基于區(qū)塊鏈技術的企業(yè)會計信息系統(tǒng)方案研究

鄒 浩

（北京股商時代科技有限公司博士后工作站，北京 100093）

一、引言

區(qū)塊鏈技術，也稱為分布式賬本技術，是一個去中心化的分布式賬本數(shù)據(jù)庫。在運行過程中，眾多計算機作為參與節(jié)點進行記賬，包含交易信息、時間戳的區(qū)塊以鏈狀的方式被分布存儲在所有參與的節(jié)點上。區(qū)塊鏈技術可以保證每個區(qū)塊的交易信息真實有效，不可被篡改，且可以追溯其來源。區(qū)塊鏈技術的核心價值是去中心化和信用機制，而信用恰是現(xiàn)代商業(yè)和經濟活動的基石，互聯(lián)網(wǎng)的普及使得網(wǎng)絡空間的信用變得更為重要，以區(qū)塊鏈技術作為底層技術在金融、能源、公證等各個行業(yè)都會有極為廣闊的應用前景。

區(qū)塊鏈技術的分布式賬本特性可以很自然的被運用到會計記賬系統(tǒng)中，其不可篡改的特點可以對企業(yè)財務造假進行有效防范。文獻[1]探討了區(qū)塊鏈技術在會計業(yè)務中的重要價值和場景應用，認為區(qū)塊鏈技術進入會計領域，能夠實現(xiàn)審計全覆蓋、實時合規(guī)性監(jiān)控與自動化稅務合規(guī)申報，顯著提高各方工作績效。文獻[2]對區(qū)塊鏈技術在聯(lián)網(wǎng)審計工作的應用進行了探討，并構建了基于區(qū)塊鏈技術的聯(lián)網(wǎng)審計框架。文獻[3]不僅在理論上研究了區(qū)塊鏈應用于會計信息系統(tǒng)的可行性和必要性，還提出了具體方案：建立兩層區(qū)塊鏈系統(tǒng)，分別將原始交易信息和會計處理過程固化，從而保障了交易的真實、可靠性。

現(xiàn)在已有不少文獻基于會計和審計的角度對區(qū)塊鏈技術的應用進行了理論性的研究和探討。一部分文獻在研究時僅涉及到了區(qū)塊鏈在企業(yè)內部的應用，如果沒有企業(yè)外的組織參與的話，企業(yè)對內部的計算節(jié)點有完全的控制和修改能力，無法體現(xiàn)區(qū)塊鏈技術對于防范財務造假的優(yōu)勢。還有一部分文獻研究時提出了將各個企業(yè)組成區(qū)塊鏈聯(lián)盟，將企業(yè)之間的往來數(shù)據(jù)上鏈，但對企業(yè)商業(yè)敏感信息的保密性思考和討論較少。本文基于區(qū)塊鏈技術提出了一種具體的方案，企業(yè)的會計信息系統(tǒng)由兩部分組成，一部分為企業(yè)與企業(yè)間的聯(lián)盟鏈，另一部分為企業(yè)內部的私有鏈，這樣可以使得企業(yè)的會計信息真實有效、便于審計，同時又保證了企業(yè)的商業(yè)敏感信息不被泄露。

二、區(qū)塊鏈技術應用于會計系統(tǒng)的技術限制

區(qū)塊鏈技術是一系列成熟技術的綜合運用，譬如分布式數(shù)據(jù)存儲、P2P協(xié)議（點對點傳輸）、現(xiàn)代密碼學、共識機制、智能合約等。這一系列技術可以像積木一樣，根據(jù)業(yè)務的需要進行組合和創(chuàng)新，從而體現(xiàn)出不同的特點，同時每塊積木有自己的特點和局限性。將區(qū)塊鏈應用在各種場景里應當將充分考慮業(yè)務本身的需要和區(qū)塊鏈組成技術的特點與瓶頸，不能為了區(qū)塊鏈而區(qū)塊鏈。在已有的一些研究文獻中，對區(qū)塊鏈在會計行業(yè)的應用進行了理論的探討，但并未深入思考現(xiàn)有密碼學對應用的限制。

