區塊鏈改進聯網審計途徑研究

黃冠華

區塊鏈改進聯網審計途徑研究

黃冠華

本文利用文獻研究法，總結了現階段我國聯網審計工作實踐的特點以及缺陷，分析了將區塊鏈技術應用于聯網審計的可行性，同時對區塊鏈改進聯網審計系統、應用、操作層面的風險進行了分析，并提出了相應的應對策略。本文得出的結論有：第一，現階段我國聯網審計要達到實時監督的目標，需要在審計數據記錄與存儲兩方面應用區塊鏈技術；第二，由于區塊鏈技術尚不成熟，改進后的聯網審計工作需要結合被審計單位實際情況選擇審計程序，防范風險。

區塊鏈 聯網審計 實時監督 遠程審計

一、引言

審計作為一種獨立性的經濟監督活動，其目的是提高財務報表預期使用者對財務報表的信賴程度。在中共十八大“四化同步”（新型工業化、信息化、城鎮化、農業現代化）戰略指導下，我國企事業單位經濟活動逐步發展，不論是傳統工業制造產業還是新興金融服務行業，經濟活動的運行越來越依賴信息技術，直接表現為記錄經濟活動的數據信息呈現出指數級別增長的態勢。信息化背景下的數據信息和信息技術不僅僅是審計工作的對象，同時，審計工作借助信息化的發展同樣能夠創新審計方法、提高審計效率。

自2002年金審工程啟動以來，審計信息化系統建設已經取得了巨大成效，大數據、云計算、數據挖掘等不斷涌現的新型技術和工具也促進審計工作逐步向信息化發展，此外，《關于實行審計全覆蓋的實施意見》（中辦發[2015]58號，下稱《意見》）在提倡創新審計方法時明確指出“探索建立審計實時監督系統，實施聯網審計”。為了探索適合我國國情的聯網審計實施方案，新型技術和工具在聯網審計中必不可少，而區塊鏈技術的出現正是審計工作進一步信息化發展的機遇，因此，本文結合區塊鏈技術的研究與應用現狀，研究區塊鏈技術改進聯網審計的途徑具有十分重要的意義。

二、現階段聯網審計的特點與缺陷

王剛（2005）、陳偉等（2008）認為，聯網審計是指審計主體利用網絡互聯技術和審計數據采集模塊接入被審計單位的財政財務信息管理系統，在對被審計單位相關信息系統進行測評和高效率的數據采集與分析的基礎上，對被審計單位財政財務收支的真實公允、合法合規、經濟效益進行實時、遠程檢查監督的行為。我國的聯網審計是審計數據采集模塊與被審計單位信息系統和數據存儲系統相分離的非現場審計模式。

我國聯網審計的工作原理如圖1所示，在大數據的時代背景下，林忠華（2016）認為聯網審計工作流程與傳統審計主要有四點不同，分別為組建聯網、數據采集與清洗、實施聯網審計程序、審計預警機制，其中審計預警機制則是聯網審計的必備功能和特有優勢所在。

1.組建聯網，聯網審計必須要利用網絡技術用以發送數據采集請求，同時獲取被審計單位的相關信息和數據。自我國實踐聯網審計工作開始，通常使用的組建聯網技術有三種：一是審計人員入駐被審計單位，利用被審計單位現有局域網資源通過交換機與被審計單位數據倉庫組成聯網審計網絡，該法缺點是并未完全實現非現場審計；二是利用PSTN、ISDN、ADSL等電話撥號實現遠程審計的解決方案，其網絡費用低廉，數據傳輸速率慢，最新的ADSL2+技術也僅僅達到24Mbps的下行傳輸速度，因此不適合大數據背景下聯網審計的要求；三是采用網絡服務商提供的SDH光纖通訊，數據傳輸帶寬較高，穩定性優越，是現階段我國聯網審計最常用的組建聯網技術。

2.數據采集與清洗。在采集被審計單位數據這一工作內容上，我國聯網審計主要采用分離式采集模塊，即并非嵌入被審計單位信息管理系統之中，而是在被審計系統外部架設的服務器接收到審計數據采集請求之后備份到本地，再通過網絡傳送給審計主體。我國聯網審計實踐采用分離式數據采集的初衷，一方面是由于嵌入式審計模塊不具有通用性，無法兼容日益更新的企事業財政信息管理系統；另一方面是嵌入式審計模塊在被審計單位系統內部運行，由于資源占用問題會降低被審計系統運行性能和處理效率。數據清洗是將采集的原始審計數據經過抽取、轉換和加載（Extract-Transform-Load, ETL）三個步驟轉化為有效的審計信息，再經過后續的審計程序才能夠發現審計線索，否則面對容量巨大、類型繁多的大數據，聯網審計的工作效率將會非常低下。

