基于區塊鏈技術的審計系統設計研究

張孝君（副教授）（安徽工商職業學院 安徽合肥 231131）

一、引言

區塊鏈技術自產生以來，隨著互聯網、計算機的發展，進一步與各行各業發生聯系、融合，在供應鏈、金融服務、分銷等方面取得了一定的成果，然而區塊鏈技術在審計方面的應用還有待進一步研究。從理論上來講，區塊鏈技術與審計業務有很多契合的地方，因此，應加強對審計行業的區塊鏈技術應用的重視。

由AICPI、加拿大注冊會計師協會以及滑鐵盧大學聯合發表的白皮書認為，區塊鏈技術將對審計和其保證程度產生影響，并使得檢查和分析客戶信息的程序更加高效，區塊鏈技術如何應用于會計師事務所以及企業也會對其實際工作效率產生不同程度的影響。而美國注冊會計師協會（AICPA）發布的關于區塊鏈技術的主題報告認為，區塊鏈技術將對稅制改革、經濟業務的戰略方向和審計研究等提供機會，同時區塊鏈的出現對財務、審計以及其他需要驗證和確認的復雜流程具有重大意義。從以上發展和觀點來看，審計業務和區塊鏈的技術融合的實踐和理論都有很大的研究空間，因此，本文嘗試探討基于區塊鏈技術的審計系統框架，從而增強會計師事務所利用區塊鏈技術為客戶企業提供審計服務的能力。

二、區塊鏈技術的基礎理論及算法

區塊鏈技術是在開放式網絡系統中去中心化授權的一種安全計算技術，主要解決交易過程中的信任與安全問題。區塊鏈伴隨著比特幣的發展逐漸被廣泛應用，它以密碼學為基礎構建了一個只能增加區塊的交易記錄鏈，連接到其中的每一臺計算機設備作為一個節點，每一個節點都可以記錄交易數據，但又不能隨意記錄，用戶之間會通過某種形式的共識機制來維護整個分布式賬本數據的真實性，并且所有賬本的狀態是同步的。通常，在以太坊這樣的公共網絡中，每個所謂的“完整節點”都會復制整個全鏈賬本。區塊鏈中的時間戳機制也使得每一個區塊按照時間順序形成區塊鏈條，這更加確保了被錄入數據的不可篡改性。可見，從數據管理的角度來看，區塊鏈實質上是一個分布式數據庫，通過將每一筆業務記錄于每一個區塊中并不斷延續該鏈條來記錄不斷發展的交易記錄列表。從安全性的角度來看，使用點對點的網絡創建和維護區塊鏈，并通過人工智能和去中心化的加密技術來保護區塊鏈。

（一）共識機制

區塊鏈的基礎是一個分布式賬本，在這個賬本中有無數個節點，如何解決去中心化后仍保證系統的有序安全運行，除了系統正常運行的情況外，有可能出現的錯誤或惡意攻擊等異常情況都會對去中心化系統提出挑戰。保證系統中數據的真實性和有效性，共識機制扮演著關鍵角色。由于機制應用場景的不同，區塊鏈技術背景下設計了不同的共識算法。在可信任系統環境下，有Paxos算法和Raft算法兩類。在不可信任系統環境下，包含了常見的工作量證明（PoW）、股權證明（PoS）等，這些共識機制維護著區塊鏈的生態系統。詳見圖1。

圖1 共識機制構成

1.工作量證明。工作量證明最早應用于垃圾郵件的處理，在區塊鏈的應用中借鑒工作量證明的思想，通過增加節點間的競爭性來解決去中心化系統的一致性問題。在工作量證明中，哈希函數是其重要內容。哈希函數又稱散列函數，它沒有固定的函數算法，其核心要義是通過錄入其中的每個關鍵字與其存儲位置之間都有一個唯一確定的關系。將任意信息錄入都會生成一段唯一相關的哈希值，因為哈希數值是將任意長度的信息變成固定長度的散列，具有極強的逆向性，其逆向規律很難通過一定規律簡單得到，利用哈希函數這一特性保證了區塊鏈的不可篡改性，維護了數據的真實性。

