區塊鏈技術在商業銀行內部控制優化中的應用研究

陳雪儀

一、問題的提出

從利用虛假承兌匯票騙取借款資金到虛假授信導致不良資產，一系列銀行事件造成了社會巨大的經濟損失，暴露出商業銀行系統內部控制薄弱的問題。為了加強內部控制效率，提高企業經營管理水平以及風險防范能力，財政部同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》。該規范強調企業實現控制目標的過程需由企業董事會、監事會、經理層和全體員工共同參與，遵循全面性、重要性、制衡性、適應性以及成本效益原則。企業應當從內部環境、風險評估、控制活動、信息與控制和內部監督五大要素出發建立與實施有效的內部控制。相關實證研究表明有效的內部控制可以約束權力的濫用，促進權力使用過程的透明化。

作為金融行業的重要參與者，商業銀行在尋求規模擴張的同時，也面臨著更為嚴峻的挑戰。隨著業務量的不斷增加，大量的數據和信息存儲對終端服務器要求極高，且數據的同步與業務的發展存在“時間差”，導致商業銀行內控效率低下，風險上升。2014年銀監會印發修訂后的《商業銀行內部控制指引》，該指引在《企業內部控制基本規范》的基礎上增加了審慎性原則，要求商業銀行在設立機構或開辦業務時均應堅持內控優先。作為一個負債經營和高倍杠桿的特殊金融機構，商業銀行必須依賴于更優化的內部控制制度，以保持高效的風險預警和控制。

區塊鏈技術去中心化、防篡改和可追溯的特征，為銀行建立一個高效的內部控制制度提供了新的管理思路和技術支持。區塊鏈技術附有的時間戳為商業銀行客戶數據庫的真實性提供了保障，相關學者提出應將其應用于數據鑒定和資產管理等方面，以提高資產管理效率。區塊鏈技術的運用重建了傳統會計信息系統，通過“分布式賬簿”自主完成交易記錄、資金轉移和審查等相關操作，有效減少信息不對稱的問題；同時，區塊鏈技術解決了審計原始數據的處理和儲存容量較大的問題，以分布式節點的信息儲存代替傳統終端服務器，為聯網審計開辟了新的途徑。

二、區塊鏈技術在商業銀行中的應用

區塊鏈技術起源于比特幣，憑借其公開透明、不可篡改、可追溯等特性引起了政府部門、金融機構和資本市場廣泛的關注。全球40余家大型銀行機構簽署了區塊鏈合作項目，聯合制定銀行業的區塊鏈行業標準，將其業務與區塊鏈技術進行整合。銀行作為金融市場的重要主體，是推行區塊鏈技術的中堅力量。在區塊鏈2.0時代，利用新技術降低金融交易成本，減少信息不對稱，成為商業銀行進入區塊鏈技術研發領域的主要動因。2016年以來平安銀行、民生銀行、招商銀行等金融機構陸續加入R3全球合作伙伴網絡，作為中國成員企業共同開發和使用可用于金融市場的區塊鏈技術。2016年8月，銀行間市場區塊鏈技術研究組正式在上海成立，包括中國銀聯、工商銀行、農業銀行、交通銀行等19家金融機構，是繼China Ledger區塊鏈聯盟和中國互聯網金融協會成立的區塊鏈研究工作組之后國內的第三個區塊鏈組織。

不同于工業企業的物聯網建設，商業銀行對區塊鏈的研究集中于支付領域、資產管理領域和數據鑒定領域。在跨行支付和跨境支付領域，相關交易需要在各個銀行、代理行之間進行，流程長且易出錯，而區塊鏈技術下的去中心化支付手段有效簡化了支付清算流程。在數據鑒定和資產管理方面，區塊鏈附有的時間戳為商業銀行客戶數據庫的真實性提供了保障，塊鏈的運用可對相關資產進行實時授權與監管，進而大幅提升資產管理效率。

三、區塊鏈視角的商業銀行內部控制分析

互聯網金融的快速發展改變了銀行風險管理與業務發展的平衡，在一定程度上改變了個人和組織的風險偏好；普惠金融導致銀行業大數據快速增長，短期內的信息過濾和提取技術無法滿足市場需要，從而帶來較大的負面影響。結合當前的大數據時代背景，并基于我國《企業內部控制基本規范》中提出的五大要素，我國商業銀行目前內部控制機制仍存在諸多問題。

