摘　要：本文首先介紹了機器人流程自動化、持續(xù)審計，并在此基礎(chǔ)上，結(jié)合審計工作實踐，對基于機器人流程自動化技術(shù)的持續(xù)審計工作進行了研究，并且展望了持續(xù)審計的未來發(fā)展。

關(guān)鍵詞：機器人流程自動化RPA、持續(xù)審計

機器人流程自動化（Robotic process automation）通常簡稱為RPA，也被稱為軟件機器人，是一種流程自動化軟件工具。RPA是伴隨著業(yè)務(wù)流程管理發(fā)展起來的，業(yè)務(wù)流程管理強調(diào)把企業(yè)經(jīng)營關(guān)注的焦點從產(chǎn)品或服務(wù)等回歸到業(yè)務(wù)本身，以業(yè)務(wù)流程為核心重塑企業(yè)組織的運作，在當前絕大多數(shù)企業(yè)組織已實現(xiàn)信息化轉(zhuǎn)型的背景下，在企業(yè)組織將其業(yè)務(wù)流程、關(guān)鍵控制固化在應(yīng)用系統(tǒng)中的前提下，RPA技術(shù)很好的滿足了業(yè)務(wù)流程管理發(fā)展的要求。

2017年，IEEE給出了RPA的定義：“RPA通過軟件技術(shù)來預(yù)定義業(yè)務(wù)規(guī)則以及活動編排過程，利用一個或多個相互不關(guān)聯(lián)的軟件系統(tǒng)，協(xié)作完成一組流程、活動、交易和任務(wù)，需要在人工對異常情況進行管理后交付結(jié)果和服務(wù)。”IEEE強調(diào)了RPA具有預(yù)定義規(guī)則、活動編排、串接不同的系統(tǒng)等主要特征。

RPA具有傳統(tǒng)的自動化技術(shù)無法比擬的諸多優(yōu)點，如原生具有跨系統(tǒng)、跨平臺的特征、學(xué)習(xí)曲線低、快速功能集成、研發(fā)周期短等。并且RPA提供非侵入式的系統(tǒng)表層集成方式，其實現(xiàn)方式更是像最終用戶一樣，通過操作應(yīng)用系統(tǒng)的用戶界面來執(zhí)行任務(wù)，既不需要改變應(yīng)用系統(tǒng)的底層代碼，也不需要更改應(yīng)用系統(tǒng)的服務(wù)或接口，而是通過非侵入式的集成或修復(fù)方式，使得RPA實施過程對原有系統(tǒng)影響最小，帶來的風(fēng)險最小。

持續(xù)審計伴隨著信息技術(shù)的發(fā)展而來，是信息技術(shù)與審計方法融合的結(jié)果。持續(xù)審計的定義最早是由美國注冊會計師協(xié)會和加拿大特許會計師協(xié)會在1999年給出的，即持續(xù)審計是一種方法學(xué)，使獨立審計人員使用一系列審計報告，對某一事項提供書面鑒證，而且這些審計報告是在被審計事項發(fā)生的同時或很短一段時間后發(fā)布的。畢馬威認為持續(xù)審計是在一個固定時間內(nèi)、經(jīng)常或持續(xù)用來監(jiān)控信息技術(shù)系統(tǒng)、交易和控制措施的自動反饋機制。不同研究學(xué)者對持續(xù)審計有不同的理解，不同組織的持續(xù)審計實施方式也有差異，但持續(xù)審計能的最終目的必然是洞悉內(nèi)控實質(zhì)，及時提供審計結(jié)果及報告，及時滿足利益相關(guān)方要求，滿足利益相相關(guān)方對內(nèi)部控制、組織風(fēng)險等信息的實時掌控需要，從而幫助決策者及時作出改進，提高管理風(fēng)險，把握機會的能力。

隨著近年來組織業(yè)務(wù)流程信息化的完成，持續(xù)審計的落地實施具備了更多的可能性。相比于傳統(tǒng)審計，持續(xù)審計更多的利用網(wǎng)絡(luò)通信、數(shù)據(jù)分析等信息技術(shù)，除具備傳統(tǒng)審計的特點外，持續(xù)審計還具有審計過程的連續(xù)性、審計報告的及時性、審計程序的自動化、審計內(nèi)容的整合性和及時滿足利益相關(guān)者的期望等眾多的優(yōu)點。

