RPA技术在持续审计方面的研究与应用

一、机器人流程自动化（RPA）

机器人流程自动化（Robotic process automation）通常简称为RPA，也被称为软件机器人，是一种流程自动化软件工具。RPA是伴随着业务流程管理发展起来的，业务流程管理强调把企业经营关注的焦点从产品或服务等回归到业务本身，以业务流程为核心重塑企业组织的运作，在当前绝大多数企业组织已实现信息化转型的背景下，在企业组织将其业务流程、关键控制固化在应用系统中的前提下，RPA技术很好的满足了业务流程管理发展的要求。

RPA具有传统的自动化技术无法比拟的诸多优点，如原生具有跨系统、跨平台的特征、学习曲线低、快速功能集成、研发周期短等。并且RPA提供非侵入式的系统表层集成方式，其实现方式更是像最终用户一样，通过操作应用系统的用户界面来执行任务，既不需要改变应用系统的底层代码，也不需要更改应用系统的服务或接口，而是通过非侵入式的集成或修复方式，使得RPA实施过程对原有系统影响最小，带来的风险最小。

二、持续审计简介

持续审计伴随着信息技术的发展而来，是信息技术与审计方法融合的结果。持续审计的定义最早是由美国注册会计师协会和加拿大特许会计师协会在1999年给出的，即持续审计是一种方法学，使独立审计人员使用一系列审计报告，对某一事项提供书面鉴证，而且这些审计报告是在被审计事项发生的同时或很短一段时间后发布的。

随着近年来组织业务流程信息化的完成，持续审计的落地实施具备了更多的可能性。相比于传统审计，持续审计更多的利用网络通信、数据分析等信息技术，除具备传统审计的特点外，持续审计还具有审计过程的连续性、审计报告的及时性、审计程序的自动化、审计内容的整合性和及时满足利益相关者的期望等众多的优点。

三、持续审计面临的主要问题

当前的持续审计大都仅限于基于数据的持续审计，但真实的实现“及时提供审计结果、意见和报告，以供决策者制定决策或做出改进”和“审计全覆盖”的持续审计目标，则更多的需要面向内部控制和持续监控的持续审计，即持续控制监控CCM，但该方面的研究及技术实施水平仍较低。当前实现CCM的主要技术手段为嵌入式审计模块技术EAM（Embedded Audit Module），但嵌入式持续审计模块真正的落地实施较为困难。它要求在组织全部系统的全生命周期中都必须深度契合，增加了项目的工作量、复杂度，而且一般审计人员很难提出有效需求的同时也缺乏全栈的能力及精力。同时还存在模块通用性差，实用性及灵活性差、变更困难、无法适应敏捷需要、对审计人员要求过高、可能造成被审计系统的不稳定、负担过大、权限难以统一管控等问题。

持续审计面临的另一个重要问题是及时的结果报告难以实现。传统的审计模式一般分为确定目标、制定计划、实施审计、分析评价、审计报告5个步骤，直到最后阶段，利益相关方才能看到审计报告，因项目周期长、无法快速满足利益相关者的要求等原因，已很难及时的与组织战略、目标和风险状况保持一致。但是如何将多个环节，利用信息科技等手段，高效的链接起来并且自动化的生成结果报告，也一直是持续审计的难题。

四、基于RPA技术的持续审计

RPA技术可有效解决当前持续审计方法面临的问题，可解决持续审计研究面临的持续控制监控CCM难以落地实施的痛点，进而提高审计流程的规范性、提高审计业务处理的准确性、合规性和安全性，并及时的提供例外事项甚至审计报告。

（一）RPA可提供非侵入式的表层集成持续审计方案，可有效解决传统嵌入式审计模块痛点。

传统的嵌入式持续审计模块（系统），若出现审计需求变化，应用系统架构调整等情况。如，补充或调整信息收集的范围等，则必须通过修改接口或底层程序代码、数据库的方式完成系统改造，甚至直接替换原有功能。但嵌入式审计模块，尤其是被审计流程（系统）一般功能都较为复杂，中间经历了多次升级，已根深蒂固地深入到企业的各个层面，这种方式的改造就会带来的巨大的实施风险，不但程序间功能会相互影响，也会导致业务中断这种高破坏性的运营风险，而且时间越久、功能越复杂的系统，升级和改造的风险就更大。