1.業務過度創新 內部控制環境弱化

近年來，互聯網金融快速發展，基于大數據、云計算和第三方支付等金融產品的推行改變了顧客的金融業務習慣，導致銀行去中心化的現象更加明顯。商業銀行為維持其市場份額，需持續推出新型業務以保證現有的客戶群體不會流失。互聯網金融推動了商業銀行對其業務的創新，但是，短時間內的過度創新導致部分多層嵌套的金融衍生產品的風險評估繞過常規的內部控制渠道，從而導致銀行內部控制環境弱化。多數新型金融衍生產品具有高杠桿性，交易所需的保證金只需滿足基礎資產價值的某個百分比即可，憑借其低門檻、高收益的特性吸引投資者。高杠桿交易要求商業銀行仔細審核并保留數以萬計的客戶資料，以防風險暴露時有據可查。而傳統商業銀行缺乏相關儲存空間及技術，盲目推廣衍生金融產品搶占市場可能會導致內部控制人員無法進行業務流程的及時跟進與監管。

圖1 商業銀行控制系統

圖2 商業銀行區塊鏈應用場景

圖3 基于區塊鏈技術的商業銀行內部控制模式

圖4 中心式和分布式儲存架構

2.風險評估意識淡薄

雖然我國的經濟模式已經從計劃經濟轉向市場經濟，但是銀行業仍受政府扶持較強，導致其合規風險與收益不對稱。在尋求業務擴張的同時，商業銀行往往重業務輕內控，放松內部控制的管控要求，以追求“規模發展”。雖然區塊鏈“分布式賬簿”的屬性能夠加強內外部監管效力，但商業銀行有關區塊鏈在內部控制場景的應用開發仍落后于其業務發展。區塊鏈技術開發周期長，前期投入金額巨大，銀行不敢貿然開展相關項目的建設。此外，區塊鏈技術的落地涉及多個部門，而大型商業銀行職能部門、總分行結構較為復雜，短期內難以重新調整原有組織架構。因此，雖然商業銀行致力于將業務發展與區塊鏈技術進行整合，但仍未重視內部控制領域區塊鏈的應用場景，風險評估意識較為淡薄。

3.三級管理導致控制活動效率低下

由于互聯網金融的快速發展，商業銀行不得不在短時間內推行新型金融衍生業務。如圖1所示，商業銀行的監管主要由內部控制系統和外部控制系統共同操作。針對大量的金融衍生產品創新，監管部門需要更長的時間觀察相關產品的運營情況，針對后續出現的問題給出指導性意見。因此，外部控制系統的監管速度往往趕不上新型業務的更新速度，導致監測力度不足。國有商業銀行的總行、分行和中心支行的三級管理導致內部控制系統執行流程冗長，使得銀行的風險控制舉措與業務發展存在“時間差”。一旦風險控制流程受突發性系統問題影響，則會進一步加劇“時間差”。

4.部門之間信息不對稱

圖5 基于區塊鏈技術的商業銀行新型金融衍生品交易事中控制流程

圖6 商業銀行集團內部控制預警機制

圖7 財務共享與業財融合管理模式

由于商業銀行的部門和開展的業務眾多，從前端的業務部門、中后端的合規、管理部門，內部控制的執行被劃分到眾多部門中。獨立的部門管理模式，難以使各個部門形成一個緊密合作的整體。在實際執行過程中，由于部門間的信息不對稱，往往出現權責不明、重復管理等問題。總行和分行之間的信息不一致也是導致內部控制失效的重要原因之一。除個別業務外，大多數基本業務由分行和支行自主處理，權力的下放導致內控人員無法對銀行業務的全流程進行及時監管，由此導致相關財務欺詐事件。此外，商業銀行不同部門之間缺乏統一的數據收集標準，對數據的核對工作仍以人工篩選為主，難以保證內控合規信息的準確性和時效性。

5.業財部門缺乏深度融合

相較一般金融機構，銀行業受國家宏觀控制較強，導致商業銀行更重視業務發展忽視內部控制，專業人員未能形成人才梯隊。同時，商業銀行的“三級管理”機構使得財務管理人員遠離業務崗位，專業技能往往跟不上業務的創新，無法對新型金融衍生品進行及時有力的監測。在長期部門管理的組織模式下，商業銀行內部控制缺乏統一的標準、風險評估能力參差不齊。脫離實際業務的內控管理使得執行流程片面化和檢查形式化，進而影響內部控制效力。因此，內部審計機構應與業務部門深度融合，在日常監督和專項監督方面對銀行實施內部控制的情況進行常規巡查以及有針對性的專項檢查。