2.拜占庭容錯。拜占庭假設是基于現實世界存在的一類問題而抽象出來的模型，區塊鏈網絡環境有著與拜占庭問題同樣的分布式系統環境，其中有正常運行的環境，也有存在缺陷和故障的運行環境，拜占庭容錯算法主要針對私有鏈或聯盟鏈的情況，能為系統提供絕對可信的節點。拜占庭容錯算法（PBFT）需要頻繁的通信來保證所有節點運行一致、狀態相同；當然，基于該算法的系統網絡不能太大，過多的節點會導致該算法無法控制惡意攻擊等狀況。

（二）數字簽名

非對稱加密技術改變了對稱加密使用同一密碼進行加密和解密的方式，它包含了公鑰和私鑰一對“對應密碼”，其中公鑰可以公開，而私鑰要求保密，加密和解密使用不同的密碼。這一技術在區塊鏈中被應用于數字簽名，在區塊鏈中的節點間傳遞信息時，需要進行數字簽名保證信息的真實性。數字簽名又稱電子簽章，常用于簽署電子文件，它可以保證文件的真實性，并確保文件的完整性，它是通過使用非對稱密鑰加密算法的“密鑰對”來實現。密鑰對，包括用于簽名的私鑰和用于驗證的公鑰。數字證書是用于驗證與公鑰對應的身份，公鑰由可信任的證書頒發機構頒發。

（三）時間戳

區塊鏈是一條有著時間順序的一個個有內容的區塊組成的鏈條，時間戳的存在使得要篡改區塊鏈中記錄的信息隨著時間的延長難度呈指數級的增加。與數字簽名有著同樣作用的時間戳機制，也使得區塊鏈網絡系統中的信息更加不可篡改，并保證了數據的真實性。區塊鏈這一機制和算法，是為了保證去中心化后的系統中所記錄數據的真實性和完整性，這一屬性在審計中也同樣適用，因此區塊鏈技術與審計活動能實現契合。

三、審計系統構建需注意的問題

在目前的研究中，討論區塊鏈技術應用于審計工作主要是從區塊鏈算法和機制的可行性來考慮，但由于區塊鏈技術研發人員對審計活動認知的不充分及審計人員對區塊鏈應用認知的理想化，使得技術的應用難以順利實現。因此利用區塊鏈技術進行審計系統設計時，首先應對審計業務核心內容有深入了解，在把握業務精髓的基礎上進行框架搭建等。審計系統框架要以業務流程為基礎，以技術替代人工，目的是減少員工工作冗余，提高審計效率。如何構建基礎系統，如何使用信息技術將業務流程串聯起來，同時滿足客戶對系統的需求，這都是技術流程設計中需要考慮的問題。若不加考慮，可能會影響信息在傳輸以及處理過程中的可信任程度、程序流暢度和傳輸速度，反而增加實際的工作量。因此在設計系統架構時，應首先考慮特定組織的主要需求和面臨的挑戰，在對這些內容進行明確之后，才可以確定哪些技術能夠應用于該設計，并評估各種方案的適用性。

（一）會計師事務所方面的考慮

從審計人員的角度來看，為了達到審計目的，收集到充分、適當的審計證據是非常重要的一環，也是最耗費時間的一環。早期研究顯示，當沒能收集到足夠的審計證據時，就無法對財務報表內容的完整、準確進行深入驗證以支持各科目賬戶余額的真實性，從而難以保證審計結論對利益相關者決策產生有價值的影響。當然，審計證據的收集不僅僅是審計人員的問題，客戶企業的故意隱瞞、限制審計人員的權限等存在的不可控的狀況都會對審計工作產生影響。我國審計準則對審計證據的定義是：審計人員獲取的能夠為審計結論提供合理基礎的全部事實。來源不同，證據的可靠性也會不同。審計準則也對電子審計證據進行了特殊說明。審計證據的使用貫穿于整個審計流程中，由于現在企業對信息技術和數字化的依賴，除了在審計活動中保證電子形式審計證據的可靠性外，審計人員也應從多個維度對審計證據進行評價分析，以滿足不同的需求。可見，對數據不同層次的充分性和適當性要求，對區塊鏈技術應用于審計流程提出了很大的挑戰；同時對審計工作來說，也是一次創新的機遇。

