RPA（Robotic Process Automation）即機器人流程自動化，這類工具可以通過模擬人類在軟件系統中的交互動作，自動執行基于規則、重復的業務流程。在許多行業領域，企業都在尋求數字勞動力來補充人類工作。從前臺到財務、人力資源和運營，RPA 正在幫助管理層提高效率并降低成本。如果使用得當，這些工具甚至可以解決應用程序面臨的許多問題。

然而，由于RPA缺乏人類的判斷力和靈活性，看似簡單的流程中往往也暗含風險。例如：在機器人配置文件或程序中直接寫入可以登錄企業應用程序的用戶名和密碼、機器人意外流出企業且可以在任意終端下運行、機器人運行時無法判別釣魚郵件或網站、機器人終端運行而未退出應用系統登錄從而造成會話劫持等。

因此，在RPA的風險和控制方面管理層需要一種新的思維方式，而企業在急切地接受這些新工具時往往會忽略對風險的考慮。其實，在RPA項目開始時進行一些簡單的工作，企業就可以避免上述風險。

本文將介紹建立RPA控制環境的幾個關鍵步驟。當然，就風險和控制計劃而言，沒有“一刀切”的選擇。盡管如此，如果沒有適當的治理，數字勞動力的好處很快就會消失。從一開始就建立起有效的控制環境比以后拼湊政策和控制措施更有效和更具成本效益。

01

建立治理框架

記錄良好的流程和控制措施直接影響組織應對采用RPA的財務和運營風險的能力。

管理層需制定并記錄正式的政策和程序（例如，邏輯訪問、變更管理、計算機操作、受 RPA 影響的 IT 依賴性清單等），其中包含對 RPA 技術使用的考慮。這些政策和程序由管理層定期審查，以確保它們符合企業戰略、監管要求和控制預期。

優秀的RPA工具應建立在優秀的流程設計之上。管理層應在公司內部深化這一概念，確保各個業務部門在實施RPA前考慮現有的業務流程是否需要優化，從而避免在不適合自動化的流程上使用RPA工具。浪費開發資源的同時，企業往往對這些強行開發出來的RPA工具疏于管理，未對其中的風險進行識別和監控。

此外，管理層應設計評估問卷，從而確保用戶需求部門或項目管理人員在RPA開發初期的設計階段就會將風險管理以及信息安全納入考量范圍。評估問卷中建議包含以下7個問題：

1、該流程為何要引入RPA？

除了考慮該流程是否適合使用RPA技術進行優化外，還應將該流程的各個步驟進行拆分以識別關鍵的風險控制節點（例如：修改關鍵數據、復核、發送郵件等）。具有較高風險的節點應考慮在程序開發時增加人機交互單元，確保對關鍵操作進行復核。

2、RPA是否可以共享？

管理層應考慮制定規范的RPA工具共享的流程，在降低RPA開發成本的同時防止業務部門在未充分考慮業務峰值和第三方系統的承載能力的情況下使用RPA。

3、如何對RPA進行測試？

應設計合理的UAT測試用例和回歸測試用例，確保充分考慮容錯和閾值的情況，上線后能夠正常運行。

4、誰會對RPA進行管理？

應為RPA設計類似于系統管理員的崗位，對其在生產環境的運行情況進行監控并對發現的問題進行修復。

5、RPA是否符合法律、制度和合同規定？

應對機器人的使用是否滿足日新月異的合規要求要建立流程制度。企業法務部門應對相關法律和制度進行定期跟蹤，對于其中可能牽涉到RPA的部分進行摘錄并分享給RPA管理責任部門，確保合規。例如，RPA在第三方網站抓取數據時必須獲得授權同意。