區(qū)塊鏈技術在會計行業(yè)中應用涉及到的密碼學主要分為三類：對稱密碼、哈希算法和非對稱加密算法。對稱密碼即用相同的密碼對一份文件進行加密和解密。哈希算法是區(qū)塊鏈技術常用的一種加密算法，例如SHA256，該函數(shù)將待處理的文件（文件大小不限）轉換成長度為256字節(jié)的哈希值。哈希算法處理數(shù)據(jù)是單向的，不能通過256字節(jié)的輸出值恢復出原始的輸入值；對于不同的輸入值，即使僅差一個字節(jié)，輸出的結果差異也很大。哈希算法的這種特性使得加密的原文無法被篡改而不被發(fā)現(xiàn)，同時又很好的保密了原文。非對稱加密算法也被用到區(qū)塊鏈技術中，例如RSA。該算法中，存在一對私鑰和公鑰，用私鑰對信息進行加密，用公鑰可以對信息進行解密。私鑰可以理解為賬戶所有者的簽名或者企業(yè)的公章，公鑰可以對簽名或蓋章進行驗證。

目前登陸企業(yè)財務管理系統(tǒng)需要的用戶名和密碼，是利用一臺中心服務器來對身份和權限進行驗證，其原理不同于上述三種加密類型。而區(qū)塊鏈技術是去中心化的，沒有中心服務器，所以不能用傳統(tǒng)的方式進行權限驗證。想要在區(qū)塊鏈系統(tǒng)中實現(xiàn)信息的保密性及簽名功能，只能通過上述三種加密算法的組合。

三、基于區(qū)塊鏈技術的會計系統(tǒng)的具體方案

（一）參與方

不同區(qū)塊鏈應用參與方是不同的，按參與方分類，區(qū)塊鏈可以分為公共鏈、聯(lián)盟鏈和私有鏈。公共鏈對外開放，用戶不需要注冊就可以參與，典型的應用有比特幣和以太坊。聯(lián)盟鏈僅限于聯(lián)盟成員參加，由40多家銀行組成的區(qū)塊鏈聯(lián)盟R3屬于聯(lián)盟架構。私有鏈僅限于私有組織內部參與，應用場景一般為企業(yè)的內部。

本文設計的方案中，包括一條企業(yè)與企業(yè)之間的聯(lián)盟鏈和多條每個企業(yè)內部的私有鏈。以區(qū)塊鏈技術為基礎的會計信息系統(tǒng)如果僅限于企業(yè)內部成員參與，企業(yè)可以控制所有的計算節(jié)點，更改部分甚至偽造全部的財務信息在技術上依然是可行的，想要保證財務信息的真實性，必須有企業(yè)以外的組織參與進來。本方案中，聯(lián)盟鏈主要參與者是不同的企業(yè)，是獨立的法人，在期初需要對參與者的身份進行審核。

（二）上鏈內容

本方案中聯(lián)盟鏈上鏈內容的包括：一是AB企業(yè)之間的合同、票據(jù)、交易等通過哈希算法得到一串字符，再將此分別用A、B企業(yè)的私鑰進行數(shù)字簽名后上傳到聯(lián)盟鏈上，這些上鏈內容可以從源頭上保證銀行賬單、發(fā)票、合同等交易事項的真實性，同時也有利于聯(lián)網(wǎng)審計的進行；二是各企業(yè)私有鏈的財務報表定期通過哈希算法進行加密，將加密后的信息上傳到聯(lián)盟鏈上，這些上鏈內容可以使得會計處理結果被固化；三是其他企業(yè)認為有必要公開披露的信息也可以通過私鑰數(shù)字簽名后上傳到聯(lián)盟鏈上。

私有鏈的上鏈內容包括：一是企業(yè)的合同、票據(jù)等原始交易憑證；二是企業(yè)的資金、往來、收入、庫存、費用及經營成果等具體數(shù)據(jù)；三是企業(yè)的財務報表。私有鏈可以理解為一套完整的ERP系統(tǒng)。也可以根據(jù)企業(yè)的具體情況，對現(xiàn)有的企業(yè)ERP系統(tǒng)進行改造，使其滿足于與聯(lián)盟鏈相關聯(lián)即可。

私有鏈和聯(lián)盟鏈的內容是相關聯(lián)的，聯(lián)盟鏈上的內容包含了私有鏈上財務信息的哈希值，企業(yè)的會計賬目如果被篡改了必然會被發(fā)現(xiàn)，保證了企業(yè)會計信息的可信度。企業(yè)的財務數(shù)據(jù)主要保存在內部的私有鏈上，一方面可以保護企業(yè)的商業(yè)敏感信息不被外泄，另一方面，區(qū)塊鏈技術的運用，可以有效提高企業(yè)的財務效率，降低了企業(yè)的審計成本。