（二）審計客戶公司方面的考慮

在關于區塊鏈技術應用于會計核算以及審計流程的討論中，有些學者認為應建立一個完全新的系統架構代替ERP系統，筆者認為，是否建立新的系統架構，取決于現實的情況，需要考慮幾個問題，否則就是空談。（1）根據區塊鏈技術是否能夠設計出完全代替ERP系統的新系統；（2）設計出新系統后，客戶企業放棄現有系統，使用新的系統需要付出的成本；（3）在使用新系統后，投入資源的多少和過渡期限的長短以及過渡過程中可能存在的風險。以上問題會對客戶企業有重大影響，也關系到系統的成功與否。除此之外，區塊鏈技術還沒有完全解決隱私性的問題，畢竟很少有企業想要將所有的數據放在公共區域完全開放瀏覽。這些問題的解決需要依靠一個能夠嚴格執行的訪問控制機制用以授權用戶對數據進行訪問以此減輕成本和機密性的問題。當然，區塊鏈還處于發展階段，技術有待完善，但不能等到區塊鏈全面發展后再將技術與審計業務融合，否則會錯過最佳的發展期。

（三）區塊鏈技術方面的考慮

審計客戶企業采用區塊鏈的決定在未來可能會受到合作伙伴的壓力、對自動化和透明度的需求、物聯網帶來的變化等因素的影響。目前為止，從客戶的角度，我們需要考慮客戶以及潛在客戶的現實情況，維護客戶公司現有系統、減少客戶的審計成本，從而使得客戶更為積極地接受新的審計方案以及技術。審計人員如何利用區塊鏈更好地服務于其工作，且區塊鏈技術應如何結合審計流程從而更好地服務于工作是首要考慮的問題。另外，當會計師事務所的審計客戶接受該系統的應用時，除了考慮新技術對客戶的影響，還需要考慮系統的應用對審計人員來說是否有負面效應。因此，系統設計的一個重要條件是值得注冊會計師信賴并可以利用，這對區塊鏈的應用提出了進一步的要求，在開發系統時應增強與會計師事務所合作伙伴之間的溝通，以增加系統的透明度。

四、基于區塊鏈技術的審計系統設計

（一）審計系統的設計架構

1.基礎機制。區塊鏈系統架構是將業務策略轉換為通過計算機語言形式表達的以達到一系列目標的信息系統。從會計師事務所的角度來說，收集充分適當的審計證據是審計工作中最重要的活動之一，也是審計人員花費最多時間的工作，注冊會計師通過收集證據來驗證財務報表中所包含的信息，如發生時間、完整性、準確性、截止和分類，以滿足審計目標。系統設計的基礎是為審計報告和審計業務意見所收集的證據具備相關性和可信性提供保證。鑒于現實情況中驗證數字審計證據可靠性存在的問題，應首先評估系統的設計框架與區塊鏈的相互作用。區塊鏈的共識機制確保了數據的真實準確性和不可篡改性，這一特性符合審計流程中對數據的追蹤。其中，智能合約是基于區塊鏈運行模式中交互產生的一種合同形式的結果，通常包括托管加密貨幣或其他資產（有形資產和無形資產），再通過在線交易成功地、不受限制地完成一次又一次的交易。每一次交易生成合約后會發布給每一個驗證節點，收到之后驗證其真實性后進行存儲等待共識機制認證。通過智能合約確保數據在其生命周期中具有一致性和準確性，控制可以確保收集的審計證據沒有被篡改，注冊會計師能夠合理地保證內部來源數據的可靠性。

2.連接機制。從客戶角度來講，在完全替代性技術方案存在諸多問題難以解決的情況下，進行系統設計時可以考慮將現有的ERP操作系統或其他會計生態系統和分布式賬本進行連接，在不增加客戶成本的情況下為審計工作提供便利。ERP系統數據與區塊鏈系統進行數據傳遞時，共識機制中的哈希函數的運用可以增強審計業務所需信息在傳輸過程中的不被篡改性，保證信息的完整性。因此在設計系統架構時，對傳輸的不同部分的信息進行散列使其生成一個對應值，從而為每段數據信息生成一個唯一的加密文檔，將其應用于客戶端的業務流程，為每個特定業務流程中的每一步驟生成一個哈希值，在進行審計業務時，創建的每一個步驟都會被一一對應，從而保證數據無法被更改。例如，銷售流程中銷售訂單是第一步驟，所以在記錄時相關的信息較少，對該信息生成一個加密散列，就被單一對應，其后的步驟也是如此，此方法為整個業務流程數據的完整性、準確性提供了保證。因此，業務流程越復雜，數據信息就越難被篡改，使得審計人員在對各種信息進行前后追蹤時，可信度越高也越容易，審計人員通過一串串的加密散列，將各地分支機構數據進行追蹤用以信息驗證，無需其他方式繁復的交流。以上是審計工作流程哈希函數的應用，將此業務與ERP等其他會計生態系統連接時，除了對該系統中的數據進行加密維護，還需要對對應的會計生態系統中的數據進行維護，在兩個系統之間搭建一個數據聚合器，根據業務的不斷更新，每個業務流程步驟需要增加相關人員的數字簽名。

