RPA技术在提升业务合规操作方面的作用及相关风险探讨

近年来，金融科技（Fintech）的蓬勃发展掀起了行业内探索合规科技（Regtech）的热潮，金融作为一个强监管的行业，注定了基于业务需求的金融科技必须在合规与监管的“镣铐下跳舞”。那么，如何将自动化、智能化日益提升的复杂技术置于合理的监督管控之下？是否能够用技术手段让工作更加合规高效？让合规成本更加合理？这或许是未来券商合规管理要共同面对的问题。本文仅从RPA技术对结算工作的辅助作用出发，结合行业与技术的相关研究文献，重点阐释RPA技术在业务合规操作上的作用和相关风险，希望能够给各位同仁以些许参考。

01RPA技术的业务价值及提升业务合规性和安全性的作用
RPA（Robotic Process Automation，机器人流程自动化）是指以机器人作为虚拟劳动力（数字员工），通过人工设定固定程序，以自动化方式实现一系列以往需要大量人工完成工作的一种软件技术。这项技术的核心是利用程序模拟人的操作行为，并按照既定的操作流程，在风险可控的环境下代替人工去处理那些工作量大且步骤较为固定的重复性工作。诸如：海量数据录入、不同系统之间切换操作，大量的复制粘贴工作等等。RPA的业务价值分为直接和间接价值，直接业务价值有：降低运营成本、提升运营效率、提高业务处理的准确性、提升业务操作的合规性和安全性等。间接业务价值有：提升员工满意度、提升客户体验、充分发挥流程的价值、提升跨部门协作水平等。RPA技术目前已被广泛应用于国外银行业和保险业，用以替代大量的、固定的、重复的手工操作，起到了提高业务处理效率、降低处理错误率的作用。
RPA机器人是以一套经过设计的固定脚本去执行业务操作的，这使得其在合规性和安全性方面具备三大优势：
（一）操作合规可控。
PA是按照固化的流程对系统或数据执行操作的，一些必要的合规操作要求可以被统一应用到RPA机器人的自动化脚本中，这样一方面可以避免人工操作时由于疏漏或不当简化流程带来的合规风险，另一方面也便于管理者对操作流程进行合规性限制，例如RPA能够被设置仅支持某些特定操作，打开某些特定页面，或使用某些特定功能等，从而在源头上保障了业务流程的合规性和数据的安全性。
（二）保护敏感数据。
一些业务流程会涉及对敏感业务数据的操作，通过人工处理，就有数据被篡改或泄露的风险。引入RPA，由机器人对数据进行处理，再将这个操作过程对人隐藏，就可以最大限度地减少员工与敏感数据的接触，防范相关风险。
（三）操作记录透明。
RPA对系统或数据的任何操作皆会被记录，且这种记录的细粒度可做到极其细微，精确到机器人的每个操作细节，能够提供给管理者完整透明的可查信息，也能满足各类审计、监管的报告要求。在信息系统权限管理方面，通常证券公司根据信息隔离墙管理的相关要求，均会采取严格的管控措施，包括建立完善的信息系统权限管理制度和机制，对信息系统实行分类、分级管理，用户权限设置遵循需知、最小化原则，严控涉及敏感信息的重要信息系统权限的审批、设置、变动以及密码的使用、修改。
在人工业务流程中，员工直接对数据或系统进行操作，既有可能因为操作不当或操作不合规导致敏感信息泄露的风险，也让对员工的系统权限管理成为一个工作难点，而RPA技术就像是在员工和敏感数据之间建立了一道“隔离墙”，员工通过操作RPA平台“间接”完成对系统或数据的操作，这有利于将员工的系统权限合理分配，实现权限最小化，同时确保流程的每一步均在监控之下。