（三）數(shù)據(jù)存儲和共識機制

私有鏈的數(shù)據(jù)存儲在企業(yè)內部相關的計算機上，各企業(yè)之間的公有鏈的內容保存在參與計算的各個節(jié)點上。聯(lián)盟鏈的共識機制采用PoW（工作量證明），對每筆交易進行適當?shù)默F(xiàn)金收費后，再用來根據(jù)工作量獎勵記賬的各個節(jié)點。本系統(tǒng)中收費和獎勵標準都是有限的，因而不會像比特幣那樣出現(xiàn)“礦工”過度競爭的局面，造成能源的浪費。私有鏈記賬的能源消耗是企業(yè)內部的成本，共識機制可以由各企業(yè)自行決定。

（四）權限

對于各企業(yè)之間的聯(lián)盟鏈，創(chuàng)始區(qū)塊應該由具有公信力的組織機構完成，創(chuàng)始者擁有對參與者身份進行審核的權力，可以增加或刪除該區(qū)塊鏈的參與者，并對參與者的工商注冊、股東變更等公開信息進行更新。對于企業(yè)內部的私有鏈，各企業(yè)可以根據(jù)企業(yè)大小和業(yè)務的需要設置不同參與者的權限。為了便于審計工作的進行，企業(yè)內部的私有鏈應該對審計機構完全開放。

（五）擴展

本方案還可以進行一些擴展，譬如智能合約的引入、企業(yè)信息的自動披露等。智能合約是一種由計算機處理的、可執(zhí)行合約條款的交易協(xié)議，這類協(xié)議一旦制定和部署就能實現(xiàn)自我執(zhí)行和自我驗證，不再需要人為的干預。引入智能合約可以最小化企業(yè)間的惡意交易或意外事件的發(fā)生。文獻[4]對區(qū)塊鏈技術在證券發(fā)行的應用上進行過探討，本方案可以引入信息的自動披露功能，只要是對投資決策有影響的信息，譬如財務報表、稅收繳納、工商變更，都可以自動上鏈。

四、區(qū)塊鏈技術在會計業(yè)務應用中的挑戰(zhàn)

（一）安全性

區(qū)塊鏈技術的“51%攻擊”是指擁有所有計算節(jié)點51%以上算力，即可操縱和修改整個區(qū)塊鏈。在理論上，即使擁有的算力不足50%，也有一定概率完成虛假信息的寫入。因此，區(qū)塊鏈技術并非絕對安全。在實踐中，應當盡可能的優(yōu)化共識機制的算法，避免算力過度集中。此外，區(qū)塊鏈技術由于有去中心化的理念，使得智能合約即使發(fā)現(xiàn)存在漏洞，也很難進行補救。2016年，基于區(qū)塊鏈技術的全球最大眾籌項目The Dao由于存在漏洞而被黑客攻擊，導致價值達6000萬美元的損失，因其補救方案和去中心化理念沖突而引起爭議[5]。

（二）私鑰保管

用戶的私鑰保管在區(qū)塊鏈技術中是個無法回避的問題。在比特幣系統(tǒng)中，私鑰如果丟失，會造成財富的永久性損失。在本系統(tǒng)中，私鑰的功能相當于企業(yè)的鑰匙和公章，數(shù)字化的私鑰如果被竊取，會造成公司信息泄露和財富的損失。未來需要在安全性方面進行改善，譬如采用將私鑰固化到硬件中等方式。

（三）保密性

區(qū)塊鏈技術去中心化的賬本特性使得上鏈的內容變得透明，在比特幣系統(tǒng)中，每個地址的比特幣數(shù)目都是公開的。但是企業(yè)在日常經營中必定有部分商業(yè)信息需要保密。在本系統(tǒng)中，盡可能兼顧了企業(yè)對財務系統(tǒng)的真實可靠性和商業(yè)敏感信息保密性的需要，但還是有不完備的地方，譬如無法避免公眾知道某特定兩家公司之間有業(yè)務往來。如何對此進行完善，還需要進一步思考和實踐。

五、結語

如何防范會計造假一直是會計領域的一個難題，區(qū)塊鏈技術將成為解決這個難題的一種重要技術手段。本文基于區(qū)塊鏈技術，提出了一種應用于企業(yè)會計信息系統(tǒng)的方案，可以滿足企業(yè)的會計信息對透明真實性的要求，同時能基本滿足企業(yè)的商業(yè)敏感信息對保密性的要求。現(xiàn)在，區(qū)塊鏈技術還是一項新事物，相關的法律法規(guī)還不完善，被社會接受尚需要一定的時間，但可以預計，當這種新技術大規(guī)模應用于企業(yè)的會計系統(tǒng)中，可以有效的抑制會計造假，大幅降低企業(yè)的審計成本，同時也有利于政府對企業(yè)的監(jiān)督管理。