3.實施聯網審計程序。與傳統審計程序定義類似，聯網審計程序實質是用以獲取充分、適當的審計證據以發表恰當的審計意見的程序，具體程序包括數據分析、建立中間表和形成審計疑點。聯網審計人員利用審計分析模型通過大數據挖掘、多維分析和SQL查詢等技術對經清洗數據的勾稽關系和業務邏輯進行判斷，數據分析是實現手段、中間表是審計依據、審計疑點是階段成果。

4.審計預警機制，審計預警機制是審計人員利用網絡互聯環境下聯網審計技術自動發現問題的一種技術實現機制。具體來說，這種機制是指聯網審計人員借助數據采集模塊中的事件觸發器，利用設置好審計預警指標對采集到的數據進行自動轉換、分析，并通過EMAIL等方式遠程提醒聯網審計人員。審計人員根據預警機制所發現的問題與管理層進行溝通后取得相關回復，以此達到聯網審計實時監督的目的。

圖1 我國聯網審計工作原理圖

圖2 聯網審計框架圖

基于以上分析，本文認為我國正在實施的聯網審計框架是審計主體基于聯網采集而來的審計數據實施審計程序，利用新型審計方法獲取審計證據以出具審計結論的實時監督過程，聯網審計框架如圖2所示。根據對聯網審計工作原理和流程的分析，本文認為大數據背景下我國的聯網審計主要有以下缺陷：首先，數據容量超高的原始數據經模塊采集后集中存儲于審計主體服務器，對審計單位數據存儲系統的容量是巨大考驗；其次，大數據價值密度低的屬性要求聯網審計人員具備數據清洗技術支持才能有效發現審計線索，對人員素質要求較高；再次，不論是嵌入式還是分離式的審計數據采集模塊為了達到聯網審計預警機制和實時審計效果，都不能脫離被審計單位服務器的場景環境；最后，現階段的聯網審計數據傳輸環節過多影響數據真實性和完整性，傳輸鏈條過長導致數據時效性有限，僅達到了亞實時監督（林忠華，2016），未能達到真正的實時監督。

圖3 區塊鏈工作原理圖

三、區塊鏈的原理、特點與審計業務

區塊鏈起源于虛擬貨幣比特幣，是類似賬簿記錄與存儲比特幣流通信息的底層技術；區塊鏈技術的設計初衷是為了驗證交易的真偽，防止比特幣賬簿造假，這與審計的鑒證職能是一致的。區塊鏈本質是一種處理增量數據記錄與存儲的“分布式賬簿”技術，通過去中心化（Decentralized）、去信任中介（Trustless）的方式利用計算機網絡中的所有節點集體維護信息的安全性和可靠性。該技術方案主要是將數據區塊（Block）通過密碼學方法相互關聯，每個數據區塊記錄一定時間內的所有系統交易信息的副本，通過數字簽名驗證信息的有效性，并鏈接到下一個數據區塊形成一條主鏈（Chain）。從財務信息角度來說，區塊鏈技術可以理解為一種網絡賬簿記錄系統，每個區塊雖然分布在不同的網絡地址上，但是都保存參與者所有歷史交易記錄的完整賬簿副本，而不是保存在某一獨立的中心服務器上；同時，區塊鏈通過加密技術以及數據并未保存在中心服務器上，分別切斷了刪除、撤銷和修改數據的邏輯渠道和物理渠道，因此具備極高的信息安全性和可靠性，區塊鏈技術原理如圖3所示。

正如上文所論述的區塊鏈技術設計初衷與審計鑒證功能相一致，將該技術與審計業務相融合有其理論基礎。因此，區塊鏈作為當下信息技術的“風口”，其保障數據完整性、透明性、不可撤銷性等特征將促進審計工作信息化的進一步發展。

第一，區塊鏈保障數據完整性，能夠降低審計檢查風險。區塊鏈的分布式設計和使用的加密技術使其能夠有效抵御故障與攻擊，這是因為一個區塊鏈由包含交易者和交易確認者在內的交易參與者所共享，交易數據分布保存于各個區塊上，若某一區塊遭受故障和攻擊，鏈上其他參加者仍能照常運行且保存了記錄完整數據的賬簿副本，因此保障了審計數據的完整性，減少了被審計單位存在錯報而審計人員沒有發現的可能性。