而RPA技术的非侵入式的实现方式更像审计人员实际的审计流程一样，通过操作应用系统的用户界面来执行各类控制测试，既不需要修改应用系统的底层代码，也不需要更改应用系统的服务或接口，而是通过非侵入式的集成和补充，使得RPA实施过程影响最小，风险最小。该方法可有效解决了传统嵌入式审计生命周期短，扩展性差等问题。

（二）RPA的高敏捷性可有效适应敏捷及持续审计的需要。

RPA项目研发工具或软件一般都提供了可视化的自动化流程设计工具，并且实施周期也远低于传统的系统改造项目。RPA项目研发人员只需要少量代码甚至不需要代码就可以编制自动化脚本，业务人员在短期培训后也可以快速上手，而不必依赖于专业的IT开发人员，这是传统审计方法、传统信息科技手段很难做到的。面向具体审计业务也是如此，新的控制测试需求，使用RPA实现不要求审计人员具备软件研发能力，在短期培训后业务人员利用可视化的自动化流程设计工具，一般就可以快速上手，针对组织内的任何系统、数据、或业务流程研发RPA项目，进行控制测试，完成审计目标。

（三）RPA为实时审计结果报告提供了可能。

RPA可提供从审计目标到审计报告端到端的全流程解决方案，审计人员可根据审计目标将审计项目按照敏捷审计的架构，将目标具体细化为内部控制测试的案例，进而通过RPA工具，自动的对案例进行内部控制测试，由于RPA的自动化、数字化特点，控制测试可7*24*365的不间断执行，单个控制点测试完成后，都可直接及时生成例外事项报告。也可将审计报告各要素、内容进行规范化、格式化梳理后，利用RPA工具自动根据收集及测试的相关内容生成审计结果报告。根据不同RPA产品的功能，甚至可以生成网页、视频、演示文档等各类结果报告文件格式。

（四）RPA可有效提高审计质量控制水平。

审计质量控制方面。RPA可以自动化的执行固定审计流程，可通过对各类异常事项的监控实现对关键控制的测试，并且执行及监控的过程均可实现全程可追溯。尽管大多数组织已有非常严密的审计人员操作规范，但审计人员在具体的审计项目中，也经常会出现步骤遗失或顺序错误等类似问题，质量控制人员很难用传统方式进行监督。而利用RPA技术完成控制点测试的任务后，RPA会严格按照既定设计步骤执行，这些步骤会完全透明的展示在质量控制人员面前。在一些复杂的审计任务中，员工手工复核通常容易出错，而RPA通常不会具有该类问题。近年来，由于内外部监管合规要求不断加强，对审计人员、审计流程的监督要求也越来越高。RPA可记录审计业务流程处理的每个步骤，可提供审计监督完全透明的信息，为审计监督提供了更好的工具和更多的可能性。

敏感信息保护方面。对于一些涉及敏感数据处理的业务流程，当前大多数仍需要审计人员手工处理，就有可能存在泄漏的风险。若使用RPA工具，审计人员梳理好审计业务流程，并整理成RPA流程，并且在RPA处理的过程中，将敏感信息隐藏，这样可以最大范围的避免敏感信息的接触，从而降低欺诈和各类违规发生的可能性。

用户及网络安全方面。审计人员在审计过程中，通常需要开通大量的网络访问控制、业务系统用户及权限，以对系统及具体业务流程进行测试。但许多业务流程、业务系统负责人在此过程中也存在数据泄露、功能过度测试等风险，利用RPA也可有效的解决该问题，RPA会按照既定的规则访问固定的系统和功能，获取固定的信息，不会点击需求外的其他信息，进而最大可能的降低相关风险。

五、总结与展望

基于机器人流程自动化（RPA）技术实现持续控制监控，将有效的解决传统计算机辅助审计工具与技术、嵌入式审计模块技术的固有难题，可解决实施持续审计的技术难题，有效节约持续审计实施成本。打通持续控制监控桎梏后，将大幅提高持续审计效率，有效扩大覆盖面，提高时效性。