6、如何保證網絡安全及數據隱私？

國家2017年生效的《網絡安全法》以及最近出臺的《個人信息保護法》對網絡安全和數據隱私做出了明確的規定。管理層應組織各業務部門識別處理個人信息的工作流程，并制定規章制度對于RPA如何處理和保護個人信息作出規定。此外，RPA往往具備企業信息系統的登錄權限，若在RPA開發過程中使用了供應商，應要求供應商簽署保密協議等防止重要信息泄露。管理層也可以考慮禁止RPA程序儲存用戶信息和敏感商業信息、使用不明來源的宏以及登錄公司機密信息系統以確保企業網絡和數據安全。

7、是否制定了業務連續性計劃？

應考慮制定相關計劃，以確保當RPA出現問題無法繼續使用時業務不會中斷。由于RPA工具在一般情況下不會承擔數據儲存功能，因此對于這類工具來說流程的備份比數據備份更為重要。管理層應考慮為使用RPA工具的流程設計人工流程作為備份措施，以防止RPA不可使用時業務流程中斷，為公司帶來損失。

02

開發自動化編碼和配置

隨著公司選擇其RPA平臺，應保留有關自動化的業務和解決方案設計要求的詳細信息，以避免在RPA開發過程中未保留適當文檔可能會在內部控制系統中造成空白。

由于機器人程序具有“低碼化”的特點，甚至某些RPA廠商提出了“人手一臺機器人”的愿景。參與開發的人員越多，RPA開發越需要建立標準的開發規范，以確保開發人員遵循統一的開發要求，降低不規范代碼的可能性，并確保在開發時就考慮了風險控制和信息安全保護措施。例如，在機器人登錄目標系統的場景下，開發人員直接將登錄用戶名和密碼寫在代碼中，直接暴露一些敏感信息。

同時，留存有關自動化的業務和解決方案設計要求的詳細信息對RPA工具的知識轉移具有正面意義。及時更新輸入，RPA邏輯處理以及輸出等信息，能夠確保后來的開發人員在對RPA進行修復和更新時易于查找和更改，還可以避免其誤刪看起來沒必要但其實用于執行風險控制的程序。

03

確定訪問權限

1、訪問權限控制 – 權限管理

RPA訪問權限與一般信息系統不同，需要考慮兩方面的訪問安全：訪問RPA控制中心的權限、機器人的訪問目標應用程序的權限。

（1）對于使用RPA控制中心的情況 (例如UiPath Orchestrator)，需要評估最終用戶訪問 RPA 控制中心的權限。因此，需要建立正式流程來配置和更改最終用戶對 RPA 控制中心工具的訪問權限。并且明確定義授權最終用戶訪問 RPA 控制中心工具的人員。根據相關政策和程序，訪問RPA控制中心需要經過恰當的審批，并且記錄備案。

（2）對于數字工作者（即機器人）訪問目標應用程序的權限，需要建立正式的流程來提供和更改對目標應用程序中數字勞動力（即機器人）的訪問。授予目標應用程序中數字工作者的訪問權限是根據最小權限原則提供的（例如，訪問權限僅限于數字工作者執行分配的自動化任務所需的功能）。企業應定期對應用程序中數字勞動力（即機器人）的訪問進行檢查，確保不再使用的數字工作者訪問權限被及時刪除。另外，不應為數字勞動力提供對目標應用程序的超級（例如，管理員）訪問權限。

2、訪問權限控制 – 密碼管理

密碼管理方面，除一般的密碼復雜性設置，機器人使用的密碼的訪問和存儲也應得到適當的限制或控制。

在一些自動化場景中，機器人需要登錄目標系統，因此，需要建立正式的流程和規范，對數字勞動力（例如機器人）使用的密碼的訪問進行控制。包括：密碼對機器人所有者以外的任何人都是不可見的，并受到適當的訪問控制和加密機制的保護。密碼未嵌入或直接編碼到源代碼、腳本、宏、工具或功能鍵中。只有通過使用預先批準的密碼庫應用程序才允許包含用于自動登錄過程的密碼。例如，開發人員可以將密碼錄入在Windows憑證管理器中，機器人在運行程序時，調用Windows憑證管理器讀取密碼登錄目標系統。