持續(xù)審計技術(shù)主要是基于計算機輔助審計工具與技術(shù)，即CATTs（Computer Aided Tools and Techniques）或CAATTs（Computer Aided Audit Tools andTechniques），它是用來輔助審計過程、進行事務(wù)分析與內(nèi)部控制的工具與技術(shù)的統(tǒng)稱，具體的技術(shù)實現(xiàn)方式包括智能Agent、XML、XBRL 、Web Services等。按照與被審計系統(tǒng)的耦合程序不同，分為嵌入式和分離式兩種。嵌入式EAM（Embedded Audit Module）是將審計系統(tǒng)作為被審計系統(tǒng)運行整體的一部分，與被審計系統(tǒng)共用一套運行環(huán)境并且技術(shù)架構(gòu)通常也與被審計系統(tǒng)保持一致。分離式是將被審計系統(tǒng)與審計系統(tǒng)相分離，通過數(shù)據(jù)或接口的交互，實現(xiàn)系統(tǒng)間功能與數(shù)據(jù)的關(guān)聯(lián)，通常分離式的持續(xù)審計系統(tǒng)有獨立的運行環(huán)境，有獨立的數(shù)據(jù)庫和應(yīng)用系統(tǒng)。由于系統(tǒng)系統(tǒng)間的耦合度低，分離式持續(xù)審計系統(tǒng)對被審計系統(tǒng)的影響一般較小。但由于嵌入式審計系統(tǒng)與被審計系統(tǒng)深度耦合，因此通常存在模塊通用性差、占用被審計系統(tǒng)資源、安全管控困難等問題。當前各組織普遍使用的如審計數(shù)據(jù)分析系統(tǒng)、非現(xiàn)場審計系統(tǒng)等，大都采用分離式架構(gòu)，通過將數(shù)據(jù)集中傳輸、加載至審計系統(tǒng)后，再應(yīng)用各類數(shù)據(jù)分析方法及模型進行分析及測試等。

從早期的在線審計、聯(lián)網(wǎng)審計等研究開始，國內(nèi)外學(xué)者對持續(xù)審計進行了近30年的潛心研究和業(yè)界的努力實踐。Alles 等將持續(xù)審計分為持續(xù)控制監(jiān)控CCM（Continuous Control Monitoring）和持續(xù)數(shù)據(jù)保證CDA（Continuous Data Assurance）的觀點與實踐，已逐漸成為業(yè)界共識。持續(xù)數(shù)據(jù)保證CDA（Continuous Data Assurance）方面，隨著近年來國內(nèi)外企業(yè)事業(yè)單位業(yè)務(wù)流程信息化的完成，絕大多數(shù)的業(yè)務(wù)數(shù)據(jù)都以電子數(shù)據(jù)的形式傳輸及存儲，絕大多數(shù)的業(yè)務(wù)流程也都以應(yīng)用系統(tǒng)的形式完成，這給持續(xù)數(shù)據(jù)審計提供了數(shù)據(jù)支持和實現(xiàn)的可能性，并且隨著企業(yè)級數(shù)據(jù)庫、數(shù)據(jù)倉庫及數(shù)據(jù)湖的建設(shè)，該部分工作可直接借力企業(yè)信息化成果?；谠撃Ｊ剑M織中的內(nèi)部審計部門大都建立了非現(xiàn)場審計等系統(tǒng)，但該部分系統(tǒng)大都只能分析結(jié)構(gòu)化的業(yè)務(wù)數(shù)據(jù)，操作類信息大都沒有落庫記錄，而且由于需要在數(shù)據(jù)庫層面及網(wǎng)絡(luò)層面的交互，該種方式也增加了項目開發(fā)的復(fù)雜性及安全性。同時由于該種方式需要將大量數(shù)據(jù)集中后才能進行分析，隨著近年來對信息安全方面的要求越來越高，帶來信息安全問題也日益凸顯。

當前的持續(xù)審計大都僅限于基于數(shù)據(jù)的持續(xù)審計，但真實的實現(xiàn)“及時提供審計結(jié)果、意見和報告，以供決策者制定決策或做出改進”和“審計全覆蓋”的持續(xù)審計目標，則更多的需要面向內(nèi)部控制和持續(xù)監(jiān)控的持續(xù)審計，也即持續(xù)控制監(jiān)控CCM，但該方面的研究及技術(shù)實施水平仍較低。當前實現(xiàn)CCM的主要技術(shù)手段為嵌入式審計模塊技術(shù)EAM（Embedded Audit Module），但嵌入式持續(xù)審計模塊真正的落地實施較為困難。嵌入式的審計技術(shù)要求在組織全部系統(tǒng)的全生命周期中都必須深度契合，從需求提出、到系統(tǒng)設(shè)計、到系統(tǒng)研發(fā)、測試、維護、變更等全流程都必須深入嵌入，增加了項目的工作量、復(fù)雜度，而且一般審計人員很難提出有效需求的同時也缺乏全棧的能力及精力。同時還存在模塊通用性差，實用性及靈活性差、變更困難、無法適應(yīng)敏捷需要、對審計人員要求過高、可能造成被審計系統(tǒng)的不穩(wěn)定、負擔(dān)過大、權(quán)限難以統(tǒng)一管控等問題。

