息資產(chǎn)管理的企業(yè)是否已將RPA納入信息資產(chǎn)管理；審查對(duì)于以往信息安全缺陷采取的整改措施并評(píng)估其效果；外購(gòu)RPA時(shí)，檢查供應(yīng)商對(duì)該RPA的控制是否受到有效限制。RPA工具訪問(wèn)企業(yè)外部網(wǎng)絡(luò)（例如銀企直聯(lián)）時(shí)，需要檢查網(wǎng)絡(luò)邊界的完整性；是否與外部數(shù)據(jù)提供者有效溝通，確保本企業(yè)RPA對(duì)其資源的訪問(wèn)不被屏蔽；RPA是否運(yùn)行在具有有效的網(wǎng)絡(luò)入侵防范措施的本企業(yè)環(huán)境下；RPA運(yùn)行的系統(tǒng)日志是否完整，是否可以改寫等。

在數(shù)據(jù)安全控制審計(jì)方面，首先要審查數(shù)據(jù)的完整性，包括在RPA和不同系統(tǒng)之間、不同RPA之間數(shù)據(jù)存儲(chǔ)和傳輸是否有完整的保護(hù)措施；發(fā)現(xiàn)數(shù)據(jù)缺失時(shí)，RPA能否恢復(fù)數(shù)據(jù)。其次要檢查數(shù)據(jù)的保密性，是否采用加密或其他保密措施進(jìn)行RPA相關(guān)數(shù)據(jù)的存儲(chǔ)和傳輸。最后還要檢查是否有有效的數(shù)據(jù)備份和恢復(fù)機(jī)制。

（三）業(yè)務(wù)流程應(yīng)用控制層面。對(duì)RPA的業(yè)務(wù)流程應(yīng)用控制是指在業(yè)務(wù)流程層面，為了保證RPA準(zhǔn)確、完整、及時(shí)地完成業(yè)財(cái)數(shù)據(jù)的生成、記錄、處理、報(bào)告等功能而設(shè)計(jì)并執(zhí)行的信息技術(shù)控制。由于在RPA應(yīng)用的大部分場(chǎng)景下，數(shù)據(jù)輸入、處理和輸出是自動(dòng)完成的，所以對(duì)其業(yè)務(wù)流程層面的應(yīng)用控制就顯得非常重要。對(duì)RPA的業(yè)務(wù)流程應(yīng)用控制審計(jì)主要包括數(shù)據(jù)輸入、數(shù)據(jù)處理、數(shù)據(jù)輸出控制審計(jì)和數(shù)據(jù)接口控制審計(jì)。

1.數(shù)據(jù)輸入控制審計(jì)。首先，通過(guò)文件審閱和面談詢問(wèn)，檢查與RPA數(shù)據(jù)輸入相關(guān)的規(guī)章制度是否健全及其執(zhí)行的有效性。審計(jì)的重點(diǎn)包括：檢查企業(yè)是否就數(shù)據(jù)輸入RPA或者RPA采集數(shù)據(jù)的流程做出了相應(yīng)規(guī)定；這些流程是否包含了對(duì)數(shù)據(jù)輸入和數(shù)據(jù)采集的審核和批準(zhǔn)環(huán)節(jié)；操作手冊(cè)是否就出現(xiàn)異常情況時(shí)停止RPA自動(dòng)采集數(shù)據(jù)改為人工采集數(shù)據(jù)做出相應(yīng)規(guī)定。其次，獲取與RPA相關(guān)的數(shù)據(jù)輸入規(guī)則，并對(duì)其設(shè)置的合理性進(jìn)行評(píng)價(jià)。對(duì)于經(jīng)人工處理后再由RPA讀取數(shù)據(jù)的情況，需要收集這些數(shù)據(jù)的格式、內(nèi)容等相關(guān)輸入規(guī)則。對(duì)于RPA直接從外部系統(tǒng)采集數(shù)據(jù)的情況，需要收集RPA對(duì)數(shù)據(jù)的格式、內(nèi)容自動(dòng)校驗(yàn)的輸入規(guī)則。依據(jù)業(yè)務(wù)規(guī)則和流程，評(píng)價(jià)RPA數(shù)據(jù)輸入規(guī)則是否與其相符。如果該流程僅采用RPA自動(dòng)執(zhí)行，還需要檢查RPA無(wú)法正常運(yùn)行情況下的備用方案。最后，通過(guò)審閱以往輸入錯(cuò)誤和異常情況的記錄，在上述的輸入規(guī)則中識(shí)別出可疑的輸入控制錯(cuò)誤，即關(guān)鍵輸入控制項(xiàng)，作為下一步核查的重點(diǎn)。評(píng)價(jià)RPA關(guān)鍵輸入控制項(xiàng)的有效性。內(nèi)審人員應(yīng)圍繞關(guān)注的核查重點(diǎn)編制相應(yīng)的測(cè)試數(shù)據(jù)，將其輸入RPA，通過(guò)追蹤法（Tracing）或者嵌入式審計(jì)模塊觀察RPA對(duì)該測(cè)試數(shù)據(jù)的采集情況，以檢查RPA的數(shù)據(jù)輸入控制是否有效。還可以通過(guò)檢查RPA處理和輸出的結(jié)果，反推可能存在的輸入控制問(wèn)題。另外，還需要關(guān)注數(shù)據(jù)的唯一性、缺失值、數(shù)值區(qū)間、數(shù)據(jù)精度、勾稽關(guān)系等可能存在的問(wèn)題。

