信息系统内部审计是企业主动应对RPA信息技术风险的手段之一。RPA信息系统内部审计一般也是企业整体信息系统内部审计的一部分。内部审计可以对RPA的业务活动、内部控制和风险管理的适当性和有效性进行审查和评价,并在此基础上提出相关的改进建议。RPA会给企业带来组织层面、一般控制层面和业务流程层面的信息技术风险,信息系统内部审计也需要从这三个层面展开。
(一)组织层面。
1.RPA相关规划和计划。内审人员可以采用查阅文件法对企业的IT战略进行梳理,重点关注流程标准化、处理自动化和利用信息技术提高工作效率等相关内容。通过对RPA相关规划和计划的查阅,分析其完整性、有效性和适用性。根据企业相关规划中实施RPA的目标,通过调查问卷法以及对管理人员、业务人员和信息技术人员的面谈询问和实地查看,对RPA目前的实施效果进行评价。
2.RPA相关制度和组织。内审人员需要检查RPA的相关制度是否完整,特别需要关注RPA的适用条件、流程规范、操作要求、异常情况处理等内容。另外,还需要明确RPA的主管部门;管理权限如何在业务部门和信息部门之间进行分配;业务部门和财务部门就RPA产生的分歧如何协调和解决;RPA相关业务流程的变更是否由业务部门发起,再由信息部门实施,最后再由业务部门进行确认。通过查阅流程图,检查是否存在未纳入相关制度规范但由RPA实施的业务和财务流程。
3.RPA实施过程中的信息沟通和协调。内审人员可以采用调查问卷和面谈询问等方法向操作RPA的业务人员、进行RPA维护的信息技术人员、原有工作职责被RPA替代的人员了解情况,主要包括RPA给其带来的影响及其对RPA的态度。评价RPA在实施过程中相关人员对RPA的实施初衷和相关制度的了解程度。其中,需要重点关注人机协同中的信息沟通和协调问题,例如财务人员如果发现其收到的、经过RPA处理的文件中存在异常的业务数据,该如何进行后续的沟通和协调。
