不让bot有可乘之机——RPA控制环境内部审计的关键步骤

RPA（Robotic process automation）即机器人流程自动化，这类工具可以通过模拟人类在软件系统中的交互动作，自动执行基于规则、重复的业务流程。在许多行业领域，企业都在寻求数字劳动力来补充人类工作。从前台到财务、人力资源和运营，RPA 正在帮助管理层提高效率并降低成本。如果使用得当，这些工具甚至可以解决应用程序面临的许多问题。

然而，由于RPA缺乏人类的判断力和灵活性，看似简单的流程中往往也暗含风险。例如：在机器人配置文件或程序中直接写入可以登录企业应用程序的用户名和密码、机器人意外流出企业且可以在任意终端下运行、机器人运行时无法判别钓鱼邮件或网站、机器人终端运行而未退出应用系统登录从而造成会话劫持等。

因此，在RPA的风险和控制方面管理层需要一种新的思维方式，而企业在急切地接受这些新工具时往往会忽略对风险的考虑。其实，在RPA项目开始时进行一些简单的工作，企业就可以避免上述风险。本文将介绍建立RPA控制环境的几个关键步骤。当然，就风险和控制计划而言，没有“一刀切”的选择。尽管如此，如果没有适当的治理，数字劳动力的好处很快就会消失。从一开始就建立起有效的控制环境比以后拼凑政策和控制措施更有效和更具成本效益。

01

建立治理框架

记录良好的流程和控制措施直接影响组织应对采用RPA的财务和运营风险的能力。

管理层需制定并记录正式的政策和程序（例如，逻辑访问、变更管理、计算机操作、受 RPA 影响的 IT 依赖性清单等），其中包含对 RPA 技术使用的考虑。这些政策和程序由管理层定期审查，以确保它们符合企业战略、监管要求和控制预期。

优秀的RPA工具应建立在优秀的流程设计之上。管理层应在公司内部深化这一概念，确保各个业务部门在实施RPA前考虑现有的业务流程是否需要优化，从而避免在不适合自动化的流程上使用RPA工具。浪费开发资源的同时，企业往往对这些强行开发出来的RPA工具疏于管理，未对其中的风险进行识别和监控。

此外，管理层应设计评估问卷，从而确保用户需求部门或项目管理人员在RPA开发初期的设计阶段就会将风险管理以及信息安全纳入考量范围。评估问卷中建议包含以下7个问题：

1

该流程为何要引入RPA？

除了考虑该流程是否适合使用RPA技术进行优化外，还应将该流程的各个步骤进行拆分以识别关键的风险控制节点（例如：修改关键数据、复核、发送邮件等）。具有较高风险的节点应考虑在程序开发时增加人机交互单元，确保对关键操作进行复核。

2

RPA是否可以共享？

管理层应考虑制定规范的RPA工具共享的流程，在降低RPA开发成本的同时防止业务部门在未充分考虑业务峰值和第三方系统的承载能力的情况下使用RPA。

3

如何对RPA进行测试？

应设计合理的UAT测试用例和回归测试用例，确保充分考虑容错和阈值的情况，上线后能够正常运行。

4

谁会对RPA进行管理？

应为RPA设计类似于系统管理员的岗位，对其在生产环境的运行情况进行监控并对发现的问题进行修复。

5

RPA是否符合法律、制度和合同规定？

应对机器人的使用是否满足日新月异的合规要求要建立流程制度。企业法务部门应对相关法律和制度进行定期跟踪，对于其中可能牵涉到RPA的部分进行摘录并分享给RPA管理责任部门，确保合规。例如，RPA在第三方网站抓取数据时必须获得授权同意。

6

如何保证网络安全及数据隐私？

国家2017年生效的《网络安全法》以及最近出台的《个人信息保护法》对网络安全和数据隐私做出了明确的规定。管理层应组织各业务部门识别处理个人信息的工作流程，并制定规章制度对于RPA如何处理和保护个人信息作出规定。此外，RPA往往具备企业信息系统的登录权限，若在RPA开发过程中使用了供应商，应要求供应商签署保密协议等防止重要信息泄露。管理层也可以考虑禁止RPA程序储存用户信息和敏感商业信息、使用不明来源的宏以及登录公司机密信息系统以确保企业网络和数据安全。

7

是否制定了业务连续性计划？

应考虑制定相关计划，以确保当RPA出现问题无法继续使用时业务不会中断。由于RPA工具在一般情况下不会承担数据储存功能，因此对于这类工具来说流程的备份比数据备份更为重要。管理层应考虑为使用RPA工具的流程设计人工流程作为备份措施，以防止RPA不可使用时业务流程中断，为公司带来损失。

02

开发自动化编码和配置

随着公司选择其RPA平台，应保留有关自动化的业务和解决方案设计要求的详细信息，以避免在RPA开发过程中未保留适当文档可能会在内部控制系统中造成空白。

由于机器人程序具有“低码化”的特点，甚至某些RPA厂商提出了“人手一台机器人”的愿景。参与开发的人员越多，RPA开发越需要建立标准的开发规范，以确保开发人员遵循统一的开发要求，降低不规范代码的可能性，并确保在开发时就考虑了风险控制和信息安全保护措施。例如，在机器人登录目标系统的场景下，开发人员直接将登录用户名和密码写在代码中，直接暴露一些敏感信息。

同时，留存有关自动化的业务和解决方案设计要求的详细信息对RPA工具的知识转移具有正面意义。及时更新输入，RPA逻辑处理以及输出等信息，能够确保后来的开发人员在对RPA进行修复和更新时易于查找和更改，还可以避免其误删看起来没必要但其实用于执行风险控制的程序。