持續(xù)審計面臨的另一個重要問題是及時的結(jié)果報告難以實現(xiàn)。傳統(tǒng)的審計模式一般分為確定目標、制定計劃、實施審計、分析評價、審計報告5個步驟，直到最后階段，利益相關(guān)方才能看到審計報告，因項目周期長、無法快速滿足利益相關(guān)者的要求等原因，已很難及時的與組織戰(zhàn)略、目標和風(fēng)險狀況保持一致。但是如何將多個環(huán)節(jié)，利用信息科技等手段，高效的鏈接起來并且自動化的生成結(jié)果報告，也一直是持續(xù)審計的難題。

傳統(tǒng)審計模式

RPA技術(shù)可有效解決當前持續(xù)審計方法面臨的問題，可解決持續(xù)審計研究面臨的持續(xù)控制監(jiān)控CCM難以落地實施的痛點，進而提高審計流程的規(guī)范性、提高審計業(yè)務(wù)處理的準確性、合規(guī)性和安全性，并及時的提供例外事項甚至審計報告。

（一）RPA可提供非侵入式的表層集成持續(xù)審計方案，可有效解決傳統(tǒng)嵌入式審計模塊痛點。

傳統(tǒng)的嵌入式持續(xù)審計模塊（系統(tǒng)），若出現(xiàn)審計需求變化，應(yīng)用系統(tǒng)架構(gòu)調(diào)整等情況。如，補充或調(diào)整信息收集的范圍等，則必須通過修改接口或底層程序代碼、數(shù)據(jù)庫的方式完成系統(tǒng)改造，甚至直接替換原有功能。但嵌入式審計模塊，尤其是被審計流程（系統(tǒng)）一般功能都較為復(fù)雜，中間經(jīng)歷了多次升級，已根深蒂固地深入到企業(yè)的各個層面，這種方式的改造就會帶來的巨大的實施風(fēng)險，不但程序間功能會相互影響，也會導(dǎo)致業(yè)務(wù)中斷這種高破壞性的運營風(fēng)險，而且時間越久、功能越復(fù)雜的系統(tǒng)，升級和改造的風(fēng)險就更大。

而RPA技術(shù)的非侵入式的實現(xiàn)方式更像審計人員實際的審計流程一樣，通過操作應(yīng)用系統(tǒng)的用戶界面來執(zhí)行各類控制測試，既不需要修改應(yīng)用系統(tǒng)的底層代碼，也不需要更改應(yīng)用系統(tǒng)的服務(wù)或接口，而是通過非侵入式的集成和補充，使得RPA實施過程影響最小，風(fēng)險最小。該方法可有效解決了傳統(tǒng)嵌入式審計生命周期短，擴展性差等問題。

（二）RPA的高敏捷性可有效適應(yīng)敏捷及持續(xù)審計的需要。

RPA項目研發(fā)工具或軟件一般都提供了可視化的自動化流程設(shè)計工具，并且實施周期也遠低于傳統(tǒng)的系統(tǒng)改造項目。RPA項目研發(fā)人員只需要少量代碼甚至不需要代碼就可以編制自動化腳本，業(yè)務(wù)人員在短期培訓(xùn)后也可以快速上手，而不必依賴于專業(yè)的IT開發(fā)人員，這是傳統(tǒng)審計方法、傳統(tǒng)信息科技手段很難做到的。面向具體審計業(yè)務(wù)也是如此，新的控制測試需求，使用RPA實現(xiàn)不要求審計人員具備軟件研發(fā)能力，在短期培訓(xùn)后業(yè)務(wù)人員利用可視化的自動化流程設(shè)計工具，一般就可以快速上手，針對組織內(nèi)的任何系統(tǒng)、數(shù)據(jù)、或業(yè)務(wù)流程研發(fā)RPA項目，進行控制測試，完成審計目標。

（三）RPA為實時審計結(jié)果報告提供了可能。

RPA可提供從審計目標到審計報告端到端的全流程解決方案，審計人員可根據(jù)審計目標將審計項目按照敏捷審計的架構(gòu)，將目標具體細化為內(nèi)部控制測試的案例，進而通過RPA工具，自動的對案例進行內(nèi)部控制測試，由于RPA的自動化、數(shù)字化特點，控制測試可7*24*365的不間斷執(zhí)行，單個控制點測試完成后，都可直接及時生成例外事項報告。也可將審計報告各要素、內(nèi)容進行規(guī)范化、格式化梳理后，利用RPA工具自動根據(jù)收集及測試的相關(guān)內(nèi)容生成審計結(jié)果報告。根據(jù)不同RPA產(chǎn)品的功能，甚至可以生成網(wǎng)頁、視頻、演示文檔等各類結(jié)果報告文件格式。