2.數(shù)據(jù)處理控制審計(jì)。RPA的一個(gè)主要優(yōu)勢(shì)就是提高業(yè)務(wù)和財(cái)務(wù)處理的自動(dòng)化水平，所以RPA數(shù)據(jù)處理控制審計(jì)就顯得尤為重要，是RPA應(yīng)用控制審計(jì)的核心環(huán)節(jié)。數(shù)據(jù)處理控制審計(jì)的目標(biāo)是通過(guò)對(duì)RPA數(shù)據(jù)處理控制措施的審查，評(píng)價(jià)這些控制措施是否能夠確保經(jīng)過(guò)RPA自動(dòng)處理的數(shù)據(jù)是完整、準(zhǔn)確且符合業(yè)務(wù)需要的。

RPA是基于流程的自動(dòng)化，所以確定RPA所涉及的業(yè)務(wù)流程是進(jìn)行RPA數(shù)據(jù)處理控制審計(jì)的首要步驟。內(nèi)審人員可以通過(guò)面談詢問(wèn)RPA管理員和業(yè)務(wù)部門操作人員，結(jié)合業(yè)務(wù)流程圖，確定RPA所涉及的業(yè)務(wù)流程。內(nèi)審人員需要了解與這些業(yè)務(wù)流程相關(guān)的法律法規(guī)和規(guī)章制度，通過(guò)面談詢問(wèn)掌握業(yè)務(wù)部門使用RPA的期望效果。然后綜合上述信息對(duì)RPA業(yè)務(wù)流程設(shè)計(jì)的完整性、合理性進(jìn)行評(píng)價(jià)。

內(nèi)審人員需要依據(jù)業(yè)務(wù)流程設(shè)計(jì)，找出流程中的關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)；審閱以往的錯(cuò)誤記錄和異常記錄；對(duì)RPA管理員和業(yè)務(wù)部門操作人員甚至是RPA處理工作的上下游業(yè)務(wù)人員進(jìn)行面談詢問(wèn)，以確定關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)。常見的關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)有跨系統(tǒng)的業(yè)財(cái)數(shù)據(jù)關(guān)聯(lián)關(guān)系建立、合并報(bào)表和單體報(bào)表間數(shù)據(jù)的核對(duì)等。對(duì)于已經(jīng)識(shí)別出來(lái)的關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)，內(nèi)審人員需要檢查RPA設(shè)計(jì)時(shí)的系統(tǒng)計(jì)算規(guī)則是否正確，是否與業(yè)務(wù)規(guī)則一致。然后采用程序代碼檢查法，檢查數(shù)據(jù)處理邏輯與業(yè)務(wù)要求的一致性。如果程序代碼無(wú)誤，內(nèi)審人員可以采用測(cè)試數(shù)據(jù)法，將專門設(shè)計(jì)的容易誘導(dǎo)出現(xiàn)處理錯(cuò)誤的數(shù)據(jù)輸入RPA，檢查其處理結(jié)果；還可以采用基本案例系統(tǒng)評(píng)估法或整合測(cè)試法，將設(shè)計(jì)RPA系統(tǒng)時(shí)已經(jīng)應(yīng)用過(guò)的整套案例數(shù)據(jù)或者內(nèi)審人員新編制的整套案例數(shù)據(jù)輸入RPA，檢查其處理結(jié)果。最后，基于上述測(cè)試結(jié)果綜合評(píng)價(jià)數(shù)據(jù)處理邏輯的正確性控制。