03

确定访问权限：

1）访问权限控制 – 权限管理

RPA访问权限与一般信息系统不同，需要考虑两方面的访问安全： 访问RPA控制中心的权限、机器人的访问目标应用程序的权限。

1. 对于使用RPA控制中心的情况 (例如Uipath Orchestrator)，需要评估最终用户访问 RPA 控制中心的权限。因此，需要建立正式流程来配置和更改最终用户对 RPA 控制中心工具的访问权限。 并且明确定义授权最终用户访问 RPA 控制中心工具的人员。 根据相关政策和程序，访问RPA控制中心需要经过恰当的审批，并且记录备案。
   

2. 对于数字工作者（即机器人）访问目标应用程序的权限，需要建立正式的流程来提供和更改对目标应用程序中数字劳动力（即机器人）的访问。 授予目标应用程序中数字工作者的访问权限是根据最小权限原则提供的（例如，访问权限仅限于数字工作者执行分配的自动化任务所需的功能）。企业应定期对应用程序中数字劳动力（即机器人）的访问进行检查，确保不再使用的数字工作者访问权限被及时删除。另外，不应为数字劳动力提供对目标应用程序的超级（例如，管理员）访问权限。

2）访问权限控制 – 密码管理

密码管理方面，除一般的密码复杂性设置，机器人使用的密码的访问和存储也应得到适当的限制或控制。

在一些自动化场景中，机器人需要登录目标系统，因此，需要建立正式的流程和规范，对数字劳动力（例如机器人）使用的密码的访问进行控制。 包括： 密码对机器人所有者以外的任何人都是不可见的，并受到适当的访问控制和加密机制的保护。 密码未嵌入或直接编码到源代码、脚本、宏、工具或功能键中。 只有通过使用预先批准的密码库应用程序才允许包含用于自动登录过程的密码。 例如，开发人员可以将密码录入在Windows凭证管理器中，机器人在运行程序时，调用Windows凭证管理器读取密码登录目标系统。

04

管理变化的环境：

内部或外部的变更例如：系统升级，服务提供商的变更，流程工作流的变更，报告要求的变更，企业都应该扩展现有的变更管理模型以解决僵尸系统的存在并跟踪内部或外部变更的影响。

RPA的一大特点就是它可以通过模仿用户在电脑的手动操作方式来实现流程自动化。在开发过程中，开发人员使用选择器抓取图形用户界面上的元素，根据常见的规律修改元素参数，从而实现对需要点击或输入位置的重复定位操作。这意味着一旦RPA所交互的系统、流程工作流、或报告格式等发生了变更，RPA工具往往可能面临较大程度的修改和升级。因此，企业应了解可能影响RPA的内外部变更，并设计相应流程对这些变更进行检测和跟踪，以确保合理地评估变更对RPA的影响。

此外，数字劳动力（机器人、脚本、作业调度程序）的变化需要执行测试以确保完整性、准确性和数据完整性。企业应制定测试计划以确保满足所有功能要求并得到 RPA 计划管理部门的批准，并安排受影响/需要的业务人员、以及 RPA 项目管理团队进行测试。RPA在迁移到生产环境之前，应适当地记录、监控和跟踪测试异常以解决问题，并且需要保留经企业主批准的测试证据以备将来参考。

05

检测并报告：

当机器人出现故障时，管理层应仔细评估故障的性质，源数据内的任何更改以及故障的严重程度。

在机器人流程开发过程中，开发人员需要设计足够的措施以捕获系统日志。

对于使用监控中心和无人值守机器人的情形，需要启用并配置系统日志以跟踪事件并捕获无人值守机器人的进度。日志需要实时更新，并且包括清晰的审计线索。此外，建立监控流程以确保作业成功及时地完成处理，并记录为解决异常而采取的纠正措施。发现事件并及时解决。

06

监控与升级：

主体对内部控制绩效的持续和/或单独评估的结果应告知管理层何时可能存在RPA风险和控制环境不足的情况。

企业的内部审计或风险控制部门应在定期的信息安全审计或审阅中增加RPA风险控制相关内容，对RPA风险控制相关的制度审阅、访问权限控制、程序变更、程序开发、事件监测、业务连续性计划等方面进行梳理，识别RPA风险控制中的关键流程，对风险控制措施的设计和执行情况进行评估，并定期对管理层进行汇报。

小结

对于准备或正在使用RPA的企业来说，关注RPA控制环境的建立意味着需要先退一步，管理层需要花更多的时间和精力为RPA流程增加内部控制检查点以制衡其中可能存在的风险。每个 RPA 计划延迟背后都有一组利益相关者问：“如果……会发生什么？如果机器人公开私人数据怎么办？如果他们做出我们无法兑现的财务承诺怎么办？如果它们影响强制报告怎么办？这里会出什么问题？”。同时，管理层也可以思考“什么是正确的？”。

长远来看，有效的控制程序会在后期加速RPA项目的进展并带来许多好处：它们可以在使应用程序变得更加具备灵活性和吸引力的同时，避免出现意外；它们使流程更加趋于一致，便于企业管理；它们使RPA的运用更加透明，帮助管理层与监管机构和利益相关者进行有效沟通；它们可以使RPA更加强大。从一开始就进行良好的治理，有助于绕过许多问题。这让企业和用户可以专注于享受数字劳动力的效率、速度、透明度以及许多其他好处。

作者：陈以昱 胡廷伟

来源：ISACA

编辑：孙哲

目前140000+人已关注我们，您还等什么？