圖4 區塊鏈改進審計預警機制流程圖

第二，區塊鏈具有透明性，在時間維度和空間維度都拓寬了審計范圍。透明性指的是由于數據的錄入和更新都會被同步至整個區塊鏈上，區塊鏈網絡上的任何擁有對應的密鑰節點都可以查詢整個區塊鏈上的數據記錄。在時間維度上，“時間郵戳”（Time Stamp）是區塊鏈的一大創新，指所有參與記賬的個體可以在每一個區塊上蓋上一個時間戳，以說明信息是何時寫入的，使賬本第一頁都呈現出時間順序，以此構建一個可根據時序追根溯源的大賬本，在財務審計中，對于可疑財務數據，審計人員可借助區塊鏈時間郵戳追根溯源、一筆筆驗證，精準分析數據是否被篡改；在空間維度上，由于全部交易數據副本會保留在網絡中的每個區塊上，消除了信息不對稱造成的風險，因此獲得授權密鑰的審計人員可以不受空間限制地訪問審計數據，極大地提升了審計監督范疇。

第三，區塊鏈保證數據不可撤銷，提高了數據采集的效率。區塊鏈中數據不可撤銷性指的是，一旦對數據有更新操作，那么新區塊將自動實時拷貝至鏈上全部區塊的技術流程不可逆，與此同時，區塊鏈系統會自動對當前所有賬簿進行比較，賬簿數據一致且重復區塊數量最多會自動識別為真實賬簿，其余則是虛假賬簿。對于審計人員而言，只需在區塊鏈中任意訪問某一區塊即可獲取實時更新的真實審計數據，極大簡化了數據篩選與處理的流程，提高了數據采集的效率。

總體而言，區塊鏈技術應用于審計行業是未來審計工作信息化的趨勢所在。區塊鏈技術中對審計信息化最重要的貢獻在于分布式賬簿中的每個參與者均可獲得唯一、真實的賬簿副本，使審計地點不再受限；審計人員通過一套公私密鑰和數字簽名等安全機制獲得賬簿的訪問權，使被審計單位的隱私和機密得到有效保護；賬簿的任何改動會實時備份于所有副本中，某一參與者單方發起的任何修改都需要征得全鏈多數參與者（現階段區塊鏈設置的閾值為51%）的同意以及全體參與者的確認，從而實現審計數據在區塊鏈網絡內的公開和透明，總體上降低了審計風險。

四、區塊鏈技術改進聯網審計的有效途徑

區塊鏈作為數據記錄與存儲技術為開展聯網審計工作提供了新的發展機遇，為了解決大數據背景下聯網審計實踐中審計數據記錄必須依托于數據采集模塊、審計數據存儲難度大等現實困境，本文認為區塊鏈可以通過下列兩個途徑改進聯網審計：

1.區塊鏈改進聯網審計數據記錄方式，能夠提高獲取審計證據的效率。現行聯網審計實踐中對獲取審計證據貢獻最大的是審計預警機制，其依賴于內置在審計數據采集模塊中的事件觸發器，邏輯流程是：數據記錄—事件觸發—發送提醒—等待處理。相比于傳統審計預警機制結果是等待審計人員處理的亞實時監督，區塊鏈技術對更改數據等異常情況的判斷是自動化處理的，達到了真正的實時監督效果，其邏輯流程如圖4所示，其中區塊鏈自動備份賬簿副本的特點保障了審計數據的時效性，審計人員可以利用審計終端直接訪問區塊鏈上記錄的信息，實現了脫離審計數據采集模塊的遠程審計模式。付紹迎（2014）在分析聯網審計數據記錄機制時認為，被審計單位原始單據錄入信息管理系統之后由計算機在后臺進行處理的模式使得審計線索中斷，增加了審計調查取證的難度，而區塊鏈技術中時間郵戳功能不僅僅能夠記錄原始數據的數量、貨幣金額等信息，還針對數據的更新時間、更新程度進行了相應的記錄，實現了時間軸上對歷史的連續追溯，保證審計線索不中斷，也就提高了獲取審計證據的工作效率。

2.區塊鏈改進聯網審計數據存儲方式，可以降低聯網審計的實施與運行成本的同時，提高審計數據存儲效率。陳偉等（2007）分析現階段我國聯網審計實踐工作時認為，聯網審計的成本由初始投入成本和后續維護成本兩部分組成，其中初始投入成本的數據存儲服務器及其占用場地成本、后續維護成本中硬件維護成本占比最高，現階段聯網審計將數據存儲于審計主體數據存儲系統中央服務器上，具有存儲容量負載高、易遭受攻擊、訪問審計數據時需要審計終端接入中央服務器等缺陷。具有“去中心化”特征的區塊鏈數據存儲方法則不需要中央服務器，節省了相應的硬件購置、安裝費用，同時一并節約了場地成本和服務器操作人員培訓費用。區塊鏈技術相比中央服務器存儲的方式擁有更加優越的性能，其分布式存儲機制使網絡中每個節點都保存有審計數據，不必面對大數據的超高數據存儲容量壓力；分布式的存儲和透明化的查詢使數據被篡改的可能性大大降低，其不可撤銷性與透明性特征可以杜絕審計數據篡改行為。

