基于机器人流程自动化技术的持续审计研究
2021-11-20吴则建王鹏虎于威陈小其
吴则建 王鹏虎 于威 陈小其
[摘要]本文首先介绍了机器人流程自动化、持续审计的内涵和特点,并在此基础上,结合审计工作实践,对基于机器人流程自动化技术的持续审计工作进行了研究,并且对持续审计的未来发展情况进行了展望。
[关键词]机器人流程自动化 RPA 持续审计
一、机器人流程自动化
机器人流程自动化(Robotic Process Automation),通常简称为RPA,也被称为软件机器人,是一种流程自动化软件工具。RPA是伴随着业务流程管理发展起来的,业务流程管理强调把企业经营关注的焦点从产品或服务等回归到业务本身,以业务流程為核心重塑企业组织的运作,在当前绝大多数企业组织已实现信息化转型的背景下,在企业组织将其业务流程、关键控制固化在应用系统中的前提下,RPA技术很好地满足了业务流程管理发展的要求。
2017年,IEEE(电气和电子工程师协会)给出了RPA的定义:“RPA通过软件技术来预定义业务规则以及活动编排过程,利用一个或多个相互不关联的软件系统,协作完成一组流程、活动、交易和任务,需要在人工对异常情况进行管理后交付结果和服务。”IEEE强调了RPA具有预定义规则、活动编排、串接不同的系统等主要特征。
RPA具有传统自动化技术无法比拟的诸多优点,如原生具有跨系统、跨平台的特征,学习曲线低,快速功能集成,研发周期短等。并且RPA提供非侵入式的系统表层集成方式,其实现方式更是像最终用户一样,通过操作应用系统的用户界面来执行任务,既不需要改变应用系统的底层代码,也不需要更改应用系统的服务或接口,而是通过非侵入式的集成或修复方式,使得RPA实施过程对原有系统影响最小,带来的风险最小。
二、持续审计
(一)持续审计的概念
持续审计伴随着信息技术的发展而来,是信息技术与审计方法融合的结果。持续审计的定义最早是1999年由美国注册会计师协会和加拿大特许会计师协会给出的,即持续审计是一种方法学,使独立审计人员使用一系列审计报告,对某一事项提供书面鉴证,而且这些审计报告是在被审计事项发生的同时或很短一段时间后发布的。毕马威认为持续审计是在一个固定时间内、经常或持续用来监控信息技术系统、交易和控制措施的自动反馈机制。
不同研究学者对持续审计有不同的理解,不同组织的持续审计实施方式也有差异,但持续审计的最终目的必然是洞悉内控的实质,及时提供审计结果及报告,及时满足利益相关方要求,满足利益相关方对内部控制、组织风险等信息的实时掌控需要,从而帮助决策者及时进行改进,提高控制风险、把握机会的能力。
(二)持续审计的特点
近年来随着组织业务流程信息化的完成,持续审计的落地实施具备了更多的可能性。相比于传统审计,持续审计更多地利用网络通信、数据分析等信息技术,除具备传统审计的特点外,持续审计还具有审计过程的连续性、审计报告的及时性、审计程序的自动化、审计内容及时满足利益相关者的期望等优点。
(三)持续审计的主要技术、方法
1.主要技术。持续审计技术主要是基于计算机辅助审计工具与技术,即CATTs(Computer Aided Tools and Techniques)或CAATTs(Computer Aided Audit Tools and Techniques),它是用来辅助审计过程、进行事务分析与内部控制的工具与技术的统称,具体的技术实现方式包括智能Agent、XML、XBRL、Web Services等。