（四）RPA可有效提高審計質(zhì)量控制水平。

審計質(zhì)量控制方面。RPA可以自動化的執(zhí)行固定審計流程，可通過對各類異常事項的監(jiān)控實現(xiàn)對關(guān)鍵控制的測試，并且執(zhí)行及監(jiān)控的過程均可實現(xiàn)全程可追溯。盡管大多數(shù)組織已有非常嚴密的審計人員操作規(guī)范，但審計人員在具體的審計項目中，也經(jīng)常會出現(xiàn)步驟遺失或順序錯誤等類似問題，質(zhì)量控制人員很難用傳統(tǒng)方式進行監(jiān)督。而利用RPA技術(shù)完成控制點測試的任務(wù)后，RPA會嚴格按照既定設(shè)計步驟執(zhí)行，這些步驟會完全透明的展示在質(zhì)量控制人員面前。在一些復(fù)雜的審計任務(wù)中，員工手工復(fù)核通常容易出錯，而RPA通常不會具有該類問題。近年來，由于內(nèi)外部監(jiān)管合規(guī)要求不斷加強，對審計人員、審計流程的監(jiān)督要求也越來越高。RPA可記錄審計業(yè)務(wù)流程處理的每個步驟，可提供審計監(jiān)督完全透明的信息，為審計監(jiān)督提供了更好的工具和更多的可能性。

敏感信息保護方面。對于一些涉及敏感數(shù)據(jù)處理的業(yè)務(wù)流程，當前大多數(shù)仍需要審計人員手工處理，就有可能存在泄漏的風(fēng)險。若使用RPA工具，審計人員梳理好審計業(yè)務(wù)流程，并整理成RPA流程，并且在RPA處理的過程中，將敏感信息隱藏，這樣可以最大范圍的避免敏感信息的接觸，從而降低欺詐和各類違規(guī)發(fā)生的可能性。

用戶及網(wǎng)絡(luò)安全方面。審計人員在審計過程中，通常需要開通大量的網(wǎng)絡(luò)訪問控制、業(yè)務(wù)系統(tǒng)用戶及權(quán)限，以對系統(tǒng)及具體業(yè)務(wù)流程進行測試。但許多業(yè)務(wù)流程、業(yè)務(wù)系統(tǒng)負責(zé)人在此過程中也存在數(shù)據(jù)泄露、功能過度測試等風(fēng)險，利用RPA也可有效的解決該問題，RPA會按照既定的規(guī)則訪問固定的系統(tǒng)和功能，獲取固定的信息，不會點擊需求外的其他信息，進而最大可能的降低相關(guān)風(fēng)險。

基于機器人流程自動化技術(shù)實現(xiàn)持續(xù)控制監(jiān)控，將有效的解決傳統(tǒng)計算機輔助審計工具與技術(shù)、嵌入式審計模塊技術(shù)的固有難題，可解決實施持續(xù)審計的技術(shù)難題，有效節(jié)約持續(xù)審計實施成本。打通持續(xù)控制監(jiān)控桎梏后，將大幅提高持續(xù)審計效率，有效擴大覆蓋面，提高時效性。

作者：吳則建、王鵬虎、于威、陳小其

單位：中信銀行審計部

本文發(fā)表于《中國內(nèi)部審計》2021年11期，本次發(fā)布已經(jīng)作者本人同意。

主要參考文獻：

[1]Michael G. Alles,Femando Tostes, Miklos A. Vasarhelyi.Continuous Auditing: The USA Experienceand Considerations for its Implementation in Brazil. Journal of InformationSystems and Technology Management[J]. 2006.

[2]王言. RPA：流程自動化引領(lǐng)數(shù)字勞動力革命 [M].2020.

[3]葉煥倬, 楊青. 持續(xù)審計技術(shù)發(fā)展與現(xiàn)狀[J]. 審計研究, 2011(03):81-86.

[4] Michael G. Alles,AlexanderKogan,Miklos A. Vasarhelyi. Putting ContinuousAuditing Theory into Practice: Lessons from Two Pilot Implementations.JOURNAL OF INFORMATION SYSTEMS.2008.

[5] 楊經(jīng)偉. 下一代計算機審計技術(shù)的發(fā)展方向:持續(xù)審計[J]. 中國信息化, 2013, 000(012):116-117.

繼續(xù)閱讀：流程自動化   RPA

未經(jīng)允許不得轉(zhuǎn)載：RPA中國 | RPA全球生態(tài) | 數(shù)字化勞動力 | RPA新聞 | 推動中國RPA生態(tài)發(fā)展 | 流 > 基于機器人流程自動化技術(shù)的持續(xù)審計研究