五、區塊鏈應用于聯網審計的風險分析與應對策略

聯網審計借助區塊鏈技術可以充分利用大數據的優勢，然而，區塊鏈技術目前仍然處于起步和探索階段，因此必須理性分析區塊鏈技術應用于聯網審計的風險。本文針對區塊鏈改進聯網審計的系統層面、應用層面、操作層面分別進行風險分析并提出相對應的策略，其目的是結合我國聯網審計工作實踐的特點，使區塊鏈技術更好地為審計信息化發展而服務。

基于區塊鏈系統層面的內部風險來自于“51%攻擊”（Swanson，2015），區塊鏈面對數據更改時若有超過51%的參與者同意則會將該項更改確認并添加到鏈上，即某些壟斷機構可能掌握超過系統閾值的計算能力，從而有能力操縱賬簿數據。雖然理論上“51%攻擊”存在發生的可能性，然而現實中以比特幣為代表的區塊鏈系統層面到目前為止未曾遭遇過這種攻擊，因為掌握整個網絡51%以上計算能力需要投入巨大的技術與資源成本，而且隨著網絡規模的擴大，攻擊成本也隨之呈指數級增長，在經濟上可能得不償失。對于采用區塊鏈技術而言的聯網審計系統而言，其參與者為面向特定對象的聯盟鏈，聯盟鏈特點是審計主體可以訪問數據進行審計驗證，被審計單位嘗試操縱賬簿數據則需要審計主體同意。普通信息系統來自外部的風險也很多，如水災、火災、地震等自然災害通常會給信息系統帶來毀滅性的打擊，因此一般的信息管理系統會考慮災難恢復計劃（Disaster Recovery Plan，DRP）與業務持續計劃（Business Continuity Plan，BCP），然而區塊鏈系統由于其獨特的分布式存儲特點，無需考慮DRP與BCP。因此，本文認為區塊鏈聯網審計系統層面風險較小。

以區塊鏈系統為基礎的著名風險事件是德國The DAO由于其應用層面的智能合約中存在漏洞導致黑客竊取價值達6000萬美元的虛擬貨幣，該事件直接起因是企業未對其智能合約應用中的代碼進行安全審計。事實上，由于信息技術發展迅猛，當審計人員面對新代碼、新漏洞時僅僅憑借自身專業知識往往難以找到潛在的安全漏洞，因此，借助專家的工作在聯網審計應用層面更加必要。

在操作層面，區塊鏈所采用的加密方式是非對稱密鑰加密系統，密鑰的產生、保管、注入使用等環節都是常見的風險源。在產生環節，未有第三方監督產生密鑰；在保管環節，未將三段密鑰分別保管且無保管記錄；在注入環節，通過電話短信傳遞密鑰的違規行為經常發生。為了應對由加密方式引起的區塊鏈聯網審計風險，審計人員應該重點審查密鑰產生、交接、注入、更換、銷毀以及封存保管操作記錄，防范聯網審計風險。

作者單位：西南政法大學管理學院

1.Swanson T. Consensus-as-a-service: a brief report on the emergence of permissioned, distributed ledger systems[C].R3 CEV, 2015.

2.陳偉, 尹平. 基于成本效益視角的聯網審計可行性分析. 審計與經濟研究.2007 (1)

3.陳怡璇. 區塊鏈技術:“分布式賬簿”.上海國資. 2016(3)

4.付紹迎. 聯網審計面臨的問題與對策.理論導報. 2014(4)

5.國家863計劃審計署課題組. 計算機審計數據采集與處理技術研究報告. 清華大學出版社. 2006

6.何東, 卡爾 哈伯梅爾, 羅斯 萊科,等. 虛擬貨幣及其擴展:初步思考.金融監管研究. 2016(4)

7.李一碩. 區塊鏈：或將引發會計行業的顛覆性變革.中國會計報.2016-07-29

8.林忠華. 聯網審計:非現場審計的思考. 審計月刊.2016(6)

9.王剛. 聯網審計現狀與問題的探討.中國審計.2005(5)