04

管理變化的環境

內部或外部的變更例如：系統升級，服務提供商的變更，流程工作流的變更，報告要求的變更，企業都應該擴展現有的變更管理模型以解決僵尸系統的存在并跟蹤內部或外部變更的影響。

RPA的一大特點就是它可以通過模仿用戶在電腦的手動操作方式來實現流程自動化。在開發過程中，開發人員使用選擇器抓取圖形用戶界面上的元素，根據常見的規律修改元素參數，從而實現對需要點擊或輸入位置的重復定位操作。這意味著一旦RPA所交互的系統、流程工作流、或報告格式等發生了變更，RPA工具往往可能面臨較大程度的修改和升級。因此，企業應了解可能影響RPA的內外部變更，并設計相應流程對這些變更進行檢測和跟蹤，以確保合理地評估變更對RPA的影響。

此外，數字勞動力（機器人、腳本、作業調度程序）的變化需要執行測試以確保完整性、準確性和數據完整性。企業應制定測試計劃以確保滿足所有功能要求并得到 RPA 計劃管理部門的批準，并安排受影響/需要的業務人員、以及 RPA 項目管理團隊進行測試。RPA在遷移到生產環境之前，應適當地記錄、監控和跟蹤測試異常以解決問題，并且需要保留經企業主批準的測試證據以備將來參考。

05

檢測并報告

當機器人出現故障時，管理層應仔細評估故障的性質，源數據內的任何更改以及故障的嚴重程度。

在機器人流程開發過程中，開發人員需要設計足夠的措施以捕獲系統日志。

對于使用監控中心和無人值守機器人的情形，需要啟用并配置系統日志以跟蹤事件并捕獲無人值守機器人的進度。日志需要實時更新，并且包括清晰的審計線索。此外，建立監控流程以確保作業成功及時地完成處理，并記錄為解決異常而采取的糾正措施。發現事件并及時解決。

06

監控與升級

主體對內部控制績效的持續和/或單獨評估的結果應告知管理層何時可能存在RPA風險和控制環境不足的情況。

企業的內部審計或風險控制部門應在定期的信息安全審計或審閱中增加RPA風險控制相關內容，對RPA風險控制相關的制度審閱、訪問權限控制、程序變更、程序開發、事件監測、業務連續性計劃等方面進行梳理，識別RPA風險控制中的關鍵流程，對風險控制措施的設計和執行情況進行評估，并定期對管理層進行匯報。

小結

對于準備或正在使用RPA的企業來說，關注RPA控制環境的建立意味著需要先退一步，管理層需要花更多的時間和精力為RPA流程增加內部控制檢查點以制衡其中可能存在的風險。每個 RPA 計劃延遲背后都有一組利益相關者問：“如果……會發生什么？如果機器人公開私人數據怎么辦？如果他們做出我們無法兌現的財務承諾怎么辦？如果它們影響強制報告怎么辦？這里會出什么問題？”。同時，管理層也可以思考“什么是正確的？”。

長遠來看，有效的控制程序會在后期加速RPA項目的進展并帶來許多好處：它們可以在使應用程序變得更加具備靈活性和吸引力的同時，避免出現意外；它們使流程更加趨于一致，便于企業管理；它們使RPA的運用更加透明，幫助管理層與監管機構和利益相關者進行有效溝通；它們可以使RPA更加強大。從一開始就進行良好的治理，有助于繞過許多問題。這讓企業和用戶可以專注于享受數字勞動力的效率、速度、透明度以及許多其他好處。

作者介紹

陳以昱，CISA，UiPath RPA Developer，在普華永道風險與控制服務部門擔任顧問職務，在信息安全審計、數據及隱私安全、內部控制等方面積累了一定經驗。服務的客戶包含互聯網公司、車企及金融行業。通過UiPath RPA Developer認證，并參與普華永道稅務部門多個RPA工具的項目管理和開發。