02RPA技术在结算领域的探索
在兼顾业务需求和合规管理要求，证券公司可利用RPA技术来替代结算业务中部分风险可控、重复频率高、流程相对固化的人工操作。例如，涉及恒生柜台系统、新意法人系统等多套系统的报表数据查询、导出等操作。这项RPA所取代的工作并不涉及清算流程中对数据更改的步骤，而是仅涉及“数据查询”功能，可以避免新技术上线的潜在风险。实践中，我们可为RPA机器人在各系统中分别创建了独立的账号，这些账号仅供RPA使用，且仅有查询数据、导出报表的系统权限，使得RPA机器人可以在一个风险基本可控的环境中运行。

03RPA技术可能对合规监管带来的挑战和风险
在享受RPA技术的便捷性和高效性的同时，我们也必须正视此项技术可能带来一些潜在风险。根据目前RPA技术相关理论书籍，结合证券结算工作的探索实践，我们总结了以下几个方面RPA上线后需要关注的问题：
（一）RPA机器人身份信息问题：RPA机器人在申请系统权限时无法提供身份信息，如入职证明、身份证等，这可能不符合某些监管规定中对账号实名认证的要求。在实际操作过程中，考虑此因素，仅赋予RPA系统查询功能而非操作功能。
（二）RPA机器人的操作风险：由于RPA是按固定程序执行而非智能化识别，因此，可能出现由于其操作的系统升级、系统环境异常等原因导致的执行失败、中断、错误等情况，这时就需要进行人工干预。
（三）RPA平台访问权限管理：RPA平台的访问权限必须被严格控制，防止有人恶意建造RPA机器人，或利用这种跨系统的平台进行不当操作。
（四）RPA软件供应商保密管理：RPA平台软件供应商必须严格遵照保密协议的要求，确保其不会非法利用RPA机器人执行过程中采集或存放的任何敏感数据。
（五）责任归属问题：RPA取代人工操作后，一旦自动化流程出现错误或失效并造成了一定后果，那么应当如何准确判定责任归属。
（六）网络安全问题：RPA平台本身是一套IT系统，也面临网络攻击、系统入侵等风险。

04意见与建议
针对以上的风险和问题，笔者对RPA技术在具体运用时提出几点建议，仅供各位同仁参考：
（一）在RPA技术应用初期，建议先用其来取代“不涉及关键流程或操作的固化步骤”，做到风险可控。
（二）RPA机器人的开发建议由业务具体操作人员与信息技术人员共同参与，且最好由业务人员作为主导，因为RPA是根据员工的日常操作行为进行设计的。另外，RPA的开发和维护是一个持续改进的过程，对于RPA执行问题的侦测、发现、分析、跟踪、解决等也需要业务人员的积极参与。
（三）对RPA平台的安全性要求和权限管理严格程度应当等同、甚至高于其操作的其他系统，确保每次对RPA平台的访问都经过身份验证，并且在数据传输和静止时均有加密和保护措施。
（四）对公司现有系统所涉及的软件供应商保密条款、系统信息安全防范措施，也应当适用于RPA平台。
（五）建议为RPA机器人创建单独的系统操作员账号（不与其他员工混用系统账号），并设置好相应权限，以便于后续责任划分。
（六）为了消除因员工长期使用RPA而淡忘原有人工操作所带来的隐患，建议以书面形式保存原有人工操作流程，并完善专项应急预案，加强定期应急演练，积极应对紧急情况的发生。

05结语
RPA技术产生的初衷是为了将人们从机械、重复的程式化劳动中解脱出来，使其能专注于业务方案设计、流程优化、数据分析等更有价值的工作。但同时，RPA更是一种能够极大体现“流程价值”的技术，通过机器人不折不扣地执行每一个步骤，RPA执行的业务流程必然能做到比人工执行更加规范，透明度更高，从而充分发挥业务流程、规范、制度的作用，也便于监督和管理。
如今，在疫情对国内社会产生了持续影响的大背景下，越来越多的企业将业务从线下搬到线上，员工的工作也更有赖于数字化技术的进步，而这恰好为RPA技术提供了不断发展壮大的土壤。对于RPA技术在业务流程、合规监管领域的应用，其实还有很多值得我们发掘和学习的地方，希望未来有幸能与各位同仁一起去探索和发挥它的更大价值。
图文来源于网络，版权属于原作者，如有侵权联系删除！