3.增強機制。引入數字簽名使得業務和數字簽名的散列在分布賬本上同步記錄，數字簽名和業務的不可篡改性以及分布賬本上的時間戳機制可以使數據的不可信任性大大降低。因為只有當數字簽名可以使用對應的公鑰驗證并且在賬本中的數據相同時，該業務才是真實有效的。因而數據信息不需要完整地保存到區塊鏈系統中，只需要將加密散列存儲成日志文件，既降低了存儲需求，隨著時間的增加和賬本規模的增加，數據的安全性和完整性也得到了增強。客戶也可以通過維護防篡改日志文件系統來保護敏感信息不泄露給未經授權的用戶，并且在數據發生變更時，審計人員可以對數據的初始錄入者直接詢問變更原因，同時針對防篡改日志文件系統，應選擇具有智能合約的針對防篡改日志的文件系統。

本文以銷售業務為例，構建了區塊鏈的審計系統框架，如下頁圖2所示。

圖2 基于區塊鏈的審計系統設計框架

在設計系統時，除了考慮會計師事務所收集審計證據外，還需要針對其訪問防篡改日志文件系統選擇具有智能合約的分布式賬本網絡以及具有一致性算法的企業區塊鏈網絡，如拜占庭算法，以適應系統需求來保證審計系統和會計生態體系中的更改日志文件相匹配，確保數據在原系統中沒有未經授權的修改。這有助于進行審計追蹤，以識別可能導致舞弊或差異的業務和員工。以銷售訂單為例，注冊會計師可以將銷售訂單順序的散列和審計區塊鏈系統中的散列比較，再與數據聚合器中最新版本的日志記錄進行比較，如果沒有差異，則可以合理地保證銷售訂單完成后沒有發生更改；如果不匹配，那么審計人員可以識別被篡改的銷售訂單，當有多個銷售訂單不匹配時，可以識別每一個訂單以供進一步研究。

（二）審計系統架構的優點

第一，系統架構對于客戶和會計師事務所的投資要求降低。會計師事務所著重于開發各種單獨的應用系統，使會計師事務所能夠訪問每一個客戶數據進行審計，不必要為每個客戶設計一套程序而增加成本。客戶可以應用當前的財務系統，減少了投資新系統的需求，即具有經濟性。第二，數據通過哈希值傳遞也保護了審計客戶內部數據，外部區塊鏈減少了內部威脅，即具有安全性和私密性。第三，獨立的應用系統的適配性可以輕松擴展以包括需要的客戶平臺，即具有可擴展性。第四，區塊鏈的應用保證了每一環節數據的不可篡改性，增強了數據完整性、可靠性和真實性等。區塊鏈系統對屬性的保障作用詳見表1。

表1 區塊鏈系統對屬性的保障作用

五、結語

隨著信息技術的飛速發展，許多會計信息和各類業務基礎數據采用電子介質方式進行記錄，電子數據在審計證據中的占比大幅提高，將區塊鏈引入審計工作勢在必行。雖然目前區塊鏈技術仍處于開發初期，但其核心用法與審計、會計工作存在諸多的內通性，即具有高度契合性。本文探討了利用區塊鏈技術架構審計系統需考慮的一些問題，包括保證審計證據的可靠性、投資成本、隱私和安全性等問題。隨著未來越來越多的企業應用區塊鏈技術，會計師事務所將不再局限于目前的會計生態系統，可能在區塊鏈技術應用上進行更為靈活的設計。