2.方法。按照与被审计系统的耦合程序不同,分为嵌入式和分离式两种。嵌入式EAM(Embedded Audit Module)是将审计系统作为被审计系统运行整体的一部分,与被审计系统共用一套运行环境并且技术架构通常也与被审计系统保持一致。分离式是将被审计系统与审计系统相分离,通过数据或接口的交互,实现系统间功能与数据的关联,通常分离式的持续审计系统有独立的运行环境,有独立的数据库和应用系统。由于系统系统间的耦合度低,分离式持续审计系统对被审计系统的影响一般较小。但由于嵌入式审计系统与被审计系统深度耦合,因此通常存在模块通用性差、占用被审计系统资源、安全管控困难等问题。当前各组织普遍使用的如审计数据分析系统、非现场审计系统等,大都采用分离式架构,通过将数据集中传输、加载至审计系统后,再应用各类数据分析方法及模型进行分析和测试等。
三、持续审计面临的主要问题
1.数据安全性问题。随着近年来国内外企业事业单位业务流程信息化的完成,绝大多数的业务数据都以电子数据的形式进行传输及存储,绝大多数的业务流程也都以应用系统的形式完成,这给持续数据审计提供了数据支持和实现的可能性,并且随着企业级数据库、数据仓库及数据湖的建设,该部分工作可直接借力企业信息化成果。基于该模式,组织中的内部审计部门大都建立了非现场审计等系统,但该部分系统大多只能分析结构化的业务数据,操作类信息很多没有落库记录,而且由于需要在数据库层面及网络层面的交互,该种方式也增加了项目开发的复杂性和安全性。同时由于该种方式需要将大量数据集中后才能进行分析,随着近年来对信息安全方面的要求越来越高,带来的信息安全问题也日益凸显。
2.嵌入式持续审计模块难以真正落地实施。当前的持续审计大都仅限于基于数据的持续审计。真正实现“及时提供审计结果、意见和报告,以供决策者制定决策或做出改进”和“审计全覆盖”的持续审计目标,更多地需要面向内部控制和持续监控的持续审计,即持续控制监控(简称CCM),但该方面的研究及技术实施水平仍较低。当前实现CCM的主要技术手段为嵌入式审计模块技术EAM,但嵌入式的审计技术要求在组织全部系统的全生命周期中都必须深度契合,从需求提出到系统设计,再到系统研发、测试、维护、变更等全流程都必须深入嵌入,增加了项目的工作量、复杂度,而且一般审计人员很难提出有效需求,也缺乏全瞻的能力及精力。同时还存在模块通用性差、实用性及灵活性差、变更困难、无法适应敏捷需要、对审计人员要求过高、可能造成运用系统的不稳定、负担过大、权限难以统一管控等问题。
3.持续审计难以实现及时生成结果报告。传统的审计模式一般分为确定目标、制订计划、实施审计、分析评价、出具审计报告5个步骤,直到最后阶段利益相关方才能看到审计报告,因项目周期长、无法快速满足利益相关者的要求等原因,已很难及时地与组织战略、目标和风险状况保持一致。但是如何将多个环节,利用信息科技等手段,高效地链接起来并且自动生成结果报告,也一直是持续审计的难题。
四、基于机器人流程自动化技术的持续审计
RPA技术可有效解决当前持续审计方法面临的问题,可解决持续审计研究面临的持续控制监控CCM难以落地实施的痛点,进而加强审计流程的规范性,提高审计业务处理的准确性、合规性和安全性,并及时提供例外事项甚至审计报告。
(一)RPA可提供非侵入式的表层集成持续审计方案,可有效解决传统嵌入式审计模块痛点
传统的嵌入式持续审计模块(系统),若出现审计需求变化、应用系统架构调整等情况,如补充或调整信息收集的范围等,就必须通过修改接口或底层程序代码、数据库的方式完成系统改造,甚至直接替换原有功能。但嵌入式审计模块,尤其是运用流程(系统)一般功能都较为复杂,中间经历了多次升级,已深入企业的各个层面,这种方式的改造就会带来巨大的实施风险,不但程序间功能会相互影响,也会导致业务中断这种高破坏性的运营风险,而且时间越久、功能越复杂的系统,升级改造的风险就越大。
而RPA技术的非侵入式的实现方式通过操作应用系统的用户界面来执行各类控制测试,既不需要修改应用系统的底层代码,也不需要更改应用系统的服务或接口,而是通过非侵入式的集成和补充,使得RPA实施过程影响最小、风险最小。该方法可有效解决传统嵌入式审计生命周期短、扩展性差等问题。