另外，對(duì)于RPA的數(shù)據(jù)處理控制審計(jì)，還需要關(guān)注RPA的自動(dòng)化處理流程是否涵蓋了處理錯(cuò)誤和異常數(shù)據(jù)的識(shí)別、記錄及其解決機(jī)制，特別是RPA對(duì)于計(jì)算過(guò)程中的中間變量異常值的校驗(yàn)邏輯和處理機(jī)制。

3.數(shù)據(jù)輸出控制審計(jì)。首先要逐一檢查各類用戶對(duì)RPA輸出信息的使用、修改是否與其權(quán)限相匹配。然后檢查RPA輸出的結(jié)果是否準(zhǔn)確，包括格式、缺失值、異常值、數(shù)據(jù)精度、勾稽關(guān)系等。因?yàn)镽PA是自動(dòng)輸出結(jié)果，還需要檢查是否有針對(duì)輸出異常情況的檢查機(jī)制及相應(yīng)的處理方法。最后還需要通過(guò)查閱文檔和系統(tǒng)日志、面談詢問(wèn)相關(guān)操作人員和實(shí)地觀察等方法，檢查輸出數(shù)據(jù)分發(fā)和保存的合理性，包括：檢查輸出資料的分發(fā)和保存是否有相應(yīng)的記錄；檢查相關(guān)操作人員是否有相應(yīng)的權(quán)限；審查輸出資料的保管過(guò)程，是否及時(shí)備份了重要信息，是否有未經(jīng)授權(quán)的人員接觸備份數(shù)據(jù)等。

4.接口控制審計(jì)。由于RPA一般需要從多個(gè)系統(tǒng)采集數(shù)據(jù)，所以接口控制審計(jì)需要評(píng)價(jià)其是否實(shí)施了有效的接口處理程序。首先審查接口數(shù)據(jù)提取、轉(zhuǎn)換和加載機(jī)制，包括源系統(tǒng)接口數(shù)據(jù)導(dǎo)出/RPA提取機(jī)制、源系統(tǒng)和RPA之間的接口數(shù)據(jù)映射/轉(zhuǎn)換和RPA導(dǎo)入控制機(jī)制是否有效。特別是對(duì)于企業(yè)外部的源系統(tǒng)，需要測(cè)試源系統(tǒng)變更的情況下RPA數(shù)據(jù)提取和轉(zhuǎn)換控制的有效性。其次檢查接口數(shù)據(jù)傳輸機(jī)制，包括檢查數(shù)據(jù)自動(dòng)傳輸是否及時(shí)、準(zhǔn)確、完整和安全等，檢查數(shù)據(jù)傳輸協(xié)議、傳輸格式是否正確，檢查接口錯(cuò)誤的識(shí)別、記錄和糾正措施的有效性，最后還需要檢查接口權(quán)限控制、接口重啟和系統(tǒng)恢復(fù)機(jī)制的有效性。另外，由于非結(jié)構(gòu)化數(shù)據(jù)是處理難度較大的審計(jì)證據(jù)（吳塵，2018），對(duì)于非結(jié)構(gòu)化數(shù)據(jù)和結(jié)構(gòu)化數(shù)據(jù)之間的轉(zhuǎn)換，在審計(jì)過(guò)程中也要重點(diǎn)關(guān)注。

三、結(jié)語(yǔ)

隨著RPA在智能財(cái)務(wù)領(lǐng)域應(yīng)用范圍的不斷擴(kuò)大，RPA與物聯(lián)網(wǎng)、機(jī)器學(xué)習(xí)等技術(shù)的更深層次結(jié)合，財(cái)務(wù)工作自動(dòng)化帶來(lái)的信息技術(shù)風(fēng)險(xiǎn)將更加值得關(guān)注。本文僅從企業(yè)的視角探討了信息系統(tǒng)內(nèi)部審計(jì)對(duì)RPA信息技術(shù)風(fēng)險(xiǎn)的一些對(duì)策。要想更好地發(fā)揮RPA的優(yōu)勢(shì)并更有效地管理其風(fēng)險(xiǎn)，不僅需要內(nèi)部審計(jì)相關(guān)規(guī)范根據(jù)智能財(cái)務(wù)發(fā)展的趨勢(shì)進(jìn)行持續(xù)更新，為企業(yè)的內(nèi)部審計(jì)實(shí)踐提供詳細(xì)的指導(dǎo)，還需要軟件供應(yīng)商開發(fā)和提供更適應(yīng)智能財(cái)務(wù)的輔助審計(jì)工具。除了借助軟件工具和外部信息技術(shù)專家的幫助，內(nèi)審人員也需要加強(qiáng)其自身信息技術(shù)知識(shí)和技能的更新，以適應(yīng)智能財(cái)務(wù)和審計(jì)發(fā)展的需要。