四、區塊鏈技術對商業銀行內部控制優化的應用

如圖2所示，基于區塊鏈技術，本文提出商業銀行可運用分布式儲存架構，通過網絡實現互聯，跳過終端服務器的數據存儲和提取環節，縮短數據存儲和提取的“時間差”。每筆交易發生時，每個節點都將收到該交易信息并同步納入一個區塊中，并自動鏈接到下一數據塊形成區塊鏈，塊鏈一旦形成就無法被篡改。通過這一分布式場景運用，涉及的交易方同時擁有參與者和監督者雙重身份，違約成本大幅度提高，從而抑制了高層管理者及相關參與者的違約動機。作為一個負債經營和高倍杠桿的特殊行業，商業銀行可運用區塊鏈技術對其傳統業務的內部控制流程進行優化，這或將顛覆和重塑商業銀行的整體風險控制效率。

（一）業務追蹤和智能化合約

商業銀行短時間內的過度創新導致部分新型金融衍生品的風險評估繞過常規的內部控制渠道，增加了金融風險。由于業務的不斷創新，不同風險水平的業務所采用的內控模式也不盡相同。因此，商業銀行需要根據其具體上線業務，設計相對統一的多種內控模式。利用區塊鏈技術建立一個高效的分布式業務系統，每一新型金融衍生產品上線前將被錄入塊鏈中在集團內部進行廣播。如圖3所示，內控部門可在第一時間收到新上線產品的相關信息，并依據不同產品的風險等級進行分級控制。通過內控部門的核實和鑒別后，新型的金融產品才能正式上線并計入商業銀行的業務系統。正式寫入商業銀行業務系統的產品信息將被再次廣播到其余節點，確保了上線流程的開放性和透明性。

針對高風險的金融衍生產品，區塊鏈的“分布式賬簿”使商業銀行的征信信息搜集更為便捷。同時，區塊鏈可編程的特點使得其可以通過自動識別生效環境，實現合約的智能管理。通過區塊鏈技術在商業銀行的運用，不同網絡節點可以進行數據共享，各項交易明細和客戶資料可實時在塊鏈上同步存儲記錄，極大減少了物理空間存儲帶來的冗余。一旦不良事件出現，涉及的交易記錄和客戶資料可在第一時間被提取及追溯。區塊鏈的運用提高了商業銀行對高風險金融衍生產品風險控制的效率。自動化智能合約在高杠桿金融衍生品交易中的運用，將大大提高銀行資金的安全性。智能合約允許商業銀行和客戶通過代碼簽訂金融產品交易合同，涉及的交易記錄可追蹤且不可篡改，一旦違約事件發生，自動化智能合約自動進入交易清算環節，迫使違約行為中斷，保證資金的安全性。

（二）事前及事中風險控制機制

現階段的風險控制機制建立在傳統中心式儲存架構上，主要依賴于銀行內部預先設置的異常數值進行預警。所有的數據提取必須從終端服務器提取，但是由于數據量較大，提取耗費時間長，從而造成異常事件無法在第一時間得到處理。如圖4a所示，在傳統中心式儲存架構模式下，終端服務器既要處理交易數據的采集與儲存，又要接受內部審計的數據訪問。因此，商業銀行對其服務器儲存數據容量、系統安全性和穩定性有極高的要求。在該模式下，審計人員只能從終端服務器提取相應數據，大量的數據訪問容易出現數據提取難、耗時長等問題，造成內控程序耗時耗力且效率低下。在分布式儲存架構模式下，“分布式賬簿”跳過了終端服務器的數據提取環節，為審計人員的工作提供了便利。如圖4b所示，針對異常交易信息觸發警報，審計人員可以根據異常事件從相應節點上直接提取相關交易數據，保證了信息數據的時效性。區塊節點上記錄的交易數據具有不可逆和防篡改的特性，為內部審計提供了質量保證。通過區塊鏈技術的運用，商業銀行的風險控制從事后控制逐漸轉向事前和事中控制，建立了更為高效的內控機制。

（三）去中心化的授權機制消除信息共享的“時間差”

不恰當的授權和職責劃分可能會導致資金的非法挪用和財務報表的操縱。商業銀行的縱向組織形式“三級管理、一級經營”使得管理層次劃分過多，逐級審批鏈條過長。“分布式賬簿”由全網節點共同運行，每個區塊鏈上的參與者都可提取相應節點數據，簡化授權流程，提高內部控制效率。在區塊鏈交易系統中，交易完成的瞬間所有的賬本信息完成同步更新，相關交易數據不再依賴于人工存儲和讀取，消除了前后端部門信息共享的“時間差”。同時，過多的層級結構可能引發一系列實質性漏洞，管理人員或因職務之便對下級人員施壓，企圖掩蓋內控制度的缺陷以滿足一己私利。區塊鏈技術的去中心化的特點解決了這一授權審批問題，避免分行權力過度集中引起的上級施壓致使內部控制流于形式。如圖5所示，以商業銀行新型金融衍生品交易為例，交易A,B,C分別被記錄于相應的塊鏈上，突發風險問題時，內控部門可越過傳統的多級授權流程，第一時間追溯交易提取塊鏈信息并加以分析與控制。