(二)RPA的高敏捷性可有效适应敏捷及持续审计的需要
RPA项目研发工具或软件一般都提供了可视化的自动化流程设计工具,并且实施周期也远低于传统的系统改造项目。RPA项目研发人员只需要少量代码甚至不需要代码就可以编制自动化脚本,业务人员在短期培训后也可以快速上手,而不必依赖于专业的IT开发人员,这是传统审计方法、传统信息科技手段很难做到的。面向具体审计业务也是如此,新的控制测试需求,使用RPA实现不要求审计人员具备软件研发能力,在短期培训后,业务人员通常利用可视化的自动化流程设计工具就可以快速上手,针对组织内的任何系统、数据或业务流程研发RPA项目,进行控制测试,完成审计目标。
(三)RPA为实时生成审计结果报告提供了可能
RPA可提供从审计目标到审计报告的全流程解决方案,审计人员可根据审计目标将审计项目按照敏捷审计的架构,将目标具体细化为内部控制测试的案例,进而通过RPA工具,自动对案例进行内部控制测试,由于RPA的自动化、数字化特点,控制测试可7*24*365的不间断执行,单个控制点测试完成后,都可直接及时生成例外事项报告。也可将审计报告各要素、内容进行规范化、格式化梳理后,利用RPA工具自动根据收集及测试的相关内容生成审计结果报告。根据不同RPA产品的功能,甚至可以生成网页、视频、演示文档等种类的结果报告文件格式。
(四)RPA可有效提高审计质量控制水平
1.审计质量控制方面。RPA可以自动化地执行固定审计流程,可通过对各类异常事项的监控实现对关键控制的测试,并且执行及监控的过程均可实现全程可追溯。尽管大多数组织已有非常严密的审计人员操作规范,但审计人员在具体的审计项目中,也经常会出现步骤遗失或顺序错误等类似问题,质量控制人员很难用传统方式进行监督。而利用RPA技术完成控制点测试的任务后,RPA会严格按照既定设计步骤执行,这些步骤能很好地展示在质量控制人员面前。在一些复杂的审计任务中,员工手工复核通常容易出错,而RPA通常不会具有该类问题。近年来,由于内外部监管合规要求的不断加強,对审计人员、审计流程的监督要求也越来越高。RPA可记录审计业务流程处理的每个步骤,可提供审计监督完全透明的信息,为审计监督提供更好的工具和更多的可能性。
2.敏感信息保护方面。对于一些涉及敏感数据处理的业务流程,当前大多数情况仍需要审计人员手工处理,这时就存在泄漏的风险。若使用RPA工具,审计人员梳理好审计业务流程,并整理成RPA流程,并且在RPA处理的过程中,将敏感信息隐藏,这样可以最大程度地避免敏感信息的接触,从而降低欺诈和各类违规发生的可能性。
3.用户及网络安全方面。审计人员在审计过程中,通常需要开通大量的网络访问控制、业务系统用户及权限,以对系统及具体业务流程进行测试。但许多业务流程、业务系统负责人在此过程中也存在数据泄露、功能过度测试等风险,利用RPA也可有效解决该问题,RPA会按照既定的规则访问固定的系统和功能,获取固定的信息,不会点击需求外的其他信息,进而最大可能降低相关风险。
五、总结
基于机器人流程自动化技术实现持续控制监控,将有效解决传统计算机辅助审计工具与技术、嵌入式审计模块技术的固有难题,可解决实施持续审计的技术难题,有效节约持续审计实施成本。打通持续控制监控桎梏后,将大幅提高持续审计效率,有效扩大覆盖面,提高时效性。
(作者单位:中信银行,邮政编码:650000,电子邮箱:wuzejian@citicbank.com)
主要参考文献
[1]王言.RPA:流程自动化引领数字劳动力革命[M].北京:机械工业出版社, 2020:25-48
[2]杨经伟.下一代计算机审计技术的发展方向:持续审计[J].中国信息化, 2013(12):116-117
[3]叶焕倬,杨青.持续审计技术发展与现状[J].审计研究, 2011(3):81-86