全球成本竞争力和网络风险等宏观趋势正在推动组织的创新。 许多组织正在实施的创新之一是机器人过程自动化(RPA),即在现有系统中重复人类活动的自动化。RPA使用编码脚本或“机器人”,它们可以跨多个应用程序执行重复的,非增值的手动任务。自动化这些过程可以在很短的时间内产生更高的处理速率。企业的各个层面都可以从机器人处理交易、数据或请求中受益。除了对业务的好处之外,RPA等新兴技术也会影响内部审计及其价值主张。虽然机器人的使用促进了内部控制的合规性和可审计性环境的形成,但也可能会出现额外的审查和考虑因素。管理层将要求内部审计审查这些自动化流程。
什么是机器人?
RPA机器人执行由各种步骤组成的任务。他们可以验证系统数据,通过逻辑检查确定结论,生成文档和信息请求,并将接收到的数据输入系统。业务范例包括跟进供应商的发票交付日期,执行定价分析以及处理请假请求。
对于发票交付,机器人首先执行具有未知交货日期的发票和相关供应商联系信息的验证报告。然后,机器人填充电子邮件模板,请求供应商提供其他信息,并根据需要执行后续操作。供应商通过标准化表格进行回应,允许机器人提取信息并将其上传到采购系统。如果以不正确的格式接收到机器人无法读取的信息,则升级协议会标记这些实例以供人工审查。此外,根据常规建立的发票交付日期后续流程,机器人在提供的用户名和密码的情况下在采购系统和电子邮件系统内工作。机器人可以在一天内完成数以千计的这些电子邮件,否则将需要一组员工超过一周。
通过执行这些类型的重复耗时任务,RPA可以提高执行力、速度、生产率和员工满意度。员工精力的增加可以使员工专注于更高价值的任务,进一步提高效率并降低成本。此外,RPA可以最小化人类操作员造成的常见错误。
使用RPA的流程改进可以迅速超越其他业务战略(如外包)的收益。但是,与一些外包安排不同,RPA允许组织保持对业务流程、质量一致性和知识产权安全性的控制。
此外,组织可以快速开始使用RPA。机器人可以接受新工作的培训(编码,测试和部署),然后在12周内交给业务部门进行监控和管理。部署完成后,可以安排机器人连续处理大量普通任务。其他机器人可能只需要定期运行以处理可用的工作负载。由于机器人在现有流程中工作,因此无需更改当前系统或接口,从而降低了进入成本。此活动包括以用户身份登录系统以完成任务,为其活动提供审计跟踪。
一个新的使命
为了完成帮助组织增加价值和改善运营的使命,内部审计需要审查其价值主张的三个核心要素:保证,洞察力和客观性。随着创新逐渐改变业务格局,内部审计必须适应和调整其价值主张,以帮助企业用新的方式实现其战略、财务和合规目标。
在采用RPA的组织中,内部审计可以确保编程到自动化流程中的控制措施能够降低风险。利用技术,特别是在重复性任务中,可以降低管理费用,而减少应用于产品和服务的开销将会对总体支出产生积极影响。
但是,利用新兴技术也会带来风险。新技术的安全性不如已有技术强大,更容易出现漏洞,黑客攻击和恶意软件。网络犯罪的经济影响(PDF)是战略与国际研究中心2月份的一项研究,该项研究估计全球网络犯罪成本可高达6000亿美元。最近突发的个人信息和网络攻击事件已经对相关公司的品牌产生了负面影响,可能严重限制了他们维护客户或赢得新业务的能力。
从家庭小商店到财富100强企业,网络安全都至关重要,但对网络安全技能的需求却超过了供应。具有强大IT控制能力的内部审计师在确保技术控制环境以及有效保护组织的专有信息方面将发挥重大作用。
审查RPA
自动化机会的识别不间断发生,所以内部审计从一开始就要参与进来,将其作为常规审计过程的一部分来完成。在审核期间,内部审计师应与利益相关方合作,检查和绘制当前流程并讨论潜在的低效问题。
在审计流程之外,内部审计和其他内部组织(如数据科学家,流程改进专家,IT和业务流程所有者)可以协作探索简化流程的解决方案。这些团队应该不断评估现有的流程和程序,以打破“如果没有破坏,就不调整它”的心态。
RPA与其他IT应用程序/工具之间的关键区别在于缩短了开发周期。虽然许多方面保持不变 ,例如单独的测试/生产环境,质量保证测试和变更管理 , 但短暂的开发周期和机器人自身的使用可能会产生额外的问题和控制差异。评估应确保在开发期间遵循一般IT控制和流程,例如企业密码要求,备份和回归测试。国际公司也应考虑外国法规和出口/进口问题。
参与RPA实施的团队可以利用现有的控制测试和监控活动,但他们可能需要考虑新的方面。例如,2002年美国萨班斯 - 奥克斯利法案IT测试审查了诸如适当访问金融系统和通用用户名等项目。当涉及到机器人时,此测试还应包括机器人用户配置文件审查和测试机器人自己的访问权限。
在进行RPA审核时,内部审核员应提出一些新的考虑因素,例如:
谁管理机器人的密码更新以确保遵循公司密码要求?
是否有计划来解决机器人未能适当升级可能影响财务报表,系统或流程的异常事件的情况?
机器人是否考虑了软件许可证审核,它们是否在最新版本的软件上运行?
RPA的故障恢复和业务连续性计划是什么?
自动审计
内部审计在机器人过程自动化中的作用不仅限于帮助利益相关者和其解决方案中的其他功能简化流程。成为公司RPA团队的一员也意味着审查内部审计部门的流程,接受变革,并鼓励创新同时讨论以利用新兴技术。
内部审计部门也可以从机器人中受益。可以通过RPA自动执行的任务包括操纵数字/电子数据,标准化输入和格式,以及产生少量例外的基于规则的流程。许多这些类型的任务都存在于内部审计过程中。
年度审核计划最终确定后,机器人可以使用适当的清单和模板来设置和填充每个审计程序,以消除手动设置的需要。在审计期间,机器人可以处理各种任务,例如自动创建工作附件,填写标准化模板和标题,简化交叉引用以及创建报告。
机器人可以按照指出的趋势进行数据分析,并为管理评审做好准备。审计完成后,机器人还可以将审计报告发送给利益相关方,合并管理层的反馈,并按照截止日期的方式进行跟进。
挑战组织的现状
虽然提供给组织的核心价值要素保持不变,但内部审计也必须充当积极的思想领导者。 审计职能必须不断挑战组织,并传达自动化,提高效率和简化流程的重要性。通过与技术和实施团队合作,内部审计可以成为实施RPA的一个组成部分,并为系统控制提供保证。 此外,审计师必须不断自我学习,准备好应对下一个组织可能面临的障碍。