（四）交易信息實時交互

商業銀行業務類型本地化給予了分行更多的自主性，但也因此引發了總行與分行之間的信息不對稱問題。集團內審人員如要對分公司的業務進行追蹤，需在分行數據上傳總行終端服務器后才能進行相應的數據提取工作，由于服務器數據承載量較大，審計過程往往耗時較長。區塊鏈技術能夠自行進行總分行交易數據的同步備份，同時跳過了終端服務器直接將信息儲存在塊鏈上，實現內部審計脫離遠程審計數據采集，保證內控數據的時效性。區塊鏈的共識機制要求各方對數據進行共同確認，提升了內部審計數據的完整性。以圖6為例，各項交易信息在集團內部廣播的過程中，只有經過相關交易經手人員全網認證之后才能形成賬簿。如被判斷為無效業務，內審人員可直接通過集團數據中心訪問塊鏈上記錄的相關交易信息追究異常原因。區塊鏈技術的運用使實時審計成為可能，提高了信息交互的效率，節約人工成本。

（五）財務共享與業財融合

財務部門作為重要的后臺管理部門，需要掌握公司全面的經營信息，而商業銀行的縱向層級結構使得內控管理人員遠離業務崗位，專業技能往往跟不上業務的創新，無法對新型金融衍生品進行及時有力的監測。在區塊鏈技術支持下的內部控制系統簡化了冗長的流程，減少了服務器擴容和維護等成本。商業銀行可以更合理運用其資源構建云財務共享中心，集中處理同質化、日常性的交易事項。通過塊鏈的實時記錄與信息共享，將每筆業務活動和資金管理按時間順序分攤至逐筆交易中，便于追溯。“分布式賬本”在一定程度上消除了內控部門與業務部門的信息壁壘，各分行財務部門可直接對財務共享平臺數據進行深入挖掘，準確對接新型業務。如圖7所示，在財務共享和業財融合的財務管理模式下，前臺業務部門與后臺管理部門可通力合作，財務人員可直接接觸一線業務部門，實時跟進業務進展，最終形成更有效的內部管理結構。

五、區塊鏈技術在商業銀行內部控制的運用展望

隨著區塊鏈技術的日益成熟，其在商業銀行的運用能幫助內部控制管理者實時獲取需要的信息，及時識別相關內控風險。區塊鏈技術的共識機制理論上能夠確保信息的真實性、從而加強風險管理效率。但在商業銀行內部的落地中，仍存在技術、成本以及政策方面的相關挑戰。

在技術層面，安全性與隱私保護難以保證。雖然“分布式賬簿”具有開放透明性，強調數據共享、管理去中心化的特征，但是伴隨著透明度的提高，交易信息的隱私保護也變得更為重要。大量的私人信息存儲于塊鏈上，包括歷史交易記錄、賬戶余額和交易人信息等。商業銀行需明確界定共享環境和加密環境的數據類型，信息的交互必須有明確的授權許可，以防止內部信息的惡意泄露。雖然理論上區塊鏈具有防篡改的特性，但在現實實施過程中仍存在篡改數據的可能。區塊鏈設計為完全開放的公共網絡，一旦不誠實的節點數量超過誠實的節點數量，系統則有可能受到“51%攻擊”。此外，黑客攻擊、智能合約的合約糾紛、賬本數據歸屬等問題也是銀行在應用區塊鏈技術中需要解決的問題。

在構建成本方面，相較于后臺內部控制管理系統的區塊鏈構建投入，商業銀行更偏向于支付領域和資產管理等前端業務領域的投入。因區塊鏈系統的構建成本較高，而后臺管理系統又無法快速產生收益，極高的沉沒成本和機會成本使大多數商業銀行望而卻步。且區塊鏈技術的落地涉及整個集團的部門整合和資源分配，除系統本身高額的成本外，還會產生部門與部門之間的溝通成本與人力資源成本。

在監管層面，相關法律的完善仍需要較長時間。區塊鏈去中心化的特點，顛覆了傳統的監管模式，弱化了政府宏觀調控的職能。加密貨幣的追蹤成為難題，可能滋生洗錢、偷漏稅等一系列監管難題。此外，有關區塊鏈的法律推行仍落后于其發展。出于安全、隱私和效率方面的考慮，應用于金融服務的“分布式賬簿”需基于完善的政策法規才能真正推廣，包括規定最低資本要求、內控系統的執行以及風險管理流程等具體要求。同時，政府需要對第三方網絡提供公司進行監管，明確其對使用者的義務及承擔的責任，最大程度排除第三方網絡安全技術問題對交易數據泄密或篡改的影響。